Control Hub에서 싱글 사인온(SSO) 통합
조직에 자신의 ID 공급자(IdP)가 있는 경우, 싱글 사인온(SSO)에 대해 SAML IdP를 Control Hub에 있는 조직에 통합할 수 있습니다. SSO를 통해 사용자는 Webex 앱 응용프로그램 및 조직에 있는 다른 응용프로그램에 대해 한 개의 공통된 자격 증명 집합을 사용할 수 있습니다.
다음 웹 액세스 관리 및 페더레이션 솔루션은 Webex 서비스에 대해 테스트되었습니다. 아래 링크된 문서는 해당하는 특정 ID 제공자(IdP)를 Webex 조직에 통합하는 방법을 안내합니다.
해당하는 안내서는 Control Hub에서 관리되는 Webex 서비스에 대한 SSO 통합을 다룹니다(https://admin.webex.com). Webex Meetings 사이트(사이트 관리에서 관리됨)에 대한 SSO 통합을 찾고 있는 경우, Cisco Webex 사이트에 대해 싱글 사인온 구성 문서를 참조하십시오.
조직에서 여러 ID 공급자에 대해 SSO를 설정하려면 Webex에서 여러 IdP가 포함된 SSO를 참조하십시오.
귀하의 IdP가 아래에 나열되지 않는 경우, 이 문서의 SSO 설정 탭에 있는 고급 단계를 따르십시오.
싱글 사인온(SSO)은 조직 공통 ID 제공자(IdP)를 인증하여 사용자가 Webex에 안전하게 로그인할 수 있도록 합니다. Webex 앱은 Webex 서비스를 사용하여 Webex 플랫폼 아이덴티티 서비스와 통신합니다. 아이덴티티 서비스는 귀하의 ID 제공자(IdP)로 인증합니다.
Control Hub에서 구성을 시작합니다. 이 섹션은 타사 IdP를 통합하기 위한 고급의 일반적인 단계를 캡처합니다.
IdP를 사용하여 SSO를 구성할 때 모든 속성을 uid에 매핑할 수 있습니다. 예를 들어, userPrincipalName, 이메일 별칭, 대체 이메일 주소 또는 기타 적합한 속성을 uid에 매핑합니다. IdP는 로그인할 때 사용자의 이메일 주소 중 하나를 uid와 일치시켜야 합니다. Webex는 최대 5개의 이메일 주소를 uid에 매핑하는 것을 지원합니다.
Webex SAML 페더레이션을 설정하는 동안 메타데이터 구성에 싱글 로그아웃(SLO)을 포함할 것을 권장합니다. 이 단계는 ID 공급자(IdP)와 서비스 공급자(SP) 모두에서 사용자 토큰이 무효화되게 하기 위해 매우 중요합니다. 관리자가 이 구성을 실행하지 않는 경우, Webex는 사용자가 브라우저를 닫고 열려 있는 세션을 무효화하도록 경고합니다.
SSO 및 Control Hub에 대해 IdP는 SAML 2.0 사양을 따라야 합니다. 또한 IdP는 다음 방법으로 구성되어야 합니다.
-
NameID 형식 속성을 urn:oasis:names:tc:SAML:2.0:nameid-format:일시
-
배포하고자 하는 SSO의 유형에 따라 IdP에 대한 클레임을 구성합니다.
-
SSO (조직용)—조직을 대신하여 SSO를 구성하고 있는 경우, IdP 클레임에 디렉터리 커넥터에서 선택된 속성에 매핑된 값 또는 Webex 아이덴티티 서비스에서 선택된 값과 일치하는 사용자 속성으로 uid 속성 이름을 포함하도록 구성합니다. (예를 들어, 이 속성은 E-mail-Addresses 또는 User-Principal-Name일 수 있음)
-
파트너 SSO (서비스 공급자 전용)—서비스 공급자가 관리하는 고객 조직에서 사용될 파트너 SSO를 구성하고 있는 서비스 공급자 관리자인 경우, IdP 클레임에 mail 속성(uid가 아님)을 포함하도록 구성합니다. 해당 값은 디렉터리 커넥터에서 선택된 속성이나 Webex 아이덴티티 서비스에서 선택된 값과 일치하는 사용자 속성에 매핑되어야 합니다.
SSO 또는 파트너 SSO에 대한 사용자 정의 속성을 매핑하는 자세한 정보는 https://www.cisco.com/go/hybrid-services-directory을(를) 참조하십시오.
-
-
파트너 SSO 전용. ID 제공자는 다수의 ACS(Assertion Consumer Service) URL을 지원해야 합니다. ID 제공자에 대해 다수의 ACS URL을 구성하는 방법의 예제는 다음을 참조하십시오.
-
다음 지원되는 브라우저를 사용합니다. 최신 버전의 Mozilla Firefox 또는 Google Chrome을 권장합니다.
-
브라우저에서 팝업 차단기를 비활성화합니다.
구성 안내서는 SSO 통합에 대한 특정 예제를 안내하지만, 모든 가능성에 대한 각각의 구성은 제공하지 않습니다. 예를 들어, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient
에 대한 통합 단계는 문서화되었습니다. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 또는 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
등 다른 형식도 SSO 통합에 대해 작동하지만, 문서 범위에는 속하지 않습니다.
Webex 플랫폼 아이덴티티 서비스 및 IdP 간의 SAML 계약서를 설정해야 합니다.
성공적인 SAML 계약서를 위해 다음과 같은 두 개의 파일이 필요합니다.
-
Webex에 제공하기 위한 IdP의 메타데이터 파일.
-
IdP에 제공하기 위한 Webex의 메타데이터 파일.
이는 IdP로부터의 메타데이터가 포함된 PingFederate 메타데이터 파일의 예제입니다.
아이덴티티 서비스의 메타데이터 파일.
다음은 아이덴티티 서비스의 메타데이터 파일에서 확인할 수 있는 내용입니다.
-
EntityID—이는 IdP 구성에서 SAML 계약서를 식별하기 위해 사용됩니다.
-
서명된 AuthN 요청 또는 서명 어설션에 대한 요구 사항은 없으며, 이는 메타데이터 파일에 있는 IdP 요청 내용에 부합합니다.
-
해당 IdP에 대해 서명된 메타데이터 파일은 메타데이터가 아이덴티티 서비스에 속해 있는지 확인합니다.
1 |
Control Hub(https://admin.webex.com)의 고객 보기에서 으로 이동하고 인증 으로 스크롤한 후 SSO 활성화 설정을 클릭하여 구성 마법사를 시작합니다. |
2 |
Webex 를 IdP로 선택하고 다음을 클릭합니다. |
3 |
Webex IdP가 어떻게 작동하는지 읽고 이해함 을 체크하고 다음을 클릭합니다. |
4 |
라우팅 규칙을 설정합니다. 라우팅 규칙을 추가하면 귀하의 IdP가 추가되고 ID 공급자 탭 아래에 표시됩니다.
자세한 정보는 Webex에서 다수의 IdP가 포함된 SSO를 참조하십시오.
|
만료되는 인증서에 대한 알림을 받았거나 기존 SSO 구성을 확인하려는 경우, 인증서 관리 및 일반 SSO 유지관리 활동에 Control Hub의 싱글 사인온(SSO) 관리 기능을 사용할 수 있습니다.
SSO 통합과 관련된 문제가 발생하는 경우, 이 섹션에 있는 요구 사항 및 절차를 사용하여 IdP 및 Webex 간의 SAML 흐름 문제를 해결하십시오.
-
문제를 해결하려면 SAML 추적 디버그 도구를 설치한 웹 브라우저를 사용하고 https://web.webex.com에 위치한 Webex의 웹 버전으로 이동합니다.
다음은 Webex 앱, Webex 서비스, Webex 플랫폼 아이덴티티 서비스 및 ID 제공자(IdP) 간의 메시지에 대한 흐름입니다.
1 |
SSO가 활성화된 https://admin.webex.com(으)로 이동하면 앱에서 이메일 주소를 입력하도록 안내합니다.
앱은 Webex 서비스로 정보를 보내고, 서비스는 이메일 주소를 확인합니다.
|
2 |
앱은 토큰을 얻기 위해 GET 요청을 OAuth 인증 서버로 보냅니다. 요청은 아이덴티티 서비스에서 SSO 또는 사용자이름 및 비밀번호 흐름으로 리디렉트됩니다. 인증 서버에 대한 URL이 반환됩니다. 추적 파일에서 GET 요청을 확인할 수 있습니다. 파라미터 섹션에서 서비스는 OAuth 코드, 요청을 발송한 사용자의 이메일 및 ClientID, redirectURI 및 Scope과 같은 기타 OAuth 세부 사항을 찾습니다. |
3 |
Webex 앱은 SAML HTTP POST를 사용하여 IdP로부터 SAML 어설션을 요청합니다.
SSO가 활성화되면 아이덴티티 서비스에 있는 인증 엔진은 SSO에 대해 IdP URL로 리디렉트합니다. 메타데이터가 교환될 때 IdP URL이 제공됩니다. SAML POST 메시지에 대해 추적 도구를 확인합니다. IdPbroker가 요청한 IdP에 HTTP POST 메시지가 나타납니다. RelayState 파라미터는 IdP로부터의 올바른 회신을 표시합니다. SAML 요청의 디코드 버전을 확인합니다. IdP의 대상 URL로 이동해야 하는 필수 AuthN 및 응답의 대상은 없습니다. IdP에서 올바른 entityID(SPNameQualifier) 아래에 nameid-format이 올바르게 구성되었는지 확인합니다. SAML 계약서가 생성될 때 IdP nameid-format이 지정되고, 계약서의 이름이 구성됩니다. |
4 |
앱에 대한 인증은 운영 체제 웹 리소스와 IdP 간에 발생합니다.
귀하의 IdP 및 IdP에 구성된 인증 메커니즘에 따라 다른 흐름이 IdP에서 시작됩니다. |
5 |
앱은 HTTP Post를 다시 아이덴티티 서비스로 보내고 IdP에서 제공한 속성을 포함한 후 초기 계약서에 동의합니다.
인증이 성공되면 앱은 SAML POST 메시지에 있는 정보를 아이덴티티 서비스로 보냅니다. RelayState는 이전의 HTTP POST 메시지와 동일하며, 여기에서 앱은 IdP에게 어떤 EntityID에서 어설션을 요청하고 있는지 알립니다. |
6 |
IdP에서 Webex로 SAML 어설션. |
7 |
아이덴티티 서비스는 OAuth 액세스 및 새로운 토큰으로 교체된 인증 코드를 수신합니다. 이 토큰은 사용자를 대신하여 리소스에 액세스하기 위해 사용됩니다.
아이덴티티 서비스는 IdP의 응답에 대한 유효성을 검증한 후 Webex 앱이 다른 Webex 서비스에 액세스할 수 있게 허용하는 OAuth 토큰을 발행합니다. |