Następujące rozwiązania do zarządzania dostępem do sieci Web i federacji zostały przetestowane dla organizacji Webex.The following Web access management and federation solutions were tested for Webex organizations.Poniższe dokumenty, do których łącza znajdują się poniżej, przeprowadzą Cię przez proces integracji tego konkretnego dostawcy tożsamości (IdP) z organizacją Webex.


 

Te przewodniki obejmują integrację logowania jednokrotnego dla usług Webex zarządzanych w Centrum sterowania ( https://admin.webex.com).Jeśli szukasz integracji logowania jednokrotnego witryny Webex Meetings (zarządzanej w obszarze Administracja witryną), przeczytaj Konfigurowanie logowania jednokrotnego dla witryny Cisco Webex.If you're looking for SSO integration of a Webex Meetings site (managed in Site Administracja witryną), read Configure Single Sign-On for Cisco Webex Site (Konfigurowanie logowania jednokrotnego dla witryny Cisco Webex Webex Site).

Jeśli nie widzisz swojego dostawcy tożsamości na poniższej liście, wykonaj ogólne kroki opisane na karcie Konfiguracja logowania jednokrotnego w tym artykule.

Logowanie jednokrotne (SSO) umożliwia użytkownikom bezpieczne logowanie się do usługi Webex przez uwierzytelnianie u wspólnego dostawcy tożsamości (IdP) organizacji.Aplikacja Webex używa usługi Webex do komunikacji z usługą tożsamości platformy Webex.Usługa tożsamości uwierzytelnia się u dostawcy tożsamości (IdP).

Rozpocznij konfigurację w Centrum sterowania.W tej sekcji omówiono ogólne kroki integracji dostawcy tożsamości innej firmy.


 
Po skonfigurowaniu logowania jednokrotnego przy użyciu dostawcy tożsamości możesz mapować dowolny atrybut na identyfikator uid.Na przykład zamapuj userPrincipalName, alias e-mail, alternatywny adres e-mail lub inny odpowiedni atrybut na identyfikator uid.Podczas logowania dostawca tożsamości musi dopasować jeden z adresów e-mail użytkownika do identyfikatora uid.Webex obsługuje mapowanie do 5 adresów e-mail na uid.

W przypadku logowania jednokrotnego i centrum sterowania dostawcy tożsamości muszą być zgodne ze specyfikacją SAML 2.0.Ponadto dostawcy tożsamości muszą być skonfigurowani w następujący sposób:

  • Ustaw atrybut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Skonfiguruj oświadczenie dostawcy tożsamości zgodnie z typem wdrażanego logowania jednokrotnego:Configure a claim on the IdP according to the type of SSO that you are deploying:

    • Logowanie jednokrotne (dla organizacji) — jeśli konfigurujesz logowanie jednokrotne w imieniu organizacji, skonfiguruj oświadczenie dostawcy tożsamości tak, aby zawierało nazwę atrybutu uid z wartością odwzorowaną na atrybut wybrany w module Directory Connector lub atrybut użytkownika zgodny z atrybutem wybranym w usłudze tożsamości Webex.(Tym atrybutem może być na przykład E-mail-Addresses lub User-Principal-Name).

    • Logowanie jednokrotne partnera (tylko dla usługodawców) – jeśli jesteś administratorem usługodawcy, który konfiguruje logowanie jednokrotne partnera do używania przez organizacje klientów zarządzane przez usługodawcę, skonfiguruj oświadczenie dostawcy tożsamości tak, aby zawierało atrybut poczty (a nie identyfikator użytkownika).Wartość musi być mapowana na atrybut wybrany w module zarządzania katalogami lub atrybut użytkownika zgodny z atrybutem wybranym w usłudze tożsamości Webex.


     

    Aby uzyskać więcej informacji na temat mapowania atrybutów niestandardowych dla logowania jednokrotnego lub partnera, zobacz https://www.cisco.com/go/hybrid-services-directory.

  • Tylko logowanie jednokrotne partnera.Dostawca tożsamości musi obsługiwać wiele adresów URL usługi Assertion Consumer Service (ACS).Aby zapoznać się z przykładami konfigurowania wielu adresów URL usługi ACS u dostawcy tożsamości, zobacz:For examples of how to configure multiple ACS URLs on an Identity Provider, see:

  • Użyj obsługiwanej przeglądarki:zalecamy najnowszą wersję przeglądarki Mozilla Firefox lub Google Chrome.

