Integrieren von Cisco Webex Kontrollzentrum mit ADFS


Die Konfigurationshandbücher zeigen ein spezielles Beispiel für die SSO-Integration, bieten jedoch keine vollständige Konfiguration für alle Möglichkeiten. Beispielsweise werden die Integrationsschritte für das Namensformat urn: Oasis: names: TC: SAML: 2.0: namens-Format: Transienten dokumentiert. Andere Formate wie z. b. urn: Oasis: names : TC: SAML: 1.1: names-Format: nicht spezifiziert oder urn: Oasis: Namen: TC: SAML: 1.1: namens-Format: Email-Adressen werden für die SSO-Integration funktionieren, sind aber nicht im Rahmen unserer Dokumentation.

Richten Sie diese Integration für Benutzer in Ihrer Cisco Webex Organisation ein (einschließlich Cisco Webex Teams, Cisco Webex Meetingsund andere Services, die in verwaltet werden Cisco Webex Kontrollzentrum). Wenn Ihre WebEx-Seite in Cisco Webex Kontrollzentrum integriert ist, übernimmt die Seite WebEx die Benutzerverwaltung. Wenn Sie nicht auf diese Weise auf Cisco Webex Meetings zugreifen können und dies nicht in Cisco Webex Kontrollzentrum verwaltet wird, müssen Sie eine separate Integration vornehmen, um SSO für Cisco Webex Meetings zu aktivieren. (Siehe Konfigurieren Sie Single Sign-on für WebEx für weitere Informationen zur SSO-Integration in Site-Administration.)

Abhängig davon, was in den Authentifizierungsmechanismen in ADFS konfiguriert ist, kann die integrierte Windows-Authentifizierung (IWA) standardmäßig aktiviert werden. Daraus resultiert, dass Anwendungen, die über Windows gestartet werden (z. B. und ) sich als der angemeldete Benutzer authentifizieren, unabhängig davon, welche E-Mail-Adresse bei der ersten E-Mail-Eingabeaufforderung eingegeben wurde.Webex TeamsCisco-Verzeichniskonnektor

Herunterladen der Cisco Webex-Metadaten auf das lokale System

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und blättern Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Name der Cisco Webex-Metadatendatei lautet idb-meta-<org-ID>-SP.xml.

Installieren von Cisco Webex-Metadaten in ADFS

Vorbereitungen

Cisco Webex Kontrollzentrum unterstützt ADFS 2. x oder höher.

Windows 2008 R2 enthält nur ADFS 1,0. Sie müssen mindestens ADFS 2. x von Microsoft installieren.

Bei SSO und Cisco Webex Diensten müssen Identitätsanbieter (intern Vertriebene) die folgenden SAML 2,0-Spezifikationen erfüllen:

  • Legen Sie das Name-Format-Attribut auf urn: Oasis: names: TC: SAML: 2.0: Name-Format: Transient fest.

  • Konfigurieren Sie einen Anspruch auf dem IdP, um den UID- Attributnamen mit einem Wert einzubeziehen, der dem in der Cisco-Verzeichniskonnektor Cisco WebEx-Identitätsdienst ausgewählten Attribut zugeordnet ist. (Dieses Attribut kann z. b. E-Mail-Adressen oder Benutzerprinzipal Name sein.) Weitere Informationen finden Sie in den benutzerdefinierten Attributen in https://www.cisco.com/go/hybrid-services-directory .

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Öffnen Sie die ADFS-Verwaltungskonsole und navigieren Sie zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite > Vertrauen der vertrauenden Seite hinzufügen.

3

Wählen Sie im Fenster Add Relying Party Trust WizardStart.

4

Wählen Sie für Datenquelle auswählen die Option Daten zur vertrauenden Seite aus Datei importieren, navigieren Sie zu der Cisco Webex Kontrollzentrum-Metadatendatei, die Sie heruntergeladen haben, und wählen Sie Weiter aus.

5

erstellen sie für die angabe des anzeige namenseine Anzeigename für diese vertrauensstellung der vertrauenden seite, z. b Cisco Webex ., und wählen sie weiter aus.

6

Wählen Sie für Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus, und wählen Sie Weiter aus.

7

Klicken Sie auf "weiter", um Vertrauen hinzuzufügen. und beenden Sie das Hinzufügen der vertrauenden Vertrauen zu ADFS.

Erstellen von Anspruchsregeln für die Authentifizierung über Cisco Webex

1

Wählen Sie im ADFS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.

2

Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.

  1. Geben Sie einen Anspruchsregelname.

  2. Wählen Sie Active Directory als Attributspeicher.

  3. Ordnen Sie dem uid-Typ des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.

    Diese Regel meldet ADFS, welche Felder Cisco Webex zur Identifizierung eines Benutzers zugeordnet werden sollen. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  4. Speichern Sie Ihre Änderungen.

3

Wählen Sie erneut Regel hinzufügen, Ansprüche mit einer benutzerdefinierter Regel senden und dann Weiter.

Diese Regel stellt ADFS das Attribut „spname qualifier“ bereit, das Cisco Webexansonsten nicht bereitstellt.

  1. Öffnen Sie Ihren Texteditor und kopieren Sie den folgenden Inhalt.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersetzen Sie URL1 und URL2 im Text wie folgt:
    • URL1 ist die entityID aus der heruntergeladenen ADFS-Metadatendatei.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="<http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieren Sie nur die entityID aus der ADFS-Metadatendatei und fügen Sie sie an der Stelle von URL1 in die Textdatei ein.

    • URL2 befindet sich in der ersten Zeile der Cisco Webex-Metadatendatei, die Sie heruntergeladen haben.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieren Sie nur die entityID aus der Cisco Webex-Metadatendatei und fügen Sie sie an der Stelle von URL2 in die Textdatei ein.

  2. Kopieren Sie Regel aus Ihrem Text-Editor mit den aktualisierten URLs (beginnend bei „c:“) und fügen Sie sie in das Feld „benutzerdefinierte Regel“ auf Ihrem ADFS-Server ein.

    Die vervollständigte Regel sollte ungefähr so aussehen:
  3. Wählen Sie zum Erstellen der Regel Fertig stellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.

4

Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.

5

Wenn das Fenster „Eigenschaften“ angezeigt wird, navigieren Sie zur Registerkarte Erweitert und zu SHA-256 und wählen Sie dann OK, um Ihre Änderungen zu speichern.

6

Öffnen Sie die folgende URL auf dem internen ADFS-Server, um die Datei herunterzuladen: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.

7

Speichern Sie die Datei auf Ihrem lokalen Computer.

Nächste Maßnahme

Sie können nun die ADFS-Metadaten aus dem Verwaltungsportal wieder in Cisco Webex importieren.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Cisco Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter. Nun können Sie sie in Ihre Cisco Webex-Organisation von Control Hub importieren.

1

Wählen Sie eine Option:

  • Gehen Sie zurück zur Seite „Cisco Webex Kontrollzentrum – Verzeichnis-Metadaten exportieren“ in Ihrem Browser und klicken Sie auf Weiter.
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, wechseln Sie in https://admin.webex.com zur Kundenansicht. Gehen Sie zu Einstellungen, scrollen Sie zu Authentifizierung, wählen Sie Integrieren eines Identitätsanbieters als Drittanbieter (Advanced)und klicken Sie dann auf Nächster auf der Seite mit der vertrauenswürdigen Metadatendatei (da Sie dies bereits zuvor getan haben).
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Wenn die Metadaten nicht signiert sind, mit einem selbstsignierten Zertifikat signiert oder mit einer privaten Unternehmens-Zertifizierungsstelle (Certification Authority, ca) signiert sind, empfehlen wir, dass Sie ein von einer Zertifizierungsstelle signiertes Zertifikat in Metadaten verwenden (sicherer). Wenn das Zertifikat selbstsigniert ist, müssen Sie die weniger sichere Option auswählen.

3

Wählen Sie SSO-Verbindung testen aus., und wenn eine neue Browser-Registerkarte geöffnet wird, authentifizieren Sie sich mit dem IDP, indem Sie sich anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex Teams-Fehler weist in der Regel auf einen Fehler mit der SSO-Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Control Hub-Metadaten kopieren und in das IdP-Setup einfügen.

4

Kehren Sie zur -Browserregisterkarte zurück.Control Hub

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Maßnahme

Anhand des Verfahrens in Automatische E-Mails unterdrücken können Sie E-Mails deaktivieren, die an neue Webex Teams Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

ADFS-Fehlerbehebung

ADFS-Fehler in Windows-Protokollen

In den Windows-Protokollen wird Ihnen möglicherweise ein ADFS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn es sich hierbei um Ihre Unternehmens-E-Mail-Adresse handelt, geben Sie sie genau wie von ADFS gesendet ein. Andernfalls kann Cisco Webex den dazugehörigen Benutzer nicht finden.

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

Sie können die URL ggf. überprüfen, indem Sie zu Service navigieren > Endpunkte > Metadaten > Typ: Föderations-Metadaten in ADFS-Verwaltung.

Zeitsynchronisierung

Vergewissern Sie sich, dass die Systemuhr Ihres ADFS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie folgenden PowerShell-Befehl, um nur die Uhr für die Cisco Webex-Vertrauensstellung der vertrauenden Seite zu ändern.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Ersetzen Sie den Wert des SP EntityDescriptor-ID-Werts in der Cisco Webex-Metadatendatei. Zum Beispiel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">