使用 Active Directory Federation Services 2.0 和 3.0 实现 Cisco Spark 单点登录

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

单点登录和 Cisco Spark 概述

单点登录 (SSO) 是一种会话或用户验证的流程,允许用户通过提供凭证来访问一个或多个应用程序。 此流程能够为用户已获得授权的所有应用程序验证用户。 这样用户在特定会话期间切换应用程序时,不会再看到额外提示。

安全断言标记语言 (SAML 2.0) 联合协议用于提供 Cisco Collaboration Cloud 平台与您的身份提供程序 (IdP) 之间的 SSO 验证。

 

SAML 2.0 是一个用于在跨域合作伙伴之间安全地处理用户验证、共享用户属性及用户授权的行业协议。

 

有关 SSO 功能的更多信息,请参阅本文。

档案

SAML 2.0 协议支持多种档案,Spark 平台只支持 Web 浏览器 SSO 档案。 在 Web 浏览器 SSO 档案中,Spark 平台支持下列绑定:

 
  • SP 发起的 POST->POST 绑定 


     

  • SP 发起的 REDIRECT->POST 绑定

      


 
      

NameID 格式

为了传达特定用户的信息,SAML 2.0 协议支持多种 NameID 格式。 Cisco Collaboration Cloud 平台支持下列 NameID 格式。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

在您从 IdP 加载的元数据中,第一个条目是为 Spark 平台应用而配置的。

单点注销

Cisco Collaboration Cloud 支持单点注销档案。 当用户在 Cisco Spark 或 WebEx 应用程序中注销时,系统会使用 SAML 单点注销协议来结束会话并与您的 IdP 确认该注销操作。

集成 Cisco Spark 与 Active Directory Federation Services

执行本文中的任务,以配置 Cisco Spark 服务与使用 Active Directory Federation Services (AD FS) 2.x 和 3.x 作为身份提供程序 (IdP) 的部署之间的单点登录 (SSO) 集成。

    

此集成涵盖了 Cisco Spark 的消息、会议和电话服务的用户。 要启用 Cisco WebEx 的 SSO,则需要进行单独集成。

准备工作  
  •  
    对于单点登录和 Cisco Spark 服务,IdP 必须遵循 SAML 2.0 规范。 此外,IdP 必须按以下方式进行配置:
    • 将 IdP 配置为使用“基于表单”的验证。

       

    • 将“NameID 格式”属性设为“urn:oasis:names:tc:SAML:2.0:nameid-format:transient”,我们也支持“unspecified”。

       

    • 配置 IdP 声明,以在 SAML 断言中包含以下属性:

       

      • 值映射到用户电子邮件地址的“uid”属性名称。

         

       
       
      
  •  

    此外,请确保您的 AD FS(2.x 或 3.x)IdP 满足下面这些要求:

      

      
 

将 Cisco Spark 元数据下载到本地系统

        
1    使用完整的管理员凭证登录 Cisco Cloud Collaboration Management
2    选择“设置”,然后选择“验证”部分中的“修改”。
3    选择“集成第三方身份提供程序”。 (高级)并转到下一屏幕。
4    下载可信的元数据文件并将其保存到本地系统上易于查找的位置。  

Cisco Spark 元数据文件名为 idb-meta-<org-ID>-SP.xml

  
5    使 Cisco Cloud Collaboration Management 会话在浏览器标签页中保持打开状态;稍后您需要返回到此会话并上传您的 IdP 元数据。

在 Active Directory Federation Services 中安装 Cisco Spark 元数据

这些步骤适用于 AD FS 2.x 和 3.x。

               
1    使用具有管理员权限的凭证登录 AD FS 服务器。
2    打开 AD FS 管理控制台。
3    浏览到“信任关系 > 依赖方信任”。
4    选择“添加依赖方信任”。
5    从“添加依赖方信任向导”窗口中选择“开始”。
6    在“选择数据源”步骤中,选择“通过文件导入依赖方数据”,然后浏览到您下载的 Cisco Spark 元数据文件。
7    选择“下一步”。
8    在“指定显示名称”步骤中,为该依赖方信任创建显示名称,例如“Cisco Spark”。
9    选择“下一步”。
10    在“选择颁发授权规则”步骤中,选择“允许所有用户访问该依赖方”。
11    选择“下一步”。
12    在“可以添加信任”步骤中,选择“下一步。至此,向 AD FS 添加依赖方信任的操作完成。

创建声明规则以允许从 Cisco Spark 进行验证

                   
1    在 AD FS 主面板中,选择您创建的信任关系,然后选择“编辑声明规则”。
2    从“颁发转换规则”标签页中,选择“添加规则”。
3    在“选择规则类型”步骤中,选择“以声明形式发送 LDAP 属性”,然后选择“下一步”。
4    输入“声明规则名称”。
5    选择 Active Directory 作为“属性存储库”。
6    将 LDAP 属性“电子邮件地址”映射到“uid”出站声明类型。  

此规则告诉 AD FS 将哪些字段映射到 Cisco Spark 以识别用户。 出站声明类型的拼写要与显示的完全相同。

  


  
7    保存更改。
8    再次选择“添加规则”。
9    选择“使用自定义规则发送声明”,然后选择“下一步”。

此规则用于为 AD FS 提供“spname qualifier”属性,而 Cisco Spark 不提供这一属性。

10    提供“声明规则名称”,然后单击此处下载元数据
11    解压该文件,然后使用文本编辑器将其打开。      

替换文本中的两个 URL(URL1 和 URL2)。

  
  • URL1 是您在部署 AD FS Web 代理时创建的可公开访问的 AD FS URL。 此 URL 必须能够从任何地方进行访问,因为用户需要借此向 Cisco Spark 服务进行认证。
  • URL2 出现在您下载的 Cisco Spark 元数据文件的第一行。 类似于以下示例。 只需复制 URL,然后粘贴到文本文件中以替换 URL2。

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59"> 

12    完成 URL 的更新后,从文本编辑器中复制该规则(从“c:”处开始),然后将它粘贴到 AD FS 服务器上的自定义规则框中。
完整的规则应类似以下示例:


 
13    选择“完成”以创建该规则,然后退出“编辑声明规则”窗口。
14    选择主窗口中的“依赖方信任”,然后选择右侧面板中的“属性”。
15    在显示的“属性”窗口中,浏览到“高级”标签页,然后选择 SHA-1
16    选择“确定”以保存更改。

下载和修改 Active Directory Federation Services 元数据

       
1    在内部 AD FS 服务器上访问以下 URL: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

您可能需要右键单击该页面并查看页面源代码,才能得到正确格式的 XML 文件。

2    修改 AD FS 元数据文件,从 XML 中删除不受支持的属性。
  • 仅保留 AD FS 元数据文件中的下列条目:
    • <EntityDescriptor>

       

    • <IDPSSODescriptor>

       

    • <ContactPerson>

       

    所有其他条目都可以删除。
  • 删除从第一个 ds:Signature 标记直到 SPSSODescriptor(含)的所有元数据。
    高亮元数据为折叠显示,此处只用作示例。


3    请勿改动 IDPSSODescriptor 标记之后的任何内容。
4    保存更改。
后续步骤

 

您现在已准备就绪,可以从管理门户将 AD FS 元数据重新导入到 Cisco Spark 中。

  

导入 IdP 元数据并在测试后启用单点登录

 

导出 Cisco Spark 元数据,配置 IdP,并将 IdP 元数据下载到本地系统后,您便准备就绪,可以将该元数据导入到 Cisco Spark 组织中。

  
        
1    返回到您登录到 Cloud Collaboration Management 的“导出目录元数据”页面的浏览器或标签页,然后单击“下一步”。
2    在“导入 IdP 元数据”页面中,将 IdP 元数据文件拖放到该页面,或使用文件浏览器选项来找到和上传该元数据文件。

对于使用公开签署的受信任证书的服务商,我们建议您勾选“要求在元数据中提供由认证中心签署的证书(更安全)”。

3    单击“下一步”。
4    选择“测试 SSO 连接”,当打开新的浏览器标签页时,登录并使用 IdP 进行验证。

验证出错的一个常见原因是凭证有问题。 请检查用户名和密码,然后重试。

Cisco Spark 或 Webex 出错往往是因为 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Cisco Spark 元数据复制粘贴到 IdP 设置中的步骤。

5    返回到 Cisco Cloud Collaboration Management 浏览器标签页。
  • 如果测试成功,选择“测试成功”。 启用“单点登录”选项并单击“下一步”。
  • 如果测试失败,选择“测试失败”。 禁用“单点登录”选项并单击“下一步”。

Active Directory Federation Services 疑难解答

Windows 日志中的 AD FS 错误

   

在 Windows 日志中,您可能会看到 AD FS 事件日志错误代码 364。 事件详细信息指出证书无效。 在此类情况下,表示不允许 AD FS 主机通过防火墙端口 80 验证证书。

  

验证策略

   
在以下场景中,可能会遇到验证问题:
  •  

    您的逆向代理将客户端识别为内部网客户端。

      

  •  

    移动设备上出现了用于 WIA 验证的 NTLM 弹出对话框。

      

  
  

表单没有传递到嵌入式浏览器。 结果显示白屏,无法登录。

  

对于移动客户端,外网必须设置为表单验证。 移动设备上的 Cisco Spark 应用程序需要使用嵌入式浏览器进行重定向。 而嵌入式浏览器需要表单。

  
如果用户在移动设备上登录时显示白屏,说明该设备没有接收到所要求的 HTML 表单验证页面。 问题解决方法:
  •  

    将设备设置为使用电信运营商流量套餐的流量来进行验证,而不是 Wi-Fi。

      

  •  

    将“AD FS 验证策略”的外网验证方法配置为“表单验证”。

      

  

如果设备仍然显示白屏,可能是因为 AD FS 主机的逆向代理配置不正确。 导致所有设备均被视为内部网设备。 如果无法配置逆向代理,请遵循本文的步骤设置群组策略,以在混合环境中实施 AD FS 表单验证。

  

联合 ID

“联合 ID”区分大小写。 如果这是组织的电子邮件地址,请确保输入的值与 AD FS 发送的完全相同,否则 Cisco Spark 无法找到匹配的用户。

 

无法编写自定义声明规则,以在 LDAP 属性发送前对其进行规范化处理。

 

从您在环境中设置的 AD FS 服务器导入元数据。

 

如有必要,您可以验证 URL:在“AD FS 管理”中导航至“服务 > 端点 > 元数据 > 类型:联合元数据”。

  

时间同步

   

确保您的 AD FS 服务器的系统时钟已经同步到使用网络时间协议 (NTP) 的可靠因特网时间源。 请使用以下 PowerShell 命令来调整时钟偏移(仅适用于 Cisco Spark 依赖方信任关系)。

  

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

  

此十六进制值对于您的环境而言是唯一的。 请将该值替换为 Cisco Spark 元数据文件中 SP EntityDescriptor ID 值。 例如:

  
 
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">
  
  
 

Attachments

    Outcomes