已針對 Cisco Webex 組織與 Webex 使用者一起測試了下列網路存取管理和同盟解決方案。 下面連結的文件可逐步引導您瞭解如何將特定身分識別提供者 (IdP) 與 Webex 以及透過 Cisco Webex Control Hub 管理的 Webex 組織進行整合。


如果下面未列出 IdP,請使用本文中「SSO 設定」標籤中的高階步驟。

先前的指南涵蓋了託管在 Cisco Webex Control Hub (https://admin.webex.com) 中之 Webex 服務的 SSO 整合。 如果您正在尋找傳統 Webex 網站(託管在「網站管理」中)的 SSO 整合,請改用為 Cisco Webex 網站設定單一登入一文。

單一登入 (SSO) 可讓使用者透過向組織通用身分識別提供者 (IdP) 驗證,安全地登入 Cisco WebexCisco Webex 應用程式使用 Cisco Webex 服務與 Cisco Webex 平台身分識別服務進行通訊。 身分識別服務會使用您的身分識別提供者 (IdP) 驗證。

您將開始在 Cisco Webex Control Hub 中進行設定。 此部分會擷取用來整合協力廠商 IdP 的主要通用步驟。

對於 SSO 及 Cisco Webex Control Hub,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:

  • 將 NameID 格式屬性設定成 urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • 在 IdP 上設定宣告以包括 uid 屬性名稱和一個值,該值對映至在 Cisco Directory Connector 中選擇的屬性或符合在 Cisco Webex 身分服務中所選屬性的使用者屬性。 (例如,此屬性可為 E-mail-Addresses 或 User-Principal-Name。) 如需相關指引,請參閱 https://www.cisco.com/go/hybrid-services-directory 中的自訂屬性資訊。

  • 使用支援的瀏覽器: 我們建議使用最新版本的 Mozilla Firefox 或 Google Chrome。

  • 在瀏覽器中停用任何快顯封鎖程式。


該設定指南顯示 SSO 整合的特定範例,但不提供所有可能性的詳盡設定。 例如,會記錄 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的整合步驟。 諸如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 之類的其他格式將適用於 SSO 整合,但不在我們的文檔討論範圍之內。

您必須在 Cisco Webex 平台身分識別服務與您的 IdP 之間建立 SAML 協議。

您需要兩個檔案來達成成功的 SAML 協議。

這是 IdP 中具有中繼資料的 PingFederate 中繼資料檔案範例。

身分識別服務中的中繼資料檔案。

以下是您預期從身分識別服務的中繼資料檔案中看到的內容。

  • EntityID — 它用來識別 IdP 設定中的 SAML 協議

  • 已簽署 AuthN 請求或任何簽署聲明沒有需求,它符合 IdP 在中繼資料檔案中所請求的內容。

  • 用來驗證中繼資料之 IdP 的已簽署中繼資料檔案屬於身分識別服務。

1

https://admin.webex.com 的客戶檢視中,移至設定,然後捲動至驗證並按一下修改

2

選取整合協力廠商身分識別提供者。 (進階),然後按一下開始

3

按一下下載中繼資料檔案,然後按下一步

4

Cisco Webex 平台身分識別服務會驗證來自 IdP 的中繼資料檔。

從客戶 IdP 驗證中繼資料有兩種可能的方法:

  • 客戶 IdP 在中繼資料中提供一個由公用根 CA 簽署的簽章。

  • 客戶 IdP 提供一個自我簽署的專用 CA 或不為其中繼資料提供簽章。 此選項不太安全。

5

測試 SSO 連線,然後再啟用它。

6

如果測試成功,則啟用單一登入。

如果您遇到 SSO 整合問題,可以使用本節中的需求和程序來疑難排解 IdP 和 Cisco Webex 服務之間的 SAML 流程。

  • 使用適用於 FirefoxChrome 的 SAML 追蹤附加程式。

  • 若要進行疑難排解,請使用安裝了 SAML 追蹤除錯工具的 Web 瀏覽器,然後移至 Web 版本的 Cisco Webex 程式(位於 https://teams.webex.com)。

以下是 Cisco Webex 應用程式、Cisco Webex 服務、Cisco Webex 平台身分識別服務和身分識別提供者 (IdP) 之間的訊息流。

  1. 轉至 https://admin.webex.com,在啟用了 SSO 的情況下,應用程式會提示輸入電子郵件地址。
  2. 用戶端將 GET 請求傳送至 OAuth 授權伺服器以請求權杖。 該請求會被重新導向至身分識別服務,直至 SSO 或使用者名稱和密碼流程。 即會傳送驗證伺服器的 URL。
  3. Cisco Webex 會使用 SAML HTTP POST 從 IdP 請求 SAML 聲明。
  4. 會在作業系統 Web 資源與 IdP 之間驗證應用程式。
  5. Cisco Webex 會將 HTTP POST 傳回身分識別服務,並包括 IdP 提供的屬性以及在初始協議中同意的屬性。
  6. 從 IdP 至 Webex 的 SAML 聲明。
  7. 身分識別服務會接收取代為 Oauth 存取權與重新整理權杖的授權碼。 此權杖用來代表使用者存取資源。
1

轉至 https://admin.webex.com,在啟用了 SSO 的情況下,應用程式會提示輸入電子郵件地址。

應用程式將資訊傳送至 Cisco Webex 服務,而該服務會驗證電子郵件地址。

2

用戶端將 GET 請求傳送至 OAuth 授權伺服器以請求權杖。 該請求會被重新導向至身分識別服務,直至 SSO 或使用者名稱和密碼流程。 即會傳送驗證伺服器的 URL。

您可以在追蹤檔案中看到 GET 請求。

在參數區段中,服務會尋找 Oauth 代碼、已傳送請求的使用者電子郵件,以及其他 Oauth 詳細資料,例如 ClientID、redirectURI 和範圍。

3

Cisco Webex 會使用 SAML HTTP POST 從 IdP 請求 SAML 聲明。

啟用 SSO 之後,身分識別服務中的驗證引擎會重新導向至 IdP URL 進行 SSO。 交換中繼資料時提供的 IdP URL。

檢查追蹤工具中是否有 SAML POST 訊息。 您會看到向 IdPbroker 所請求的 IdP 顯示一則 HTTP POST 訊息。

RelayState 參數顯示來自 IdP 的正確回覆。

檢閱 SAML 請求的解碼版本,不存在必要的 AuthN,且答案的目的地應該移至 IdP 的目的地 URL。 確保已在 IdP 中的正確 entityID (SPNameQualifier) 之下正確設定 nameid-format

IdP nameid-format 已指定,且已在建立 SAML 協議時配置協議名稱。

4

會在作業系統 Web 資源與 IdP 之間驗證應用程式。

根據您的 IdP 以及在 IdP 中設定的驗證機制,會從 IdP 啟動不同的流程。

5

Cisco Webex 會將 HTTP POST 傳回身分識別服務,並包括 IdP 提供的屬性以及在初始協議中同意的屬性。

成功驗證後,Cisco Webex 會將 SAML POST 訊息中的資訊傳送至身分識別服務。

RelayState 與先前的 HTTP POST 訊息相同,其中應用程式告知 IdP 哪個 EntityID 正在請求聲明。

6

從 IdP 至 Webex 的 SAML 聲明。

7

身分識別服務會接收取代為 Oauth 存取權與重新整理權杖的授權碼。 此權杖用來代表使用者存取資源。

身分識別服務會驗證來自 IdP 的回答,它們發出 OAuth 權杖以允許 Cisco Webex 存取不同的 Cisco Webex 雲端服務。