Einmaliges Anmelden und Webex Control Hub

Die einmalige Anmeldung ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Verbandsprotokoll zur Sicherheitshinweise Markup Language (SARL 2,0) dient dazu, SSO Authentifizierung zwischen der Cisco Webex und Ihrem Identitätsanbieter (IDP) bereitzustellen.

Profile

Cisco Webex Teams unterstützt nur SSO Profil des Webbrowsers. Im Webbrowser SSO Profil Cisco Webex Teams die folgenden Bindungen:

  • SP initiierte POST -> POST-Bindung

  • SP initiierte REDIRECT -> POST-Bindung

NameID-Format

Das SINL 2,0 unterstützt mehrere Namensformate für die Kommunikation über einen bestimmten Benutzer. Cisco Webex Teams unterstützt die folgenden NameID Formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In den Metadaten, die Sie von Ihrem IDP laden, ist der erste Eintrag für die Verwendung in Cisco Webex konfiguriert.

SingleLogout

Cisco Webex Teams unterstützt das Einzelausmeldesprofil. In der Cisco Webex Teams kann sich ein Benutzer über die Anwendung abmelden, die das Protokoll SASL Single Logout verwendet, um die Sitzungen zu beenden und zu bestätigen, dass Sie sich mit Ihrem IDP abmelden. Stellen Sie sicher, dass Ihr IdP für SingleLogout konfiguriert ist.

Integrieren Cisco Webex Control Hub mit ADFS


Die Konfigurationleitfaden zeigen ein bestimmtes Beispiel für SSO Integration an, bieten aber keine erschöpfende Konfigurationen für alle Möglichkeiten. Beispielsweise werden die Integrationsschritte für NURIID-Format urn: Oasis: Namen: TC: SONL: 2.0: NameID-Format: Transient dokumentiert. Andere Formate wie urn : Oasis: Namen: TC: SONL: 1.1: NameID-Format: nicht spezifiziert oder urn: Oasis: names: TC: SONL: 1.1: NameID-Format: EmailAddress wird für die SSO Integration verwendet, ist jedoch nicht der Umfang unserer Dokumentation.

Richten Sie diese Integration für Benutzer in Ihrer Cisco Webex ein (einschließlich Cisco Webex Teams, Cisco Webex Meetings und anderer Dienste, die in Cisco Webex Control Hub verwaltet werden). Wenn Ihr Webex-Site in Cisco Webex Control Hub integriert ist, erbt die Webex-Site die Benutzerverwaltung. Wenn Sie auf diese Weise keinen Zugriff auf Cisco Webex Meetings haben und dieser nicht in Cisco Webex Control Hub verwaltet wird, müssen Sie eine separate Integration durchführen, um SSO für Cisco Webex Meetings zu aktivieren. (Siehe Konfigurieren Sie die Einmalanmeldung für Webex für weitere Informationen in SSO Integration in Site-Administration.)

Je nachdem, was in den Authentifizierungsmechanismen in ADFS konfiguriert ist, kann die integrierte Windows Authenticization (IWA) standardmäßig aktiviert werden. Wenn diese Option aktiviert ist, authentifizieren sich Anwendungen, die über Windows gestartet werden (z. B. Webex Teams und Cisco Verzeichniskonnektor) als Benutzer, die sich angemeldet haben, unabhängig davon, welche E-Mail-Adresse während der ersten Eingabeaufforderung eingegeben wird.

Laden Sie die Cisco Webex Metadaten auf Ihr lokales System herunter

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Einstellungen und blättern Sie zu Authentifizierung.

2

Klicken Sie auf Ändern, dann auf Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und dann auf Weiter.

3

Laden Sie die Metadatendatei herunter.

Der Dateiname der Cisco Webex Metadaten ist Idbmeta-<org-ID>SP. XML.

Cisco Webex Metadaten in ADFS installieren

Vorbereitungen

Cisco Webex Control Hub unterstützt ADFS 2 .x oder höher.

Windows 2008 R2 umfasst nur ADFS 1,0. Sie müssen ein% von ADFS 2 .x von Microsoft installieren.

