تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة أو عملية مصادقة للمستخدم تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تصادق العملية المستخدمين لجميع التطبيقات التي تم منحهم حقوقًا لها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يتم استخدام بروتوكول لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة SSO بين سحابة Webex وموفر الهوية (IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف SSO لمستعرض الويب فقط. في ملف تعريف SSO لمستعرض الويب ، يدعم تطبيق Webex الارتباطات التالية:

  • قام SP بتهيئة POST -> ربط POST

  • قام SP ببدء REDIRECT -> ربط POST

تنسيق NameID

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل بشأن مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في البيانات الوصفية التي تقوم بتحميلها من IdP الخاص بك ، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الأحادي

يدعم تطبيق Webex ملف تعريف تسجيل الخروج الأحادي. في تطبيق Webex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الأحادي لـ SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر التعريف الخاص بك. تأكد من تكوين IdP الخاص بك من أجل SingleLogout.

دمج Control Hub مع ADFS


 

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، خطوات الدمج في شأن nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient موثَّقة. تنسيقات أخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ستعمل من أجل دمج تسجيل الدخول الفردي، غير أنها خارج نطاق توثيقنا.

قم بإعداد هذا التكامل للمستخدمين في Webex الخاصة بك (بما في ذلك تطبيق Webex ، Webex Meetings، والخدمات الأخرى التي تتم إدارتها في Control Hub). إذا تم دمج موقع Webex الخاص بك في Control Hub ، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى Webex Meetings بهذه الطريقة ولم تتم إدارتها في Control Hub ، فيجب عليك إجراء تكامل منفصل لتمكين SSO Webex Meetings. (انظر قم بتكوين تسجيل الدخول الأحادي لـ Webex لمزيد من المعلومات حول تكامل SSO في إدارة الموقع.)

اعتمادًا على ما تم تكوينه في آليات المصادقة في ADFS، يمكن تمكين مصادقة ويندوز المتكاملة (IWA) افتراضيًا. في حالة التمكين، تتم مصادقة التطبيقات التي يتم إطلاقها من خلال نظام التشغيل Windows (مثل تطبيق Webex وCisco Directory Connector) كمستخدم قام بتسجيل الدخول، بغض النظر عن عنوان البريد الإلكتروني الذي تم إدخاله أثناء مطالبة البريد الإلكتروني الأولية.

قم بتنزيل بيانات Webex الوصفية على نظامك المحلي

1

من وجهة نظر العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، ثم قم بالتمرير إلى المصادقة ، ثم قم بالتبديل إلى ملف تسجيل دخول واحد الإعداد لبدء معالج الإعداد.

2

اختر نوع الشهادة لمؤسستك:

  • موقعة ذاتيًا بواسطة Cisco - نوصي بهذا الاختيار. دعنا نوقع الشهادة حتى لا تحتاج إلا إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة من قبل سلطة تصديق عامة —أكثر أمانًا ولكنك ستحتاج إلى تحديث البيانات الوصفية بشكل متكرر (ما لم يدعم مورد موفِّر الهوية (IdP) الخاص بك كيانات الثقة).

 

نقاط ارتساء الثقة هي مفاتيح عامة تعمل كمرجع للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات ، راجع وثائق موفر الهوية.

3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta-<org-ID> -SP.xml .

تثبيت بيانات تعريف Webex في ADFS

قبل البدء

يدعم Control Hub ADFS 2.x أو إصدار أحدث.

ويندوز 2008 R2 يتضمن فقط ADFS 1.0. يجب عليك تثبيت ADFS 2.x على الأقل من Microsoft.

بالنسبة لخدمات SSO وWebex، يجب أن يتوافق موفري الهوية (IdPs) مع مواصفات SAML 2.0 التالية:

  • تعيين السمة NameID Format على: urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • قم بتكوين مطالبة على موفر التعريف لتضمين اسم سمة uid بقيمة تم تعيينها بالسمة التي تم اختيارها في موصل دليل Cisco أو سمة المستخدم التي تطابق السمة المحددة في خدمة تعريف Webex. (قد تكون هذه السمة، على سبيل المثال، عناوين البريد الإلكتروني أو اسم المستخدم الأساسي). راجع معلومات السمة المخصصة في https://www.cisco.com/go/hybrid-services-directory للحصول على الإرشادات.

1

قم بتسجيل الدخول إلى خادم ADFS باستخدام أذونات المسؤول.

2

افتح وحدة تحكم إدارة ADFS وتصفح إلى علاقات الثقة > ائتمانات الأطراف المعوِّلة > إضافة ثقة الطرف المعوِّل.

3

من نافذة معالج إضافة ثقة الطرف المعتمد ، حدد بدء.

4

بالنسبة إلى تحديد مصدر البيانات، حدد استيراد بيانات حول الطرف المعوّل من ملف، استعرض إلى ملف بيانات تعريف Control Hub الذي قمت بتنزيله، وحدد Next.

5

بالنسبة لتحديد اسم العرض، قم بإنشاء اسم عرض لثقة الطرف المعتمد هذه مثل Webex وحدد التالي.

6

لاختيار قواعد تفويض الإصدار، حدد السماح لجميع المستخدمين بالوصول إلى الطرف المعول هذا، وحدد التالي.

7

للحصول على استعداد لإضافة ثقة، حدد التالي والانتهاء من إضافة الثقة المعتمدة إلى ADFS.

إنشاء قواعد مطالبة لمصادقة Webex

1

في جزء ADFS الرئيسي، حدد علاقة الثقة التي قمت بإنشائها، ثم حدد تحرير قواعد المطالبة. في علامة تبويب "قواعد تحويل الإصدار"، حدد إضافة قاعدة.

2

في خطوة اختيار نوع القاعدة، حدد إرسال سمات LDAP كمطالبات، ثم حدد التالي.

  1. أدخل اسم قاعدة المطالبة.

  2. حدد Active Directory كمخزن السمة.

  3. ارسم خريطة سمة LDAP لعناوين البريد الإلكتروني إلى نوع المطالبة الصادرة من معرف المستخدم.

    تخبر هذه القاعدة ADFS الحقول التي يجب ربطها بـ Webex لتحديد مستخدم. قم بتهجئة أنواع المطالبات الصادرة تمامًا كما هو موضح.

  4. احفظ التغييرات التي أجريتها.

3

حدد إضافة قاعدة مرة أخرى، وحدد إرسال المطالبات باستخدام قاعدة مخصصة، ثم حدد التالي.

توفر هذه القاعدة لـ ADFS سمة "Spname qualifier" التي لا يوفرها Webex بخلاف ذلك.

  1. افتح محرر النصوص وانسخ المحتوى التالي.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    استبدل عنوان URL1 وURL2 في النص كما يلي:

    • URL1 هو entityID من ملف بيانات تعريف ADFS الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة مما تراه: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      نسخ فقط entityID من ملف بيانات تعريف ADFS ولصقه في الملف النصي لاستبدال URL1

    • عنوان URL2 موجود في السطر الأول في ملف بيانات تعريف Webex الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة مما تراه: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      انسخ معرف entityID فقط من ملف بيانات تعريف Webex وقم بلصقه في الملف النصي لاستبدال عنوان URL2.

  2. باستخدام عناوين URL المحدثة، انسخ القاعدة من محرر النصوص (بدءًا من "C:") وألصقها في مربع القواعد المخصص على خادم ADFS الخاص بك.

    ينبغي أن تبدو القاعدة المكتملة على النحو التالي:

  3. حدد إنهاء لإنشاء القاعدة، ثم اخرج من نافذة "تحرير قواعد المطالبة".

4

حدد ثقة الطرف المعول في النافذة الرئيسية، ثم حدد الخصائص في الجزء الأيمن.

5

عند ظهور نافذة "الخصائص"، استعرض إلى علامة التبويب Advanced وSHA-256 ثم حدد موافق لحفظ التغييرات.

6

استعرض إلى عنوان URL التالي على خادم ADFS الداخلي لتنزيل الملف: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

قد تحتاج إلى النقر بزر الماوس الأيمن على الصفحة وعرض مصدر الصفحة للحصول على ملف XML مهيأ بشكل صحيح.

7

احفظ الملف في جهازك المحلي.

التصرف التالي

أنت جاهز لاستيراد بيانات تعريف ADFS مرة أخرى إلى Webex من مدخل الإدارة.

قم باستيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل دخول فردي بعد الاختبار

بعد تصدير البيانات الوصفية لـ Webex ، وتكوين IdP الخاص بك ، وتنزيل البيانات الوصفية لموفر الهوية إلى نظامك المحلي ، فأنت على استعداد لاستيرادها إلى Webex الخاصة بك من Control Hub.

قبل البدء

لا تختبر تكامل SSO من واجهة موفر الهوية (IdP). نحن ندعم فقط التدفقات التي يبدأها مقدم الخدمة (التي بدأها مقدم الخدمة) ، لذلك يجب عليك استخدام اختبار الدخول الموحد ( SSO ) لمركز التحكم لهذا التكامل.

1

اختر واحدة:

  • ارجع إلى Control Hub - صفحة تحديد الشهادة في المستعرض الخاص بك ، ثم انقر فوق التالي .
  • إذا لم يعد Control Hub مفتوحًا في علامة تبويب المتصفح ، من عرض العميل فيhttps://admin.webex.com ، اذهب إلى الإدارة > إعدادات المؤسسة ، قم بالتمرير إلى المصادقة ، ثم اختر الإجراءات > استيراد البيانات الوصفية .
2

في صفحة استيراد بيانات تعريف IdP ، إما أن تقوم بسحب ملف البيانات الوصفية لموفر الهوية وإسقاطه في الصفحة أو استخدام خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام ملف أكثر أمانًا الخيار ، إذا استطعت. هذا ممكن فقط إذا استخدم موفر الهوية الخاص بك مرجع مصدق عام لتوقيع البيانات الوصفية الخاصة به.

في جميع الحالات الأخرى ، يجب عليك استخدام الامتداد أقل أمانًا خيار. يتضمن ذلك ما إذا كانت البيانات الوصفية غير موقعة أو موقعة ذاتيًا أو موقعة بواسطة مرجع مصدق خاص.


 

لا يوقع Okta على البيانات الوصفية ، لذلك يجب أن تختار أقل أمانًا لتكامل Okta SSO .

3

حدد اختبار إعداد SSO ، وعند فتح علامة تبويب جديدة في المتصفح ، قم بالمصادقة باستخدام IdP عن طريق تسجيل الدخول.


 

إذا تلقيت خطأ في المصادقة ، فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادةً ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول المُوحَّد ( SSO ). في هذه الحالة ، انتقل عبر الخطوات مرة أخرى ، لا سيما الخطوات التي تقوم فيها بنسخ البيانات الوصفية لـ Control Hub ولصقها في إعداد IdP.


 

للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. تعمل هذه الخطوة على إيقاف الإيجابيات الخاطئة بسبب وجود رمز وصول قد يكون في جلسة حالية نتيجة تسجيل دخولك.

4

ارجع إلى علامة تبويب المستعرض Control Hub.

  • إذا كان الاختبار ناجحًا ، فحدد اختبار ناجح. قم بتشغيل SSO) وانقر التالي .
  • إذا لم ينجح الاختبار ، فحدد اختبار غير ناجح. قم بإيقاف تشغيل SSO) وانقر التالي .

 

لا يسري تكوين الدخول الموحّد ( SSO ) في مؤسستك إلا إذا اخترت زر خيار الاختيار الأول وتنشيط الدخول الموحّد ( SSO).

التصرف التالي

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Okta في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Okta إلى سحابة Webex .

استخدم الإجراءات الواردة في قم بمزامنة مستخدمي Azure Active Directory في Cisco Webex Control Hub إذا كنت تريد القيام بتزويد المستخدم من Azure AD إلى سحابة Webex .

يمكنك اتباع الإجراء في قمع رسائل البريد الإلكتروني الآلية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي تطبيق Webex الجدد في مؤسستك. يحتوي المستند أيضًا على أفضل الممارسات لإرسال الاتصالات إلى المستخدمين في مؤسستك.

قم بتحديث ثقة الطرف المعتمد Webex في ADFS

تتعلق هذه المهمة بالتحديد بتحديث ADFS ببيانات تعريف SAML الجديدة من Webex. هناك مقالات ذات صلة إذا كنت بحاجة إلى ذلك تكوين SSO مع ADFS ، أو إذا احتجت إلى ذلك تحديث IdP (مختلف) باستخدام البيانات الوصفية لـ SAML للحصول على شهادة Webex SSO جديدة .

قبل البدء

تحتاج إلى تصدير ملف البيانات الوصفية لـ SAML من Control Hub قبل أن تتمكن من تحديث Webex Party Trust في ADFS.

1

قم بتسجيل الدخول إلى خادم ADFS باستخدام أذونات المسؤول.

2

قم بتحميل ملف البيانات الوصفية لـ SAML من Webex إلى مجلد محلي مؤقت على خادم ADFS ، على سبيل المثال. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

افتح Powershell.

4

تشغيل Get-AdfsRelyingPartyTrust لقراءة كل ثقة الطرف المعتمد.

لاحظ ملف TargetName معلمة ثقة الطرف المعتمد على Webex . نستخدم المثال "Webex" ولكن قد يكون مختلفًا في ADFS الخاص بك.

5

تشغيل Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

تأكد من استبدال اسم الملف واسم الهدف بالقيم الصحيحة من بيئتك.

انظرhttps://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust .

 

إذا قمت بتنزيل شهادة Webex SP لمدة 5 سنوات وتم تشغيل إلغاء شهادة التوقيع أو التشفير ، فستحتاج إلى تشغيل هذين الأمرين: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

سجّل الدخول إلى Control Hub ، ثم اختبر تكامل SSO :

  1. اذهب إلى الإدارة > إعدادات المؤسسة ، قم بالتمرير إلى المصادقة ، وقم بالتبديل إلى تسجيل دخول واحد الإعداد لبدء معالج التكوين.

  2. انقر فوق التالي لتخطي صفحة استيراد بيانات تعريف IdP .

    لا تحتاج إلى تكرار هذه الخطوة ، لأنك قمت باستيراد البيانات الوصفية لموفر الهوية مسبقًا.

  3. اختبر اتصال SSO قبل تمكينه. تعمل هذه الخطوة مثل التشغيل التجريبي، ولا تؤثر على إعدادات مؤسستك حتى تقوم بتمكين تسجيل الدخول الفردي في الخطوة التالية.


     

    للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. يساعد ذلك في إزالة أي معلومات مُخزَّنة مؤقتًا في متصفح الويب الخاص بك، والتي يمكن أن توفر نتيجة إيجابية خاطئة عند اختبار تكوين تسجيل الدخول الفردي الخاص بك.

  4. قم بتسجيل الدخول لإكمال الاختبار.

استكشاف أخطاء ADFS وإصلاحها

أخطاء ADFS في سجلات Windows

في سجلات Windows، قد ترى رمز الخطأ في سجل حدث ADFS 364. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.

حدث خطأ أثناء محاولة بناء سلسلة الشهادات لثقة الطرف المعوّل

عند تحديث شهادة SSO، قد يتم تقديم هذا الخطأ لك عند تسجيل الدخول: Invalid status code in response.

إذا رأيت هذا الخطأ، فتحقق من سجلات Event Viewer على خادم ADFS وابحث عن الخطأ التالي: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. الأسباب المحتملة هي أن الشهادة قد تم إلغاؤها، ولا يمكن التحقق من سلسلة الشهادات على النحو المحدد من قبل إعدادات إبطال شهادة التشفير التابعة لجهة الاعتماد، أو أن الشهادة ليست ضمن فترة صلاحيتها.

إذا حدث هذا الخطأ، يجب عليك تشغيل الأوامر Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

معرف الاتحاد

معرف الاتحاد حساس للحالة. إذا كان هذا هو عنوان البريد الإلكتروني الخاص بمؤسستك، فأدخله تمامًا كما يرسله ADFS، أو لا يستطيع Webex العثور على المستخدم المطابق.

لا يمكن كتابة قاعدة مطالبة مخصصة لتطبيع سمة LDAP قبل إرسالها.

قم باستيراد بيانات التعريف من خادم ADFS الذي قمت بإعداده في بيئتك.

يمكنك التحقق من عنوان URL إذا لزم الأمر عن طريق الانتقال إلى الخدمة > نقاط النهاية > بيانات التعريف > النوع:بيانات تعريف الاتحاد في إدارة ADFS.

مزامنة الوقت

تأكد من مزامنة ساعة نظام خادم ADFS الخاصة بك مع مصدر وقت إنترنت موثوق به يستخدم بروتوكول وقت الشبكة (NTP). استخدم أمر PowerShell التالي لتحريف الساعة لعلاقة الثقة لدى الطرف المعتمد على Webex فقط.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

قيمة سداسية عشرية فريدة لبيئتك. يرجى استبدال القيمة من قيمة معرف EntityDescriptor في ملف بيانات تعريف Webex. على سبيل المثال:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">