Integrer Cisco Webex Control Hub med ADFS


Konfigurations vejledningerne viser et specifikt eksempel for SSO-integration, men giver ikke udtømmende konfiguration for alle muligheder. F. eks. integrations trinnene til nameid-format urn: Oasis: Names: TC: Saml: 2.0: nameid-format: midlertidig er dokumenteret. Andre formater såsom urn: Oasis: Names: TC: Saml: 1.1: nameid-format: uspecificeret eller urn: Oasis: Names: TC: Saml: 1.1: nameid-format: emailAddress vil fungere for SSO-integration, men er uden for vores dokumentation.

Konfigurer denne integration for brugere i din Cisco Webex organisation (inklusive Cisco Webex Teams, Cisco Webex Meetingsog andre tjenester, der administreres i Cisco Webex Control Hub). Hvis dit Webex websted er integreret i Cisco Webex Control Hub, Webex arver webstedet brugeradministrationen. Hvis du ikke har adgang til Cisco Webex Meetings på denne måde, og den ikke administreres i Cisco Webex Control Hub, skal du foretage en separat integration for at aktivere SSO for Cisco Webex Meetings. (Se Konfigurer Single Sign-on til WebEx for yderligere oplysninger i SSO-integration i webstedsadministration.)

Afhængigt af hvad der er konfigureret i godkendelses mekanismerne i ADFS, kan integreret Windows-godkendelse (IWA) være aktiveret som standard. Hvis aktiveret, vil applikationer, der startes via Windows (f. eks. Webex Teams og Cisco Directory Connector) godkende som den bruger, der er logget på, uanset hvilken e-mailadresse der indtastes under den indledende e-mail prompt.

Download Cisco Webex metadataene til dit lokale system

1

Fra kunde visningen i https://admin.webex.comskal du gå til indstillingerog derefter rulle til godkendelse.

2

Klik på Modificer, klik på Integrer en tredjeparts identitetsudbyder. (Avanceret), og klik derefter på næste.

3

Download metadatafilen.

Cisco Webex Metadata filnavnet er IDB-meta-<org-ID>-Sp. XML.

Installer Cisco Webex metadata i ADFS

Inden du begynder

Cisco Webex Control Hub understøtter ADFS 2. x eller nyere.

Windows 2008 R2 inkluderer kun ADFS 1,0. Du skal installere mindst ADFS 2. x fra Microsoft.

For SSO og Cisco Webex tjenester skal identitetsudbydere (IdPs) overholde følgende SAML 2,0-specifikation:

  • Indstil NameID-format attributten til urn: Oasis: Names: TC: SAML: 2.0: NameID-format:midlertidig

  • Konfigurer et krav på IdP for at inkludere UID- attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i, Cisco Directory Connector eller den bruger attribut, der passer med den, der er valgt i Cisco WebEx-identitetstjeneste. (Denne attribut kan f. eks. være E-mail-adresser eller bruger Principal-navn, f. eks.) Se de brugertilpassede attributoplysninger i https://www.cisco.com/go/hybrid-services-directory for vejledning.

1

Log ind på ADFS-serveren med administratortilladelser.
2

Åbn ADFS Management Console, og gå til Trust-relationer > Relying Party TRUSTe > Tilføj Relying Party Trust.

3

Fra vinduet Tilføj afhængig parts-tillids guide skal du vælge Start.

4

Vælg Importer data om Relying Party fra en fil i Vælg data kilde, gå til den Cisco Webex Control Hub metadatafil, du hentede, og vælg næste.

5

For at angive et vist navnskal du oprette en vist navn for dette Relying Party Trust, som f Cisco Webex . eks. og vælge næste.

6

For at vælge regler for udstedelse af godkendelse, Vælg Tillad alle brugere at få adgang til denne Relying Party, og vælg næste.

7

For klar til at tilføje tillidskal du vælge Næste og Afslut tilføjelse af det Relying Party Trust til ADFS.

Opret krav regler for at tillade godkendelse fra Cisco Webex

1

I hovedmenuen ADFS skal du vælge det tillidsforhold, du har oprettet, og derefter vælge Rediger krav regler. Under fanen regler for Udstedelses transformation skal du vælge Tilføj regel.

2

I Vælg regel type trin, Vælg Send LDAP-attributter som erklæringer, og vælg derefter næste.

  1. Indtast et navn på en krav regel.

  2. Vælg Active Directory som attribut lageret.

  3. Knyt LDAP-attributten for E-mail-adresser til kravtypen for udgående UID.

    Denne regel fortæller ADFS, hvilke felter der skal tilknyttes for Cisco Webex at identificere en bruger. Stav de udgående kravs typer nøjagtigt som vist.

  4. Gem dine ændringer.
3

Vælg Tilføj regel igen, Vælg Send krav ved hjælp af en brugerdefineret regel, og vælg derefter næste.

Denne regel giver ADFS med attributten "spname-kvalifikator", som Cisco Webex ellers ikke tillader.

  1. Åbn din teksteditor, og Kopier følgende indhold.

    c: [type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = > udstedelse (type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c. Issuer, OriginalIssuer = c. OriginalIssuer, value = c . Værdi, ValueType = c. ValueType, egenskaber ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/format"] = "urn: Oasis: Names: TC: SAML: 2.0: nameid-format: forbigåd", egenskaber ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/namequalifier"] = "URL1", egenskaber ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/spnamequalifier"] = "URL2");

    Erstat URL1 og URL2 i teksten som følger:
    • URL1 er entitet fra den ADFS-metadatafil, du har downloadet.

