Følgende webadgangsstyrings- og sammenslutningsløsninger blev testet for Webex-organisationer.De dokumenter, der er knyttet nedenfor, viser dig, hvordan du integrerer den specifikke identitetsudbyder (IdP) med din Webex-organisation.


 

Disse vejledninger dækker SSO integration for Webex-tjenesteydelser, der administreres i Control Hub ( https://admin.webex.com).Hvis du leder efter en SSO-integration af et Webex Meetings-websted (administreret i webstedsadministration), skal du læse Konfigurer enkelt login for Cisco Webex Meetings-websted.

Hvis du ikke kan se din IdP angivet herunder, skal du følge trinnene på højt niveau i fanen Konfiguration SSO denne artikel.

Enkelt login (SSO) gør brugere i stand til at logge ind på Webex sikkert ved at godkende til din organisation common identity provider (IdP).Webex-appen bruger -Webex-tjenesteydelse til at kommunikere med Webex-platformens identitetstjeneste.-identitetstjeneste med din identitetsudbyder (IdP).

Du starter konfiguration i Control Hub.Dette afsnit henter generiske trin på højt niveau for integration af en tredjeparts-IdP.


 
Når du konfigurerer SSO med din IdP, kan du knytte enhver attribut til uid'en.For eksempel skal du tilknytte brugerenPrincipalName, en e-mailalias, en alternativ e-mailadresse eller enhver anden passende attribut til uid' et.IdP'en skal matche en af brugerens e-mailadresser med uid'et, når der logges ind.Webex understøtter tilknytning af op til 5 e-mailadresser til uid.

Krav for identitetsudbydere

For SSO og Control Hub skal IdPs overholde SAML 2.0-specifikationen.Desuden skal identitetsudbydere konfigureres på følgende måde:

  • Indstil NameID-formatattributten til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP i henhold til den type SSO, som du installerer:

    • SSO (for en organisation)— Hvis du konfigurerer SSO på vegne af en organisation, skal du konfigurere IdP-kravet til at inkludere uid-attributnavnet med en værdi, der er knyttet til attributten, der er valgt i Katalogforbindelse, eller brugerattributten, der matcher det attribut, der er valgt i Webex-identitetstjeneste.(Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn).

    • Partner SSO (kun for tjenesteudbydere)-Hvis du er en Tjenesteudbyder-administrator, der konfigurerer Partner SSO til at blive brugt af kundeorganisationer, som Tjenesteudbyder administrerer, skal du konfigurere IdP-kravet til at inkludere mailattributtet (i stedet for uid).Værdien skal knyttes til attributten, der er valgt i Katalogforbindelse, eller den brugerattribut, der matcher den, der er valgt i Webex-identitetstjeneste.


     

    For yderligere oplysninger om tilknytning af brugertilpassede attributter for SSO eller partner SSO, se https://www.cisco.com/go/hybrid-services-directory.

  • Kun SSO partner.Denne Identitetsudbyder skal understøtte flere Angivelse forbrugerservice (ACS) URL-adresser.For eksempler på, hvordan du konfigurerer flere ACL-adresser på Identitetsudbyder, se:

  • Brug en understøttet browser:anbefaler vi den seneste version af Mozilla Firefox eller Google Chrome.

  • Deaktiver alle pop op-blokkere i din browser.


 

Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder.For eksempel integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient er dokumenteret.Andre formater, f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vil fungere for SSO integration, men er uden for rækkevidden af vores dokumentation.

Opret en SAML-aftale

Du skal oprette en SAML-aftale mellem Webex-platformens identitetstjeneste og din IdP.

Du skal bruge to filer for at opnå en vellykket SAML-aftale:

  • En metadatafil fra IdP, der skal opgives til Webex.

  • En metadatafil fra Webex, der skal opgives til IdP.

Dette er et eksempel på en PingFederate metadata-fil med metadata fra IdP.

Metadata-fil fra identitetstjeneste.

Følgende er, hvad du forventer at se i metadata-filen fra identitetstjeneste.

  • EntityID – Dette bruges til at identificere SAML-aftalen i IdP-konfigurationen

  • Der er ingen krav om en underskrevet AuthN anmodning eller nogen tegn erklæringer, den overholder, hvad IdP anmodninger i metadata-filen.

  • En underskrevet metadatafil til IdP'en for at verificere, at metadataen tilhører identitetstjeneste.

Konfigurer Webex-identitetstjeneste

1

Fra kundevisningen i Control Hub ( https://admin.webex.com) skal du gå til Administration > organisationsindstillinger, rulle ned til Godkendelse og slå til/fra-indstillingen for Enkelt login for at starte konfigurationsguiden.

