Ha saját identitásszolgáltatója (IdP) van a szervezetben, integrálhatja a SAML IdP-t a szervezettel a Control Hubban egyszeri bejelentkezéshez (SSO). Az egyszeri bejelentkezés lehetővé teszi a felhasználók számára, hogy egyetlen, közös hitelesítő adatot használjanak a Webex alkalmazásalkalmazásokhoz és a szervezet más alkalmazásaihoz.
A webex szervezetek számára a következő webes hozzáférés-kezelési és összevonási megoldásokat tesztelték. Az alábbi dokumentumok végigvezetik, hogyan integrálhatja az adott identitásszolgáltatót (IdP) a Webex szervezetével.
 |
Ezek az útmutatók a Control Hub ( ) kezelés alatt álló Webex-szolgáltatások egyszeri bejelentkezését fedikhttps://admin.webex.comle. Ha webex meetings webhely egyszeri bejelentkezését keresi (a Webhelyfelügyeletben kezelve), olvassa el a Egyszeri bejelentkezés konfigurálása a Cisco webex webhelyhezcímű témakört. |
Ha nem látja az alábbi azonosítót, kövesse a cikk SSO-beállítás lapjának magas szintű lépéseit.
Az egyszeri bejelentkezés (egyszeri bejelentkezés) lehetővé teszi a felhasználók számára, hogy biztonságosan bejelentkezjenek a Webexbe azáltal, hogy hitelesíti a szervezetek közös identitásszolgáltatóját (IdP). A Webex alkalmazás a Webex szolgáltatást használja a Webex Platform Identity Service szolgáltatással való kommunikációhoz. Az identitásszolgáltatás hitelesít az identitásszolgáltatóval (IdP).
A konfigurációt a Control Hubban indíthatja el. Ez a szakasz magas szintű, általános lépéseket rögzít a harmadik féltől származó idP integrálásához.
Az egyszeri bejelentkezések és a vezérlőközpont esetében az azonosítóknak meg kell felelniük az SAML 2.0 specifikációnak. Ezenkívül a belső menekülteket a következő módon kell konfigurálni:
Állítsa a NameID Format attribútumot urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Jogcím konfigurálása az idP-n az üzembe helyezett egyszeri bejelentkezés típusa szerint:
Egyszeri bejelentkezés (szervezet esetén)–Ha egy szervezet nevében konfigurálja az egyszeri bejelentkezést, konfigurálja úgy az IdP-jogcímet, hogy az azonosító attribútum nevét tartalmazza a Címtár-összekötőben kiválasztott attribútumhoz vagy aWebex identitásszolgáltatásban kiválasztottnak megfelelő felhasználói attribútumhoz. (Ez az attribútum lehet például e-mail-címek vagy felhasználónév.)
Partner egyszeri bejelentkezése (csak szolgáltatók számára)– Ha Ön szolgáltatói rendszergazda, aki úgy konfigurálja a Partner SSO-t, hogy a Szolgáltató által kezelt ügyfélszervezetek használják, konfigurálja úgy az IdP-jogcímet, hogy az tartalmazza a levelezési attribútumot (nem pedig az uid). Az értéknek le kell rendelnie a Címtár-összekötőben kiválasztottattribútumot, vagy a Webex identity szolgáltatásban kiválasztottnak megfelelő felhasználói attribútumot.
Az egyéni attribútumok egyéni attribútumainak leképezéséről az egyszeri bejelentkezéshez vagy a partner egyszeri bejelentkezéséhez lásd: https://www.cisco.com/go/hybrid-services-directory.
Csak partnerI egyszeri bejelentkezés. Az Identity Providernak több állítási fogyasztói szolgáltatás (ACS) URL-ét is támogatnia kell. Ha több ACS-URL-t is konfigurálhat egy identitásszolgáltatón, a alábbi témakörben található:
Támogatott böngésző használata: javasoljuk a Mozilla Firefox vagy a Google Chrome legújabb verzióját.
