Active Directory Federation Services 2.0 및 3.0로 Cisco Spark 싱글 사인온

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

싱글 사인온 및 Cisco Spark 개요

싱글 사인온(SSO)은 사용자가 자격 증명을 제공하여 한 개 이상의 응용프로그램에 액세스할 수 있도록 허용하는 세션 또는 사용자 인증 프로세스입니다. 해당 프로세스는 사용 권한이 있는 모든 응용프로그램에 대한 사용자를 인증합니다. 이는 특정 세션 중에 사용자가 응용프로그램을 전환할 때 추가 프롬프트를 제거합니다.

SAML 2.0(Security Assertion Markup Language) 페더레이션 프로토콜은 Cisco 협업 클라우드 플랫폼과 ID 제공자(IdP) 간의 SSO 인증을 제공하기 위해 사용됩니다.

 

SAML 2.0은 사용자 인증을 안전하게 처리하고, 사용자 속성 공유 및 모든 도메인에서 파트너 간의 사용자 인증을 위한 업계 프로토콜입니다.

 

SSO 기능에 대한 추가 정보는 이 문서를 참조하십시오.

프로필

SAML 2 프로토콜은 프로필의 수를 지원합니다. 이는 Spark 플랫폼에서 지원하는 웹 브라우저 SSO 프로필입니다. 웹 브라우저 SSO 프로필에서 Spark 플랫폼은 다음 바인딩을 지원합니다.

 
  • SP 시작한 POST->POST 바인딩 


     

  • SP 시작한 REDIRECT->POST 바인딩

      


 
      

NameID 형식

SAML 2 프로토콜은 특정 사용자에 대한 통신의 목적으로 NameID 형식의 번호를 지원합니다. Cisco 협업 클라우드 플랫폼은 다음 NameID 형식을 지원합니다.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP로부터 로드한 메타데이터에서 Spark 플랫폼에서 사용될 첫 번째 입력값이 구성됩니다.

싱글 로그아웃

Cisco 협업 클라우드는 싱글 로그아웃 프로필을 지원합니다. Cisco Spark 또는 WebEx 앱에서 사용자는 응용프로그램에서 로그아웃할 수 있으며, 이는 SAML 싱글 로그아웃 프로토콜을 사용하여 세션을 종료하고 IdP와 해당 로그아웃을 확인합니다.

Cisco Spark를 Active Directory Federation Services에 통합

이 문서에 있는 작업을 따라 Cisco Spark 서비스와 Active Directory Federation Services(AD FS) 2.x 및 3.x을 ID 제공자(IdP)로 사용하는 배포 간의 싱글 사인온(SSO) 통합을 구성합니다.

    

이 통합은 Cisco Spark 메시지, 미팅 및 통화의 사용자를 커버합니다. Cisco WebEx에 대한 SSO를 활성화하려면 개별 통합이 필요합니다.

시작하기 전에  
  •  
    싱글 사인온 및 Cisco Spark 서비스에 대해 IdP는 SAML 2.0 사양을 따라야 합니다. 또한 IdP는 다음 방법으로 구성되어야 합니다.
    • IdP가 양식 기반 인증을 사용하도록 구성합니다.

       

    • NameID 형식 속성을 "urn:oasis:names:tc:SAML:2.0:nameid-format:transient"으로 설정합니다. 지정하지 않는 것도 지원합니다.

       

    • SAML 어설션에 다음 속성을 포함하도록 IdP에 클레임을 구성합니다.

       

      • "uid" 속성명 - 사용자의 이메일 주소로 매핑된 값.

         

       
       
      
  •  

    또한 AD FS (2.x 또는 3.x) IdP가 다음 요구 사항을 충족하는지 확인하십시오.

