Einmaliges Anmelden und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO Authentifizierung zwischen der Webex Cloud und Ihrem Identitätsanbieter (IdP) verwendet.

Profile

Die Webex -App unterstützt nur das SSO -Profil des Webbrowsers. Im SSO -Profil des Webbrowsers unterstützt die Webex -App die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex -App unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webex konfiguriert.

SingleLogout

Die Webex-App unterstützt das Einzelabmeldungsprofil. In der Webex-App kann sich ein Benutzer von der Anwendung abmelden. Dabei wird zum Beenden der Sitzung und zum Bestätigen der Abmeldung bei Ihrem IdP das SAML-Einzelabmeldungsprotokoll verwendet. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Control Hub mit ADFS integrieren


 

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. Zum Beispiel sind die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funktionieren für die SSO-Integration, werden jedoch nicht in unserer Dokumentation behandelt.

Richten Sie diese Integration für Benutzer in Ihrer Webex Organisation ein (einschließlich Webex App, Webex Meetings und andere Dienste, die in Control Hub verwaltet werden). Wenn Ihre Webex-Seite in Control Hub integriert ist, erbt die Webex-Seite die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und Webex Meetings nicht in Control Hub verwaltet wird, müssen Sie eine separate Integration vornehmen, um SSO für Webex Meetings zu aktivieren. (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Je nachdem, was in den Authentifizierungsmechanismen in ADFS konfiguriert ist, kann die integrierte Windows-Authentifizierung (IWA) standardmäßig aktiviert sein. Wenn diese Option aktiviert ist, authentifizieren sich Anwendungen, die über Windows gestartet werden (z. B. Webex-App und Cisco Directory Connector) als der Benutzer, der angemeldet ist, unabhängig davon, welche E-Mail-Adresse bei der ersten E-Mail-Aufforderung eingegeben wird.

Laden Sie die Webex -Metadaten auf Ihr lokales System herunter

1

Aus der Kundenansicht inhttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen und blättern Sie zu Authentifizierung , und aktivieren Sie dann das Einmaliges Anmelden , um den Einrichtungsassistenten zu Wizard.

2

Wählen Sie den Zertifikattyp für Ihre Organisation aus:

  • Selbstsigniert von Cisco – Wir empfehlen diese Auswahl. Lassen Sie das Zertifikat von uns signieren, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Vertrauensanker).

 

Vertrauensanker sind öffentliche Schlüssel, die als Zertifizierungsstelle zum Überprüfen des Zertifikats einer digitalen Signatur fungieren. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

3

Laden Sie die Metadatendatei herunter.

Der Name der Webex Metadatendatei lautet idb-meta-<org-ID> -SP.xml .

Installieren von Webex-Metadaten in ADFS

Vorbereitungen

Control Hub unterstützt ADFS 2.x oder höher.

Windows 2008 R2 enthält nur ADFS 1.0. Sie müssen mindestens ADFS 2.x von Microsoft installieren.

Für SSO- und Webex-Dienste müssen die Identitätsanbieter (IdPs) die folgende SAML 2.0-Spezifikation erfüllen:

  • Legen Sie als Attribut für das NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient fest.

  • Konfigurieren Sie eine Beanspruchung des IdP so, dass der Attributname uid mit einem Wert enthalten ist, der dem im Cisco Directory Connector ausgewählten Attribut oder dem Benutzerattribut zugeordnet ist, das dem im Webex-Identitätsdienst ausgewählten Attribut entspricht. (Dabei kann es sich beispielsweise um E-Mail-Adressen oder Hauptbenutzernamen handeln.) Weitere Anweisungen finden Sie in den Informationen zu benutzerdefinierten Attributen in https://www.cisco.com/go/hybrid-services-directory.

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Öffnen Sie die ADFS-Managementkonsole und navigieren Sie zu Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite > Vertrauensstellung der vertrauenden Seite hinzufügen.

3

Wählen Sie im Fenster Add Relying Party Trust Wizard Start.

4

Für Datenquelle auswählen auswählen Daten zur vertrauenden Seite aus Datei importieren , zu der von Ihnen heruntergeladenen Control Hub-Metadatendatei navigieren und Weiter auswählen .

5

Erstellen Sie für Anzeigename angeben einen Anzeigenamen für diese Vertrauensstellung der vertrauenden Seite, z. B. Webex und wählen Sie Weiter .

6

Wählen Sie für Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus und wählen Sie Weiter aus.

7

Wählen Sie für Bereit zum Hinzufügen der Vertrauensstellung die Option Weiter aus und schließen Sie das Hinzufügen der vertrauenden Seite zu ADFS ab.

