Cisco Spark 單一登入與 Active Directory Federation Services 2.0 及 3.0

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

單一登入及 Cisco Spark 概觀

單一登入 (SSO) 是階段作業或使用者驗證程序,允許使用者提供認證來存取一或多個應用程式。 此程序會針對使用者取得權限的所有應用程式,進行使用者驗證。 如果使用者在特定階段作業期間切換應用程式,則此程序會消除進一步的提示。

使用「安全性聲明標記語言 (SAML 2.0) 同盟通訊協定」在 Cisco Collaboration Cloud 平台和您的身分識別提供者 (IdP) 之間提供 SSO 驗證。

 

SAML 2.0 是行業通訊協定,可以安全處理使用者驗證、共用使用者屬性以及在跨網域的合作夥伴之間進行使用者授權。

 

如需 SSO 功能的進一步資訊,請參閱此文章。

設定檔

「SAML 2 通訊協定」支援一些設定檔,其中「Spark 平台」僅支援「Web 瀏覽器 SSO 設定檔」。 在「Web 瀏覽器 SSO 設定檔」中,「Spark 平台」支援下列連結:

 
  • SP 起始的 POST->POST 連結 


     

  • SP 起始的 REDIRECT->POST 連結

      


 
      

NameID 格式

「SAML 2 通訊協定」支援特定使用者採用一些 NameID 格式進行通訊。 Cisco Collaboration Cloud 平台支援下列 NameID 格式。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

在您從 IdP 載入的中繼資料中,第一個項目是設定用於「Spark 平台」。

SingleLogout

Cisco Collaboration Cloud 支援單一登出設定檔。 在 Cisco Spark 或 WebEx 應用程式中,使用者可以登出應用程式,這將使用「SAML 單一登出」通訊協定來結束階段作業並向您的 IdP 確認該登出。

將 Cisco Spark 與 Active Directory Federation Services 整合

遵循本文章中的任務,於 Cisco Spark 服務和使用 Active Directory Federation Services (AD FS) 2.x 及 3.x 來作為身分識別提供者 (IdP) 的部署之間設定「單一登入 (SSO)」整合。

    

此整合涵蓋 Cisco Spark 訊息、會議及通話的使用者。 需要單獨整合才能為 Cisco WebEx 啟用 SSO。

在開始之前  
  •  
    對於「單一登入」及 Cisco Spark 服務,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:
    • 將 IdP 設定成使用表單型驗證。

       

    • 將 NameID 格式屬性設定成「urn:oasis:names:tc:SAML:2.0:nameid-format:transient」— 我們也支援未指定。

       

    • 在 IdP 上設定宣告以將下列屬性包括在「SAML 聲明」中:

       

      • 「uid」屬性名稱,其值對映至使用者的電子郵件地址。

         

       
       
      
  •  

    此外,請確保 AD FS(2.x 或 3.x)IdP 滿足下列需求:

      

      
 

將 Cisco Spark 中繼資料下載至本端系統

        
1    使用您的完整管理員認證來登入 Cisco Cloud Collaboration Management
2    選取設定,然後從「驗證」區段中選取修改
3    選取整合協力廠商身分識別提供者。 (進階)並移至下一個螢幕。
4    下載信任的中繼資料檔,並將檔案儲存在本端系統上可以輕鬆找到的位置中。  

Cisco Spark 中繼資料檔名為 idb-meta-<org-ID>-SP.xml

  
5    讓您的 Cisco Cloud Collaboration Management 階段作業在瀏覽器標籤中保持開啟;稍後您將返回,以上傳您的 IdP 中繼資料。

在 Active Directory Federation Services 中安裝 Cisco Spark 中繼資料

這些步驟適用於 AD FS 2.x 及 3.x。

               
1    以管理員權限登入 AD FS 伺服器。
2    開啟 AD FS 管理主控台。
3    瀏覽至信任關係>依賴方信任
4    選取新增依賴方信任
5    新增依賴方信任精靈視窗中,選取啟動
6    選取資料來源步驟中,選取從檔案匯入關於依賴方的資料,然後瀏覽至您下載的 Cisco Spark 中繼資料檔。
7    選取下一步
8    指定顯示名稱步驟中,給此依賴方信任建立顯示名稱,例如「Cisco Spark」。
9    選取下一步
10    選擇發行授權規則步驟中,選取允許所有使用者存取此依賴方
11    選取下一步
12    準備新增信任步驟中,選取下一步並完成將依賴信任新增至 AD FS。

建立宣告規則以允許從 Cisco Spark 進行驗證

                   
1    在 AD FS 主面板中,選取您所建立的信任關係,然後選取編輯宣告規則
2    在「發行轉換規則」標籤上,選取新增規則
3    在「選擇規則類型」步驟中,選取將 LDAP 屬性作為宣告傳送,然後選取下一步
4    輸入宣告規則名稱
5    選取 Active Directory 作為屬性存放區。
6    E-mail-Addresses LDAP 屬性對映至 uid 傳出宣告類型。  

此規則告知 AD FS 哪些欄位要對映至 Cisco Spark 以識別使用者。 完全按所示的那樣拼寫傳出的宣告類型。

  


  
7    儲存變更。
8    再次選取新增規則
9    選取使用自訂規則來傳送宣告,然後選取下一步

此規則向 AD FS 提供「spname qualifier」屬性,而 Cisco Spark 並不另行提供。

10    提供「宣告規則名稱」,然後按一下這裡以下載中繼資料
11    解壓縮檔案並在文字編輯器中開啟檔案。      

取代文字中的兩個 URL(URL1 和 URL2)。

  
  • URL1 是您在部署 AD FS Web Proxy 期間建立並且可公開存取的 AD FS URL。 此 URL 必須可以從使用者將向 Cisco Spark 服務進行驗證的任何位置存取。
  • 可以在您已經下載的 Cisco Spark 中繼資料檔的第一行上找到 URL2。 它看起來類似於下列範例。 只複製 URL 並將其貼到文字檔,以取代 URL2。

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59"> 

12    藉由更新的 URL,從文字編輯器複製規則(開頭為「c:」),並貼到 AD FS 伺服器上的自訂規則方塊中。
完成的規則看起來應該類似如下:


 
13    選取完成以建立規則,然後結束「編輯宣告規則」視窗。
14    選取主視窗中的依賴方信任,然後選取右面板中的內容
15    當「內容」視窗出現時,瀏覽至進階標籤,然後選取 SHA-1
16    選取確定以儲存變更。

下載並修改 Active Directory Federation Services 中繼資料

       
1    瀏覽至內部 AD FS 伺服器上的下列 URL: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

您可能需要用滑鼠右鍵按一下頁面,然後檢視頁面原始碼以取得正確格式化的 XML 檔。

2    修改 AD FS 中繼資料檔,從 XML 中移除不支援的屬性。
  • 僅保留 AD FS 中繼資料檔中的下列項目:
    • <EntityDescriptor>

       

    • <IDPSSODescriptor>

       

    • <ContactPerson>

       

    可以刪除所有其他項目。
  • 刪除第一個 ds:Signature 標籤一直到 SPSSODescriptor(內含)之間的所有中繼資料。
    反白顯示的中繼資料會收合,並且用作範例。


3    請勿變更 IDPSSODescriptor 標籤後面的任何內容。
4    儲存變更。
後續步驟

 

您已準備好從管理入口網站將 AD FS 中繼資料匯入回 Cisco Spark。

  

匯入 IdP 中繼資料並在測試後啟用單一登入

 

匯出 Cisco Spark 中繼資料後,設定 IdP,然後將 IdP 中繼資料下載至本端系統,您就已準備好將中繼資料匯入 Cisco Spark 組織。

  
        
1    回到您登入 Cloud Collaboration Management – 匯出目錄中繼資料頁面的瀏覽器或標籤,然後按下一步
2    在「匯入 IdP 中繼資料」頁面上,將 IdP 中繼資料檔拖放到頁面上,或者使用檔案瀏覽器選項來尋找並上傳中繼資料檔。

對於使用公開簽署及信任憑證的服務提供者,我們建議您使用要求由憑證授權單位以中繼資料形式簽署的憑證(較安全)

3    按一下下一步
4    選取測試 SSO 連線,然後當新的瀏覽器標籤開啟時,請透過登入,向 IdP 驗證。

驗證錯誤的常見原因是認證有問題。 請檢查使用者名稱和密碼並再試一次。

Cisco Spark 或 Webex 錯誤通常表示 SSO 設定有問題。 在這種情況下,再次執行這些步驟,尤其是複製 Cisco Spark 中繼資料並貼到 IdP 設定的步驟。

5    回到 Cisco Cloud Collaboration Management 瀏覽器標籤。
  • 如果測試成功,請選取此測試已成功。 啟用「單一登入」選項並按下一步
  • 如果測試失敗,請選取此測試已失敗。 停用單一登入選項,並按下一步

Active Directory Federation Services 疑難排解

Windows 記錄中的 AD FS 錯誤

   

在 Windows 記錄中,可以看到 AD FS 事件記錄錯誤碼 364。 事件詳細資料識別無效的憑證。 在這些情況下,不允許 AD FS 主機透過防火牆上的埠 80 來驗證憑證。

  

驗證原則

   
在下列情境中,您可能會遇到驗證問題:
  •  

    您的反向 Proxy 會將用戶端視為位於企業內部網路上。

      

  •  

    給行動裝置提供了 WIA 驗證蹦現 NTLM 對話方塊。

      

  
  

表單不會傳遞至嵌入式瀏覽器。 結果是無法以任何方式登入的白色螢幕。

  

對於行動裝置使用者,企業外部網路必須設定為表單驗證。 行動裝置上的 Cisco Spark 應用程式需要使用嵌入式瀏覽器進行重新導向。 嵌入式瀏覽器需要表單。

  
當使用者登入時,如果行動裝置顯示白色螢幕,則裝置收不到所需的 HTML 表單驗證頁面。 若要解決問題,請執行下列作業:
  •  

    使用電訊廠商的資料方案(而不是 Wi-Fi)時,設定裝置進行驗證。

      

  •  

    將企業外部網路的 ADFS 驗證原則驗證方法設定為表單驗證。

      

  

如果裝置仍顯示白色螢幕,則 ADFS 主機可能未正確地設定反向 Proxy。 所有裝置看起來都像在企業內部網路上。 如果無法設定反向 Proxy,請遵循此文章中的步驟來設定群組原則,以在混合環境中實作 ADFS 表單驗證。

  

同盟 ID

「同盟 ID」區分大小寫。 如果這是您的組織電子郵件地址,請完全按 AD FS 所傳送的那樣輸入,否則 Cisco Spark 找不到相符的使用者。

 

傳送 LDAP 屬性之前,無法撰寫自訂宣告規則來正規化 LDAP 屬性。

 

從您在環境中設定的 ADFS 伺服器匯入中繼資料。

 

如果需要的話,則可以在「ADFS 管理」中導覽至服務>端點>中繼資料>類型:同盟中繼資料以驗證 URL。

  

時間同步

   

確保 AD FS 伺服器的系統時鐘會同步至使用「網路時間通訊協定 (NTP)」的可靠網際網路時間來源。 使用下列 PowerShell 指令,僅針對「Cisco Spark 依賴方信任」關係,產生時鐘偏差。

  

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

  

此十六進位值對於您的環境而言是唯一的。 請取代 Cisco Spark 中繼資料檔中的 SP EntityDescriptor ID 值。 例如:

  
 
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">
  
  
 

Attachments

    Outcomes