  • Wyłącz wszystkie programy blokujące wyskakujące okienka w przeglądarce.


 

Przewodniki konfiguracji pokazują konkretny przykład integracji logowania jednokrotnego, ale nie zapewniają wyczerpującej konfiguracji dla wszystkich możliwości.Na przykład kroki integracji dla nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient są udokumentowane.Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania jednokrotnego, ale nie wchodzą w zakres naszej dokumentacji.

Musisz zawrzeć umowę SAML między usługą Webex Platform Identity Service a dostawcą tożsamości.

Aby pomyślnie osiągnąć umowę SAML, potrzebujesz dwóch plików:

  • Plik metadanych z dostawcy tożsamości do przekazania do Webex.

  • Plik metadanych z Webex, który ma zostać przekazany dostawcy tożsamości.

Jest to przykład pliku metadanych PingFederate z metadanymi z dostawcy tożsamości.

Plik metadanych z usługi tożsamości.

Poniżej przedstawiono oczekiwane informacje w pliku metadanych z usługi tożsamości.

  • EntityID (Identyfikator jednostki) — służy do identyfikowania umowy SAML w konfiguracji dostawcy tożsamości

  • Nie ma wymogu podpisanego żądania AuthN ani żadnych potwierdzeń znaku, jest ono zgodne z wymaganiami dostawcy tożsamości w pliku metadanych.

  • Podpisany plik metadanych dla dostawcy tożsamości w celu sprawdzenia, czy metadane należą do usługi tożsamości.

1

W widoku klienta w Centrum sterowania ( https://admin.webex.com), przejdź do pozycjiZarządzanie > Ustawienia organizacji, przewiń do pozycji Uwierzytelnianie i przełącz ustawienie logowania jednokrotnego , aby uruchomić kreatora konfiguracji.

2

Wybierz typ certyfikatu:

  • Podpis własny firmy Cisco— zalecamy wybranie tej opcji, abyśmy mogli zostać SP.Ponadto wystarczy odnawiać certyfikat co pięć lat.
  • Podpisane przez publiczny urządcertyfikacji — ta opcja jest bezpieczna i zalecana, jeśli certyfikaty są podpisywane z publicznego urzędu certyfikacji, takiego jak Hydrant lub GoDaddy.Certyfikat należy jednak odnawiać raz w roku.
3

Kliknij Pobierz metadane i kliknij przycisk Dalej.

4

Usługa Webex Platform Identity sprawdza poprawność pliku metadanych od dostawcy tożsamości.

Istnieją dwa możliwe sposoby sprawdzania poprawności metadanych od dostawcy tożsamości klienta:

  • Dostawca tożsamości klienta udostępnia podpis w metadanych podpisanych przez publiczny główny urząd certyfikacji.

  • Dostawca tożsamości klienta udostępnia prywatny urząd certyfikacji z podpisem własnym lub nie dostarcza podpisu dla metadanych.Ta opcja jest mniej bezpieczna.

5

Przetestuj połączenie logowania jednokrotnego przed jego włączeniem.Ten krok działa jak suchy przebieg i nie wpływa na ustawienia organizacji, dopóki nie włączysz logowania jednokrotnego w następnym kroku.


 

Aby bezpośrednio wyświetlić środowisko logowania jednokrotnego, możesz też kliknąć Kopiuj adres URL do schowka na tym ekranie i wkleić go w prywatnym oknie przeglądarki.Stamtąd możesz przejść przez proces logowania jednokrotnego.Pomaga to usunąć wszelkie informacje buforowane w przeglądarce internetowej, które mogłyby dać fałszywie pozytywny wynik podczas testowania konfiguracji logowania jednokrotnego.

6

Jeśli test się powiedzie, włącz logowanie jednokrotne i zapisz zmiany.

Aby logowanie jednokrotne zaczęło obowiązywać w organizacji, musisz zapisać zmiany.

Niezależnie od tego, czy otrzymano powiadomienie o wygasającym certyfikacie, czy chcesz sprawdzić istniejącą konfigurację logowania jednokrotnego, możesz użyć funkcji zarządzania logowaniem jednokrotnym (SSO) w centrum sterowania na potrzeby zarządzania certyfikatami i ogólnych działań konserwacyjnych logowania jednokrotnego.

