Följande web access management- och federationslösningar har testats för Cisco Webex organisationer med Webex-användare. I dokumenten som länkas nedan går du igenom hur du integrerar den specifika identitetsleverantören (IdP) med Webex och din Webex-organisation som hanteras via Cisco Webex Control Hub.


Om du inte ser din IdP listad nedan använder du stegen på hög nivå under fliken "SSO Installation" i den här artikeln.

Ovanstående guider omfattar SSO för Webex-tjänster som hanteras i Cisco Webex Control Hub (https://admin.webex.com). Om du vill ha SSO för en klassisk Webex-webbplats (webbplatsadministration) kan du använda konfigurera enkel inloggning för Webbplats för Cisco Webex Meetings webbsida.

Med enkel inloggning (SSO) kan användare logga in på ett säkert Cisco Webex genom att autentisera för din organisations Common Identity Provider (IdP). Cisco Webex använder Cisco Webex för att kommunicera med Cisco Webex-plattformens identitetstjänst. Användaren identitetstjänst med din identitetsleverantör (IdP).

Du startar konfigurationen i Cisco Webex Control Hub. Det här avsnittet samlar in allmänna steg på hög nivå för att integrera en IdP från tredje part.

För SSO och Cisco Webex Control Hub ,måste IdPs överensstämma med SAML 2.0-specifikationen. Dessutom måste IdPs konfigureras på följande sätt:

  • Ange NameID-formatattributet på urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurera ett anspråk på IdP för att inkludera UID-attributnamnet med ett värde som är mappat till det attribut som är valt i Cisco Kataloganslutning eller användarattributet som matchar det som har valts i Cisco Webex identitetstjänst. (Det här attributet kan vara e-postadresser eller användare-huvudnamn, till exempel.) Se informationen om det anpassade attributet https://www.cisco.com/go/hybrid-services-directory i för vägledning.

  • Använd en webbläsare som stöds: rekommenderar vi den senaste versionen av Mozilla Firefox eller Google Chrome.

  • Inaktivera popup-blockerare i webbläsaren.


Konfigurationsguiderna visar ett specifikt exempel för SSO men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Till exempel beskrivs integreringsstegen för nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Andra format som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering men ligger utanför omfattningen av vår dokumentation.

Du måste upprätta ett SAML-avtal mellan Cisco Webex plattformsidentitetstjänsten och din IdP.

Du behöver två filer för att uppnå ett lyckat SAML-avtal.

Detta är ett exempel på en PingFederate-metadatafil med metadata från IdP.

Metadatafil från identitetstjänst.

Följande är vad du förväntar dig att se i metadatafilen från identitetstjänst.

  • Enhets-ID – detta används för att identifiera SAML-avtalet i IdP-konfigurationen

  • Det finns inget krav på en signerad AuthN-begäran eller några signeringspåståenden, den uppfyller vad IdP-begäran i metadatafilen är.

  • En signerad metadatafil för IdP för att verifiera att metadatan tillhör identitetstjänst.

1

Från kundvyn i går https://admin.webex.comdu till Inställningar ,bläddrar till Autentisering och klickar på Ändra.

2

Klicka på Integrera en identitetsleverantör i tredje part. (Avancerat) och klicka sedan på Komma igång.

3

Klicka på Hämta metadatafil och klicka på Nästa .

4

Cisco Webex Identitetstjänst för plattform validerar metadatafilen från IdP.

Det finns två möjliga sätt att validera metadata från kund-IdP:

  • Kund-IdP tillhandahåller en signatur i metadata som är signerad av en offentlig rot-CA.

  • Kund-IdP tillhandahåller en självsignerat privat CA eller tillhandahåller ingen signatur för deras metadata. Detta alternativ är mindre säkert.

5

Testa SSO innan du aktiverar den.

6

Om testet lyckas aktiverar du enkel inloggning (SS).

Om du får problem med din SSO, använd kraven och proceduren i det här avsnittet för att felsöka SAML-flödet mellan din IdP och Cisco Webex tjänsten.

  • Använd SAML trace-tillägget för Firefox eller Chrome.

  • Om du vill felsöka använder du webbläsaren där du installerade SAML trace-felsökningsverktyget och går till webbversionen av webversionen Cisco Webexhttps://teams.webex.com.

Följande är flödet av meddelanden mellan Cisco Webex , Cisco Webex-Cisco Webex-tjänsten, Cisco Webex Identity Service och identitetsleverantören (IdP).

  1. Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.
  2. Klienten skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Begäran omdirigeras till e-identitetstjänst till SSO eller till flödet av användarnamn och lösenord. URL:en för autentiseringsservern returneras.
  3. Cisco Webex begär en SAML-försäkran från IdP med hjälp av EN SAML HTTP POST.
  4. Appens autentisering sker mellan operativsystemets webbresurser och IdP.
  5. Cisco Webex skickar tillbaka HTTP-posten till identitetstjänst och inkluderar de attribut som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.
  6. SAML-försäkran från IdP till Webex.
  7. Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar.
1

Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.

Appen skickar informationen till Cisco Webex och tjänsten verifierar e-postadressen.

2

Klienten skickar en GET-begäran till OAuth-auktoriseringsservern för en token. Begäran omdirigeras till e-identitetstjänst till SSO eller till flödet av användarnamn och lösenord. URL:en för autentiseringsservern returneras.

Du kan se GET-begäran i spårningsfilen.

I avsnittet parametrar söker tjänsten efter en OAuth-kod, e-post till användaren som skickade förfrågan och andra OAuth-uppgifter som ClientID, redirectURI och Scope.

3

Cisco Webex begär en SAML-försäkran från IdP med hjälp av EN SAML HTTP POST.

När SSO är aktiverat omdirigeras autentiseringsmotorn i identitetstjänst till IdP-URL:en för SSO. IdP-URL:en som angavs vid utbyte av metadata.

Kontrollera spårningsverktyget för ett SAML POST-meddelande. Du ser ett HTTP POST-meddelande till den IdP som begärs av IdPbrokern.

RelayState-parametern visar det korrekta svaret från IdP:en.

Granska avkodningsversionen av SAML-begäran. Det finns ingen authN på begäran, och svarets destination ska gå till IdP:s destinations-URL. Kontrollera att Nameid-formatet är korrekt konfigurerat i IdP under rätt enhets-ID (SPNameQualifier)

IdP-nameid-formatet anges och namnet på avtalet konfigurerades när SAML-avtalet skapades.

4

Appens autentisering sker mellan operativsystemets webbresurser och IdP.

Beroende på din IdP och de autentiseringssystem som är konfigurerade i IdP: en startas olika flöden från IdP:en.

5

Cisco Webex skickar tillbaka HTTP-posten till identitetstjänst och inkluderar de attribut som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.

När autentiseringen lyckas skickar Cisco Webex informationen i ett SAML POST-meddelande till identitetstjänst.

RelayState är samma som föregående HTTP POST-meddelande där appen talar om för IdP vilken EntityID som begär kontrollen.

6

SAML-försäkran från IdP till Webex.

7

Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token. Denna token används för att få åtkomst till resurser å användarens vägnar.

När identitetstjänst validerat svaret från IdP:n utfärdar de en OAuth-token som ger Cisco Webex åtkomst till de olika Cisco Webex molntjänsterna.