Die folgenden WebZugriffsverwaltungs- und Federation-Lösungen wurden für Webex-Organisationen getestet.In den unten verlinkten Dokumenten erfahren Sie, wie Sie diesen spezifischen Identitätsanbieter (IdP) in Ihre Webex-Organisation integrieren können.


 

Diese Leitfäden behandeln SSO-Integration für Webex-Dienste, die in Control Hub ( ) verwaltet https://admin.webex.comwerden.Wenn Sie nach einer SSO-Integration einer Webex Meetings-Site suchen (die in Site-Administration verwaltet wird), lesen Sie Einmalige Anmeldung konfigurieren für Cisco Webex Meetings-Seite.

Wenn Ihr IdP unten nicht aufgeführt ist, befolgen Sie die oben aufgeführten Schritte auf der Registerkarte SSO Setup in diesem Artikel.

Mit der einmaligen Anmeldung (Single Sign-On, SSO) können sich Benutzer auf sichere Weise bei Webex anmelden, indem sie sich beim gemeinsamen Identitätsanbieter Ihrer Organisation authentifizieren.Die Webex-App verwendet das Webex-Dienst um mit dem Webex Platform-Identitätsdienst zu kommunizieren.Der Identitätsdienst authentifiziert sich Ihrem Identitätsanbieter (IdP).

Sie starten die Konfiguration in Control Hub.In diesem Abschnitt finden Sie wichtige und allgemeine Schritte für die Integration eines externen IdP.


 
Wenn Sie Ihre SSO IdP konfigurieren, können Sie jedes Attribut der uid zuordnen.Ordnen Sie z. B. userPrincipalName, einen E-Mail-Alias, eine alternative E-Mail-Adresse oder ein anderes geeignetes Attribut zur uid zu.Der IdP muss bei der Anmeldung eine der E-Mail-Adressen des Benutzers mit der UID übereinstimmen.Webex unterstützt die Zuordnung von bis zu 5 E-Mail-Adressen zur UID.

Für SSO und Control Hub müssen die IdPs der SAML 2.0-Spezifikation entsprechen.Außerdem müssen die IdPs folgendermaßen konfiguriert werden:

  • Legen Sie als Attribut für das NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient fest.

  • Konfigurieren Sie einen Anspruch an den IdP entsprechend der Art SSO, die Sie bereitstellen:

    • SSO (für eine Organisation) – Wenn Sie SSO im Auftrag einer Organisation konfigurieren, konfigurieren Sie den IdP-Anspruch so, dass der IdP-Attributname den Namen des uid-Attributs mit einem Wert enthält, der dem im Verzeichniskonnektor ausgewählten Attribut zugeordnet ist, oder dem Benutzerattribut, das mit dem im Webex-Identitätsdienst gewählten Attribut Identitätsdienst entspricht.(Dabei kann es sich beispielsweise um E-Mail-Adressen oder Hauptbenutzernamen handeln.)

    • Partner-SSO (nur für Dienstanbieter) – Wenn Sie ein Dienstleister-Administrator sind, der Partner SSO für die Verwendung durch die Kundenorganisationen konfiguriert, die der Dienstleister verwaltet, konfigurieren Sie den IdP-Anspruch so, dass das E-Mail-Attribut ( statt uid) enthalten ist.Der Wert muss dem im Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zuordnen, das mit dem im Webex-Benutzer gewählten Attribut Identitätsdienst.


     

    Weitere Informationen zum Zuordnen benutzerdefinierter Attribute für das SSO oder für partnerspezifische SSO finden Sie unter https://www.cisco.com/go/hybrid-services-directory.

  • Nur SSO Partner.Die Identitätsanbieter muss mehrere ACS-URLs (Assertion-Verbraucherdienst Support) unterstützen.Beispiele für die Konfiguration mehrerer ACS-URLs auf einem Identitätsanbieter Finden Sie unter:

  • Verwenden Sie einen unterstützten Browser:Wir empfehlen die neueste Version von Mozilla Firefox oder Google Chrome.

