Följande web access management- och federationslösningar har testats för Webex-organisationer. I dokumenten som länkas nedan går du igenom hur du integrerar den specifika identitetsleverantören (IdP) med din Webex-organisation.


Dessa guider omfattar SSO för Webex-tjänster som hanteras i Control Hub (https://admin.webex.com). Om du vill ha en SSO av en Webex Meetings-webbplats (som hanteras i webbplatsadministration) läser du Konfigurera enkel inloggning för Webbplats för Cisco Webex Meetings.

Om du inte ser din IdP listad nedan följer du stegen på hög nivå på fliken SSO Installation i den här artikeln.

Med enkel inloggning (SSO) kan användare logga in på Webex på ett säkert sätt genom att autentisera för din organisations Common Identity Provider (IdP). Webex-appen använder Webex-tjänst för att kommunicera med Webex-plattformens identitetstjänst. Användaren identitetstjänst med din identitetsleverantör (IdP).

Du startar konfiguration i Control Hub. Det här avsnittet samlar in allmänna steg på hög nivå för att integrera en IdP från tredje part.

För SSO och Control Hub måste IdP:er uppfylla SAML 2.0-specifikationen. Dessutom måste IdPs konfigureras på följande sätt:

  • Ange attributet för NameID-format till urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurera ett anspråk på IdP enligt typen av SSO du distribuerar:

    • SSO (för en organisation) – Om du konfigurerar SSO åt en organisation konfigurerar du IdP-anspråket så att uid-attributets namn inkluderas med ett värde som är mappat till det attribut som har valts i Kataloganslutning, eller användarattributet som matchar det som väljs i Webex identitetstjänst. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.)

    • Partner SSO (endast för tjänsteleverantör) – Om du är en tjänsteleverantör-administratör som konfigurerar partner SSO som ska användas av de kundorganisationer som tjänsteleverantör hanterar, ska du konfigurera IdP-anspråket så att det inkluderar e-postattributet (i stället för UID). Värdet måste mappa till det attribut som är valt i Kataloganslutning eller användarattributet som matchar det som är valt i Webex-identitetstjänst.


    Mer information om mappning av anpassade attribut för antingen SSO eller SSO finns i https://www.cisco.com/go/hybrid-services-directory.

  • Endast SSO partnerpartner. E identitetsleverantör adressen måste ha stöd för Assertion Consumer Service URL:er (ACS). Exempel på hur du konfigurerar flera ACS-URL:er på identitetsleverantör finns i:

  • Använd en webbläsare som stöds: rekommenderar vi den senaste versionen av Mozilla Firefox eller Google Chrome.

  • Inaktivera popup-blockerare i webbläsaren.


Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Integrationsstegen för exempelvis nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteras. Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering men omfattas inte av dokumentation.

Du måste upprätta ett SAML-avtal mellan Webex-plattformens identitetstjänst och din IdP.

Du behöver två filer för att uppnå ett lyckat SAML-avtal:

  • En metadatafil från IdP som ska ges till Webex.

  • En metadatafil från Webex för att ge till IdP:en.

Detta är ett exempel på en PingFederate-metadatafil med metadata från IdP.

Metadatafil från identitetstjänst.

Följande är vad du förväntar dig att se i metadatafilen från identitetstjänst.

  • Enhets-ID – detta används för att identifiera SAML-avtalet i IdP-konfigurationen

  • Det finns inget krav på en signerad AuthN-begäran eller några signeringspåståenden, den uppfyller vad IdP-begäran i metadatafilen är.

  • En signerad metadatafil för IdP för att verifiera att metadatan tillhör identitetstjänst.

1

Logga in på Control Hub (https://admin.webex.com), gå till Inställningar , bläddra till Autentisering och klicka på Ändra.

2

Klicka på Integrera en identitetsleverantör i tredje part. (Avancerat) och klicka sedan på Komma igång.

3

Klicka på Hämta metadatafil och klicka på Nästa .

4

Identitetstjänsten för Webex-plattform validerar metadatafilen från IdP:en.

Det finns två möjliga sätt att validera metadata från kund-IdP:

  • Kund-IdP tillhandahåller en signatur i metadata som signeras av en offentlig rot-CA.

  • Kund-IdP tillhandahåller en självsignerat privat CA eller tillhandahåller ingen signatur för deras metadata. Detta alternativ är mindre säkert.

5

Testa SSO innan du aktiverar den.

6

Om testet lyckas aktiverar du enkel inloggning (SS).

Om du får problem med din SSO, använd kraven och proceduren i det här avsnittet för att felsöka SAML-flödet mellan din IdP och Webex.

  • Använd SAML trace-tillägget för Firefox eller Chrome.

  • Om du vill felsöka använder du webbläsaren där du installerade SAML trace-felsökningsverktyget och går till webbversionen av Webex på https://teams.webex.com.

Följande är flödet av meddelanden mellan Webex-appen, Webex-tjänster, Webex-plattformens identitetstjänst och identitetsleverantör (IdP).

  1. Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.
  2. Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Begäran omdirigeras till e-identitetstjänst till SSO eller till flödet av användarnamn och lösenord. URL:en för autentiseringsservern returneras.
  3. Webex-appen begär en SAML-försäkran från IdP med en SAML HTTP POST.
  4. Autentiseringen för appen sker mellan operativsystemets webbresurser och IdP.
  5. Appen skickar tillbaka HTTP-posten till identitetstjänst innehåller de attribut som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.
  6. SAML-försäkran från IdP till Webex.
  7. Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar.
1

Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.

Appen skickar informationen till e-Webex-tjänst verifierar e-postadressen.

2

Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Begäran omdirigeras till e-identitetstjänst till SSO eller till flödet av användarnamn och lösenord. URL:en för autentiseringsservern returneras.

Du kan se GET-begäran i spårningsfilen.

I avsnittet parametrar söker tjänsten efter en OAuth-kod, e-post till användaren som skickade förfrågan och andra OAuth-uppgifter som ClientID, redirectURI och Scope.

3

Webex-appen begär en SAML-försäkran från IdP med en SAML HTTP POST.

När SSO är aktiverat omdirigerar verifieringsmotorn i identitetstjänst till IdP-URL:en för SSO. IdP-URL:en som angavs vid utbyte av metadata.

Kontrollera spårningsverktyget för ett SAML POST-meddelande. Du ser ett HTTP POST-meddelande till den IdP som begärs av IdPbrokern.

RelayState-parametern visar det korrekta svaret från IdP:en.

Granska avkodningsversionen av SAML-begäran. Det finns ingen authN på begäran, och svarets destination ska gå till IdP:s destinations-URL. Kontrollera att Nameid-formatet är korrekt konfigurerat i IdP under rätt enhets-ID (SPNameQualifier)

IdP-nameid-formatet anges och namnet på avtalet konfigurerades när SAML-avtalet skapades.

4

Autentiseringen för appen sker mellan operativsystemets webbresurser och IdP.

Beroende på din IdP och de autentiseringssystem som är konfigurerade i IdP: en startas olika flöden från IdP:en.

5

Appen skickar tillbaka HTTP-posten till identitetstjänst innehåller de attribut som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.

När autentiseringen lyckas skickar appen informationen i ett SAML POST-meddelande till identitetstjänst.

RelayState är samma som föregående HTTP POST-meddelande där appen talar om för IdP vilken EntityID som begär kontrollen.

6

SAML-försäkran från IdP till Webex.

7

Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar.

När identitetstjänst validerar svaret från IdP:en utfärdar de en OAuth-token som ger Webex-appen åtkomst till de olika Webex-tjänsterna.