Für SSO und Cisco Webex müssen Identitätsanbieter (IdPs) der folgenden SORL 2,0 entsprechen:

  • Setzen Sie das Attribut NameID Format auf urn: Oasis: names: TC: SONL: 2.0: NameID-Format:transient

  • Konfigurieren Sie einen Anspruch auf dem IDP so, dass er den Attributattribut enthält, der dem Attribut zugeordnet ist, das in Cisco Verzeichniskonnektor abgebildet ist, oder das Attribut des Benutzers, das mit dem übereinstimmt, das in der Cisco Webex Identitätsdienst ausgewählt ist. (Dieses Attribut kann z. B. E-Mail-Adressen oder Nutzername sein.) Weitere Informationen finden Sie in den benutzerdefinierten Attributinformationen https://www.cisco.com/go/hybrid-services-directory .

1

Melden Sie sich am ADFS-Server mit Administratorberechtigungen an.

2

Öffnen Sie die Administrationsverwaltung des ADFS und suchen Sie in Vertrauensbeziehungen. > Vertrauenden von Parteien > Vertrauensvertrauen von Vertrauen.

3

Wählen Sie im Fenster Add Relying Party Trust WizardStart.

4

Wählen Sie für die ausgewählte Datenquelledie Option Daten über den Benutzer aus einer Datei importieren aus, Durchsuchen Sie die Cisco Webex Control Hub, die Sie heruntergeladen haben, und wählen Sie weiter aus.

5

Um den Anzeigennamen anzugeben, erstellen Sie einen Anzeigenamen für diesen Vertrauensvertrauen wie Cisco Webex, und wählen Sie weiter aus .

6

Wählen Sie für Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus, und wählen Sie Weiter aus.

7

Wenn Sie bereit sind, Vertrauen hinzuzufügen, klicken Sie auf weiter und das Hinzufügen von Vertrauen zu ADFS beenden.

Erstellen Sie Regeln zum Anfordern von Cisco Webex

1

Wählen Sie im ADFS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.

2

Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.

  1. Geben Sie einen Anspruchsregelname.

  2. Wählen Sie Active Directory als Attributspeicher.

  3. Ordnen Sie dem uid-Typ des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.

    Diese Regel meldet ADFS, welche Felder auf Cisco Webex, um einen Benutzer zu identifizieren. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  4. Speichern Sie Ihre Änderungen.

3

Wählen Sie erneut Regel hinzufügen, Ansprüche mit einer benutzerdefinierter Regel senden und dann Weiter.

Diese Regel stellt ADFS das Attribut "SpName Qualifier" zur Verfügung, das Cisco Webex ansonsten nicht bereitstellt.

  1. Öffnen Sie Ihren Texteditor und kopieren Sie den folgenden Inhalt.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersetzen Sie URL1 und URL2 im Text wie folgt:
    • URL1 ist die entityID aus der heruntergeladenen ADFS-Metadatendatei.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieren Sie nur die entityID aus der ADFS-Metadatendatei und fügen Sie sie an der Stelle von URL1 in die Textdatei ein.

    • Url2 befindet sich in der ersten Zeile der Cisco Webex, die Sie heruntergeladen haben.

      Ihnen wird ein Wert ähnlich des folgenden Texts angezeigt: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieren Sie nur die EntityID aus der Cisco Webex Metadatendatei und geben Sie Sie in die Textdatei ein, um url2 zu ersetzen.

  2. Kopieren Sie Regel aus Ihrem Text-Editor mit den aktualisierten URLs (beginnend bei „c:“) und fügen Sie sie in das Feld „benutzerdefinierte Regel“ auf Ihrem ADFS-Server ein.

    Die vervollständigte Regel sollte ungefähr so aussehen:
  3. Wählen Sie zum Erstellen der Regel Fertig stellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.

4

Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.

5

Wenn das Fenster „Eigenschaften“ angezeigt wird, navigieren Sie zur Registerkarte Erweitert und zu SHA-256 und wählen Sie dann OK, um Ihre Änderungen zu speichern.

