A következő webes hozzáférés-kezelési és összevonási megoldásokat tesztelték a Webex szervezetek számára.Az alább hivatkozott dokumentumok végigvezetik Önt azon, hogyan integrálhatja az adott identitásszolgáltatót (IdP) a Webex szervezetével.


 

Ezek az útmutatók a Control Hubban ( ) https://admin.webex.comkezelt Webex-szolgáltatások egyszeri bejelentkezéses integrációját fedik le.Ha egy Webex Meetings webhely egyszeri bejelentkezéses integrációját keresi (a Webhelyfelügyeletben kezelt), olvassa el az Egyszeri bejelentkezés konfigurálása Cisco Webex webhelyhezcímű témakört .

Ha nem látja az alább felsorolt idP-t, kövesse a cikk SSO-beállítás lapján található magas szintű lépéseket.

Az egyszeri bejelentkezés (SSO) lehetővé teszi a felhasználók számára, hogy biztonságosan bejelentkezzenek a Webexbe azáltal, hogy hitelesítik magukat a szervezet közös identitásszolgáltatója (IdP) számára.A Webex alkalmazás a Webex szolgáltatást használja a Webex platform identitásszolgáltatással való kommunikációhoz.Az identitásszolgáltatás hitelesíti magát az identitásszolgáltatóval (IdP).

A konfigurációt a Control Hubban kezdheti meg.Ez a szakasz a harmadik féltől származó idP integrálásának magas szintű, általános lépéseit rögzíti.


 
Amikor az SSO-t az idP-vel konfigurálja, bármilyen attribútumot leképezhet az uid-re.Például képezze le a userPrincipalName nevet, egy e-mail-aliast, egy alternatív e-mail-címet vagy bármely más megfelelő attribútumot az uid-re.Az idP-nek bejelentkezéskor meg kell egyeznie a felhasználó egyik e-mail-címével az uid-vel.A Webex legfeljebb 5 e-mail cím leképezését támogatja az uid-hez.

Az identitásszolgáltatókra vonatkozó követelmények

Az SSO és a Control Hub esetében az idP-knek meg kell felelniük az SAML 2.0 specifikációnak.Ezenkívül az idP-ket a következő módon kell konfigurálni:

  • Állítsa a NameID Format attribútumot a következőre: urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfiguráljon egy jogcímet az idP-n az üzembe helyezett SSO típusának megfelelően:

    • SSO (szervezet számára) – Ha egy szervezet nevében konfigurálja az SSO-t, konfigurálja úgy az idP-jogcímet, hogy tartalmazza az uid attribútum nevét egy olyan értékkel, amely a Címtár-összekötőben kiválasztott attribútumra van leképezve, vagy a Webex identitásszolgáltatásban kiválasztott attribútumnak megfelelő felhasználói attribútumra.(Ez az attribútum lehet például E-mail Addresses vagy User-Principal-Name.)

    • Partner egyszeri bejelentkezés (csak szolgáltatók számára) – Ha Ön olyan szolgáltatói rendszergazda, aki a partner SSO-t a szolgáltató által kezelt ügyfélszervezetek általi használatra konfigurálja, konfigurálja úgy az idP jogcímet, hogy tartalmazza a mail attribútumot (és ne az uid-t).Az értéknek a Címtár-összekötőben kiválasztott attribútumra kell leképeznie, vagy arra a felhasználói attribútumra, amely megegyezik a Webex identitásszolgáltatásban kiválasztottal.


     

    Az egyéni attribútumok SSO- vagy partneri SSO-hoz való leképezésével kapcsolatos további információkért lásd: https://www.cisco.com/go/hybrid-services-directory.

  • Csak partner egyszeri bejelentkezés.Az identitásszolgáltatónak több helyességifeltétel-fogyasztói szolgáltatás (ACS) URL-címét is támogatnia kell.Példák arra, hogyan konfigurálhat több ACS URL-címet egy identitásszolgáltatón:

  • Használjon támogatott böngészőt:javasoljuk a Mozilla Firefox vagy a Google Chrome legújabb verzióját.