Tiltsa le az előugró ablakok blokkolóját a böngészőben.
|
A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. A nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient integrációs lépései például dokumentálva vannak. Más formátumok, mint például az urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO-integrációhoz fog működni, de nem tartoznak a dokumentációnk hatókörébe. |
Saml-szerződést kell létrehoznia a Webex Platform Identity Service és az IdP között.
A sikeres SAML-megállapodás eléréséhez két fájlra van szükség:
Metaadatfájl az IdP-ből, amelyet a Webexnek kellmegadnia.
Metaadatfájl a Webexből, amelyet az IdP-nek ad.
Ez egy példa egy PingFederate metaadatfájlra, amely az IdP metaadatait nyalja.
Metaadatfájl az identitásszolgáltatásból.
Az alábbiakban azt látják majd, hogy mit fog látni az identitásszolgáltatás metaadatfájljában.
EntityID – Ez az IDP-konfiguráció SAML-szerződésének azonosítására szolgál
Nincs szükség aláírt AuthN-kérelemre vagy bármilyen jeligényre, az megfelel annak, amit az IdP kér a metaadatfájlban.
Az IdP aláírt metaadatfájlja annak ellenőrzésére, hogy a metaadatok az identitásszolgáltatáshoz tartoznak-e.
| 1 | A Control Hub ( ) ügyfélnézetéből lépjen ahttps://admin.webex.comelemre, görgessen a Hitelesítés elemre, és váltson a Egyszeri bejelentkezés beállításra a konfigurációs varázsló elindításához. |
||
| 2 | Válassza ki a tanúsítvány típusát:
|
||
| 3 | Kattintson a Metaadatok letöltése elemre, majd a Következőelemre. |
||
| 4 | A Webex Platform Identity szolgáltatás ellenőrzi a metaadatfájlt az IdP-ből. A metaadatok érvényesítésének két módja van az Ügyfélazonosító rendszerből:
|
||
| 5 | Az engedélyezés előtt tesztelje az egyszeri bejelentkezést. Ez a lépés úgy működik, mint egy száraz futtatás, és nem befolyásolja a szervezeti beállításokat, amíg a következő lépésben engedélyezni nem engedélyezi az egyszeri bejelentkezést.
|
||
| 6 | Ha a teszt sikeres, kapcsolja be az egyszeri bejelentkezést, és mentse a módosításokat. A módosításokat mentenie kell ahhoz, hogy az egyszeri bejelentkezés érvénybe lépjen a szervezetben. |
Függetlenül attól, hogy értesítést kapott egy lejáró tanúsítványról, vagy ellenőrizni szeretné a meglévő egyszeri bejelentkezés konfigurációját, használhatja a Control Hub egyszeri bejelentkezési (SSO) felügyeleti funkcióit a tanúsítványkezeléshez és az általános egyszeri bejelentkezések karbantartásához.
Ha problémákba ütközik az egyszeri bejelentkezéssel, az ebben a szakaszban található követelmények és eljárások segítségével hárítsa el az IdP és a Webex közötti SAML-folyamatot.
Használja a SAML nyomkövetési bővítményt a Firefoxhoz vagy a Chrome-hoz.
A hibaelhárításhoz használja azt a webböngészőt, amelyre telepítette a SAML nyomkövetési hibakeresési eszközt, és lépjen a Webex webes verziójára a https://web.webex.com.
Az alábbiakban a Webex alkalmazás, a Webex Services, a Webex Platform Identity Service és az Identity provider (IdP) közötti üzenetek áramlását hatjuk be.
- Lépjen, https://admin.webex.com és ha az egyszeri bejelentkezés engedélyezve van, az alkalmazás e-mail-címet kér.
- Az alkalmazás GET-kérelmet küld az OAuth engedélyezési kiszolgálónak jogkivonatért. A rendszer átirányítja a személyazonossági szolgáltatásba az egyszeri bejelentkezéshez vagy a felhasználónévhez és a jelszóhoz. A rendszer visszaadja a hitelesítési kiszolgáló URL-címét.
