تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة عمل أو عملية مصادقة المستخدم التي تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تقوم العملية بمصادقة المستخدمين لجميع التطبيقات التي يتم منحهم حقوقها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يستخدم بروتوكول اتحاد لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة الدخول الموحد (SSO) بين سحابة Webex وموفر الهوية ( IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف الدخول الموحد (SSO) لمتصفح الويب فقط. في ملف تعريف الدخول الموحد (SSO) في مستعرض الويب، يدعم Webex App الروابط التالية:

  • SP بدأت آخر -> آخر ملزمة

  • SP بدأت إعادة توجيه -> بعد الربط

تنسيق معرف الاسم

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل حول مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في بيانات التعريف التي تقوم بتحميلها من موفر الهوية، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الفردي

يدعم Webex App ملف تعريف تسجيل الخروج الفردي. في تطبيقWebex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الفردي من SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر الهوية. تأكد من تكوين موفر الهوية لتسجيل الخروج الفردي.

دمج مركز التحكم مع ADFS

تعرض أدلة التهيئة مثالا محددا لتكامل الدخول الموحد (SSO) ولكنها لا توفر تكوينا شاملا لجميع الاحتمالات. على سبيل المثال، يتم توثيق خطوات التكامل الخاصة بتنسيق nameid-formaturn:oasis:names:tc:SAML:2.0:nameid-format:transient . ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أو urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress على تكامل الدخول الموحد (SSO) ولكنها خارج نطاق وثائقنا.

قم بإعداد هذا التكامل للمستخدمين في مؤسسة Webex ( بما في ذلك تطبيقWebex واجتماعات Webex والخدمات الأخرى التي تتم إدارتها في مركز التحكم). إذا كان موقع Webex الخاص بك مدمجا في مركزالتحكم، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى اجتماعات Webex بهذه الطريقة ولم تتم إدارتها في Control Hub، فيجب عليك إجراء تكامل منفصل لتمكين الدخول الموحد (SSO) لاجتماعات Webex. (انظر تكوين تسجيل الدخول الأحادي ل Webex للحصول على مزيد من المعلومات في تكامل الدخول الموحد (SSO) في إدارة الموقع.)

استنادا إلى ما تم تكوينه في آليات المصادقة في ADFS، يمكن تمكين مصادقة Windows المتكاملة (IWA) بشكل افتراضي. إذا تم تمكينها، فإن التطبيقات التي يتم تشغيلها من خلال Windows (مثل Webex App وموصل دليل Cisco) تتم مصادقتها كمستخدم قام بتسجيل الدخول، بغض النظر عن عنوان البريد الإلكتروني الذي يتم إدخاله أثناء مطالبة البريد الإلكتروني الأولية.

قم بتنزيل البيانات الوصفية Webex إلى نظامك المحلي

1

من طريقة عرض العميل في https://admin.webex.com، انتقل إلى إعدادات الإدارة > المؤسسة، ثم قم بالتمرير إلى المصادقة، ثم قم بالتبديل إلى إعداد تسجيل الدخول الموحد لبدء تشغيل معالج الإعداد.
2

اختر نوع الشهادة لمؤسستك:

  • توقيع ذاتي من Cisco—نوصي بهذا الاختيار. دعنا نوقع على الشهادة بحيث تحتاج فقط إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة من قبل مرجعمصدق عام—أكثر أمانا ولكنك ستحتاج إلى تحديث بيانات التعريف بشكل متكرر (ما لم يكن مورد موفر الهوية يدعم نقاط الارتكاز الثقة).

 

مراسي الثقة هي مفاتيح عامة تعمل كسلطة للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات، راجع وثائق موفر الهوية.
3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta--<org-ID>SP.xml.

تثبيت بيانات تعريف Webex في ADFS

قبل البدء

يدعم مركز التحكم ADFS 2.x أو إصدار أحدث.

يتضمن Windows 2008 R2 ADFS 1.0 فقط. يجب تثبيت الحد الأدنى من ADFS 2.x من Microsoft.

بالنسبة إلى خدمات الدخول الموحد (SSO) وWebex ، يجب أن يتوافق موفرو الهوية (IdPs) مع مواصفات SAML 2.0 التالية:

  • تعيين السمة NameID Format (تنسيق NameID) إلى urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • قم بتكوين مطالبة على موفر الهوية لتضمين اسم سمة uid بقيمة تم تعيينها إلى السمة التي تم اختيارها في Cisco Directory Connector أو سمة المستخدم التي تطابق السمة التي تم اختيارها في خدمة هوية Webex . (قد تكون هذه السمة عناوين البريد الإلكتروني أو اسم المستخدم الرئيسي، على سبيل المثال.) راجع معلومات السمة المخصصة للحصول https://www.cisco.com/go/hybrid-services-directory على الإرشادات.

