Følgende løsninger for administrasjon av nettilgang og føderasjon ble testet for Webex-organisasjoner.Dokumentene som er koblet nedenfor, leder deg gjennom hvordan du integrerer den spesifikke identitetsleverandøren (IdP) med Webex-organisasjonen din.


 

Disse veiledningene dekker SSO-integrasjon for Webex-tjenester som administreres i Control Hub ( https://admin.webex.com).Hvis du leter etter SSO-integrering av et Webex-møteområde (administrert i Site Administration), kan du lese Konfigurere enkel pålogging for Cisco Webex-nettsted.

Hvis du ikke ser IDP-en din oppført nedenfor, følger du trinnene på høyt nivå i kategorien SSO-oppsett i denne artikkelen.

Enkel pålogging (SSO) gjør det mulig for brukere å logge på Webex sikkert ved å autentisere til organisasjonens felles identitetsleverandør (IdP).Webex-appen bruker Webex-tjenesten til å kommunisere med Webex Platform Identity Service.Identitetstjenesten godkjennes med identitetsleverandøren (IdP).

Du starter konfigurasjonen i Kontrollhub.Denne delen fanger opp generiske trinn på høyt nivå for integrering av en tredjeparts IdP.


 
Når du konfigurerer SSO med IdP, kan du tilordne et hvilket som helst attributt til uid.Du kan for eksempel tilordne userPrincipalName, et e-postalias, en alternativ e-postadresse eller et annet passende attributt til uid-en.IdP må samsvare en av brukerens e-postadresser med uid når du logger på.Webex støtter kartlegging av opptil 5 e-postadresser til uid.

For SSO og Control Hub må IdP-er være i samsvar med SAML 2.0-spesifikasjonen.IdP-er må også konfigureres på følgende måte:

  • Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP i henhold til typen SSO du distribuerer:

    • SSO (for en organisasjon) – Hvis du konfigurerer SSO på vegne av en organisasjon, konfigurerer du IdP-kravet til å inkludere navnet på uid-attributtet med en verdi som er tilordnet attributtet som er valgt i Directory Connector, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten .(Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.)

    • Partner-SSO (bare for tjenesteleverandører) – Hvis du er administrator for tjenesteleverandøren som konfigurerer partner-SSO til å brukes av kundeorganisasjonene som tjenesteleverandøren administrerer, konfigurerer du IDP-kravet til å inkludere attributtet mail (i stedet for uid).Verdien må tilordnes til attributtet som er valgt i Directory Connector, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten.


     

    Hvis du vil ha mer informasjon om tilordning av egendefinerte attributter for SSO eller partner-SSO, kan du se https://www.cisco.com/go/hybrid-services-directory.

  • Bare partner-SSO.Identitetsleverandøren må støtte flere URL-adresser for Assertion Consumer Service (ACS).Hvis du vil ha eksempler på hvordan du konfigurerer flere ACS-URL-adresser hos en identitetsleverandør, kan du se:

  • Bruk en nettleser som støttes:vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.

  • Deaktiver eventuelle popup-blokkeringer i nettleseren din.


 

Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter.Integreringstrinnene for eksempel nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient er dokumentert.Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vil arbeide for SSO-integrasjon, men er utenfor omfanget av vår dokumentasjon.

Du må opprette en SAML-avtale mellom Webex Platform Identity Service og din IdP.

Du trenger to filer for å oppnå en vellykket SAML-avtale:

  • En metadatafil fra IdP, for å gi til Webex.

  • En metadatafil fra Webex, for å gi til IdP.

Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP.

Metadatafil fra identitetstjenesten.

Følgende er hva du forventer å se i metadatafilen fra identitetstjenesten.

  • EntityID – Dette brukes til å identifisere SAML-avtalen i IdP-konfigurasjonen

  • Det er ikke noe krav om en signert AuthN-forespørsel eller noen sign-påstander, den overholder det IdP ber om i metadatafilen.

  • En signert metadatafil for IdP for å bekrefte at metadataene tilhører identitetstjenesten.

1

Fra kundevisningen i Kontrollhub ( https://admin.webex.com), gå til Innstillinger for administrasjon > organisasjon, bla til Godkjenning og slå på innstillingen for enkel pålogging for å starte konfigurasjonsveiviseren.

