Jednotné přihlašování a Centrum řízení

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli zadat přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým mají práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Federační protokol SAML 2,0 (Security Assertion Markup Language) se používá k zajištění ověřování jednotného přihlašování mezi cloudem Webex a vaším zprostředkovatelem identity (IdP).

Profily

Aplikace Webex podporuje pouze profil jednotného přihlašování webového prohlížeče. V profilu jednotného přihlašování webového prohlížeče podporuje aplikace Webex následující vazby:

  • SP inicioval vazbu POST -> POST

  • SP inicioval vazbu REDIRECT -> POST

Formát NameID

Protokol SAML 2,0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Aplikace Webex podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idP, je první položka nakonfigurována pro použití ve Webexu.

SingleLogout

Aplikace Webex podporuje jeden profil odhlášení. V aplikaci Webexse uživatel může odhlásit z aplikace, která používá protokol jednotného odhlášení SAML k ukončení relace a potvrzení, že se odhlásí pomocí svého zprostředkovatele identity. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Control Hubu se službou ADFS

Průvodci konfigurací ukazují konkrétní příklad integrace jednotného přihlašování, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou fungovat pro integraci jednotného přihlašování, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikaceWebex, schůzek Webexa dalších služeb spravovaných v Centru řízení). Pokud je váš web Webex integrován do Centra řízení , web Webex zdědí správu uživatelů. Pokud nemůžete přistupovat ke schůzkám Webex tímto způsobem a není spravováno v Centru řízení ,musíte provést samostatnou integraci, abyste povolili jednotné přihlašování pro schůzky Webex. (Viz Konfigurace jednotného přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve Správě webu.)

V závislosti na konfiguraci v mechanismech ověřování ve službě AD FS lze ve výchozím nastavení povolit integrované ověřování systému Windows (IWA). Pokud je povoleno, aplikace, které jsou spouštěny prostřednictvím systému Windows (například Webex App a Cisco Directory Connector), se ověřují jako přihlášený uživatel bez ohledu na to, jaká e-mailová adresa je zadána během počáteční e-mailové výzvy.

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.comprogramu přejděte na Správa > Nastavení organizace a pak přejděte na Ověřování a pak přepněte na nastavení jednotného přihlašování a spusťte průvodce instalací.
2

Zvolte typ certifikátu pro vaši organizaci:

  • Podepsáno vlastním držitelem společnosti Cisco– Doporučujeme tuto volbu. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou– bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel zprostředkovatele identity nepodporuje kotvy důvěryhodnosti).

 

Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.
3

Stáhněte soubor metadat.

Název souboru metadat Webex je idb-meta-<org-ID>-SP.xml.

Instalace metadat Webexu ve službě AD FS

Než začnete

Centrum řízení podporuje službu ADFS 2.x nebo novější.

Systém Windows 2008 R2 obsahuje pouze službu AD FS 1.0. Je nutné nainstalovat minimálně službu ADFS 2.x od společnosti Microsoft.

U služeb jednotného přihlašování a Webexu musí zprostředkovatelé identity (IdP) splňovat následující specifikace SAML 2,0:

  • Nastavte atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:přechodný

  • Nakonfigurujte deklaraci identity na IdP tak, aby zahrnovala název atributu UID s hodnotou, která je mapována na atribut vybraný v konektoru Cisco Directory Connector nebo atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex. (Tento atribut může být například E-mailové adresy nebo User-Principal-Name.) Pokyny najdete v informacích o vlastním https://www.cisco.com/go/hybrid-services-directory atributu.

1

Přihlaste se k serveru služby ADFS pomocí oprávnění správce.
2

Otevřete konzolu pro správu služby ADFS a přejděte na Vztahy důvěryhodnosti > Vztahy důvěryhodnosti předávající strany > Přidat vztah důvěryhodnosti předávající strany.
3

V okně Průvodce přidáním důvěryhodnosti předávající strany vyberte Spustit.
4

V části Vybrat zdroj dat vyberte Importovat data o předávající straně ze souboru, přejděte do souboru metadat Centra řízení, který jste stáhli, a vyberte Další.
5

V části Zadat zobrazovaný názevvytvořte zobrazovaný název pro tento vztah důvěryhodnosti předávající strany, jako je Webex, a vyberte Další.
6

V části Zvolit pravidla autorizace vystavovánívyberte Povolit všem uživatelům přístup k této předávající straněa vyberte Další .
7

V části Ready to Add Trust (Připraveno k přidání vztahudůvěryhodnosti) vyberte Next (Další) a dokončete přidávání předávajícího vztahu důvěryhodnosti do služby AD FS.

Vytvoření pravidel deklarací identity pro ověřování Webex

1

V hlavním podokně služby AD FS vyberte vztah důvěryhodnosti, který jste vytvořili, a pak vyberte Upravit pravidla deklarací. Na kartě Pravidla transformace vystavování vyberte Přidat pravidlo.
2

V kroku Zvolit typ pravidla vyberte Odeslat atributy LDAP jako deklaracea pak vyberte Další.

  1. Zadejte název pravidla deklarace.

  2. Jako úložiště atributů vyberte Active Directory.

  3. Namapujte atribut LDAP E-mailové adresy na typ odchozí deklarace uid.

    Toto pravidlo říká službě ADFS, která pole se mají mapovat na Webex k identifikaci uživatele. Typy odchozích deklarací hláskujte přesně tak, jak je znázorněno.

  4. Uložte si změny.
3

Znovu vyberte Přidat pravidlo, vyberte Odeslat deklarace pomocí vlastního pravidlaa pak vyberte Další .

Toto pravidlo poskytuje službě ADFS atribut "spname qualifier", který Webex jinak neposkytuje.

  1. Otevřete textový editor a zkopírujte následující obsah.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Nahraďte url1 a URL2 v textu následujícím způsobem:

    • Adresa URL1 je ID entityid ze souboru metadat služby ADFS, který jste stáhli.

      Následuje například ukázka toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Zkopírujte pouze entityID ze souboru metadat služby ADFS a vložte jej do textového souboru, abyste nahradili adresu URL1

    • Adresa URL2 je na prvním řádku v souboru metadat Webex, který jste stáhli.

      Následuje například ukázka toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Zkopírujte pouze entityID ze souboru metadat Webex a vložte jej do textového souboru, abyste nahradili adresu URL2.

  2. S aktualizovanými adresami URL zkopírujte pravidlo z textového editoru (začínající na "c:") a vložte ho do pole vlastního pravidla na serveru služby ADFS.

    Dokončené pravidlo by mělo vypadat takto:

  3. Výběrem možnosti Dokončit vytvořte pravidlo a pak zavřete okno Upravit pravidla deklarací.
4

V hlavním okně vyberte Vztah důvěryhodnosti předávající strany a pak v pravém podokně vyberte Vlastnosti.
5

Když se zobrazí okno Vlastnosti, přejděte na kartu Upřesnit, SHA-256 a pak výběrem OK uložte změny.
6

Soubor stáhněte na následující adrese URL interního serveru služby ADFS: https://serveru služby AD_FS_>/FederationMetadata/2007-06/FederationMetadata.xml


 

Možná budete muset kliknout pravým tlačítkem myši na stránku a zobrazit zdroj stránky, abyste získali správně formátovaný soubor XML.
7

Uložte soubor do místního počítače.

Co dělat dál

Jste připraveni importovat metadata služby ADFS zpět do služby Webex z portálu pro správu.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu, konfiguraci idP a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z ControlHub.

Než začnete

Netestujte integraci jednotného přihlašování z rozhraní zprostředkovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test jednotného přihlašování Centra Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku Control Hub – výběr certifikátu v prohlížeči a klikněte na tlačítko Další.
  • Pokud Centrum řízení již není na kartě prohlížeče otevřené, přejděte v zobrazení zákazníka v https://admin.webex.comčásti Nastavení organizace na > Správa , přejděte na Ověřování a pakzvolte Akce > Importovat metadata.
2

Na stránce Importovat metadata IdP přetáhněte soubor metadat IdP na stránku nebo pomocí možnosti prohlížeče souborů vyhledejte a nahrajte soubor metadat. Klepněte na tlačítko Další.

Pokud je to možné, měli byste použít možnost Bezpečnější. To je možné jenom v případě, že váš zprostředkovatel identity použil k podepsání svých metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít možnost Méně zabezpečené. To platí i v případě, že metadata nejsou podepsána, podepsána svým držitelem nebo podepsána soukromou certifikační autoritou.
3

Vyberte Testovat nastaveníjednotného přihlašování a když se otevře nová karta prohlížeče, ověřte se u zprostředkovatele identity přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

 

Pokud chcete zobrazit prostředí pro přihlašování pomocí jednotného přihlašování přímo, můžete na této obrazovce také kliknout na Kopírovat adresu URL do schránky a vložit ji do okna privátního prohlížeče. Odtud můžete projít přihlášením pomocí jednotného přihlašování. Tento krok zastaví falešné poplachy z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.
4

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Zapněte jednotné přihlašování a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vypněte jednotné přihlašování a klikněte na Další.

 

Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete jednotné přihlašování.

Co dělat dál

Můžete postupovat podle postupu v části Potlačit automatizované e-maily a zakázat e-maily, které jsou odesílány novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Aktualizace vztahu důvěryhodnosti předávající strany Webex ve službě AD FS

Tato úloha se konkrétně týká aktualizace služby AD FS novými metadaty SAML z Webexu. Existují související články, pokud potřebujete nakonfigurovat jednotné přihlašování pomocí služby AD FSnebo pokud potřebujete aktualizovat (jiného) zprostředkovatele identity pomocí metadat SAML pro nový certifikát jednotného přihlašováníWebex.

Než začnete

Před aktualizací vztahu důvěryhodnosti předávající strany Webex ve službě AD FS je třeba exportovat soubor metadat SAML z Centra řízení.

1

Přihlaste se k serveru AD FS pomocí oprávnění správce.
2

Nahrajte soubor metadat SAML z Webexu do dočasné místní složky na serveru AD FS, např. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Otevřete Powershell.
4

Spustit Get-AdfsRelyingPartyTrust a přečtěte si všechny svěřenské vztahy důvěryhodnosti předávající strany.

Všimněte si, že TargetName parametru vztahu důvěryhodnosti předávající strany Webex. Používáme příklad "Cisco Webex", ale ve službě AD FS se může lišit.
5

Spustit Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Nezapomeňte nahradit název souboru a název cíle správnými hodnotami z vašeho prostředí.

Viz https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Pokud jste si stáhli certifikát Webex SP 5 let a máte zapnuté odvolání podpisového nebo šifrovacího certifikátu, musíte spustit tyto dva příkazy: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Přihlaste se k Centru řízení a pakotestujte integraci jednotného přihlašování:

  1. Přejděte na Správa > Nastavení organizace , přejděte na Ověřování apřepnutím na nastavení jednotného přihlašování spusťte průvodce konfigurací.

  2. Kliknutím na tlačítko Další přeskočte stránku Importovat metadata zprostředkovatele identity.

    Tento krok nemusíte opakovat, protože jste dříve importovali metadata IdP.

  3. Před povolením připojení jednotného přihlašování otestujte připojení jednotného přihlašování. Tento krok funguje jako běh nasucho a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.


     

    Pokud chcete zobrazit prostředí pro přihlašování pomocí jednotného přihlašování přímo, můžete na této obrazovce také kliknout na Kopírovat adresu URL do schránky a vložit ji do okna privátního prohlížeče. Odtud můžete projít přihlášením pomocí jednotného přihlašování. To pomáhá odstranit všechny informace uložené v mezipaměti ve webovém prohlížeči, které by mohly poskytnout falešně pozitivní výsledek při testování konfigurace jednotného přihlašování.

  4. Přihlaste se a dokončete test.

Poradce při potížích se službou ADFS

Chyby služby ADFS v protokolech systému Windows

V protokolech systému Windows se může zobrazit kód chyby protokolu událostí služby ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel služby ADFS povolen průchod bránou firewall na portu 80 k ověření certifikátu.

Při pokusu o vytvoření řetězu certifikátů pro vztah důvěryhodnosti předávající strany došlo k chybě

Při aktualizaci certifikátu jednotného přihlašování se může při přihlašování zobrazit tato chyba: Invalid status code in response.

Pokud se zobrazí tato chyba, zkontrolujte protokoly Prohlížeče událostí na serveru služby ADFS a vyhledejte následující chybu: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Možné příčiny spočívají v tom, že certifikát byl odvolán, řetěz certifikátů nebylo možné ověřit, jak je uvedeno v nastavení odvolání šifrovacího certifikátu předávající strany, nebo certifikát není v době platnosti.

Pokud dojde k této chybě, je nutné spustit příkazy Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federace

ID federace rozlišuje velká a malá písmena. Pokud se jedná o e-mailovou adresu vaší organizace, zadejte ji přesně tak, jak ji služba ADFS odesílá, nebo Webex nemůže najít odpovídajícího uživatele.

Vlastní pravidlo deklarace identity nelze zapsat tak, aby normalizovalo atribut LDAP před jeho odesláním.

Importujte metadata ze serveru služby ADFS, který jste nastavili ve svém prostředí.

V případě potřeby můžete adresu URL ověřit tak, že přejdete na Koncové body služby > > Metadata > Typ:Federační metadata ve Správě služby ADFS.

Synchronizace času

Ujistěte se, že systémové hodiny serveru služby ADFS jsou synchronizovány se spolehlivým zdrojem informací o času v Internetu, který používá protokol NTP (Network Time Protocol). Pomocí následujícího příkazu PowerShellu můžete zkosit hodiny pouze pro vztah důvěryhodnosti předávající strany Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Šestnáctková hodnota je pro vaše prostředí jedinečná. Nahraďte hodnotu z hodnoty SP EntityDescriptor ID v souboru metadat Webex. Příklad:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">