Följande web access management- och federationslösningar har testats för Webex-organisationer.I dokumenten som länkas nedan går du igenom hur du integrerar den specifika identitetsleverantören (IdP) med din Webex-organisation.


 

Dessa guider omfattar SSO för Webex-tjänster som hanteras i Control Hub ( https://admin.webex.com).Om du vill ha en SSO av en Webex Meetings-webbplats (webbplatsadministration) läser du Konfigurera enkel inloggning för Webbplats för Cisco Webex Meetings.

Om du inte ser din IdP listad nedan följer du stegen på hög nivå på fliken SSO Installation i den här artikeln.

Med enkel inloggning (SSO) kan användare logga in på Webex på ett säkert sätt genom att autentisera för din organisations Common Identity Provider (IdP).Webex-appen använder Webex-tjänst för att kommunicera med Webex-plattformens identitetstjänst.Användaren identitetstjänst med din identitetsleverantör (IdP).

Du startar konfiguration i Control Hub.I det här avsnittet fångas allmänna steg på hög nivå för att integrera en IdP från tredje part.


 
När du konfigurerar SSO med din IdP kan du mappa alla attribut till uid.Mappa till exempel userPrincipalName, ett e-postalias, en alternativ e-postadress eller något annat lämpligt attribut till uid.IdP:en måste matcha en av användarens e-postadresser med UID vid inloggningen.Webex har stöd för mappning av upp till fem e-postadresser till uid.

För SSO och Control Hub måste IdP:er uppfylla SAML 2.0-specifikationen.Dessutom måste IdPs konfigureras på följande sätt:

  • Ange attributet för NameID-format till urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurera ett anspråk på IdP enligt typen av SSO du distribuerar:

    • SSO (för en organisation) – Om du konfigurerar SSO åt en organisation ska du konfigurera IdP-anspråket så att uid-attributnamnet inkludera ett värde som är mappat till det attribut som har valts i Kataloganslutning, eller användarattributet som matchar det som väljs i Webex identitetstjänst.(Det här attributet kan till exempel vara e-postadresser eller användarnamn.)

    • Partner SSO (endast för tjänsteleverantör) – Om du är en tjänsteleverantör-administratör som konfigurerar partner SSO som ska användas av de kundorganisationer som tjänsteleverantör hanterar, ska du konfigurera IdP-anspråket så att det inkluderar e-postattributet ( i stället för UID).Värdet måste mappa till det attribut som är valt i Kataloganslutning eller användarattributet som matchar det som är valt i Webex-identitetstjänst.


     

    Mer information om mappning av anpassade attribut för antingen SSO eller partner-SSO finns i https://www.cisco.com/go/hybrid-services-directory.

  • Endast SSO partnerpartner.E identitetsleverantör adressen måste ha stöd Assertion Consumer Service (ACS) URL:er.Exempel på hur du konfigurerar flera ACS-URL:er på en identitetsleverantör finns i:

  • Använd en webbläsare som stöds:rekommenderar vi den senaste versionen av Mozilla Firefox eller Google Chrome.

  • Inaktivera popup-blockerare i webbläsaren.


 

Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter.Till exempel integreringsstegen för nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient beskrivs.Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO men ligger utanför omfattningen av vår dokumentation.

Du måste upprätta ett SAML-avtal mellan Webex-plattformens identitetstjänst och din IdP.

Du behöver två filer för att uppnå ett lyckat SAML-avtal:

  • En metadatafil från IdP som ska ges till Webex.

  • En metadatafil från Webex för att ge till IdP:en.

Detta är ett exempel på en PingFederate-metadatafil med metadata från IdP.

Metadatafil från identitetstjänst.

Följande är vad du förväntar dig att se i metadatafilen från identitetstjänst.

  • Enhets-ID – detta används för att identifiera SAML-avtalet i IdP-konfigurationen

  • Det finns inget krav på en signerad AuthN-begäran eller några signeringspåståenden, den uppfyller vad IdP-begäran i metadatafilen är.

  • En signerad metadatafil för IdP för att verifiera att metadatan tillhör identitetstjänst.

1

Från kundvyn i Control Hub ( https://admin.webex.com), gå till Hantering > organisationsinställningar , rulla till Autentisering och aktivera inställningen enkel inloggning för att starta konfigurationsguiden.