2

Velg sertifikattype:

  • Selvsignert av Cisco– Vi anbefaler at du velger dette alternativet for å la oss bli SP.Du trenger også bare å fornye sertifikatet hvert femte år.
  • Signert av en offentlig sertifiseringsinstans – Dette alternativet er sikkert og tilrådelig hvis du får sertifikatene signert fra en offentlig sertifiseringsinstans, for eksempel Hydrant eller GoDaddys.Du må imidlertid fornye sertifikatet en gang i året.
3

Klikk Last ned metadata , og klikk på Neste.

4

Webex Platform Identity-tjenesten validerer metadatafilen fra IdP.

Det er to mulige måter å validere metadataene fra Customer IdP:

  • Kunde-IDP gir en signatur i metadataene som er signert av en offentlig rotsertifiseringsinstans.

  • Kundens IdP gir en selvsignert privat sertifiseringsinstans eller gir ingen signatur for metadataene.Dette alternativet er mindre sikkert.

5

Test SSO-tilkoblingen før du aktiverer den.Dette trinnet fungerer som en tørrkjøring og påvirker ikke organisasjonsinnstillingene før du aktiverer SSO i neste trinn.


 

Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu.Derfra kan du gå gjennom påloggingen med SSO.Dette bidrar til å fjerne all informasjon som er bufret i nettleseren din, og som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

6

Hvis testen lykkes, snur du SSO og lagrer endringene.

Du må lagre endringer for at SSO skal tre i kraft i organisasjonen.

Enten du har mottatt et varsel om et sertifikat som utløper, eller vil kontrollere den eksisterende SSO-konfigurasjonen, kan du bruke administrasjonsfunksjonene for enkel pålogging (SSO) i Control Hub for sertifikatbehandling og generelle SSO-vedlikeholdsaktiviteter.

Hvis det oppstår problemer med SSO-integreringen, kan du bruke kravene og fremgangsmåten i denne delen til å feilsøke SAML-flyten mellom IdP og Webex.

  • Bruk SAML-sporingstillegget for Firefox eller Chrome.

  • For å feilsøke, bruk nettleseren der du installerte SAML-sporingsfeilverktøyet og gå til nettversjonen av Webex på https://web.webex.com.

Følgende er flyten av meldinger mellom Webex App, Webex Services, Webex Platform Identity Service og Identity provider (IdP).

1

Gå til https://admin.webex.com , og når SSO er aktivert, ber appen om en e-postadresse.

Appen sender informasjonen til Webex-tjenesten som bekrefter e-postadressen.

2

Appen sender en GET-forespørsel til OAuth-autorisasjonsserveren for et token.Forespørselen omdirigeres til identitetstjenesten til SSO eller brukernavn og passordflyt.URL-adressen til godkjenningsserveren returneres.

Du kan se GET-forespørselen i sporingsfilen.

I parameterdelen ser tjenesten etter en OAuth-kode, e-post fra brukeren som sendte forespørselen, og andre OAuth-detaljer, for eksempel ClientID, redirectURI og Scope.

3

Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av et SAML HTTP-INNLEGG.

Når SSO er aktivert, omdirigerer godkjenningsmotoren i identitetstjenesten til URL-adressen for IdP for SSO.URL-adressen for IdP som ble oppgitt da metadataene ble utvekslet.

Se etter en SAML POST-melding i sporingsverktøyet.Du ser en HTTP POST-melding til IdP forespurt av IdPbroker.

RelayState-parameteren viser riktig svar fra IdP.

Se gjennom dekodeversjonen av SAML-forespørselen, det er ikke noe mandat AuthN og målet for svaret skal gå til destinasjonsadressen til IdP.Kontroller at nameid-formatet er riktig konfigurert i IdP under riktig entityID (SPNameQualifier)

IdP-navne-ID-formatet er angitt, og navnet på avtalen konfigurert da SAML-avtalen ble opprettet.

4

Godkjenningen for appen skjer mellom operativsystemets nettressurser og IdP.

Avhengig av din IdP og godkjenningsmekanismene som er konfigurert i IdP, startes forskjellige flyter fra IdP.

5

Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene som ble levert av IdP og avtalt i den opprinnelige avtalen.

Når godkjenningen er vellykket, sender appen informasjonen i en SAML POST-melding til identitetstjenesten.

RelayState er den samme som den forrige HTTP POST-meldingen der appen forteller IdP hvilken EntityID som ber om påstanden.

6

SAML-deklarasjon fra IdP til Webex.

7

Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken.Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.

Etter at identitetstjenesten har validert svaret fra IdP, utsteder de et OAuth-token som lar Webex-appen få tilgang til de forskjellige Webex-tjenestene.