Einmalige Anmeldung und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Die Webex-App unterstützt nur den Webbrowser SSO Profil. Im Webbrowser- und SSO unterstützt Webex App die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex-App unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webex konfiguriert.

SingleLogout

Die Webex-App unterstützt das Einzel-Abmeldeprofil. In der Webex-Appkann sich ein Benutzer von der Anwendung abmelden, die zum Beenden der Sitzung und zum Bestätigen der Abmeldedatei bei Ihrem IdP das SAML-Einzel-Abmeldeprotokoll verwendet. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren von Control Hub in ADFS

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich webex App, Webex Meetingsund andere Dienste, die im Control Hub verwaltet werden). Wenn Ihre Webex-Site in Control Hubintegriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hubverwaltet wird, müssen Sie eine separate Integration tun, um SSO-Benutzer Webex Meetings . (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Je nachdem, was in den Authentifizierungsmechanismen in ADFS konfiguriert ist, kann die integrierte Windows-Authentifizierung (IWA) standardmäßig aktiviert sein. Wenn aktiviert, authentifizieren sich über Windows gestartete Anwendungen (z. B. Webex App und Cisco Verzeichniskonnektor) als der angemeldete Benutzer, unabhängig davon, welche E-Mail-Adresse während der ersten E-Mail-Eingabeaufforderung eingegeben wurde.

Herunterladen der Webex-Metadaten auf Ihr lokales System

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Management > Organisationseinstellungen, scrollen Sie zu Authentifizierung und aktivieren Sie die Einstellung Einmalige Anmeldung, um den Einrichtungsassistenten zu starten.

2

Wählen Sie den Zertifikattyp für Ihre Organisation aus:

  • Selbstsigniert von Cisco – Diese Auswahl wird empfohlen. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Anchors für Vertrauensstellung).

Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.

3

Laden Sie die Metadatendatei herunter.

Der Name der Webex-Metadatendatei lautet idb-meta--SP.xml.

Installieren von Webex-Metadaten in ADFS

Vorbereitungen

Control Hub unterstützt ADFS 2.x oder höher.

Windows 2008 R2 enthält nur ADFS 1.0. Sie müssen mindestens ADFS 2.x von Microsoft installieren.

Für SSO und Webex-Dienste müssen die Identitätsanbieter (IdPs) der folgenden SAML 2.0-Spezifikation entsprechen:

  • Legen Sie für das NameID-Format das Attribut urn:oasis:names:tc:SAML:2.0:nameid-format:vorübergehend

  • Konfigurieren Sie einen Anspruch an den IdP so, dass der uid -Attributname mit einem Wert enthalten ist, der dem im Cisco Directory Connector ausgewählten Attribut oder dem Benutzerattribut zugeordnet ist, das dem im Webex-Identitätsdienst ausgewählten Attribut entspricht. (Bei diesem Attribut kann es sich beispielsweise um E-Mail-Adressen oder den Hauptnamen des Benutzers handeln.) Weitere Informationen finden Sie in den Informationen zu benutzerdefinierten Attributen in https://www.cisco.com/go/hybrid-services-directory .

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Öffnen Sie die ADFS-Managementkonsole und navigieren Sie zu Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite > Vertrauensstellung der vertrauenden Seite hinzufügen.

3

Wählen Sie im Fenster Add Relying Party Trust Wizard Start.

4

Wählen Sie für Datenquelle auswählen die Option Daten zur vertrauenden Seite aus Datei importieren, navigieren Sie zu der Control Hub-Metadatendatei, die Sie heruntergeladen haben, und wählen Sie Weiter aus.

5

Erstellen Sie für Anzeigename angeben einen Anzeigenamen für diese Vertrauensstellung der vertrauenden Seite, z. B. Webex , und wählen Sie Weiter aus.

6

Wählen Sie für Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus und wählen Sie Weiter aus.

7

Wählen Sie für Bereit zum Hinzufügen der Vertrauensstellung die Option Weiter aus und schließen Sie das Hinzufügen der vertrauenden Seite zu ADFS ab.

Erstellen von Anspruchsregeln für die Webex-Authentifizierung

1

Wählen Sie im ADFS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.

2

Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.

