Inicio de sesión único y Webex Control Hub

El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

El protocolo de Federación de lenguaje de marcado de aserción de seguridad (SAML 2,0) se utiliza para proporcionar SSO la autenticación entre la nube de Cisco Webex y su proveedor de servicios de identidad (IdP).

Perfiles

Cisco Webex Teams solo admite el perfil de SSO del explorador Web. En el perfil de SSO del explorador Web, Cisco Webex Teams admite los siguientes enlaces:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato de NameID

El protocolo SAML 2,0 admite varios formatos de NameID para comunicarse acerca de un usuario específico. Cisco Webex Teams es compatible con los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para su uso en Cisco Webex.

SingleLogout

Cisco Webex Teams es compatible con el perfil de cierre de sesión único. En la aplicación de Cisco Webex Teams, un usuario puede cerrar sesión en la aplicación, que utiliza el protocolo de cierre de sesión único de SAML para finalizar la sesión y confirmar que ha iniciado sesión con su IdP. Asegúrese de que el IdP esté configurado para SingleLogout.

Integrar Cisco Webex Control Hub con ADFS

Las guías de configuración muestran un ejemplo específico para la integración de SSO pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, los pasos de integración para NameID-Format urn: oasis: names: TC: SAML: 2.0: NameID-Format: Transient se documentan. Otros formatos como urn: oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified o urn: names: TC: NameID-Format: NameID-Format: emailAddress funcionará para SSO integración pero no está fuera del alcance de nuestra documentación.

Configure esta integración para los usuarios de su Cisco Webex organización (incluidos Cisco Webex Teams, Cisco Webex Meetings y otros servicios administrados en Cisco Webex Control Hub). Si su sitio Webex está integrado en Cisco Webex Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Cisco Webex Meetings de esta manera y no está administrado en Cisco Webex Control Hub, debe realizar una integración aparte para habilitar SSO para Cisco Webex Meetings. (Consulte Configure el inicio de sesión único para Webex para obtener más información en la integración de SSO en administración del sitio.

Según lo que esté configurado en los mecanismos de autenticación en ADFS, se puede habilitar la autenticación integrada de Windows (IWA) de manera predeterminada. Si esta opción está habilitada, las aplicaciones que se inician a través de Windows (como Webex Teams y Cisco Conector de directorios) se autentican como el usuario que ha iniciado sesión, independientemente de la dirección de correo electrónico que se introduzca durante el mensaje de correo electrónico inicial.

Descargue el Cisco Webex metadatos en su sistema local

1

Desde la vista del cliente en https://admin.webex.com, diríjase a Configuración y desplácese hasta Autenticación.

2

Haga clic en Modificar, y luego en Integrar un proveedor de servicios de identidad externo. (Avanzado) y, a continuación, haga clic en Siguiente.

3

Descargue el archivo de metadatos.

El nombre del archivo de metadatos de Cisco Webex es IDB-meta-<org-ID>-SP. XML.

Instalar metadatos de Cisco Webex en ADFS

Antes de empezar

Cisco Webex Control Hub admite ADFS 2. x o versiones posteriores.

Windows 2008 R2 solo incluye ADFS 1,0. Debe instalar un mínimo de ADFS 2. x de Microsoft.

Para los servicios SSO y Cisco Webex, los proveedores de identidad (IDP) deben cumplir con la siguiente especificación SAML 2,0:

  • Establezca el atributo de formato NameID en urn: oasis: names: TC: SAML: 2.0: NameID-Format:Transient

  • Configure una solicitud en el IdP para incluir el nombre del atributo UID con un valor que esté asignado al atributo que se haya elegido en Cisco conector de directorios o el atributo de usuario que coincida con el que se eligió en el Cisco Webex servicio de identidad. (Por ejemplo, este atributo podría ser de dirección de correo electrónico o de nombre principal del usuario). Consulte la información del atributo personalizado en https://www.cisco.com/go/hybrid-services-directory para obtener orientación.

1

Inicie sesión en el servidor de ADFS con permisos de administrador.
2

Abra la Consola de administración de ADFS y diríjase a Relaciones de confianza > Partes de confianza > Agregar parte de confianza.

3

En la ventana del Asistente para agregar partes de confianza, seleccione Iniciar.

4

Para Seleccionar fuente de datos , seleccione Importar datos sobre la parte de confianza desde un archivo, busque el Cisco Webex control Hub archivo de metadatos que descargó y seleccione siguiente.

