Наступні рішення для управління веб-доступом і федерації були протестовані для організацій Webex.Наведені нижче документи допоможуть вам інтегрувати певного постачальника посвідчень (IdP) із вашою організацією Webex.


 

Ці посібники охоплюють інтеграцію єдиного входу для служб Webex, якими керують у Центрі керування ( https://admin.webex.com).Якщо ви шукаєте інтеграцію єдиного входу з веб-сайтом (керований в адмініструванні сайту), прочитайте Налаштування єдиного входу для сайтуCisco Webex.

Якщо ваше посвідчення особи не відображається у списку нижче, виконайте дії високого рівня на вкладці Настроювання єдиного входу в цій статті.

Єдиний вхід (SSO) дає змогу користувачам безпечно входити у Webex шляхом автентифікації у загального постачальника посвідчень особи (IdP).Додаток Webex використовує службу Webex для зв'язку зі службою ідентифікації платформи Webex.Служба ідентифікації автентифікується у вашого постачальника послуг ідентифікації (IDP).

Настроювання запускається в Центрі керування.У цьому розділі відображено загальні кроки високого рівня для інтеграції сторонніх ідентифікаторів IdP.


 
Коли ви налаштовуєте SSO за допомогою IDP, ви можете зіставити будь-який атрибут з uid.Наприклад, зіставте ім'я користувачаPrincipalName, псевдонім електронної пошти, альтернативну адресу електронної пошти або будь-який інший відповідний атрибут з uid.Під час входу IDP має зіставити одну з адрес електронної пошти користувача з інтерфейсом користувача.Webex підтримує зіставлення до 5 адрес електронної пошти з uid.

Для єдиного входу в обіг і концентратора управління IDP повинні відповідати специфікації SAML 2.0.Крім того, idPs повинні бути налаштовані наступним чином:

  • Встановіть атрибут NameID Format на urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте претензію на IDP відповідно до типу єдиного входу в систему, яку ви розгортаєте:

    • SSO (для організації) — якщо ви настроюєте єдиний вхід від імені організації, настройте в претензії IdP ім'я атрибута інтерфейсу користувача зі значенням, зіставленим з атрибутом, вибраним у з'єднувачі каталогів, або атрибутом користувача , який відповідає тому, який вибрано в службі ідентифікації Webex.(Наприклад, цей атрибут може бути адресою електронної пошти або ім'ям користувача-принципала.)

    • ОГС партнера (лише для постачальників послуг) — якщо ви адміністратор Постачальника послуг, який настроює ОГС партнера для використання організаціями-клієнтами, якими керує Постачальник послуг, настройте претензію IdP так, щоб вона включала атрибут пошти (а не uid).Значення має співпадати з атрибутом, вибраним у з'єднувачі каталогів, або атрибутом користувача, який відповідає тому, який вибрано в службі ідентифікації Webex.


     

    Для отримання додаткової інформації про зіставлення користувацьких атрибутів для єдиного входу або SSO партнера див https://www.cisco.com/go/hybrid-services-directory.

  • Тільки партнерський SSO.Постачальник посвідчень повинен підтримувати кілька URL-адрес служби підтримки споживачів (ACS).Приклади того, як налаштувати кілька URL-адрес СКУД у постачальника посвідчень, див.:

  • Використовуйте підтримуваний браузер:ми рекомендуємо останню версію Mozilla Firefox або Google Chrome.

  • Вимкніть будь-які блокувальники спливаючих елементів у вашому браузері.


 

Посібники з налаштування показують конкретний приклад інтеграції SSO, але не надають вичерпної конфігурації для всіх можливостей.Наприклад, кроки інтеграції для nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient документально підтверджені.Інші формати, такі як urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress працюватиме на інтеграцію SSO, але виходить за рамки нашої документації.

Ви повинні укласти угоду SAML між службою ідентифікації платформи Webex та вашим ВПО.

Вам потрібні два файли, щоб досягти успішної угоди SAML:

  • Файл метаданих з IdP, який потрібно передати Webex.

  • Файл метаданих з Webex, який потрібно передати IdP.

Це приклад файлу метаданих PingFederate з метаданими з IdP.

Файл метаданих зі служби посвідчень.

Нижче наведено те, що ви очікуєте побачити у файлі метаданих зі служби ідентифікації.

  • EntityID — використовується для ідентифікації угоди SAML у конфігурації IdP

  • Немає вимоги до підписаного запиту AuthN або будь-яких тверджень про знак, він відповідає тому, що запитує IdP у файлі метаданих.

  • Підписаний файл метаданих для IDP для перевірки належності метаданих до служби ідентифікації.

1.

У поданні клієнта в Центрі керування ( https://admin.webex.com) перейдіть до розділу Настройкикерування > організації, прокрутіть до пункту Автентифікація та встановіть перемикач Єдиний вхід , щоб запустити майстер настроювання.

2.