- A Webex alkalmazás SAML-állítást kér az idP-től SAML HTTP POST használatával.
- Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.
- Az alkalmazás http-bejegyzést küld vissza az identitásszolgáltatásnak, és tartalmazza az IdP által megadott és az eredeti megállapodásban elfogadott attribútumokat.
- SAML állítás az IdP-től a Webex-nek.
- Az identitásszolgáltatás egy engedélyezési kódot kap, amelyet OAuth-hozzáférési és frissítési jogkivonat vált fel. Ez a jogkivonat a felhasználó nevében lévő erőforrások elérésére szolgál.
| 1 | Lépjen, https://admin.webex.com és ha az egyszeri bejelentkezés engedélyezve van, az alkalmazás e-mail-címet kér.  Az alkalmazás elküldi az információkat a Webex szolgáltatásnak, amely ellenőrzi az e-mail címet.
|
| 2 | Az alkalmazás GET-kérelmet küld az OAuth engedélyezési kiszolgálónak jogkivonatért. A rendszer átirányítja a személyazonossági szolgáltatásba az egyszeri bejelentkezéshez vagy a felhasználónévhez és a jelszóhoz. A rendszer visszaadja a hitelesítési kiszolgáló URL-címét.  A GET kérést a nyomkövetési fájlban tekintheti meg.
A paraméterek szakaszban a szolgáltatás egy OAuth-kódot, a kérést küldő felhasználó e-mailjét, valamint egyéb OAuth-adatokat, például ClientID-t, redirectURI-t és Scope-ot keres.
|
| 3 | A Webex alkalmazás SAML-állítást kér az idP-től SAML HTTP POST használatával.
Ha az egyszeri bejelentkezés engedélyezve van, az identitásszolgáltatás hitelesítési motorja átirányítja az egyszeri bejelentkezés idP-URL-címére. A metaadatok cseréjekor megadott idP URL-cím.
Ellenőrizze a nyomkövetési eszközben egy SAML POST üzenetet. Megjelenik egy HTTP POST üzenet az IdP által kért idP-nek.
A RelayState paraméter az IdP helyes válaszát mutatja.
Tekintse át az SAML-kérelem dekódoló verzióját, nincs AuthN mandátum, és a válasz céljának az IdP cél URL-címére kell mennie. Győződjön meg arról, hogy a nameid-formátum megfelelően van konfigurálva az idP-ben a megfelelő entityID (SPNameQualifier) alatt
Meg van adva az IdP nameid-formátum, és a szerződés neve konfigurálva van az SAML-szerződés létrehozásakor. |
| 4 | Az alkalmazás hitelesítése az operációs rendszer webes erőforrásai és az IdP között történik.
Az idP-től és az IdP-ben konfigurált hitelesítési mechanizmusoktól függően a rendszer különböző folyamatokat indít el az azonosító rendszerből.
|
| 5 | Az alkalmazás http-bejegyzést küld vissza az identitásszolgáltatásnak, és tartalmazza az IdP által megadott és az eredeti megállapodásban elfogadott attribútumokat.
Ha a hitelesítés sikeres, az alkalmazás saml POST üzenetben küldi el az adatokat az identitásszolgáltatásnak.
A RelayState ugyanaz, mint az előző HTTP POST üzenet, ahol az alkalmazás megmondja az idP-nek, hogy melyik EntityID kéri az állítást.
|
| 6 | SAML állítás az IdP-től a Webex-nek.
|
| 7 | Az identitásszolgáltatás egy engedélyezési kódot kap, amelyet OAuth-hozzáférési és frissítési jogkivonat vált fel. Ez a jogkivonat a felhasználó nevében lévő erőforrások elérésére szolgál.
Miután az identitásszolgáltatás érvényesítette az IdP válaszát, kiadnak egy OAuth-jogkivonatot, amely lehetővé teszi a Webex alkalmazás számára a különböző Webex szolgáltatások elérését.
|
