Următoarele soluții de gestionare a accesului web și de federalizare au fost testate pentru organizațiile Webex.Documentele legate mai jos vă ajută să vă familiarizați cu modul de integrare a respectivului furnizor de identitate (IdP) cu organizația dvs.


 

Aceste ghiduri acoperă integrarea SSO pentru serviciile Webex care sunt gestionate în Control Hub ( https://admin.webex.com).Dacă sunteți în căutarea integrării SSO a unui site Webex Meetings (gestionat în Administrarea site-ului), citiți Configurarea conectării unice pentru site-ulCisco Webex.

Dacă nu vedeți IdP-ul listat mai jos, urmați pașii de nivel înalt din fila Configurare SSO din acest articol.

Single sign-on (SSO) permite utilizatorilor să se conecteze la Webex în siguranță, autentificându-se la furnizorul comun de identitate (IdP) al organizațiilor dvs.Aplicația Webex utilizează serviciul Webex pentru a comunica cu Serviciul de identitate a platformei Webex.Serviciul de identitate se autentifică cu furnizorul de identitate (IdP).

Porniți configurația în Control Hub.Această secțiune surprinde pași generici la nivel înalt pentru integrarea unui IdP terț.


 
Când configurați SSO cu IdP-ul dvs., puteți mapa orice atribut la uid.De exemplu, mapați userPrincipalName, un alias de e-mail, o adresă de e-mail alternativă sau orice alt atribut adecvat pentru uid.IdP trebuie să se potrivească cu una dintre adresele de e-mail ale utilizatorului cu uid atunci când vă conectați.Webex acceptă maparea a până la 5 adrese de e-mail la uid.

Pentru SSO și Control Hub, IDP-urile trebuie să respecte specificațiile SAML 2.0.În plus, IDP-urile trebuie configurate în felul următor:

  • Setați atributul Format NameID la urnă:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurați o revendicare pe IdP în funcție de tipul de SSO pe care îl implementați:

    • SSO (pentru o organizație)—Dacă configurați SSO în numele unei organizații, configurați revendicarea IdP pentru a include numele atributului uid cu o valoare care este mapată la atributul ales în Directory Connector sau atributul de utilizator care se potrivește cu cel ales în serviciul de identitate Webex.(Acest atribut ar putea fi adrese de poștă electronică sau nume principal de utilizator, de exemplu.)

    • Partner SSO (numai pentru furnizorii de servicii)-Dacă sunteți un administrator de furnizor de servicii care configurează Partner SSO pentru a fi utilizat de organizațiile client pe care furnizorul de servicii le gestionează, configurați revendicarea IdP pentru a include atributul de e-mail (mai degrabă decât uid).Valoarea trebuie mapată la atributul ales în Directory Connector sau la atributul de utilizator care se potrivește cu cel ales în serviciul de identitate Webex.


     

    Pentru mai multe informații despre maparea atributelor particularizate pentru SSO sau Partner SSO, consultați https://www.cisco.com/go/hybrid-services-directory.

  • Numai partener SSO.Furnizorul de identitate trebuie să accepte mai multe adrese URL de aserțiune pentru consumatori (ACS).Pentru exemple despre cum se configurează mai multe URL-uri ACS pe un furnizor de identitate, consultați:

  • Utilizați un browser acceptat:vă recomandăm cea mai recentă versiune de Mozilla Firefox sau Google Chrome.

  • Dezactivați toate blocantele pop-up din browserul dvs.


 

Ghidurile de configurare arată un exemplu specific pentru integrarea SSO, dar nu oferă o configurație exhaustivă pentru toate posibilitățile.De exemplu, pașii de integrare pentru nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sunt documentate.Alte formate, cum ar fi urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress va lucra pentru integrarea SSO, dar sunt în afara domeniului de aplicare al documentației noastre.

Trebuie să stabiliți un acord SAML între Serviciul de identitate a platformei Webex și IdP-ul dvs.

Aveți nevoie de două fișiere pentru a obține un acord SAML de succes:

  • Un fișier de metadate din IdP, pe care să-l dați către Webex.

  • Un fișier de metadate de la Webex, pentru a da IdP-ului.

Acesta este un exemplu de fișier de metadate PingFederate cu metadate din IdP.

Fișier de metadate de la serviciul de identitate.

Iată ce vă așteptați să vedeți în fișierul de metadate de la serviciul de identitate.

  • EntityID - Acest lucru este utilizat pentru a identifica acordul SAML în configurația IdP

  • Nu există nici o cerință pentru o solicitare semnată AuthN sau orice aserțiuni de semn, respectă ceea ce idp solicită în fișierul de metadate.

  • Un fișier de metadate semnat pentru IdP pentru a verifica dacă metadatele aparțin serviciului de identitate.

1

Din vizualizarea client din Control Hub ( ), https://admin.webex.comaccesați Gestionare > Setăriorganizație, defilați la Autentificare și comutați pe setarea Single Sign-On pentru a porni expertul de configurare.

