Наступні рішення з керування доступом до Інтернету та федерації були протестовані для організацій Webex. Нижче наведено документи, які допоможуть вам дізнатися, як інтегрувати певного постачальника ідентифікаційних даних (IdP) з вашою організацією Webex.


Ці посібники охоплюють інтеграцію SSO для служб Webex, якими керує Control Hub (https://admin.webex.com). Якщо ви шукаєте інтеграцію SSO сайту зустрічей Webex (керується в адмініструванні сайту), прочитайте розділ Налаштувати єдиний вхід для сайту Cisco Webex.

Якщо ви не бачите свого IdP, перерахованого нижче, виконайте кроки на високому рівні на вкладці "Налаштування SSO" в цій статті.

Єдиний вхід (SSO) дозволяє користувачам безпечно входити до Webex, автентифікуючись за допомогою спільного постачальника ідентифікаційних даних (IdP) вашої організації. Програма Webex використовує службу Webex для зв 'язку зі службою ідентифікації платформи Webex. Служба ідентифікації автентифікується вашим постачальником ідентифікаційних даних (IdP).

Ви починаєте налаштування в Control Hub. Цей розділ містить загальні кроки високого рівня для інтеграції стороннього IdP.

Для SSO та Control Hub IDP повинні відповідати специфікації SAML 2.0. Крім того, IDP повинні бути налаштовані наступним чином:

  • Встановіть для атрибута NameID Format значення urn: oasis: names: tc: SAML: 2. 0: nameid-format:transient

  • Налаштуйте претензію на IdP відповідно до типу SSO, який ви розгортаєте:

    • SSO (для організації). Якщо ви налаштовуєте SSO від імені організації, налаштуйте претензію IdP таким чином, щоб вона включала ім 'я атрибута uid зі значенням, яке відповідає атрибуту, вибраному у з' єднувачі каталогів, або атрибуту користувача, який відповідає атрибуту, обраному у службі ідентифікації Webex. (Цей атрибут може бути, наприклад, адреси електронної пошти або ім 'я користувача).

    • SSO партнера (тільки для постачальників послуг). Якщо ви адміністратор постачальника послуг, який налаштовує SSO партнера для використання організаціями клієнтів, якими керує постачальник послуг, налаштуйте претензію IdP, щоб включити атрибут пошти (а не uid). Значення повинно відповідати атрибуту, обраному у з 'єднувачі каталогів, або атрибуту користувача, який відповідає атрибуту, обраному у службі ідентифікації Webex.


    Докладніші відомості про відображення спеціальних атрибутів для SSO або Partner SSO див. у розділіhttps://www.cisco.com/go/hybrid-services-directory.

  • Партнер тільки ССО. Постачальник ідентифікаційних даних повинен підтримувати кілька URL-адрес служби захисту прав споживачів (ACS). Приклади налаштування декількох URL-адрес ACS на постачальнику ідентифікаційних даних див.

  • Використовуйте підтримуваний веб-переглядач: рекомендуємо встановити останню версію Mozilla Firefox або Google Chrome.

  • Вимкніть блокування спливаючих вікон у своєму веб-переглядачі.


Керівництва з конфігурації показують конкретний приклад інтеграції SSO, але не забезпечують вичерпної конфігурації для всіх можливостей. Наприклад, задокументовано кроки інтеграції для urn:oasis:names:tc:SAML:2.0: nameid-format: transient. Інші формати, такі як urn: oasis: names: tc: SAML: 1.1: nameid-format:unspecified або urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress працюватимуть для інтеграції SSO, але виходять за рамки нашої документації.

Ви повинні встановити угоду SAML між службою ідентифікації платформи Webex і вашим IdP.

Щоб досягти успішної угоди SAML, потрібні два файли:

  • Файл метаданих з IdP, який слід передати до Webex.

  • Файл метаданих з Webex, який слід віддати IdP.

Це приклад файлу метаданих PingFederate з метаданими з IdP.

Файл метаданих від служби ідентифікації.

Нижче наведено те, що ви очікуєте побачити у файлі метаданих від служби ідентифікації.

  • EntityID - використовується для ідентифікації угоди SAML в конфігурації IdP

  • Немає вимоги до підписаного запиту AuthN або будь-яких тверджень Sign, він відповідає тому, що запитує IdP у файлі метаданих.

  • Підписаний файл метаданих для IdP для перевірки належності метаданих до служби ідентифікації.

1.

У перегляді клієнта в Control Hub (Центр керуванняhttps://admin.webex.com) () перейдіть до меню Management > Organization Settings (Керування > Налаштування організації), прокрутіть до розділу Authentication (Аутентифікація) і увімкніть параметр Single Sign-On (Єдиний вхід), щоб запустити майстер налаштування.

2.

Виберіть тип сертифіката:

  • Самостійно підписані компанією Cisco .Рекомендуємо вибрати цей варіант, щоб ми стали SP. Крім того, сертифікат потрібно поновлювати лише кожні п 'ять років.
  • Підписано державним центром сертифікації- цей параметр є безпечним і доцільним, якщо ви отримуєте свої сертифікати, підписані державним центром сертифікації, таким як Hydrant або Godaddy. Однак сертифікат потрібно поновлювати раз на рік.
3.

Натисніть Завантажити метадані та натисніть Далі.

4.

Служба ідентифікації платформи Webex перевіряє файл метаданих з IdP.

Існує два можливих способи перевірки метаданих з IdP Замовника:

  • IdP клієнта забезпечує підпис у метаданих, який підписується громадським кореневим ЦС.

  • IdP клієнта надає самопідписаний приватний ЦС або не надає підпис для своїх метаданих. Цей варіант менш безпечний.

5.

Перевірте з 'єднання SSO, перш ніж увімкнути його. Цей крок працює як пробний пробіг і не впливає на налаштування вашої організації, поки ви не увімкнете SSO на наступному етапі.


 

Щоб переглянути безпосередній вхід SSO, натисніть Скопіювати URL-адресу в буфер обміну з цього екрана та вставте її в приватне вікно веб-переглядача. Звідти ви можете пройти через вхід за допомогою SSO. Це допоможе видалити будь-яку інформацію, кешовану у вашому веб-переглядачі, яка може дати хибнопозитивний результат під час тестування конфігурації SSO.

6

Якщо тест пройшов успішно, поверніть SSO і збережіть зміни.

Щоб зміни набули чинності у вашій організації, ви повинні зберегти їх.

Незалежно від того, чи отримали ви сповіщення про закінчення терміну дії сертифіката, чи хочете перевірити наявну конфігурацію SSO, ви можете використовувати функції керування єдиним входом (SSO) в Control Hub для керування сертифікатами та загальних заходів з обслуговування SSO.

Якщо у вас виникли проблеми з інтеграцією SSO, скористайтеся вимогами та процедурою в цьому розділі, щоб усунути несправності у потоці SAML між вашим IdP та Webex.

  • Використовуйте додаток трасування SAML для Firefox або Chrome.

  • Щоб усунути несправності, скористайтеся веб-переглядачем, де ви встановили інструмент відлагодження трасування SAML, і перейдіть до веб-версії Webex за адресоюhttps://web.webex.com.

Нижче наведено потік повідомлень між додатком Webex, службами Webex, службою ідентифікації платформи Webex та постачальником ідентифікаційних даних (IdP).

  1. Перейдіть за посиланням https://admin.webex.com і, якщо ввімкнено функцію SSO, додаток запитає адресу електронної пошти.
  2. Програма надсилає GET-запит на сервер авторизації OAuth для маркера. Запит перенаправляється до служби ідентифікації на SSO або потік імені користувача та пароля. Повертається URL-адреса сервера автентифікації.
  3. Програма Webex запитує твердження SAML від IdP, використовуючи SAML HTTP-ПОСТ.
  4. Автентифікація програми відбувається між веб-ресурсами операційної системи та IdP.
  5. Програма надсилає http Post назад до служби ідентифікації та включає атрибути, надані IdP та погоджені в початковій угоді.
  6. Затвердження SAML від IdP до Webex.
  7. Служба ідентифікації отримує код авторизації, який замінюється на OAuth-доступ та маркер оновлення. Цей маркер використовується для доступу до ресурсів від імені користувача.
1.

Перейдіть за посиланням https://admin.webex.com і, якщо ввімкнено функцію SSO, додаток запитає адресу електронної пошти.

Програма надсилає інформацію до служби Webex, яка перевіряє адресу електронної пошти.

2.

Програма надсилає GET-запит на сервер авторизації OAuth для маркера. Запит перенаправляється до служби ідентифікації на SSO або потік імені користувача та пароля. Повертається URL-адреса сервера автентифікації.

Запит на ОТРИМАННЯ можна побачити у файлі трасування.

У розділі параметрів сервіс шукає код OAuth, електронну адресу користувача, який надіслав запит, та інші деталі OAuth, такі як ClientID, redirectURI та Scope.

3.

Програма Webex запитує твердження SAML від IdP, використовуючи SAML HTTP-ПОСТ.

Коли увімкнено SSO, рушій автентифікації в службі ідентифікації перенаправляється на URL-адресу IdP для SSO. URL-адреса IdP, надана під час обміну метаданими.

Перевірте в інструменті трасування повідомлення SAML POST. Ви бачите повідомлення http POST до IdP, яке вимагає IdPbroker.

Параметр RelayState показує правильну відповідь від IdP.

Перегляньте версію декодування запиту SAML, немає мандату AuthN і призначення відповіді повинно перейти до цільової URL-адреси IdP. Переконайтеся, що формат імені правильно налаштовано в IdP під правильним ідентифікатором сутності (SPNameQualifier)

Формат імені IdP вказано, а назву угоди налаштовано під час створення угоди SAML.

4.

Автентифікація програми відбувається між веб-ресурсами операційної системи та IdP.

Залежно від вашого IdP і механізмів автентифікації, налаштованих в IdP, різні потоки запускаються з IdP.

5.

Програма надсилає http Post назад до служби ідентифікації та включає атрибути, надані IdP та погоджені в початковій угоді.

Після успішної автентифікації програма надсилає інформацію в повідомленні SAML POST до служби ідентифікації.

RelayState - це те саме, що і попереднє повідомлення http POST, де програма повідомляє IdP, який EntityID запитує твердження.

6

Затвердження SAML від IdP до Webex.

7

Служба ідентифікації отримує код авторизації, який замінюється на OAuth-доступ та маркер оновлення. Цей маркер використовується для доступу до ресурсів від імені користувача.

Після того, як служба ідентифікації перевірить відповідь від IdP, вони видадуть OAuth-токен, який дозволяє додатку Webex отримувати доступ до різних служб Webex.