  • Tiltsa le a felugró ablakok blokkolását a böngészőben.


 

A konfigurációs útmutatók egy konkrét példát mutatnak be az SSO-integrációra, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez.Például az integrációs lépések nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentálva vannak.Egyéb formátumok, például urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fog az SSO-integráció esetében, de kívül esnek a dokumentációnk hatókörén.

SAML-szerződés létrehozása

SAML-megállapodást kell létrehoznia a Webex platform identitásszolgáltatása és az idP között.

A sikeres SAML-szerződés eléréséhez két fájlra van szükség:

  • Egy metaadatfájl az IdP-ből, amelyet a Webexnek kell adni.

  • Egy metaadatfájl a Webex-től, amelyet az IdP-nek kell adni.

Ez egy példa egy PingFederate metaadatfájlra, amely az idP metaadatait tartalmazza.

Metaadatfájl az identitásszolgáltatásból.

Az alábbiakban várhatóan látni fogja az identitásszolgáltatás metaadatfájljában.

  • EntityID – Ez az SAML-szerződés azonosítására szolgál az idP-konfigurációban

  • Nincs szükség aláírt AuthN-kérésre vagy bármilyen aláírási állításra, az megfelel annak, amit az idP kér a metaadatfájlban.

  • Egy aláírt metaadatfájl az idP számára annak ellenőrzésére, hogy a metaadatok az identitásszolgáltatáshoz tartoznak-e.

Webex Identity Service konfigurálása

1

A Control Hub ( https://admin.webex.com) ügyfélnézetéből lépjen a Felügyeleti > szervezeti beállításokelemre , görgessen a Hitelesítés részhez, és kapcsolja be az Egyszeri bejelentkezés beállítást a konfigurációs varázsló elindításához.

2

Válassza ki a tanúsítvány típusát:

  • A Ciscosaját aláírása – Javasoljuk, hogy válassza ezt a lehetőséget, hogy mi legyünk az SP.Ezenkívül csak ötévente kell megújítania a tanúsítványt.
  • Nyilvános hitelesítésszolgáltatóáltal aláírt – Ez a lehetőség biztonságos és ajánlott, ha a tanúsítványokat nyilvános hitelesítésszolgáltatótól, például Hydranttól vagy Godaddytől írja alá.A tanúsítványt azonban évente egyszer meg kell újítania.
3

Kattintson a Metaadatok letöltése elemre, majd a Továbbgombra .

4

A Webex Platform Identity szolgáltatás ellenőrzi a metaadatfájlt az IdP-ből.

Az ügyfél-idP metaadatainak érvényesítésének két lehetséges módja van:

  • Az ügyfél-idP egy aláírást biztosít a nyilvános legfelső szintű hitelesítésszolgáltató által aláírt metaadatokban.

  • Az ügyfél-azonosító önaláírt privát hitelesítésszolgáltatót biztosít, vagy nem biztosít aláírást a metaadataikhoz.Ez a lehetőség kevésbé biztonságos.

5

Az engedélyezés előtt tesztelje az SSO-kapcsolatot.Ez a lépés úgy működik, mint egy száraz futtatás, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben nem engedélyezi az SSO-t.


 

Az egyszeri bejelentkezés közvetlen megtekintéséhez kattintson az URL másolása a vágólapra elemre erről a képernyőről, és illessze be egy privát böngészőablakba.Innen végig betekinthet az SSO-val való bejelentkezésen.Ez segít eltávolítani a webböngészőben gyorsítótárazott összes olyan információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

6

Ha a teszt sikeres, kapcsolja be az SSO-t, és mentse a módosításokat.

Mentenie kell a módosításokat, hogy az SSO érvénybe lépjen a szervezetben.

Akár értesítést kapott egy lejáró tanúsítványról, akár ellenőrizni szeretné a meglévő SSO-konfigurációt, használhatja a Control Hub egyszeri bejelentkezés (SSO) felügyeleti funkcióit a tanúsítványkezeléshez és az általános SSO-karbantartási tevékenységekhez.

