Hvis du har din egen identitetsudbyder (IdP) i din organisation, kan du integrere SAML IdP med din organisation i Control Hub for single sign-on (SSO). SSO giver dine brugere mulighed for at bruge et enkelt, fælles sæt legitimationsoplysninger til Webex-appapplikationer og andre programmer i din organisation.
Følgende webadgangsstyrings- og sammenslutningsløsninger blev testet for Webex-organisationer. De dokumenter, der er knyttet nedenfor, viser dig, hvordan du integrerer den specifikke identitetsudbyder (IdP) med din Webex-organisation.
Disse vejledninger dækker SSO integration for Webex-tjenesteydelser, der administreres i Control Hub (https://admin.webex.com). Hvis du leder efter en SSO-integration af et Webex Meetings-websted (administreret i webstedsadministration), skal du læse Konfigurer enkelt login for Cisco Webex Meetings-websted. |
Hvis du ikke kan se din IdP angivet herunder, skal du følge trinnene på højt niveau i fanen Konfiguration SSO denne artikel.
Enkelt login (SSO) gør brugere i stand til at logge ind på Webex sikkert ved at godkende til din organisation Common Identity Provider (IdP). Webex-appen bruger -Webex-tjenesteydelse til at kommunikere med Webex-platformens identitetstjeneste. -identitetstjeneste med din identitetsudbyder (IdP).
Du starter konfiguration i Control Hub. Dette afsnit henter generiske trin på højt niveau for integration af en tredjeparts-IdP.
For SSO og Control Hubskal IdPs overholde SAML 2.0-specifikationen. Desuden skal identitetsudbydere konfigureres på følgende måde:
Indstil NameID-formatattributten til urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Konfigurer et krav på IdP i henhold til den type SSO, som du installerer:
SSO (for en organisation)—Hvis du konfigurerer SSO på vegne af en organisation, skal du konfigurere IdP-kravet til at inkludere uid attributnavnet med en værdi, der er knyttet til attributten, der er valgt i Katalogforbindelse , eller brugerattributten, der matcher det attribut, der matcher det, der er valgt i Webex-identitetstjeneste. (Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn).
Partner SSO (kun for tjenesteudbydere)-Hvis du er en Tjenesteudbyder-administrator, der konfigurerer Partner SSO til at blive brugt af de kundeorganisationer, som Tjenesteudbyder administrerer, skal du konfigurere IdP-kravet til at inkludere mailattributtet (i stedet for uid). Værdien skal knyttes til attributten, der er valgt i Katalogforbindelse , eller brugerattributten, der matcher den, der er valgt i Webex-identitetstjeneste.
For yderligere oplysninger om tilknytning af brugertilpassede attributter for SSO eller partner SSO, se https://www.cisco.com/go/hybrid-services-directory.
Kun SSO partner. Denne Identitetsudbyder skal understøtte flere Angivelse forbrugerservice (ACS) URL-adresser. For eksempler på, hvordan du konfigurerer flere ACL-adresser på Identitetsudbyder, se:
Brug en understøttet browser: anbefaler vi den seneste version af Mozilla Firefox eller Google Chrome.
Deaktiver alle pop op-blokkere i din browser.
Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel dokumenteres integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Andre formater, som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress kan bruges til SSO-integration, men ligger uden for omfanget af vores dokumentation. |
Du skal oprette en SAML-aftale mellem Webex-platformens identitetstjeneste og din IdP.
Du skal bruge to filer for at opnå en vellykket SAML-aftale:
En metadatafil fra IdP, der skal opgives til Webex.
En metadatafil fra Webex, der skal opgives til IdP.
Dette er et eksempel på en PingFederate metadata-fil med metadata fra IdP.
Metadatafil fra identitetstjeneste.
Følgende er, hvad du forventer at se i metadata-filen fra identitetstjeneste.
EntityID – Dette bruges til at identificere SAML-aftalen i IdP-konfigurationen
Der er ingen krav om en underskrevet AuthN anmodning eller nogen tegn erklæringer, den overholder, hvad IdP anmodninger i metadata-filen.
En underskrevet metadatafil til IdP'en for at verificere, at metadataen tilhører identitetstjeneste.
