تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة عمل أو عملية مصادقة المستخدم التي تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تقوم العملية بمصادقة المستخدمين لجميع التطبيقات التي يتم منحهم حقوقها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يستخدم بروتوكول اتحاد لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة الدخول الموحد (SSO) بين سحابة Webex وموفر الهوية ( IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف الدخول الموحد (SSO) لمتصفح الويب فقط. في ملف تعريف الدخول الموحد (SSO) في مستعرض الويب، يدعم Webex App الروابط التالية:

  • SP بدأت آخر -> آخر ملزمة

  • SP بدأت إعادة توجيه -> بعد الربط

تنسيق معرف الاسم

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل حول مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في بيانات التعريف التي تقوم بتحميلها من موفر الهوية، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الفردي

يدعم Webex App ملف تعريف تسجيل الخروج الفردي. في تطبيقWebex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الفردي من SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر الهوية. تأكد من تكوين موفر الهوية لتسجيل الخروج الفردي.

دمج Control Hub مع ADFS

تعرض أدلة التكوين مثالًا محددًا لدمج تسجيل الدخول الفردي، غير أنها لا توفر تكوينًا شاملًا يغطي جميع الاحتمالات. على سبيل المثال، تم توثيق خطوات التكامل لـ nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress للتكامل مع SSO ولكنها خارج نطاق وثائقنا.

قم بإعداد هذا التكامل للمستخدمين في مؤسسة Webex ( بما في ذلك تطبيقWebex واجتماعات Webex والخدمات الأخرى التي تتم إدارتها في مركز التحكم). إذا كان موقع Webex الخاص بك مدمجا في مركزالتحكم، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى اجتماعات Webex بهذه الطريقة ولم تتم إدارتها في Control Hub، فيجب عليك إجراء تكامل منفصل لتمكين الدخول الموحد (SSO) لاجتماعات Webex.

اعتمادًا على ما تم تكوينه في آليات المصادقة في ADFS، يمكن تمكين المصادقة المتكاملة لنظام التشغيل Windows (IWA) بشكل افتراضي. إذا تم تمكين هذه الميزة، فإن التطبيقات التي يتم تشغيلها من خلال Windows (مثل Webex App وCisco Directory Connector) تتم مصادقتها باعتبارها المستخدم الذي قام بتسجيل الدخول، بغض النظر عن عنوان البريد الإلكتروني الذي تم إدخاله أثناء مطالبة البريد الإلكتروني الأولية.

قم بتنزيل البيانات الوصفية Webex إلى نظامك المحلي

1

سجل الدخول إلى مركزالتحكم.

2

انتقل إلى الإدارة > حماية > المصادقة.

3

انتقل إلى علامة التبويب موفر الهوية وانقر فوق تنشيط SSO.

4

حدد موفر الهوية.

5

اختر نوع الشهادة لمؤسستك:

  • تم التوقيع ذاتيًا بواسطة Cisco—نوصي بهذا الاختيار. دعنا نوقع على الشهادة بحيث تحتاج فقط إلى تجديدها مرة واحدة كل خمس سنوات.
  • تم التوقيع بواسطة هيئة شهادة عامة— أكثر أمانًا ولكنك ستحتاج إلى تحديث البيانات الوصفية بشكل متكرر (ما لم يدعم بائع موفر الهوية الخاص بك نقاط الثقة).

مراسي الثقة هي مفاتيح عامة تعمل كسلطة للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات، راجع وثائق موفر الهوية.

6

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات التعريف الخاصة بـ Webex هو idb-meta-<org-ID>-SP.xml.

تثبيت بيانات التعريف الخاصة بـ Webex في ADFS

قبل البدء

يدعم Control Hub ADFS 2.x أو الإصدار الأحدث.

يتضمن Windows 2008 R2 ADFS 1.0 فقط. يجب عليك تثبيت ADFS 2.x على الأقل من Microsoft.

بالنسبة لخدمات SSO وWebex، يجب أن يتوافق موفرو الهوية (IdPs) مع مواصفات SAML 2.0 التالية:

  • تعيين سمة تنسيق معرف الاسم إلى urn:oasis:names:tc:SAML:2.0:nameid-format:عابر

  • قم بتكوين مطالبة على IdP لتضمين اسم سمة uid بقيمة يتم تعيينها إلى السمة المختارة في Cisco Directory Connector أو سمة المستخدم التي تتطابق مع السمة المختارة في خدمة هوية Webex. (قد تكون هذه السمة عناوين البريد الإلكتروني أو اسم المستخدم الرئيسي، على سبيل المثال.) راجع معلومات السمة المخصصة في https://www.cisco.com/go/hybrid-services-directory للحصول على الإرشادات.

