Pro organizace Webex byla testována následující řešení pro správu přístupu k webu a federaci.Níže uvedené dokumenty vás provedou tím, jak integrovat tohoto konkrétního zprostředkovatele identity (IdP) s vaší organizací Webex.


 

Tyto příručky se zabývají integrací jednotného přihlašování pro služby Webex, které jsou spravovány v Centru řízení ( https://admin.webex.com).Pokud hledáte integraci jednotného přihlašování webu Webex Meetings (spravovaného v administraci webu), přečtěte si téma Konfigurace jednotného přihlašování pro webCisco Webex.

Pokud níže nevidíte svého zprostředkovatele identity, postupujte podle obecných kroků na kartě Nastavení jednotného přihlašování v tomto článku.

Jednotné přihlašování (SSO) umožňuje uživatelům bezpečně se přihlásit k Webexu ověřením společného zprostředkovatele identity (IdP) vaší organizace.Aplikace Webex používá službu Webex ke komunikaci se službou identit platformy Webex.Služba identit se ověřuje u vašeho zprostředkovatele identity (IdP).

Spuštění konfigurace v Centru řízení.Tato část zachycuje obecné kroky pro integraci zprostředkovatele identity třetí strany.


 
Když nakonfigurujete jednotné přihlašování pomocí zprostředkovatele identity, můžete na identifikátor namapovat libovolný atribut.Namapujte například userPrincipalName, e-mailový alias, alternativní e-mailovou adresu nebo jakýkoli jiný vhodný atribut k uživatelskému rozhraní.Zprostředkovatel identity musí při přihlašování přiřadit jednu z e-mailových adres uživatele k identifikátoru UID.Webex podporuje mapování až 5 e-mailových adres na uid.

Pro jednotné přihlašování a centrum řízení musí zprostředkovatelé identity odpovídat specifikaci SAML 2,0.Kromě toho musí být zprostředkovatelé identity nakonfigurováni následujícím způsobem:

  • Nastavte atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Nakonfigurujte deklaraci identity na zprostředkovatele identity podle typu jednotného přihlašování, které nasazujete:

    • Jednotné přihlašování (pro organizaci) – Pokud konfigurujete jednotné přihlašování jménem organizace, nakonfigurujte deklaraci identity IdP tak, aby zahrnovala název atributu uid s hodnotou, která je namapována na atribut vybraný v konektoru adresáře, nebo atribut uživatele, který odpovídá atributu zvolenému ve službě identity Webex.(Tento atribut může být například E-mail-Addresses nebo User-Principal-Name.)

    • Jednotné přihlašování partnerů (jenom pro poskytovatele služeb)– Pokud jste správce poskytovatele služeb, který konfiguruje jednotné přihlašování partnera pro použití organizacemi zákazníků, které poskytovatel služeb spravuje, nakonfigurujte deklaraci identity tak, aby obsahovala atribut mail (místo uid).Hodnota musí být namapována na atribut, který je vybrán v konektoru adresáře, nebo na atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex.


     

    Další informace o mapování vlastních atributů pro jednotné přihlašování nebo partnerské jednotné přihlašování najdete v tématu https://www.cisco.com/go/hybrid-services-directory.

  • Pouze jednotné přihlašování partnerů.Zprostředkovatel identity musí podporovat více adres URL služby ACS (Assertion Consumer Service).Příklady konfigurace více adres URL služby ACS u zprostředkovatele identity naleznete v těchto tématech:

  • Použijte podporovaný prohlížeč:doporučujeme nejnovější verzi prohlížeče Mozilla Firefox nebo Google Chrome.

  • Zakažte všechny blokování vyskakovacích oken v prohlížeči.


 

Příručky konfigurací ukazují konkrétní příklad integrace jednotného přihlašování, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti.Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány.Jiné formáty, jako jsou urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou fungovat pro integraci jednotného přihlašování, ale jsou mimo rozsah naší dokumentace.

Musíte vytvořit smlouvu SAML mezi službou identit platformy Webex a vaším zprostředkovatelem identity.

K dosažení úspěšné dohody SAML potřebujete dva soubory:

  • Soubor metadat od IdP, který chcete předat společnosti Webex.

  • Soubor metadat z Webexu, který chcete předat IdP.

Toto je příklad souboru metadat PingFederate s metadaty od zprostředkovatele identity.

Soubor metadat ze služby identity.

Následující je to, co očekáváte v souboru metadat ze služby identity.

  • EntityID – slouží k identifikaci dohody SAML v konfiguraci zprostředkovatele identity

  • Neexistuje žádný požadavek na podepsaný požadavek AuthN ani žádné kontrolní výrazy znaménka, je v souladu s tím, co IdP požaduje v souboru metadat.

  • Podepsaný soubor metadat pro zprostředkovatele identity k ověření, že metadata patří do služby identit.

1

V zobrazení zákazníka v Centru řízení ( https://admin.webex.com) přejděte na Nastavenísprávy > organizace, přejděte na ověřování a přepnutím nastavení jednotného přihlašování spusťte průvodce konfigurací.