1 | Fra kundevisningen i Control Hub ( ) skal du gå til Administration > Organisationsindstillinger , rulle ned til Godkendelse og slå til/fra-indstillingen for Enkelt login for at startehttps://admin.webex.com konfigurationsguiden. |
||
2 | Vælg certifikattypen:
|
||
3 | Klik på Download metadata, og klik på Næste. |
||
4 | Webex Platform Identity-tjenesten validerer metadata-filen fra IdP. Der er to mulige måder at validere metadata fra kunde-IdP på:
|
||
5 | Test forbindelsen SSO, før du aktiverer den. Dette trin fungerer som en dry run og påvirker ikke din organisations indstillinger, før du SSO i næste trin.
|
||
6 | Hvis testen lykkes, skal du SSO og gemme ændringerne. Du skal gemme ændringer, for SSO kan blive gennemført i din organisation. |
Hvis du er i problemer med din SSO-integration, skal du bruge kravene og proceduren i dette afsnit til at fejlse SAML-flow mellem din IdP og Webex.
Brug SAML-sporings addon til Firefox eller Chrome.
For at foretage fejlfinding skal du bruge webbrowseren, hvor du installerede SAML-sporingsfejlfindingsværktøjet, og gå til webversionen af Webex på https://web.webex.com.
Følgende er strømmen af meddelelser mellem Webex-appen, Webex-tjenester, Webex-platformsidentitetstjeneste og identitetsudbyderen (IdP).

- Gå til https://admin.webex.com , og med SSO aktiveret beder appen om en e-mailadresse.
- Appen sender en GET-anmodning til OAuth-godkendelsesserveren for et token. Anmodningen omdirigeres til den identitetstjeneste til SSO eller brugernavn og adgangskode flow. URL-adressen til bekræftelsesserveren returneres.
- Webex-appen anmoder om et SAML-udsagn fra IdP ved hjælp af en SAML HTTP POST.
- Godkendelse for appen sker mellem operativsystemets webressourcer og IdP.
- Appen sender et HTTP-indlæg tilbage til identitetstjeneste og inkluderer attributterne, som IdP giver, og som blev accepteret i den indledende aftale.
- SAML-påstand fra IdP til Webex.
- Kunden identitetstjeneste en godkendelseskode, der erstattes med et OAuth adgangs- og opdateringstoken. Denne token bruges til at tilgå ressourcer på vegne af brugeren.
1 | Gå til https://admin.webex.com , og med SSO aktiveret beder appen om en e-mailadresse. ![]() Appen sender oplysningerne til den adresse, Webex-tjenesteydelse bekræfter e-mailadressen. |
2 | Appen sender en GET-anmodning til OAuth-godkendelsesserveren for et token. Anmodningen omdirigeres til den identitetstjeneste til SSO eller brugernavn og adgangskode flow. URL-adressen til bekræftelsesserveren returneres. ![]() Du kan se GET-anmodningen i sporingsfilen. I afsnittet parametre søger tjenesten efter en OAuth-kode, e-mail til den bruger, der sendte anmodningen, og andre OAuth-oplysninger, såsom ClientID, redirectURI og omfang. |
3 | Webex-appen anmoder om et SAML-udsagn fra IdP ved hjælp af en SAML HTTP POST. Når SSO er aktiveret, omdirigerer godkendelsesprogrammet i -identitetstjeneste idP-URL-adressen for SSO. IdP URL-adressen, som blev angivet, da metadataen blev udvekslet. Kontroller sporingsværktøjet for en SAML POST-meddelelse. Du ser en HTTP POST-meddelelse til den IdP, der er anmodet om af IdPbroker. RelayState-parameteren viser det korrekte svar fra IdP. Gennemse afkodeversionen af SAML-anmodningen. Der er ingen krav-AuthN, og destinationen for svaret skal gå til destinations-URL-adressen for IdP'en. Sørg for, at nameid-formatet er konfigureret korrekt i IdP under det korrekte entityID (SPNameQualifier) IdP nameid-formatet er angivet og navnet på den aftale, der blev konfigureret, da SAML-aftalen blev oprettet. |
4 | Godkendelse for appen sker mellem operativsystemets webressourcer og IdP. Afhængigt af din IdP og bekræftelse mekanismerne konfigureret i IdP startes der forskellige flows fra IdP. |
5 | Appen sender et HTTP-indlæg tilbage til identitetstjeneste og inkluderer attributterne, som IdP giver, og som blev accepteret i den indledende aftale. Når godkendelse lykkes, sender appen oplysningerne i en SAML POST-meddelelse til identitetstjeneste. RelayState er den samme som den tidligere HTTP POST-meddelelse, hvor appen fortæller IdP, hvilket EntityID der anmoder om udsagnet. |
6 | SAML-påstand fra IdP til Webex. |
7 | Kunden identitetstjeneste en godkendelseskode, der erstattes med et OAuth adgangs- og opdateringstoken. Denne token bruges til at tilgå ressourcer på vegne af brugeren. Når webstedsudbyderen identitetstjeneste IdP, udsteder de et OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester. |