      

      
 

Cisco Spark 메타데이터를 로컬 시스템으로 다운로드

        
1    전체 관리자 자격 증명을 사용하여 Cisco 클라우드 협업 관리에 로그인합니다.
2    설정을 선택한 후 인증 섹션에서 수정을 선택합니다.
3    제3자 ID 제공자 통합을 선택합니다. (고급) 그 후 다음 화면으로 이동합니다.
4    신뢰하는 메타데이터 파일을 다운로드하고 로컬 시스템에서 쉽게 찾을 수 있는 위치에 파일을 저장합니다.  

Cisco Spark 메타데이터 파일명은 idb-meta-<org-ID>-SP.xml입니다.

  
5    브라우저 탭에서 Cisco 클라우드 협업 관리 세션을 열어 둡니다. 나중에 다시 돌아가서 IdP 메타데이터를 업로드합니다.

Active Directory Federation Services에 Cisco Spark 메타데이터를 설치

다음 단계는 AD FS 2.x 및 3.x에 적용됩니다.

               
1    관리자 권한으로 AD FS 서버에 로그인합니다.
2    AD FS 관리 콘솔을 엽니다.
3    트러스트 관계 > 신뢰 당사자 트러스트를 찾습니다.
4    신뢰 당사자 트러스트 추가를 선택합니다.
5    신뢰 당사자 트러스트 추가 마법사 창에서 시작을 선택합니다.
6    데이터 소스 선택 단계에서 필드에서 신뢰 당사자에 대한 데이터 가져오기를 선택하고 다운로드한 Cisco Spark 메타데이터 파일을 찾습니다.
7    다음을 선택합니다.
8    표시명 지정 단계에서 “Cisco Spark”와 같이 이 신뢰 당사자 트러스트에 대한 표시명을 만듭니다.
9    다음을 선택합니다.
10    발행 인증 규칙 선택 단계에서 모든 사용자가 이 신뢰 당사자에게 액세스할 수 있도록 허용을 선택합니다.
11    다음을 선택합니다.
12    트러스트 추가 준비 완료 단계에서 다음을 선택하고 AD FS에 신뢰 당사자 추가하기 작업을 마칩니다.

Cisco Spark에서 인증을 허용할 클레임 규칙 만들기

                   
1    기본 AD FS 분할창에서 작성한 트러스트 관계를 선택한 후 클레임 규칙 편집을 선택합니다.
2    발행 변환 규칙 탭에서 규칙 추가를 선택합니다.
3    규칙 유형 선택 단계에서 LDAP 속성을 클레임으로 보내기를 선택한 후 다음을 선택합니다.
4    클레임 규칙 이름을 입력합니다.
5    Active Directory를 속성 스토어로 선택합니다.
6    이메일 주소 LDAP 속성을 uid 나가는 클레임 유형으로 매핑합니다.  

이 규칙은 사용자를 식별하기 위해 AD FS 어떤 필드가 Cisco Spark로 매핑되었는지를 알립니다. 표시된 대로 정확히 나가는 클레임 유형을 적습니다.

  


  
7    변경 사항을 저장합니다.
8    규칙 추가를 다시 선택합니다.
9    사용자 지정 규칙을 사용하여 클레임 보내기를 선택한 후 다음을 선택합니다.

이 규칙은 AD FS에 Cisco Spark에서 제공하지 않는 “spname qualifier” 속성을 제공합니다.

10    클레임 규칙 이름을 제공한 후 여기를 클릭하여 메타데이터를 다운로드합니다.
11    파일을 압축 해제하고 텍스트 편집기에서 엽니다.      

텍스트에서 두 개의 URL(URL1 및 URL2)을 교체합니다.

  
  • URL1은 AD FS 웹 프록시를 배포하는 동안 작성한 공개적으로 연결할 수 있는 AD FS URL입니다. 이 URL은 사용자가 Cisco Spark 서비스로 인증되는 모든 위치에서 연결할 수 있어야 합니다.
  • URL2는 이미 다운로드한 Cisco Spark 메타데이터 파일에 있는 첫 번째 줄에서 찾을 수 있습니다. 이는 다음 예제와 같이 나타납니다. URL을 복사하고 텍스트 파일에 붙여넣기하여 URL2을 바꿉니다.

