Einmaliges Anmelden in Cisco Spark mit Active Directory Federation Services 2.0 und 3.0

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Überblick über einmaliges Anmelden (Single Sign-On) und Cisco Spark

Das einmalige Anmelden ist ein Sitzungs- oder Benutzerauthentifizierungsvorgang, bei dem ein Benutzer für den Zugriff auf eine oder mehrere Anwendungen Anmeldeinformationen angeben kann. Bei dem Vorgang werden Benutzer für alle Anwendungen authentifiziert, für die sie über Berechtigungen verfügen. Dadurch werden weitere Eingabeaufforderungen vermieden, wenn Benutzer während einer bestimmten Sitzung zwischen Anwendungen wechseln.

Das Security Assertion Markup Language (SAML 2.0) Federation-Protokoll wird für die SSO-Authentifizierung zwischen der Cisco Collaboration Cloud-Plattform und Ihrem Identitätsanbieter (IdP) eingesetzt.

 

SAML 2.0 ist ein Industrie-Protokoll für die sichere Verarbeitung der Benutzerauthentifizierung, die Freigabe von Benutzerattributen und der domänenübergreifenden Benutzerautorisierung zwischen Partnern.

 

Weitere Informationen zu den SSO-Funktionen finden Sie in diesem Artikel.

Profile

Das SAML 2-Protokoll unterstützt einige Profile, von denen die Spark-Plattform nur das Web Browser SSO-Profil unterstützt. Im Web Browser SSO-Profil unterstützt die Spark-Plattform folgende Bindungen:

 
  • SP initiierte POST->POST-Bindung 


     

  • SP initiierte REDIRECT->POST-Bindung

      


 
      

Namens-ID-Format

Das SAML 2-Protokoll unterstützt unterschiedliche NameID-Formate zur Kommunikation über einen bestimmten Benutzer. Die Cisco Collaboration Cloud-Plattform unterstützt folgende NameID-Formate.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

In den von Ihrem IdP geladenen Metadaten ist der erste Eintrag für den Einsatz der Spark-Plattform konfiguriert.

SingleLogout

Die Cisco Collaboration Cloud unterstützt das Einzelabmeldungsprofil. In Cisco Spark oder der WebEx-App kann sich ein Benutzer von der Anwendung abmelden, dabei wird zum Beenden der Sitzung und zum Bestätigen der Abmeldung bei Ihrem IdP das SAML-Einzelabmeldungsprotokoll verwendet.

Integration von Cisco Spark in Active Directory Federation Services

Befolgen Sie die Arbeitsschritte in diesem Artikel, um die Single Sign-On (SSO)-Integration zwischen den Cisco Spark-Diensten und einer Bereitstellung zu konfigurieren, bei der Active Directory Federation Services (AD FS) 2.x und 3.x als Identitätsanbieter (IdP) eingesetzt werden.

    

Die Integration umfasst Benutzer von Cisco Spark Message, Meet und Call. Zur Aktivierung von SSO für Cisco WebEx ist eine separate Integration erforderlich.

Vorbereitungen  
  •  
    Für das einmalige Anmelden und Cisco Spark-Dienste müssen die IdPs der SAML 2.0-Spezifikation entsprechen. Außerdem müssen die IdPs folgendermaßen konfiguriert werden:
    • Konfigurieren Sie den IdP so, dass er die formularbasierte Authentifizierung verwendet.

       

    • Legen Sie für das NameID-Formatattribut „;urn:oasis:names:tc:SAML:2.0:nameid-format:transient“ fest; – wir unterstützen es auch, wenn es nicht angegeben ist.

       

    • Konfigurieren Sie einen Anspruch an den IdP, damit Sie das folgende Attribut in die SAML-Assertion:

       

      • Der Attributname "uid" mit einem der E-Mail-Adresse des Benutzers zugeordneten Wert.