Ha problémákba ütközik az SSO-integrációval kapcsolatban, az ebben a szakaszban található követelményekkel és eljárással háríthatja el az idP és a Webex közötti SAML-folyamatot.

Az SSO hibaelhárításának követelményei

  • Használja az SAML nyomkövetési bővítményt Firefoxhoz vagy Chrome-hoz .

  • A hibaelhárításhoz használja azt a webböngészőt, ahová az SAML nyomkövetési hibakeresési eszközt telepítette, és lépjen a Webex webes verziójára a következő címen https://web.webex.com: .

A Webex alkalmazás, az idP és a Webex-szolgáltatások közötti SAML-folyamat hibaelhárítása

Az alábbiakban bemutatjuk a Webex alkalmazás, a Webex-szolgáltatások, a Webex Platform Identity Service és az identitásszolgáltató (IdP) közötti üzenetek áramlását.

1

Nyissa meg és https://admin.webex.com ha az SSO engedélyezve van, az alkalmazás e-mail-címet kér.

Az alkalmazás elküldi az információkat a Webex szolgáltatásnak, amely ellenőrzi az e-mail címet.

2

Az alkalmazás get kérést küld az OAuth engedélyezési kiszolgálónak egy jogkivonatért.A rendszer átirányítja a kérést az identitásszolgáltatásba az SSO-ba vagy a felhasználónév és jelszó folyamatba.A rendszer visszaadja a hitelesítési kiszolgáló URL-címét.

A GET kérést a nyomkövetési fájlban láthatja.

A paraméterek szakaszban a szolgáltatás OAuth-kódot, a kérést küldő felhasználó e-mail-címét és egyéb OAuth-adatokat, például ügyfél-azonosítót, redirectURI-t és hatókört keres.

3

A Webex alkalmazás SAML-állítást kér az idP-től egy SAML HTTP-bejegyzés használatával.

Ha az SSO engedélyezve van, az identitásszolgáltatás hitelesítési motorja átirányítja az SSO idP URL-címére.A metaadatok cseréjekor megadott idP URL-cím.

Ellenőrizze a nyomkövetési eszközben, hogy van-e SAML POST üzenet.Megjelenik egy HTTP POST üzenet az IdPbroker által kért idP-nek.

A RelayState paraméter az idP helyes válaszát jeleníti meg.

Tekintse át az SAML-kérés dekódolási verzióját, nincs AuthN felhatalmazás, és a válasz célhelyének az idP cél-URL-címére kell mennie.Győződjön meg arról, hogy a nameid-formátum megfelelően van konfigurálva az idP-ben a megfelelő entityID (SPNameQualifier) alatt

Az idP nameid-formátuma meg van adva, és a szerződés neve konfigurálva van az SAML-szerződés létrehozásakor.

4

Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az idP között történik.

Az idP-től és az idP-ben konfigurált hitelesítési mechanizmusoktól függően különböző folyamatok indulnak el az idP-ből.

5

Az alkalmazás egy HTTP-bejegyzést küld vissza az identitásszolgáltatásnak, és tartalmazza az idP által biztosított és az eredeti szerződésben elfogadott attribútumokat.

Ha a hitelesítés sikeres, az alkalmazás egy SAML POST üzenetben küldi el az információkat az identitásszolgáltatásnak.

A RelayState ugyanaz, mint az előző HTTP POST üzenet, amelyben az alkalmazás közli az idP-vel, hogy melyik EntityID kéri az állítást.

6

SAML állítás az idP-től a Webexig.

7

Az identitásszolgáltatás egy engedélyezési kódot kap, amely egy OAuth-hozzáférési és frissítési jogkivonatra van lecserélve.Ez a jogkivonat az erőforrásoknak a felhasználó nevében való elérésére szolgál.

Miután az identitásszolgáltatás érvényesíti az idP válaszát, kiadnak egy OAuth-jogkivonatot, amely lehetővé teszi a Webex alkalmazás számára, hogy hozzáférjen a különböző Webex-szolgáltatásokhoz.