Jeśli wystąpią problemy z integracją logowania jednokrotnego, skorzystaj z wymagań i procedur opisanych w tej sekcji, aby rozwiązać problemy z przepływem SAML między dostawcą tożsamości a Webex.

  • Użyj dodatku śledzenia SAML dla przeglądarki Firefox lub Chrome.

  • Aby rozwiązać problem, użyj przeglądarki internetowej, w której zainstalowano narzędzie do debugowania śledzenia SAML, i przejdź do internetowej wersji Webex pod adresem https://web.webex.com.

Poniżej przedstawiono przepływ komunikatów między aplikacją Webex, usługami Webex, usługą tożsamości platformy Webex i dostawcą tożsamości (IdP).

1

Przejdź do https://admin.webex.com i po włączeniu logowania jednokrotnego aplikacja wyświetli monit o podanie adresu e-mail.

Aplikacja wysyła informacje do usługi Webex, która weryfikuje adres e-mail.

2

Aplikacja wysyła żądanie GET do serwera autoryzacji OAuth w celu uzyskania tokenu.Żądanie jest przekierowywane do usługi tożsamości do przepływu logowania jednokrotnego lub nazwy użytkownika i hasła.Zwracany jest adres URL serwera uwierzytelniania.

Żądanie GET można zobaczyć w pliku śledzenia.

W sekcji parametrów usługa szuka kodu OAuth, adresu e-mail użytkownika, który wysłał żądanie, oraz innych szczegółów OAuth, takich jak ClientID, redirectURI i Scope.

3

Aplikacja Webex żąda potwierdzenia SAML od dostawcy tożsamości przy użyciu SAML HTTP POST.

Gdy logowanie jednokrotne jest włączone, aparat uwierzytelniania w usłudze tożsamości przekierowuje do adresu URL dostawcy tożsamości na potrzeby logowania jednokrotnego.Adres URL dostawcy tożsamości podany podczas wymiany metadanych.

Zamelduj wiadomość SAML POST w narzędziu do śledzenia.Zostanie wyświetlony komunikat HTTP POST do dostawcy tożsamości żądanego przez dostawcę usług IdPbroker.

Parametr RelayState pokazuje poprawną odpowiedź dostawcy tożsamości.

Przejrzyj wersję dekodowania żądania SAML, nie ma mandatu AuthN, a miejsce docelowe odpowiedzi powinno przejść do docelowego adresu URL dostawcy tożsamości.Upewnij się, że format nameid jest poprawnie skonfigurowany w dostawcy tożsamości pod poprawnym identyfikatorem jednostki (SPNameQualifier)

Format identyfikatora identyfikatora dostawcy tożsamości jest określany i nazwa umowy jest konfigurowana podczas tworzenia umowy SAML.

4

Uwierzytelnianie aplikacji odbywa się między zasobami sieci Web systemu operacyjnego a dostawcą tożsamości.

W zależności od dostawcy tożsamości i mechanizmów uwierzytelniania skonfigurowanych w dostawcy tożsamości są uruchamiane różne przepływy z dostawcy tożsamości.

5

Aplikacja wysyła wpis HTTP z powrotem do usługi tożsamości i zawiera atrybuty dostarczone przez dostawcę tożsamości i uzgodnione w pierwotnej umowie.

Po pomyślnym uwierzytelnieniu aplikacja wysyła informacje w wiadomości SAML POST do usługi tożsamości.

Parametr RelayState jest taki sam jak poprzedni komunikat HTTP POST, w którym aplikacja informuje dostawcę tożsamości, który identyfikator jednostki żąda potwierdzenia.

6

Potwierdzenie SAML od dostawcy tożsamości do Webex.

7

Usługa tożsamości odbiera kod autoryzacji, który jest zastępowany tokenem dostępu i odświeżania protokołu OAuth.Ten token jest używany do uzyskiwania dostępu do zasobów w imieniu użytkownika.

Po sprawdzeniu poprawności odpowiedzi dostawcy tożsamości przez dostawcę tożsamości wystawia token OAuth, który umożliwia aplikacji Webex dostęp do różnych usług Webex.