Следните решения за управление на уеб достъп и федериране бяха тествани за Webex организации.Документите, свързани по-долу, ви превеждат през това как да интегрирате този конкретен доставчик на самоличност (IdP) с вашата Webex организация.


 

Тези ръководства обхващат SSO интеграция за Webex услуги, които се управляват в Control Hub ( https://admin.webex.com).Ако търсите SSO интеграция на сайт за срещи на Webex (управляван в администрацията на сайта), прочетете Конфигуриране на еднократна идентификация за сайтана Cisco Webex.

Ако не виждате вашия IdP в списъка по-долу, следвайте стъпките на високо ниво в раздела "Настройка на SSO" в тази статия.

Еднократна идентификация (SSO) позволява на потребителите да влизат в Webex сигурно, като удостоверяват пред вашата организация общ доставчик на самоличност (IdP).Приложението Webex използва услугата Webex, за да комуникира с услугата за идентичност на платформата Webex.Услугата за самоличност се удостоверява с вашия доставчик на самоличност (IdP).

Стартирате конфигурацията в контролния център.Този раздел улавя общи стъпки на високо ниво за интегриране на IdP на трета страна.


 
Когато конфигурирате SSO с вашия IdP, можете да нанесете всеки атрибут на uid.Например, картографирайте потребителяPrincipalName, имейл псевдоним, алтернативен имейл адрес или друг подходящ атрибут на uid.IdP трябва да съпостави един от имейл адресите на потребителя с uid при влизане.Webex поддържа картографиране на до 5 имейл адреса към uid.

За SSO и Control Hub, IdPs трябва да отговаря на спецификацията SAML 2.0.Освен това IdPs трябва да бъдат конфигурирани по следния начин:

  • Задайте атрибута NameID формат на urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Конфигуриране на иск в IdP според типа SSO, който разгръщате:

    • SSO (за организация) – Ако конфигурирате SSO от името на организация, конфигурирайте претенцията IdP да включва името на атрибута uid със стойност, която е съпоставена с атрибута, избран в конектора на директорията, или потребителския атрибут, който съответства на този, който е избран в услугата за самоличност Webex.(Този атрибут може да бъде E-mail-Addresses или User-Principal-Name, например.)

    • Партньорски SSO (само за доставчици на услуги) – Ако сте администратор на доставчик на услуги, който конфигурира SSO на партньор да се използва от клиентските организации, които доставчикът на услуги управлява, конфигурирайте претенцията за IdP да включва атрибута за поща (а не uid ).Стойността трябва да съответства на атрибута, който е избран в конектора на директорията, или на потребителския атрибут, който съответства на този, който е избран в услугата за самоличност Webex.


     

    За повече информация относно съпоставянето на потребителски атрибути за SSO или Partner SSO вж. https://www.cisco.com/go/hybrid-services-directory

  • Само партньор SSO.Доставчикът на самоличност трябва да поддържа множество URL адреси на Assertion Consumer Service (ACS).За примери как да конфигурирате няколко URL адреса на ACS на доставчик на самоличност, вижте:

  • Използване на поддържан браузър:препоръчваме най-новата версия на Mozilla Firefox или Google Chrome.

  • Деактивирайте всички блокиращи изскачащи прозорци в браузъра си.


 

Ръководствата за конфигуриране показват конкретен пример за интеграция на SSO, но не осигуряват изчерпателна конфигурация за всички възможности.Например, интеграционните стъпки за nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient са документирани.Други формати като urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ще работи за интеграция на SSO, но са извън обхвата на нашата документация.

Трябва да установите SAML споразумение между услугата за идентичност на платформата Webex и вашия IdP.

Имате нужда от два файла, за да постигнете успешно споразумение за SAML:

  • Файл с метаданни от IdP, който да се даде на Webex.

  • Файл с метаданни от Webex, който да се даде на IdP.

Това е пример за файл с метаданни на PingFederate с метаданни от IdP.

Файл с метаданни от услугата за самоличност.

По-долу е това, което очаквате да видите във файла с метаданни от услугата за самоличност.

  • EntityID – Това се използва за идентифициране на SAML споразумението в конфигурацията на IdP

  • Няма изискване за подписана заявка за AuthN или каквито и да било твърдения за знаци, тя отговаря на това, което IdP изисква във файла с метаданни.

  • Подписан файл с метаданни за IdP, за да се провери дали метаданните принадлежат към услугата за самоличност.

1

От изгледа за клиент в Control Hub ( https://admin.webex.com), отидете на Настройкиза управление > организация, превъртете до Удостоверяване и превключете настройката Еднократна идентификация , за да стартирате съветника за конфигуриране.