2

Välj certifikattyp:

  • Själv signerade av Cisco– Vi rekommenderar att du väljer detta alternativ för att låta oss bli SP.Dessutom behöver du bara förnya certifikatet var femte år.
  • Signerat av en offentligt certifikatsutfärdare– Det här alternativet är säkert och bra om du får dina certifikat signerade från en offentlig CA så som Hydrant eller Godaddy.Du måste emellertid förnya certifikatet en gång om året.
3

Klicka på Hämta metadata och klicka på Nästa.

4

Identitetstjänsten för Webex-plattform validerar metadatafilen från IdP:en.

Det finns två möjliga sätt att validera metadata från kund-IdP:

  • Kund-IdP tillhandahåller en signatur i metadata som är signerad av en offentlig rot-CA.

  • Kund-IdP tillhandahåller en självsignerat privat CA eller tillhandahåller ingen signatur för deras metadata.Detta alternativ är mindre säkert.

5

Testa SSO innan du aktiverar den.Det här steget fungerar som en dry run och påverkar inte dina organisationsinställningar förrän du SSO aktiveras i nästa steg.


 

Om du SSO din inloggning direkt kan du även klicka på Kopiera URL till urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster.Därifrån kan du gå igenom inloggningen med SSO.Detta hjälper till att ta bort information som cachelagrats i din webbläsare som kan ge ett felaktigt positivt resultat när du testar din SSO konfiguration.

6

Om testet lyckas kan du SSO spara ändringarna.

Du måste spara ändringarna för SSO att de ska gälla i din organisation.

Om du får problem med din SSO, använd kraven och proceduren i detta avsnitt för att felsöka SAML-flödet mellan din IdP och Webex.

  • Använd SAML trace-tillägget för Firefox eller Chrome.

  • Om du vill felsöka använder du webbläsaren där du installerade SAML trace-felsökningsverktyget och går till webbversionen av Webex på https://web.webex.com.

Följande är flödet av meddelanden mellan Webex-appen, Webex-tjänster, Webex-plattformens identitetstjänst och identitetsleverantören (IdP).

1

Gå till https://admin.webex.com och, när SSO är aktiverat, uppmanas appen att ange en e-postadress.

Appen skickar informationen till e-Webex-tjänst verifierar e-postadressen.

2

Appen skickar en GET-begäran till OAuth-auktoriseringsservern för en token.Begäran omdirigeras till e-identitetstjänst till SSO eller till flödet av användarnamn och lösenord.URL:en för autentiseringsservern returneras.

Du kan se GET-begäran i spårningsfilen.

I avsnittet parametrar söker tjänsten efter en OAuth-kod, e-post till användaren som skickade förfrågan och andra OAuth-uppgifter som ClientID, redirectURI och Scope.

3

Webex-appen begär en SAML-försäkran från IdP med en SAML HTTP POST.

När SSO är aktiverat omdirigeras verifieringsmotorn i identitetstjänst till IdP-URL:en för SSO.IdP-URL:en som angavs vid utbyte av metadata.

Kontrollera spårningsverktyget för ett SAML POST-meddelande.Du ser ett HTTP POST-meddelande till den IdP som begärs av IdPbrokern.

RelayState-parametern visar det korrekta svaret från IdP:en.

Granska avkodningsversionen av SAML-begäran. Det finns ingen authN-authN på begäran, och svarets destination ska gå till IdP:s destinations-URL.Kontrollera att Nameid-formatet är korrekt konfigurerat i IdP under rätt enhets-ID (SPNameQualifier)

IdP-nameid-formatet anges och namnet på avtalet konfigurerades när SAML-avtalet skapades.

4

Appens autentisering sker mellan operativsystemets webbresurser och IdP.

Beroende på din IdP och de autentiseringssystem som är konfigurerade i IdP: en startas olika flöden från IdP:en.

5

Appen skickar tillbaka http-post till identitetstjänst innehåller attributen som tillhandahållits av IdP och godkändes i det ursprungliga avtalet.

När autentiseringen lyckas skickar appen informationen i ett SAML POST-meddelande till identitetstjänst.

RelayState är samma som föregående HTTP POST-meddelande där appen talar om för IdP vilken EntityID som begär kontrollen.

6

SAML-försäkran från IdP till Webex.

7

Användaren identitetstjänst en behörighetskod som ersätts med en token för OAuth-åtkomst och uppdaterar token.Denna token används för att få åtkomst till resurser å användarens vägnar.

När identitetstjänst validerar svaret från IdP:en utfärdar de en OAuth-token som ger Webex-appen åtkomst till de olika Webex-tjänsterna.