6

Öffnen Sie die folgende URL auf dem internen ADFS-Server, um die Datei herunterzuladen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.

7

Speichern Sie die Datei auf Ihrem lokalen Computer.

Nächste Maßnahme

Sie sind bereit, die ADFS Metadaten wieder in zu Cisco Webex aus dem Managementportal zu importieren.

Importieren der IdP-Metadaten und Aktivieren der einmaligen Anmeldung nach einem Test

Nachdem Sie die Cisco Webex Metadaten exportiert haben, konfigurieren Sie Ihren IDP und laden Sie die IDP Metadaten auf Ihr lokales System herunter. Sie sind bereit, Sie über den Control Hub in Ihre Cisco Webex zu importieren.

Vorbereitungen

Testen Sie SSO Integration nicht über die Schnittstelle zum Identitätsanbieter (IDP). Wir unterstützen nur Dienstleister initiierten (mit SP initiierten) strömen, daher müssen Sie den Control Hub SSO Test für diese Integration verwenden.

1

Wählen Sie eine Option:

  • Kehren Sie zur Seite Cisco Webex Control Hub – in Ihrem Browser zurück, und klicken Sie dann auf weiter.
  • Wenn Control Hub nicht mehr in der Registerkarte Browser geöffnet ist, gehen Sie aus der Kundenperspektive in https://admin.webex.comzu Einstellungen, Blättern Sie zu Authentifizierung, wählen Sie integrieren eines Identitätsanbieters von Drittanbietern (erweitert) aus, und klicken Sie dann auf "auf vertrauenswürdige Metadatendatei" auf "weiter".
2

Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen. Klicken Nächster.

Wenn die Metadaten nicht signiert sind, mit einem selbstsignierten Zertifikat signiert sind oder mit einer privaten Unternehmenszertifikatsbehörde (ca) signiert sind, empfehlen wir, dass Sie ein Zertifikat benötigen, das von einer Zertifizierungsstelle in Metadaten signiert wurde (sicherer). Wenn das Zertifikat selbstsigniert ist, müssen Sie die weniger sichere Option auswählen.

3

Wählen Sie SSO Verbindung testen, und wenn sich eine neue BrowserRegisterkarte öffnet, authentifizieren Sie sich mit dem IDP, indem Sie sich anmelden.


 

Wenn Sie einen Authentifizierungsfehler erhalten, kann es ein Problem mit den Anmeldeinformationen geben. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Webex Teams Fehler bedeutet normalerweise ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut durch die Schritte, insbesondere die Schritte, die Sie kopieren, und geben Sie die Cisco Control Hub Metadaten in das IDP Setup ein.

4

Kehren Sie zur Registerkarte Control Hub zurück.

  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmalige Anmeldung und klicken Sie auf Weiter.

Nächste Maßnahme

Sie können die Vorgehensweise beim unterdrücken automatisierter E-Mails befolgen, um E-Mails zu deaktivieren, die an neue Webex Teams in Ihrer-Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

ADFS-Fehlerbehebung

ADFS-Fehler in Windows-Protokollen

In den Windows-Protokollen wird Ihnen möglicherweise ein ADFS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem ADFS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn dies ihre organisatorische E-Mail-Adresse ist, geben Sie Sie genau so ein, wie Sie von ADFS gesendet wird, oder Cisco Webex den passenden Benutzer nicht finden.

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

Sie können den URL gegebenenfalls überprüfen, indem Sie zu -Dienste navigieren > Endpunkte > Metadaten > Typ: Metadaten des Bundes in ADFS Management.

Zeitsynchronisierung

Vergewissern Sie sich, dass die Systemuhr Ihres ADFS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie den Befehl PowerShell, um die Uhr nur für die Vertrauensbeziehung Cisco Webex zu verlassen.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Bitte ersetzen Sie den Wert aus dem Werdewert von SP entityDeskriptor in der Cisco Webex Metadatdatei. Zum Beispiel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">