Erstellen von Anspruchsregeln für die Webex-Authentifizierung

1

Wählen Sie im ADFS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.

2

Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.

  1. Geben Sie einen Anspruchsregelnamen ein.

  2. Wählen Sie Active Directory als Attributspeicher.

  3. Ordnen Sie dem uid-Typ des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.

    Diese Regel teilt ADFS mit, welche Felder zur Identifizierung eines Benutzers Webex zugeordnet werden sollen. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  4. Speichern Sie Ihre Änderungen.

3

Wählen Sie erneut Regel hinzufügen, Ansprüche mit einer benutzerdefinierten Regel senden und dann Weiter.

Diese Regel stellt ADFS das Attribut „spname qualifier“ bereit, das Webex ansonsten nicht bereitstellt.

  1. Öffnen Sie Ihren Texteditor und kopieren Sie den folgenden Inhalt.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersetzen Sie URL1 und URL2 im Text wie folgt:

    • URL1 ist die entityID aus der heruntergeladenen ADFS-Metadatendatei.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieren Sie nur die entityID aus der ADFS-Metadatendatei und fügen Sie sie an der Stelle von URL1 in die Textdatei ein.

    • URL2 befindet sich in der ersten Zeile der Webex-Metadatendatei, die Sie heruntergeladen haben.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieren Sie nur die entityID aus der Webex-Metadatendatei und fügen Sie sie an der Stelle von URL2 in die Textdatei ein.

  2. Kopieren Sie die Regel aus Ihrem Text-Editor mit den aktualisierten URLs (beginnend bei „c:“) und fügen Sie sie in das Feld „Benutzerdefinierte Regel“ auf Ihrem ADFS-Server ein.

    Die vervollständigte Regel sollte ungefähr so aussehen:

  3. Wählen Sie zum Erstellen der Regel Fertigstellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.

4

Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.

5

Wenn das Fenster „Eigenschaften“ angezeigt wird, navigieren Sie zur Registerkarte Erweitert und zu SHA-256 und wählen Sie dann OK, um Ihre Änderungen zu speichern.

6

Öffnen Sie die folgende URL auf dem internen ADFS-Server, um die Datei herunterzuladen: https://< AD _ FS _ Server >/FederationMetadata/2007-06/FederationMetadata.xml


 

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.

7

Speichern Sie die Datei auf Ihrem lokalen Computer.

Nächste Schritte

Sie können nun die ADFS-Metadaten aus dem Verwaltungsportal wieder in Webex importieren.

Importieren Sie die IdP-Metadaten und aktivieren Sie Einzelanmeldung-On nach einem Test

Nachdem Sie die Webex -Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter. Jetzt können Sie sie aus dem Control Hub in Ihre Webex -Organisation importieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Es werden nur vom Dienstleister initiierte (SP-initiierte) Vorgänge unterstützt, daher müssen Sie den SSO-Test im Control Hub für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie in Ihrem Browser zur Seite „Control Hub – Zertifikatsauswahl“ zurück und klicken Sie dann auf Weiter .
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, über die Kundenansicht inhttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen , blättern Sie zu Authentifizierung , und wählen Sie dann Aktionen > Metadaten importieren .
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Sie sollten den Mehr Sicherheit Option, wenn Sie können. Dies ist nur möglich, wenn Ihr IdP eine öffentliche CA zum Signieren seiner Metadaten verwendet hat.

In allen anderen Fällen müssen Sie den Weniger sicher ein. Dazu gehört auch, ob die Metadaten nicht signiert, selbstsigniert oder von einer privaten Zertifizierungsstelle signiert sind.


 

Okta signiert die Metadaten nicht, also müssen Sie auswählen Weniger sicher für eine Okta SSO -Integration.

3

Auswählen SSO -Einrichtung testen , und wenn eine neue Browser-Registerkarte geöffnet wird, authentifizieren Sie sich beim IdP, indem Sie sich anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex -App-Fehler weist normalerweise auf ein Problem mit der SSO -Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.


 

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Durch diesen Schritt werden False-Positives aufgrund eines Zugriffstokens verhindert, das möglicherweise in einer vorhandenen Sitzung von Ihrer Anmeldung enthalten ist.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test. SSO und klicken Sie auf Weiter .
  • Wenn der Test nicht erfolgreich war, wählen Sie Test nicht erfolgreich. SSO und klicken Sie auf Weiter .

 

Die SSO -Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Optionsfeld auswählen und SSO aktivieren.

Nächste Schritte

Verwenden Sie die Verfahren in Okta-Benutzer mit Cisco Webex Control Hub synchronisieren wenn Sie die Benutzerbereitstellung aus Okta heraus in der Webex Cloud durchführen möchten.

