Einmaliges Anmelden und Webex Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Cisco Webex-Cloud und Ihrem Identitätsanbieter (IdP) eingesetzt.

Profile

Cisco Webex unterstützt nur das SSO-Profil des Webbrowsers. Im SSO-Profil des Webbrowsers unterstützt Cisco Webex die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID-Format

Das SAML 2.0-Protokoll unterstützt mehrere NameID-Formate für die Kommunikation über einen bestimmten Benutzer. Cisco Webex unterstützt die folgenden NameID-Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für die Verwendung in Cisco Webex konfiguriert.

SingleLogout

Cisco Webex unterstützt das Profil für die Einzelabmeldung. In der Cisco Webex-App kann sich ein Benutzer von der Anwendung abmelden. Dabei wird zum Beenden der Sitzung und zum Bestätigen der Abmeldung bei Ihrem IdP das SAML-Einzelabmeldungsprotokoll verwendet. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integration von Cisco Webex Control Hub und ADFS


Die Konfigurationsanweisungen zeigen ein konkretes Beispiel einer SSO-Integration, aber keine umfassende Konfiguration für alle Möglichkeiten. So sind beispielsweise die Integrationsschritte für nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentiert. Andere Formate wie urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oder urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sind für die SSO-Integration geeignet, aber nicht in der Dokumentation enthalten.

Richten Sie diese Integration für Benutzer in Ihrer Cisco Webex Organisation ein (einschließlich Cisco Webex, Cisco Webex Meetings und anderer Dienste, die über den Cisco Webex Control Hub verwaltet werden). Wenn Ihre Webex-Site in den Cisco Webex Control Hub integriert ist, übernimmt die Webex-Site die Benutzerverwaltung. Wenn Sie so nicht auf Cisco Webex Meetings zugreifen können und es nicht in Cisco Webex Control Hub verwaltet wird, müssen Sie eine separate Integration vornehmen, um SSO für Cisco Webex Meetings zu aktivieren. (Weitere Informationen über die SSO-Integration in der Site-Administration finden Sie unter Configure Single Sign-On for Webex[Konfigurieren von Single Sign-On für Cisco WebEx Site].)

Je nachdem, was in den Authentifizierungsmechanismen in ADFS konfiguriert ist, kann die integrierte Windows-Authentifizierung (IWA) standardmäßig aktiviert sein. Wenn sie aktiviert ist, werden Anwendungen, die über Windows gestartet werden (beispielsweise Webex und Cisco Verzeichniskonnektor) als der Benutzer authentifiziert, der angemeldet ist, unabhängig davon, welche E-Mail-Adresse bei der ursprünglichen Eingabeaufforderung für die E-Mail-Adresse angegeben wurde.

Herunterladen der Cisco Webex-Metadaten auf Ihr lokales System

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und scrollen Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Name der Cisco Webex-Metadatendatei lautet idb-meta-<org-ID>-SP.xml.

Installieren der Cisco Webex-Metadaten in ADFS

Vorbereitungen

Cisco Webex Control Hub unterstützt ADFS 2.x oder höher.

Windows 2008 R2 enthält nur ADFS 1.0. Sie müssen mindestens ADFS 2.x von Microsoft installieren.

Für SSO und Cisco Webex-Dienste müssen die Identitätsanbieter (IdPs) die folgende SAML 2.0-Spezifikation erfüllen:

  • Legen Sie als Attribut für das NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient fest.

  • Konfigurieren Sie eine Anforderung beim IdP, den Attributnamen uid mit einem Wert aufzunehmen, der einem im Cisco Verzeichniskonnektor ausgewählten Attribut oder dem Benutzerattribut zugeordnet ist, das dem entspricht, das im Cisco Webex-Identitätsdienst ausgewählt wurde. (Dabei kann es sich beispielsweise um E-Mail-Adressen oder Hauptbenutzernamen handeln.) Weitere Anweisungen finden Sie in den Informationen zu benutzerdefinierten Attributen in https://www.cisco.com/go/hybrid-services-directory.

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Öffnen Sie die ADFS-Managementkonsole und navigieren Sie zu Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite > Vertrauensstellung der vertrauenden Seite hinzufügen.

3

Wählen Sie im Fenster Add Relying Party Trust WizardStart.

