Aşağıdaki web erişimi yönetimi ve federasyon çözümleri, Webex kuruluşları için test edilmiştir. Aşağıda bağlantısı verilen belgelerde, bu belirli kimlik sağlayıcısını (IdP - Identity Provider) Webex kuruluşunuzla entegre etme konusunda bilgiler bulabilirsiniz.


 

Bu kılavuzlarda, Control Hub’da (https://admin.webex.com) yönetilen Webex hizmetleri için SSO (Çoklu Oturum Açma) entegrasyonu açıklanmaktadır. Bir Webex Meetings sitesi için SSO entegrasyonu gerçekleştirme (Site Yönetimi’nden yönetilir) konusunda bilgi edinmek istiyorsanız, Cisco Webex Sitesi için Çoklu Oturum Açmayı Yapılandırma başlıklı makalemizi okuyabilirsiniz.

IdP’nizi aşağıdaki listede bulamıyorsanız bu makalenin SSO Kurulumu sekmesinde yer alan üst düzey adımları izleyin.

Çoklu oturum açma (SSO - Single Sign-On), kullanıcıların kuruluşunuzun ortak kimlik sağlayıcısıyla (IdP) kimlik doğrulaması yaparak Webex’e güvenli şekilde giriş yapmasını sağlar. Webex Uygulaması, Webex Platform Kimlik Hizmeti ile iletişim kurmak için Webex hizmetini kullanır. Kimlik hizmeti, kimlik sağlayıcınızla (IdP) kimlik doğrulaması işlemi gerçekleştirir.

Yapılandırmayı Control Hub’da başlatırsınız. Bu bölümde, üçüncü taraf IdP’leri entegre etme hakkında üst düzey genel adımlara yer verilmiştir.


 
IdP’niz ile SSO yapılandırması gerçekleştirdiğinizde, herhangi bir özniteliği kullanıcı kimliğiyle eşleyebilirsiniz. Örneğin; userPrincipalName, e-posta takma adı, alternatif e-posta adresi veya uygun özniteliklerden başka herhangi birini kullanıcı kimliğine eşleyebilirsiniz. IdP’nin, kullanıcının e-posta adreslerinden birini oturum açma sırasında kullanıcı kimliğiyle eşleştirmesi gerekir. Webex, kullanıcı kimliğine en fazla 5 e-posta adresi eşlemeyi destekler.

Kimlik Sağlayıcılar İçin Gereksinimler

SSO ve Control Hub için, IdP’lerin SAML 2.0 spesifikasyonuna uyması gerekir. Ek olarak, IdP’ler aşağıdaki şekilde yapılandırılmalıdır:

  • NameID Format özniteliğini urn:oasis:names:tc:SAML:2.0:nameid-format:transient olarak ayarlayın

  • Dağıtmakta olduğunuz SSO türüne göre IdP üzerinde bir talep yapılandırın:

    • SSO (kuruluşlar için): Bir kuruluş adına SSO yapılandırması gerçekleştiriyorsanız, IdP talebini kullanıcı kimliği özniteliği adını içerecek şekilde yapılandırın. Bu ad, Dizin Bağlayıcı’da seçilen öznitelikle eşlenen bir değere sahip olmalıdır. Alternatif olarak söz konusu değer, Webex kimlik hizmetinde seçilenle eşleşen kullanıcı özniteliğiyle eşlenen bir değer de olabilir. (Bu öznitelik E-posta Adresleri veya Kullanıcı Asıl Adı olabilir.)

    • İş Ortağı SSO (yalnızca Hizmet Sağlayıcılar için): Hizmet Sağlayıcı yöneticisi olarak İş Ortağı SSO’su yapılandırıyorsanız ve bu SSO, Hizmet Sağlayıcının yönettiği müşteri kuruluşları tarafından kullanılıyorsa, IdP talebini posta özniteliğini ( kullanıcı kimliği yerine) içerecek şekilde yapılandırın. Değer, Dizin Bağlayıcı’da seçilen öznitelikle veya Webex kimlik hizmetinde seçilenle eşleşen kullanıcı özniteliğiyle eşlenmelidir.


     

    SSO veya İş Ortağı SSO için özel öznitelikleri eşleme hakkında daha fazla bilgi için bkz. https://www.cisco.com/go/hybrid-services-directory .