         

       
       
      
  •  

    Stellen Sie außerdem sicher, dass Ihr AD FS (2.x oder 3.x) IdP diese Anforderungen erfüllt:

      

      
 

Laden Sie sich die Cisco Spark-Metadaten auf Ihr lokales System herunter

        
1    Melden Sie sich mit Ihren vollständigen Administrator-Anmeldeinformationen bei Cisco Cloud Collaboration Management an.
2    Wählen Sie Einstellungen und anschließend im Bereich „Authentifizierung“ Ändern.
3    Wählen Sie Drittanbieter-Identitätsanbieter integrieren. (Erweitert) und wechseln Sie anschließend zum nächsten Bildschirm.
4    Laden Sie die vertrauenswürdige Metadatendatei herunter und speichern Sie sie an einem leicht auffindbaren Speicherort auf Ihrem lokalen System.  

Der Cisco Spark-Metadatendateiname lautet idb-meta-<org-ID>-SP.xml.

  
5    Lassen Sie Ihre Cisco Cloud Collaboration Management-Sitzung in einem Browserfenster geöffnet; Sie werden später dorthin zurückkehren, um Ihre IdP-Metadaten hochzuladen.

Installieren Sie die Cisco Spark-Metadaten in den Active Directory Federation Services

Diese Schritte gelten für AD FS 2.x und 3.x.

               
1    Melden Sie sich am AD FS-Server mit Administratorberechtigungen an.
2    Öffnen Sie die AD FS-Verwaltungskonsole.
3    Wechseln Sie zu Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite.
4    Wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen.
5    Wählen Sie im Fenster Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite Start.
6    Wählen Sie im Schritt Datenquelle auswählen Daten zur vertrauenden Seite aus Datei importieren und navigieren Sie zu der Cisco Spark-Metadatendatei, die Sie heruntergeladen haben.
7    Wählen Sie Weiter aus.
8    Erstellen Sie im Schritt Anzeigename angeben einen Anzeigenamen für diese Vertrauensstellung der vertrauenden Seite, z. B. „Cisco Spark“.
9    Wählen Sie Weiter aus.
10    Wählen Sie im Schritt Ausstellungsautorisierungsregeln wählen Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben.
11    Wählen Sie Weiter aus.
12    Wählen Sie im Schritt Bereit zum Hinzufügen der Vertrauensstellung Weiter und schließen Sie das Hinzufügen der vertrauenden Seite zu AD FS ab.

Erstellen Sie Anspruchsregeln für die Authentifizierung aus Cisco Spark

                   
1    Wählen Sie im AD FS-Hauptbereich die von Ihnen erstellte Vertrauensstellung aus und wählen Sie anschließend Anspruchsregeln bearbeiten.
2    Wählen Sie auf der Registerkarte „Ausstellungstransformationsregeln“ Regel hinzufügen.
3    Wählen Sie im Schritt „Regeltyp auswählen“ LDAP-Attribute als Ansprüche senden und klicken Sie dann auf Weiter.
4    Geben Sie einen Anspruchsregelname.
5    Wählen Sie Active Directory als Attributspeicher.
6    Ordnen Sie dem uid-Tp des ausgehenden Anspruchs das LDAP-Attribut E-Mail-Adressen zu.  

Diese Regel meldet AD FS, welche Felder zur Identifizierung eines Benutzers Cisco Spark zugeordnet werden sollen. Buchstabieren Sie die Typen der ausgehenden Ansprüche genau wie dargestellt.

  


  
7    Speichern Sie Ihre Änderungen.
8    Wählen Sie erneut Regel hinzufügen.
9    Wählen Sie Ansprüche mithilfe einer benutzerdefinierten Regel senden und klicken Sie dann auf Weiter.

Diese Regel stellt AD FS das Attribut „spname qualifier“ bereit, das Cisco Spark ansonsten nicht bereitstellt.

10    Geben Sie einen Anspruchsregelnamen an und klicken Sie dann hier, um die Metadaten herunterzuladen.
11    Entpacken Sie die Datei und öffnen Sie sie in Ihrem Text-Editor.      

Ersetzen Sie die beiden URLs (URL1 und URL2) im Text.

  
  • URL1 ist die öffentlich erreichbare AD FS-URL, die Sie beim Bereitstellen des AD FS-Webproxy erstellt haben. Diese URL muss von jedem Ort aus erreichbar sein, von dem aus Benutzer sich bei den Cisco Spark-Diensten authentifizieren.
  • URL2 ist in der ersten Zeile der Cisco Spark-Metadatendatei aufgeführt, die Sie bereits heruntergeladen haben. Sie sieht wie das folgende Beispiel aus. Kopieren Sie einfach die URL und fügen Sie sie zum Ersetzen von URL2 in die Textdatei ein.

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59"> 

12    Kopieren Sie nach der Aktualisierung der URLs die Regel auf Ihrem Text-Editor (beginnend bei "c:") und fügen Sie ihn in das Feld „benutzerdefinierte Regel“ auf Ihrem AD FS-Server ein.
Die vervollständigte Regel sollte ungefähr so aussehen:


 
13    Wählen Sie zum Erstellen der Regel Fertig stellen und schließen Sie anschließend das Fenster „Anspruchsregeln bearbeiten“.
14    Wählen Sie im Hauptfenster Vertrauensstellung der vertrauenden Seite und klicken Sie anschließend rechts auf Eigenschaften.
15    Navigieren Sie im Eigenschaften-Fenster zur Registerkarte Erweitert und wählen Sie dann SHA-1.
16    Klicken Sie auf OK, um die Änderungen zu speichern.

Laden Sie die Active Directory Federation Services-Metadaten herunter und ändern Sie sie

       
1    Wechseln Sie auf dem internen AD FS-Server zu folgender URL: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Sie müssen möglicherweise mit der rechten Maustaste auf die Seite klicken und die Seitenquelle anzeigen, damit Sie die korrekt formatierte XML-Datei erhalten.

2    Bearbeiten Sie die AD FS-Metadatendatei, um die nicht unterstützten Attribute aus der XML zu entfernen.
  • Behalten Sie in der AD FS-Metadatendatei nur folgende Einträge bei:
    • <EntityDescriptor>

       

    • <IDPSSODescriptor>

       

    • <ContactPerson>

       

    Alle anderen Einträge können gelöscht werden.
  • Löschen Sie alle Metadaten aus dem ersten ds:Signature-Tag bis einschließlich SPSSODescriptor.
    Die hervorgehobenen Metadaten werden reduziert und dienen als Beispiel.


3    Nehmen Sie keine Änderungen nach dem IDPSSODescriptor-Tag vor.
4    Speichern Sie Ihre Änderungen.
Nächste Schritte

 

Sie können nun die AD FS-Metadaten aus dem Verwaltungsportal wieder in Cisco Spark importieren.

  

Importieren Sie die IdP-Metadaten und aktivieren Sie das einmalige Anmelden nach einem Test

 

Nachdem Sie die Cisco Spark-Metadaten exportiert haben, konfigurieren Sie Ihren IdP und laden Sie die IdP-Metadaten auf Ihr lokales System herunter, nun können Sie sie in Ihre Cisco Spark-Organisation importieren.

  
        
1    Wechseln Sie zurück zu dem Browser oder zur Registerkarte, wo Sie sich auf der Seite Cloud Collaboration Management – Verzeichnis-Metadaten exportieren angemeldet haben und klicken Sie dann auf Weiter.
2    Ziehen Sie die idP-Metadatendatei auf der Idp-Metadatenimportseite entweder per Drag & Drop auf die Seite oder verwenden Sie den Dateibrowser, um zur Metadatendatei zu navigieren und sie hochzuladen.

Wir empfehlen Ihnen, die Option In Metadaten durch Zertifizierungsstelle signiertes Zertifikat anfordern (sicherer) für Dienstanbieter zu verwenden, die öffentlich signierter oder vertrauenswürdige Zertifikate einsetzen.

3    Klicken Sie auf Weiter.
4    Wählen Sie SSO-Verbindung testen und authentifizieren Sie sich in dem sich öffnenden Browserfenster durch eine Anmeldung beim IdP.

Eine häufige Ursache für einen Authentifizierungsfehler ist ein Problem mit den Anmeldeinformationen. Überprüfen Sie den Benutzernamen und das Passwort und versuchen Sie es erneut.

Die Ursache für einen Fehler mit Cisco Spark oder WebEx ist in der Regel ein Problem mit dem SSO-Setup. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Spark-Metadaten kopieren und in das IdP-Setup einfügen.