Verwenden Sie die Verfahren in Synchronisieren Sie Azure Active Directory -Benutzer in Cisco Webex Control Hub wenn Sie die Benutzerbereitstellung aus Azure AD heraus in der Webex Cloud durchführen möchten.

Sie können das Verfahren in Automatisierte E-Mails unterdrücken um E-Mails zu deaktivieren, die an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Aktualisieren der Webex -Vertrauensstellung der vertrauenden Seite in ADFS

Bei dieser Aufgabe geht es speziell um die Aktualisierung von ADFS mit neuen SAML -Metadaten von Webex. Bei Bedarf finden Sie entsprechende Artikel SSO mit ADFS konfigurieren , oder bei Bedarf (einen anderen) IdP mit SAML Metadaten für ein neues Webex SSO -Zertifikat aktualisieren .

Vorbereitungen

Sie müssen die SAML -Metadatendatei aus Control Hub exportieren, bevor Sie die Webex -Vertrauensstellung der vertrauenden Seite in ADFS aktualisieren können.

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Laden Sie die SAML -Metadatendatei aus Webex in einen temporären lokalen Ordner auf dem ADFS-Server hoch, z. B. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Öffnen Sie Powershell.

4

Führen Sie Get-AdfsRelyingPartyTrust um alle Vertrauensstellungen der vertrauenden Seite zu lesen.

Beachten Sie den TargetName Parameter der Webex -Vertrauensstellung der vertrauenden Seite. Wir verwenden das Beispiel "Webex", aber es könnte in Ihrem ADFS anders aussehen.

5

Führen Sie Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Ersetzen Sie den Dateinamen und den Namen des Ziels durch die richtigen Werte aus Ihrer Umgebung.

Siehe .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Wenn Sie das Webex SP 5-Jahres-Zertifikat heruntergeladen und die Signierung oder Verschlüsselung von Zertifikatssperrungen aktiviert haben, müssen Sie diese beiden Befehle ausführen: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Melden Sie sich bei Control Hub an und testen Sie die SSO-Integration:

  1. Gehen Sie zu Verwaltung > Organisationseinstellungen , blättern Sie zu Authentifizierung , und aktivieren Sie das Einmaliges Anmelden , um den Konfigurationsassistenten zu Wizard.

  2. Klicken Sie auf Weiter, um die Seite zum Importieren der IdP-Metadaten zu überspringen.

    Sie müssen diesen Schritt nicht wiederholen, weil Sie die IdP-Metadaten bereits zuvor importiert haben.

  3. Testen Sie die SSO -Verbindung, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Probelauf und wirkt sich erst dann auf Ihre Organisationseinstellungen aus, wenn Sie SSO im nächsten Schritt aktivieren.


     

    Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

  4. Melden Sie sich an, um den Test abzuschließen.

ADFS-Fehlerbehebung

ADFS-Fehler in Windows-Protokollen

In den Windows-Protokollen wird Ihnen möglicherweise ein ADFS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

Fehler beim Versuch, die Zertifikatskette für die Vertrauensstellung der vertrauenden Seite zu erstellen

Beim Aktualisieren des SSO-Zertifikats wird Ihnen möglicherweise dieser Fehler bei der Anmeldung angezeigt: Invalid status code in response.

Wenn dieser Fehler angezeigt wird, überprüfen Sie die Protokolle der Ereignisanzeige auf dem ADFS-Server und suchen Sie nach dem folgenden Fehler: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mögliche Ursachen sind, dass das Zertifikat widerrufen wurde, die Zertifikatskette nicht wie in den Sperreinstellungen für das Verschlüsselungszertifikat der vertrauenden Seite angegeben verifiziert werden konnte oder das Zertifikat nicht innerhalb seiner Gültigkeitsdauer liegt.

Wenn dieser Fehler auftritt, müssen Sie die Befehle ausführen Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn es sich hierbei um Ihre Unternehmens-E-Mail-Adresse handelt, geben Sie sie genau wie von ADFS gesendet ein, andernfalls kann Webex den übereinstimmenden Benutzer nicht finden.

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

Sie können die URL ggf. verifizieren, indem Sie unter „ADFS Management“ zu Dienst > Endpunkte > Metadaten > Type:Federation Metadata navigieren.

Zeitsynchronisierung

Vergewissern Sie sich, dass die Systemuhr Ihres ADFS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie den folgenden PowerShell-Befehl, um die Uhr nur für die Webex-Vertrauensstellung der vertrauenden Seite zu ändern.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Ersetzen Sie den Wert aus dem SP EntityDescriptor-ID-Wert in der Webex-Metadatendatei. Zum Beispiel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">