- Single Sign-on og Webex Control Hub
- SingleLogout
- Integrer Cisco Webex Control Hub med ADFS
- Download Cisco Webex metadata til dit lokale system
- Installer Cisco Webex metadata i ADFS
- Opret kravs regler for at tillade godkendelse fra Cisco Webex
- Importer IdP-metadata og aktiver enkeltlogon efter en test
- Opdater Cisco Webex Relying Party Trust i AD FS
- ADFS-fejlfinding
Single Sign-on og Webex Control Hub
Single Sign-on (SSO) er en sessions-eller bruger godkendelsesproces, der tillader en bruger at give legitimationsoplysninger adgang til en eller flere applikationer. Processen godkender brugere for alle de applikationer, de får rettigheder til. Den eliminerer yderligere meddelelser, når brugere skifter applikationer under en bestemt session.
(SAML 2,0)-Federation Protocol (Security Assertion Markup Language) bruges til at give SSO godkendelse mellem Cisco Webex Cloud og din identitetsudbyder (IdP).
Profil
Cisco Webex Teams understøtter kun Web-browseren SSO profilen. I webbrowser SSO-profilen understøtter Cisco Webex Teams følgende bindinger:
-
SP startede efter > POST binding
-
SP igangsatte omdirigering-> POST binding
NameID-format
SAML 2,0-protokollen understøtter flere NameID-formater til kommunikation om en specifik bruger. Cisco Webex Teams understøtter følgende NameID-formater.
-
urn: Oasis: Names: TC: SAML: 2.0: nameid-format: forbigående
-
urn: Oasis: Names: TC: SAML: 1.1: nameid-format: ikke angivet
-
urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress
I de metadata, du indlæser fra din IdP, er den første indtastning konfigureret til brug i Cisco Webex.
SingleLogout
Cisco Webex Teams understøtter single log ud-profilen. I Cisco Webex Teams-appen kan en bruger logge ud af applikationen, der bruger SAML single log-protokollen til at afslutte sessionen og bekræfte, at du logger ud med din IdP. Sørg for, at din IdP er konfigureret til SingleLogout.
Integrer Cisco Webex Control Hub med ADFS
Konfigurations guiderne viser et specifikt eksempel på SSO integration, men giver ikke udtømmende konfiguration for alle muligheder. For eksempel er integrations trinene for nameid-format urn: Oasis: Names: TC: Saml: 2.0: nameid-format: forbigående er dokumenteret. Andre formater såsom urn: Oasis: Names: TC: Saml: 1.1: nameid-format: ikke angivet eller urn: Oasis: Names: TC: Saml: 1.1: nameid-format: emailAddress vil fungere til SSO integration, men er uden for vores dokumentations område. |
Opsæt denne integration for brugere i din Cisco Webex organisation (herunder Cisco Webex Teams, Cisco Webex Meetings og andre tjenester, der administreres i Cisco Webex Control Hub). Hvis dit Webex-websted er integreret i Cisco Webex Control Hub, arver Webex-webstedet brugeradministrationen. Hvis du ikke kan få adgang til Cisco Webex Meetings på denne måde, og det ikke administreres i Cisco Webex Control Hub, skal du foretage en separat integration for at aktivere SSO for Cisco Webex Meetings. (Se Konfigurer Single Sign-on Webex for yderligere oplysninger i SSO-integration i webstedsadministration.)
Afhængigt af hvad der er konfigureret i godkendelses mekanismerne i ADFS, kan integreret Windows-godkendelse (IWA) være aktiveret som standard. Hvis dette er aktiveret, godkendes applikationer, der startes gennem Windows (såsom Webex Teams og Cisco Katalogforbindelse), som den bruger, der er logget på, uanset hvilken e-mailadresse der er indtastet under den indledende e-mail prompt.
Download Cisco Webex metadata til dit lokale system
1 |
Fra kunde visningen i https://admin.webex.comskal du gå til indstillingerog derefter rulle til godkendelse. |
2 |
Klik på Modificer, klik på Integrer en tredjeparts identitetsudbyder. (Avanceret), og klik derefter på næste. |
3 |
Download metadata-filen. Cisco Webex metadata-filnavn er IDB-meta-<org-ID>-Sp. XML. |
Installer Cisco Webex metadata i ADFS
Inden du begynder
Cisco Webex Control Hub understøtter ADFS 2. x eller senere.
Windows 2008 R2 omfatter kun ADFS 1,0. Du skal installere mindst ADFS 2. x fra Microsoft.
For SSO og Cisco Webex tjenester skal identitetsudbydere (IdPs) overholde følgende SAML 2,0-specifikation:
-
Indstil NameID-format attributten til urn: Oasis: Names: TC: SAML: 2.0: NameID-format:forbigående
-
Konfigurer et krav på IdP for at inkludere UID- attributnavnet med en værdi, der er knyttet til den attribut, der er valgt i Cisco Katalogforbindelse eller bruger attributten, der passer til den, der er valgt i Cisco Webex identitetstjeneste. (Denne attribut kan være E-mail-adresser eller bruger-kontonavn, f. eks.) Se de brugertilpassede attributoplysninger i https://www.cisco.com/go/hybrid-services-directory for vejledning.