4

Wählen Sie für Datenquelle auswählen die OptionDaten zur vertrauenden Seite aus Datei importieren aus, navigieren Sie zu der Cisco Webex Control Hub-Metadatendatei, die Sie heruntergeladen haben, und wählen Sie Weiter aus.

5

Erstellen Sie für Anzeigename angeben einen Anzeigenamen für diese Vertrauensstellung der vertrauenden Seite, z. B. Cisco Webex, und wählen Sie Weiter aus.

6

Wählen Sie für Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus und wählen Sie Weiter aus.

7

Wählen Sie für Bereit zum Hinzufügen der Vertrauensstellung die Option Weiter aus und schließen Sie das Hinzufügen der vertrauenden Seite zu ADFS ab.

Erstellen von Anspruchsregeln für die Authentifizierung aus Cisco Webex

1

Wählen Sie im ADFS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.

2

Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.

  1. Geben Sie einen Anspruchsregelnamen ein.

  2. Wählen Sie Active Directory als Attributspeicher.

  3. Ordnen Sie dem uid-Typ des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.

    Diese Regel meldet ADFS, welche Felder zur Identifizierung eines Benutzers Cisco Webex zugeordnet werden sollen. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  4. Speichern Sie Ihre Änderungen.

3

Wählen Sie erneut Regel hinzufügen, Ansprüche mit einer benutzerdefinierten Regel senden und dann Weiter.

Diese Regel stellt ADFS das Attribut „spname qualifier“ bereit, das Cisco Webex ansonsten nicht bereitstellt.

  1. Öffnen Sie Ihren Texteditor und kopieren Sie den folgenden Inhalt.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersetzen Sie URL1 und URL2 im Text wie folgt:
    • URL1 ist die entityID aus der heruntergeladenen ADFS-Metadatendatei.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieren Sie nur die entityID aus der ADFS-Metadatendatei und fügen Sie sie an der Stelle von URL1 in die Textdatei ein.

    • URL2 befindet sich in der ersten Zeile der Cisco Webex-Metadatendatei, die Sie heruntergeladen haben.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieren Sie nur die entityID aus der Cisco Webex-Metadatendatei und fügen Sie sie anstelle von URL2 in die Textdatei ein.

  2. Kopieren Sie die Regel aus Ihrem Text-Editor mit den aktualisierten URLs (beginnend bei „c:“) und fügen Sie sie in das Feld „Benutzerdefinierte Regel“ auf Ihrem ADFS-Server ein.

    Die vervollständigte Regel sollte ungefähr so aussehen:
  3. Wählen Sie zum Erstellen der Regel Fertigstellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.

4

Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.

5

Wenn das Fenster „Eigenschaften“ angezeigt wird, navigieren Sie zur Registerkarte Erweitert und zu SHA-256 und wählen Sie dann OK, um Ihre Änderungen zu speichern.

6

Öffnen Sie die folgende URL auf dem internen ADFS-Server, um die Datei herunterzuladen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.

7

Speichern Sie die Datei auf Ihrem lokalen Computer.

Nächste Schritte

Sie können nun die ADFS-Metadaten aus dem Verwaltungsportal wieder in Cisco Webex importieren.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Cisco Webex-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter. Nun können sie in Ihre Cisco Webex-Organisation aus dem Control Hub importiert werden.

Vorbereitungen

Testen Sie die SSO-Integration nicht über die Benutzeroberfläche des Identitätsanbieters (IdP). Es werden nur vom Dienstleister initiierte (SP-initiierte) Vorgänge unterstützt, daher müssen Sie den SSO-Test im Control Hub für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Wechseln Sie zurück zur Seite Cisco Webex Control Hub – Verzeichnis-Metadaten in Ihrem Browser exportieren und klicken Sie dann auf Weiter.
  • Wenn Control Hub nicht mehr in der Browser-Registerkarte geöffnet ist, wechseln Sie in https://admin.webex.com zur Kundenansicht. Gehen Sie zu Einstellungen, scrollen Sie zu Authentifizierung, wählen Sie Integrieren eines Identitätsanbieters als Drittanbieter (Advanced) aus und klicken Sie dann auf Weiter auf der Seite mit der vertrauenswürdigen Metadatendatei (da Sie dies bereits zuvor getan haben).
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Sie auf Weiter.

Wenn die Metadaten nicht signiert sind oder mit einem selbstsignierten Zertifikat oder einer Zertifizierungsstelle (CA) eines privaten Unternehmens signiert wurden, sollten Sie die Option zum Vorschreiben eines von einer Zertifizierungsstelle in den Metadaten signierten Zertifikats (sicherer) verwenden. Wenn das Zertifikat selbstsigniert ist, müssen Sie die weniger sichere Option auswählen.

3

Wählen Sie SSO-Verbindung testen aus und authentifizieren Sie sich in dem neu geöffneten Browserfenster, indem Sie sich beim IdP anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex-Fehler weist in der Regel auf ein Problem mit der SSO-Einrichtung hin. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

4

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Schritte

Anhand des Verfahrens in Automatische E-Mails unterdrücken können Sie E-Mails deaktivieren, die an neue Webex-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Cisco Webex-Vertrauensstellung der vertrauenden Seite in AD FS hinzufügen

Bei dieser Aufgabe geht es speziell darum, AD FS mit neuen SAML-Metadaten aus Cisco Webex zu aktualisieren. Es sind empfohlene Artikel verfügbar, falls Sie SSO mit AD FS konfigurieren oder (einen anderen) IdP mit SAML-Metadaten für ein neues Webex-SSO-Zertifikat aktualisieren möchten.

Vorbereitungen

Sie müssen die SAML-Metadatendatei aus Control Hub exportieren, bevor Sie die Cisco Webex-Vertrauensstellung der vertrauenden Seite in AD FS aktualisieren können.

1

Melden Sie sich am AD FS-Server mit Administratorberechtigungen an.

2

Laden Sie die SAML-Metadatendatei aus Webex in einen temporären lokalen Ordner auf dem AD FS-Server herunter, z. B. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Öffnen Sie Powershell.

4

Führen Sie Get-AdfsRelyingPartyTrust aus, um alle Vertrauensstellungen der vertrauenden Seite zu lesen.

Notieren Sie sich den TargetName-Parameter der Cisco Webex-Vertrauensstellung der vertrauenden Seite. Wir verwenden das Beispiel „Cisco Webex“, aber der Parameter auf Ihrem AD FS-Server kann davon abweichen.

5

Führen Sie Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex" aus.

Ersetzen Sie den Dateinamen und den Namen des Ziels durch die richtigen Werte aus Ihrer Umgebung.

Siehe https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Melden Sie sich bei Control Hub an und testen Sie die SSO-Integration:

  1. Rufen Sie Einstellungen auf, scrollen Sie zu Authentifizierung und klicken Sie auf Ändern.

  2. Wählen Sie Integrieren eines Identitätsanbieters als Drittanbieter (Advanced) aus und klicken Sie auf Weiter.

  3. Klicken Sie auf Weiter, um die Seite zum Importieren der IdP-Metadaten zu überspringen.

    Sie müssen diesen Schritt nicht wiederholen, weil Sie die IdP-Metadaten bereits zuvor importiert haben.

  4. Klicken Sie auf SSO-Verbindung testen.

    Ein neues Browserfenster wird geöffnet, in dem Sie auf die Seite mit dem Captcha des IdP weitergeleitet werden.

  5. Melden Sie sich an, um den Test abzuschließen.

ADFS-Fehlerbehebung

ADFS-Fehler in Windows-Protokollen

In den Windows-Protokollen wird Ihnen möglicherweise ein ADFS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn es sich hierbei um Ihre Unternehmens-E-Mail-Adresse handelt, geben Sie sie genau wie von ADFS gesendet ein, andernfalls kann Cisco Webex den dazugehörigen Benutzer nicht finden.

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

Sie können die URL ggf. verifizieren, indem Sie unter „ADFS Management“ zu Dienst > Endpunkte > Metadaten > Type:Federation Metadata navigieren.

Zeitsynchronisierung

Vergewissern Sie sich, dass die Systemuhr Ihres ADFS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie folgenden PowerShell-Befehl, um nur die Uhr für die Cisco Webex-Vertrauensstellung der vertrauenden Seite zu ändern.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Ersetzen Sie den Wert des SP EntityDescriptor-ID-Werts in der Cisco Webex-Metadatendatei. Zum Beispiel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">