  • Yalnızca İş ortağı SSO içindir. Kimlik Sağlayıcı, birden fazla Onay Tüketici Hizmeti (ACS) URL’sini desteklemelidir. Bir Kimlik Sağlayıcıda birden fazla ACS URL’sini yapılandırmaya ilişkin örnekler için bkz.:

  • Desteklenen bir tarayıcı kullanın: Mozilla Firefox veya Google Chrome’un en son sürümünü kullanmanızı öneriyoruz.

  • Tarayıcınızdaki tüm açılır pencere engelleyicilerini devre dışı bırakın.


 

Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient belgelendirilmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ve urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer biçimler, urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SSO entegrasyonu için kullanılabilir ancak belgelerimiz kapsamında yer verilmemiştir.

SAML Sözleşmesi Oluşturun

Webex Platform Kimlik Hizmeti ile IdP’niz arasında bir SAML sözleşmesi oluşturmanız gerekir.

Başarılı bir SAML sözleşmesi oluşturmak için iki dosyaya ihtiyacınız vardır:

  • Webex’e iletilmek üzere IdP’den alınan bir meta veri dosyası.

  • IdP’ye iletilmek üzere Webex’ten alınan bir meta veri dosyası.

Bu, IdP’den meta veriler içeren bir PingFederate meta veri dosyası örneğidir.

Kimlik hizmetinden alınan meta veri dosyası.

Kimlik hizmetinden alınan meta veri dosyası tipik olarak böyle görünür.

  • EntityID: IdP yapılandırmasındaki SAML sözleşmesini tanımlamak için kullanılır.

  • İmzalı bir AuthN talebi veya herhangi bir imza onayı belgesi gerekli değildir. Meta veri dosyasındaki IdP talepleriyle uyumludur.

  • Meta verilerin kimlik hizmetine ait olduğunu doğrulamak üzere IdP’ye yönelik imzalı bir meta veri dosyası.

Webex Kimlik Hizmetini Yapılandırma

1

Control Hub’daki müşteri görünümünden (https://admin.webex.com), Yönetim > Organizasyon Ayarları bölümüne gidin, sayfayı kaydırarak Kimlik Doğrulama bölümüne gelin ve yapılandırma sihirbazını başlatmak Çoklu Oturum Açma ayarını açın.

2

Sertifika türünü seçin:

  • Cisco tarafından kendinden imzalı: Hizmet Sağlayıcısı olmamıza izin vermek için bu seçeneği belirlemenizi öneririz. Ayrıca, sertifikayı her beş yıl için yalnızca bir kez yenilemeniz gerekir.
  • Genel bir sertifika yetkilisi tarafından imzalı: Sertifikalarınızı Hydrant veya GoDaddy gibi genel bir sertifika yetkilisine (CA - Certificate Authority) imzalatıyorsanız bu seçenek güvenlidir ve seçmeniz önerilir. Bununla birlikte, sertifikayı yılda bir kez yenilemeniz gerekir.
3

Meta verileri indir seçeneğine ve Sonraki öğesine tıklayın.

4

Webex Platform Kimliği hizmeti, IdP’den alınan meta veri dosyasını doğrular.

Müşteri IdP’sinden alınan meta veriler iki şekilde doğrulanabilir:

  • Müşteri IdP’si, Genel Kök CA tarafından imzalanan meta veriler için imza hizmeti sağlar.

  • Müşteri IdP’si, kendinden imzalı özel bir CA sağlar ancak bunun meta verileri için imza hizmeti sağlamaz. Bu seçenek daha az güvenlidir.

5

Etkinleştirmeden önce SSO Bağlantısını test edin. Bu adım, deneme çalıştırması işlevi görür ve bir sonraki adımda SSO etkinleştirene kadar kuruluş ayarlarınızı etkilemez.


 

SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu işlem, web tarayıcınızda önbelleğe alınan ve SSO yapılandırmanızı test ederken yanlış pozitif sonuç verebilecek tüm bilgileri kaldırmanızı sağlar.

6

Testin başarılı olması hâlinde SSO’yu açın ve değişiklikleri kaydedin.

SSO’nun kuruluşunuzda uygulanmaya başlaması için değişiklikleri kaydetmeniz gerekir.

SSO entegrasyonunuzla ilgili sorun yaşamanız durumunda IdP’niz ve Webex arasındaki SAML Akışında sorun giderme uygulamak için bu bölümdeki gereksinimleri ve prosedürü kullanın.

SSO Sorunlarını Giderme Gereksinimleri

  • Firefox veyaChrome için SAML izleme eklentisini kullanın.

  • Sorun giderme gerçekleştirmek için, SAML izleme hata ayıklama aracını yüklediğiniz web tarayıcısını kullanın ve https://web.webex.com adresindeki Webex web sürümüne gidin.

Webex Uygulaması, IdP’niz ve Webex Hizmetleri Arasındaki SAML Akışında Sorun Giderme

Webex Uygulaması, Webex Hizmetleri, Webex Platform Kimlik Hizmeti ve Kimlik sağlayıcı (IdP) arasındaki ileti akışı aşağıdaki gibidir.

1

https://admin.webex.com adresine gidin. SSO etkinleştirildiğinde uygulama tarafından bir e-posta adresi girmeniz istenecektir.

Uygulama, bilgileri Webex hizmetine gönderir ve böylece e-posta adresi doğrulanır.

2

Uygulama, belirteç almak üzere OAuth yetkilendirme sunucusuna bir GET isteği gönderir. İstek, SSO’ya yönelik kimlik hizmetine veya kullanıcı adı ve parola akışına yönlendirilir. Kimlik doğrulama sunucusu URL’si döndürülür.

GET isteğini izleme dosyasında görebilirsiniz.

Hizmet, parametreler bölümünde bir OAuth kodu, isteği gönderen kullanıcının e-posta adresinin yanı sıra ClientID, redirectURI ve Scope gibi diğer OAuth ayrıntılarını arar.

3

Webex Uygulaması, bir SAML HTTP POST öğesi kullanarak IdP’den SAML onay belgesi ister.

SSO etkinleştirildiğinde, kimlik hizmetindeki kimlik doğrulama motoru, SSO için IdP URL’sine yeniden yönlendirir. Meta veri alışverişi yapıldığında sağlanan IdP URL’si.

SAML POST iletisi için izleme aracını kontrol edin. IdPbroker tarafından istenen, IdP’ye yönelik HTTP POST iletisi görüyorsunuz.

RelayState parametresi, IdP’den alınan doğru yanıtı gösterir.

SAML isteğinin kod çözme sürümünü inceleyin. Talimat AuthN’i yoktur ve yanıtın hedefi IdP’nin hedef URL’sine gitmelidir. nameid-format biçiminin IdP’de doğru entityID (SPNameQualifier) altında doğru şekilde yapılandırıldığından emin olun

IdP nameid-format biçiminde belirtilir ve SAML sözleşmesi oluşturulduğunda sözleşmenin adı yapılandırılır.

4

Uygulamaya yönelik kimlik doğrulaması, işletim sistemi web kaynakları ile IdP arasında gerçekleşir.

IdP’nize ve IdP’de yapılandırılan kimlik doğrulama mekanizmalarına bağlı olarak, IdP, farklı akışlar başlatır.

5

Uygulama, kimlik hizmetine bir HTTP Gönderisi gönderir. Ayrıca IdP tarafından sağlanan ve ilk sözleşmede kabul edilen özellikleri içerir.

Uygulama, kimlik doğrulama başarılı olduğunda SAML POST iletisindeki bilgileri kimlik hizmetine gönderir.

RelayState, uygulamanın hangi EntityID’nin onaylama belgesini istediğini IdP’ye bildirdiği önceki HTTP POST iletisiyle aynıdır.

6

IdP’den alınan Webex SAML Onay Belgesi.

7

Kimlik hizmeti, bir OAuth erişimi ve yenileme belirteci ile değiştirilen bir yetkilendirme kodu alır. Bu belirteç, kullanıcı adına kaynaklara erişmek için kullanılır.

IdP’den alınan yanıtı doğruladıktan sonra Kimlik hizmeti, Webex Uygulamasının farklı Webex hizmetlerine erişmesine izin veren bir OAuth belirteci oluşturur.