Hvis du har din egen identitetsleverandør (IdP) i organisasjonen, kan du integrere SAML IdP med organisasjonen i Kontrollhub for enkel pålogging (SSO).SSO lar brukerne bruke et enkelt, felles sett med legitimasjon for Webex App-applikasjoner og andre programmer i organisasjonen.
Følgende løsninger for administrasjon av nettilgang og føderasjon ble testet for Webex-organisasjoner.Dokumentene som er koblet nedenfor, leder deg gjennom hvordan du integrerer den spesifikke identitetsleverandøren (IdP) med Webex-organisasjonen din.
 | Disse veiledningene dekker SSO-integrasjon for Webex-tjenester som administreres i Control Hub ( https://admin.webex.com).Hvis du leter etter SSO-integrering av et Webex-møteområde (administrert i Site Administration), kan du lese Konfigurere enkel pålogging for Cisco Webex-nettsted. |
Hvis du ikke ser IDP-en din oppført nedenfor, følger du trinnene på høyt nivå i kategorien SSO-oppsett i denne artikkelen.
Enkel pålogging (SSO) gjør det mulig for brukere å logge på Webex sikkert ved å autentisere til organisasjonens felles identitetsleverandør (IdP).Webex-appen bruker Webex-tjenesten til å kommunisere med Webex Platform Identity Service.Identitetstjenesten godkjennes med identitetsleverandøren (IdP).
Du starter konfigurasjonen i Kontrollhub.Denne delen fanger opp generiske trinn på høyt nivå for integrering av en tredjeparts IdP.
| Når du konfigurerer SSO med IdP, kan du tilordne et hvilket som helst attributt til uid.Du kan for eksempel tilordne userPrincipalName, et e-postalias, en alternativ e-postadresse eller et annet passende attributt til uid-en.IdP må samsvare en av brukerens e-postadresser med uid når du logger på.Webex støtter kartlegging av opptil 5 e-postadresser til uid. |
For SSO og Control Hub må IdP-er være i samsvar med SAML 2.0-spesifikasjonen.IdP-er må også konfigureres på følgende måte:
Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Konfigurer et krav på IdP i henhold til typen SSO du distribuerer:
SSO (for en organisasjon) – Hvis du konfigurerer SSO på vegne av en organisasjon, konfigurerer du IdP-kravet til å inkludere navnet på uid-attributtet med en verdi som er tilordnet attributtet som er valgt i Directory Connector, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten .(Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.)
Partner-SSO (bare for tjenesteleverandører) – Hvis du er administrator for tjenesteleverandøren som konfigurerer partner-SSO til å brukes av kundeorganisasjonene som tjenesteleverandøren administrerer, konfigurerer du IDP-kravet til å inkludere attributtet mail (i stedet for uid).Verdien må tilordnes til attributtet som er valgt i Directory Connector, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten.
Hvis du vil ha mer informasjon om tilordning av egendefinerte attributter for SSO eller partner-SSO, kan du se https://www.cisco.com/go/hybrid-services-directory.
Bare partner-SSO.Identitetsleverandøren må støtte flere URL-adresser for Assertion Consumer Service (ACS).Hvis du vil ha eksempler på hvordan du konfigurerer flere ACS-URL-adresser hos en identitetsleverandør, kan du se:
Bruk en nettleser som støttes:vi anbefaler den nyeste versjonen av Mozilla Firefox eller Google Chrome.
Deaktiver eventuelle popup-blokkeringer i nettleseren din.
| Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter.Integreringstrinnene for eksempel |
Du må opprette en SAML-avtale mellom Webex Platform Identity Service og din IdP.
Du trenger to filer for å oppnå en vellykket SAML-avtale:
En metadatafil fra IdP, for å gi til Webex.
En metadatafil fra Webex, for å gi til IdP.
Dette er et eksempel på en PingFederate-metadatafil med metadata fra IdP.
Metadatafil fra identitetstjenesten.
Følgende er hva du forventer å se i metadatafilen fra identitetstjenesten.
EntityID – Dette brukes til å identifisere SAML-avtalen i IdP-konfigurasjonen
Det er ikke noe krav om en signert AuthN-forespørsel eller noen sign-påstander, den overholder det IdP ber om i metadatafilen.
