يمكنك تكوين تكامل تسجيل دخول أحادي (SSO) بين مركز التحكم والنشر الذي يستخدم خدمات اتحاد Active Directory (ADFS 2.x والإصدارات الأحدث) كموفر هوية (IdP).
تسجيل الدخول الأحادي ومركز التحكم
تسجيل الدخول الأحادي (SSO) هو جلسة عمل أو عملية مصادقة المستخدم التي تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تقوم العملية بمصادقة المستخدمين لجميع التطبيقات التي يتم منحهم حقوقها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.
يستخدم بروتوكول اتحاد لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة الدخول الموحد (SSO) بين سحابة Webex وموفر الهوية ( IdP).
ملفات التعريف
يدعم تطبيق Webex ملف تعريف الدخول الموحد (SSO) لمتصفح الويب فقط. في ملف تعريف الدخول الموحد (SSO) في مستعرض الويب، يدعم Webex App الروابط التالية:
SP بدأت آخر -> آخر ملزمة
SP بدأت إعادة توجيه -> بعد الربط
تنسيق معرف الاسم
يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل حول مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
في بيانات التعريف التي تقوم بتحميلها من موفر الهوية، يتم تكوين الإدخال الأول للاستخدام في Webex.
تسجيل الخروج الفردي
يدعم Webex App ملف تعريف تسجيل الخروج الفردي. في تطبيقWebex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الفردي من SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر الهوية. تأكد من تكوين موفر الهوية لتسجيل الخروج الفردي.
دمج مركز التحكم مع ADFS
تعرض أدلة التهيئة مثالا محددا لتكامل الدخول الموحد (SSO) ولكنها لا توفر تكوينا شاملا لجميع الاحتمالات. على سبيل المثال، يتم توثيق خطوات التكامل الخاصة بتنسيق nameid-formaturn:oasis:names:tc:SAML:2.0:nameid-format:transient . ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أو urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress على تكامل الدخول الموحد (SSO) ولكنها خارج نطاق وثائقنا. |
قم بإعداد هذا التكامل للمستخدمين في مؤسسة Webex ( بما في ذلك تطبيقWebex واجتماعات Webex والخدمات الأخرى التي تتم إدارتها في مركز التحكم). إذا كان موقع Webex الخاص بك مدمجا في مركزالتحكم، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى اجتماعات Webex بهذه الطريقة ولم تتم إدارتها في Control Hub، فيجب عليك إجراء تكامل منفصل لتمكين الدخول الموحد (SSO) لاجتماعات Webex. (انظر تكوين تسجيل الدخول الأحادي ل Webex للحصول على مزيد من المعلومات في تكامل الدخول الموحد (SSO) في إدارة الموقع.)
استنادا إلى ما تم تكوينه في آليات المصادقة في ADFS، يمكن تمكين مصادقة Windows المتكاملة (IWA) بشكل افتراضي. إذا تم تمكينها، فإن التطبيقات التي يتم تشغيلها من خلال Windows (مثل Webex App وموصل دليل Cisco) تتم مصادقتها كمستخدم قام بتسجيل الدخول، بغض النظر عن عنوان البريد الإلكتروني الذي يتم إدخاله أثناء مطالبة البريد الإلكتروني الأولية.
قم بتنزيل البيانات الوصفية Webex إلى نظامك المحلي
1 | من طريقة عرض العميل في https://admin.webex.com، انتقل إلى إعدادات الإدارة إعداد تسجيل الدخول الموحد لبدء تشغيل معالج الإعداد. |
||
2 | اختر نوع الشهادة لمؤسستك:
|
||
3 | قم بتنزيل ملف البيانات الوصفية. اسم ملف بيانات تعريف Webex هو idb-meta--<org-ID>SP.xml. |
تثبيت بيانات تعريف Webex في ADFS
قبل البدء
يدعم مركز التحكم ADFS 2.x أو إصدار أحدث.
يتضمن Windows 2008 R2 ADFS 1.0 فقط. يجب تثبيت الحد الأدنى من ADFS 2.x من Microsoft.
بالنسبة إلى خدمات الدخول الموحد (SSO) وWebex ، يجب أن يتوافق موفرو الهوية (IdPs) مع مواصفات SAML 2.0 التالية:
تعيين السمة NameID Format (تنسيق NameID) إلى urn:oasis:names:tc:SAML:2.0:nameid-format:transient
قم بتكوين مطالبة على موفر الهوية لتضمين اسم سمة uid بقيمة تم تعيينها إلى السمة التي تم اختيارها في Cisco Directory Connector أو سمة المستخدم التي تطابق السمة التي تم اختيارها في خدمة هوية Webex . (قد تكون هذه السمة عناوين البريد الإلكتروني أو اسم المستخدم الرئيسي، على سبيل المثال.) راجع معلومات السمة المخصصة للحصول https://www.cisco.com/go/hybrid-services-directory على الإرشادات.
1 | سجل الدخول إلى خادم ADFS باستخدام أذونات المسؤول. |
2 | افتح وحدة تحكم إدارة ADFS واستعرض للوصول إلى . |
3 | من النافذة إضافة معالج ثقة الطرف المعتمد ، حدد ابدأ. |
4 | لتحديد مصدر البيانات، حدد استيراد بيانات حول الطرف المعتمد من ملف، واستعرض وصولا إلى ملفبيانات تعريف مركز التحكم الذي قمت بتنزيله، ثم حدد التالي. |
5 | لتحديد اسم العرض، قم بإنشاء اسمعرض لثقة الطرف المعتمد هذا مثل Webex وحدد التالي. |
6 | لاختيار قواعدتفويض الإصدار، حدد السماح لجميع المستخدمين بالوصول إلى هذا الطرفالمعتمد، وحدد التالي. |
7 | بالنسبة إلى "جاهز لإضافة الثقة"، حدد التالي وأكمل إضافة الثقةالمعتمدة إلى ADFS. |
إنشاء قواعد المطالبة لمصادقة Webex
1 | في جزء ADFS الرئيسي، حدد علاقة الثقة التي قمت بإنشائها، ثم حدد تحرير قواعد المطالبة. في علامة التبويب قواعد تحويل الإصدار، حدد إضافة قاعدة. |
||
2 | في الخطوة اختيار نوع القاعدة، حدد إرسال سمات LDAP كمطالبات، ثم حدد التالي. ![]() |
||
3 | حدد إضافة قاعدة مرة أخرى، وحدد إرسال المطالبات باستخدام قاعدة مخصصة، ثم حدد التالي. توفر هذه القاعدة ل ADFS السمة "مؤهل الاسم التسلسلي" التي لا يوفرها Webex بخلاف ذلك. |
||
4 | حدد ثقة الطرف المعتمد في النافذة الرئيسية، ثم حدد خصائص في الجزء الأيسر. |
||
5 | عند ظهور نافذة الخصائص، استعرض وصولا إلى علامة التبويب خيارات متقدمة ، SHA-256، ثم حدد موافق لحفظ التغييرات. |
||
6 | استعرض للوصول إلى عنوان URL التالي على خادم ADFS الداخلي لتنزيل الملف: https://خادم_AD_FS>/UnionMetadata/2007-06/UnionMetadata.xml
|
||
7 | احفظ الملف على جهازك المحلي. |
التصرف التالي
أنت مستعد لاستيراد بيانات تعريف ADFS مرة أخرى إلى Webex من مدخل الإدارة.
استيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل الدخول الأحادي بعد الاختبار
بعد تصدير بيانات تعريف Webex وتكوين موفر الهوية وتنزيل بيانات تعريف موفر الهوية إلى نظامك المحلي، تصبح جاهزا لاستيرادها إلى مؤسسة Webex من مركزالتحكم.
قبل البدء
لا تختبر تكامل الدخول الموحد (SSO) من واجهة موفر الهوية (IdP). نحن ندعم فقط عمليات التدفقات التي بدأها موفر الخدمة (التي بدأها مزود الخدمة)، لذلك يجب عليك استخدام اختبار الدخول الموحد (SSO) لمركز التحكم لهذا التكامل.
