Einmalige Anmeldung und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Die Webex-App unterstützt nur den Webbrowser SSO Profil. Im Webbrowser-SSO unterstützt Webex App die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex-App unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webexkonfiguriert.

SingleLogout

Die Webex-App unterstützt das Einzel-Abmeldeprofil. In der Webex-App kann sich ein Benutzer von der Anwendung abmelden, die zum Beenden der Sitzung und zum Bestätigen der Abmeldedatei bei Ihrem IdP das SAML-Einzel-Abmeldeprotokoll verwendet. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren von Control Hub in ADFS

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich Webex App , Webex Meetings und andere im Control Hubverwaltete Dienste). Wenn Ihre Webex-Site in Control Hub integriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hub verwaltet wird, müssen Sie eine separate Integration verwenden, um SSO für Webex Meetings. (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Je nachdem, was in den Authentifizierungsmechanismen in ADFS konfiguriert ist, kann die integrierte Windows-Authentifizierung (IWA) standardmäßig aktiviert sein. Wenn aktiviert, authentifizieren sich über Windows gestartete Anwendungen (z. B. Webex App und Cisco Verzeichniskonnektor) als der angemeldete Benutzer, unabhängig davon, welche E-Mail-Adresse während der ersten E-Mail-Eingabeaufforderung eingegeben wurde.

Herunterladen der Webex-Metadaten auf Ihr lokales System

1

Wechseln Sie aus der Kundenansicht in zu Management > Organisationseinstellungen und blättern Sie zu Authentifizierung und aktivieren Sie die Einstellung Einmalige Anmeldung, um den Einrichtungsassistenten https://admin.webex.com zu starten.
2

Wählen Sie den Zertifikattyp für Ihre Organisation aus:

  • Selbstsigniertes von Cisco– Diese Auswahl wird empfohlen. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Von einer öffentlichen Zertifizierungsstelle signiert – Sicherer, aber Sie müssen häufig die Metadaten aktualisieren (sofern Ihr IdP-Anbieter keineVertrauensanker unterstützt).

 

Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.
3

Laden Sie die Metadatendatei herunter.

Der Name der Webex-Metadatendatei ist idb-meta-<org-ID>-SP.xml.

Installieren von Webex-Metadaten in ADFS

Vorbereitungen

Control Hub unterstützt ADFS 2.x oder höher.

Windows 2008 R2 enthält nur ADFS 1.0. Sie müssen mindestens ADFS 2.x von Microsoft installieren.

Für SSO und Webex-Dienste müssen die Identitätsanbieter (IdPs) der folgenden SAML 2.0-Spezifikation entsprechen:

  • Legen Sie als Attribut für das NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient fest.

  • Konfigurieren Sie einen Anspruch an den IdP so, dass er den Namen des uid-Attributs mit einem Wert enthält, der dem in Cisco Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zugeordnet ist, das mit dem in den Webex-Identitätsdienst. (Dabei kann es sich beispielsweise um E-Mail-Adressen oder Hauptbenutzernamen handeln.) Weitere Anweisungen finden Sie in den Informationen zu benutzerdefinierten Attributen in https://www.cisco.com/go/hybrid-services-directory.

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.
2

Öffnen Sie die ADFS-Managementkonsole und navigieren Sie zu Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite > Vertrauensstellung der vertrauenden Seite hinzufügen.
3

Wählen Sie im Fenster Add Relying Party Trust WizardStart.
4

Wählen Sie für Datenquelle auswählen die Option Daten zur vertrauenden Seite aus Datei importieren aus , navigieren Sie zu der Control Hub-Metadatendatei, die Sie heruntergeladen haben, und wählen Sie Weiter aus.
5

Erstellen Sie für Anzeigename angeben einen Anzeigenamen für diese Vertrauensstellung der vertrauenden Seite, z. B. Webex, und wählen Sie Weiteraus.
6

Wählen Sie für Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus und wählen Sie Weiter aus.
7

Wählen Sie für Bereit zum Hinzufügen der Vertrauensstellung die Option Weiter aus und schließen Sie das Hinzufügen der vertrauenden Seite zu ADFS ab.

Erstellen von Anspruchsregeln für die Webex-Authentifizierung

1

Wählen Sie im ADFS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.
2

Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.

