Einmalige Anmeldung und Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Die Webex-App unterstützt nur den Webbrowser SSO Profil. Im Webbrowser- und SSO unterstützt Webex App die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Die Webex-App unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Webex konfiguriert.

SingleLogout

Die Webex-App unterstützt das Einzel-Abmeldeprofil. In der Webex-Appkann sich ein Benutzer von der Anwendung abmelden, die zum Beenden der Sitzung und zum Bestätigen der Abmeldedatei bei Ihrem IdP das SAML-Einzel-Abmeldeprotokoll verwendet. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren von Control Hub in ADFS

Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. Beispielsweise werden die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funktionieren für die SSO-Integration, liegen jedoch außerhalb des Rahmens unserer Dokumentation.

Richten Sie diese Integration für Benutzer in Ihrer Webex-Organisation ein (einschließlich webex App, Webex Meetingsund andere Dienste, die im Control Hub verwaltet werden). Wenn Ihre Webex-Site in Control Hubintegriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise nicht auf Webex Meetings zugreifen können und dies nicht in Control Hubverwaltet wird, müssen Sie eine separate Integration tun, um SSO-Benutzer Webex Meetings .

Je nachdem, was in den Authentifizierungsmechanismen in ADFS konfiguriert ist, kann die integrierte Windows-Authentifizierung (IWA) standardmäßig aktiviert sein. Wenn aktiviert, authentifizieren sich über Windows gestartete Anwendungen (z. B. Webex App und Cisco Verzeichniskonnektor) als der angemeldete Benutzer, unabhängig davon, welche E-Mail-Adresse während der ersten E-Mail-Eingabeaufforderung eingegeben wurde.

Herunterladen der Webex-Metadaten auf Ihr lokales System

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Management > Sicherheit > Authentifizierung.

3

Gehen Sie auf den Reiter Identitätsanbieter und klicken Sie auf SSO aktivieren.

4

Wählen Sie einen IdP aus.

5

Wählen Sie den Zertifikattyp für Ihre Organisation aus:

  • Selbstsigniert von Cisco– Wir empfehlen diese Auswahl. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Von einer öffentlichen Zertifizierungsstelle signiert– Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr IdP-Anbieter unterstützt Vertrauensanker).

Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.

6

Laden Sie die Metadatendatei herunter.

Der Dateiname der Webex-Metadaten lautet idb-meta-<org-ID>-SP.xml.

Installieren von Webex-Metadaten in ADFS

Vorbereitungen

Control Hub unterstützt ADFS 2.x oder höher.

Windows 2008 R2 enthält nur ADFS 1.0. Sie müssen mindestens ADFS 2.x von Microsoft installieren.

Für SSO und Webex-Dienste müssen die Identitätsanbieter (IdPs) der folgenden SAML 2.0-Spezifikation entsprechen:

  • Legen Sie das Attribut „NameID-Format“ fest auf urn:oasis:names:tc:SAML:2.0:nameid-format:vorübergehend

  • Konfigurieren Sie einen Anspruch auf dem IdP, um den Attributnamen uid mit einem Wert einzuschließen, der dem im Cisco Directory Connector ausgewählten Attribut zugeordnet ist, oder dem Benutzerattribut, das mit dem im Webex-Identitätsdienst ausgewählten Attribut übereinstimmt. (Dieses Attribut könnte beispielsweise „E-Mail-Adresse“ oder „Benutzerprinzipalname“ sein.) Weitere Informationen finden Sie in den Informationen zu benutzerdefinierten Attributen in https://www.cisco.com/go/hybrid-services-directory.

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Öffnen Sie die ADFS-Managementkonsole und navigieren Sie zu Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite > Vertrauensstellung der vertrauenden Seite hinzufügen.

3

Wählen Sie im Fenster Add Relying Party Trust Wizard Start.

4

Wählen Sie für Datenquelle auswählen] Daten über die vertrauende Partei aus einer Datei importierenaus, navigieren Sie zu der heruntergeladenen Control Hub-Metadatendatei und wählen Sie Weiteraus.

5

Erstellen Sie für Anzeigenamen angebeneinen Anzeigenamen für diese Vertrauensstellung der vertrauenden Partei, z. B. Webex, und wählen Sie Weiteraus.

6

Wählen Sie für Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus und wählen Sie Weiter aus.

7

Wählen Sie für Bereit zum Hinzufügen der Vertrauensstellung die Option Weiter aus und schließen Sie das Hinzufügen der vertrauenden Seite zu ADFS ab.