2

Alegeți tipul certificatului:

  • Auto-semnat de Cisco- Vă recomandăm să alegeți această opțiune pentru a ne permite să devenim SP.De asemenea, trebuie să reînnoiți certificatul doar o dată la cinci ani.
  • Semnat de o autoritatepublică de certificare - Această opțiune este sigură și recomandabilă dacă obțineți certificatele semnate de la un CA public, cum ar fi Hydrant sau Godaddy.Cu toate acestea, trebuie să reînnoiți certificatul o dată pe an.
3

Faceți clic pe Descărcare metadate și faceți clic pe Următorul.

4

Serviciul De identitate a platformei Webex validează fișierul de metadate din IdP.

Există două modalități posibile de a valida metadatele din IdP-ul clientului:

  • IdP client furnizează o semnătură în metadatele care este semnat de un PUBLIC ROOT CA.

  • IdP client furnizează un CA privat auto-semnat sau nu furnizează o semnătură pentru metadatele lor.Această opțiune este mai puțin sigură.

5

Testați conexiunea SSO înainte de a o activa.Acest pas funcționează ca o rulare uscată și nu afectează setările organizației până când nu activați SSO în pasul următor.


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiere URL în clipboard din acest ecran și să o lipiți într-o fereastră de browser privată.De acolo, puteți trece prin conectarea cu SSO.Acest lucru vă ajută să eliminați orice informații memorate în cache în browserul web care ar putea oferi un rezultat fals pozitiv atunci când testați configurația SSO.

6

Dacă testul reușește, atunci rotiți SSO și salvați modificările.

Trebuie să salvați modificările pentru ca SSO să aibă efect în organizația dvs.

Indiferent dacă ați primit o notificare despre un certificat care expiră sau doriți să verificați configurația SSO existentă, puteți utiliza caracteristicile de gestionare Single Sign-On (SSO) din Control Hub pentru gestionarea certificatelor și activitățile generale de întreținere SSO.

Dacă întâmpinați probleme cu integrarea SSO, utilizați cerințele și procedura din această secțiune pentru a depana fluxul SAML între IdP și Webex.

  • Utilizați suplimentul de urmărire SAML pentru Firefox sau Chrome.

  • Pentru a depana, utilizați browserul web unde ați instalat instrumentul de depanare a urmelor SAML și accesați versiunea web a Webex la https://web.webex.com.

Următorul este fluxul de mesaje între Webex App, Webex Services, Webex Platform Identity Service și Furnizorul de identitate (IdP).

1

Accesați https://admin.webex.com și, cu SSO activat, aplicația solicită o adresă de e-mail.

Aplicația trimite informațiile către serviciul Webex care verifică adresa de e-mail.

2

Aplicația trimite o solicitare GET către serverul de autorizare OAuth pentru un token.Solicitarea este redirecționată către serviciul de identitate către SSO sau fluxul de nume de utilizator și parolă.Url-ul pentru serverul de autentificare este returnat.

Puteți vedea solicitarea GET în fișierul de urmărire.

În secțiunea parametri, serviciul caută un cod OAuth, un e-mail al utilizatorului care a trimis solicitarea și alte detalii OAuth, cum ar fi ClientID, redirectURI și Scope.

3

Aplicația Webex solicită o aserțiune SAML de la IdP utilizând un SAML HTTP POST.

Când este activat SSO, motorul de autentificare în serviciul de identitate redirecționează către IDP URL-ul pentru SSO.URL-ul IdP furnizat atunci când metadatele au fost schimbate.

Verificați instrumentul de urmărire pentru un mesaj SAML POST.Vedeți un mesaj HTTP POST la IdP solicitat de IdPbroker.

Parametrul RelayState afișează răspunsul corect de la IdP.

Examinați versiunea decodare a solicitării SAML, nu există nici un mandat AuthN și destinația răspunsului ar trebui să meargă la ADRESA URL de destinație a IdP.Asigurați-vă că formatul nameid este configurat corect în IdP sub entityID-ul corect (SPNameQualifier)

Este specificat formatul nameid IdP și numele acordului configurat atunci când a fost creat acordul SAML.

4

Autentificarea pentru aplicație are loc între resursele web ale sistemului de operare și IdP.

În funcție de IdP și mecanismele de autentificare configurate în IdP, fluxuri diferite sunt pornite de la IdP.

5

Aplicația trimite o postare HTTP înapoi la serviciul de identitate și include atributele furnizate de IdP și convenite în acordul inițial.

Când autentificarea are succes, aplicația trimite informațiile dintr-un mesaj SAML POST către serviciul de identitate.

RelayState este la fel ca mesajul http post anterior în cazul în care aplicația spune IdP care EntityID solicită afirmația.

6

Saml Aserțiune de la IdP la Webex.

7

Serviciul de identitate primește un cod de autorizare care este înlocuit cu un simbol de acces și reîmprospătare OAuth.Acest simbol este utilizat pentru a accesa resurse în numele utilizatorului.

După ce serviciul de identitate validează răspunsul de la IdP, emite un simbol OAuth care permite aplicației Webex să acceseze diferitele servicii Webex.