Følgende webadgangsstyrings- og sammenslutningsløsninger blev testet for Webex-organisationer. De dokumenter, der er knyttet nedenfor, viser dig, hvordan du integrerer den specifikke identitetsudbyder (IdP) med din Webex-organisation.

Disse vejledninger dækker SSO integration for Webex-tjenesteydelser, der administreres i Control Hub (https://admin.webex.com). Hvis du leder efter en SSO-integration af et Webex Meetings-websted (administreret i webstedsadministration), skal du læse Konfigurer enkelt login for Cisco Webex Meetings-websted.

Hvis du ikke kan se din IdP angivet herunder, skal du følge trinnene på højt niveau i fanen Konfiguration SSO denne artikel.

Enkelt login (SSO) gør brugere i stand til at logge ind på Webex sikkert ved at godkende til din organisation Common Identity Provider (IdP). Webex-appen bruger -Webex-tjenesteydelse til at kommunikere med Webex-platformens identitetstjeneste. -identitetstjeneste med din identitetsudbyder (IdP).

Du starter konfiguration i Control Hub. Dette afsnit henter generiske trin på højt niveau for integration af en tredjeparts-IdP.

Krav for identitetsudbydere

For SSO og Control Hubskal IdPs overholde SAML 2.0-specifikationen. Desuden skal identitetsudbydere konfigureres på følgende måde:

  • Indstil NameID-formatattributten til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP i henhold til den type SSO, som du installerer:

    • SSO (for en organisation)—Hvis du konfigurerer SSO på vegne af en organisation, skal du konfigurere IdP-kravet til at inkludere uid attributnavnet med en værdi, der er knyttet til attributten, der er valgt i Katalogforbindelse , eller brugerattributten, der matcher det attribut, der matcher det, der er valgt i Webex-identitetstjeneste. (Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn).

    • Partner SSO (kun for tjenesteudbydere)-Hvis du er en Tjenesteudbyder-administrator, der konfigurerer Partner SSO til at blive brugt af de kundeorganisationer, som Tjenesteudbyder administrerer, skal du konfigurere IdP-kravet til at inkludere mailattributtet (i stedet for uid). Værdien skal knyttes til attributten, der er valgt i Katalogforbindelse , eller brugerattributten, der matcher den, der er valgt i Webex-identitetstjeneste.

    For yderligere oplysninger om tilknytning af brugertilpassede attributter for SSO eller partner SSO, se https://www.cisco.com/go/hybrid-services-directory.

  • Kun SSO partner. Denne Identitetsudbyder skal understøtte flere Angivelse forbrugerservice (ACS) URL-adresser. For eksempler på, hvordan du konfigurerer flere ACL-adresser på Identitetsudbyder, se:

  • Brug en understøttet browser: anbefaler vi den seneste version af Mozilla Firefox eller Google Chrome.

  • Deaktiver alle pop op-blokkere i din browser.

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel dokumenteres integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Andre formater, som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress kan bruges til SSO-integration, men ligger uden for omfanget af vores dokumentation.

Opret en SAML-aftale

Du skal oprette en SAML-aftale mellem Webex-platformens identitetstjeneste og din IdP.

Du skal bruge to filer for at opnå en vellykket SAML-aftale:

  • En metadatafil fra IdP, der skal opgives til Webex.

  • En metadatafil fra Webex, der skal opgives til IdP.

Dette er et eksempel på en PingFederate metadata-fil med metadata fra IdP.

Metadatafil fra identitetstjeneste.

Følgende er, hvad du forventer at se i metadata-filen fra identitetstjeneste.

  • EntityID – Dette bruges til at identificere SAML-aftalen i IdP-konfigurationen

  • Der er ingen krav om en underskrevet AuthN anmodning eller nogen tegn erklæringer, den overholder, hvad IdP anmodninger i metadata-filen.

  • En underskrevet metadatafil til IdP'en for at verificere, at metadataen tilhører identitetstjeneste.

Konfigurer Webex-identitetstjeneste

1

Fra kundevisningen i Control Hub ( ) skal du gå til Administration > Organisationsindstillinger , rulle ned til Godkendelse og slå til/fra-indstillingen for Enkelt login for at startehttps://admin.webex.com konfigurationsguiden.
2

Vælg certifikattypen:

  • Selv underskrevet af Cisco-Vi anbefaler, at du vælger denne valgmulighed for at lade os blive SP. Du behøver også kun at forny certifikatet hver fem.
  • Underskrevet af en offentlig certifikatmyndighed - Denne valgmulighed er sikker og beskyttende, hvis du får dine certifikater underskrevet af en offentlig CA, såsomHydrant eller Godaddy. Du skal dog forny certifikatet en gang om året.
3

Klik på Download metadata, og klik på Næste.
4

Webex Platform Identity-tjenesten validerer metadata-filen fra IdP.

Der er to mulige måder at validere metadata fra kunde-IdP på:

  • Kunde IdP giver en signatur i metadata, der er underskrevet af en Offentlig Root CA.

  • Kunde IdP leverer en selvsigneret privat CA eller ikke angiver en signatur for deres metadata. Denne valgmulighed er mindre sikker.
5

Test forbindelsen SSO, før du aktiverer den. Dette trin fungerer som en dry run og påvirker ikke din organisations indstillinger, før du SSO i næste trin.


