以下 Web 访问管理和联合解决方案已通过用于 Cisco Webex 组织(有 Webex 用户)的测试。 下面链接的文档将向您逐步展示如何将特定身份提供程序 (IdP) 与 Webex 和通过 Cisco Webex 控制中心管理的 Webex 组织集成。


如果下面没有列出您的 IdP,可采用本文章中“SSO 设置”标签页中的主要步骤。

前述指南中涵盖了在 Cisco Webex 控制中心中管理的 Webex 服务的 SSO 集成 (https://admin.webex.com)。 如果您正在查找经典 Webex 站点(在站点管理中管理)的 SSO 集成,就要参考配置 Cisco Webex 站点的单点登录文章。

通过单点登录 (SSO),用户能够向组织的公共身份提供程序 (IdP) 进行验证,从而安全登录 Cisco WebexCisco Webex 使用 Cisco Webex 服务与 Cisco Webex 平台标识服务通信。 标识服务使用身份提供程序 (IdP) 进行验证。

您将开始在 Cisco Webex 控制中心中配置。 本部分描述集成第三方 IdP 的主要通用步骤。

对于 SSO 和 Cisco Webex 控制中心,IdP 必须遵循 SAML 2.0 规范。 此外,IdP 必须按以下方式进行配置:

  • 将“NameID 格式”属性设置为 urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • 配置 IdP 声明,包括 uid 属性名称,其值要映射到在 Cisco 目录连接器中选择的属性或者映射到用户属性,而用户属性应与 Cisco Webex 身份服务中选择的用户属性匹配。 (例如,该属性可以是电子邮件地址,也可以是用户主体名称。) 请参阅 https://www.cisco.com/go/hybrid-services-directory 中的自定义属性信息获取指导。

  • 使用受支持的浏览器。 我们建议使用最新版本的 Mozilla Firefox 或 Google Chrome。

  • 禁止浏览器中的任何弹出式窗口拦截器。


配置指南给出了 SSO 集成的特定示例,但没有提供针对所有可能性的详细配置。 例如,记录了 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的集成步骤。 其他格式如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 也适用于 SSO 集成,但不在我们的文档范围内。

您必须在 Cisco Webex 平台标识服务与 IdP 之间建立 SAML 协议。

要想成功建立 SAML 协议,您需要两个文件。

以下是从 IdP 取得元数据的 PingFederate 元数据文件的示例。

标识服务元数据文件。

以下是您会看到的标识服务元数据文件的内容。

  • EntityID - 这用于识别 IdP 配置中的 SAML 协议

  • 无需签署 AuthN 请求或任何签署断言,它符合元数据文件中的 IdP 请求。

  • 签署的 IdP 元数据文件,用于验证该元数据是否属于标识服务。

1

https://admin.webex.com 中的客户视图,进入“设置”,然后滚动到“验证”并单击“修改”

2

单击集成第三方身份提供程序。 (高级),然后单击开始

3

单击下载元数据文件,然后单击下一步

4

Cisco Webex 平台标识服务可验证来自 IdP 的元数据文件。

有两种可能的方式可以对客户 IdP 的元数据进行验证:

  • 客户 IdP 在元数据中提供由公共根 CA 签发的签名。

  • 客户 IdP 提供自签名的私有 CA 或不提供元数据的签名。 该选项相对而言不太安全。

5

请在启用之前对 SSO 连接进行测试。

6

如果测试成功,请启用单点登录。

如果您遇到 SSO 集成问题,可按照本部分介绍的要求和步骤对 IdP 与 Cisco Webex 服务之间的 SAML 流进行故障诊断。

  • FirefoxChrome 使用 SAML 跟踪插件。

  • 要进行故障诊断,请使用安装了 SAML 跟踪调试工具的 Web 浏览器并转至 Web 版本的 Cisco Webex(网址为 https://teams.webex.com)。

以下是 Cisco WebexCisco Webex 服务、Cisco Webex 平台标识服务和身份提供程序 (IdP) 之间的消息流。

  1. 请转至 https://admin.webex.com;启用 SSO 时,应用程序会提示输入电子邮件地址。
  2. 客户端向 OAuth 授权服务器发送 GET 请求,申请令牌。 该请求被重定向至标识服务进行 SSO,或进入用户名和密码流。 系统将返回验证服务器的 URL。
  3. Cisco Webex 会利用 SAML HTTP POST 向 IdP 请求 SAML 断言。
  4. 应用程序的验证发生在操作系统 Web 资源与 IdP 之间。
  5. Cisco Webex 会将 HTTP Post 发送回标识服务,其中包含由 IdP 提供并在初始协议中达成一致的属性。
  6. 从 IdP 至 Webex 的 SAML 断言。
  7. 标识服务接收被替换为 OAuth 访问和刷新令牌的授权码。 该令牌用于代表用户来访问相关资源。
1

请转至 https://admin.webex.com;启用 SSO 时,应用程序会提示输入电子邮件地址。

该应用程序会向 Cisco Webex 服务发送信息,后者将对电子邮件地址进行验证。

2

客户端向 OAuth 授权服务器发送 GET 请求,申请令牌。 该请求被重定向至标识服务进行 SSO,或进入用户名和密码流。 系统将返回验证服务器的 URL。

您可以在跟踪文件中看到 GET 请求。

在参数部分中,服务会查找 OAuth 代码、请求发送者的电子邮件及其他 Oauth 详细信息,例如 ClientID、redirectURI 和 Scope。

3

Cisco Webex 会利用 SAML HTTP POST 向 IdP 请求 SAML 断言。

启用 SSO 时,标识服务中的验证引擎将重定向到 IdP URL 进行 SSO。 交换元数据时提供的 IdP URL。

检查跟踪工具中的 SAML POST 消息。 您会看到 IdPbroker 所请求的 IdP 的 HTTP POST 消息。

RelayState 参数显示 IdP 的回复是正确的。

检查 SAML 请求的解码版本;此处没有强制 AuthN,应答的目的地应转至 IdP 的目标 URL。 确保在相应 entityID (SPNameQualifier) 下的 IdP 中已正确配置 nameid-format

创建 SAML 协议时,已指定 IdP nameid-format 并配置了协议的名称。

4

应用程序的验证发生在操作系统 Web 资源与 IdP 之间。

取决于您的 IdP 以及 IdP 中配置的验证机制,IdP 将会启动不同的流。

5

Cisco Webex 会将 HTTP Post 发送回标识服务,其中包含由 IdP 提供并在初始协议中达成一致的属性。

验证成功后,Cisco Webex 会通过 SAML POST 消息向标识服务发送信息。

RelayState 与之前的 HTTP POST 消息相同。从中,应用程序会告诉 IdP 哪个 EntityID 在请求断言。

6

从 IdP 至 Webex 的 SAML 断言。

7

标识服务接收被替换为 OAuth 访问和刷新令牌的授权码。 该令牌用于代表用户来访问相关资源。

在标识服务验证完 IdP 的应答后,它们会发出 OAuth 令牌,从而允许 Cisco Webex 访问不同的 Cisco Webex 云服务。