Erstellen von Anspruchsregeln für die Webex-Authentifizierung

1

Wählen Sie im ADFS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.

2

Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.

  1. Geben Sie einen Anspruchsregelname.

  2. Wählen Sie Active Directory als Attributspeicher.

  3. Ordnen Sie dem uid-Typ des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.

    Diese Regel gibt ADFS an, welche Felder zur Identifizierung eines Benutzers Webex zuordnen werden müssen. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  4. Speichern Sie Ihre Änderungen.

3

Wählen Sie erneut Regel hinzufügen, Ansprüche mit einer benutzerdefinierten Regel senden und dann Weiter.

Diese Regel stellt ADFS das Attribut "spname qualifier" zur Verfügung, das Webex ansonsten nicht ankämmt.

  1. Öffnen Sie Ihren Texteditor und kopieren Sie den folgenden Inhalt.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersetzen Sie URL1 und URL2 im Text wie folgt:

    • URL1 ist die EntityID aus der ADFS-Metadatendatei, die Sie heruntergeladen haben.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieren Sie nur die entityID aus der ADFS-Metadatendatei und fügen Sie sie an der Stelle von URL1 in die Textdatei ein.

    • URL2 steht in der ersten Zeile der Webex-Metadatendatei, die Sie heruntergeladen haben.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieren Sie nur die entityID aus der Webex-Metadatendatei und fügen Sie sie an der Stelle von URL2 in die Textdatei ein.

  2. Kopieren Sie Regel aus Ihrem Text-Editor mit den aktualisierten URLs (beginnend bei „c:“) und fügen Sie sie in das Feld „benutzerdefinierte Regel“ auf Ihrem ADFS-Server ein.

    Die vervollständigte Regel sollte ungefähr so aussehen:

  3. Wählen Sie zum Erstellen der Regel Fertig stellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.

4

Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.

5

Wenn das Fenster „Eigenschaften“ angezeigt wird, navigieren Sie zur Registerkarte Erweitert und zu SHA-256 und wählen Sie dann OK, um Ihre Änderungen zu speichern.

6

Öffnen Sie die folgende URL auf dem internen ADFS-Server, um die Datei herunterzuladen: https:// <AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.

7

Speichern Sie die Datei auf Ihrem lokalen Computer.

Nächste Schritte

Sie können nun die ADFS-Metadaten aus dem Verwaltungsportal wieder in Webex importieren.

Importieren der IdP-Metadaten und Aktivieren einmaliges Anmelden nach einem Test

Nachdem Sie die Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie aus Control Hub in Ihre Webex-Organisation importieren.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie in Ihrem Browser zur Seite „Control Hub – Zertifikatauswahl“ zurück und klicken Sie dann auf Weiter.
  • Öffnen Sie Control Hub erneut, wenn es in Ihrem Browser-Tab nicht mehr geöffnet ist. Gehen Sie in der Kundenansicht im Control Hub zu Verwaltung > Sicherheit > Authentifizierung, wählen Sie den IdP aus und wählen Sie dann Aktionen > Metadaten importieren.
2

Ziehen Sie auf der Seite „IdP-Metadaten importieren“ die IdP-Metadatendatei entweder per Drag & Drop auf die Seite oder verwenden Sie die Dateibrowseroption, um die Metadatendatei zu suchen und hochzuladen. Klicken Sie auf Weiter.

Sie sollten die Option "Sicherer" verwenden , wenn dies möglich ist. Dies ist nur möglich, wenn Ihr IdP zum Signieren seiner Metadaten eine öffentliche Zertifizierungsstelle verwendet hat.

In allen anderen Fällen müssen Sie die Option Weniger sicher verwenden. Dies beinhaltet, wenn die Metadaten nicht signiert, selbstsignierte oder von einer privaten Zertifizierungsstelle signiert sind.

Okta signieren die Metadaten nicht. Sie müssen daher für eine Okta-Integration Weniger sicher SSO auswählen.

3

Wählen Sie SSO-Setup testenund authentifizieren Sie sich beim IdP, indem Sie sich anmelden, wenn ein neuer Browser-Tab geöffnet wird.

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Bei diesem Schritt werden die falschen Positives aufgrund eines Zugriffstokens, das sich möglicherweise in einer bestehenden Sitzung von Ihrer angemeldeten Sitzung bewegt, beendet.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO , und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Deaktivieren Sie SSO , und klicken Sie auf Weiter.

Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche wählen und diese SSO.

Nächste Schritte

Verwenden Sie die Verfahren zum Synchronisieren von Okta-Benutzern in Cisco Webex Control Hub, wenn Sie die Benutzerbereitstellung über Okta in der Webex-Cloud tun möchten.