5    Kehren Sie zur Browser-Registerkarte „Cisco Cloud Collaboration Management“ zurück.
  • Wenn der Test erfolgreich war, wählen Sie Dieser Test war erfolgreich. Aktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.
  • Wenn der Test nicht erfolgreich war, wählen Sie Dieser Test war nicht erfolgreich. Deaktivieren Sie die Option für einmaliges Anmelden und klicken Sie auf Weiter.

Active Directory Federation Services – Fehlerbehebung

AD FS-Fehler in Windows-Protokollen

   

In den Windows-Protokollen wird Ihnen möglicherweise ein AD FS-Ereignisprotokolleintrag mit Fehlercode 364 angezeigt. In den Ereignisdetails ist ein ungültiges Zertifikat angegeben. In diesen Fällen wird dem AD FS-Host keine Validierung des Zertifikats durch die Firewall über Port 80 erlaubt.

  

Authentifizierungsrichtline

   
In folgenden Szenarien können Authentifizierungsprobleme auftreten:
  •  

    Ihr Reverseproxy erkennt Clients als Teil des Intranets.

      

  •  

    Das Mobilgerät ist im NTLM-Dialogfeld des WIA-Authentifizierungspopups angegeben.

      

  
  

Das Formular wird nicht an den eingebundenen Browser übergeben. Das Ergebnis ist ein weißer Bildschirm ohne Anmeldemöglichkeit.

  

Für mobile Clients muss das Extranet auf die Formularauthentifizierung eingestellt sein. Bei der Cisco Spark-App auf Mobilgeräten ist eine Weiterleitung über den eingebundenen Browser erforderlich. Der Browser benötigt Formulare.

  
Wenn nach der Anmeldung der Benutzer auf den Mobilgeräten ein weißer Bildschirm angezeigt wird, erhalten die Geräte nicht die erforderliche HTML-Formularauthentifizierungsseite. So können Sie das Problem beheben:
  •  

    Stellen Sie die Authentifizierung des Geräts von WLAN auf den Datentarif des Mobilfunkanbieters um.

      

  •  

    Konfigurieren Sie die Authentifizierungsmethoden der ADFS-Authentifizierungsrichtlinien für die Authentifizierung zwischen Extranet und Formularen.

      

  

Wird auf dem Gerät dennoch ein weißer Bildschirm angezeigt, ist der Reverseproxy auf dem ADFS-Host möglicherweise nicht korrekt konfiguriert. Alle Geräte werden als Teil des Intranets erkannt. Falls kein Reverseproxy konfiguriert werden kann, befolgen Sie die Schritte in diesem Beitrag, um eine Gruppenrichtlinie zur Implementierung einer ADFS-Formularauthentifizierung in gemischten Umgebungen festzulegen.

  

Verbund-ID

Bei der Verbund-ID wird die Groß- und Kleinschreibung beachtet. Wenn es sich hierbei um Ihre Unternehmens-E-Mail-Adresse handelt, geben Sie sie genau wie von AD FS gesendet ein, andernfalls kann Cisco Spark den dazugehörigen Benutzer nicht finden.

 

Es kann keine benutzerdefinierte Anspruchsregel zur Normalisierung des LDAP-Attributs geschrieben werden, bevor sie gesendet wird.

 

Importieren Sie Ihre Metadaten von dem ADFS-Server, den Sie in Ihrer Umgebung eingerichtet haben.

 

Sie können die URL ggf. verifizieren, indem Sie in ADFS Management zu Dienst > Endpunkte > Metadaten > Type:Federation Metadata navigieren.

  

Zeitsynchronisierung

   

Vergewissern Sie sich, dass die Systemuhr Ihres AD FS-Servers mit einer zuverlässigen Internet-Zeitquelle synchronisiert wird, die das Network Time Protocol (NTP) einsetzt. Verwenden Sie folgenden PowerShell-Befehl, um nur die Uhr für die Cisco Spark-Vertrauensstellung der vertrauenden Seite zu ändern.

  

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

  

Der Hexadezimalwert für Ihre Umgebung ist eindeutig. Ersetzen Sie den Wert des SP EntityDescriptor-ID-Werts in der Cisco Spark-Metadatendatei. Zum Beispiel:

  
 
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">
  
  
 

Attachments

    Outcomes