2

Vælg certifikattypen:

  • Selv underskrevet af Cisco-Vi anbefaler, at du vælger denne valgmulighed for at lade os blive SP.Du behøver også kun at forny certifikatet hver fem.
  • Underskrevet af en offentlig certifikatmyndighed- Denne valgmulighed er sikker og beskyttende, hvis du får dine certifikater underskrevet af en offentlig CA, såsom Hydrant eller Godaddy.Du skal dog forny certifikatet en gang om året.
3

Klik på Download metadata, og klik på Næste.

4

Webex Platform Identity-tjenesten validerer metadata-filen fra IdP.

Der er to mulige måder at validere metadata fra kunde-IdP på:

  • Kunde IdP giver en signatur i metadata, der er underskrevet af en Offentlig Root CA.

  • Kunde IdP leverer en selvsigneret privat CA eller ikke angiver en signatur for deres metadata.Denne valgmulighed er mindre sikker.

5

Test forbindelsen SSO, før du aktiverer den.Dette trin fungerer som en dry run og påvirker ikke dine organisationsindstillinger, før du SSO i næste trin.


 

Du kan se, SSO du logger ind direkte, ved at klikke på Kopiér URL-adresse til udklipsholderen fra denne skærm og indsætte den i et privat browservindue.Derfra kan du gå igennem og logge ind med SSO.Dette hjælper med at fjerne alle oplysninger, der er cachelagret i din webbrowser, som kan give et falsk positivt resultat, når du tester SSO konfiguration.

6

Hvis testen er vellykket, skal du SSO og gemme ændringerne.

Du skal gemme ændringer for SSO for at få ændringerne til at virke i din organisation.

Hvis du er i problemer med din SSO integration, skal du bruge kravene og proceduren i dette afsnit til at fejlse SAML-flow mellem din IdP og Webex.

Krav til fejlfinding SSO

  • Brug SAML-sporings addon til Firefox eller Chrome.

  • For at foretage fejlfinding skal du bruge webbrowseren, hvor du installerede SAML-sporingsfejlfindingsværktøjet, og gå til webversionen af Webex på https://web.webex.com.

Fejlfinding af SAML-flow mellem Webex-appen, din IdP og Webex-tjenesteydelser

Følgende er strømmen af meddelelser mellem Webex-appen, Webex-tjenester, Webex-platformsidentitetstjeneste og identitetsudbyderen (IdP).

1

Gå til https://admin.webex.com , og med SSO aktiveret beder appen om en e-mailadresse.

Appen sender oplysningerne til den adresse, Webex-tjenesteydelse bekræfter e-mailadressen.

2

Appen sender en GET-anmodning til OAuth-godkendelsesserveren for et token.Anmodningen omdirigeres til den identitetstjeneste til SSO eller brugernavn og adgangskode flow.URL-adressen til bekræftelsesserveren returneres.

Du kan se GET-anmodningen i sporingsfilen.

I afsnittet parametre søger tjenesten efter en OAuth-kode, e-mail til den bruger, der sendte anmodningen, og andre OAuth-oplysninger, såsom ClientID, redirectURI og omfang.

3

Webex-appen anmoder om et SAML-udsagn fra IdP ved hjælp af en SAML HTTP POST.

Når SSO er aktiveret, omdirigerer godkendelsesprogrammet i -identitetstjeneste til IdP-URL-adressen for SSO.IdP URL-adressen, som blev angivet, da metadataen blev udvekslet.

Kontroller sporingsværktøjet for en SAML POST-meddelelse.Du ser en HTTP POST-meddelelse til den IdP, der er anmodet om af IdPbroker.

RelayState-parameteren viser det korrekte svar fra IdP.

Gennemse afkodeversionen af SAML-anmodningen. Der er ingen krav-AuthN, og destinationen for svaret skal gå til destinations-URL-adressen for IdP'en.Sørg for, at nameid-formatet er konfigureret korrekt i IdP under det korrekte entityID (SPNameQualifier)

IdP nameid-formatet er angivet og navnet på den aftale, der blev konfigureret, da SAML-aftalen blev oprettet.

4

Godkendelse for appen sker mellem operativsystemets webressourcer og IdP.

Afhængigt af din IdP og bekræftelse mekanismerne konfigureret i IdP startes der forskellige flows fra IdP.

5

Appen sender et HTTP-indlæg tilbage til identitetstjeneste og inkluderer attributterne, som IdP giver, og som blev accepteret i den indledende aftale.

Når godkendelse lykkes, sender appen oplysningerne i en SAML POST-meddelelse til identitetstjeneste.

RelayState er den samme som den tidligere HTTP POST-meddelelse, hvor appen fortæller IdP, hvilket EntityID der anmoder om udsagnet.

6

SAML-påstand fra IdP til Webex.

7

Kunden identitetstjeneste en godkendelseskode, der erstattes med et OAuth adgangs- og opdateringstoken.Denne token bruges til at tilgå ressourcer på vegne af brugeren.

Når denne identitetstjeneste IdP, udsteder de en OAuth-token, der giver Webex-appen adgang til de forskellige Webex-tjenester.