  1. Geben Sie einen Anspruchsregelnamen ein.

  2. Wählen Sie Active Directory als Attributspeicher.

  3. Ordnen Sie dem uid-Typ des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.

    Diese Regel gibt ADFS an, welche Felder zur Identifizierung eines Benutzers Webex zuordnen werden müssen. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  4. Speichern Sie Ihre Änderungen.
3

Wählen Sie erneut Regel hinzufügen, Ansprüche mit einer benutzerdefinierten Regel senden und dann Weiter.

Diese Regel stellt ADFS das Attribut "spname qualifier" zur Verfügung, das Webex ansonsten nicht ankämmt.

  1. Öffnen Sie Ihren Texteditor und kopieren Sie den folgenden Inhalt.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersetzen Sie URL1 und URL2 im Text wie folgt:

    • URL1 ist die entityID aus der heruntergeladenen ADFS-Metadatendatei.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieren Sie nur die entityID aus der ADFS-Metadatendatei und fügen Sie sie an der Stelle von URL1 in die Textdatei ein.

    • URL2 befindet sich in der ersten Zeile der heruntergeladenen Webex-Metadatendatei.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieren Sie nur die entityID aus der Webex-Metadatendatei und fügen Sie sie an der Stelle von URL2 in die Textdatei ein.

  2. Kopieren Sie die Regel aus Ihrem Text-Editor mit den aktualisierten URLs (beginnend bei „c:“) und fügen Sie sie in das Feld „Benutzerdefinierte Regel“ auf Ihrem ADFS-Server ein.

    Die vervollständigte Regel sollte ungefähr so aussehen:

  3. Wählen Sie zum Erstellen der Regel Fertigstellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.
4

Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.
5

Wenn das Fenster „Eigenschaften“ angezeigt wird, navigieren Sie zur Registerkarte Erweitert und zu SHA-256 und wählen Sie dann OK, um Ihre Änderungen zu speichern.
6

Öffnen Sie die folgende URL auf dem internen ADFS-Server, um die Datei herunterzuladen: https://AD__FS-Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.
7

Speichern Sie die Datei auf Ihrem lokalen Computer.

Nächste Schritte

Sie können nun die ADFS-Metadaten aus dem Verwaltungsportal wieder in Webex importieren.

Importieren der IdP-Metadaten und Aktivieren einmaliges Anmelden nach einem Test

Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisationimportieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Es werden nur vom Dienstleister initiierte (SP-initiierte) Vorgänge unterstützt, daher müssen Sie den SSO-Test im Control Hub für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie in Ihrem Browser zur Control Hub – Zertifikatsauswahlseite zurück und klicken Sie auf Weiter.
  • Wenn Control Hub in der Browserregisterkarte nicht mehr geöffnet ist, wechseln Sie aus der Kundenansicht in zu Management > Organisationseinstellungen , scrollen Sie zu Authentifizierung und wählen Sie Aktionen > Metadaten importieren https://admin.webex.comaus.
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Sie sollten die Option "Sicherer" verwenden, wenn dies möglich ist. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat.

In allen anderen Fällen müssen Sie die Option Weniger sicher verwenden. Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind.
3

Wählen Sie test SSO-Einrichtung aus und authentifizieren Sie sich beimIdP, wenn sich eine neue Browser-Registerkarte öffnet.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

 

Um den anmeldebasierten SSO können Sie von diesem Bildschirm aus auch auf URL in Zwischenablage kopieren klicken und ihn in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit Ihrem Neuen SSO. Bei diesem Schritt werden die falschen Positives aufgrund eines Zugriffstokens, das sich möglicherweise in einer bestehenden Sitzung von Ihrer angemeldeten Sitzung bewegt, beendet.
4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO, und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Deaktivieren Sie SSO, und klicken Sie auf Weiter.

 

Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche aktivieren und SSO.

Nächste Schritte

Sie können das Verfahren in Automatische E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Aktualisieren Sie die Vertrauensstellung der vertrauenden Seite von Webex in ADFS

Bei dieser Aufgabe geht es speziell um die Aktualisierung von AD FS mit neuen SAML-Metadaten aus Webex. Es sind empfohlene Artikel verfügbar, falls Sie SSO mit AD FS konfigurieren oder (einen anderen) IdP mit SAML-Metadaten für ein neues Webex-SSO-Zertifikat aktualisieren möchten.

Vorbereitungen

Sie müssen die SAML-Metadatendatei aus Control Hub exportieren, bevor Sie die Vertrauensstellung der vertrauenden Seite in AD FS aktualisieren können.

1

Melden Sie sich am AD FS-Server mit Administratorberechtigungen an.
2

Laden Sie die SAML-Metadatendatei von Webex in einen temporären lokalen Ordner auf dem AD FS-Server hoch, z. B. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml definiert.

3

Öffnen Sie Powershell.
4

Ausführen Get-AdfsRelyingPartyTrust um alle Vertrauensstellungen der vertrauenden Partei zu lesen.

Bitte beachten Sie, dass TargetName Parameter der Webex-Vertrauensstellung der vertrauenden Seite. Wir verwenden das Beispiel „Cisco Webex“, aber der Parameter auf Ihrem AD FS-Server kann davon abweichen.
5

Ausführen Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex" definiert.

Ersetzen Sie den Dateinamen und den Namen des Ziels durch die richtigen Werte aus Ihrer Umgebung.

Siehe .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Wenn Sie das Webex SP 5-Jahreszertifikat heruntergeladen und die Sperrung von Signier- oder Verschlüsselungszertifikat aktiviert haben, müssen Sie die folgenden beiden Befehle ausführen: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None definiert.

6

Melden Sie sich bei Control Hub an und testen Sie die SSO-Integration:

  1. Gehen Sie zu Management > Organisationseinstellungen , blättern Sie zu Authentifizierung und aktivieren Sie die Einstellung Single Sign-On, um den Konfigurationsassistenten zu starten.

  2. Klicken Sie auf Weiter, um die Seite zum Importieren der IdP-Metadaten zu überspringen.

    Sie müssen diesen Schritt nicht wiederholen, weil Sie die IdP-Metadaten bereits zuvor importiert haben.

  3. Testen Sie die SSO-Verbindung, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.


     

    Um den anmeldebasierten SSO können Sie von diesem Bildschirm aus auch auf URL in Zwischenablage kopieren klicken und ihn in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit Ihrem Neuen SSO. Auf diese Weise können Sie alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernen, die beim Testen Ihrer Browserkonfiguration zu einem falschen SSO führen könnten.

  4. Melden Sie sich an, um den Test abzuschließen.

ADFS-Fehlerbehebung

ADFS-Fehler in Windows-Protokollen

In den Windows-Protokollen wird Ihnen möglicherweise ein ADFS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

Fehler trat während eines Versuches auf, die Zertifikatskette für die Vertrauensstellung der vertrauenden Partei zu erstellen.

Wenn Sie das SSO aktualisieren, wird Ihnen möglicherweise dieser Fehler angezeigt, wenn Sie sich anmelden: Invalid status code in response definiert.

Wenn sie diesen Fehler sehen, überprüfen Sie die Ereignisanzeige-Protokolle auf dem ADFS-Server und suchen Sie nach folgendem Fehler: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80' definiert. Mögliche Ursachen sind, dass das Zertifikat widerrufen wurde, die Zertifikatskette nicht verifiziert werden konnte, wie in den Einstellungen für die Sperrung von Verschlüsselungszertifikaten der vertrauenden Seite angegeben, oder das Zertifikat liegt nicht innerhalb der Gültigkeitsdauer.

Wenn dieser Fehler auftritt, müssen Sie die Befehle ausführen Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn es sich dabei um Ihre Unternehmens-E-Mail-Adresse handelt, geben Sie sie genau wie von ADFS gesendet ein, ander denn Webex kann den dazugehörigen Benutzer nicht finden.

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

Sie können die URL ggf. verifizieren, indem Sie unter „ADFS Management“ zu Dienst > Endpunkte > Metadaten > Type:Federation Metadata navigieren.

Zeitsynchronisierung

Vergewissern Sie sich, dass die Systemuhr Ihres ADFS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie folgenden PowerShell-Befehl, um nur die Uhr für die Webex-Vertrauensstellung der vertrauenden Seite zu verfneuern.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Ersetzen Sie den Wert des SP EntityDescriptor-ID-Werts in der Webex-Metadatendatei. Zum Beispiel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">