Hvis du har din egen identitetsleverandør (IDP) i organisasjonen, kan du integrere SAML IdP med organisasjonen i Kontrollhub for enkel pålogging (SSO). SSO lar brukerne bruke ett felles sett med legitimasjonsbeskrivelser for Webex App-programmer og andre programmer i organisasjonen.
Følgende løsninger for administrasjon og forbund av webtilgang ble testet for Webex-organisasjoner. Dokumentene som er koblet nedenfor, leder deg gjennom hvordan du integrerer den spesifikke identitetsleverandøren (IdP) med Webex-organisasjonen.
Disse veiledningene dekker SSO-integrasjon for Webex-tjenester som administreres i Kontrollhub (https://admin.webex.com). Hvis du leter etter SSO-integrasjon av et Webex Meetings-område (administrert i Områdeadministrasjon), kan du lese Konfigurere enkel pålogging for Cisco Webex-område. |
Hvis du ikke ser IdP-en din nedenfor, følger du trinnene på høyt nivå i kategorien SSO-oppsett i denne artikkelen.
Enkel pålogging (SSO) gjør det mulig for brukere å logge seg på Webex på en sikker måte ved å godkjenne for organisasjonens felles identitetsleverandør (IdP). Webex-appen bruker Webex-tjenesten til å kommunisere med Webex Platform Identity Service. Identitetstjenesten godkjennes med identitetsleverandøren (IDP).
Du starter konfigurasjonen i Kontrollhub. Denne delen registrerer generelle trinn på høyt nivå for integrering av en tredjeparts IdP.
For SSO og Control Hubmå IDPer være i samsvar med SAML 2.0-spesifikasjonen. IdP-er må også konfigureres på følgende måte:
Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Konfigurer et krav på IdP i henhold til typen SSO du distribuerer:
SSO (for en organisasjon)– Hvis du konfigurerer SSO på vegne av en organisasjon, konfigurerer du IdP-kravet til å inkludere uid -attributtnavnet med en verdi som er tilordnet attributtet som er valgt i Katalogkobling, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.)
SSO for partnere (bare for tjenesteleverandører) – Hvis du er administrator for tjenesteleverandøren som konfigurerer partner-SSO til å brukes av kundeorganisasjonene som tjenesteleverandøren administrerer, konfigurerer du IdP-kravet til å inkludere e-postattributtet (i stedet for uid). Verdien må tilordnes attributtet som er valgt i Katalogkobling, eller brukerattributtet som samsvarer med attributtet som er valgt i Webex-identitetstjenesten.
Hvis du vil ha mer informasjon om hvordan du tilordner egendefinerte attributter for enten SSO eller Partner SSO, kan du se https://www.cisco.com/go/hybrid-services-directory.
Bare SSO for partnere. Identitetsleverandøren må støtte URL-adresser for ACS (Assertion Consumer Service). Hvis du vil se eksempler på hvordan du konfigurerer flere ACS-URL-adresser på en identitetsleverandør, kan du se:
Bruk en nettleser som støttes: vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.
Deaktiver eventuelle popup-blokkeringer i nettleseren din.
Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon. |
Du må opprette en SAML-avtale mellom Webex Platform Identity Service og din IdP.
Du trenger to filer for å oppnå en vellykket SAML-avtale:
En metadatafil fra IdP som skal leveres til Webex.
En metadatafil fra Webexfor å gi til IdP.
Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP.
Metadatafil fra identitetstjenesten.
Følgende er det du forventer å se i metadatafilen fra identitetstjenesten.
EntityID– Brukes til å identifisere SAML-avtalen i IdP-konfigurasjonen
Det er ikke noe krav om en signert AuthN-forespørsel eller noen tegndeklarasjoner, den overholder det IdP ber om i metadatafilen.
En signert metadatafil for IdP for å bekrefte at metadataene tilhører identitetstjenesten.
