Приведенные ниже решения федерации и управления веб-доступом были протестированы для организаций Webex.В документах, ссылки на которые приведены ниже, описаны способы интеграции определенных поставщиков удостоверений (idP) с вашей организацией Webex.


 

В этих руководствах SSO интеграции для служб Webex, управление которыми в Control Hub. ( https://admin.webex.com).Если вам необходима интеграция SSO для веб-сайта Webex Meetings (под управлением службы администрирования веб-сайта), прочтите статью Настройка системы единого входа для веб-сайта Cisco Webex.

Если ваш idP отсутствует в приведенном ниже списке, следуйте общим инструкциям, которые описаны на вкладке Настройка SSO в этой статье.

Благодаря системе единого входа (SSO) пользователи могут безопасно входить в Webex с помощью аутентификации общего поставщика удостоверений (idP) вашей организации.Приложение Webex посредством службы Webex взаимодействует со службой удостоверений платформы Webex.Служба удостоверений проходит аутентификацию с помощью поставщика удостоверений (IdP).

Настройка конфигурации начинается в Control Hub.В этом разделе описаны общие действия для интеграции стороннего поставщика удостоверений.


 
При настройке SSO idP можно сопописать любой атрибут с UID.Например, напишите userPrincipalName, псевдоним электронной почты, альтернативный адрес электронной почты или любой другой подходящий атрибут для UID.При входе IdP должен соответствовать одному из адресов электронной почты пользователя и UID.Webex поддерживает сопоставление с UID до 5 адресов электронной почты.

При использовании SSO и Control Hub поставщики удостоверений должны соответствовать требованиям спецификации SAML 2.0.Кроме того, настройка поставщиков удостоверений должна быть выполнена с учетом приведенного ниже.

  • Задайте для атрибута формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте заявление idP в соответствии с типом развертываемой SSO.

    • SSO (для организации). При настройке SSO от имени организации настройте параметры заявления idP для добавления имени атрибута uid со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex.(Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.)

    • Партнерская SSO (только для поставщиков услуг). Администратору поставщика услуг в случае настройки партнерской SSO для использования организациями клиентов, которыми управляет этот поставщик услуг, нужно настроить параметры заявления idP для добавления атрибута mail (а не uid).Значение должно быть сопоставлено с атрибутом, выбранным в Соединителе каталогов, или с атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex.


     

    Дополнительную информацию о сопоставлении пользовательских атрибутов для SSO или партнерской SSO см. на странице https://www.cisco.com/go/hybrid-services-directory.

  • Только для партнерской SSO.Поставщик удостоверений должен поддерживать использование нескольких URL-адресов службы утверждения пользователей (ACS).Примеры настройки нескольких URL-адресов ACS в разрезе поставщика удостоверений см. в перечисленных ниже документах.

  • Используйте поддерживаемый браузер.Рекомендуется использовать последнюю версию Mozilla Firefox или Google Chrome.

  • Отключите блокировку всплывающих окон в браузере.


 

В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа.Например, по этапам интеграции для nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient задокументированы.Другие форматы, например urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress будет работать для SSO интеграции, но не является областью нашего документа.

Необходимо установить соглашение SAML между службой удостоверений платформы Webex и вашим поставщиком удостоверений.

Для достижения успешного установления соглашения SAML необходимы два файла.

  • Файл метаданных поставщика удостоверений, который необходимо предоставить Webex.

  • Файл метаданных Webex, который необходимо предоставить поставщику удостоверений.

Ниже приведен пример файла метаданных PingFederate с метаданными от поставщика удостоверений.

Файл метаданных от службы удостоверений.

Ниже приведен ожидаемый результат, отображаемый в файле метаданных от службы удостоверений.

  • Идентификатор EntityID используется для идентификации соглашения SAML в конфигурации поставщика удостоверений

  • Подписанный запрос AuthN или другие утверждения подписи не требуются. Данные соответствуют сведениям, которые запрашивает поставщик удостоверений в файле метаданных.

  • Подписанный файл метаданных для поставщика удостоверений используется для проверки принадлежности метаданных службе удостоверений.

1

В окации просмотра информации о клиенте в Control Hub ( https://admin.webex.com) перейдите к > Управление > настройки организации, прокрутите страницу до параметра Аутентификация и перейдите к настройке системы единого войти, чтобы запустить мастер настройки.

2

Выберите тип сертификата

  • Самоподписанный сертификат Cisco – рекомендуется выбрать этот вариант для SP.Вам нужно будет продлевать его только один раз в пять лет.
  • Сертификат, подписанный центром сертификации, – этот вариант безопасен и рекомендуется, если ваши сертификаты подписаны авторизованным ЦС, например Hydrant или Godaddy.Однако в этом случае необходимо продлевать сертификат раз в год.
3

Щелкните Скачать метаданные, а затем – Далее.

4

Служба удостоверений платформы Webex выполнит проверку файла метаданных от idP.

Существует два способа проверки метаданных от поставщика удостоверений клиента.

  • Поставщик удостоверений клиента предоставляет подпись в метаданных, подписанную общедоступным корневым центром сертификации.

  • Поставщик удостоверений клиента предоставляет самоподписанный сертификат частного центра сертификации или не предоставляет подпись для своих метаданных.Этот вариант менее безопасен.

5

Протестируйте соединение системы единого входа перед ее включением.На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока не будет активирована SSO на следующем шаге.


 

Для непосредственного наблюдения за процессом входа в SSO также можно щелкнуть Скопировать URL-адрес в буфер обмена на этом экране и вставить его в окно своего браузера.После этого можно войти в систему посредством SSO.Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

6

В случае успешного тестирования активируйте SSO и сохраните изменения.

Чтобы изменения в настройках SSO вступили в силу в вашей организации, сохраните их.

Независимо от того, получили ли вы уведомление об истечении срока действия сертификата или хотите проверить текущую конфигурацию SSO, вы можете воспользоваться функциями управления Системы единого входа (SSO) в Control Hub для управления сертификатами и общего обслуживания SSO.

При возникновении проблем с интеграцией SSO воспользуйтесь описанными в этом разделе требованиями и процедурой, чтобы устранить неполадки, связанные с выполнением процесса SAML между idP и службой Webex.

  • Используйте надстройку трассировки SAML для Firefox или Chrome.

  • Для устранения неполадок воспользуйтесь веб-браузером, в котором установлен инструмент отладки трассировки SAML, и перейдите в веб-версию Webex по адресу https://web.webex.com.

Ниже приведен процесс обмена сообщениям между приложением Webex, службами Webex, службой удостоверений платформы Webex и поставщиком удостоверений (idP).

1

Перейдите по адресу https://admin.webex.com. Если система единого входа включена, приложение запросит адрес электронной почты.

Приложение отправит информацию в службу Webex, которая выполнит проверку адреса электронной почты.

2

Приложение отправит запрос GET на сервер авторизации OAuth для получения токена.Запрос будет перенаправлен в службу удостоверений для выполнения процесса единого входа или ввода имени пользователя и пароля.Будет возвращен URL-адрес для сервера аутентификации.

Запрос GET будет отображен в файле трассировки.

В разделе параметров служба выполнит поиск кода OAuth, электронного адреса пользователя, отправившего запрос, а также другие сведения OAuth, такие как идентификатор клиента, URI переадресации и область.

3

Приложение Webex выполнит запрос утверждения SAML от idP с помощью параметра SAML HTTP POST.

Если система единого входа включена, модуль аутентификации в службе удостоверений перенаправит запрос на URL-адрес поставщика удостоверений для выполнения единого входа.URL-адрес поставщика удостоверений предоставляется при обмене метаданными.

Проверьте сообщение SAML POST в инструменте трассировки.Ниже отображено сообщение HTTP POST для поставщика удостоверений, запрошенное службой IdPbroker.

Параметр RelayState отображает верный ответ от поставщика удостоверений.

Просмотрите дешифрованную версию запроса SAML. Предписания для AuthN отсутствуют, поэтому назначение ответа должно быть переадресовано на URL-адрес назначения поставщика удостоверений.Убедитесь, что формат NameID в поставщике удостоверений настроен верно для правильного значения EntityID (SPNameQualifier)

Определение формата NameID поставщика удостоверений и настройка названия соглашения осуществляется при создании соглашения SAML.

4

Аутентификация приложения происходит между веб-ресурсами операционной системы и поставщиком удостоверений.

В зависимости от поставщика удостоверений и настроенных им механизмов аутентификации поставщиком удостоверений будут запущены различные процессы.

5

Приложение отправит сообщение HTTP Post обратно в службу удостоверений и добавит атрибуты, предоставленные idP и согласованные в начальном соглашении.

При успешной аутентификации приложение отправит службе удостоверений информацию в сообщении SAML POST.

RelayState совпадает с предыдущим сообщением HTTP POST, в котором приложение сообщает поставщику удостоверений о том, какой идентификатор EntityID запрашивает утверждение.

6

Утверждение SAML, направленное поставщиком удостоверений в Webex.

7

Код авторизации, полученный службой удостоверений, будет заменен токеном доступа и обновления OAuth.Этот токен используется для доступа к ресурсам от имени пользователя.

После того как служба удостоверений проверит ответ от idP, будет выпущен токен OAuth, который обеспечит доступ приложению Webex к различным облачным службам Webex.