2

Vyberte typ certifikátu:

  • Podepsáno společností Cisco– Doporučujeme, abyste zvolili tuto možnost, abychom se mohli stát SP.Certifikát musíte také obnovovat každých pět let.
  • Podepsáno veřejnou certifikační autoritou – Tato možnost je bezpečná a vhodná, pokud máte certifikáty podepsané od veřejné certifikační autority, jako je Hydrant nebo Godaddy.Certifikát však musíte jednou ročně obnovit.
3

Klikněte na Stáhnout metadata a klikněte na Další .

4

Služba Webex Platform Identity ověří soubor metadat z IdP.

Existují dva možné způsoby, jak ověřit metadata z ID zákazníka:

  • Customer IdP poskytuje podpis v metadatech, která jsou podepsána veřejnou kořenovou certifikační autoritou.

  • Zprostředkovatel identity zákazníka poskytuje privátní certifikační autoritu podepsanou svým držitelem nebo neposkytuje podpis pro svá metadata.Tato možnost je méně bezpečná.

5

Před povolením připojení jednotného přihlašování otestujte.Tento krok funguje jako běh nanečisto a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.


 

Pokud chcete zobrazit přihlašovací prostředí jednotného přihlašování přímo, můžete také kliknout na Kopírovat adresu URL do schránky z této obrazovky a vložit ji do okna privátního prohlížeče.Odtud můžete projít přihlášením pomocí jednotného přihlašování.To pomáhá odstranit všechny informace uložené v mezipaměti webového prohlížeče, které by mohly při testování konfigurace jednotného přihlašování poskytnout falešně pozitivní výsledek.

6

Pokud je test úspěšný, zapněte jednotné přihlašování a uložte změny.

Změny je nutné uložit, aby se jednotné přihlašování projevilo ve vaší organizaci.

Bez ohledu na to, jestli jste obdrželi oznámení o vypršení platnosti certifikátu nebo chcete zkontrolovat stávající konfiguraci jednotného přihlašování, můžete použít funkce správy jednotného přihlašování (SSO) v Centru řízení pro správu certifikátů a obecné aktivity údržby jednotného přihlašování.

Pokud narazíte na problémy s integrací jednotného přihlašování, použijte požadavky a postup v této části k řešení potíží s tokem SAML mezi vaším zprostředkovatelem identity a webexem.

  • Použijte doplněk trasování SAML pro Firefox nebo Chrome.

  • Chcete-li vyřešit potíže, použijte webový prohlížeč, do kterého jste nainstalovali nástroj pro ladění trasování SAML, a přejděte na webovou verzi služby Webex na adrese https://web.webex.com.

Následuje tok zpráv mezi aplikací Webex, službami Webex, službou Webex Platform Identity Service a zprostředkovatelem identity (IdP).

1

Přejít na https://admin.webex.com a s povoleným jednotným přihlašováním aplikace vyzve k zadání e-mailové adresy.

Aplikace odešle informace do služby Webex, která ověří e-mailovou adresu.

2

Aplikace odešle požadavek GET na autorizační server OAuth pro token.Požadavek se přesměruje do služby identity do toku jednotného přihlašování nebo uživatelského jména a hesla.Vrátí se adresa URL ověřovacího serveru.

Požadavek GET můžete vidět v trasovacím souboru.

V části parametry služba vyhledá kód OAuth, e-mail uživatele, který požadavek odeslal, a další podrobnosti OAuth, jako je ClientID, redirectURI a Scope.

3

Aplikace Webex požaduje kontrolní výraz SAML od IdP pomocí příspěvku SAML HTTP.

Když je povolené jednotné přihlašování, ověřovací modul ve službě identity přesměruje na adresu URL zprostředkovatele identity pro jednotné přihlašování.Adresa URL zprostředkovatele identity poskytnutá při výměně metadat.

Vraťte se změnami v nástroji pro trasování zprávu SAML POST.Zobrazí se zpráva HTTP POST pro zprostředkovatele identity, kterou požaduje zprostředkovatel identity.

Parametr RelayState zobrazuje správnou odpověď od zprostředkovatele identity.

Zkontrolujte dekódovací verzi požadavku SAML, neexistuje žádné ověření mandátu a cíl odpovědi by měl přejít na cílovou adresu URL zprostředkovatele identity.Ujistěte se, že je formát nameid správně nakonfigurovaný v IdP pod správným entityID (SPNameQualifier)

Formát nameid zprostředkovatele identity je zadán a název dohody nakonfigurován při vytvoření dohody SAML.

4

Ověřování aplikace probíhá mezi webovými prostředky operačního systému a zprostředkovatelem identity.

V závislosti na vašem zprostředkovateli identity a mechanismech ověřování nakonfigurovaných v zprostředkovateli identity se z poskytovatele identity spouštějí různé toky.

5

Aplikace odešle HTTP Post zpátky do služby identit a zahrne atributy poskytnuté zprostředkovatelem identity a dohodnuté v původní smlouvě.

Po úspěšném ověření aplikace odešle informace ve zprávě SAML POST do služby identity.

RelayState je stejný jako předchozí zpráva HTTP POST, kde aplikace říká IdP, které EntityID požaduje kontrolní výraz.

6

Kontrolní výraz SAML z IdP do Webexu.

7

Služba identity obdrží autorizační kód, který se nahradí přístupovým a aktualizačním tokenem OAuth.Tento token se používá pro přístup k prostředkům jménem uživatele.

Poté, co služba identity ověří odpověď od zprostředkovatele identity, vydá token OAuth, který umožňuje aplikaci Webex přístup k různým službám Webex.