Jednotné přihlašování a Centrum řízení

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli zadat přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým mají práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Federační protokol SAML 2,0 (Security Assertion Markup Language) se používá k zajištění ověřování jednotného přihlašování mezi cloudem Webex a vaším zprostředkovatelem identity (IdP).

Profily

Aplikace Webex podporuje pouze profil jednotného přihlašování webového prohlížeče. V profilu jednotného přihlašování webového prohlížeče podporuje aplikace Webex následující vazby:

  • SP inicioval vazbu POST -> POST

  • SP inicioval vazbu REDIRECT -> POST

Formát NameID

Protokol SAML 2,0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Aplikace Webex podporuje následující formáty NameID.

  • urn:oáza:names:tc:SAML:2.0:nameid-format:transient

  • urn:oáza:names:tc:SAML:1.1:nameid-format:nespecifikováno

  • urn:oáza:names:tc:SAML:1.1:nameid-format:emailAdresa

V metadatech, která načtete z idP, je první položka nakonfigurována pro použití ve Webexu.

SingleLogout

Aplikace Webex podporuje jeden profil odhlášení. V aplikaciWebex se uživatel může odhlásit z aplikace, která používá protokol jednotného odhlášení SAML k ukončení relace a potvrzení, že se odhlásí pomocí svého IdP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Řídicího centra s ADFS

Průvodci konfigurací ukazují konkrétní příklad integrace jednotného přihlašování, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako například urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budou fungovat pro integraci jednotného přihlašování , ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikaceWebex, schůzekWebex a dalších služeb spravovaných v Centruřízení). Pokud je váš web Webex integrován do Centrařízení, web Webex zdědí správu uživatelů. Pokud nemůžete přistupovat ke schůzkám Webex tímto způsobem a není spravováno v Centruřízení, musíte provést samostatnou integraci, abyste povolili jednotné přihlašování pro schůzkyWebex. (Viz Konfigurace jednotného přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve Správě webu.)

V závislosti na tom, co je nakonfigurováno v mechanismech ověřování v ADFS, lze ve výchozím nastavení povolit integrované ověřování systému Windows (IWA). Pokud je tato možnost povolena, aplikace spuštěné prostřednictvím systému Windows (například Webex App a Cisco Directory Connector) se ověřují jako přihlášený uživatel bez ohledu na to, jaká e-mailová adresa je zadána během počáteční e-mailové výzvy.

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.com, přejděte na Správa > Nastaveníorganizace a pak přejděte na Ověřovánía pak přepněte na nastavení jednotného přihlašování a spusťte průvodce instalací.

2

Zvolte typ certifikátu pro vaši organizaci:

  • Podepsané společností Cisco – Tuto volbu doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsaný veřejnou certifikační autoritou – Bezpečnější, ale budete muset metadata aktualizovat často (pokud poskytovatel identity nepodporuje klíče typu „trust anchor“).

Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.

3

Stáhněte soubor metadat.

Název souboru metadat Webex je idb-meta--SP.xml.

Instalace metadat Webexu v ADFS

Než začnete

Control Hub podporuje ADFS 2.x nebo novější.

Systém Windows 2008 R2 obsahuje pouze ADFS 1.0. Je nutné nainstalovat minimálně ADFS 2.x od společnosti Microsoft.

U služeb SSO a Webex musí poskytovatelé identit (IDP) splňovat následující specifikaci SAML 2.0:

  • Nastavte atribut formátu NameID na urn:oasis:names:tc:SAML:2.0:nameid-format:přechodný jev

  • Nakonfigurujte požadavek na poskytovatele identity tak, aby obsahoval název atributu uid s hodnotou, která je namapována na atribut vybraný v konektoru adresáře Cisco, nebo atribut uživatele, který odpovídá atributu vybranému ve službě identity Webex. (Tímto atributem mohou být například e-mailové adresy nebo User-Principal-Name.) Pokyny najdete v informacích o vlastním atributu v části https://www.cisco.com/go/hybrid-services-directory .

1

Přihlaste se k serveru služby ADFS pomocí oprávnění správce.

2

Otevřete konzolu pro správu ADFS a přejděte na stránku Vztahy důvěryhodnosti > trusty předávající strany > Přidat důvěryhodnost předávající strany.

3

V okně Přidat Průvodce důvěryhodností předávající strany vyberte Začít .

4

V části Vybrat zdroj dat vyberte možnost Importovat data o předávající straně ze souboru, přejděte do staženého souboru metadat Control Hub a vyberte možnost Další.

5

V části Určit zobrazované jméno vytvořte zobrazované jméno pro tuto důvěru předávající strany, například Webex , a vyberte možnost Další.

6

V části Zvolte pravidla autorizacevystavování vyberte Povolit všem uživatelům přístup k této předávající straněa vyberte Další .

7

V části Připraveno přidat důvěryhodnost vyberte Další a dokončete přidávání předávajícího vztahu důvěryhodnosti do ADFS.

Vytvoření pravidel deklarací identity pro ověřování Webex

1

V hlavním podokně ADFS vyberte vztah důvěryhodnosti, který jste vytvořili, a pak vyberte Upravit pravidla deklarací identity. Na kartě Pravidla transformace vystavování vyberte Přidat pravidlo.

2

V kroku Zvolit typ pravidla vyberte Odeslat atributy LDAP jako deklaraceidentity a pak vyberte Další .

  1. Zadejte název pravidla deklarace identity.

  2. Jako úložiště atributů vyberte službu Active Directory.

  3. Namapujte atribut LDAP e-mail-adresy na typ odchozí deklarace identity uid.

    Toto pravidlo říká službě ADFS, která pole se mají mapovat na Webex, aby identifikovala uživatele. Zakvali na odchozí typy deklarací identity přesně tak, jak je znázorněno na obrázku.

  4. Uložte si změny.

3

Znovu vyberte Přidat pravidlo, vyberte Odeslat deklarace identity pomocí vlastního pravidlaa pak vyberte Další .

Toto pravidlo poskytuje službě ADFS atribut "kvalifikátor spname", který webex jinak neposkytuje.

  1. Otevřete textový editor a zkopírujte následující obsah.

    c:[Typ == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Typ = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Vydavatel = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Nahraďte adresu URL1 a URL2 v textu takto:

    • Adresa URL1 je ID entity ze staženého souboru metadat služby ADFS.

      Toto je příklad toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Zkopírujte pouze entityID ze souboru metadat ADFS a vložte jej do textového souboru, abyste nahradili adresu URL1

    • Adresa URL2 je na prvním řádku staženého souboru metadat Webex.

      Toto je příklad toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Zkopírujte pouze entityID ze souboru metadat Webex a vložte jej do textového souboru, abyste nahradili adresu URL2.

  2. S aktualizovanými adresami URL zkopírujte pravidlo z textového editoru (počínaje "c:") a vložte jej do vlastního pole pravidel na serveru ADFS.

    Vyplněné pravidlo by mělo vypadat takto:

  3. Chcete-li pravidlo vytvořit, vyberte Dokončit a ukončete okno Upravit pravidla deklarace identity.

4

V hlavním okně vyberte Důvěřovat předávající straně a v pravém podokně vyberte Vlastnosti.

5

Když se zobrazí okno Vlastnosti, přejděte na kartu Upřesnit SHA-256 a pak vyberte OK a uložte změny.

6

Soubor si můžete stáhnout na následující adresu URL na interním serveru ADFS: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Možná budete muset kliknout pravým tlačítkem myši na stránku a zobrazit zdroj stránky, abyste získali správně formátovaný soubor XML.

7

Uložte soubor do místního počítače.

Co dělat dál

Jste připraveni importovat metadata ADFS zpět do Webexu z portálu pro správu.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu , konfiguraci IdP a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Control Hub.

Než začnete

Netestujte integraci jednotného přihlašování z rozhraní zprostředkovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test jednotného přihlašování Centra Control Hub .

1

Vyberte si jednu:

  • Vraťte se do prostředí Control Hub – stránka pro výběr certifikátu v prohlížeči a klikněte na tlačítko Další.
  • Pokud již není centrum Control Hub na kartě prohlížeče otevřeno, přejděte ze zobrazení zákazníka v https://admin.webex.comdo nabídky Správa > Nastavení organizace, přejděte na volbu Autentizace a pak zvolte možnost Akce > Importovat metadata.
2

Na stránce Importovat metadata IdP přetáhněte soubor metadat IdP na stránku nebo pomocí možnosti prohlížeče souborů vyhledejte a nahrajte soubor metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější . To je možné jenom v případě, že váš zprostředkovatel identity použil k podepsání svých metadat veřejnou certifikační autoritu.

Ve všech ostatních případech je nutné použít možnost Méně zabezpečené . To platí i v případě, že metadata nejsou podepsána, podepsána svým držitelem nebo podepsána soukromou certifikační autoritou.

Okta metadata nepodepisuje, takže pro integraci jednotného přihlašování Okta musíte zvolit Méně bezpečné .

3

Vyberte možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. Tento krok zastaví falešné poplachy z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Zapněte jednotné přihlašování a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vypněte jednotné přihlašování a klikněte na Další.

Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete jednotné přihlašování.

Co dělat dál

Použijte postupy v tématu Synchronizace uživatelů Okta do řídicího centra Cisco Webex, pokud chcete provádět zřizování uživatelů z Okta do cloudu Webex.

Použijte postupy v Synchronizaci uživatelů Azure Active Directory do řídicího centra Cisco Webex, pokud chcete provádět poskytování uživatelů z Azure AD do cloudu Webex.

Podle pokynů v části Potlačit automatické e-maily můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Aktualizace důvěryhodnosti webexové strany v ADFS

Tento úkol je konkrétně o aktualizaci služby ADFS o nová metadata SAML z aplikace Webex. Existují související články, pokud potřebujete nakonfigurovat jednotné přihlašování pomocí služby AD FSnebo pokud potřebujete aktualizovat (jiného) zprostředkovatele identity s metadaty SAML pro nový certifikátjednotného přihlašování Webex.

Než začnete

Před aktualizací důvěry Webex Relying Party Trust ve službě ADFS je třeba exportovat soubor metadat SAML z prostředí Control Hub.

1

Přihlaste se k serveru služby ADFS pomocí oprávnění správce.

2

Nahrajte soubor s metadaty SAML ze služby Webex do dočasné místní složky na serveru služby ADFS, např. //ADFS_servername/temp/idb-meta--SP.xml.

3

Otevřete Powershell.

4

Spuštěním nástroje Get-AdfsRelyingPartyTrust načtěte všechny důvěryhodnosti předávajících stran.

Poznamenejte si parametr TargetName důvěryhodnosti předávající strany Webex. Používáme příklad "Webex", ale ve vašem ADFS se může lišit.

5

Spusťte soubor Update-AdfsRelyingPartyTrust-MetadataFile „//ADFS_servername/temp/idb-meta--SP.xml“ -TargetName „Webex.

Nezapomeňte nahradit název souboru a název cíle správnými hodnotami z vašeho prostředí.

Viz https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Pokud jste si stáhli certifikát Webex SP 5 let a máte zapnuté odvolání podpisového nebo šifrovacího certifikátu, musíte spustit tyto dva příkazy: Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName „Webex.

6

Přihlaste se k Ovládacímu centru a pak otestujte integraci SSO:

  1. Přejděte na Správa > Nastaveníorganizace, přejděte na Ověřovánía přepnutím na nastavení jednotného přihlašování spusťte průvodce konfigurací.

  2. Kliknutím na tlačítko Další přeskočte stránku Importovat metadata zprostředkovatele identity.

    Tento krok nemusíte opakovat, protože jste dříve importovali metadata IdP.

  3. Než ho povolíte, otestujte připojení jednotného přihlašování. Tento krok funguje jako zkušební a neovlivní nastavení vaší organizace, dokud v dalším kroku jednotné přihlašování nepovolíte.

    Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

  4. Přihlaste se a dokončete test.

Řešení potíží služby ADFS

Chyby služby ADFS v protokolech systému Windows

V protokolech systému Windows se může zobrazit kód chyby protokolu událostí ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel služby ADFS povolen průchod bránou firewall na portu 80 k ověření certifikátu.

K chybě došlo při pokusu o vytvoření řetězce certifikátů pro vztah důvěryhodnosti předávající strany

Při aktualizaci certifikátu SSO se vám může při přihlašování zobrazit tato chyba: Neplatný kód stavu v odpovědi.

Pokud se tato chyba zobrazí, zkontrolujte protokoly prohlížeče událostí na serveru ADFS a vyhledejte následující chybu: Při pokusu o sestavení řetězce certifikátu pro důvěryhodnost předávající strany "https://idbroker.webex.com/<org-ID>' certifikát identifikovaný kryptografickým otiskem "754B9208F1F75C5CC122740F3675C5D129471D80" došlo k chybě. Možnými příčinami jsou, že certifikát byl odvolán, řetěz certifikátů nelze ověřit podle nastavení šifrovacího certifikátu předávající strany nebo že certifikát není v době platnosti.

Pokud dojde k této chybě, musíte spustit příkazy Set-ADFSRelyingPartyTrust-TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federace

ID federace je citlivé na malá a malá písmena. Pokud se jedná o vaši e-mailovou adresu organizace, zadejte ji přesně tak, jak ji odešle služba ADFS, nebo webex nemůže najít odpovídajícího uživatele.

Vlastní pravidlo deklarace identity nelze zapsat, aby se atribut LDAP normalizoval před odesláním.

Importujte metadata ze serveru ADFS, který jste nastavili ve svém prostředí.

Adresu URL můžete v případě potřeby ověřit přechodem na koncové body služby > > metadata > Type:Federation Metadata in ADFS Management.

Synchronizace času

Ujistěte se, že systémové hodiny serveru ADFS jsou synchronizovány se spolehlivým zdrojem času v Internetu, který používá protokol NTP (Network Time Protocol). Pomocí následujícího příkazu PowerShell zkosení hodin pouze pro vztah Důvěryhodnost předávající strany Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier „https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Šestnáctková hodnota je jedinečná pro vaše prostředí. Nahraďte hodnotu z hodnoty ID entity SPDescriptor v souboru metadat Webex. Příklad:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">