1 | Fra kundevisningen i Kontrollhub (https://admin.webex.com) går du til , blar til Godkjenning og aktiverer innstillingen Enkel pålogging for å starte konfigurasjonsveiviseren. |
||
2 | Velg sertifikattype:
|
||
3 | Klikk Last ned metadata , og klikk Neste. |
||
4 | Webex Platform Identity Service validerer metadatafilen fra IdP. Du kan validere metadataene fra Kunde-IDP på to mulige måter:
|
||
5 | Test SSO-tilkoblingen før du aktiverer den. Dette trinnet fungerer som en tørrkjøring og påvirker ikke organisasjonsinnstillingene før du aktiverer SSO i neste trinn.
|
||
6 | Hvis testen lykkes, snur du SSO og lagrer endringene. Du må lagre endringer for at SSO skal tre i kraft i organisasjonen. |
Enten du har mottatt et varsel om et sertifikat som utløper eller vil kontrollere den eksisterende SSO-konfigurasjonen, kan du bruke SSO-administrasjonsfunksjonene (Single Sign-On) i Control Hub til sertifikatbehandling og generelle SSO-vedlikeholdsaktiviteter.
Hvis du får problemer med SSO-integrasjonen, kan du bruke kravene og fremgangsmåten i denne delen til å feilsøke SAML-flyten mellom IdP og Webex.
Bruk SAML-sporingstillegget for Firefox eller Chrome .
Hvis du vil feilsøke, bruker du webleseren der du installerte verktøyet for SAML-sporingsfeilsøking, og går til webversjonen av Webex at https://web.webex.com.
Følgende er flyten av meldinger mellom Webex-appen, Webex-tjenester, Webex Platform Identity Service og identitetsleverandøren (IdP).

- Gå til https://admin.webex.com og, med SSO aktivert, ber appen om en e-postadresse.
- Appen sender en GET-forespørsel til OAuth-godkjenningsserveren for et token. Forespørselen omdirigeres til identitetstjenesten til SSO- eller brukernavn- og passordflyten. URL-adressen for godkjenningsserveren returneres.
- Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av en SAML HTTP POST.
- Godkjenningen for appen skjer mellom nettressursene for operativsystemet og IdP.
- Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene fra IdP og avtalt i den første avtalen.
- SAML-deklarasjon fra IdP til Webex.
- Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.
1 | Gå til https://admin.webex.com og, med SSO aktivert, ber appen om en e-postadresse. ![]() Appen sender informasjonen til Webex-tjenesten som bekrefter e-postadressen. |
2 | Appen sender en GET-forespørsel til OAuth-godkjenningsserveren for et token. Forespørselen omdirigeres til identitetstjenesten til SSO- eller brukernavn- og passordflyten. URL-adressen for godkjenningsserveren returneres. ![]() Du kan se GET-forespørselen i sporingsfilen. I parameterdelen ser tjenesten etter en OAuth-kode, e-post til brukeren som sendte forespørselen, og andre OAuth-detaljer som ClientID, redirectURI og Scope. |
3 | Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av en SAML HTTP POST. Når SSO er aktivert, omdirigeres godkjenningsmotoren i identitetstjenesten til IDP-URL-adressen for SSO. URL-adressen for IdP ble angitt da metadataene ble utvekslet. Se etter en SAML POST-melding i sporingsverktøyet. Du ser en HTTP POST-melding til IdP forespurt av IdPbroker. RelayState-parameteren viser riktig svar fra IdP. Se gjennom dekodingsversjonen av SAML-forespørselen, det er ikke noe mandat AuthN og målet for svaret skal gå til mål-URL-en til IdP. Kontroller at nameid-formatet er riktig konfigurert i IdP under riktig entityID (SPNameQualifier) IdP nameid-formatet er angitt og navnet på avtalen som ble konfigurert da SAML-avtalen ble opprettet. |
4 | Godkjenningen for appen skjer mellom nettressursene for operativsystemet og IdP. Avhengig av din IdP og godkjenningsmekanismene som er konfigurert i IdP, startes forskjellige flyter fra IdP. |
5 | Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene fra IdP og avtalt i den første avtalen. Når godkjenningen er vellykket, sender appen informasjonen i en SAML POST-melding til identitetstjenesten. RelayState er den samme som forrige HTTP POST-melding der appen forteller IdP hvilken EntityID som ber om deklarasjonen. |
6 | SAML-deklarasjon fra IdP til Webex. |
7 | Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken. Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren. Når identitetstjenesten har validert svaret fra IdP, utsteder de et OAuth-token som gir Webex-appen tilgang til de forskjellige Webex-tjenestene. |