- Inicio de sesión único y Webex Control Hub
- SingleLogout
- Integrar Cisco Webex Control Hub con ADFS
- Descargue el Cisco Webex metadatos en su sistema local
- Instalar metadatos de Cisco Webex en ADFS
- Crear reglas de notificaciones para permitir la autenticación desde Cisco Webex
- Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba
- Actualizar Cisco Webex relación de confianza del usuario autenticado en AD FS
- Solucionar problemas en ADFS
Inicio de sesión único y Webex Control Hub
El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.
El protocolo de Federación de lenguaje de marcado de aserción de seguridad (SAML 2,0) se utiliza para proporcionar SSO la autenticación entre la nube de Cisco Webex y su proveedor de servicios de identidad (IdP).
Perfiles
Cisco Webex Teams solo admite el perfil de SSO del explorador Web. En el perfil de SSO del explorador Web, Cisco Webex Teams admite los siguientes enlaces:
-
SP initiated POST -> POST binding
-
SP initiated REDIRECT -> POST binding
Formato de NameID
El protocolo SAML 2,0 admite varios formatos de NameID para comunicarse acerca de un usuario específico. Cisco Webex Teams es compatible con los siguientes formatos de NameID.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
-
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
-
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
En los metadatos que carga desde su IdP, la primera entrada está configurada para su uso en Cisco Webex.
SingleLogout
Cisco Webex Teams es compatible con el perfil de cierre de sesión único. En la aplicación de Cisco Webex Teams, un usuario puede cerrar sesión en la aplicación, que utiliza el protocolo de cierre de sesión único de SAML para finalizar la sesión y confirmar que ha iniciado sesión con su IdP. Asegúrese de que el IdP esté configurado para SingleLogout.
Integrar Cisco Webex Control Hub con ADFS
Las guías de configuración muestran un ejemplo específico para la integración de SSO pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, los pasos de integración para NameID-Format urn: oasis: names: TC: SAML: 2.0: NameID-Format: Transient se documentan. Otros formatos como urn: oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified o urn: names: TC: NameID-Format: NameID-Format: emailAddress funcionará para SSO integración pero no está fuera del alcance de nuestra documentación. |
Configure esta integración para los usuarios de su Cisco Webex organización (incluidos Cisco Webex Teams, Cisco Webex Meetings y otros servicios administrados en Cisco Webex Control Hub). Si su sitio Webex está integrado en Cisco Webex Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Cisco Webex Meetings de esta manera y no está administrado en Cisco Webex Control Hub, debe realizar una integración aparte para habilitar SSO para Cisco Webex Meetings. (Consulte Configure el inicio de sesión único para Webex para obtener más información en la integración de SSO en administración del sitio.
Según lo que esté configurado en los mecanismos de autenticación en ADFS, se puede habilitar la autenticación integrada de Windows (IWA) de manera predeterminada. Si esta opción está habilitada, las aplicaciones que se inician a través de Windows (como Webex Teams y Cisco Conector de directorios) se autentican como el usuario que ha iniciado sesión, independientemente de la dirección de correo electrónico que se introduzca durante el mensaje de correo electrónico inicial.
Descargue el Cisco Webex metadatos en su sistema local
1 |
Desde la vista del cliente en https://admin.webex.com, diríjase a Configuración y desplácese hasta Autenticación. |
2 |
Haga clic en Modificar, y luego en Integrar un proveedor de servicios de identidad externo. (Avanzado) y, a continuación, haga clic en Siguiente. |
3 |
Descargue el archivo de metadatos. El nombre del archivo de metadatos de Cisco Webex es IDB-meta-<org-ID>-SP. XML. |
Instalar metadatos de Cisco Webex en ADFS
Antes de empezar
Cisco Webex Control Hub admite ADFS 2. x o versiones posteriores.
Windows 2008 R2 solo incluye ADFS 1,0. Debe instalar un mínimo de ADFS 2. x de Microsoft.
Para los servicios SSO y Cisco Webex, los proveedores de identidad (IDP) deben cumplir con la siguiente especificación SAML 2,0:
-
Establezca el atributo de formato NameID en urn: oasis: names: TC: SAML: 2.0: NameID-Format:Transient
-
Configure una solicitud en el IdP para incluir el nombre del atributo UID con un valor que esté asignado al atributo que se haya elegido en Cisco conector de directorios o el atributo de usuario que coincida con el que se eligió en el Cisco Webex servicio de identidad. (Por ejemplo, este atributo podría ser de dirección de correo electrónico o de nombre principal del usuario). Consulte la información del atributo personalizado en https://www.cisco.com/go/hybrid-services-directory para obtener orientación.
