Sljedeća rješenja za upravljanje web pristupom i federacija testirana su za Webex organizacije.Dokumenti povezani u nastavku vode vas kroz to kako integrirati tog određenog davatelja identiteta (IdP) s vašom Webex organizacijom.


 

Ovi vodiči pokrivaju SSO integraciju za Webex usluge kojima se upravlja u Kontrolnom čvorištu ( https://admin.webex.com).Ako tražite SSO integraciju web-mjesta za sastanke web-mjesta (kojim se upravlja u administraciji web-mjesta), pročitajte članak Konfiguriranje jedinstvene prijave za Cisco web-mjesto.

Ako ne vidite dolje naveden IDP, slijedite korake na visokoj razini na kartici Postavljanje SSO-a u ovom članku.

Jedinstvena prijava (SSO) omogućuje korisnicima sigurnu prijavu na Webex autentifikacijom zajedničkog davatelja identiteta (IdP) vašim tvrtkama ili ustanovama.Aplikacija Webex koristi uslugu Webex za komunikaciju s uslugom identiteta webex platforme.Usluga identiteta provjerava autentičnost kod vašeg davatelja identiteta (IdP).

Konfiguraciju započinjete u kontrolnom čvorištu.Ovaj odjeljak obuhvaća generičke korake na visokoj razini za integraciju IDP-a treće strane.


 
Kada konfigurirate SSO sa svojim IDP-om, možete mapirati bilo koji atribut na uid.Na primjer, mapirajte userPrincipalName, pseudonim e-pošte, alternativnu adresu e-pošte ili bilo koji drugi prikladan atribut uid.IdP mora uskladiti jednu od korisnikovih adresa e-pošte s uid-om prilikom prijave.Webex podržava mapiranje do 5 adresa e-pošte na uid.

Za SSO i Kontrolno središte IDP-ovi moraju biti u skladu sa specifikacijom SAML 2.0.Osim toga, IDP-ovi se moraju konfigurirati na sljedeći način:

  • Postavite atribut NameID format na urn:oasis:names:tc:SAML:2.0:nameid-format:prolazno

  • Konfigurirajte polaganje prava na IdP prema vrsti SSO-a koju uvodite:

    • SSO (za organizaciju) – ako konfigurirate SSO u ime organizacije, konfigurirajte IDP polaganje prava tako da uključuje naziv uid atributa s vrijednošću koja je mapirana na atribut odabran u povezniku direktorija ili korisnički atribut koji odgovara onom odabranom u usluzi identiteta Webex.(Ovaj atribut može biti adresa e-pošte ili korisničko ime-glavno ime, na primjer.)

    • Partnerski SSO (samo za davatelje usluga)— Ako ste administrator davatelja usluga koji konfigurira SSO partnera da ga koriste korisničke organizacije kojima davatelj usluga upravlja, konfigurirajte IDP pravo tako da uključuje atribut pošte (a ne uid).Vrijednost se mora mapirati na atribut odabran u povezniku direktorija ili na korisnički atribut koji odgovara onom koji je odabran u usluzi identiteta Webex.


     

    Dodatne informacije o mapiranju prilagođenih atributa za SSO ili PARTNERSKI SSO potražite u odjeljku https://www.cisco.com/go/hybrid-services-directory.

  • Samo partnerski SSO.Davatelj identiteta mora podržavati višestruke URL-ove usluge za zaštitu potrošača assertiona (ACS).Primjere konfiguriranja više URL-ova ACS-a na davatelju identiteta potražite u sljedećim člancima:

  • Koristite podržani preglednik:preporučujemo najnoviju verziju Mozilla Firefoxa ili Google Chromea.

  • Onemogućite sve blokatore skočnih prozora u pregledniku.


 

Vodiči za konfiguraciju prikazuju konkretan primjer za integraciju SSO-a, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti.Na primjer, koraci integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentirani su.Ostali oblici kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress radit će na integraciji SSO-a, ali su izvan opsega naše dokumentacije.

Morate uspostaviti SAML ugovor između Usluge identiteta webex platforme i vašeg IDP-a.

Za postizanje uspješnog SAML ugovora potrebne su vam dvije datoteke:

  • Datoteka metapodataka iz IDP-a, koju treba dati Webexu.

  • Datoteka metapodataka s Webexa koja se daje IDP-u.

Ovo je primjer datoteke metapodataka pingFederacije s metapodacima iz IDP-a.

Datoteka metapodataka iz usluge identiteta.

Slijedi ono što očekujete vidjeti u datoteci metapodataka iz usluge identiteta.

  • EntityID – koristi se za identifikaciju SAML sporazuma u konfiguraciji IDP-a

  • Ne postoji zahtjev za potpisanim zahtjevom AuthN-a ili bilo kakvim tvrdnjama o znaku, on je u skladu s onim što IdP traži u datoteci metapodataka.

  • Potpisana datoteka metapodataka za IDP radi provjere pripadaju li metapodaci usluzi identiteta.

1

U prikazu klijenta u kontrolnom središtu ( https://admin.webex.com) idite na Upravljanje > postavkamaorganizacije, pomaknite se do provjere autentičnosti i uključite postavku Jedinstvena prijava da biste pokrenuli čarobnjak za konfiguraciju.

