Single Sign-On og Webex Control Hub

Single sign-on (SSO) er en sessions- eller brugergodkendelsesproces, der giver en bruger tilladelse til at angive legitimationsoplysninger for at få adgang til et eller flere programmer. Processen godkender brugere til alle de programmer, de har fået rettigheder til. Det eliminerer behovet for yderligere godkendelser, når brugere skifter program under en bestemt session.

Sammenslutningsprotokollen Security Assertion Markup Language (SAML 2.0, Markeringssprog for sikkerhedsangivelse) bruges til at give mulighed for SSO-godkendelse mellem Cisco Webex Cloud og din identitetsudbyder (IdP).

Profiler

Cisco Webex Teams understøtter kun webbrowserens SSO-profil. I webbrowserens SSO-profil understøtter Cisco Webex Teams følgende bindinger:

  • SP-initieret POST -> POST-binding

  • SP-initieret OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen understøtter flere NameID-formater til kommunikation om en bestemt bruger. Cisco Webex Teams understøtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I de metadata, du indlæser fra din IdP, konfigureres den første post til brug i Cisco Webex.

SingleLogout

Cisco Webex Teams understøtter single logout-profilen. I Cisco Webex Teams-appen kan en bruger logge ud af programmet, som bruger SAML single logout-protokollen til at afslutte sessionen, og bekræfte med IdP, at der logges ud. Sørg for, at din IdP er konfigureret til SingleLogout.

Integrer Cisco Webex Control Hub med ADFS


Konfigurationsvejledningerne viser et specifikt eksempel på SSO-integration, men giver ikke udtømmende vejledning om alle konfigurationsmuligheder. For eksempel dokumenteres integrationstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Andre formater, som f.eks. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress kan bruges til SSO-integration, men ligger uden for omfanget af vores dokumentation.

Opsæt denne integration for brugere i din Cisco Webex-organisation (herunder Cisco Webex Teams, Cisco Webex Meetings og andre tjenester, der administreres i Cisco Webex Control Hub). Hvis dit Webex-websted er integreret i Cisco Webex Control Hub, overtager Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Cisco Webex Meetings på denne måde, og det ikke administreres i Cisco Webex Control Hub, skal du foretage en separat integration for at aktivere SSO til Cisco Webex Meetings. (Se Configure Single Sign-On for Webex (konfigurer single sign-on til Webex) for at få flere oplysninger om SSO-integration i webstedsadministration.)

Afhængigt af hvad der er konfigureret i godkendelsesmekanismerne i ADFS, kan integreret Windows-godkendelse (IWA) aktiveres som standard. I tilfælde af aktivering godkender applikationer, der startes via Windows (f.eks. Webex Teams og Cisco Directory Connector), som den bruger, der er logget ind, uanset hvilken e-mailadresse der indtastes i den første e-maildialog.

Download Cisco Webex-metadataene til dit lokale system

1

https://admin.webex.comGå til Settings (indstillinger) i kundevisningen, og rul derefter til Authentication (bekræftelse).

2

Klik på Modify (modificer), og klik på Integrate a 3rd-party identity provider (Advanced) (integrer en tredjeparts-identitetsudbyder (Avanceret)), og klik derefter på Next (næste).

3

Download metadatafilen.

Cisco Webex-metadatafilnavnet er idb-meta-<org-ID>-SP.xml .

Installer Cisco Webex-metadata i ADFS

Før du begynder

Cisco Webex Control Hub understøtter ADFS 2.x eller nyere.

Windows 2008 R2 inkluderer kun ADFS 1.0. Du skal installere mindst ADFS 2.x fra Microsoft.

For SSO og Cisco Webex-tjenester skal identitetsudbydere (IdP'er) overholde følgende SAML 2.0-specifikation:

  • Indstil NameID-formatattributten til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP for at inkludere uid-attributnavnet med en værdi, der er knyttet til den attribut, som er valgt i Cisco Directory Connector, eller den brugerattribut, der matcher den, som er valgt i Cisco Webex-identitetstjenesten. (Denne attribut kan f.eks. være e-mailadresser eller brugers hovednavn). Se yderligere oplysninger om den brugerdefinerede attribut i https://www.cisco.com/go/hybrid-services-directory.

1

Log ind på ADFS-serveren med administratortilladelser.

2

Åbn ADFS-administrationskonsollen, og gå til Trust Relationships (tillidsforhold) > Relying Party Trusts (signaturmodtagers tillidsforhold) > Add Relying Party Trust (tilføj tillidsforhold til signaturmodtager).

3

Vælg Start i vinduet Add Relying Party Trust Wizard (guide til tilføjelse af tillidsforhold til signaturmodtager).

4

I Select Data Source (vælg datakilde) skal du vælge Import data about the relying party from a file (importer data om signaturmodtager fra fil), gå til Cisco Webex Control Hub-metadatafilen, som du har downloadet, og vælg Next (næste).