  • Deaktivieren Sie ggf. Popupblocker in Ihrem Browser.


 

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten.Beispiel: Die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sind dokumentiert.Andere Formate, wie z. B. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress wird für die SSO Integration arbeiten, sich aber außerhalb des Umfangs unserer Dokumentation befinden.

Sie müssen eine SAML-Vereinbarung zwischen dem Webex-Plattform-Identitätsdienst und Ihrem IdP einrichten.

Sie benötigen zwei Dateien, um eine erfolgreiche SAML-Vereinbarung zu erzielen:

  • Eine Metadatendatei des IdP, die Sie an Webex geben müssen.

  • Eine Metadatendatei von Webex, die dem IdP zu verfügungt.

Dies ist ein Beispiel für eine PingFederate-Metadatendatei mit Metadaten aus dem IdP.

Metadaten-Datei vom Identitätsdienst.

Folgendes erwartet Sie in der Metadatendatei vom Identitätsdienst.

  • EntityID: Sie wird verwendet, um die SAML-Vereinbarung in der IdP-Konfiguration zu identifizieren

  • Es besteht keine Notwendigkeit für eine signierte AuthN-Anfrage oder eine Sign-Assertion, sie entspricht den Anforderungen des IdP in der Metadatendatei.

  • Eine signierte Metadatendatei für den IdP, um zu überprüfen, ob die Metadaten zum Identitätsdienst gehören.

1

Wechseln Sie aus der Kundenansicht in Control Hub ( https://admin.webex.com) zu Management > Organisationseinstellungen, scrollen Sie zu Authentifizierung und aktivieren Sie die Einstellung Einmalige Anmeldung, um den Konfigurationsassistenten zu starten.

2

Wählen Sie den Zertifikattyp aus:

  • Selbstsigniertes von Cisco –Wir empfehlen, dass Sie diese Option wählen, damit wir der Sp werden.Außerdem müssen Sie das Zertifikat nur alle fünf Jahre erneuern.
  • Von einer öffentlichenZertifizierungsstelle signiert – Diese Option ist sicher und ratsam, wenn Sie Ihre Zertifikate von einer öffentlichen Zertifizierungsstelle wie Hydrant oder Godaddy signiert haben.Sie müssen das Zertifikat jedoch einmal im Jahr erneuern.
3

Klicken Sie auf Metadaten herunterladen und dann auf Weiter.

4

Der Webex Platform-Identitätsdienst validiert die Metadatendatei vom IdP.

Es gibt zwei Möglichkeiten, die Metadaten vom Kunden-IdP zu validieren:

  • Der Kunden-IdP stellt eine Signatur in den Metadaten bereit, die von einer öffentlichen Stammzertifizierungsstelle signiert wurden.

  • Der Kunden-IdP stellt eine selbstsignierte private Zertifizierungsstelle bereit oder stellt keine Signatur für ihre Metadaten bereit.Diese Option ist weniger sicher.

5

Testen Sie die SSO-Verbindung, bevor Sie sie aktivieren.Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.


 

Um den neuen SSO bei der Anmeldung direkt anzuzeigen, können Sie von diesem Bildschirm aus auf URL in Zwischenablage kopieren klicken und ihn in ein privates Browserfenster einfügen.Von dort aus können Sie sich mit Ihrem Neuen SSO.Auf diese Weise können Sie alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernen, die beim Testen Ihrer Browserkonfiguration zu einem falschen SSO führen könnten.

6

Wenn der Test erfolgreich ist, schalten Sie SSO aus und speichern Sie die Änderungen.

Sie müssen die Änderungen speichern, SSO Änderungen in Ihrer Organisation wirksam werden.

Wenn bei der Integration Ihrer SSO Probleme auftreten, verwenden Sie die Anforderungen und das Verfahren in diesem Abschnitt, um die Fehler beim SAML-Flow zwischen Ihrem IdP und Webex zu beheben.

  • Verwenden Sie das SAML-Trace-Add-on für Firefox oder Chrome.

  • Verwenden Sie zur Fehlerbehebung den Webbrowser, in dem Sie das SAML-Trace-Debug-Tool installiert haben, und wechseln Sie zur Webversion von Webex unter https://web.webex.com.

Im Folgenden wird der Nachrichtenfluss zwischen der Webex-App, Webex-Diensten, dem Webex Platform-Identitätsdienst und dem Identitätsanbieter (IdP) angezeigt.

1

Navigieren Sie zu , und bei aktiviertem SSO fordert die App Sie zur Eingabe einer E-Mail-Adresse auf.https://admin.webex.com

Die App sendet die Informationen an den Webex-Dienst damit die E-Mail-Adresse überprüft wird.

2

Die App sendet eine GET-Anforderung an den OAuth-Autorisierungsserver für ein Token.Die Anfrage wird an den Identitätsdienst des SSO- oder Benutzernamen- und Kennwortflusses weitergeleitet.Die URL für den Authentifizierungsserver wird zurückgegeben.

Sie können die GET-Anfrage in der Trace-Datei sehen.

Im Parameterabschnitt sucht der Dienst nach einem OAuth-Code, einer E-Mail des Benutzers, der die Anfrage gesendet hat, und anderen OAuth-Details wie ClientID, redirectURI und Scope.

3

Die Webex-App fordert mithilfe eines SAML-HTTP-POST eine SAML-Zusicherung vom IdP an.

Wenn SSO aktiviert ist, leitet das Authentifizierungsmodul im Identitätsdienst die IDP-URL für SSO um.Die IdP-URL, die beim Austausch der Metadaten angegeben wurde.

Überprüfen Sie das Trace-Tool für eine SAML POST-Nachricht.Sie sehen eine HTTP-POST-Nachricht des IdP, der vom IdPbroker angefordert wurde.

Der RelayState-Parameter zeigt die richtige Antwort vom IdP an.

Überprüfen Sie die Decodierungsversion der SAML-Anforderung, es gibt kein Mandaten-AuthN und das Ziel der Antwort sollte auf die Ziel-URL des IdP verweisen.Stellen Sie sicher, dass das nameid-Format im IdP unter der richtigen EntityID (SPNameQualifier) korrekt konfiguriert ist.

Das nameid-Format des IdP wird angegeben und der Name der Vereinbarung, der beim Erstellen der SAML-Vereinbarung konfiguriert wurde.

4

Die Authentifizierung für die App erfolgt zwischen den Webressourcen des Betriebssystems und dem IdP.

Abhängig von Ihrem IdP und den im IdP konfigurierten Authentifizierungsmechanismen werden verschiedene Flüsse vom IdP gestartet.

5

Die App sendet einen HTTP-Post zurück an den Identitätsdienst und enthält die vom IdP bereitgestellten und in der ursprünglichen Vereinbarung vereinbarten Attribute.

Wenn die Authentifizierung erfolgreich ist, sendet die App die Informationen in einer SAML POST-Nachricht an Identitätsdienst.

Der RelayState entspricht der vorherigen HTTP POST-Nachricht, wobei die App dem IdP mitteilt, welche EntityID die Zusicherung anfordert.

6

SAML-Assertion vom IdP an Webex.

7

Der Identitätsdienst erhält einen Autorisierungscode, der durch ein OAuth-Zugriffs- und Aktualisierungstoken ersetzt wird.Dieses Token wird verwendet, um im Auftrag des Benutzers auf Ressourcen zuzugreifen.

Nachdem der Identitätsdienst die Antwort vom IdP validiert hat, gibt er ein OAuth-Token aus, mit dem die Webex-App auf die verschiedenen Webex-Dienste zugreifen kann.