إذا كان لديك موفر التعريف الخاص بك في مؤسستك، فيمكنك دمج موفر تعريف SAML مع مؤسستك في Control Hub لتسجيل الدخول الفردي. يتيح تسجيل الدخول الفردي لمستخدميك استخدام مجموعة واحدة مشتركة من بيانات الاعتماد لاستخدامات تطبيق Webex وغيرها من الاستخدامات الأخرى في مؤسستك.
تم اختبار إدارة الوصول إلى الويب وحلول الاتحاد التالية لمؤسسات Webex. يمكنك من خلال الوثائق المرتبطة أدناه استعراض كيفية دمج موفر التعريف المُحدَّد بمؤسسة Webex الخاصة بك.
 | تغطي هذه الأدلة دمج تسجيل الدخول الفردي لخدمات Webex التي تتم إدارتها في Control Hub ( https://admin.webex.com). إذا كنت تبحث عن دمج تسجيل الدخول الفردي لموقع Webex Meetings (تتم إدارته في إدارة الموقع)، تفضل بقراءة تكوين تسجيل الدخول الفردي لموقع Cisco Webex. |
إذا كان يتعذَّر عليك العثور على موفر التعريف الخاص بك فيما يلي، يمكنك اتباع الخطوات عالية المستوى في علامة التبويب إعداد تسجيل الدخول الفردي الواردة في هذه المقالة.
يُتيح تسجيل الدخول الفردي (SSO) للمستخدمين تسجيل الدخول إلى Webex بأمان من خلال المصادقة على موفر التعريف المشترك لمؤسستك (IdP). يستخدم تطبيق Webex خدمة Webex للاتصال بخدمة Webex Platform Identity. يتم المصادقة على خدمة التعريف باستخدام موفر التعريف.
يمكنك بدء التكوين في Control Hub. يتناول هذا القسم خطوات عامة عالية المستوى لدمج موفر التعريف التابع لجهة خارجية.
| عندما تقوم بتكوين تسجيل الدخول الفردي باستخدام موفر التعريف الخاص بك، يمكنك تعيين أي سمة إلى معرف المستخدم. على سبيل المثال، يمكنك تعيين userPrincipalName أو اسم مستعار للبريد الإلكتروني أو عنوان بريد إلكتروني بديل أو أي سمة مناسبة أخرى لمعرف المستخدم. يجب أن يطابق موفر التعريف أحد عناوين البريد الإلكتروني للمستخدم مع معرف المستخدم عند تسجيل الدخول. تدعم Webex تعيين ما يصل إلى 5 عناوين بريد إلكتروني إلى معرف المستخدم. |
فيما يتعلَّق بتسجيل الدخول الفردي وControl Hub، يجب أن يتوافق موفرو التعريف مع مواصفات لغة توصيف تأكيد الأمان 2.0 (SAML). بالإضافة إلى ذلك، يجب تكوين موفري التعريف بالطريقة التالية:
تعيين السمة NameID Format على: urn:oasis:names:tc:SAML:2.0:nameid-format:transient
تكوين مطالبة على موفر التعريف وفقًا لنوع تسجيل الدخول الفردي الذي تقوم بنشره:
تسجيل الدخول الفردي (لمؤسسة) - إذا كنت تقوم بتكوين تسجيل الدخول الفردي نيابةً عن مؤسسة ما، يتعيَّن تكوين مطالبة موفر التعريف لتضمين اسم سمة معرف المستخدم بقيمة يتم تعيينها للسمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex. (قد تكون هذه السمة، على سبيل المثال، عناوين البريد الإلكتروني أو اسم المستخدم الأساسي).
تسجيل الدخول الفردي للشريك (لمزودي الخدمة فقط) — إذا كنت مسؤولًا عن مزود الخدمة، وتقوم بتكوين تسجيل الدخول الفردي للشريك لتستخدمه مؤسسات العملاء التي يتولى مزود الخدمة إدارتها، يتعيَّن عليك تكوين مطالبة موفر التعريف لتضمين سمة البريد (بدلًا من معرف المستخدم). يجب تعيين القيمة إلى السمة التي يتم اختيارها في موصل الدليل، أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex.
للحصول على مزيد من المعلومات حول تعيين السمات المُخصَّصة إما لتسجيل الدخول الفردي أو تسجيل الدخول الفردي للشريك، ارجع إلى https://www.cisco.com/go/hybrid-services-directory.
تسجيل الدخول الفردي للشريك فقط. يجب أن يدعم موفر الهوية عدة عناوين URL لخدمة تأكيد المستهلك (ACS). للحصول على أمثلة حول كيفية تكوين عدة عناوين URL لخدمة تأكيد المستهلك على موفر الهوية، ارجع إلى:
استخدام متصفح مدعوم: نوصي باستخدام أحدث إصدار من Mozilla Firefox أو Google Chrome.
قم بتعطيل أي أدوات تمنع النوافذ المنبثقة في متصفحك.
| تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، خطوات الدمج في شأن |
يجب عليك إنشاء اتفاقية SAML بين خدمة Webex Platform Identity وموفر التعريف الخاص بك.
يجب عليك توفير ملفين للحصول على اتفاقية SAML ناجحة:
ملف بيانات تعريف من موفر التعريف لتقديمه إلى Webex.
ملف بيانات تعريف من Webex لتقديمه إلى موفر التعريف.
هذا مثالٌ على ملف بيانات تعريف PingFederate به بيانات تعريف من موفر التعريف.
ملف بيانات تعريف من خدمة الهوية.
يرد فيما يلي ما تتوقَّع رؤيته في ملف بيانات التعريف من خدمة الهوية.
EntityID — يتم استخدامه لتعريف اتفاقية SAML في تكوين موفر التعريف
لا توجد متطلبات لطلب AuthN موقَّع أو أي تأكيدات توقيع، وإنما يتوافق مع ما يطلبه موفر التعريف في ملف بيانات التعريف.
ملف بيانات تعريف موقَّع لموفر التعريف للتحقُّق من أن بيانات التعريف تنتمي إلى خدمة التعريف.
| 1 | من عرض العميل في Control Hub ( https://admin.webex.com)، انتقل إلى ، قم بالتمرير إلى المصادقة وتشغيل الإعداد تسجيل الدخول الفردي لبدء معالج التكوين. | ||
| 2 | اختر نوع الشهادة:
| ||
| 3 | انقر على تنزيل بيانات التعريف وانقر على التالي. | ||
| 4 | تتحقَّق خدمة Webex Platform Identity من ملف بيانات التعريف من موفر التعريف. هناك طريقتان محتملتان للتحقُّق من صحة بيانات التعريف من موفر هوية العميل:
| ||
| 5 | اختبار اتصال تسجيل الدخول الفردي قبل تمكينه. تعمل هذه الخطوة مثل التشغيل التجريبي، ولا تؤثر على إعدادات مؤسستك حتى تقوم بتمكين تسجيل الدخول الفردي في الخطوة التالية.
| ||
| 6 | في حال نجاح الاختبار، فقم بتسجيل الدخول الفردي وحفظ التغييرات. يجب عليك حفظ تغييرات تسجيل الدخول الفردي ليصبح ساري المفعول في مؤسستك. |
سواء تلقَّيت إشعارًا بانتهاء صلاحية الشهادة، أو كنت ترغب في التحقق من تكوين الدخول الفردي الحالي، يمكنك استخدام ميزات إدارة تسجيل الدخول الفردي في Control Hub لإدارة الشهادات وأنشطة صيانة تسجيل الدخول الفردي العامة.
في حال مواجهة مشكلة في دمج تسجيل الدخول الفردي، ما عليك سوى استخدام المتطلبات والإجراءات الواردة في هذا القسم لاستكشاف أخطاء تدفق SAML بين موفر التعريف وWebex وإصلاحها.
استخدم الوظيفة الإضافية لتتبع SAML لمتصفح Firefox أو Chrome.