1

سجل الدخول إلى خادم ADFS باستخدام أذونات المسؤول.

2

افتح وحدة التحكم في إدارة ADFS وانتقل إلى علاقات الثقة > صناديق الثقة المعتمدة > إضافة ثقة الطرف المعتمد.

3

من نافذة معالج إضافة جهة ثقة معتمدة ، حدد بدء.

4

بالنسبة لـ تحديد مصدر البيانات حدد استيراد البيانات حول الطرف المعتمد من ملف، ثم انتقل إلى ملف بيانات التعريف الخاص بمركز التحكم الذي قمت بتنزيله، ثم حدد التالي.

5

بالنسبة لـ تحديد اسم العرض، قم بإنشاء اسم عرض لثقة الطرف المعتمد هذه مثل Webex وحدد التالي.

6

بالنسبة لـ اختر قواعد تفويض الإصدار، حدد السماح لجميع المستخدمين بالوصول إلى الطرف المعتمد هذا، ثم حدد التالي.

7

بالنسبة لـ جاهز لإضافة الثقة، حدد التالي وأكمل إضافة الثقة المعتمدة إلى ADFS.

إنشاء قواعد المطالبة لمصادقة Webex

1

في جزء ADFS الرئيسي، حدد علاقة الثقة التي قمت بإنشائها، ثم حدد تحرير قواعد المطالبة. في علامة التبويب قواعد تحويل الإصدار، حدد إضافة قاعدة.

2

في خطوة اختيار نوع القاعدة، حدد إرسال سمات LDAP كمطالبات، ثم حدد التالي.

  1. أدخل اسم قاعدة المطالبة.

  2. حدد Active Directory كمخزن للسمات.

  3. قم بربط سمة LDAP عناوين البريد الإلكتروني بنوع المطالبة الصادرة uid.

    تخبر هذه القاعدة ADFS بالحقول التي يجب تعيينها إلى Webex لتحديد هوية المستخدم. قم بتهجئة أنواع المطالبات الصادرة تمامًا كما هو موضح.

  4. احفظ التغييرات التي أجريتها.

3

حدد إضافة قاعدة مرة أخرى، وحدد إرسال المطالبات باستخدام قاعدة مخصصة، ثم حدد التالي.

توفر هذه القاعدة لـ ADFS سمة "مؤهل spname" التي لا توفرها Webex عادةً.

  1. افتح محرر النصوص الخاص بك وانسخ المحتوى التالي.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    استبدل URL1 وURL2 في النص على النحو التالي:

    • URL1 هو معرف الكيان من ملف بيانات ADFS الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة لما تراه: http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      انسخ معرف الكيان فقط من ملف بيانات ADFS وقم بلصقه في ملف النص لاستبدال URL1

    • URL2 موجود في السطر الأول في ملف بيانات Webex الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة لما تراه: https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      انسخ معرف الكيان فقط من ملف بيانات Webex وقم بلصقه في ملف النص لاستبدال URL2.

  2. باستخدام عناوين URL المحدثة، انسخ القاعدة من محرر النصوص الخاص بك (بدءًا من "c:") ولصقه في مربع القاعدة المخصصة على خادم ADFS الخاص بك.

    يجب أن تبدو القاعدة المكتملة على النحو التالي:

  3. حدد إنهاء لإنشاء القاعدة، ثم اخرج من نافذة تحرير قواعد المطالبة.

4

حدد ثقة الطرف المعتمد في النافذة الرئيسية، ثم حدد الخصائص في الجزء الأيمن.

5

عندما تظهر نافذة الخصائص، انتقل إلى علامة التبويب Advanced ، SHA-256 ثم حدد OK لحفظ التغييرات.

6

انتقل إلى عنوان URL التالي على خادم ADFS الداخلي لتنزيل الملف: https:// <AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

قد تحتاج إلى النقر بزر الماوس الأيمن على الصفحة وعرض مصدر الصفحة للحصول على ملف XML المنسق بشكل صحيح.

7

احفظ الملف على جهازك المحلي.

التصرف التالي

أنت جاهز لاستيراد بيانات ADFS التعريفية مرة أخرى إلى Webex من بوابة الإدارة.

استيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل الدخول الأحادي بعد الاختبار

بعد تصدير بيانات تعريف Webex وتكوين موفر الهوية وتنزيل بيانات تعريف موفر الهوية إلى نظامك المحلي، تصبح جاهزا لاستيرادها إلى مؤسسة Webex من مركزالتحكم.

قبل البدء

لا تختبر تكامل الدخول الموحد (SSO) من واجهة موفر الهوية (IdP). نحن ندعم فقط عمليات التدفقات التي بدأها موفر الخدمة (التي بدأها مزود الخدمة)، لذلك يجب عليك استخدام اختبار الدخول الموحد (SSO) لمركز التحكم لهذا التكامل.

1

اختر واحدا:

  • ارجع إلى صفحة اختيار الشهادة في مركز التحكم في المستعرض الخاص بك، ثم انقر فوق التالي.
  • أعد فتح مركز التحكم إذا لم يعد مفتوحًا في علامة تبويب المتصفح لديك. من عرض العميل في مركز التحكم، انتقل إلى الإدارة > حماية > المصادقة، حدد موفر الهوية، ثم اختر الإجراءات > استيراد البيانات الوصفية.
2

في صفحة استيراد بيانات التعريف الخاصة بـ IdP، قم إما بسحب ملف بيانات التعريف الخاصة بـ IdP وإفلاته على الصفحة أو استخدم خيار متصفح الملفات لتحديد موقع ملف بيانات التعريف وتحميله. انقر على التالي.

يجب عليك استخدام الخيار الأكثر أمانا ، إذا استطعت. ولا يمكن تحقيق ذلك إلا إذا استخدم موفر الهوية مرجعا مصدقا عاما لتوقيع بياناته الوصفية.

في جميع الحالات الأخرى ، يجب عليك استخدام الخيار الأقل أمانا . ويشمل ذلك ما إذا لم يتم توقيع بيانات التعريف أو توقيعها ذاتيا أو توقيعها بواسطة مرجع مصدق خاص.

لا يقوم Okta بتوقيع البيانات الوصفية، لذا يجب عليك اختيار أقل أمانًا للتكامل مع Okta SSO.

3

حدد اختبار إعداد SSO، وعندما تفتح علامة تبويب متصفح جديدة، قم بالمصادقة باستخدام موفر الهوية عن طريق تسجيل الدخول.

إذا تلقيت خطأ مصادقة فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادة ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول الموحد (SSO). في هذه الحالة، يمكنك السير عبر الخطوات مرة أخرى، وخاصة الخطوات التي تقوم فيها بنسخ بيانات تعريف مركز التحكم ولصقها في إعداد موفر الهوية.

للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. توقف هذه الخطوة الإيجابيات الخاطئة بسبب رمز وصول مميز قد يكون في جلسة عمل موجودة من تسجيل الدخول.

4

ارجع إلى علامة التبويب مستعرض مركز التحكم.

  • إذا كان الاختبار ناجحا، فحدد اختبار ناجح. فعل الدخول الموحد (SSO) وانقر على التالي.
  • إذا لم ينجح الاختبار، فحدد اختبار غير ناجح. أوقف الدخول الموحد (SSO ) وانقر على التالي.

لا يسري تهيئة الدخول الموحد (SSO) في مؤسستك إلا إذا اخترت زر الاختيار الأول وقمت بتنشيط الدخول الموحد (SSO).

التصرف التالي

استخدم الإجراءات الموجودة في مزامنة مستخدمي Okta في Cisco Webex Control Hub إذا كنت تريد توفير المستخدمين من Okta إلى سحابة Webex.

استخدم الإجراءات المذكورة في مزامنة مستخدمي Azure Active Directory في Cisco Webex Control Hub إذا كنت تريد توفير المستخدمين من Azure AD إلى سحابة Webex.

يمكنك اتباع الإجراء الموجود في قمع رسائل البريد الإلكتروني التلقائية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي تطبيق Webex الجدد في مؤسستك. يحتوي المستند أيضا على أفضل الممارسات لإرسال المراسلات إلى المستخدمين في مؤسستك.

تحديث ثقة الطرف المعتمد في Webex في ADFS

تتعلق هذه المهمة على وجه التحديد بتحديث ADFS باستخدام بيانات تعريف SAML الجديدة من Webex. هناك مقالات ذات صلة إذا كنت بحاجة إلى تهيئة الدخول الموحد (SSO) باستخدام ADFS، أو إذا كنت بحاجة إلى تحديث موفر الهوية (مختلف) باستخدام البيانات الوصفية ل SAML لشهادةWebex SSO جديدة.

قبل البدء

يتعين عليك تصدير ملف بيانات تعريف SAML من Control Hub قبل أن تتمكن من تحديث Webex Relying Party Trust في ADFS.

1

سجل الدخول إلى خادم ADFS باستخدام أذونات المسؤول.

2

قم بتحميل ملف بيانات SAML التعريفية من Webex إلى مجلد محلي مؤقت على خادم ADFS، على سبيل المثال //ADFS_servername/temp/idb-meta--SP.xml.

3

افتح Powershell.

4

قم بتشغيل Get-AdfsRelyingPartyTrust لقراءة جميع الثقة المتبادلة بين الأطراف.

لاحظ معلمة TargetName الخاصة بجهة الاعتماد على Webex. نحن نستخدم مثال "Webex" ولكن قد يكون مختلفا في ADFS الخاص بك.

5

يجري Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

تأكد من استبدال اسم الملف واسم الهدف بالقيم الصحيحة من بيئتك.

انظر https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

إذا قمت بتنزيل شهادة Webex SP لمدة 5 سنوات وتم تشغيل إبطال شهادة التوقيع أو التشفير، فستحتاج إلى تشغيل الأمرين التاليين: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

قم بتسجيل الدخول إلى Control Hub، ثم اختبر تكامل SSO:

  1. انتقل إلى الإدارة > حماية > المصادقة.

  2. في علامة التبويب موفر الهوية ، انتقل إلى موفر الهوية وانقر فوق قائمة المزيد

  3. حدد اختبار IdP.

  4. اختبر اتصال الدخول الموحد (SSO) قبل تمكينه. تعمل هذه الخطوة مثل التشغيل التجريبي، ولا تؤثر على إعدادات مؤسستك حتى تقوم بتمكين تسجيل الدخول الفردي في الخطوة التالية.

    للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. يساعد ذلك في إزالة أي معلومات مُخزَّنة مؤقتًا في متصفح الويب الخاص بك، والتي يمكن أن توفر نتيجة إيجابية خاطئة عند اختبار تكوين تسجيل الدخول الفردي الخاص بك.

  5. سجل الدخول لإكمال الاختبار.

استكشاف أخطاء ADFS وإصلاحها

أخطاء ADFS في سجلات Windows

في سجلات Windows، قد ترى رمز خطأ سجل أحداث ADFS 364. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.

حدث خطأ أثناء محاولة إنشاء سلسلة الشهادات لثقة الطرف المعتمد

عند تحديث شهادة SSO، قد يظهر لك هذا الخطأ عند تسجيل الدخول: Invalid status code in response.

إذا رأيت هذا الخطأ، فتحقق من سجلات عارض الأحداث على خادم ADFS وابحث عن الخطأ التالي: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. الأسباب المحتملة هي أن الشهادة تم إلغاؤها، أو لم يتم التحقق من سلسلة الشهادات كما هو محدد بواسطة إعدادات إلغاء شهادة التشفير الخاصة بجهة الثقة المعتمدة، أو أن الشهادة ليست ضمن فترة صلاحيتها.

إذا حدث هذا الخطأ، يجب عليك تشغيل الأوامر Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/ -EncryptionCertificateRevocationCheck None

معرف الاتحاد

معرف الاتحاد حساس لحالة الأحرف. إذا كان هذا هو عنوان البريد الإلكتروني الخاص بمؤسستك، فأدخله بالضبط كما أرسله ADFS، وإلا فلن يتمكن Webex من العثور على المستخدم المطابق.

لا يمكن كتابة قاعدة مطالبة مخصصة لتطبيع سمة LDAP قبل إرسالها.

قم باستيراد بياناتك الوصفية من خادم ADFS الذي قمت بإعداده في بيئتك.

يمكنك التحقق من عنوان URL إذا لزم الأمر بالانتقال إلى الخدمة > نقاط النهاية > البيانات الوصفية > Type:Federation البيانات الوصفية في إدارة ADFS.

مزامنة الوقت

تأكد من مزامنة ساعة نظام خادم ADFS الخاص بك مع مصدر وقت إنترنت موثوق يستخدم بروتوكول وقت الشبكة (NTP). استخدم أمر PowerShell التالي لتحريك الساعة لعلاقة Webex Relying Party Trust فقط.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

القيمة السداسية عشرية فريدة لبيئتك. يرجى استبدال القيمة من قيمة معرف SP EntityDescriptor في ملف بيانات Webex التعريفية. على سبيل المثال: