تسجيل الدخول الأحادي ومركز التحكم

تسجيل الدخول الأحادي (SSO) هو جلسة عمل أو عملية مصادقة المستخدم التي تسمح للمستخدم بتوفير بيانات اعتماد للوصول إلى تطبيق واحد أو أكثر. تقوم العملية بمصادقة المستخدمين لجميع التطبيقات التي يتم منحهم حقوقها. يزيل المزيد من المطالبات عندما يقوم المستخدمون بتبديل التطبيقات أثناء جلسة معينة.

يستخدم بروتوكول اتحاد لغة ترميز تأكيد الأمان (SAML 2.0) لتوفير مصادقة الدخول الموحد (SSO) بين سحابة Webex وموفر الهوية ( IdP).

ملفات التعريف

يدعم تطبيق Webex ملف تعريف الدخول الموحد (SSO) لمتصفح الويب فقط. في ملف تعريف الدخول الموحد (SSO) في مستعرض الويب، يدعم Webex App الروابط التالية:

  • SP بدأت آخر -> آخر ملزمة

  • SP بدأت إعادة توجيه -> بعد الربط

تنسيق معرف الاسم

يدعم بروتوكول SAML 2.0 العديد من تنسيقات NameID للتواصل حول مستخدم معين. يدعم تطبيق Webex تنسيقات NameID التالية.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:غير محدد

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

في بيانات التعريف التي تقوم بتحميلها من موفر الهوية، يتم تكوين الإدخال الأول للاستخدام في Webex.

تسجيل الخروج الفردي

يدعم Webex App ملف تعريف تسجيل الخروج الفردي. في تطبيقWebex، يمكن للمستخدم تسجيل الخروج من التطبيق، والذي يستخدم بروتوكول تسجيل الخروج الفردي من SAML لإنهاء الجلسة وتأكيد تسجيل الخروج باستخدام موفر الهوية. تأكد من تكوين موفر الهوية لتسجيل الخروج الفردي.

دمج Control Hub مع ADFS

تعرض أدلة التهيئة مثالا محددا لتكامل الدخول الموحد (SSO) ولكنها لا توفر تكوينا شاملا لجميع الاحتمالات. على سبيل المثال، يتم توثيق خطوات التكامل الخاصة بتنسيق nameid-formaturn:oasis:names:tc:SAML:2.0:nameid-format:transient . ستعمل التنسيقات الأخرى مثل urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أو urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress على تكامل الدخول الموحد (SSO) ولكنها خارج نطاق وثائقنا.

قم بإعداد هذا التكامل للمستخدمين في مؤسسة Webex ( بما في ذلك تطبيقWebex واجتماعات Webex والخدمات الأخرى التي تتم إدارتها في مركز التحكم). إذا كان موقع Webex الخاص بك مدمجا في مركزالتحكم، فإن موقع Webex يرث إدارة المستخدم. إذا لم تتمكن من الوصول إلى اجتماعات Webex بهذه الطريقة ولم تتم إدارتها في Control Hub، فيجب عليك إجراء تكامل منفصل لتمكين الدخول الموحد (SSO) لاجتماعات Webex. (انظر تكوين تسجيل الدخول الأحادي ل Webex للحصول على مزيد من المعلومات في تكامل الدخول الموحد (SSO) في إدارة الموقع.)

اعتمادًا على ما تم تكوينه في آليات المصادقة في ADFS، يمكن تمكين المصادقة المتكاملة على نظام التشغيل WINDOWS (IWA) افتراضيًا. في حال تمكين هذا الخيار، يتم مصادقة التطبيقات التي يتم تشغيلها من خلال نظام التشغيل Windows (مثل تطبيق Webex وموصل دليل Cisco) كمستخدم قام بتسجيل الدخول، بغض النظر عن عنوان البريد الإلكتروني الذي تم إدخاله أثناء المطالبة الأولية للبريد الإلكتروني.

قم بتنزيل البيانات الوصفية Webex إلى نظامك المحلي

1

من طريقة عرض العميل في https://admin.webex.com، انتقل إلى إعدادات الإدارة > المؤسسة، ثم قم بالتمرير إلى المصادقة، ثم قم بالتبديل إلى إعداد تسجيل الدخول الموحد لبدء تشغيل معالج الإعداد.

2

اختر نوع الشهادة لمؤسستك:

  • موقعّة ذاتيًا بواسطة Cisco— نوصي بهذا الخيار. دعنا نوقع على الشهادة بحيث تحتاج فقط إلى تجديدها مرة واحدة كل خمس سنوات.
  • موقعة بواسطة سلطة اعتماد عامة— أكثر أمانًا ولكنك ستحتاج إلى تحديث بيانات التعريف بصورة متكررة (ما لم يدعم موفر IdP لديك نقاط إرساء الثقة).

مراسي الثقة هي مفاتيح عامة تعمل كسلطة للتحقق من شهادة التوقيع الرقمي. لمزيد من المعلومات، راجع وثائق موفر الهوية.

3

قم بتنزيل ملف البيانات الوصفية.

اسم ملف بيانات تعريف Webex هو idb-meta--SP.xml.

تثبيت بيانات تعريف Webex في ADFS

قبل البدء

يدعم Control Hub ADFS 2.x أو إصدار أحدث.

يتضمن Windows 2008 R2 فقط ADFS 1.0. يجب تثبيت ADFS 2.x بحد أدنى من Microsoft.

بالنسبة لخدمات SSO وWebex، يجب أن يتوافق موفرو التعريف (IdP) مع مواصفات SAML 2.0 التالية:

  • تعيين سمة NameID Format على: urn:oasis:names:tc:SAML:2.0:nameid-format:عابر

  • قم بتكوين مطالبة على موفر التعريف لتضمين اسم سمة معرف المستخدم بقيمة يتم تعيينها للسمة التي يتم اختيارها في موصل دليل Cisco أو سمة المستخدم التي تطابق السمة التي يتم اختيارها في خدمة هوية Webex. (قد تكون هذه السمة، على سبيل المثال، عناوين بريد إلكتروني أو اسم المستخدم الأساسي) ارجع إلى معلومات السمة المخصصة في https://www.cisco.com/go/hybrid-services-directory للحصول على إرشادات.

1

سجل الدخول إلى خادم ADFS باستخدام أذونات المسؤول.

2

افتح وحدة التحكم في إدارة ADFS واستعرض إلى علاقات الثقة > الثقة في الطرف المعول > إضافة الثقة في الطرف المعول.

3

من نافذة إضافة معالج ثقة الطرف المعتمد ، حدد بدء.

4

بالنسبة إلى تحديد مصدر البيانات ، حدد استيراد بيانات حول الطرف المعتمد من ملف، واستعرض إلى ملف بيانات تعريف Control Hub الذي قمت بتنزيله، وحدد التالي.

5

بالنسبة إلى تحديد اسم العرض، قم بإنشاء اسم عرض لهذه الثقة التابعة للطرف مثل Webex وحدد التالي.

6

من أجل اختيار قواعد تفويض الإصدار، حدد السماح لجميع المستخدمين بالوصول إلى هذا الطرف المعول، وحدد التالي.

7

للحصول على جاهز لإضافة الثقة، حدد التالي وقم بإنهاء إضافة الثقة المعتمدة إلى ADFS.

إنشاء قواعد المطالبة لمصادقة Webex

1

في جزء ADFS الرئيسي، حدد علاقة الثقة التي أنشأتها، ثم حدد تحرير قواعد المطالبة. في علامة تبويب "قواعد تحويل الإصدار"، حدد إضافة قاعدة.

2

في خطوة "اختيار نوع القاعدة"، حدد إرسال سمات LDAP كمطالبات، ثم حدد التالي.

  1. أدخل اسم قاعدة المطالبة.

  2. حدد Active Directory باعتباره مخزن السمات.

  3. يمكنك ربط سمة LDAP عناوين البريد الإلكتروني بنوع المطالبة الصادرة لمعرف المستخدم .

    تخبر هذه القاعدة ADFS الحقول المراد تعيينها إلى Webex لتحديد المستخدم. قم بتهجئة أنواع المطالبات الصادرة تمامًا كما هو موضح.

  4. احفظ التغييرات التي أجريتها.

3

حدد إضافة قاعدة مرة أخرى، وحدد إرسال المطالبات باستخدام قاعدة مخصصة، ثم حدد التالي.

توفر هذه القاعدة لـ ADFS بسمة "مؤهل spname" التي لا يوفرها Webex بطريقة أخرى.

  1. افتح محرر النصوص وانسخ المحتوى التالي.

    ج:[Type == "⁦http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]⁩ => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    استبدل URL1 وURL2 في النص كما يلي:

    • URL1 هو entityID من ملف بيانات تعريف ADFS الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة مما تراه: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      انسخ the entityID فقط من ملف بيانات تعريف ADFS والصقه في الملف النصي لاستبدال URL1

    • يوجد URL2 على السطر الأول في ملف بيانات تعريف Webex الذي قمت بتنزيله.

      على سبيل المثال، فيما يلي عينة مما تراه: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      انسخ the entityID فقط من ملف بيانات تعريف Webex والصقه في الملف النصي لاستبدال URL2.

  2. باستخدام عناوين URL المحدثة، انسخ القاعدة من محرر النصوص (بدءًا من "C:") والصقها في مربع القواعد المخصص على خادم ADFS.

    يجب أن تبدو القاعدة المكتملة كالتالي:

  3. حدد إنهاء لإنشاء القاعدة، ثم اخرج من نافذة "تحرير قواعد المطالبة".

4

حدد ثقة الطرف المعتمد في النافذة الرئيسية، ثم حدد الخصائص في الجزء الأيمن.

5

عندما تظهر نافذة "الخصائص"، استعرض إلى علامة التبويب متقدمة ، SHA-256 ثم حدد موافق لحفظ التغييرات التي قمت بها.

6

استعرض إلى عنوان URL التالي على خادم ADFS الداخلي لتنزيل الملف: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

قد تحتاج إلى النقر بزر الماوس الأيمن على الصفحة وعرض مصدر الصفحة للحصول على ملف XML المنسق بشكل صحيح.

7

احفظ الملف إلى جهازك المحلي.

التصرف التالي

أنت جاهز لاستيراد بيانات تعريف ADFS مرةً أخرى إلى Webex من مدخل الإدارة.

استيراد البيانات الوصفية لموفر الهوية وتمكين تسجيل الدخول الأحادي بعد الاختبار

بعد تصدير بيانات تعريف Webex وتكوين موفر الهوية وتنزيل بيانات تعريف موفر الهوية إلى نظامك المحلي، تصبح جاهزا لاستيرادها إلى مؤسسة Webex من مركزالتحكم.

قبل البدء

لا تختبر تكامل الدخول الموحد (SSO) من واجهة موفر الهوية (IdP). نحن ندعم فقط عمليات التدفقات التي بدأها موفر الخدمة (التي بدأها مزود الخدمة)، لذلك يجب عليك استخدام اختبار الدخول الموحد (SSO) لمركز التحكم لهذا التكامل.

1

اختر واحدا:

  • ارجع إلى صفحة تحديد الشهادة في متصفحك، ثم انقر على التالي.
  • إذا لم يعد Control Hub مفتوحًا في علامة تبويب المستعرض، من عرض العميل في https://admin.webex.com، انتقل إلى الإدارة > إعدادات المؤسسة، وقم بالتمرير إلى المصادقة، ثم اختر الإجراءات > استيراد بيانات التعريف.
2

في صفحة استيراد البيانات الوصفية لموفر الهوية، اسحب ملف البيانات الوصفية لموفر الهوية وأفلته في الصفحة أو استخدم خيار مستعرض الملفات لتحديد موقع ملف البيانات الوصفية وتحميله. انقر على التالي.

يجب عليك استخدام الخيار الأكثر أمانا ، إذا استطعت. ولا يمكن تحقيق ذلك إلا إذا استخدم موفر الهوية مرجعا مصدقا عاما لتوقيع بياناته الوصفية.

في جميع الحالات الأخرى ، يجب عليك استخدام الخيار الأقل أمانا . ويشمل ذلك ما إذا لم يتم توقيع بيانات التعريف أو توقيعها ذاتيا أو توقيعها بواسطة مرجع مصدق خاص.

لا يوقع Okta على بيانات التعريف، لذا يجب عليك اختيار أقل أمانًا لدمج Okta SSO.

3

حدد اختبار إعداد SSO، وعند فتح علامة تبويب جديدة في المتصفح، قم بالمصادقة مع موفر التعريف عن طريق تسجيل الدخول.

إذا تلقيت خطأ مصادقة فقد تكون هناك مشكلة في بيانات الاعتماد. تحقق من اسم المستخدم وكلمة المرور وحاول مرة أخرى.

عادة ما يعني خطأ تطبيق Webex وجود مشكلة في إعداد الدخول الموحد (SSO). في هذه الحالة، يمكنك السير عبر الخطوات مرة أخرى، وخاصة الخطوات التي تقوم فيها بنسخ بيانات تعريف مركز التحكم ولصقها في إعداد موفر الهوية.

للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. توقف هذه الخطوة الإيجابيات الخاطئة بسبب رمز وصول مميز قد يكون في جلسة عمل موجودة من تسجيل الدخول.

4

ارجع إلى علامة التبويب مستعرض مركز التحكم.

  • إذا كان الاختبار ناجحا، فحدد اختبار ناجح. فعل الدخول الموحد (SSO) وانقر على التالي.
  • إذا لم ينجح الاختبار، فحدد اختبار غير ناجح. أوقف الدخول الموحد (SSO ) وانقر على التالي.

لا يسري تهيئة الدخول الموحد (SSO) في مؤسستك إلا إذا اخترت زر الاختيار الأول وقمت بتنشيط الدخول الموحد (SSO).

التصرف التالي

استخدم الإجراءات الموجودة في مزامنة مستخدمي Okta في Cisco Webex Control Hub إذا كنت ترغب في توفير المستخدمين من Okta إلى Webex على السحابة.

استخدم الإجراءات الموجودة في مزامنة مستخدمي Azure Active Directory في Cisco Webex Control Hub إذا كنت ترغب في توفير المستخدمين من Azure AD في Webex على السحابة.

يمكنك اتباع الإجراء الموجود في منع رسائل البريد الإلكتروني التلقائية لتعطيل رسائل البريد الإلكتروني التي يتم إرسالها إلى مستخدمي تطبيق Webex الجدد في مؤسستك. يحتوي المستند أيضا على أفضل الممارسات لإرسال المراسلات إلى المستخدمين في مؤسستك.

تحديث ثقة الطرف المعتمد على Webex في ADFS

تهدف هذه المهمة على وجه التحديد إلى تحديث ADFS باستخدام بيانات تعريف SAML الجديدة من Webex. هناك مقالات ذات صلة إذا كنت بحاجة إلى تهيئة الدخول الموحد (SSO) باستخدام ADFS، أو إذا كنت بحاجة إلى تحديث موفر الهوية (مختلف) باستخدام البيانات الوصفية ل SAML لشهادةWebex SSO جديدة.

قبل البدء

يجب عليك تصدير ملف بيانات تعريف SAML من Control Hub قبل أن تتمكن من تحديث ثقة الطرف المعتمد على Webex في ADFS.

1

سجل الدخول إلى خادم ADFS باستخدام أذونات المسؤول.

2

قم بتحميل ملف بيانات تعريف SAML من Webex إلى مجلد محلي مؤقت على خادم ADFS، على سبيل المثال //ADFS_servername/temp/idb-meta--SP.xml.

3

افتح Powershell.

4

قم بتشغيل Get-AdfsRelyingPartyTrust لقراءة كل علاقات الثقة بالأطراف المعتمدة.

لاحظ معلمة TargetName الخاصة بثقة الطرف الذي يعتمد على Webex. نحن نستخدم مثال "Webex" ولكن قد يكون مختلفا في ADFS الخاص بك.

5

قم بتشغيل Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

تأكد من استبدال اسم الملف واسم الهدف بالقيم الصحيحة من بيئتك.

انظر https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

إذا قمت بتنزيل شهادة Webex SP لمدة 5 سنوات وتم تشغيل إبطال شهادة التوقيع أو التشفير، فستحتاج إلى تشغيل الأمرين التاليين: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

سجّل الدخول إلى Control Hub، ثم اختبر تكامل تسجيل الدخول الفردي:

  1. انتقل إلى إعدادات الإدارة > المؤسسة، وقم بالتمرير إلى المصادقة، وقم بالتبديل بين إعداد تسجيل الدخول الأحادي لبدء تشغيل معالج التكوين.

  2. انقر فوق التالي لتخطي صفحة استيراد البيانات الوصفية لموفر الهوية.

    لست بحاجة إلى تكرار هذه الخطوة، لأنك سبق لك استيراد البيانات الوصفية لموفر الهوية.

  3. اختبر اتصال الدخول الموحد (SSO) قبل تمكينه. تعمل هذه الخطوة مثل التشغيل التجريبي، ولا تؤثر على إعدادات مؤسستك حتى تقوم بتمكين تسجيل الدخول الفردي في الخطوة التالية.

    للاطلاع على تجربة تسجيل الدخول الفردي مباشرةً، يمكنك النقر أيضًا على نسخ عنوان URL إلى الحافظة من هذه الشاشة، ولصقها في نافذة متصفح خاصة. ومن هذه النقطة، يمكنك متابعة تسجيل الدخول باستخدام تسجيل الدخول الفردي. يساعد ذلك في إزالة أي معلومات مُخزَّنة مؤقتًا في متصفح الويب الخاص بك، والتي يمكن أن توفر نتيجة إيجابية خاطئة عند اختبار تكوين تسجيل الدخول الفردي الخاص بك.

  4. سجل الدخول لإكمال الاختبار.

استكشاف أخطاء ADFS وإصلاحها

أخطاء ADFS في سجلات Windows

في سجلات Windows، قد ترى رمز خطأ في سجل حدث ADFS رقم 364. تحدد تفاصيل الحدث شهادة غير صالحة. في هذه الحالات، لا يسمح لمضيف ADFS من خلال جدار الحماية الموجود على المنفذ 80 للتحقق من صحة الشهادة.

حدث خطأ أثناء محاولة إنشاء سلسلة الشهادات لثقة الطرف المعول

عند تحديث شهادة SSO، قد تواجه هذا الخطأ عند تسجيل الدخول: رمز الحالة غير صالح في الاستجابة.

إذا رأيت هذا الخطأ، فتحقق من سجلات عارض الحدث على خادم ADFS وابحث عن الخطأ التالي: حدث خطأ أثناء محاولة إنشاء سلسلة الشهادات لشهادة الثقة المعتمدة على الطرف "https://idbroker.webex.com/<org-ID>' المحدد بواسطة بصمة الإبهام" 754B9208F1F75C5CC122740F3675C5D129471D80". الأسباب المحتملة هي أن الشهادة تم إبطال، أو تعذر التحقق من سلسلة الشهادات كما هو محدد بواسطة إعدادات إبطال شهادة تشفير الثقة التابعة للطرف المعول، أو أن الشهادة ليست ضمن فترة صلاحيتها.

في حال حدوث هذا الخطأ، يجب تشغيل الأوامر Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

معرف الاتحاد

معرف الاتحاد حساس لحالة الأحرف. إذا كان هذا هو عنوان بريدك الإلكتروني الخاص بمؤسستك، فأدخله تمامًا كما يرسله ADFS، أو لا يستطيع Webex العثور على المستخدم المطابق.

لا يمكن كتابة قاعدة مطالبة مخصصة لتطبيع سمة LDAP قبل إرسالها.

قم باستيراد بيانات التعريف الخاصة بك من خادم ADFS الذي قمت بإعداده في بيئتك.

يمكنك التحقق من عنوان URL إذا لزم الأمر عن طريق التنقل إلى الخدمة > نقاط النهاية > بيانات التعريف > النوع:بيانات تعريف الاتحاد في إدارة ADFS.

مزامنة الوقت

تأكد من مزامنة ساعة نظام خادم ADFS مع مصدر وقت إنترنت موثوق به يستخدم بروتوكول وقت الشبكة (NTP). استخدم أمر PowerShell التالي لتعديل عقارب الساعة في علاقة الثقة بين الأطراف المعتمدة على Webex فقط.

تعيين ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

القيمة السداسية العشرية فريدة لبيئتك. يرجى استبدال القيمة من قيمة SP EntityDescriptor ID في ملف بيانات تعريف Webex. على سبيل المثال:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">