1 |
Log ind på ADFS-serveren med administratortilladelser. |
2 |
Åbn ADFS Management-konsollen, og Søg efter . |
3 |
Fra vinduet Tilføj Relying Party Trust Wizard skal du vælge Start. |
4 |
Vælg Importer data om Relying Party fra en fil i Vælg datakilde, gå til Cisco Webex Control hub metadata-fil, du har downloadet, og vælg næste. |
5 |
For Angiv vist navnskal du oprette et vist navn til denne Relying Party Trust, såsom Cisco Webex og vælge næste. |
6 |
For at vælge Udstedelses godkendelsesreglerskal du vælge Tillad alle brugere at få adgang til denne Relying Partyog vælge næste. |
7 |
For klar til at tilføje tillidskal du vælge næste og afslutte tilføjelse af den afhængige tillid til ADFS. |
Opret kravs regler for at tillade godkendelse fra Cisco Webex
1 |
I hovedmenuen ADFS skal du vælge det tillidsforhold, du oprettede, og derefter vælge Rediger krav regler. Vælg Tilføj regel under fanen Udstedelses Transformationsregler . |
||
2 |
I Vælg regel type trin, Vælg Send LDAP-attributter som erklæringer, og vælg derefter næste. ![]() |
||
3 |
Vælg Tilføj regel igen, Vælg Send krav ved hjælp af en brugertilpasset regel, og vælg derefter næste. Denne regel giver ADFS en "spname-kvalifikator"-attribut, som Cisco Webex ellers ikke angiver. |
||
4 |
Vælg Relying Party Trust i hovedvinduet, og vælg derefter Egenskaber i den højre rude. |
||
5 |
Når vinduet egenskaber vises, skal du gå til fanen Avanceret, Sha-256 og derefter vælge OK for at gemme dine ændringer. |
||
6 |
Gå til følgende URL-adresse på den interne ADFS-server for at downloade filen: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.XML
|
||
7 |
Gem filen på dit lokale system. |
Næste trin
Du er klar til at importere ADFS-metadata tilbage til Cisco Webex fra administrations portalen.
Importer IdP-metadata og aktiver enkeltlogon efter en test
Når du har eksporteret Cisco Webex-metadata, skal du konfigurere din IdP og downloade IdP-metadata til dit lokale system, du er klar til at importere det til din Cisco Webex organisation fra Control hub.
Inden du begynder
Test ikke SSO-integration fra identitets udbyderens (IdP) grænseflade. Vi understøtter kun Tjenesteudbyder-initierede (SP-startet) strømme, så du skal bruge Control hub SSO-testen til denne integration.
1 |
Vælg én:
|
||
2 |
På siden Importer IdP-metadata skal du enten trække og slippe IdP metadata-fil på siden eller bruge valgmuligheden browser for at finde og overføre metadatafilen. Klik på Næste. Hvis metadataene ikke er underskrevet, er signeret med et selvsigneret certifikat eller er signeret med en privat virksomheds certifikatudsteder (CA), anbefaler vi, at du bruger kræver certifikat underskrevet af en certifikat myndighed i metadata (mere sikker). Hvis certifikatet er selvsigneret, skal du vælge valgmuligheden mindre sikker. |
||
3 |
Vælg test SSO forbindelse, og når en ny browser fane åbner, skal du godkende med IDP ved at logge ind.
|
||
4 |
Vend tilbage til browser fanen i Control hub.
|
Næste trin
Du kan følge proceduren i Skjul automatiserede e-mails for at deaktivere e-mails, der sendes til nye Webex teams brugere i din organisation. Dokumentet indeholder også bedste praksis for afsendelse af kommunikation til brugere i din organisation.
Opdater Cisco Webex Relying Party Trust i AD FS
Inden du begynder
Du skal eksportere SAML-metadatafilen fra Control hub, før du kan opdatere Cisco Webex Relying Party Trust i AD FS.
1 |
Log ind på AD FS-serveren med administratortilladelser. |
2 |
Overfør SAML metadata-filen fra Webex til en midlertidig lokal mappe på AD FS-serveren, f. eks. |
3 |
Åbn PowerShell. |
4 |
Kør Bemærk |
5 |
Kør Sørg for at erstatte filnavnet og destinationsnavnet med de korrekte værdier fra dit miljø. Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust. |
6 |
Log ind på Control hub, og test derefter den SSO-integration: |
ADFS-fejlfinding
ADFS-fejl i Windows Logs
I Windows-logge kan du se en fejlkode for ADFS-begivenheds logge 364. Begivenheds oplysningerne identificerer et ugyldigt certifikat. I disse tilfælde er ADFS-værten ikke tilladt via firewallen på port 80 for at validere certifikatet.
Samlings-ID
Organisations-id'et skelner mellem store og små bogstaver. Hvis dette er din organisations e-mailadresse, skal du indtaste den nøjagtigt som ADFS sender den, eller Cisco Webex kan ikke finde den tilsvarende bruger.
En brugertilpasset kravsregel kan ikke skrives for at normalisere LDAP-attributten, før den sendes.
Importer dine metadata fra ADFS-serveren, som du opsætter i dit miljø.
Du kan verificere URL-adressen, hvis det er nødvendigt, ved at navigere til
i ADFS Management.Start synkronisering
Sørg for, at din ADFS-serverens system ur er synkroniseret til en pålidelig internet tidskilde, der bruger NTP (netværks tids protokol). Brug følgende PowerShell-kommando til at vride uret for kun Cisco Webex Relying Party Trust Relationship.
Indstil-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3
Den hexadecimale værdi er unik for dit miljø. Udskift venligst værdien fra SP EntityDescriptor ID-værdien i Cisco Webex metadata-filen. Eksempel:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">