لاستكشاف الأخطاء وإصلاحها، استخدم متصفح الويب الذي قمت بتثبيت أداة تعقب وتصحيح أخطاء SAML باستخدامه، وانتقل إلى إصدار الويب من Webex على https://web.webex.com.
يرد فيما يلي تدفق الرسائل بين تطبيق Webex وخدمات Webex وخدمة هوية منصة Webex وموفر التعريف.
| 1 | انتقل إلى https://admin.webex.com، ومع تمكين تسجيل الدخول الفردي، سيطلب التطبيق منك تقديم عنوان بريد إلكتروني.
 يرسل التطبيق المعلومات إلى خدمة Webex التي تتحقَّق بدورها من عنوان البريد الإلكتروني.
|
| 2 | يرسل التطبيق طلب GET إلى خادم مصادقة OAuth للحصول على رمز. يتم إعادة توجيه الطلب إلى خدمة الهوية مرورًا بتسجيل الدخول الفردي أو اسم المستخدم وكلمة المرور. يتم إرجاع عنوان URL لخادم المصادقة.  يمكنك رؤية طلب GET في ملف التتبع.
في قسم المعلمات، تبحث الخدمة عن رمز OAuth، والبريد الإلكتروني للمستخدم الذي أرسل الطلب، وتفاصيل OAuth الأخرى مثل ClientID وredirectURI وScope.
|
| 3 | يطلب تطبيق Webex تأكيد SAML من موفر التعريف باستخدام SAML HTTP POST.
عند تمكين تسجيل الدخول الفردي، يعمل محرك المصادقة الموجود في خدمة التعريف على إعادة التوجيه إلى عنوان URL لموفر التعريف من أجل تسجيل الدخول الفردي. يتم توفير عنوان URL لموفر التعريف عند تبادل بيانات التعريف.
تحقَّق من أداة التتبع بحثًا عن رسالة SAML POST. تظهر لك رسالة قائمة بروتوكول نقل النص الفائق إلى موفر التعريف المطلوبة من IdPbroker.
تُظهر معلمة RelayState الرد الصحيح من موفر التعريف.
راجع إصدار فك تشفير طلب SAML، بحيث لا يكون هناك أي تفويض للمصادقة، ويجب أن تنتقل وجهة الرد إلى عنوان URL الخاص بوجهة موفر التعريف. تأكَّد من تكوين تنسيق Nameid بشكل صحيح في موفر التعريف ضمنentityID (SPNameQualifier) الصحيح
يتم تحديد تنسيق nameid الخاص بموفر التعريف، وتكوين اسم الاتفاقية عند إنشاء اتفاقية SAML. |
| 4 | يتم منح مصادقة التطبيق بين موارد الويب الخاصة بنظام التشغيل وموفر التعريف.
اعتمادًا على موفر التعريف الخاص بك وآليات المصادقة التي يتم تكوينها في موفر التعريف، يتم بدء التدفقات المختلفة من موفر التعريف.
|
| 5 | يرسل التطبيق SAML POST مرة أخرى إلى خدمة التعريف، ويتضمَّن السمات التي يقدمها موفر التعريف والمتفق عليها في الاتفاقية الأوَّلية.
عند نجاح المصادقة، يرسل التطبيق المعلومات الموجودة في رسالة SAML POST إلى خدمة الهوية.
تُعد RelayState هي ذاتها رسالة HTTP POST السابقة، حيث يخبر التطبيق موفر التعريف عن EntityID الذي يطلب التأكيد.
|
| 6 | تأكيد لغة توصيف تأكيد الأمان من موفر التعريف إلى Webex.
|
| 7 | تتلقَّى خدمة الهوية رمز التفويض الذي يتم استبداله برمز وصول OAuth والتحديث. يتم استخدام هذا الرمز للوصول إلى الموارد نيابة عن المستخدم.
بعد أن تتحقَّق خدمة التعريف من صحة الإجابة من موفر التعريف، فإنها تصدر رمز مصادقة OAuth الذي يسمح لتطبيق Webex بالوصول إلى خدمات Webex المختلفة.
|