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59"> 

12    업데이트된 URL을 사용하여 텍스트 편집기("c:"로 시작됨)에서 규칙을 복사하고 AD FS 서버에 있는 사용자 정의 규칙 상자에 붙여넣습니다.
완료된 규칙은 다음과 같습니다.


 
13    마침을 선택하여 규칙을 만들고 클레임 규칙 편집 창을 종료합니다.
14    기본 창에서 신뢰 당사자 트러스트를 선택한 후 오른쪽 분할창에서 등록 정보를 선택합니다.
15    등록 정보 창이 나타나면 고급 탭을 찾고 SHA-1을 선택합니다.
16    변경 사항을 저장하려면 확인을 선택합니다.

Active Directory Federation Services 메타데이터 다운로드 및 수정

       
1    내부 AD FS 서버에서 다음 URL을 찾습니다. https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

올바르게 서식화된 XML 파일을 찾기 위해 페이지를 오른쪽 클릭하고 페이지 리소스를 확인해야 할 수도 있습니다.

2    AD FS 메타데이터 파일을 수정하여 XML에서 지원되지 않는 속성을 제거합니다.
  • AD FS 메타데이터 파일에 다음 항목만 유지합니다.
    • <EntityDescriptor>

       

    • <IDPSSODescriptor>

       

    • <ContactPerson>

       

    다른 모든 항목은 삭제할 수 있습니다.
  • 첫 번째 ds:Signature 태그부터 SPSSODescriptor까지 모든 메타데이터를 삭제합니다.
    하이라이트된 메타데이터는 숨겨지고 예제로 유지됩니다.


3    IDPSSODescriptor 태그 이후에는 아무 것도 수정하지 마십시오.
4    변경 사항을 저장합니다.
다음에 수행할 작업

 

관리 포털에서 AD FS 메타데이터를 다시 Cisco Spark로 가져오기할 준비가 되었습니다.

  

IdP 메타데이터 가져오기 및 테스트 후에 싱글 사인온 활성화

 

Cisco Spark 메타데이터를 내보내기한 후 IdP를 구성하고 해당 IdP 메타데이터를 로컬 시스템으로 다운로드하면 Cisco Spark 조직으로 가져오기할 준비가 됩니다.

  
        
1    클라우드 협업 관리 – 디렉토리 메타데이터 내보내기에 로그인된 페이지에서 브라우저 또는 탭으로 돌아간 후 다음을 클릭합니다.
2    IdP 메타데이터 가져오기 페이지에서 IdP 메타데이터 파일을 페이지로 드래그하고 드롭하거나 파일 찾아보기 옵션을 사용하여 메타데이터 파일을 찾고 업로드합니다.

공개적으로 서명되고 신뢰할 수 있는 인증서를 사용하는 서비스 공급자에 대해 메타데이터에서 인증 기관이 서명한 인증서 필요 (보다 안전)를 사용할 것을 권장합니다.

3    다음을 클릭합니다.
4    SSO 연결 테스트를 선택하고 새로운 브라우저 탭이 열리면 로그인하여 IdP로 인증합니다.

인증 오류의 일반적인 원인은 자격 증명과 관련된 문제입니다. 사용자이름 및 비밀번호를 확인한 후 다시 시도하십시오.

Cisco Spark 또는 WebEx 오류는 일반적으로 SSO 설정과 관련된 문제를 의미합니다. 이러한 경우, 해당 단계를 다시 실행합니다. 특히 Cisco Spark 메타데이터를 IdP 설정에 복사하고 붙여넣는 단계를 주의하십시오.

5    Cisco 클라우드 협업 관리 브라우저 탭으로 돌아갑니다.
  • 테스트가 성공적이면 이 테스트에 성공했습니다를 선택합니다. 싱글 사인온 옵션을 활성화하고 다음을 클릭합니다.
  • 테스트에 실패하면 이 테스트에 실패했습니다를 선택합니다. 싱글 사인온 옵션을 비활성화하고 다음을 클릭합니다.

Active Directory Federation Services 문제 해결하기

Windows 로그에 있는 AD FS 오류

   

Windows 로그에서 AD FS 이벤트 로그 오류 코드 364를 볼 수도 있습니다. 이벤트 세부 사항은 유효하지 않은 인증서를 식별합니다. 이러한 경우, AD FS 호스트는 포트 80에 있는 방화벽을 통해 인증서의 유효성을 검증할 수 없습니다.

  

인증 정책

   
다음 시나리오에서 인증 문제가 발생할 수도 있습니다.
  •  

    리버스 프록시가 클라이언트를 인트라넷에 위치한 것처럼 식별합니다.

      

  •  

    모바일 장치에 WIA 인증 팝업 NTLM 대화 상자가 포함됩니다.

      

  
  

양식이 삽입된 브라우저를 통과하지 않습니다. 결과적으로 로그인할 방법이 없는 하얀 화면이 나타납니다.

  

모바일 클라이언트에 대해 엑스트라넷은 양식 인증으로 설정되어야 합니다. 모바일 장치에 있는 Cisco Spark 앱은 삽입된 브라우저를 사용하여 리디렉트되어야 합니다. 양식은 삽입된 브라우저에서 요구하는 사항입니다.

  
사용자가 로그인할 때 모바일 장치에서 하얀 화면을 표시하는 경우, 해당 장치는 필요한 HTML 양식 인증 페이지를 수신하지 않습니다. 해당 문제를 해결하려면:
  •  

    Wi-Fi가 아닌 이동 통신 사업자의 데이터 플랜을 사용하는 동안 장치가 인증되도록 설정합니다.

      

  •  

    엑스트라넷이 양식 인증되도록 ADFS 인증 정책의 인증 방법을 구성합니다.

      

  

장치에서 여전히 하얀색 화면을 표시하는 경우, ADFS 호스트에 리버스 프록시가 올바르게 구성되지 않았을 수도 있습니다. 모든 장치는 인트라넷에 위치한 것처럼 표시됩니다. 리버스 프록시를 구성할 수 없는 경우, 이 포트에서 단계에 따라 혼합된 환경에서 ADFS 양식 인증을 실행하기 위한 그룹 정책을 설정합니다.

  

페더레이션 ID

페더레이션 ID는 대소문자를 구분합니다. 조직 이메일 주소인 경우, AD FS에서 발송한 것과 동일하게 입력하십시오. 그렇지 않으면 Cisco Spark는 일치하는 사용자를 찾을 수 없습니다.

 

사용자 정의 클레임 규칙은 발송하기 전에 LDAP 속성을 정상화하기 위해 쓸 수 없습니다.

 

환경에서 설정한 ADFS 서버에서 메타데이터를 가져오기합니다.

 

필요한 경우 ADFS 관리에서 서버 > 엔드포인트 > 메타데이터 > 유형: 페더레이션 메타데이터를 탐색하여 URL을 인증할 수 있습니다.

  

시간 동기화

   

AD FS 서버의 시스템 시계가 네트워크 시간 프로토콜(NTP)을 사용하는 신뢰할 수 있는 인터넷 시간 소스와 동기화되었는지 확인하십시오. 다음 PowerShell 명령어를 사용하여 Cisco Spark 신뢰 당사자 트러스트 관계 전용의 시계를 조절합니다.

  

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

  

16진수 값은 귀하의 환경에 대해 고유합니다. Cisco Spark 메타데이터 파일에 있는 SP EntityDescriptor ID 값에서 해당 값을 교체하십시오. 예:

  
 
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">
  
  
 

Attachments

    Outcomes