2

Odaberite vrstu certifikata:

  • Ciscoje sam potpisao – preporučujemo da odaberete ovu opciju kako biste nam omogućili da postanemo SP.Također, certifikat morate obnavljati samo svakih pet godina.
  • Potpisala ustanovaza javne certifikate – ova je mogućnost sigurna i preporučljiva ako svoje certifikate potpišete od javnog izdavatelja certifikata kao što su Hidrant ili Godaddy.Međutim, certifikat morate obnavljati jednom godišnje.
3

Kliknite Preuzmi metapodatke , a zatim Dalje.

4

Servis identiteta platforme Webex provjerava valjanost datoteke metapodataka iz IDP-a.

Postoje dva moguća načina provjere valjanosti metapodataka iz IDP-a korisnika:

  • IDP klijenta pruža potpis u metapodacima koje potpisuje javni korijenski CA.

  • Korisnički IdP pruža samopotpisani privatni CA ili ne daje potpis za njihove metapodatke.Ova opcija je manje sigurna.

5

Testirajte SSO vezu prije nego što je omogućite.Ovaj korak funkcionira kao suho trčanje i ne utječe na postavke tvrtke ili ustanove dok ne omogućite SSO u sljedećem koraku.


 

Da biste izravno vidjeli iskustvo prijave u SSO, možete kliknuti i Kopiraj URL u međuspremnik s ovog zaslona i zalijepiti ga u prozor privatnog preglednika.Odatle možete proći kroz prijavu sa SSO-om.To pomaže ukloniti sve informacije predmemorirane u vašem web-pregledniku koje bi mogle pružiti lažno pozitivan rezultat prilikom testiranja vaše SSO konfiguracije.

6

Ako test uspije, okrenite SSO i spremite promjene.

Morate spremiti promjene da bi SSO stupio na snagu u vašoj tvrtki ili ustanovi.

Bez obzira jeste li primili obavijest o certifikatu koji istječe ili želite provjeriti postojeću konfiguraciju SSO-a, u Kontrolnom središtu možete koristiti značajke upravljanja jedinstvenom prijavom (SSO) za upravljanje certifikatima i opće aktivnosti održavanja SSO-a.

Ako naiđete na probleme s integracijom SSO-a, pomoću zahtjeva i postupka u ovom odjeljku otklonite poteškoće sa SAML tokom između IDP-a i Webexa.

  • Upotrijebite DODATAK ZA PRAĆENJE SAML-a za Firefox ili Chrome.

  • Da biste otklonili poteškoće, koristite web-preglednik u koji ste instalirali ALAT ZA ISPRAVLJANJE POGREŠAKA SAML praćenja i idite na web-verziju Webexa u https://web.webex.comsustavu .

Slijedi tijek poruka između webex aplikacije, webex usluga, usluge identiteta webex platforme i davatelja identiteta identiteta (IdP).

1

Idite na https://admin.webex.com SSO i, s omogućenim SSO-om, aplikacija traži adresu e-pošte.

Aplikacija šalje podatke usluzi Webex koja potvrđuje adresu e-pošte.

2

Aplikacija šalje GET zahtjev poslužitelju za autorizaciju OAuth-a za token.Zahtjev se preusmjerava na uslugu identiteta na SSO ili tijek korisničkog imena i lozinke.VRAĆA se URL poslužitelja za provjeru autentičnosti.

Zahtjev GET možete vidjeti u datoteci praćenja.

U odjeljku s parametrima usluga traži OAuth kôd, e-poštu korisnika koji je poslao zahtjev i druge detalje OAutha kao što su ClientID, redirectURI i Scope.

3

Webex aplikacija traži SAML tvrdnju od IdP-a pomoću SAML HTTP POST-a.

Kada je omogućen SSO, modul za provjeru autentičnosti u usluzi identiteta preusmjerava se na IDP URL za SSO.URL IDP-a naveden prilikom razmjene metapodataka.

U alatu za praćenje potražite SAML POST poruku.Vidjet ćete HTTP POST poruku IDP-u koju je zatražio IdPbroker.

Parametar RelayState prikazuje točan odgovor iz IDP-a.

Pregledajte dekodiranu verziju SAML zahtjeva, nema mandata AuthN i odredište odgovora treba ići na odredišni URL IdP-a.Provjerite je li nazivni iid-format ispravno konfiguriran u IDP-u pod ispravnim ID-om entiteta (SPNameQualifier)

Naveden je IdP-ov imenski oblik i naziv ugovora konfiguriran prilikom stvaranja SAML sporazuma.

4

Provjera autentičnosti aplikacije događa se između web-resursa operacijskog sustava i IDP-a.

Ovisno o vašem IDP-u i mehanizmima provjere autentičnosti konfiguriranim u IdP-u, iz IDP-a se pokreću različiti tokovi.

5

Aplikacija šalje HTTP Post natrag u uslugu identiteta i uključuje atribute koje pruža IdP i dogovorene u početnom ugovoru.

Kada je provjera autentičnosti uspješna, aplikacija šalje podatke u PORUCI SAML POST usluzi identiteta.

RelayState je isti kao i prethodna HTTP POST poruka u kojoj aplikacija govori IdP-u koji EntityID traži tu tvrdnju.

6

SAML tvrdnja od IdP-a do Webexa.

7

Usluga identiteta prima kôd za autorizaciju koji je zamijenjen OAuth pristupnim i osvježivim tokenom.Ovaj se token koristi za pristup resursima u ime korisnika.

Nakon što usluga identiteta potvrdi odgovor iz IdP-a, izdaju OAuth token koji aplikaciji Webex omogućuje pristup različitim Webex uslugama.