5

I Specify Display Name (angiv vist navn) skal du oprette et vist navn for den pågældende signaturmodtagers tillidsforhold, f.eks. Cisco Webex, og vælge Next (næste).

6

I Choose Issuance Authorization Rules (vælg godkendelsesregler for udstedelse) skal du vælge Permit all users to access this relying party (giv alle brugere adgang til denne signaturmodtager) og vælge Next (næste).

7

I Ready to Add Trust (klar til at tilføje tillidsforhold) skal du vælge Next (næste) og afslutte tilføjelse af tillidsforhold til ADFS.

Opret kravregler for at tillade godkendelse fra Cisco Webex

1

Vælg det tillidsforhold i ADFS-hovedruden, som du oprettede, og vælg derefter Edit Claim Rules (rediger kravregler). Vælg Add Rule (tilføj regel) på fanen Issuance Transform Rules (udstedelsesændringsregler).

2

I trinnet Choose Rule Type (vælg regeltype) skal du vælge Send LDAP Attributes as Claims (send LDAP-attributter som krav) og derefter vælge Next (næste).

  1. Indtast et navn på en kravregel.

  2. Vælg Active Directory som attributlager.

  3. Knyt e-mailadressernes LDAP-attribut til den udgåendeuid-kravtype.

    Denne regel fortæller ADFS, hvilke felter der skal knyttes til Cisco Webex for at identificere en bruger. Sørg for at stave de udgående kravtyper, nøjagtigt som de er vist.

  4. Gem dine ændringer.

3

Vælg Add Rule (tilføj regel) igen, vælg Send Claims Using a Custom Rule (send krav vha. en brugerdefineret regel), og vælg derefter Next (næste).

Denne regel giver ADFS den "spname-kvalifikator"-attribut, som Cisco Webex ikke på anden måde angiver.

  1. Åbn dit tekstredigeringsprogram, og kopiér følgende indhold.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Erstat URL1 og URL2 i teksten som følger:
    • URL1 er entitets-id'et fra den ADFS-metadatafil, som du downloadede.

      Følgende er et eksempel på det, du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopiér kun entitets-id'et fra ADFS-metadatafilen, og indsæt det i tekstfilen for at erstatte URL1

    • URL2 er på den første linje i den Cisco Webex-metadatafil, som du downloadede.

      Følgende er et eksempel på det, du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier kun entitets-id'et fra Cisco Webex-metadatafilen, og indsæt det i tekstfilen for at erstatte URL2.

  2. Med de opdaterede URL-adresser skal du kopiere reglen fra dit tekstredigeringsprogram (start ved "c:") og indsætte den i feltet til den brugerdefinerede regel på din ADFS-server.

    Den udfyldte regel skal se sådan ud:
  3. Vælg Finish (afslut) for at oprette reglen, og luk derefter vinduet Edit Claim Rules (rediger kravregler).

4

Vælg Relying Party Trust (signaturmodtagers tillidsforhold) i hovedvinduet, og vælg derefter Properties (egenskaber) i højre rude.

5

Når vinduet Properties (egenskaber) vises, skal du gå til fanen Advanced (avanceret), SHA-256 og derefter vælge OK for at gemme dine ændringer.

6

Gå til følgende URL-adresse på den interne ADFS-server for at downloade filen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Du skal muligvis højreklikke på siden og se sidekilden for at få den korrekt formaterede XML-fil.

7

Gem filen på dit lokale system.

Hvad er næste trin?

Du er klar til at importere ADFS-metadataene tilbage til Cisco Webex fra administrationsportalen.

Importér IdP-metadataene, og aktivér single sign-on efter en test

Når du har eksporteret Cisco Webex-metadataene, konfigureret din IdP og downloadet IdP-metadataene til dit lokale system, er du klar til at importere dem til din Cisco Webex-organisation fra Control Hub.

Før du begynder

Test ikke SSO-integration fra identitetsudbyderens (IdP) grænseflade. Vi understøtter kun flows, der er initieret af tjenesteudbydere (SP-initierede), så du skal bruge Control Hub SSO-testen til denne integration.

1

Vælg én:

  • Vend tilbage til siden Cisco Webex Control Hub – Export Directory Metadata (eksporter adressebogens metadata) i din browser, og klik derefter på Next (næste).
  • Hvis Control Hub ikke længere er åben i browserfanen, skal du fra kundevisningen i https://admin.webex.com gå til Settings (indstillinger), rulle til Authentication (bekræftelse), vælge Integrate a third-party identity provider (Advanced) (integrer en tredjeparts-identitetsudbyder (Avanceret)) og derefter klikke på Next (næste) på siden med metadatafilen, der er tillid til (fordi du allerede har gjort det tidligere).
2

På siden Import IdP Metadata (importer IdP-metadata) skal du enten trække og slippe IdP-metadatafilen ind på siden eller bruge filbrowseren til at finde og overføre metadatafilen. Klik på Next (næste).

Hvis metadataene ikke er signeret, er signeret med et selvsigneret certifikat eller er signeret med et privat CA-certifikat, anbefaler vi, at du bruger require certificate signed by a certificate authority in Metadata (more secure) (kræv certifikat underskrevet af en certifikatmyndighed i metadata (mere sikkert)). Hvis certifikatet er selvsigneret, skal du vælge muligheden less secure (mindre sikkert).

3

Vælg Test SSO Connection (test SSO-forbindelse), og når der åbner en ny browserfane, skal du godkende med IdP'et ved at logge ind.


 

Hvis du får en godkendelsesfejl, kan der være et problem med legitimationsoplysningerne. Kontrollér brugernavnet og adgangskoden, og prøv igen.

En Webex Teams-fejl betyder normalt, at der er et problem med SSO-opsætningen. I dette tilfælde skal du gennemgå trinnene igen, særligt de trin, hvor du kopierer og indsætter Control Hub-metadataene i IdP-opsætningen.

4

Vend tilbage til Control Hub-browserfanen.

  • Hvis testen lykkedes, skal du vælge This test was successful (testen lykkedes). Aktivér valgmuligheden Single Sign-On, og klik på Next (næste).
  • Hvis testen ikke lykkedes, skal du vælge This test was unsuccessful (testen lykkedes ikke). Deaktiver valgmuligheden Single Sign-On, og klik på Next (næste).

Hvad er næste trin?

Du kan følge proceduren i Suppress Automated Emails (stands automatiserede e-mails) for at deaktivere e-mails, der sendes til nye Webex Teams-brugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af meddelelser til brugere i din organisation.

Opdater signaturmodtagerens tillid til Cisco Webex i AD FS

Denne opgave handler specifikt om at opdatere AD FS med nye SAML-metadata fra Cisco Webex. Der er relaterede artikler, hvis du skal konfigurere SSO med AD FS, eller hvis du har brug for at opdatere (et andet) IdP med SAML-metadata til et nyt Webex SSO-certifikat.

Før du begynder

Du skal eksportere SAML-metadatafilen fra Control Hub, før du kan opdatere signaturmodtagerens tillid til Cisco Webex i AD FS.

1

Log ind på AD FS-serveren med administratortilladelser.

2

Overfør SAML-metadatafilen fra Webex til en midlertidig, lokal mappe på AD FS-serveren, f.eks. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Åbn Powershell.

4

Kør Get-AdfsRelyingPartyTrust for at læse alle signaturmodtageres tillidsforhold.

Bemærk TargetName-parameteren for signaturmodtagerens tillid til Cisco Webex. Vi bruger eksemplet "Cisco Webex", men det kan være anderledes i din AD FS.

5

Kør Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Sørg for at erstatte filnavnet og destinationsnavnet med de korrekte værdier fra dit miljø.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Log ind på Control Hub, og test derefter SSO-integrationen:

  1. Gå til Settings (indstillinger), rul til Authentication (bekræftelse), og klik på Modify (modificer).

  2. Vælg Integrate a third-party identity provider (Advanced) (integrer en tredjeparts-identitetsudbyder (Avanceret)), og klik på Next (næste).

  3. Klik på Next(næste) for at springe over siden Import IdP Metadata (importér IdP-metadata).

    Du behøver ikke at gentage dette trin, fordi du tidligere har importeret IdP-metadataene.

  4. Klik på Test SSO Connection (test SSO-forbindelse).

    Et nyt browservindue åbner og omdirigerer dig til IdP-kontrolsiden.

  5. Log ind for at fuldføre testen.

Fejlfinding for ADFS

ADFS-fejl i Windows-logfiler

I Windows-logfilerne kan du se en fejlkode 364 for ADFS-hændelsesloggen. Hændelsesoplysningerne identificerer et ugyldigt certifikat. I disse tilfælde har ADFS-værten ikke tilladelse til at validere certifikatet via firewallen på port 80.

Sammenslutnings-id

Der er forskel på store og små bogstaver i sammenslutnings-id'et. Hvis dette er din virksomheds-e-mailadresse, skal du indtaste den nøjagtigt, som ADFS sender den, ellers kan Cisco Webex ikke finde den tilsvarende bruger.

Der kan ikke skrives en brugerdefineret kravregel for at normalisere LDAP-attributten, før den sendes.

Importer dine metadata fra den ADFS-server, som du opsætter i dit miljø.

Du kan bekræfte URL-adressen, hvis det er nødvendigt, ved at navigere til Service (tjeneste) > Endpoints (slutpunkter) > Metadata > Type:Federation Metadata i ADFS-administration.

Tidssynkronisering

Sørg for, at din ADFS-servers systemur er synkroniseret med en pålidelig internettidskilde, der bruger NTP (Network Time Protocol). Brug følgende PowerShell-kommando til kun at lave urafvigelse for signaturmodtagerens tillidsforhold til Cisco Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Den hexadecimale værdi er unik for dit miljø. Erstat værdien fra SP EntityDescriptor ID-værdien i Cisco Webex-metadatafilen. Eksempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">