Jednotné přihlašování a centrum Control Hub

Jednotné přihlašování (SSO) je proces relace nebo ověření uživatele, který umožňuje uživateli zadat pověření pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým mají přiřazena práva. Eliminuje další výzvy, když uživatelé během konkrétní relace přepnou aplikace.

Protokol SAML 2.0 (Security Assertion Markup Language) se používá k zajištění SSO mezi cloudem Webex a vaším poskytovatel identity (IdP).

Profily

Aplikace Webex podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče podporuje aplikace Webex následující vazby:

  • SP spustil vazbu POST -> POST

  • SP inicializoval vazbu PŘESMĚR -> ZPĚT

Formát ID názvu

Protokol SAML 2.0 podporuje několik formátů ID názvu pro komunikaci o konkrétním uživateli. Aplikace Webex podporuje následující formáty ID názvů.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načítáte od svého poskytovatele identity, je první položka nakonfigurována pro použití ve Webex.

Odhlásit se

Aplikace Webex podporuje profil jednotného odhlášení. V Aplikaci Webex se může uživatel odhlásit z aplikace, která k ukončení relace používá protokol jednotného odhlášení SAML a toto odhlášení potvrdí pomocí nástroje Idp. Ujistěte se, že je Idp nakonfigurován pro Logout.

Integrace prostředí Control Hub se službou ADFS


 

Konfigurační příručky ukazují konkrétní příklad integrace SSO, ale neuvádějí vyčerpávající konfiguraci pro všechny možnosti. Jsou zdokumentovány například integrační kroky pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou při integraci SSO fungovat, avšak naše dokumentace je neuvádí.

Nastavte tuto integraci pro uživatele ve své organizaci Webex (včetně aplikace Webex , Webex Meetings a dalších služeb spravovaných v centru Control Hub). Pokud je váš web Webex integrován v centru Control Hub, zdědí web Webex správu uživatelů. Pokud nemáte k Webex Meetings tento přístup a není spravována v centru Control Hub, musíte provést samostatnou integraci a povolit SSO pro Webex Meetings. (Viz Nakonfigurujte jednotné přihlašování pro Webex naleznete další informace o integraci SSO ve správa webu.)

V závislosti na tom, co je nakonfigurováno v mechanismech ověřování ve službě ADFS, lze ve výchozím nastavení povolit integrovanou autentizaci systému Windows (IWA). Pokud je tato možnost povolena, aplikace spuštěné prostřednictvím systému Windows (jako je aplikace Webex a konektor adresáře Cisco) se ověří jako přihlášený uživatel bez ohledu na to, jaká e-mailová adresa je zadána během úvodní e-mailové výzvy.

Stáhněte si metadata služby Webex do místního systému

1

Z pohledu zákazníkahttps://admin.webex.com , přejít na Management > Nastavení organizace a přejděte na Ověřování a pak zapněte možnost Jednotné přihlašování nastavením spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro organizaci:

  • Podepsané společností Cisco – Doporučujeme tuto možnost. Certifikát nám nechte podepsat, takže jej stačí obnovovat jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou – Bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel poskytovatele identity nepodporuje kotvy důvěry).

 

Kotvy důvěry jsou veřejné klíče, které fungují jako autorizace k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci poskytovatele identity.

3

Stáhněte si soubor metadat.

Název souboru metadat Webex je idb-meta-<org-ID> -SP.xml .

Instalovat metadata služby Webex do služby ADFS

Než začnete

Control Hub podporuje službu ADFS 2.x nebo novější.

Windows 2008 R2 obsahuje pouze ADFS 1.0. Je třeba nainstalovat minimálně verzi ADFS 2.x od společnosti Microsoft.

U služeb SSO a Webex musí poskytovatelé identity (Idps) splňovat následující specifikace SAML 2.0:

  • Nastavte atribut NameID Format na hodnotu urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Nakonfigurujte deklaraci na platformě Idp tak, aby zahrnovala název atributu uid s hodnotou, která je namapována na atribut vybraný v konektoru adresáře Cisco, nebo atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex. (Tímto atributem mohou být například e-mailové adresy nebo User-Principal-Name.) Pokyny najdete v informacích o vlastních atributech v https://www.cisco.com/go/hybrid-services-directory.

1

Přihlaste se k serveru ADFS s oprávněními správce.

2

Otevřete konzoli správy ADFS a přejděte na adresu Svěřenské vztahy > Svěřenské fondy > Přidat důvěru spoléhající strany.

3

V okně Průvodce přidáním důvěryhodnosti spoléhající strany vyberte možnost Start.

4

Pro možnost Vybrat zdroj dat vyberte možnost Importovat data o spoléhající se straně ze souboru, přejděte do staženého souboru metadat centra Control Hub a vyberte možnost Další.

5

Pokud chcete zadat zobrazované jméno, vytvořte zobrazované jméno pro tuto důvěru spoléhající strany, jako je například Webex, a vyberte možnost Další.

6

V části Vybrat pravidla autorizace vydávání vyberte možnost Povolit všem uživatelům přístup k této spoléhající se straně a vyberte možnost Další.

7

Chcete-li funkci Připraveno k přidání důvěryhodnosti, vyberte možnost Další a dokončete přidání spoléhající důvěry do služby ADFS.

Vytvořit pravidla deklarace pro ověřování Webex

1

V hlavním podokně služby ADFS vyberte vztah důvěryhodnosti, který jste vytvořili, a poté vyberte možnost Upravit pravidla deklarace. Na kartě Pravidla transformace emisí klepněte na možnost Přidat pravidlo.

2

V kroku Vybrat typ pravidla vyberte možnost Odeslat atributy LDAP jako deklarace a poté vyberte možnost Další.

  1. Zadejte název pravidla deklarace.

  2. Jako úložiště atributů vyberte Active Directory.

  3. Namapujte atribut LDAP e-mailových adres na typ odchozího deklarace uid.

    Toto pravidlo sděluje službě ADFS, která pole se mají namapovat na službu Webex, aby bylo možné identifikovat uživatele. Vypíše odchozí typy deklarací přesně tak, jak je zobrazeno.

  4. Uložte si změny.

3

Znovu vyberte možnost Přidat pravidlo , vyberte možnost Odeslat deklarace pomocí vlastního pravidla a poté vyberte možnost Další.

Toto pravidlo poskytuje službě ADFS atribut „spname qualifier“, který služba Webex jinak neposkytuje.

  1. Otevřete textový editor a zkopírujte následující obsah.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Nahraďte adresy URL1 a URL2 v textu následujícím způsobem:

    • URL1 je ID ze staženého souboru metadat ADFS.

      Například následující ukázka toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Zkopírujte jen ID ze souboru metadat ADFS a vložte jej do textového souboru nahradit URL1

    • Adresa URL2 je na prvním řádku staženého souboru metadat Webex.

      Například následující ukázka toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Zkopírujte pouze ID ze souboru metadat Webex a vložte jej do textového souboru a nahraďte adresu URL2.

  2. S aktualizovanými <UNK> zkopírujte pravidlo z textového editoru (začínající na "c:") a vložte ho do vlastního pole pravidel na serveru ADFS.

    Dokončené pravidlo by mělo vypadat takto:

  3. Výběrem možnosti Dokončit vytvořte pravidlo a poté zavřete okno Upravit pravidla deklarace.

4

V hlavním okně vyberte možnost Důvěra spoléhající strany a v pravém podokně vyberte možnost Vlastnosti.

5

Když se zobrazí okno Vlastnosti, přejděte na kartu Upřesnit, SHA-256 a poté klepněte na tlačítko OK a uložte změny.

6

Chcete-li soubor stáhnout, přejděte na následující adresu URL na interním serveru ADFS: https://<server AD_FS_>/ Metadata/2007-06/ Metadata.xml


 

Chcete-li získat správně formátovaný soubor XML, možná budete muset kliknout pravým tlačítkem myši na stránku a zobrazit zdroj stránky.

7

Uložte soubor do místního počítače.

Co dělat dál

Jste připraveni importovat metadata služby ADFS zpět do služby Webex z portálu pro správu.

Po testu importujte metadata poskytovatele identity a povolte jednotné přihlašování

Po exportování metadat služby Webex , konfiguraci poskytovatele identity a stažení metadat poskytovatele identity do místního systému jste připraveni importovat je do organizace Webex z centra Control Hub.

Než začnete

Netestovat integraci SSO z rozhraní poskytovatel identity (IdP). Podporujeme pouze toky iniciované poskytovatelem služeb, takže pro tuto integraci je nutné použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se v prohlížeči na stránku Control Hub – výběr certifikátu a klikněte na Další .
  • Pokud již není Control Hub otevřená na kartě prohlížeče, z zobrazení zákazníka vhttps://admin.webex.com , přejít na Management > Nastavení organizace , přejděte na Ověřování a pak zvolte možnost Akce > Importovat metadata .
2

Na stránce Import metadata poskytovatele identity přetáhněte soubor metadat IdP na stránku nebo použijte možnost prohlížeče k vyhledání a nahrání souboru metadat. Klepněte na tlačítko Další.

Měli byste použít Bezpečnější Pokud můžete, možnost . To je možné pouze v případě, že váš poskytovatel identity použil k podepsání metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít Méně bezpečné možnost. To platí i pro případy, kdy metadata nejsou podepsána, podepsána svým držitelem nebo soukromou certifikační autoritou.


 

Okta metadata nepodepisuje, takže si musíte vybrat Méně bezpečné pro integraci Okta SSO .

3

Vyberte možnost Testovat nastavení SSO a když se otevře nová karta prohlížeče, přihlaste se u poskytovatele identity (IdP).


 

Pokud se zobrazí chyba ověření, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením SSO . V takovém případě si tyto kroky projděte znovu, zejména ty, kdy zkopírujete a vložíte metadata Control Hub do nastavení IdP.


 

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. Tento krok zastaví falešné poplachy kvůli přístupovému tokenu, který se může nacházet ve stávající relaci od vás, když se přihlašujete.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Test byl úspěšný. Zapněte SSO a klikněte Další .
  • Pokud byl test neúspěšný, vyberte Test byl úspěšný. Vypněte SSO a klikněte Další .

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete SSO.

Co dělat dál

Použijte postupy v Synchronizujte uživatele Okta se službou Cisco Webex Control Hub pokud chcete provést zřizování uživatelů z řešení Okta do cloudu Webex .

Použijte postupy v Synchronizujte uživatele Azure Active Directory do Cisco Webex Control Hub pokud chcete provést zřizování uživatelů mimo Azure AD do cloudu Webex .

Můžete použít postup v Potlačit automatické e-maily zakázání e-mailů odesílaných novým uživatelům aplikace Webex ve vaší organizaci. Tento dokument také obsahuje osvědčené postupy pro rozesílání komunikace uživatelům v organizaci.

Aktualizujte důvěryhodnost předávající strany Webex ve službě ADFS

Tato úloha je konkrétně o aktualizaci služby ADFS pomocí nových metadat SAML z Webex. Pro případ potřeby jsou k dispozici související články nakonfigurovat SSO pomocí služby ADFS nebo pokud potřebujete aktualizovat (jiného) poskytovatele identity pomocí metadat SAML pro nový certifikát Webex SSO .

Než začnete

Před aktualizací důvěryhodnosti předávané strany Webex v ADFS je nutné exportovat soubor metadat SAML z centra Control Hub.

1

Přihlaste se k serveru ADFS s oprávněními správce.

2

Nahrajte soubor metadat SAML ze služby Webex do dočasné místní složky na serveru ADFS, např. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Otevřete prostředí Powerhell.

4

Spusťte Get-AdfsRelyingPartyTrust a přečíst všechny důvěryhodnosti předávající strany.

Všimněte si TargetName důvěryhodnosti předávající strany Webex . Používáme příklad „Webex“, ale ve vašem ADFS se může lišit.

5

Spusťte Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Nezapomeňte nahradit název souboru a cíle správnými hodnotami z vašeho prostředí.

Viz https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Pokud jste si stáhli 5letý certifikát Webex SP a máte zapnuté podepisování nebo šifrování zneplatnění certifikátu, je nutné spustit tyto dva příkazy: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Přihlaste se k centru Control Hub a otestujte integraci SSO :

  1. Přejít na Management > Nastavení organizace , přejděte na Ověřování a zapněte možnost Jednotné přihlašování nastavením spusťte průvodce konfigurací.

  2. Klikněte Další a přeskočit stránku Import metadata poskytovatele identity .

    Tento krok nemusíte opakovat, protože jste dříve importovali metadata poskytovatele identity.

  3. Před povolením připojení SSO otestujte. Tento krok funguje jako zkušební a neovlivní nastavení vaší organizace, dokud v dalším kroku jednotné přihlašování nepovolíte.


     

    Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

  4. Chcete-li dokončit test, přihlaste se.

Řešení potíží se službou ADFS

Chyby ADFS v protokolech systému Windows

V protokolech systému Windows se může zobrazit kód chyby protokolu událostí ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel služby ADFS povolen průchod bránou firewall na portu 80 k ověření certifikátu.

Při pokusu o sestavení řetězce certifikátů pro důvěryhodnou stranu došlo k chybě.

Při aktualizaci certifikátu SSO se může při přihlašování zobrazit tato chyba: Invalid status code in response.

Pokud se zobrazí tato chyba, zkontrolujte protokoly prohlížeče událostí na serveru ADFS a vyhledejte následující chybu: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Možné příčiny jsou, že certifikát byl odvolán, řetězec certifikátů nemohl být ověřen podle nastavení odvolání šifrovacího certifikátu důvěryhodnosti spoléhající strany, nebo certifikát není v době jeho platnosti.

Pokud k této chybě dojde, musíte spustit příkazy Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federace

ID federace rozlišuje malá a velká písmena. Pokud je to vaše organizační e-mailová adresa, zadejte ji přesně tak, jak ji odešle služba ADFS, nebo služba Webex nemůže najít odpovídajícího uživatele.

K normalizaci atributu LDAP před odesláním nelze zapsat vlastní pravidlo deklarace.

Importujte metadata ze serveru ADFS, který jste nastavili ve svém prostředí.

V případě potřeby můžete adresu URL ověřit přechodem na adresu (ROZCESTNÍK) Služba > Koncové body > Metadata > Typ:Metadata federace ve správě ADFS.

Časová synchronizace

Ujistěte se, že systémové hodiny serveru ADFS jsou synchronizovány se spolehlivým zdrojem času Internetu, který používá protokol NTP (Network Time Protocol). Pomocí následujícího příkazu Powershell můžete zkosit hodiny pouze pro vztah důvěryhodnosti spoléhající se strany Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Hexadecimální hodnota je jedinečná pro vaše prostředí. Nahraďte hodnotu z hodnoty ID popisovače SP v souboru metadat Webex. Příklad:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">