Дякуємо за відгук.
Інтеграція єдиного входу в Control Hub
Надіслати відгук?До інтеграції єдиного входу (SSO) Webex використовує базову автентифікацію за замовчуванням. Базова автентифікація вимагає від користувачів вводити своє ім’я користувача та пароль Webex щоразу під час входу. Якщо у вашій організації є власний постачальник ідентифікаційних даних (IdP), ви можете інтегрувати його зі своєю організацією в Control Hub для єдиного входу (SSO). SSO дозволяє вашим користувачам використовувати єдиний, загальний набір облікових даних для програм Webex у вашій організації.
Якщо ви надаєте перевагу базовій автентифікації, вам не потрібно нічого робити. Однак врахуйте, що базова автентифікація може бути менш безпечною та менш зручною для користувачів, ніж єдиний вхід (SSO), особливо якщо ваша організація вже використовує постачальника ідентифікаційних даних (IdP). Для посиленої безпеки за допомогою базової автентифікації ми рекомендуємо використовувати багатофакторну автентифікацію (MFA) у Центрі керування. Для отримання додаткової інформації див. Увімкнення інтеграції багатофакторної автентифікації в Control Hub.
Наведені далі рішення федерації та керування вебдоступом було протестовано для організацій Webex. У документах, посилання на які наведено нижче, описано способи інтеграції конкретних постачальників посвідчень (IdP) з вашою організацією Webex.
У цих посібниках розглянуто питання інтеграції SSO для служб Webex, якими керують у Control Hub (https://admin.webex.com). Якщо вам потрібна інтеграція SSO для вебсайту Webex Meetings (яким керують у службі адміністрування вебсайту), прочитайте статтю Налаштування єдиного входу для вебсайту Cisco Webex.
Якщо ви хочете налаштувати єдиний вхід (SSO) для кількох постачальників ідентифікаційних даних у вашій організації, див. статтю Єдиний вхід (SSO) з кількома постачальниками ідентифікаційних даних у Webex.
Якщо ваш IdP не зазначено в списку нижче, виконайте загальні інструкції, описані на вкладці Налаштування SSO в цій статті.
Єдиний вхід (SSO) дає змогу користувачам безпечно входити до Webex за допомогою автентифікації загального постачальника посвідчень (IdP) вашої організації. Для зв’язку зі службою ідентифікації платформи Webex програма Webex використовує службу Webex. Служба ідентифікації виконує автентифікацію за допомогою постачальника посвідчень (IdP).
Налаштування конфігурації починається в Control Hub. У цьому розділі описано загальні дії для інтеграції стороннього IdP.
Під час налаштування SSO з IdP з uid можна зіставити будь-який атрибут. Наприклад, з uid можна зіставити userPrincipalName, псевдонім електронної пошти, альтернативну адресу електронної пошти або будь-який інший відповідний атрибут. Під час входу IdP має зіставити одну з адрес електронної пошти користувача з uid. Webex підтримує зіставлення uid максимум із 5 адресами електронної пошти.
Ми рекомендуємо включити єдиний вихід (SLO) до конфігурації метаданих під час налаштування федерації Webex SAML. Цей крок є вирішальним для забезпечення того, щоб токени користувача були анульовані як у постачальника ідентифікації (IdP), так і у постачальника послуг (SP). Якщо це налаштування не виконує адміністратор, Webex сповіщає користувачів про необхідність закрити браузери, щоб анулювати будь-які відкриті сеанси.
У разі використання SSO й Control Hub IdP мають відповідати вимогам специфікації SAML 2.0. Крім того, потрібно виконати налаштування IdP з урахуванням наведеного нижче.
-
Встановіть атрибут NameID Format на urn:oasis:names:tc:SAML:2.0:nameid-format:тимчасовий
-
Налаштуйте запит IdP відповідно до типу SSO, що розгортається.
-
SSO (для організації). У разі налаштування SSO від імені організації налаштуйте запит IdP так, щоб він містив ім’я атрибута uid зі значенням, зіставленим з атрибутом, вибраним у з’єднувачі каталогів, або атрибутом користувача, що відповідає вибраному атрибуту в службі ідентифікації Webex. (Наприклад, таким атрибутом може бути E-mail-Addresses або User-Principal-Name.)
-
Партнерський SSO (лише для постачальників послуг). Адміністратору постачальника послуг у разі налаштування партнерського SSO для використання клієнтськими організаціями, якими керує цей постачальник послуг, потрібно налаштувати запит IdP так, щоб він містив атрибут mail (а не uid). Значення має бути зіставлено з атрибутом, вибраним у з’єднувачі каталогів, або з атрибутом користувача, який відповідає атрибуту, вибраному в службі ідентифікації Webex.
Додаткову інформацію про зіставлення користувацьких атрибутів для SSO або партнерського SSO див. на вебсайті https://www.cisco.com/go/hybrid-services-directory.
-
-
Тільки для партнерського SSO. Постачальник посвідчень повинен підтримувати використання кількох URL служби підтвердження користувачів (ACS). Приклади налаштування кількох URL ACS для постачальника посвідчень див. в наведених далі документах.
-
Скористайтеся підтримуваним браузером. Рекомендовано використовувати останню версію Mozilla Firefox або Google Chrome.
-
Вимкніть блокування спливаючих вікон у браузері.
У посібниках із налаштування не описується налаштування всіх можливих конфігурацій, а наведено лише конкретний приклад інтеграції SSO. Наприклад, кроки інтеграції для nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient задокументовані. Інші формати, такі як urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, працюватимуть для інтеграції SSO, але вони виходять за рамки нашої документації.
Ви повинні укласти угоду SAML між службою ідентифікації платформи Webex і вашим IdP.
Для успішного укладення угоди SAML потрібно два файли:
-
файл метаданих від IdP, який потрібно надати Webex;
-
файл метаданих від Webex, який потрібно надати IdP.
Нижче наведено приклад файлу метаданих PingFederate з метаданими від IdP.
Файл метаданих від служби ідентифікації.
Нижче наведено очікуваний результат, який відображається у файлі метаданих від служби ідентифікації.
-
Ідентифікатор EntityID використовується для ідентифікації угоди SAML у конфігурації IdP.
-
Підписаний запит AuthN або інші підтвердження підпису не потрібні. Дані відповідають відомостям, які запитує IdP у файлі метаданих.
-
Підписаний файл метаданих для IdP використовується для перевірки того, чи метадані належать службі ідентифікації.
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейти до . |
| 3 |
Перейдіть на вкладку Постачальник ідентифікаційних даних та натисніть Активувати єдиний вхід. |
| 4 |
Виберіть Webex як свого постачальника ідентифікаційних даних і натисніть Далі. |
| 5 |
Поставте позначку Я прочитав(-ла) і зрозумів(-ла), як працює Webex IdP та натисніть Далі. |
| 6 |
Налаштуйте правило маршрутизації. Після додавання правила маршрутизації ваш постачальник ідентифікаційних даних буде додано та відображено на вкладці Постачальник ідентифікаційних даних.
Для отримання додаткової інформації див. SSO з кількома постачальниками ідентифікаційних даних у Webex.
|
Для керування сертифікатами й виконання загальних дій з обслуговування SSO використовуйте функції керування єдиним входом (SSO) у Control Hub. Це може знадобитися в разі отримання повідомлення про закінчення терміну дії сертифіката або за потреби перевірити наявну конфігурацію SSO.
У разі виникнення проблем з інтеграцією SSO скористайтесь описаними в цьому розділі вимогами й процедурою, щоб виправити неполадки, пов’язані з виконанням процесу SAML між вашим IdP та службою Webex.
-
Використовуйте доповнення SAML tracer для Firefox, Chromeабо Edge.
-
Для виправлення неполадок скористайтеся веббраузером, у якому встановлено інструмент налагодження трасування SAML, і перейдіть до вебверсії Webex за адресою https://web.webex.com.
Нижче наведено процес обміну повідомленнями між програмою Webex, службами Webex, службою ідентифікації платформи Webex і постачальником посвідчень (IdP).
| 1 |
Перейдіть на вебсайт https://admin.webex.com. Якщо SSO ввімкнено, програма запитає адресу електронної пошти.
 Програма надішле інформацію до служби Webex, яка перевірить адресу електронної пошти.
|
| 2 |
Програма надішле запит GET на сервер авторизації OAuth для отримання маркера. Запит буде переспрямовано до служби ідентифікації для виконання SSO або введення імені користувача й пароля. Буде повернено URL для сервера автентифікації. Запит GET відобразиться у файлі трасування.
У розділі параметрів служба виконає пошук коду OAuth, адреси електронної пошти користувача, який надіслав запит, а також інших даних OAuth, як-от ідентифікатор клієнта, ідентифікатор URI для переспрямування та область.
|
| 3 |
Програма Webex виконає запит підтвердження SAML від IdP, використовуючи параметр SAML HTTP POST.
Якщо ввімкнено SSO, модуль автентифікації в службі ідентифікації переспрямує запит на URL IdP для виконання SSO. URL IdP надається під час обміну метаданими.
Перевірте повідомлення SAML POST в інструменті трасування. Нижче відображено повідомлення HTTP POST для IdP, запитане службою IdPbroker.
Параметр RelayState відображає правильну відповідь від IdP.
Перегляньте розшифровану версію запиту SAML. Вимоги щодо AuthN відсутні, тому призначення відповіді має бути переадресовано на URL призначення IdP. Переконайтеся, що формат NameID правильно налаштовано в IdP для правильного значення EntityID (SPNameQualifier)
Визначення формату NameID IdP й налаштування назви угоди виконується під час створення угоди SAML. |
| 4 |
Автентифікація програми відбувається між вебресурсами операційної системи й IdP.
Залежно від IdP й налаштованих ним механізмів автентифікації постачальник посвідчень запускає різні процеси.
|
| 5 |
Програма надішле повідомлення HTTP Post назад до служби ідентифікації і додасть атрибути, надані IdP й узгоджені в початковій угоді.
У разі успішної автентифікації програма надішле до служби ідентифікації інформацію в повідомленні SAML POST.
Параметр RelayState збігається з попереднім повідомленням HTTP POST, у якому програма повідомляє IdP про те, який ідентифікатор EntityID запитує підтвердження.
|
| 6 |
Підтвердження SAML, надіслане IdP до Webex.
|
| 7 |
Код авторизації, отриманий службою ідентифікації, замінюється маркером доступу й оновлення OAuth. Цей маркер використовується для доступу до ресурсів від імені користувача.
Після того як служба ідентифікації перевірить відповідь від IdP, буде випущено маркер OAuth, завдяки якому програма Webex матиме доступ до різних служб Webex.
|
