Single Sign-on og Webex Control Hub

Single Sign-on (SSO) er en sessions-eller bruger godkendelsesproces, der tillader en bruger at give legitimationsoplysninger adgang til en eller flere applikationer. Processen godkender brugere for alle de applikationer, de får rettigheder til. Den eliminerer yderligere meddelelser, når brugere skifter applikationer under en bestemt session.

(SAML 2,0)-Federation Protocol (Security Assertion Markup Language) bruges til at give SSO godkendelse mellem Cisco Webex Cloud og din identitetsudbyder (IdP).

Profil

Cisco Webex Teams understøtter kun Web-browseren SSO profilen. I webbrowser SSO-profilen understøtter Cisco Webex Teams følgende bindinger:

  • SP startede efter > POST binding

  • SP igangsatte omdirigering-> POST binding

NameID-format

SAML 2,0-protokollen understøtter flere NameID-formater til kommunikation om en specifik bruger. Cisco Webex Teams understøtter følgende NameID-formater.

  • urn: Oasis: Names: TC: SAML: 2.0: nameid-format: forbigående

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: ikke angivet

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress

I de metadata, du indlæser fra din IdP, er den første indtastning konfigureret til brug i Cisco Webex.

SingleLogout

Cisco Webex Teams understøtter single log ud-profilen. I Cisco Webex Teams-appen kan en bruger logge ud af applikationen, der bruger SAML single log-protokollen til at afslutte sessionen og bekræfte, at du logger ud med din IdP. Sørg for, at din IdP er konfigureret til SingleLogout.

Integrer Cisco Webex Control Hub med ADFS

Konfigurations guiderne viser et specifikt eksempel på SSO integration, men giver ikke udtømmende konfiguration for alle muligheder. For eksempel er integrations trinene for nameid-format urn: Oasis: Names: TC: Saml: 2.0: nameid-format: forbigående er dokumenteret. Andre formater såsom urn: Oasis: Names: TC: Saml: 1.1: nameid-format: ikke angivet eller urn: Oasis: Names: TC: Saml: 1.1: nameid-format: emailAddress vil fungere til SSO integration, men er uden for vores dokumentations område.

Opsæt denne integration for brugere i din Cisco Webex organisation (herunder Cisco Webex Teams, Cisco Webex Meetings og andre tjenester, der administreres i Cisco Webex Control Hub). Hvis dit Webex-websted er integreret i Cisco Webex Control Hub, arver Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Cisco Webex Meetings på denne måde, og det ikke administreres i Cisco Webex Control Hub, skal du foretage en separat integration for at aktivere SSO for Cisco Webex Meetings. (Se Konfigurer Single Sign-on Webex for yderligere oplysninger i SSO-integration i webstedsadministration.)

Afhængigt af hvad der er konfigureret i godkendelses mekanismerne i ADFS, kan integreret Windows-godkendelse (IWA) være aktiveret som standard. Hvis dette er aktiveret, godkendes applikationer, der startes gennem Windows (såsom Webex Teams og Cisco Katalogforbindelse), som den bruger, der er logget på, uanset hvilken e-mailadresse der er indtastet under den indledende e-mail prompt.

Download Cisco Webex metadata til dit lokale system

1

Fra kunde visningen i https://admin.webex.comskal du gå til indstillingerog derefter rulle til godkendelse.

2

Klik på Modificer, klik på Integrer en tredjeparts identitetsudbyder. (Avanceret), og klik derefter på næste.

3

Download metadata-filen.

Cisco Webex metadata-filnavn er IDB-meta-<org-ID>-Sp. XML.

Installer Cisco Webex metadata i ADFS

Inden du begynder

Cisco Webex Control Hub understøtter ADFS 2. x eller senere.

Windows 2008 R2 omfatter kun ADFS 1,0. Du skal installere mindst ADFS 2. x fra Microsoft.

For SSO og Cisco Webex tjenester skal identitetsudbydere (IdPs) overholde følgende SAML 2,0-specifikation:

  • Indstil NameID-format attributten til urn: Oasis: Names: TC: SAML: 2.0: NameID-format:forbigående

  • Konfigurer et krav på IdP for at inkludere UID- attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i Cisco Katalogforbindelse eller bruger attributten, der passer til den, der er valgt i Cisco Webex identitetstjeneste. (Denne attribut kan være E-mail-adresser eller bruger-kontonavn, f. eks.) Se de brugertilpassede attributoplysninger i https://www.cisco.com/go/hybrid-services-directory for vejledning.

1

Log ind på ADFS-serveren med administratortilladelser.
2

Åbn ADFS Management-konsollen, og Søg efter tillidsforhold, som > er afhængig af parts tillid, > Tilføj Relying Party Trust.

3

Fra vinduet Tilføj Relying Party Trust Wizard skal du vælge Start.