1 |
Inicie sesión en el servidor de ADFS con permisos de administrador. |
2 |
Abra la Consola de administración de ADFS y diríjase a . |
3 |
En la ventana del Asistente para agregar partes de confianza, seleccione Iniciar. |
4 |
Para Seleccionar fuente de datos , seleccione Importar datos sobre la parte de confianza desde un archivo, busque el Cisco Webex control Hub archivo de metadatos que descargó y seleccione siguiente. |
5 |
Para especificar el nombre para mostrar, cree un nombre para mostrar para esta relación de confianza del usuario autenticado como Cisco Webex y seleccione siguiente. |
6 |
En el paso para Elegir reglas para la autorización de la emisión, seleccione Permitir que todos los usuarios accedan a esta parte de confianza y seleccione Siguiente. |
7 |
En el paso para Listo para agregar parte de confianza, seleccione Siguiente y termine de agregar la parte de confianza a ADFS. |
Crear reglas de notificaciones para permitir la autenticación desde Cisco Webex
1 |
En el panel principal de ADFS, seleccione la relación de confianza que creó y, luego, seleccioneEditar reglas de reclamos. En la ficha de Reglas para transformar emisiones, seleccione Agregar regla. |
||
2 |
En el paso para Elegir el tipo de regla, seleccione la opción para Enviar atributos LDAP como reclamos; luego, seleccione Siguiente. ![]() |
||
3 |
Vuelva a seleccionar Agregar regla, seleccione Enviar reclamos utilizando una regla personalizada y, luego, seleccione Siguiente. Esta regla proporciona a ADFS el atributo "spname Qualifier" que la Cisco Webex no ofrece de otra manera. |
||
4 |
Seleccione la Parte de confianza en la ventana principal y, luego, Propiedades en el panel derecho. |
||
5 |
Cuando aparezca la ventana de Propiedades, diríjase a la ficha Avanzadas, SHA-256, y, luego, seleccione Aceptar para guardar sus cambios. |
||
6 |
Diríjase a la siguiente URL en el servidor ADFS interno para descargar el archivo: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml
|
||
7 |
Guarde el archivo en su máquina local. |
Qué hacer a continuación
Está listo para volver a importar los metadatos de ADFS a Cisco Webex desde el portal de administración.
Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba
Después de exportar los metadatos de la Cisco Webex, configurar su IdP y descargar los metadatos del IdP a su sistema local, estará listo para importarlos a su organización de Cisco Webex desde el concentrador de control.
Antes de empezar
No pruebe la integración de SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo admitimos flujos iniciados por Proveedor de servicios (iniciados por SP), por lo que debe utilizar la prueba de control Hub SSO para esta integración.
1 |
Elija una opción:
|
||
2 |
En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente. Si los metadatos no están firmados, se firman con un certificado de firma automática o se firman con una autoridad de certificación (CA) privada para empresas, le recomendamos que utilice el certificado de autorización firmado por una autoridad de certificación en metadatos (más seguro). Si el certificado es de firma automática, tiene que elegir la opción menos seguro. |
||
3 |
Seleccione Probar conexión de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.
|
||
4 |
Vuelva a la ficha explorador de control Hub.
|
Qué hacer a continuación
Puede seguir el procedimiento que se indica en suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos Webex Teams usuarios de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.
Actualizar Cisco Webex relación de confianza del usuario autenticado en AD FS
Antes de empezar
Debe exportar el archivo de metadatos de SAML desde el concentrador de control antes de poder actualizar el Cisco Webex la relación de confianza del usuario autenticado en AD FS.
1 |
Inicie sesión en el servidor de AD FS con permisos de administrador. |
2 |
Cargue el archivo de metadatos de SAML desde Webex a una carpeta local temporal del servidor de AD FS, por ejemplo. |
3 |
Abra PowerShell. |
4 |
Ejecute Tenga en cuenta el |
5 |
Ejecute Asegúrese de reemplazar el nombre del archivo y el nombre del destino con los valores correctos de su entorno. Consulte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust. |
6 |
Inicie sesión en el concentrador de control y, a continuación, pruebe el SSO integración: |
Solucionar problemas en ADFS
Errores de ADFS en registros de Windows
En los registros de Windows es posible que vea un código de error 364 en el registro de eventos de ADFS. Los detalles del evento identifican la presencia de un certificado no válido. En estos casos, el host de ADFS no tiene autorización para atravesar el firewall en el puerto 80 para validar el certificado.
ID de federación
El ID de federación distingue entre mayúsculas y minúsculas. Si esta es su dirección de correo electrónico de la organización, introdúzcala exactamente como la envía ADFS o Cisco Webex no puede encontrar el usuario coincidente.
No se puede redactar una regla de reclamo personalizada para normalizar el atributo LDAP antes de enviarlo.
Importe sus metadatos desde el servidor de AD FS que configuró en su entorno.
Si es necesario, puede verificar la URL si se dirige a
en el área de administración de ADFS.Sincronización de la hora
Asegúrese de que el reloj del sistema de su servidor ADFS esté sincronizado con una fuente de hora de Internet confiable que emplee el Protocolo de hora de red (Network Time Protocol, NTP). Utilice el siguiente comando de PowerShell para sesgar el reloj para la Cisco Webex relación de confianza del usuario autenticado únicamente.
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3
El valor hexadecimal es único para su entorno. Reemplace el valor del valor de ID de EntityDescriptor del SP en el archivo de metadatos de Cisco Webex. Por ejemplo:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">