Оберіть тип сертифіката:

  • Самостійний підпис від Cisco— Ми рекомендуємо вам вибрати цей варіант, щоб ми могли стати SP.Крім того, вам потрібно лише поновлювати сертифікат кожні п'ять років.
  • Підписано державним центромсертифікації — цей параметр є безпечним і доцільним, якщо ви отримуєте сертифікати, підписані із загальнодоступного ЦС, наприклад Hydrant або Godaddy.Однак поновлювати сертифікат необхідно раз на рік.
3.

Натисніть кнопку Завантажити метадані та натисніть кнопку Далі.

4.

Служба ідентифікації платформи Webex перевіряє файл метаданих з IDP.

Існує два можливих способи перевірки метаданих із Ідентифікатора очікування клієнта.

  • Ідентифікатор клієнта надає підпис у метаданих, підписаний загальнодоступним кореневим ЦС.

  • Ідентифікатор клієнта надає приватний ЦС із власним підписом або не надає підпис для своїх метаданих.Цей варіант менш безпечний.

5.

Перевірте підключення єдиного входу (SSO), перш ніж ввімкнути його.Цей крок працює як сухий запуск і не впливає на настройки організації, доки ви не ввімкнете єдиний вхід на наступному кроці.


 

Щоб безпосередньо переглянути можливості входу в систему єдиного входу, можна також натиснути кнопку Копіювати URL-адресу до буфера обміну з цього екрана та вставити її у вікно приватного браузера.Звідти ви можете увійти, увійшовши в SSO.Це допомагає видалити будь-яку інформацію, кешовану у вашому веб-браузері, яка може забезпечити хибнопозитивний результат під час тестування конфігурації SSO.

6

Якщо тест пройшов успішно, то увімкніть SSO і збережіть зміни.

Ви повинні зберегти зміни, щоб SSO набрав чинності у вашій організації.

Незалежно від того, чи отримали ви повідомлення про термін дії сертифіката, термін дії якого закінчується, або хочете перевірити наявну конфігурацію єдиного входу (SSO), ви можете використовувати функції керування єдиним входом (SSO) у Центрі керування для керування сертифікатами та загального обслуговування єдиного бізнесу.

Якщо у вас виникли проблеми з інтеграцією єдиного податку, скористайтеся вимогами та процедурою, наведеними в цьому розділі, щоб усунути несправності потоку SAML між вашим IdP і Webex.

  • Використовуйте додаток SAML trace для Firefox або Chrome.

  • Щоб усунути неполадки, скористайтеся веб-браузером, де ви встановили інструмент налагодження трасування SAML, і перейдіть до веб-версії Webex за адресою https://web.webex.com.

Нижче наведено потік повідомлень між програмою Webex, службами Webex, службою ідентифікації платформи Webex та постачальником посвідчень (IdP).

1.

Перейдіть до https://admin.webex.com розділу І, якщо ввімкнено SSO, програма запитує адресу електронної пошти.

Програма надсилає інформацію до служби Webex, яка перевіряє адресу електронної пошти.

2.

Додаток надсилає запит GET на сервер авторизації OAuth для отримання токена.Запит перенаправляється в службу ідентифікації на SSO або потік імен користувача і пароля.Повертається URL-адреса сервера автентифікації.

Ви можете побачити запит GET у файлі трасування.

У розділі параметрів служба шукає код OAuth, електронну пошту користувача, який надіслав запит, та інші дані OAuth, такі як ClientID, redirectURI та Scope.

3.

Додаток Webex запитує твердження SAML від IdP, використовуючи ПОВІДОМЛЕННЯ SAML HTTP.

Коли SSO ввімкнено, обробник автентифікації у службі ідентифікації переспрямовує на URL-адресу IdP для SSO.URL-адреса idP, надана під час обміну метаданими.

Перевірте інструмент трасування на наявність повідомлення SAML POST.Ви бачите повідомлення HTTP POST до IdP, запитане IdPbroker.

Параметр RelayState показує правильну відповідь з IDP.

Перегляньте версію декодування запиту SAML, немає мандата AuthN, і пункт призначення відповіді повинен перейти до цільової URL-адреси IdP.Переконайтеся, що формат ідентифікатора імені правильно настроєно в IdP під правильним ідентифікатором сутності (SPNameQualifier)

Вказується формат іменного ідентифікатора IDP та назва угоди, налаштована під час створення угоди SAML.

4.

Автентифікація програми відбувається між веб-ресурсами операційної системи та IdP.

Залежно від вашого IdP та механізмів автентифікації, настроєних у IDP, з IDP починаються різні потоки.

5.

Додаток надсилає повідомлення HTTP назад до служби ідентифікації та включає атрибути, надані IdP та узгоджені в початковій угоді.

Коли автентифікація проходить успішно, програма надсилає інформацію в повідомленні SAML POST до служби ідентифікації.

RelayState такий самий, як і попереднє повідомлення HTTP POST, де програма повідомляє IdP, який EntityID запитує твердження.

6

Твердження SAML від IdP до Webex.

7

Служба ідентифікації отримує код авторизації, який замінюється на токен доступу та оновлення OAuth.Цей токен використовується для доступу до ресурсів від імені користувача.

Після того, як служба ідентифікації підтвердить відповідь від IdP, вони видають токен OAuth, який дозволяє програмі Webex отримувати доступ до різних служб Webex.