4

Vælg Importer data om Relying Party fra en fil i Vælg datakilde, gå til Cisco Webex Control hub metadata-fil, du har downloadet, og vælg næste.

5

For Angiv vist navnskal du oprette et vist navn til denne Relying Party Trust, såsom Cisco Webex og vælge næste.

6

For at vælge Udstedelses godkendelsesreglerskal du vælge Tillad alle brugere at få adgang til denne Relying Partyog vælge næste.

7

For klar til at tilføje tillidskal du vælge næste og afslutte tilføjelse af den afhængige tillid til ADFS.

Opret kravs regler for at tillade godkendelse fra Cisco Webex

1

I hovedmenuen ADFS skal du vælge det tillidsforhold, du oprettede, og derefter vælge Rediger krav regler. Vælg Tilføj regel under fanen Udstedelses Transformationsregler .

2

I Vælg regel type trin, Vælg Send LDAP-attributter som erklæringer, og vælg derefter næste.

  1. Indtast navnet på en krav regel.

  2. Vælg Active Directory som attribut lageret.

  3. Knyt LDAP-attributten for E-mail-adresser til UID- kravtypen for udgående opkald.

    Denne regel fortæller ADFS, hvilke felter der skal knyttes til Cisco Webex for at identificere en bruger. Stav de udgående kravs typer præcis som vist.

  4. Gem dine ændringer.
3

Vælg Tilføj regel igen, Vælg Send krav ved hjælp af en brugertilpasset regel, og vælg derefter næste.

Denne regel giver ADFS en "spname-kvalifikator"-attribut, som Cisco Webex ellers ikke angiver.

  1. Åbn din teksteditor, og Kopier følgende indhold.

    c: [type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = > udstedelse (type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c. udsteder, OriginalIssuer = c. OriginalIssuer, value = c. Value, ValueType = c. ValueType, egenskaber ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/format"] = "urn: Oasis: Names: TC: SAML: 2.0: nameid-format: midlertidig", egenskaber ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/namequalifier"] = " <!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder--> URL1 <!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder--> ", egenskaber ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/spnamequalifier"] = " <!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder--> URL2 <!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder--> ");

    Erstat URL1 og URL2 i teksten som følger:
    • URL1 er entityID fra den ADFS metadata-fil, du downloadede.

      For eksempel er følgende et eksempel på det, du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopier kun entityID fra ADFS metadatafilen, og Indsæt den i tekstfilen for at erstatte URL1

    • URL2 er på den første linje i Cisco Webex metadata-fil, som du downloadede.

      For eksempel er følgende et eksempel på det, du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier kun entityID fra Cisco Webex metadata-filen, og Indsæt den i tekstfilen for at erstatte URL2.

  2. Med de opdaterede URL-adresser skal du kopiere reglen fra din teksteditor (fra og med "c:") og indsætte den i feltet Brugertilpasset regel på din ADFS-server.

    Den gennemførte regel bør se sådan ud:

  3. Vælg Afslut for at oprette reglen, og afslut derefter vinduet Rediger kravs regler.

4

Vælg Relying Party Trust i hovedvinduet, og vælg derefter Egenskaber i den højre rude.

5

Når vinduet egenskaber vises, skal du gå til fanen Avanceret, Sha-256 og derefter vælge OK for at gemme dine ændringer.

6

Gå til følgende URL-adresse på den interne ADFS-server for at downloade filen: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.XML


 

Du skal muligvis højreklikke på siden og se side kilden for at få den korrekt formaterede XML-fil.
7

Gem filen på dit lokale system.

Næste trin

Du er klar til at importere ADFS-metadata tilbage til Cisco Webex fra administrations portalen.

Importer IdP-metadata og aktiver enkeltlogon efter en test

Når du har eksporteret Cisco Webex-metadata, skal du konfigurere din IdP og downloade IdP-metadata til dit lokale system, du er klar til at importere det til din Cisco Webex organisation fra Control hub.

Inden du begynder

Test ikke SSO-integration fra identitets udbyderens (IdP) grænseflade. Vi understøtter kun Tjenesteudbyder-initierede (SP-startet) strømme, så du skal bruge Control hub SSO-testen til denne integration.

1

Vælg én:

  • Gå tilbage til siden Cisco Webex Control Hub – Eksporter Directory-metadata i din browser, og klik på næste.
  • Hvis Control hub ikke længere er åben i browser-fanen, skal https://admin.webex.comdu gå til indstillinger i kunde visningen i, rulle til godkendelse, vælge Integrer en tredjeparts identitetsudbyder (avanceret)og derefter klikke på næste på siden betroet metadatafil (som du allerede har gjort det før).
2

På siden Importer IdP-metadata skal du enten trække og slippe IdP metadata-fil på siden eller bruge valgmuligheden browser for at finde og overføre metadatafilen. Klik på Næste.

Hvis metadataene ikke er underskrevet, er signeret med et selvsigneret certifikat eller er signeret med en privat virksomheds certifikatudsteder (CA), anbefaler vi, at du bruger kræver certifikat underskrevet af en certifikat myndighed i metadata (mere sikker). Hvis certifikatet er selvsigneret, skal du vælge valgmuligheden mindre sikker.

3

Vælg test SSO forbindelse, og når en ny browser fane åbner, skal du godkende med IDP ved at logge ind.


 

Hvis du modtager en bekræftelses fejl, kan der være et problem med legitimationsoplysningerne. Kontroller Brugernavn og adgangskode, og prøv igen.

En Webex Teams fejl betyder som regel et problem med opsætningen af SSO. I dette tilfælde gennemgå trinene igen, især trinene, hvor du kopierer og indsætter Control hub-metadata i IdP-opsætningen.

4

Vend tilbage til browser fanen i Control hub.

  • Hvis testen blev gennemført, skal du vælge denne test blev udført. Aktiver valgmuligheden Single Sign-on , og klik på næste.
  • Hvis testen ikke lykkedes, skal du vælge denne test blev ikke udført. Deaktiver valgmuligheden Single Sign-on , og klik på næste.

Næste trin

Du kan følge proceduren i Skjul automatiserede e-mails for at deaktivere e-mails, der sendes til nye Webex teams brugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af kommunikation til brugere i din organisation.

Opdater Cisco Webex Relying Party Trust i AD FS

Denne opgave er specielt ved opdatering af AD FS med nye SAML-metadata fra Cisco Webex. Der er relaterede artikler, hvis du har brug for at konfigurere SSO med ad FS, eller hvis du har brug for at opdatere (en anden) IDP med Saml-metadata for et nyt Webex SSO certifikat.

Inden du begynder

Du skal eksportere SAML-metadatafilen fra Control hub, før du kan opdatere Cisco Webex Relying Party Trust i AD FS.

1

Log ind på AD FS-serveren med administratortilladelser.
2

Overfør SAML metadata-filen fra Webex til en midlertidig lokal mappe på AD FS-serveren, f. eks. //ADFS_servername/Temp/IDB-meta-<org-ID>-SP. XML.

3

Åbn PowerShell.
4

Kør Get-AdfsRelyingPartyTrust for at læse alle Relying Party trusts.

Bemærk TargetName- parameteren for Cisco Webex Relying Party Trust. Vi bruger eksemplet "Cisco Webex", men det kan være anderledes i din AD FS.

5

Kør opdatering-AdfsRelyingPartyTrust-MetadataFile "//ADFS_servername/Temp/IDB-meta-<org-ID>-Sp. xml"-TargetName "Cisco Webex".

Sørg for at erstatte filnavnet og destinationsnavnet med de korrekte værdier fra dit miljø.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Log ind på Control hub, og test derefter den SSO-integration:

  1. Gå til indstillinger, Rul til godkendelse, klik på Modificer.

  2. Vælg Integrer en tredjeparts identitetsudbyder (avanceret) , og klik på næste.

  3. Klik på næste for at springe siden Importer IDP-metadata over.

    Du behøver ikke at gentage dette trin, fordi du tidligere importerede IdP-metadata.

  4. Klik på Test SSO forbindelse.

    Et nyt browservindue åbner, omdirigerer dig til siden IdP Challenge.

  5. Log ind for at fuldføre testen.

ADFS-fejlfinding

ADFS-fejl i Windows Logs

I Windows-logge kan du se en fejlkode for ADFS-begivenheds logge 364. Begivenheds oplysningerne identificerer et ugyldigt certifikat. I disse tilfælde er ADFS-værten ikke tilladt via firewallen på port 80 for at validere certifikatet.

Samlings-ID

Organisations-id'et skelner mellem store og små bogstaver. Hvis dette er din organisations e-mailadresse, skal du indtaste den nøjagtigt som ADFS sender den, eller Cisco Webex kan ikke finde den tilsvarende bruger.

En brugertilpasset kravsregel kan ikke skrives for at normalisere LDAP-attributten, før den sendes.

Importer dine metadata fra ADFS-serveren, som du opsætter i dit miljø.

Du kan verificere URL-adressen, hvis det er nødvendigt, ved at navigere til tjeneste > slutpunkters > metadata > Type: Federation metadata i ADFS Management.

Start synkronisering

Sørg for, at din ADFS-serverens system ur er synkroniseret til en pålidelig internet tidskilde, der bruger NTP (netværks tids protokol). Brug følgende PowerShell-kommando til at vride uret for kun Cisco Webex Relying Party Trust Relationship.

Indstil-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3

Den hexadecimale værdi er unik for dit miljø. Udskift venligst værdien fra SP EntityDescriptor ID-værdien i Cisco Webex metadata-filen. Eksempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">