1 | اختر واحدا:
|
||||
2 | في صفحة استيراد البيانات الوصفية لموفر الهوية، اسحب ملف البيانات الوصفية لموفر الهوية وأفلته في الصفحة أو استخدم خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي. يجب عليك استخدام الخيار الأكثر أمانا ، إذا استطعت. ولا يمكن تحقيق ذلك إلا إذا استخدم موفر الهوية مرجعا مصدقا عاما لتوقيع بياناته الوصفية. في جميع الحالات الأخرى ، يجب عليك استخدام الخيار الأقل أمانا . ويشمل ذلك ما إذا لم يتم توقيع بيانات التعريف أو توقيعها ذاتيا أو توقيعها بواسطة مرجع مصدق خاص. |
||||
3 | حدد اختبار إعداد الدخول الموحد (SSO )، وعند فتح علامة تبويب متصفح جديدة، يمكنك المصادقة باستخدام موفر الهوية عن طريق تسجيل الدخول.
|
||||
4 | ارجع إلى علامة التبويب مستعرض مركز التحكم.
|
التصرف التالي
يمكنك اتباع الإجراء الوارد في منع رسائل البريد الإلكتروني التلقائية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي Webex App الجدد في مؤسستك. يحتوي المستند أيضا على أفضل الممارسات لإرسال المراسلات إلى المستخدمين في مؤسستك.
تحديث ثقة الطرف المعتمد على Webex في ADFS
قبل البدء
تحتاج إلى تصدير ملف بيانات تعريف SAML من مركز التحكم قبل أن تتمكن من تحديث Webex Relying Party Trust في AD FS.
1 | سجل الدخول إلى خادم AD FS باستخدام أذونات المسؤول. |
||
2 | قم بتحميل ملف البيانات الوصفية SAML من Webex إلى مجلد محلي مؤقت على خادم AD FS ، على سبيل المثال. |
||
3 | افتح Powershell. |
||
4 | تشغيل لاحظ |
||
5 | تشغيل تأكد من استبدال اسم الملف واسم الهدف بالقيم الصحيحة من بيئتك. انظر https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
|
||
6 | سجل الدخول إلى مركزالتحكم، ثم اختبر تكامل الدخول الموحد (SSO): |
استكشاف أخطاء ADFS وإصلاحها
أخطاء ADFS في سجلات Windows
في سجلات Windows، قد تشاهد رمز خطأ سجل أحداث ADFS 364. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.
حدث خطأ أثناء محاولة إنشاء سلسلة الشهادات لثقة الطرف المعول
عند تحديث شهادة الدخول الموحد (SSO)، قد يظهر لك هذا الخطأ عند تسجيل الدخول: Invalid status code in response
.
إذا رأيت هذا الخطأ، فتحقق من سجلات "عارض الأحداث" على خادم ADFS وابحث عن الخطأ التالي: An error occurred during an attempt to
build the certificate chain for the relying party trust
'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint
'754B9208F1F75C5CC122740F3675C5D129471D80'
. وتتمثل الأسباب المحتملة في إبطال الشهادة، أو تعذر التحقق من سلسلة الشهادات على النحو المحدد في إعدادات إبطال شهادة التشفير الخاصة بثقة الطرف المعول، أو أن الشهادة ليست ضمن فترة صلاحيتها.
في حالة حدوث هذا الخطأ ، يجب تشغيل الأوامر Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID>
-EncryptionCertificateRevocationCheck None
معرف الاتحاد
معرف الاتحاد حساس لحالة الأحرف. إذا كان هذا هو عنوان البريد الإلكتروني للمؤسسة، فأدخله تماما كما يرسله ADFS، أو يتعذر على Webex العثور على المستخدم المطابق.
لا يمكن كتابة قاعدة مطالبة مخصصة لتطبيع سمة LDAP قبل إرسالها.
استيراد بيانات التعريف الخاصة بك من خادم ADFS الذي قمت بإعداده في بيئتك.
يمكنك التحقق من عنوان URL إذا لزم الأمر عن طريق الانتقال إلى
تعريف الاتحاد في إدارة ADFS.مزامنة الوقت
تأكد من مزامنة ساعة نظام خادم ADFS مع مصدر وقت إنترنت موثوق به يستخدم بروتوكول وقت الشبكة (NTP). استخدم الأمر PowerShell التالي لتحريف الساعة لعلاقة Webex Relying Party Trust فقط.
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3
القيمة السداسية العشرية فريدة من نوعها لبيئتك. الرجاء استبدال القيمة من قيمة معرف SP EntityDescriptor في ملف بيانات تعريف Webex . على سبيل المثال:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">