      Følgende er f. eks. et eksempel på det, du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopier kun entitet fra ADFS-metadatafilen, og Indsæt den i tekstfilen for at erstatte URL1

    • URL2 er på den første linje i Cisco Webex metadatafilen, som du downloadede.

      Følgende er f. eks. et eksempel på det, du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier kun entitet fra Cisco Webex metadatafilen, og Indsæt den i tekstfilen for at erstatte URL2.

  2. Med de opdaterede URL-adresser skal du kopiere reglen fra tekstredigeringsprogrammet (startende ved "c:") og indsætte den i feltet brugerdefineret regel på ADFS-serveren.

    Den gennemførte regel skal se sådan ud:

  3. Vælg Afslut for at oprette reglen, og afslut derefter vinduet Rediger kravs regler.

4

Vælg Relying Party Trust i hovedvinduet, og vælg derefter Egenskaber i den højre rude.

5

Når vinduet egenskaber vises, skal du gå til fanen Avanceret, Sha-256 og derefter vælge OK for at gemme dine ændringer.

6

Gå til følgende URL-adresse på den interne ADFS-server for at downloade filen: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.XML


 

Du skal muligvis højreklikke på siden og se side kilden for at få den korrekt formaterede XML-fil.
7

Gem filen på dit lokale system.

Næste trin

Du er klar til at importere ADFS-metadata tilbage til Cisco Webex fra administrations portalen.

Importer IdP-metadataene, og aktiver enkeltlogon efter en test

Når du har eksporteret Cisco Webex metadataene, skal du konfigurere din IDP og downloade IDP-metadataene til dit lokale system, du er klar til at importere det til din Cisco Webex organisation fra Control Hub.

1

Vælg én:

  • Vend tilbage til Cisco Webex Control Hub siden-Eksporter telefonbogs metadata i din browser, og klik derefter på næste.
  • Hvis Control Hub ikke længere er åben i browser fanen, skal https://admin.webex.comdu gå til indstillinger i kunde visningen i ,rulle til godkendelse, vælge Integrer en tredjeparts identitetsudbyder (avanceret)og derefter klikke på næste på pålidelige metadata-fil (fordi du allerede gjorde det tidligere).
2

På siden Importer IdP-metadata kan du enten trække og slippe IdP metadata-fil til siden eller bruge valgmuligheden browser for at finde og overføre metadatafilen. Klik på Næste.

Hvis metadataene ikke er signeret, er signeret med et selvsigneret certifikat eller er signeret med en privat virksomhedsnøglecenter (CA), anbefaler vi, at du bruger Kræv certifikat underskrevet af en certifikat myndighed i metadata (mere sikker). Hvis certifikatet er selvsigneret, skal du vælge valgmuligheden mindre sikker.

3

Vælg Afprøv SSO-forbindelse, og når en ny browser fane åbner, skal du godkende med IdP ved at logge ind.


 

Hvis du modtager en bekræftelses fejl, kan der være et problem med legitimationsoplysningerne. Kontroller brugernavnet og adgangskoden, og prøv igen.

En Webex Teams fejl betyder som regel et problem med SSO-opsætningen. I dette tilfælde gennemgå trinnene igen, især de trin, hvor du kopierer og indsætter Control Hub metadataene i IDP-opsætningen.

4

Vend tilbage til Control Hub browser fanen.

  • Hvis testen blev gennemført, skal du vælge denne test lykkedes. Aktiver valgmuligheden enkeltlogon , og klik på næste.
  • Hvis testen ikke lykkedes, vælges denne test mislykkedes. Deaktiver valgmuligheden enkeltlogon, og klik på næste.

Næste trin

Du kan følge proceduren i under tryk automatiserede e-mails for at deaktivere e-mails, der sendes til nye Webex Teams brugere i din organisation. Dokumentet indeholder også bedste praksis for udsendelsen af kommunikation til brugere i din organisation.

ADFS-fejlfinding

ADFS-fejl i Windows Logs

I Windows logger kan du se en fejlkode for ADFS Event log 364. Begivenheds detaljerne identificerer et ugyldigt certifikat. I disse tilfælde er ADFS-værten ikke tilladt via firewallen på port 80 for at validere certifikatet.

Samlings-ID

Organisations-id'et skelner mellem store og små bogstaver. Hvis dette er din organisations e-mailadresse, skal du indtaste den nøjagtigt, som ADFS sender den, eller du Cisco Webex kan ikke finde den tilsvarende bruger.

En brugertilpasset kravsregel kan ikke skrives for at normalisere LDAP-attributten, før den sendes.

Importer dine metadata fra ADFS-serveren, som du opsætter i dit miljø.

Du kan verificere URL-adressen, hvis det er nødvendigt, ved at navigere til tjenesten > Slutpunkter > Metadata > Type: Federation-metadata i ADFS-administration.

Start synkronisering

Sørg for, at dit ADFS-serverens ur er synkroniseret til en pålidelig internet tidskilde, der bruger NTP (Network Time Protocol). Brug følgende PowerShell-kommando til at vride uret for Cisco Webex Relying Party Trust Relationship only.

Set-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3

Den hexadecimale værdi er unik for dit miljø. Erstat værdien fra SP EntityDescriptor ID-værdien i Cisco Webex metadatafilen. For eksempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">