En signert metadatafil for IdP for å bekrefte at metadataene tilhører identitetstjenesten.
| 1 | Fra kundevisningen i Kontrollhub ( https://admin.webex.com), gå til Innstillinger for administrasjon Godkjenning og slå på innstillingen for enkel pålogging for å starte konfigurasjonsveiviseren. | ||
| 2 | Velg sertifikattype:
| ||
| 3 | Klikk Last ned metadata , og klikk på Neste. | ||
| 4 | Webex Platform Identity-tjenesten validerer metadatafilen fra IdP. Det er to mulige måter å validere metadataene fra Customer IdP:
| ||
| 5 | Test SSO-tilkoblingen før du aktiverer den.Dette trinnet fungerer som en tørrkjøring og påvirker ikke organisasjonsinnstillingene før du aktiverer SSO i neste trinn.
| ||
| 6 | Hvis testen lykkes, snur du SSO og lagrer endringene. Du må lagre endringer for at SSO skal tre i kraft i organisasjonen. |
Enten du har mottatt et varsel om et sertifikat som utløper, eller vil kontrollere den eksisterende SSO-konfigurasjonen, kan du bruke administrasjonsfunksjonene for enkel pålogging (SSO) i Control Hub for sertifikatbehandling og generelle SSO-vedlikeholdsaktiviteter.
Hvis det oppstår problemer med SSO-integreringen, kan du bruke kravene og fremgangsmåten i denne delen til å feilsøke SAML-flyten mellom IdP og Webex.
For å feilsøke, bruk nettleseren der du installerte SAML-sporingsfeilverktøyet og gå til nettversjonen av Webex på https://web.webex.com.
Følgende er flyten av meldinger mellom Webex App, Webex Services, Webex Platform Identity Service og Identity provider (IdP).
| 1 | Gå til https://admin.webex.com , og når SSO er aktivert, ber appen om en e-postadresse.
 Appen sender informasjonen til Webex-tjenesten som bekrefter e-postadressen.
|
| 2 | Appen sender en GET-forespørsel til OAuth-autorisasjonsserveren for et token.Forespørselen omdirigeres til identitetstjenesten til SSO eller brukernavn og passordflyt.URL-adressen til godkjenningsserveren returneres.  Du kan se GET-forespørselen i sporingsfilen.
I parameterdelen ser tjenesten etter en OAuth-kode, e-post fra brukeren som sendte forespørselen, og andre OAuth-detaljer, for eksempel ClientID, redirectURI og Scope.
|
| 3 | Webex-appen ber om en SAML-deklarasjon fra IdP ved hjelp av et SAML HTTP-INNLEGG.
Når SSO er aktivert, omdirigerer godkjenningsmotoren i identitetstjenesten til URL-adressen for IdP for SSO.URL-adressen for IdP som ble oppgitt da metadataene ble utvekslet.
Se etter en SAML POST-melding i sporingsverktøyet.Du ser en HTTP POST-melding til IdP forespurt av IdPbroker.
RelayState-parameteren viser riktig svar fra IdP.
Se gjennom dekodeversjonen av SAML-forespørselen, det er ikke noe mandat AuthN og målet for svaret skal gå til destinasjonsadressen til IdP.Kontroller at nameid-formatet er riktig konfigurert i IdP under riktig entityID (SPNameQualifier)
IdP-navne-ID-formatet er angitt, og navnet på avtalen konfigurert da SAML-avtalen ble opprettet. |
| 4 | Godkjenningen for appen skjer mellom operativsystemets nettressurser og IdP.
Avhengig av din IdP og godkjenningsmekanismene som er konfigurert i IdP, startes forskjellige flyter fra IdP.
|
| 5 | Appen sender et HTTP-innlegg tilbake til identitetstjenesten og inkluderer attributtene som ble levert av IdP og avtalt i den opprinnelige avtalen.
Når godkjenningen er vellykket, sender appen informasjonen i en SAML POST-melding til identitetstjenesten.
RelayState er den samme som den forrige HTTP POST-meldingen der appen forteller IdP hvilken EntityID som ber om påstanden.
|
| 6 | SAML-deklarasjon fra IdP til Webex.
|
| 7 | Identitetstjenesten mottar en autorisasjonskode som erstattes med et OAuth-tilgangs- og oppdateringstoken.Dette tokenet brukes til å få tilgang til ressurser på vegne av brukeren.
Etter at identitetstjenesten har validert svaret fra IdP, utsteder de et OAuth-token som lar Webex-appen få tilgang til de forskjellige Webex-tjenestene.
|