5

Para especificar el nombre para mostrar, cree un nombre para mostrar para esta relación de confianza del usuario autenticado como Cisco Webex y seleccione siguiente.

6

En el paso para Elegir reglas para la autorización de la emisión, seleccione Permitir que todos los usuarios accedan a esta parte de confianza y seleccione Siguiente.

7

En el paso para Listo para agregar parte de confianza, seleccione Siguiente y termine de agregar la parte de confianza a ADFS.

Crear reglas de notificaciones para permitir la autenticación desde Cisco Webex

1

En el panel principal de ADFS, seleccione la relación de confianza que creó y, luego, seleccioneEditar reglas de reclamos. En la ficha de Reglas para transformar emisiones, seleccione Agregar regla.

2

En el paso para Elegir el tipo de regla, seleccione la opción para Enviar atributos LDAP como reclamos; luego, seleccione Siguiente.

  1. Introduzca un Nombre de regla de reclamo.

  2. Seleccione Active Directory como Almacén de atributos.

  3. Asigne el atributo LDAP E-mail-Addresses al tipo de reclamo saliente uid.

    Esta regla le indica a ADFS qué campos debe asignar a Cisco Webex para identificar a un usuario. Escriba los tipos de reclamos salientes exactamente como se muestran.

  4. Guarde los cambios.
3

Vuelva a seleccionar Agregar regla, seleccione Enviar reclamos utilizando una regla personalizada y, luego, seleccione Siguiente.

Esta regla proporciona a ADFS el atributo "spname Qualifier" que la Cisco Webex no ofrece de otra manera.

  1. Abra su editor de texto y copie el siguiente contenido.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "<!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder-->URL1<!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder-->", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder-->URL2<!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder-->");

    Reemplace URL1 y URL2 en el texto de la siguiente manera:
    • URL1 es el valor de entityID del archivo de metadatos de ADFS que descargó.

      Por ejemplo, lo que sigue es una muestra de lo que verá: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie solo el entityID del archivo de metadatos de ADFS y péguelo en el archivo de texto para reemplazar a URL1.

    • URL2 está en la primera línea del archivo de metadatos de Cisco Webex que descargó.

      Por ejemplo, lo que sigue es una muestra de lo que verá: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie solo el entityID del archivo de metadatos del Cisco Webex y péguelo en el archivo de texto para reemplazar URL2.

  2. Con las URL actualizadas, copie la regla desde su editor de texto (a partir de "c:") y péguela en el cuadro de regla personalizada de su servidor ADFS.

    La regla completada se debería ver así:

  3. Seleccione Finalizar para crear la regla; luego, salga de la ventana para Editar reglas de reclamo.

4

Seleccione la Parte de confianza en la ventana principal y, luego, Propiedades en el panel derecho.

5

Cuando aparezca la ventana de Propiedades, diríjase a la ficha Avanzadas, SHA-256, y, luego, seleccione Aceptar para guardar sus cambios.

6

Diríjase a la siguiente URL en el servidor ADFS interno para descargar el archivo: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Es posible que deba hacer clic derecho sobre la página y ver el código fuente de la página para obtener el archivo xml con el formato correcto.

7

Guarde el archivo en su máquina local.

Qué hacer a continuación

Está listo para volver a importar los metadatos de ADFS a Cisco Webex desde el portal de administración.

Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba

Después de exportar los metadatos de la Cisco Webex, configurar su IdP y descargar los metadatos del IdP a su sistema local, estará listo para importarlos a su organización de Cisco Webex desde el concentrador de control.

Antes de empezar

No pruebe la integración de SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo admitimos flujos iniciados por Proveedor de servicios (iniciados por SP), por lo que debe utilizar la prueba de control Hub SSO para esta integración.

1

Elija una opción:

  • Regrese a la página Cisco Webex Control Hub – exportar metadatos de directorios en su navegador y, a continuación, haga clic en siguiente.
  • Si control Hub ya no está abierto en la ficha del explorador, desde la vista del cliente en https://admin.webex.com, diríjase a configuración, desplácese hasta autenticación, elija integrar un proveedor de servicios de identidad externo (avanzado)y, a continuación, haga clic en siguiente en la página archivo de metadatos de confianza (porque ya lo hizo antes).
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Si los metadatos no están firmados, se firman con un certificado de firma automática o se firman con una autoridad de certificación (CA) privada para empresas, le recomendamos que utilice el certificado de autorización firmado por una autoridad de certificación en metadatos (más seguro). Si el certificado es de firma automática, tiene que elegir la opción menos seguro.

3

Seleccione Probar conexión de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Un error de Webex Teams suele significar un problema con la configuración de SSO. En este caso, vuelva a recorrer los pasos, especialmente los pasos en los que copia y pega los metadatos del concentrador de control en la configuración del IdP.

4

Vuelva a la ficha explorador de control Hub.

  • Si la prueba fue exitosa, seleccione Esta prueba fue exitosa. Habilite la opción del Inicio de sesión único y haga clic en Siguiente.
  • Si la prueba no fue exitosa, seleccione Esta prueba no fue exitosa. Deshabilite la opción del Inicio de sesión único y haga clic en Siguiente.

Qué hacer a continuación

Puede seguir el procedimiento que se indica en suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos Webex Teams usuarios de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Actualizar Cisco Webex relación de confianza del usuario autenticado en AD FS

Esta tarea es específica acerca de la actualización de AD FS con nuevos metadatos de SAML desde Cisco Webex. Hay artículos relacionados si necesita configurar SSO con AD FS, o si necesita Actualizar (un IDP diferente) con los metadatos de SAML para un nuevo certificado de SSO de Webex.

Antes de empezar

Debe exportar el archivo de metadatos de SAML desde el concentrador de control antes de poder actualizar el Cisco Webex la relación de confianza del usuario autenticado en AD FS.

1

Inicie sesión en el servidor de AD FS con permisos de administrador.
2

Cargue el archivo de metadatos de SAML desde Webex a una carpeta local temporal del servidor de AD FS, por ejemplo. //ADFS_servername/Temp/IDB-meta-<org-ID>-SP. XML.

3

Abra PowerShell.
4

Ejecute obtener-AdfsRelyingPartyTrust para leer todas las relaciones de confianza de partes de confianza.

Tenga en cuenta el parámetro TargetName de la Cisco Webex relación de confianza del usuario autenticado. Usamos el ejemplo "Cisco Webex", pero podría ser diferente en su AD FS.

5

Ejecute Update-AdfsRelyingPartyTrust-MetadataFile "//ADFS_servername/Temp/IDB-meta-<org-ID>-SP. xml"-TargetName "Cisco Webex".

Asegúrese de reemplazar el nombre del archivo y el nombre del destino con los valores correctos de su entorno.

Consulte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Inicie sesión en el concentrador de control y, a continuación, pruebe el SSO integración:

  1. Vaya a configuración, desplácese hasta autenticacióny haga clic en modificar.

  2. Seleccione integrar un proveedor de servicios de identidad de terceros (avanzado) y haga clic en siguiente.

  3. Haga clic en siguiente para omitir la página importar metadatos del IDP.

    No es necesario que repita ese paso porque anteriormente importó los metadatos del IdP.

  4. Haga clic en probar conexión SSO.

    Se abrirá una nueva ventana del explorador, se lo redireccionará a la página desafío del IdP.

  5. Inicie sesión para completar la prueba.

Solucionar problemas en ADFS

Errores de ADFS en registros de Windows

En los registros de Windows es posible que vea un código de error 364 en el registro de eventos de ADFS. Los detalles del evento identifican la presencia de un certificado no válido. En estos casos, el host de ADFS no tiene autorización para atravesar el firewall en el puerto 80 para validar el certificado.

ID de federación

El ID de federación distingue entre mayúsculas y minúsculas. Si esta es su dirección de correo electrónico de la organización, introdúzcala exactamente como la envía ADFS o Cisco Webex no puede encontrar el usuario coincidente.

No se puede redactar una regla de reclamo personalizada para normalizar el atributo LDAP antes de enviarlo.

Importe sus metadatos desde el servidor de AD FS que configuró en su entorno.

Si es necesario, puede verificar la URL si se dirige a Servicio > Extremos > Metadatos > Tipo: Metadatos de federación en el área de administración de ADFS.

Sincronización de la hora

Asegúrese de que el reloj del sistema de su servidor ADFS esté sincronizado con una fuente de hora de Internet confiable que emplee el Protocolo de hora de red (Network Time Protocol, NTP). Utilice el siguiente comando de PowerShell para sesgar el reloj para la Cisco Webex relación de confianza del usuario autenticado únicamente.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

El valor hexadecimal es único para su entorno. Reemplace el valor del valor de ID de EntityDescriptor del SP en el archivo de metadatos de Cisco Webex. Por ejemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">