1

سجل الدخول إلى خادم ADFS باستخدام أذونات المسؤول.
2

افتح وحدة تحكم إدارة ADFS واستعرض للوصول إلى علاقات الثقة > الثقة بالطرف المعتمد > إضافة ثقة الطرف المعتمد.
3

من النافذة إضافة معالج ثقة الطرف المعتمد ، حدد ابدأ.
4

لتحديد مصدر البيانات، حدد استيراد بيانات حول الطرف المعتمد من ملف، واستعرض وصولا إلى ملفبيانات تعريف مركز التحكم الذي قمت بتنزيله، ثم حدد التالي.
5

لتحديد اسم العرض، قم بإنشاء اسمعرض لثقة الطرف المعتمد هذا مثل Webex وحدد التالي.
6

لاختيار قواعدتفويض الإصدار، حدد السماح لجميع المستخدمين بالوصول إلى هذا الطرفالمعتمد، وحدد التالي.
7

بالنسبة إلى "جاهز لإضافة الثقة"، حدد التالي وأكمل إضافة الثقةالمعتمدة إلى ADFS.

إنشاء قواعد المطالبة لمصادقة Webex

1

في جزء ADFS الرئيسي، حدد علاقة الثقة التي قمت بإنشائها، ثم حدد تحرير قواعد المطالبة. في علامة التبويب قواعد تحويل الإصدار، حدد إضافة قاعدة.
2

في الخطوة اختيار نوع القاعدة، حدد إرسال سمات LDAP كمطالبات، ثم حدد التالي.

  1. أدخل اسمقاعدة المطالبة .

  2. حدد Active Directory كمخزن السمات.

  3. قم بتعيين السمة LDAP لعناوين البريد الإلكتروني إلى نوع المطالبة الصادرة uid .

    تخبر هذه القاعدة ADFS بالحقول التي يجب تعيينها إلى Webex لتحديد هوية المستخدم. قم بتوضيح أنواع المطالبات الصادرة تماما كما هو موضح.

  4. احفظ التغييرات التي أجريتها.
3

حدد إضافة قاعدة مرة أخرى، وحدد إرسال المطالبات باستخدام قاعدة مخصصة، ثم حدد التالي.

توفر هذه القاعدة ل ADFS السمة "مؤهل الاسم التسلسلي" التي لا يوفرها Webex بخلاف ذلك.

  1. افتح محرر النصوص وانسخ المحتوى التالي.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    يستعاض عن عنوان URL1 وعنوان URL2 في النص كما يلي:

    • URL1 هو معرف الكيان من ملف البيانات الوصفية ADFS الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة مما تراه: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      انسخ معرف الكيان فقط من ملف البيانات الوصفية ADFS والصقه في الملف النصي ليحل محل URL1

    • يوجد عنوان URL2 في السطر الأول في ملف بيانات تعريف Webex الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة مما تراه: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      انسخ معرف الكيان فقط من ملف البيانات الوصفية Webex والصقه في الملف النصي ليحل محل URL2.

  2. باستخدام عناوين URL المحدثة، انسخ القاعدة من محرر النصوص (بدءا من "c:") والصقها في مربع القاعدة المخصص على خادم ADFS.

    يجب أن تبدو القاعدة المكتملة كما يلي:

  3. حدد إنهاء لإنشاء القاعدة، ثم قم بإنهاء النافذة تحرير قواعد المطالبة.
4

حدد ثقة الطرف المعتمد في النافذة الرئيسية، ثم حدد خصائص في الجزء الأيسر.
5

عند ظهور نافذة الخصائص، استعرض وصولا إلى علامة التبويب خيارات متقدمة ، SHA-256، ثم حدد موافق لحفظ التغييرات.
6

استعرض للوصول إلى عنوان URL التالي على خادم ADFS الداخلي لتنزيل الملف: https://خادم_AD_FS>/UnionMetadata/2007-06/UnionMetadata.xml


 

قد تحتاج إلى النقر بزر الماوس الأيمن على الصفحة وعرض مصدر الصفحة للحصول على ملف XML المنسق بشكل صحيح.
7

احفظ الملف على جهازك المحلي.

التصرف التالي

أنت مستعد لاستيراد بيانات تعريف ADFS مرة أخرى إلى Webex من مدخل الإدارة.

استيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل الدخول الأحادي بعد الاختبار

بعد تصدير بيانات تعريف Webex وتكوين موفر الهوية وتنزيل بيانات تعريف موفر الهوية إلى نظامك المحلي، تصبح جاهزا لاستيرادها إلى مؤسسة Webex من مركزالتحكم.

قبل البدء

لا تختبر تكامل الدخول الموحد (SSO) من واجهة موفر الهوية (IdP). نحن ندعم فقط عمليات التدفقات التي بدأها موفر الخدمة (التي بدأها مزود الخدمة)، لذلك يجب عليك استخدام اختبار الدخول الموحد (SSO) لمركز التحكم لهذا التكامل.

1

اختر واحدا:

  • ارجع إلى صفحة مركز التحكم - تحديد الشهادة في المستعرض، ثم انقر فوق التالي.
  • إذا لم يعد مركز التحكم مفتوحا في علامة تبويب المستعرض، فمن طريقة عرض العميل فيhttps://admin.webex.com ، انتقل إلى إعدادات الإدارة > المؤسسة، وقم بالتمرير إلى المصادقة، ثم اختر الإجراءات > استيراد بياناتالتعريف.
2

في صفحة استيراد البيانات الوصفية لموفر الهوية، اسحب ملف البيانات الوصفية لموفر الهوية وأفلته في الصفحة أو استخدم خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام الخيار الأكثر أمانا ، إذا استطعت. ولا يمكن تحقيق ذلك إلا إذا استخدم موفر الهوية مرجعا مصدقا عاما لتوقيع بياناته الوصفية.

في جميع الحالات الأخرى ، يجب عليك استخدام الخيار الأقل أمانا . ويشمل ذلك ما إذا لم يتم توقيع بيانات التعريف أو توقيعها ذاتيا أو توقيعها بواسطة مرجع مصدق خاص.
3

حدد اختبار إعداد الدخول الموحد (SSO )، وعند فتح علامة تبويب متصفح جديدة، يمكنك المصادقة باستخدام موفر الهوية عن طريق تسجيل الدخول.


 

إذا تلقيت خطأ مصادقة فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادة ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول الموحد (SSO). في هذه الحالة، يمكنك السير عبر الخطوات مرة أخرى، وخاصة الخطوات التي تقوم فيها بنسخ بيانات تعريف مركز التحكم ولصقها في إعداد موفر الهوية.

 

للاطلاع على تجربة تسجيل الدخول الموحد (SSO) مباشرة، يمكنك أيضا النقر على نسخ عنوان URL إلى الحافظة من هذه الشاشة ولصقه في نافذة متصفح خاصة. من هناك، يمكنك الاطلاع على تسجيل الدخول باستخدام الدخول الموحد (SSO). توقف هذه الخطوة الإيجابيات الخاطئة بسبب رمز وصول مميز قد يكون في جلسة عمل موجودة من تسجيل الدخول.
4

ارجع إلى علامة التبويب مستعرض مركز التحكم.

  • إذا كان الاختبار ناجحا، فحدد اختبار ناجح. فعل الدخول الموحد (SSO) وانقر على التالي.
  • إذا لم ينجح الاختبار، فحدد اختبار غير ناجح. أوقف الدخول الموحد (SSO ) وانقر على التالي.

 

لا يسري تهيئة الدخول الموحد (SSO) في مؤسستك إلا إذا اخترت زر الاختيار الأول وقمت بتنشيط الدخول الموحد (SSO).

التصرف التالي

يمكنك اتباع الإجراء الوارد في منع رسائل البريد الإلكتروني التلقائية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي Webex App الجدد في مؤسستك. يحتوي المستند أيضا على أفضل الممارسات لإرسال المراسلات إلى المستخدمين في مؤسستك.

تحديث ثقة الطرف المعتمد على Webex في ADFS

تتعلق هذه المهمة تحديدا بتحديث AD FS ببيانات تعريف SAML الجديدة من Webex. هناك مقالات ذات صلة إذا كنت بحاجة إلى تهيئة الدخول الموحد (SSO) باستخدام AD FS، أو إذا كنت بحاجة إلى تحديث موفر الهوية (مختلف) باستخدام بيانات تعريف SAML لشهادةالدخول الموحد (SSO) الجديدة من Webex.

قبل البدء

تحتاج إلى تصدير ملف بيانات تعريف SAML من مركز التحكم قبل أن تتمكن من تحديث Webex Relying Party Trust في AD FS.