Verwenden Sie die Verfahren zum Synchronisieren von Azure Active Directory-Benutzern in Cisco Webex Control Hub , wenn Sie die Benutzerbereitstellung von Azure AD in der Webex-Cloud tun möchten.

Sie können das Verfahren unter Automatisierte E-Mails unterdrücken befolgen, um E-Mails zu deaktivieren, die an neue Webex-App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Aktualisieren Sie die Vertrauensstellung der vertrauenden Seite von Webex in ADFS

Bei dieser Aufgabe geht es speziell darum, ADFS mit neuen SAML-Metadaten von Webex zu aktualisieren. Es gibt verwandte Artikel , wenn Sie SSO mit ADFSkonfigurieren müssen oder wenn Sie (einen anderen) IdP mit SAML-Metadaten für ein neues Webex-SSO aktualisieren müssen.

Vorbereitungen

Sie müssen die SAML-Metadatendatei aus Control Hub exportieren, bevor Sie den Webex Relying Party Trust in ADFS aktualisieren können.

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Laden Sie die SAML-Metadatendatei von Webex in einen temporären lokalen Ordner auf dem ADFS-Server hoch, z. B. //ADFS_servername/temp/idb-meta--SP.xml.

3

Öffnen Sie Powershell.

4

Führen Sie Get-AdfsRelyingPartyTrust aus, um alle Vertrauensstellungen der vertrauenden Seite zu lesen.

Beachten Sie den TargetName -Parameter des Webex-Vertrauens der vertrauenden Partei. Wir verwenden das Beispiel "Webex", aber es könnte in Ihrem ADFS anders sein.

5

Laufen Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Ersetzen Sie den Dateinamen und den Namen des Ziels durch die richtigen Werte aus Ihrer Umgebung.

Siehe .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Wenn Sie das Webex SP 5-Jahreszertifikat heruntergeladen und die Sperrung von Signier- oder Verschlüsselungszertifikat aktiviert haben, müssen Sie die folgenden beiden Befehle ausführen: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Melden Sie sich bei Control Hub an und testen Sie die SSO-Integration:

  1. Gehe zu Management > Sicherheit > Authentifizierung.

  2. Gehen Sie auf der Registerkarte Identitätsanbieter zum IdP und klicken Sie auf Menü „Mehr“

  3. Wählen Sie Test IdPaus.

  4. Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Probelauf und wirkt sich erst dann auf Ihre Organisationseinstellungen aus, wenn Sie SSO im nächsten Schritt aktivieren.

    Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

  5. Melden Sie sich an, um den Test abzuschließen.

ADFS-Fehlerbehebung

ADFS-Fehler in Windows-Protokollen

In den Windows-Protokollen wird Ihnen möglicherweise ein ADFS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

Fehler trat während eines Versuches auf, die Zertifikatskette für die Vertrauensstellung der vertrauenden Partei zu erstellen.

Wenn Sie das SSO aktualisieren, wird Ihnen möglicherweise dieser Fehler angezeigt, wenn Sie sich anmelden: Invalid status code in response.

Wenn sie diesen Fehler sehen, überprüfen Sie die Ereignisanzeige-Protokolle auf dem ADFS-Server und suchen Sie nach folgendem Fehler: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mögliche Ursachen sind, dass das Zertifikat widerrufen wurde, die Zertifikatskette nicht verifiziert werden konnte, wie in den Einstellungen für die Zertifikatsperrung der Vertrauensstellung der vertrauenden Seite angegeben, oder das Zertifikat liegt nicht innerhalb der Gültigkeitsdauer.

Wenn dieser Fehler auftritt, müssen Sie die Befehle ausführen Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/ -EncryptionCertificateRevocationCheck None

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn es sich dabei um Ihre Unternehmens-E-Mail-Adresse handelt, geben Sie sie genau wie von ADFS gesendet ein, ander denn Webex kann den dazugehörigen Benutzer nicht finden.

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

Sie können die URL ggf. verifizieren, indem Sie in ADFS Management zu Dienst > Endpunkte > Metadaten > Type:Federation Metadata navigieren.

Zeitsynchronisierung

Vergewissern Sie sich, dass die Systemuhr Ihres ADFS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie folgenden PowerShell-Befehl, um nur die Uhr für die Webex-Vertrauensstellung der vertrauenden Seite zu verfneuern.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Ersetzen Sie den Wert des SP EntityDescriptor-ID-Werts in der Webex-Metadatendatei. Zum Beispiel: