Inicio de sesión único y Control Hub

El Inicio de sesión único (SSO) es un proceso de autenticación de sesiones o de usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

Se utiliza el Protocolo de federación del Lenguaje de marcado de aserción de seguridad (Security Assertion Markup Language, SAML 2.0) para proporcionar autenticación de SSO entre la nube de Webex y su proveedor de servicios de identidad (IdP).

Perfiles

La aplicación de Webex solo es compatible con el explorador web SSO perfil. En el navegador web SSO perfil, la aplicación de Webex admite los siguientes enlaces:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato NameID

El protocolo SAML 2.0 proporciona soporte para varios formatos de NameID a fin de comunicar información sobre un usuario específico. La aplicación de Webex admite los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para ser utilizarla en Webex.

SingleLogout

La aplicación de Webex es compatible con el perfil de cierre de sesión único. En la aplicación de Webex, un usuario puede cerrar sesión de la aplicación, lo que utiliza el protocolo de descontación único de SAML para finalizar la sesión y confirmar que se está cierrando sesión en su IdP. Asegúrese de que el IdP esté configurado para SingleLogout.

Integrar Control Hub con ADFS

Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para el formato de “nameid” urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarán para la integración del SSO, pero están fuera del alcance de nuestra documentación.

Configure esta integración para los usuarios de su organización de Webex ( incluida la aplicación Webex, Webex Meetingsy otros servicios administrados en Control Hub). Si su sitio de Webex está integrado en Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Webex Meetings de esta manera y no se administra en Control Hub, debe realizar una integración aparte para habilitar SSO para Webex Meetings. (Consulte Configurar el inicio de sesión único para Webex para obtener más información sobre la Integración del SSO en la Administración del sitio).

Según cuál sea la configuración en los mecanismos de autenticación de ADFS, la Autenticación de Windows integrada (IWA) puede estar habilitada de manera predeterminada. Si está habilitado, las aplicaciones que se inician a través de Windows (como la aplicación de Webex y Cisco Conector de directorios ) se autentican como el usuario que ha iniciado sesión, independientemente de la dirección de correo electrónico que se introduce durante el mensaje de correo electrónico inicial.

Descargue los metadatos de Webex en su sistema local

1

Desde la vista del cliente en ,https://admin.webex.com vaya a Administración > Configuración de la organización y, a continuación, desplácese hasta Autenticación y, luego, active el ajuste del Inicio de sesión único para iniciar el asistente de configuración.

2

Elija el tipo de certificado para su organización:

  • Firmado automáticamente por Cisco: recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
  • Firmado por una autoridad de certificación pública: más seguro, pero deberá actualizar los metadatos con frecuencia (a menos que el proveedor de IdP admita los anclajes de confianza).

Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP.

3

Descargue el archivo de metadatos.

El nombre del archivo de metadatos de Webex es idb-meta--SP.xml.

Instalar metadatos de Webex en ADFS

Antes de comenzar

Control Hub es compatible con ADFS 2.x o versiones posteriores.

Windows 2008 R2 solo incluye ADFS 1.0. Debe instalar ADFS 2.x, como mínimo, de Microsoft.

Para SSO servicios de Webex y de Webex, los proveedores de servicios de identidad (IdP) deben cumplir con la siguiente especificación SAML 2.0:

  • Establezca el atributo NameID Format en urn:oasis:names:tc:SAML:2.0:nameid-format:transitorio

  • Configure una reclamación en el IdP para que incluya el nombre del atributo uid con un valor que se asigne al atributo que se elija en el Conector de directorios de Cisco o el atributo de usuario que coincida con el que se elija en el servicio de identidad de Webex. (Este atributo podría ser Direcciones de correo electrónico o Nombre principal de usuario, por ejemplo). Consulte la información del atributo personalizado en https://www.cisco.com/go/hybrid-services-directory para obtener orientación.

1

Inicie sesión en el servidor de ADFS con permisos de administrador.

2

Abra la consola de administración de ADFS y vaya a Relaciones de confianza > Relaciones de confianza para usuario autenticado > Agregar relación de confianza para usuario autenticado.

3

En la ventana del Asistente para agregar partes de confianza, seleccione Iniciar.

4

En Seleccionar fuente de datos , seleccione Importar datos sobre la parte de confianza desde un archivo, busque el archivo de metadatos de Control Hub que descargó y seleccione Siguiente.

5

En Especificar nombre para mostrar, cree un nombre para mostrar para esta parte de confianza, como Webex , y seleccione Siguiente.

6

En el paso para Elegir reglas para la autorización de la emisión, seleccione Permitir que todos los usuarios accedan a esta parte de confianza y seleccione Siguiente.

7

En Listo para agregar confianza, seleccione Siguiente y termine de agregar la relación de confianza para usuario autenticado a ADFS.

Crear reglas de reclamos para la autenticación de Webex

1

En el panel principal de ADFS, seleccione la relación de confianza que creó y, luego, seleccioneEditar reglas de reclamos. En la ficha de Reglas para transformar emisiones, seleccione Agregar regla.

2

En el paso para Elegir el tipo de regla, seleccione la opción para Enviar atributos LDAP como reclamos; luego, seleccione Siguiente.

  1. Introduzca un Nombre de regla de reclamo.

  2. Seleccione Active Directory como Almacén de atributos.

  3. Asigne el atributo LDAP E-mail-Addresses al tipo de reclamo saliente uid.

    La regla le indica a ADFS qué campos debe asignar a Webex para identificar a un usuario. Escriba los tipos de reclamos salientes exactamente como se muestran.

  4. Guarde los cambios.

3

Vuelva a seleccionar Agregar regla, seleccione Enviar reclamos utilizando una regla personalizada y, luego, seleccione Siguiente.

Esta regla le proporciona a ADFS el atributo "spname qualifier" que Webex no puede ofrecer.

  1. Abra su editor de texto y copie el siguiente contenido.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => problema(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Emisor = c.Emisor, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Reemplace URL1 y URL2 en el texto de la siguiente manera:

    • URL1 es el entityID del archivo de metadatos de ADFS que descargó.

      Por ejemplo, lo siguiente es una muestra de lo que ve: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie solo el entityID del archivo de metadatos de ADFS y péguelo en el archivo de texto para reemplazar a URL1.

    • URL2 está en la primera línea del archivo de metadatos de Webex que descargó.

      Por ejemplo, lo siguiente es una muestra de lo que ve: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie solo el entityID del archivo de metadatos de Webex y péguelo en el archivo de texto para reemplazar a URL2.

  2. Con las URL actualizadas, copie la regla desde su editor de texto (a partir de "c:") y péguela en el cuadro de regla personalizada de su servidor ADFS.

    La regla completada se debería ver así:

  3. Seleccione Finalizar para crear la regla; luego, salga de la ventana para Editar reglas de reclamo.

4

Seleccione la Parte de confianza en la ventana principal y, luego, Propiedades en el panel derecho.

5

Cuando aparezca la ventana de Propiedades, diríjase a la ficha Avanzadas, SHA-256, y, luego, seleccione Aceptar para guardar sus cambios.

6

Diríjase a la siguiente URL en el servidor ADFS interno para descargar el archivo: https://<Servidor de AD_FS_>/FederationMetadata/2007-06/FederationMetadata.xml

Es posible que deba hacer clic derecho sobre la página y ver el código fuente de la página para obtener el archivo xml con el formato correcto.

7

Guarde el archivo en su máquina local.

Qué hacer a continuación

Ya puede volver a importar los metadatos de ADFS a Webex desde el portal de administración.

Importar los metadatos del IdP y habilitar la inicio de sesión único después de una prueba

Después de exportar los metadatos de Webex , configurar su IdP y descargar los metadatos del IdP a su sistema local, estará en disposición de importarlos a su organización de Webex desde Control Hub.

Antes de comenzar

No pruebe la integración del SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo admitimos flujos iniciados por Proveedor de servicios (iniciados por SP), por lo que debe utilizar la prueba de control Hub SSO para esta integración.

1

Elija una opción:

  • Regrese a la página de selección de certificados de Control Hub en su navegador y, luego, haga clic en Siguiente.
  • Si Control Hub ya no está abierto en la ficha del navegador, desde la vista del cliente en https://admin.webex.com, diríjase a Administración > Configuración de la organización, desplácese hasta Autenticación y, luego, elija Acciones > Importar metadatos.
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Debe utilizar la opción Más seguro, si puede. Esto solo es posible si su IdP utilizó una CA pública para firmar sus metadatos.

En todos los demás casos, debe utilizar la opción Menos seguro. Esto incluye si los metadatos no están firmados, autofirmados o firmados por una CA privada.

Okta no firma los metadatos, por lo que debe elegir Menos seguro para una integración de Okta SSO web.

3

Seleccione Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP.

Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Este paso detiene los falsos positivos debido a un token de acceso que podría estar en una sesión existente de que usted haya iniciado sesión.

4

Vuelva a la ficha del navegador de Control Hub.

  • Si la prueba fue exitosa, seleccione Prueba exitosa. Active la SSO y haga clic en Siguiente.
  • Si la prueba no fue exitosa, seleccione Prueba no exitosa. Desactive la SSO y haga clic en Siguiente.

La SSO de ajustes no tendrá efecto en su organización a menos que elija el nombre botón de opciones y active SSO.

Qué hacer a continuación

Utilice los procedimientos en Sincronizar usuarios de Okta en Cisco Webex Control Hub si quiere hacer el aprovisionamiento del usuario desde Okta en la nube de Webex.

Utilice los procedimientos en Sincronizar Azure Active Directory usuarios en Cisco Webex Control Hub si desea realizar el aprovisionamiento de usuarios desde Azure AD a la nube de Webex.

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la Aplicación de Webex de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Actualizar la relación de confianza del usuario autenticado de Webex en ADFS

Esta tarea consiste específicamente en actualizar ADFS con los nuevos metadatos de SAML de Webex. Hay artículos relacionados si necesita configurar SSO con ADFS, o si necesita actualizar (un idP diferente) con metadatos SAML para un nuevo certificado de SSO Webex.

Antes de comenzar

Debe exportar el archivo de metadatos de SAML desde Control Hub antes de poder actualizar la relación de confianza para usuario autenticado de Webex en ADFS.

1

Inicie sesión en el servidor de ADFS con permisos de administrador.

2

Cargue el archivo de metadatos de SAML de Webex a una carpeta local temporal en el servidor de ADFS; por ejemplo: //ADFS_servername/temp/idb-meta--SP.xml.

3

Abra Powershell.

4

Ejecute Get-AdfsRelyingPartyTrust para leer todas las relaciones de confianza para usuario autenticado.

Tenga en cuenta el parámetro TargetName de la relación de confianza para usuario autenticado de Webex. Utilizamos el ejemplo de "Webex", pero podría ser diferente en su ADFS.

5

Ejecute Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Asegúrese de sustituir el nombre del archivo y el nombre de destino por los valores correctos de su entorno.

Consulte .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Si ha descargado el certificado de 5 años de Webex SP y tiene activada la revocación de certificado de firma o cifrado, debe ejecutar estos dos comandos: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Inicie sesión en Control Hub y, a continuación, pruebe la integración del SSO:

  1. Vaya a Administración > Configuraciónde la organización, desplácese hasta Autenticación y active el ajuste Inicio de sesión único para iniciar el asistente de configuración.

  2. Haga clic en Siguiente para omitir la página Importar metadatos del IdP.

    No es necesario que repita ese paso, ya que anteriormente ha importado los metadatos del IdP.

  3. Pruebe la SSO conexión anterior antes de habilitarla. Este paso funciona como un ensayo y no afecta la configuración de su organización hasta que habilite el inicio de SSO en el siguiente paso.

    Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

  4. Inicie sesión para completar la prueba.

Solución de problemas en ADFS

Errores de ADFS en registros de Windows

En los registros de Windows es posible que vea un código de error 364 en el registro de eventos de ADFS. Los detalles del evento identifican la presencia de un certificado no válido. En estos casos, el host de ADFS no tiene autorización para atravesar el firewall en el puerto 80 para validar el certificado.

Ocurrió un error durante un intento de crear la cadena de certificados para la parte de confianza

Al actualizar el SSO de prueba, es posible que se le presente este error al iniciar sesión: Código de estado no válido en la respuesta.

Si ve ese error, verifique los registros del Visor de eventos en el servidor ADFS y busque el siguiente error: Ocurrió un error durante un intento de construir la cadena de certificados para la parte de confianza 'https://idbroker.webex.com/<org-ID>' certificado identificado por la impresión en miniatura '754B9208F1F75C5CC122740F3675C5D129471D80'. Las posibles causas son que el certificado fue revocado, que la cadena de certificados no se pudo verificar como lo especifica la configuración de revocación de certificados de cifrado de la parte de confianza, o que el certificado no está dentro de su período de validez.

Si ocurre este error, debe ejecutar los comandos Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID de federación

El ID de federación distingue entre mayúsculas y minúsculas. Si esta es la dirección de correo electrónico de su organización, introd así lo envía ADFS; si no lo hace, Webex no podrá encontrar el usuario que coincida.

No se puede redactar una regla de reclamo personalizada para normalizar el atributo LDAP antes de enviarlo.

Importe sus metadatos desde el servidor de AD FS que configuró en su entorno.

Si es necesario, puede verificar la URL desde Servicio > Terminales > Metadatos > Tipo: metadatos de federación en el área de administración de AD FS.

Sincronización de la hora

Asegúrese de que el reloj del sistema de su servidor ADFS esté sincronizado con una fuente de hora de Internet confiable que emplee el Protocolo de hora de red (Network Time Protocol, NTP). Utilice el siguiente comando de PowerShell para sesgar el reloj solo para la relación de parte de confianza de Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

El valor hexadecimal es único para su entorno. Reemplace el valor a partir del valor de ID de EntityDescriptor del SP en el archivo de metadatos de Webex. Por ejemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">