  1. Geben Sie einen Anspruchsregelname.

  2. Wählen Sie Active Directory als Attributspeicher.

  3. Ordnen Sie dem uid-Typ des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.

    Diese Regel gibt ADFS an, welche Felder zur Identifizierung eines Benutzers Webex zuordnen werden müssen. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  4. Speichern Sie Ihre Änderungen.

3

Wählen Sie erneut Regel hinzufügen, Ansprüche mit einer benutzerdefinierten Regel senden und dann Weiter.

Diese Regel stellt ADFS das Attribut "spname qualifier" zur Verfügung, das Webex ansonsten nicht ankämmt.

  1. Öffnen Sie Ihren Texteditor und kopieren Sie den folgenden Inhalt.

    c:[Typ == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => Issue(Typ = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersetzen Sie URL1 und URL2 im Text wie folgt:

    • URL1 ist die entityID aus der heruntergeladenen ADFS-Metadatendatei.

      Folgendes ist beispielsweise ein Beispiel von dem, was Sie sehen: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieren Sie nur die entityID aus der ADFS-Metadatendatei und fügen Sie sie an der Stelle von URL1 in die Textdatei ein.

    • URL2 befindet sich in der ersten Zeile der heruntergeladenen Webex-Metadatendatei.

      Folgendes ist beispielsweise ein Beispiel dessen, was Sie sehen: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieren Sie nur die entityID aus der Webex-Metadatendatei und fügen Sie sie an der Stelle von URL2 in die Textdatei ein.

  2. Kopieren Sie Regel aus Ihrem Text-Editor mit den aktualisierten URLs (beginnend bei „c:“) und fügen Sie sie in das Feld „benutzerdefinierte Regel“ auf Ihrem ADFS-Server ein.

    Die vervollständigte Regel sollte ungefähr so aussehen:

  3. Wählen Sie zum Erstellen der Regel Fertig stellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.

4

Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.

5

Wenn das Fenster „Eigenschaften“ angezeigt wird, navigieren Sie zur Registerkarte Erweitert und zu SHA-256 und wählen Sie dann OK, um Ihre Änderungen zu speichern.

6

Öffnen Sie die folgende URL auf dem internen ADFS-Server, um die Datei herunterzuladen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.

7

Speichern Sie die Datei auf Ihrem lokalen Computer.

Nächste Schritte

Sie können nun die ADFS-Metadaten aus dem Verwaltungsportal wieder in Webex importieren.

Importieren der IdP-Metadaten und Aktivieren einmaliges Anmelden nach einem Test

Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisation importieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie zur Control Hub – Zertifikatsauswahlseite in Ihrem Browser zurück und klicken Sie auf Weiter.
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Authentifizierung und wählen Sie Aktionen > Metadaten importieren aus.
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Sie sollten die Option "Sicherer" verwenden , wenn dies möglich ist. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat.

In allen anderen Fällen müssen Sie die Option Weniger sicher verwenden. Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind.

Okta signieren die Metadaten nicht. Sie müssen daher für eine Okta-Integration Weniger sicher SSO auswählen.

3

Wählen Sie SSO-Einrichtung testen aus und authentifizieren Sie sich in dem neu geöffneten Browserfenster durch Anmeldung beim IdP.

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Bei diesem Schritt werden die falschen Positives aufgrund eines Zugriffstokens, das sich möglicherweise in einer bestehenden Sitzung von Ihrer angemeldeten Sitzung bewegt, beendet.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO , und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Deaktivieren Sie SSO , und klicken Sie auf Weiter.

Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche wählen und diese SSO.

Nächste Schritte

Verwenden Sie die Verfahren zum Synchronisieren von Okta-Benutzern in Cisco Webex Control Hub, wenn Sie die Benutzerbereitstellung über Okta in der Webex-Cloud tun möchten.

Verwenden Sie die Verfahren zum Synchronisieren von Azure Active Directory-Benutzern in Cisco Webex Control Hub , wenn Sie die Benutzerbereitstellung von Azure AD in der Webex-Cloud tun möchten.

Anhand des Verfahrens unter Automatische E-Mails unterdrücken können Sie E-Mails deaktivieren, die an neue Benutzer der Webex-App in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Aktualisieren Sie die Vertrauensstellung der vertrauenden Seite von Webex in ADFS

Bei dieser Aufgabe geht es speziell darum, ADFS mit neuen SAML-Metadaten aus Webex zu aktualisieren. Es gibt verwandte Artikel , wenn Sie SSO mit ADFSkonfigurieren müssen oder wenn Sie (einen anderen) IdP mit SAML-Metadaten für ein neues Webex-SSO aktualisieren müssen.

Vorbereitungen

Sie müssen die SAML-Metadatendatei aus Control Hub exportieren, bevor Sie die Webex-Vertrauensstellung der vertrauenden Seite in ADFS aktualisieren können.

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Laden Sie die SAML-Metadatendatei aus Webex in einen temporären lokalen Ordner auf dem ADFS-Server hoch, z. B. //ADFS_servername/temp/idb-meta--SP.xml.

3

Öffnen Sie Powershell.

4

Führen Sie Get-AdfsRelyingPartyTrust aus, um alle Vertrauensstellungen der vertrauenden Seite zu lesen.

Notieren Sie sich den TargetName -Parameter der Vertrauensstellung der vertrauenden Seite von Webex. Wir verwenden das Beispiel "Webex", aber es könnte in Ihrem ADFS anders sein.

5

Führen Sie Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex" aus.

Ersetzen Sie den Dateinamen und den Namen des Ziels durch die richtigen Werte aus Ihrer Umgebung.

Siehe .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Wenn Sie das Webex SP 5-Jahreszertifikat heruntergeladen und die Sperrung von Signier- oder Verschlüsselungszertifikat aktiviert haben, müssen Sie die folgenden beiden Befehle ausführen: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Melden Sie sich bei Control Hub an und testen Sie die SSO-Integration:

  1. Gehen Sie zu Management > Organisationseinstellungen, blättern Sie zu Authentifizierung und aktivieren Sie die Einstellung Single Sign-On , um den Konfigurationsassistenten zu starten.

  2. Klicken Sie auf Weiter, um die Seite zum Importieren der IdP-Metadaten zu überspringen.

    Sie müssen diesen Schritt nicht wiederholen, weil Sie die IdP-Metadaten bereits zuvor importiert haben.

  3. Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Probelauf und wirkt sich erst dann auf Ihre Organisationseinstellungen aus, wenn Sie SSO im nächsten Schritt aktivieren.

    Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

  4. Melden Sie sich an, um den Test abzuschließen.

ADFS-Fehlerbehebung

ADFS-Fehler in Windows-Protokollen

In den Windows-Protokollen wird Ihnen möglicherweise ein ADFS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

Fehler trat während eines Versuches auf, die Zertifikatskette für die Vertrauensstellung der vertrauenden Partei zu erstellen.

Wenn Sie das SSO aktualisieren, wird Ihnen möglicherweise dieser Fehler angezeigt, wenn Sie sich anmelden: Ungültiger Statuscode als Antwort.

Wenn sie diesen Fehler sehen, überprüfen Sie die Ereignisanzeige-Protokolle auf dem ADFS-Server und suchen Sie nach folgendem Fehler: Beim Versuch, die Zertifikatskette für das Zertifikat der Vertrauensstellung der vertrauenden Seite zu erstellenhttps://idbroker.webex.com/<org-ID>' , das durch den Fingerabdruck „754B9208F1F75C5CC122740F3675C5D129471D80“ identifiziert wurde. Mögliche Ursachen sind, dass das Zertifikat widerrufen wurde, die Zertifikatskette nicht verifiziert werden konnte, wie in den Einstellungen für die Zertifikatsperrung der Vertrauensstellung der vertrauenden Seite angegeben, oder das Zertifikat liegt nicht innerhalb der Gültigkeitsdauer.

Wenn dieser Fehler auftritt, müssen Sie die Befehle Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None ausführen.

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn es sich dabei um Ihre Unternehmens-E-Mail-Adresse handelt, geben Sie sie genau wie von ADFS gesendet ein, ander denn Webex kann den dazugehörigen Benutzer nicht finden.

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

Sie können die URL ggf. verifizieren, indem Sie in ADFS Management zu Dienst > Endpunkte > Metadaten > Type:Federation Metadata navigieren.

Zeitsynchronisierung

Vergewissern Sie sich, dass die Systemuhr Ihres ADFS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie folgenden PowerShell-Befehl, um nur die Uhr für die Webex-Vertrauensstellung der vertrauenden Seite zu verfneuern.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Ersetzen Sie den Wert des SP EntityDescriptor-ID-Werts in der Webex-Metadatendatei. Zum Beispiel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">