2

Изберете вида на сертификата:

  • Самостоятелно подписано от Cisco– Препоръчваме ви да изберете тази опция, за да ни позволите да станем SP.Също така, трябва само да подновявате сертификата на всеки пет години.
  • Подписано от публичен сертифициращ орган– Тази опция е сигурна и препоръчителна, ако получите сертификатите си, подписани от публичен CA като Hydrant или Godaddy.Трябва обаче да подновявате сертификата веднъж годишно.
3

Щракнете върху Изтегляне на метаданни и щракнете върху Напред.

4

Услугата Webex Platform Identity валидира файла с метаданни от IdP.

Има два възможни начина за валидиране на метаданните от клиентския идентификатор:

  • Customer IdP предоставя подпис в метаданните, подписани от публичен корен CA.

  • Customer IdP предоставя самоподписан частен CA или не предоставя подпис за техните метаданни.Тази опция е по-малко сигурна.

5

Тествайте SSO връзката, преди да я разрешите.Тази стъпка работи като сухо изпълнение и не влияе на настройките на вашата организация, докато не разрешите SSO в следващата стъпка.


 

За да видите директно практическата работа при влизане в SSO, можете също да щракнете върху Копиране на URL адреса в клипборда от този екран и да го поставите в частен прозорец на браузъра.От там можете да преминете през влизане със SSO.Това помага да премахнете всяка информация, кеширана във вашия уеб браузър, която може да осигури фалшив положителен резултат при тестване на вашата SSO конфигурация.

6

Ако тестът е успешен, обърнете SSO и запишете промените.

Трябва да запишете промените, за да може SSO да влезе в сила във вашата организация.

Независимо дали сте получили известие за изтичащ сертификат, или искате да проверите съществуващата си конфигурация на SSO, можете да използвате функциите за управление на еднократна идентификация (SSO) в Control Hub за управление на сертификати и общи дейности по поддръжка на SSO.

Ако срещнете проблеми с вашата SSO интеграция, използвайте изискванията и процедурата в този раздел, за да отстраните проблема със SAML потока между вашия IdP и Webex.

  • Използвайте добавката за проследяване на SAML за Firefox или Chrome.

  • За да отстраните неизправности, използвайте уеб браузъра, където сте инсталирали инструмента за отстраняване на грешки в SAML trace, и отидете на уеб версията на Webex в https://web.webex.com.

По-долу е потокът от съобщения между приложението Webex, услугите на Webex, услугата за идентичност на платформата Webex и доставчика на самоличност (IdP).

1

Отидете и https://admin.webex.com с активиран SSO приложението подканва за имейл адрес.

Приложението изпраща информацията до услугата Webex, която проверява имейл адреса.

2

Приложението изпраща GET заявка до сървъра за упълномощаване OAuth за токен.Заявката се пренасочва към услугата за самоличност към SSO или потока от потребителско име и парола.URL адресът на сървъра за удостоверяване се връща.

Можете да видите заявката GET във файла за проследяване.

В секцията с параметри услугата търси OAuth код, имейл на потребителя, който е изпратил заявката, и други OAuth подробности като ClientID, redirectURI и Scope.

3

Приложението Webex изисква SAML твърдение от IdP, използвайки SAML http post.

Когато SSO е активиран, машината за удостоверяване в услугата за самоличност пренасочва към URL адреса на IdP за SSO.URL адресът на IdP, предоставен при обмена на метаданните.

Проверете инструмента за проследяване за съобщение SAML POST.Виждате HTTP POST съобщение до IdP, поискано от IdPbroker.

Параметърът RelayState показва правилния отговор от IdP.

Прегледайте версията за декодиране на SAML заявката, няма мандат AuthN и местоназначението на отговора трябва да отиде на URL адреса на местоназначението на IdP.Уверете се, че форматът nameid-формат е правилно конфигуриран в IdP под правилния entityID (SPNameQualifier)

Форматът IdP nameid е зададен и името на споразумението е конфигурирано при създаването на SAML споразумението.

4

Удостоверяването на приложението се случва между уеб ресурсите на операционната система и IdP.

В зависимост от вашия IdP и механизмите за удостоверяване, конфигурирани в IdP, от IdP се стартират различни потоци.

5

Приложението изпраща HTTP публикация обратно към услугата за самоличност и включва атрибутите, предоставени от IdP и договорени в първоначалното споразумение.

Когато удостоверяването е успешно, приложението изпраща информацията в съобщение SAML POST до услугата за самоличност.

RelayState е същото като предишното съобщение HTTP POST, където приложението казва на IdP кой EntityID иска твърдението.

6

SAML Твърдение от IdP до Webex.

7

Услугата за самоличност получава код за упълномощаване, който се заменя с OAuth маркер за достъп и обновяване.Този маркер се използва за достъп до ресурси от името на потребителя.

След като услугата за самоличност потвърди отговора от IdP, те издават OAuth токен, който позволява на приложението Webex да има достъп до различните услуги на Webex.