 

Du kan få SSO ved at logge ind direkte ved at klikke på Kopiér URL-adresse til udklipsholderen fra denne skærm og indsætte den i et privat browservindue. Derfra kan du gå igennem og logge ind med SSO. Dette hjælper med at fjerne alle oplysninger, der er cachelagret i din webbrowser, som kan give et falsk positivt resultat, når du tester SSO konfiguration.
6

Hvis testen lykkes, skal du SSO og gemme ændringerne.

Du skal gemme ændringer, for SSO kan blive gennemført i din organisation.

Uanset om du har modtaget en meddelelse om et udløbscertifikat eller ønsker at tjekke din eksisterende SSO-konfiguration, kan du bruge administrationsfunktionerne for enkelt login (SSO) i Control Hub til certifikatadministration og generelle SSO-vedligeholdelsesaktiviteter.

Hvis du er i problemer med din SSO-integration, skal du bruge kravene og proceduren i dette afsnit til at fejlse SAML-flow mellem din IdP og Webex.

Krav til fejlfinding SSO

  • Brug SAML-sporings addon til Firefox eller Chrome.

  • For at foretage fejlfinding skal du bruge webbrowseren, hvor du installerede SAML-sporingsfejlfindingsværktøjet, og gå til webversionen af Webex på https://web.webex.com.

Fejlfinding af SAML-flow mellem Webex-appen, din IdP og Webex-tjenesteydelser

Følgende er strømmen af meddelelser mellem Webex-appen, Webex-tjenester, Webex-platformsidentitetstjeneste og identitetsudbyderen (IdP).

  1. Gå til https://admin.webex.com , og med SSO aktiveret beder appen om en e-mailadresse.
  2. Appen sender en GET-anmodning til OAuth-godkendelsesserveren for et token. Anmodningen omdirigeres til den identitetstjeneste til SSO eller brugernavn og adgangskode flow. URL-adressen til bekræftelsesserveren returneres.
  3. Webex-appen anmoder om et SAML-udsagn fra IdP ved hjælp af en SAML HTTP POST.
  4. Godkendelse for appen sker mellem operativsystemets webressourcer og IdP.
  5. Appen sender et HTTP-indlæg tilbage til identitetstjeneste og inkluderer attributterne, som IdP giver, og som blev accepteret i den indledende aftale.
  6. SAML-påstand fra IdP til Webex.
  7. Kunden identitetstjeneste en godkendelseskode, der erstattes med et OAuth adgangs- og opdateringstoken. Denne token bruges til at tilgå ressourcer på vegne af brugeren.
1

Gå til https://admin.webex.com , og med SSO aktiveret beder appen om en e-mailadresse.

Appen sender oplysningerne til den adresse, Webex-tjenesteydelse bekræfter e-mailadressen.
2

Appen sender en GET-anmodning til OAuth-godkendelsesserveren for et token. Anmodningen omdirigeres til den identitetstjeneste til SSO eller brugernavn og adgangskode flow. URL-adressen til bekræftelsesserveren returneres.

Du kan se GET-anmodningen i sporingsfilen.

I afsnittet parametre søger tjenesten efter en OAuth-kode, e-mail til den bruger, der sendte anmodningen, og andre OAuth-oplysninger, såsom ClientID, redirectURI og omfang.
3

Webex-appen anmoder om et SAML-udsagn fra IdP ved hjælp af en SAML HTTP POST.

Når SSO er aktiveret, omdirigerer godkendelsesprogrammet i -identitetstjeneste idP-URL-adressen for SSO. IdP URL-adressen, som blev angivet, da metadataen blev udvekslet.

Kontroller sporingsværktøjet for en SAML POST-meddelelse. Du ser en HTTP POST-meddelelse til den IdP, der er anmodet om af IdPbroker.

RelayState-parameteren viser det korrekte svar fra IdP.

Gennemse afkodeversionen af SAML-anmodningen. Der er ingen krav-AuthN, og destinationen for svaret skal gå til destinations-URL-adressen for IdP'en. Sørg for, at nameid-formatet er konfigureret korrekt i IdP under det korrekte entityID (SPNameQualifier)

IdP nameid-formatet er angivet og navnet på den aftale, der blev konfigureret, da SAML-aftalen blev oprettet.
4

Godkendelse for appen sker mellem operativsystemets webressourcer og IdP.

Afhængigt af din IdP og bekræftelse mekanismerne konfigureret i IdP startes der forskellige flows fra IdP.
5

Appen sender et HTTP-indlæg tilbage til identitetstjeneste og inkluderer attributterne, som IdP giver, og som blev accepteret i den indledende aftale.

Når godkendelse lykkes, sender appen oplysningerne i en SAML POST-meddelelse til identitetstjeneste.

RelayState er den samme som den tidligere HTTP POST-meddelelse, hvor appen fortæller IdP, hvilket EntityID der anmoder om udsagnet.
6

SAML-påstand fra IdP til Webex.
7

Kunden identitetstjeneste en godkendelseskode, der erstattes med et OAuth adgangs- og opdateringstoken. Denne token bruges til at tilgå ressourcer på vegne af brugeren.

Når webstedsudbyderen identitetstjeneste IdP, udsteder de et OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester.