Jednotné přihlašování a Control Hub

Jednotné přihlašování (SSO) je proces ověřování relace nebo uživatele, který umožňuje uživateli poskytnout přihlašovací údaje pro přístup k jedné nebo více aplikacím. Proces ověřuje uživatele pro všechny aplikace, ke kterým jsou jim udělena práva. Eliminuje další výzvy, když uživatelé přepínají aplikace během určité relace.

Protokol Federation Protocol (Security Assertion Markup Language) (SAML 2.0) se používá k poskytování ověřování SSO mezi cloudem Webex a poskytovatelem identity (IdP).

Profily

Webex App podporuje pouze profil SSO webového prohlížeče. V profilu SSO webového prohlížeče webex app podporuje následující vazby:

  • Sp iniciovaný POST -> POST vazba

  • Sp iniciovaná vazba REDIRECT -> POST

Formát NameID

Protokol SAML 2.0 podporuje několik formátů NameID pro komunikaci o konkrétním uživateli. Webex App podporuje následující formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadatech, která načtete z idpu, je první položka nakonfigurována pro použití ve Webexu .

SingleLogout

Webex App podporuje jediný profil odhlášení. V aplikaci Webexse uživatel může odhlásit z aplikace, která používá protokol SAML pro ukončení relace a potvrzení, že se odhlásí pomocí idP. Ujistěte se, že je váš IdP nakonfigurovaný pro SingleLogout.

Integrace Řídicího centra s ADFS


Konfigurační příručky zobrazují konkrétní příklad integrace SSO, ale neposkytují vyčerpávající konfiguraci pro všechny možnosti. Například kroky integrace pro nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient jsou zdokumentovány. Jiné formáty, jako je urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified nebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bude fungovat pro integraci SSO, ale jsou mimo rozsah naší dokumentace.

Nastavte tuto integraci pro uživatele ve vaší organizaci Webex (včetně aplikace Webex , schůzekWebex a dalších služebspravovaných v Centru řízení ). Pokud je web Webex integrován do centra Control Hub , web Webex zdědí správu uživatelů. Pokud nemáte přístup ke schůzkám Webex tímto způsobem a nejsou spravovány v ovládacím centru , musíte provéstsamostatnou integraci, abyste povolili SSO pro schůzky Webex. (Viz Nakonfigurujte jednotné přihlašování pro Webex pro další informace v integraci jednotného přihlašování ve správě webu.)

V závislosti na tom, co je nakonfigurováno v mechanismech ověřování v ADFS, lze ve výchozím nastavení povolit integrované ověřování systému Windows (IWA). Pokud je tato možnost povolena, aplikace spuštěné prostřednictvím systému Windows (například Webex App a Cisco Directory Connector) se ověřují jako přihlášený uživatel bez ohledu na to, jaká e-mailová adresa je zadána během počáteční e-mailové výzvy.

Stažení metadat Webexu do místního systému

1

V zobrazení zákazníka v https://admin.webex.comčásti Přejděte do > Nastavení organizace pro správu a potom přejděte na Ověřování a potom přepněte nastavení Jednotné přihlašování a spusťte průvodce nastavením.

2

Vyberte typ certifikátu pro vaši organizaci:

  • Společnost Cisco podepsalasmlouvu sama – tuto volbu doporučujeme. Podepište certifikát, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou– bezpečnější, ale budete muset často aktualizovat metadata (pokud dodavatel IdP nepodporuje kotvy důvěryhodnosti).

 

Kotvy důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci k idp.

3

Stáhněte si soubor metadat.

Název souboru metadat Webex jeidb-meta-<org-ID>-SP.xml.

Instalace metadat Webexu v ADFS

Než začnete

Control Hub podporuje ADFS 2.x nebo novější.

Systém Windows 2008 R2 obsahuje pouze ADFS 1.0. Je nutné nainstalovat minimálně ADFS 2.x od společnosti Microsoft.

U služeb SSO a Webex musí poskytovatelé identit (IDP) splňovat následující specifikaci SAML 2.0:

  • Nastavte atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Nakonfigurujte deklaraci identity v IdP tak, aby zahrnovala název atributu uid s hodnotou, která je mapována na atribut vybraný v konektoru Cisco Directory Connector nebo atribut uživatele, který odpovídá atributu vybranému ve službě Identity Webex. (Tento atribut může být například E-mailové adresy nebo název hlavního uživatele.) Pokyny najdete v informacích o vlastních https://www.cisco.com/go/hybrid-services-directory atributech.

1

Přihlaste se k serveru ADFS pomocí oprávnění správce.

2

Otevřete konzolu pro správu ADFS a přejděte na stránku Vztahy důvěryhodnosti > trusty předávající strany > Přidat důvěryhodnost předávající strany.

3

V okně Přidat Průvodce důvěryhodností předávající strany vyberte Začít .

4

V části Vybrat zdroj dat vyberte Import dat opředávající straně ze souboru , přejdětedo staženého souboru Metadat ovládacího centra a vyberte Další .

5

V části Zadat zobrazovaný názevvytvořte zobrazovaný název pro tento důvěryhodný vztah předávající strany, například Webex, a vyberte Další.

6

V části Zvolte pravidla autorizacevystavování vyberte Povolit všem uživatelům přístup k této předávající straněa vyberte Další .

7

V části Připraveno přidat důvěryhodnost vyberte Další a dokončete přidávání předávajícího vztahu důvěryhodnosti do ADFS.

Vytvoření pravidel deklarací identity pro ověřování Webex

1

V hlavním podokně ADFS vyberte vztah důvěryhodnosti, který jste vytvořili, a pak vyberte Upravit pravidla deklarací identity. Na kartě Pravidla transformace vystavování vyberte Přidat pravidlo.

2

V kroku Zvolit typ pravidla vyberte Odeslat atributy LDAP jako deklaraceidentity a pak vyberte Další .

  1. Zadejte název pravidla deklarace identity.

  2. Jako úložiště atributů vyberte službu Active Directory.

  3. Namapujte atribut LDAP e-mail-adresy na typ odchozí deklarace identity uid.

    Toto pravidlo říká službě ADFS, která pole se mají mapovat na Webex, aby identifikovala uživatele. Zakvali na odchozí typy deklarací identity přesně tak, jak je znázorněno na obrázku.

  4. Uložte si změny.

3

Znovu vyberte Přidat pravidlo, vyberte Odeslat deklarace identity pomocí vlastního pravidlaa pak vyberte Další .

Toto pravidlo poskytuje službě ADFS atribut "kvalifikátor spname", který webex jinak neposkytuje.

  1. Otevřete textový editor a zkopírujte následující obsah.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Nahraďte adresu URL1 a URL2 v textu takto:

    • URL1 je entityID ze staženého souboru metadat ADFS.

      Následuje například ukázka toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Zkopírujte pouze entityID ze souboru metadat ADFS a vložte jej do textového souboru, abyste nahradili adresu URL1

    • Url2 je na prvním řádku v souboru metadat Webex, který jste stáhli.

      Následuje například ukázka toho, co vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Zkopírujte pouze entityID ze souboru metadat Webex a vložte jej do textového souboru, abyste nahradili adresu URL2.

  2. S aktualizovanými adresami URL zkopírujte pravidlo z textového editoru (počínaje "c:") a vložte jej do vlastního pole pravidel na serveru ADFS.

    Vyplněné pravidlo by mělo vypadat takto:
  3. Chcete-li pravidlo vytvořit, vyberte Dokončit a ukončete okno Upravit pravidla deklarace identity.

4

V hlavním okně vyberte Důvěřovat předávající straně a v pravém podokně vyberte Vlastnosti.

5

Když se zobrazí okno Vlastnosti, přejděte na kartu UpřesnitSHA-256 a pak vyberte OK a uložte změny.

6

Soubor si můžete stáhnout na následující adresu URL na interním serveru ADFS: https:// serverslužby AD_FS_>/FederationMetadata/2007-06/FederationMetadata.xml


 

Možná budete muset kliknout pravým tlačítkem myši na stránku a zobrazit zdroj stránky, abyste získali správně formátovaný soubor XML.

7

Uložte soubor do místního počítače.

Co dělat dál

Jste připraveni importovat metadata ADFS zpět do Webexu z portálu pro správu.

Import metadat IdP a povolení jednotného přihlašování po testu

Po exportu metadat Webexu, konfiguraci idpu a stažení metadat IdP do místního systému jste připraveni je importovat do organizace Webex z Centra řízení .

Než začnete

Ne testujte integraci SSO z rozhraní poskytovatele identity (IdP). Podporujeme jenom toky iniciované poskytovatelem služeb (iniciované SP), takže pro tuto integraci musíte použít test SSO Control Hub.

1

Vyberte si jednu:

  • Vraťte se na stránku s výběrem certifikátu v prohlížeči a klikněte na Další.
  • Pokud ovládací centrum již není otevřené na kartě prohlížeče, přejděte ze zobrazení zákazníka v aplikaci https://admin.webex.comSpráva > Nastavení organizace , přejděte na Ověřování a zvolte Akce > Importmetadat.
2

Na stránce Import idp metadat buď přetáhněte soubor metadat IdP na stránku, nebo použijte možnost prohlížeče souborů k vyhledání a nahrání souboru metadat. Klikněte na Další.

Pokud je to možné, měli byste použít možnost Bezpečnější. To je možné pouze v případě, že váš IdP použil veřejnou certifikační autoritu k podepsání metadat.

Ve všech ostatních případech musíte použít možnost Méně bezpečné. To zahrnuje, pokud metadata nejsou podepsána, podepsána nebo podepsána soukromou certifikační autoritou.

3

Vyberte Otestovat nastavení SSOa když se otevře nová karta prohlížeče, ověřte se pomocí IdP přihlášením.


 

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením SSO. V takovém případě znovu projděte kroky, zejména kroky, kde zkopírujete a vložíte metadata Ovládacího centra do nastavení IdP.


 

Chcete-li přímo zobrazit prostředí přihlašování se SSO, můžete také kliknout na Kopírovat adresu URL pro schránku z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášením pomocí SSO. Tento krok zastaví falešně pozitivní výsledky z důvodu přístupového tokenu, který může být v existující relaci od přihlášení.

4

Vraťte se na kartu prohlížeče Control Hub.

  • Pokud byl test úspěšný, vyberte Úspěšný test. Zapněte SSO a klikněte na Další.
  • Pokud byl test neúspěšný, vyberte Neúspěšný test. Vypněte SSO a klikněte na Další.

 

Konfigurace SSO se ve vaší organizaci neprojeví, pokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Postup v části Potlačení automatizovaných e-mailů můžete zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Aktualizace důvěryhodnosti webexové strany v ADFS

Tato úloha se týká konkrétně aktualizace služby AD FS pomocí nových metadat SAML z aplikace Webex. Existují související články, pokud potřebujete nakonfigurovat jednotného správce služeb na službě AD FSnebo pokud potřebujete aktualizovat (jiný) idp s metadaty SAML pro nový certifikát jednotného obchodu Webex.

Než začnete

Před aktualizací vztahu důvěryhodnosti webexové předávající strany ve službě AD FS je třeba exportovat soubor metadat SAML z Control Hub.

1

Přihlaste se k serveru služby AD FS pomocí oprávnění správce.

2

Nahrajte soubor metadat SAML z Webexu do dočasné místní složky na serveru AD FS, např. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Otevřete PowerShell.

4

Spustit Get-AdfsRelyingPartyTrust číst všechny svěřenské fondy spoléhající se strany.

Všimněte si TargetName parametru vztahu důvěryhodnosti předávající strany Webex. Používáme příklad "Cisco Webex", ale ve službě AD FS se může lišit.

5

Spustit Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Nezapomeňte nahradit název souboru a cílový název správnými hodnotami z vašeho prostředí.

Viz https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Pokud jste si stáhli 5letý certifikát Webex SP a máte zapnutý podpis nebo odvolání šifrovacího certifikátu, musíte spustit tyto dva příkazy: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Přihlaste se k Ovládacímu centrua otestujte integraci SSO:

  1. Přejděte na Nastavení správy > organizace , přejděte na Ověřování a přepněte nastavení Jednotné přihlašování a spusťte průvodce konfigurací.

  2. Kliknutím na Další přeskočíte stránku Import idP metadat.

    Tento krok nemusíte opakovat, protože jste dříve importovali metadata IdP.

  3. Před povolením otestujte připojení SSO. Tento krok funguje jako suchý běh a neovlivní nastavení vaší organizace, dokud v dalším kroku nepovolíte SSO.


     

    Chcete-li přímo zobrazit prostředí přihlašování se SSO, můžete také kliknout na Kopírovat adresu URL pro schránku z této obrazovky a vložit ji do okna soukromého prohlížeče. Odtud můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve webovém prohlížeči, které by mohly poskytnout falešně pozitivní výsledek při testování konfigurace SSO.

  4. Přihlaste se a dokončete test.

Řešení potíží služby ADFS

Chyby služby ADFS v protokolech systému Windows

V protokolech systému Windows se může zobrazit kód chyby protokolu událostí ADFS 364. Podrobnosti o události identifikují neplatný certifikát. V těchto případech není hostitel ADFS povolen prostřednictvím brány firewall na portu 80 k ověření certifikátu.

K chybě došlo při pokusu o vytvoření řetězce certifikátů pro vztah důvěryhodnosti předávající strany

Při aktualizaci certifikátu SSO se vám může při přihlašování zobrazit tato chyba: Invalid status code in response.

Pokud se tato chyba zobrazí, zkontrolujte protokoly prohlížeče událostí na serveru ADFS a vyhledejte následující chybu: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Možnými příčinami jsou, že certifikát byl odvolán, řetěz certifikátů nelze ověřit podle nastavení šifrovacího certifikátu předávající strany nebo že certifikát není v době platnosti.

Pokud dojde k této chybě, je nutné spustit příkazy Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck No

ID federace

ID federace je citlivé na malá a malá písmena. Pokud se jedná o vaši e-mailovou adresu organizace, zadejte ji přesně tak, jak ji odešle služba ADFS, nebo webex nemůže najít odpovídajícího uživatele.

Vlastní pravidlo deklarace identity nelze zapsat, aby se atribut LDAP normalizoval před odesláním.

Importujte metadata ze serveru ADFS, který jste nastavili ve svém prostředí.

Adresu URL můžete v případě potřeby ověřit přechodem na koncové body služby > > metadata > Type:Federation Metadata in ADFS Management.

Synchronizace času

Ujistěte se, že systémové hodiny serveru ADFS jsou synchronizovány se spolehlivým zdrojem času v Internetu, který používá protokol NTP (Network Time Protocol). Pomocí následujícího příkazu PowerShell zkosení hodin pouze pro vztah Důvěryhodnost předávající strany Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Šestnáctková hodnota je jedinečná pro vaše prostředí. Nahraďte hodnotu z hodnoty ID entity SPDescriptor v souboru metadat Webex. Příklad:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">