1

سجل الدخول إلى خادم AD FS باستخدام أذونات المسؤول.
2

قم بتحميل ملف البيانات الوصفية SAML من Webex إلى مجلد محلي مؤقت على خادم AD FS ، على سبيل المثال. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

افتح Powershell.
4

تشغيل Get-AdfsRelyingPartyTrust لقراءة جميع صناديق الطرف المعول عليها.

لاحظ TargetName معلمة ثقة الطرف المعتمد على Webex . نحن نستخدم مثال "Cisco Webex" ولكن قد يكون مختلفا في AD FS الخاص بك.
5

تشغيل Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

تأكد من استبدال اسم الملف واسم الهدف بالقيم الصحيحة من بيئتك.

انظر https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

إذا قمت بتنزيل شهادة Webex SP لمدة 5 سنوات وتم تشغيل إبطال شهادة التوقيع أو التشفير، فستحتاج إلى تشغيل الأمرين التاليين: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

سجل الدخول إلى مركزالتحكم، ثم اختبر تكامل الدخول الموحد (SSO):

  1. انتقل إلى إعدادات الإدارة > المؤسسة، وقم بالتمرير إلى المصادقة، وقم بالتبديل بين إعداد تسجيل الدخول الأحادي لبدء تشغيل معالج التكوين.

  2. انقر فوق التالي لتخطي صفحة استيراد البيانات الوصفية لموفر الهوية.

    لست بحاجة إلى تكرار هذه الخطوة، لأنك سبق لك استيراد البيانات الوصفية لموفر الهوية.

  3. اختبر اتصال الدخول الموحد (SSO) قبل تمكينه. تعمل هذه الخطوة مثل التشغيل الجاف ولا تؤثر على إعدادات مؤسستك حتى تقوم بتمكين الدخول الموحد (SSO) في الخطوة التالية.


     

    للاطلاع على تجربة تسجيل الدخول الموحد (SSO) مباشرة، يمكنك أيضا النقر على نسخ عنوان URL إلى الحافظة من هذه الشاشة ولصقه في نافذة متصفح خاصة. من هناك، يمكنك الاطلاع على تسجيل الدخول باستخدام الدخول الموحد (SSO). يساعد ذلك في إزالة أي معلومات يتم تخزينها مؤقتا في متصفح الويب الخاص بك والتي قد توفر نتيجة إيجابية خاطئة عند اختبار تهيئة الدخول الموحد (SSO).

  4. سجل الدخول لإكمال الاختبار.

استكشاف أخطاء ADFS وإصلاحها

أخطاء ADFS في سجلات Windows

في سجلات Windows، قد تشاهد رمز خطأ سجل أحداث ADFS 364. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.

حدث خطأ أثناء محاولة إنشاء سلسلة الشهادات لثقة الطرف المعول

عند تحديث شهادة الدخول الموحد (SSO)، قد يظهر لك هذا الخطأ عند تسجيل الدخول: Invalid status code in response.

إذا رأيت هذا الخطأ، فتحقق من سجلات "عارض الأحداث" على خادم ADFS وابحث عن الخطأ التالي: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. وتتمثل الأسباب المحتملة في إبطال الشهادة، أو تعذر التحقق من سلسلة الشهادات على النحو المحدد في إعدادات إبطال شهادة التشفير الخاصة بثقة الطرف المعول، أو أن الشهادة ليست ضمن فترة صلاحيتها.

في حالة حدوث هذا الخطأ ، يجب تشغيل الأوامر Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

معرف الاتحاد

معرف الاتحاد حساس لحالة الأحرف. إذا كان هذا هو عنوان البريد الإلكتروني للمؤسسة، فأدخله تماما كما يرسله ADFS، أو يتعذر على Webex العثور على المستخدم المطابق.

لا يمكن كتابة قاعدة مطالبة مخصصة لتطبيع سمة LDAP قبل إرسالها.

استيراد بيانات التعريف الخاصة بك من خادم ADFS الذي قمت بإعداده في بيئتك.

يمكنك التحقق من عنوان URL إذا لزم الأمر عن طريق الانتقال إلى نقاط نهاية > الخدمة > بيانات التعريف > النوع: بيانات تعريف الاتحاد في إدارة ADFS.

مزامنة الوقت

تأكد من مزامنة ساعة نظام خادم ADFS مع مصدر وقت إنترنت موثوق به يستخدم بروتوكول وقت الشبكة (NTP). استخدم الأمر PowerShell التالي لتحريف الساعة لعلاقة Webex Relying Party Trust فقط.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

القيمة السداسية العشرية فريدة من نوعها لبيئتك. الرجاء استبدال القيمة من قيمة معرف SP EntityDescriptor في ملف بيانات تعريف Webex . على سبيل المثال:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">