Inicio de sesión único y Webex Control Hub

El inicio de sesión único (SSO) es un proceso de autenticación de sesiones o usuarios que permite que el usuario proporcione credenciales para acceder a una o varias aplicaciones. El proceso autentica a los usuarios para todas las aplicaciones que tengan derecho a usar. Elimina la aparición de mensajes adicionales cuando los usuarios cambian de una aplicación a otra durante una sesión en particular.

Se utiliza el protocolo de federación del Lenguaje de marcado de aserción de seguridad (SAML 2.0) para proporcionar autenticación de SSO entre la nube de Cisco Webex y su proveedor de servicios de identidad (IdP).

Perfiles

Cisco Webex Teams solo proporciona soporte para el perfil de SSO del navegador web. En el perfil de SSO del navegador web, Cisco Webex Teams proporciona soporte para los siguientes enlaces:

  • SP initiated POST -> POST binding

  • SP initiated REDIRECT -> POST binding

Formato de NameID

El protocolo SAML 2.0 proporciona soporte para varios formatos de NameID a fin de comunicar información sobre un usuario específico. Cisco Webex Teams proporciona soporte para los siguientes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

En los metadatos que carga desde su IdP, la primera entrada está configurada para su uso en Cisco Webex.

SingleLogout

Cisco Webex Teams proporciona soporte para el perfil de cierre de sesión único. En la aplicación Cisco Webex Teams, un usuario puede cerrar sesión de la aplicación, con lo que se utiliza el protocolo de cierre de sesión único de SAML para finalizar la sesión y confirmar dicho cierre de sesión con su IdP. Asegúrese de que el IdP esté configurado para SingleLogout.

Integrar Cisco Webex Control Hub con ADFS


Las guías de configuración muestran un ejemplo específico para la integración del SSO, pero no proporcionan una configuración exhaustiva para todas las posibilidades. Por ejemplo, se documentan los pasos de integración para el formato de “nameid” urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Otros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarán para la integración del SSO, pero están fuera del alcance de nuestra documentación.

Configure esta integración para los usuarios de su organización de Cisco Webex (incluidos Cisco Webex Teams, Cisco Webex Meetings y otros servicios que se administran en Cisco Webex Control Hub). Si su sitio de Webex está integrado en Cisco Webex Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Cisco Webex Meetings de esta manera y no se administra en Cisco Webex Control Hub, debe realizar una integración por separado a fin de habilitar el SSO para Cisco Webex Meetings. (Consulte Configurar el inicio de sesión único para Webex para obtener más información sobre la Integración del SSO en la Administración del sitio).

Según cuál sea la configuración en los mecanismos de autenticación de ADFS, la Autenticación de Windows integrada (IWA) puede estar habilitada de manera predeterminada. Si está habilitada, las aplicaciones que se inician a través de Windows (como Webex Teams y el Conector de directorios de Cisco) se autentican como el usuario que inició sesión, independientemente de la dirección de correo electrónico que se introduzca durante la solicitud de correo electrónico inicial.

Descargar los metadatos de Cisco Webex en su sistema local

1

Desde la vista de cliente en https://admin.webex.com, vaya a Configuración y, a continuación, desplácese hasta Autenticación.

2

Haga clic en Modificar y, a continuación, haga clic en Integrar un proveedor de servicios de identidad de terceros. (Avanzado) y, a continuación, haga clic en Siguiente.

3

Descargue el archivo de metadatos.

El nombre del archivo de metadatos de Cisco Webex es idb-meta-<org-ID>-SP.xml.

Instalar los metadatos de Cisco Webex en ADFS

Antes de comenzar

Cisco Webex Control Hub proporciona soporte para ADFS 2.x o versiones posteriores.

Windows 2008 R2 solo incluye ADFS 1.0. Debe instalar ADFS 2.x, como mínimo, de Microsoft.

En el caso del SSO y de los servicios de Cisco Webex, los proveedores de servicios de identidad (IdP) deben cumplir con la siguiente especificación de SAML 2.0:

  • Establezca el atributo del formato de NameID en urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure una reclamación en el IdP para que incluya el nombre del atributo uid con un valor que se asigne al atributo que se elija en el Conector de directorios de Cisco o el atributo del usuario que coincida con el que se elija en el servicio de identidad de Cisco Webex (por ejemplo, este atributo podría ser Direcciones de correo electrónico o Nombre principal de usuario). Consulte la información sobre atributos personalizados en https://www.cisco.com/go/hybrid-services-directory para obtener orientación.

1

Inicie sesión en el servidor de ADFS con permisos de administrador.

2

Abra la consola de administración de ADFS y vaya a Relaciones de confianza > Relaciones de confianza para usuario autenticado > Agregar relación de confianza para usuario autenticado.

3

En la ventana del Asistente para agregar partes de confianza, seleccione Iniciar.

4

En Seleccionar origen de datos, seleccione Importar datos sobre el usuario de confianza desde un archivo, busque el archivo de metadatos de Cisco Webex Control Hub que descargó y seleccione Siguiente.

5

En Especificar nombre para mostrar, cree un nombre para mostrar para esta relación de confianza para usuario autenticado, como Cisco Webex, y seleccione Siguiente.

6

En el paso para Elegir reglas para la autorización de la emisión, seleccione Permitir que todos los usuarios accedan a esta parte de confianza y seleccione Siguiente.

7

En Listo para agregar confianza, seleccione Siguiente y termine de agregar la relación de confianza para usuario autenticado a ADFS.

Crear reglas de reclamación para permitir la autenticación desde Cisco Webex

1

En el panel principal de ADFS, seleccione la relación de confianza que creó y, luego, seleccioneEditar reglas de reclamos. En la ficha de Reglas para transformar emisiones, seleccione Agregar regla.

2

En el paso para Elegir el tipo de regla, seleccione la opción para Enviar atributos LDAP como reclamos; luego, seleccione Siguiente.

  1. Introduzca un Nombre de regla de reclamo.

  2. Seleccione Active Directory como Almacén de atributos.

  3. Asigne el atributo LDAP E-mail-Addresses al tipo de reclamo saliente uid.

    Esta regla le indica a ADFS qué campos debe asignar a Cisco Webex para identificar a un usuario. Escriba los tipos de reclamos salientes exactamente como se muestran.

  4. Guarde los cambios.

3

Vuelva a seleccionar Agregar regla, seleccione Enviar reclamos utilizando una regla personalizada y, luego, seleccione Siguiente.

Esta regla le proporciona a ADFS el atributo “spname qualifier” que Cisco Webex no puede ofrecer.

  1. Abra su editor de texto y copie el siguiente contenido.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Reemplace URL1 y URL2 en el texto de la siguiente manera:
    • URL1 es el valor de entityID del archivo de metadatos de ADFS que descargó.

      Por ejemplo, lo que sigue es una muestra de lo que verá: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie solo el entityID del archivo de metadatos de ADFS y péguelo en el archivo de texto para reemplazar a URL1.

    • URL2 está en la primera línea del archivo de metadatos de Cisco Webex que descargó.

      Por ejemplo, lo que sigue es una muestra de lo que verá: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie solo el atributo entityID del archivo de metadatos de Cisco Webex y péguelo en el archivo de texto para sustituir URL2.

  2. Con las URL actualizadas, copie la regla desde su editor de texto (a partir de "c:") y péguela en el cuadro de regla personalizada de su servidor ADFS.

    La regla completada se debería ver así:
  3. Seleccione Finalizar para crear la regla; luego, salga de la ventana para Editar reglas de reclamo.

4

Seleccione la Parte de confianza en la ventana principal y, luego, Propiedades en el panel derecho.

5

Cuando aparezca la ventana de Propiedades, diríjase a la ficha Avanzadas, SHA-256, y, luego, seleccione Aceptar para guardar sus cambios.

6

Diríjase a la siguiente URL en el servidor ADFS interno para descargar el archivo: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Es posible que deba hacer clic derecho sobre la página y ver el código fuente de la página para obtener el archivo xml con el formato correcto.

7

Guarde el archivo en su máquina local.

Qué hacer a continuación

Ya puede volver a importar los metadatos de ADFS a Cisco Webex desde el portal de administración.

Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba

Después de exportar los metadatos de Cisco Webex, configurar su IdP y descargar los metadatos del IdP en su sistema local, estará listo para importarlos a su organización de Cisco Webex desde Control Hub.

Antes de comenzar

No pruebe la integración del SSO desde la interfaz del proveedor de servicios de identidad (IdP). Solo proporcionamos soporte para los flujos iniciados por el proveedor de servicios, por lo que debe utilizar la prueba de SSO de Control Hub para esta integración.

1

Elija una opción:

  • Vuelva a la página Cisco Webex Control Hub – Exportar metadatos de directorios en su navegador y, a continuación, haga clic en Siguiente.
  • Si Control Hub ya no está abierto en la ficha del navegador, desde la vista de cliente en https://admin.webex.com, vaya a Configuración, desplácese hasta Autenticación, elija Integrar un proveedor de servicios de identidad de terceros (Avanzado) y, a continuación, haga clic en Siguiente en la página del archivo de metadatos confiable (porque ya lo hizo antes).
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Si los metadatos no están firmados, están firmados con un certificado de firma automática o están firmados por una entidad de certificación (CA) empresarial privada, le recomendamos que utilice la opción Exigir certificado firmado por una entidad de certificación en los metadatos (más segura). Si el certificado es de firma automática, tiene que elegir la opción menos seguro.

3

Seleccione Probar conexión de SSO y, cuando se abra una nueva ficha del navegador, autentíquese con el IdP al iniciar sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

La presencia de un error de Webex Teams suele indicar que hay un problema con la configuración del SSO. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP.

4

Vuelva a la ficha del navegador de Control Hub.

  • Si la prueba fue exitosa, seleccione Esta prueba fue exitosa. Habilite la opción del Inicio de sesión único y haga clic en Siguiente.
  • Si la prueba no fue exitosa, seleccione Esta prueba no fue exitosa. Deshabilite la opción del Inicio de sesión único y haga clic en Siguiente.

Qué hacer a continuación

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de Webex Teams de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Actualizar la relación de confianza para usuario autenticado de Cisco Webex en AD FS

Esta tarea se refiere específicamente a la actualización de AD FS con los nuevos metadatos de SAML de Cisco Webex. Hay artículos relacionados si tiene que configurar el SSO con AD FS o si tiene que actualizar un IdP (diferente) con los metadatos de SAML para un nuevo certificado de SSO de Webex.

Antes de comenzar

Debe exportar el archivo de metadatos de SAML desde Control Hub antes de poder actualizar la Relación de confianza para usuario autenticado de Cisco Webex en AD FS.

1

Inicie sesión en el servidor de AD FS con permisos de administrador.

2

Cargue el archivo de metadatos de SAML de Webex en una carpeta local temporal del servidor de AD FS; por ejemplo, //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Abra Powershell.

4

Ejecute Get-AdfsRelyingPartyTrust para leer todas las relaciones de confianza para usuario autenticado.

Observe el parámetro TargetName de la relación de confianza para usuario autenticado de Cisco Webex. Utilizamos el ejemplo “Cisco Webex”, pero podría ser diferente en su AD FS.

5

Ejecute Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Asegúrese de sustituir el nombre del archivo y el nombre de destino por los valores correctos de su entorno.

Consulte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Inicie sesión en Control Hub y, a continuación, pruebe la integración del SSO:

  1. Vaya a Configuración, desplácese hasta Autenticación y haga clic en Modificar.

  2. Seleccione Integrar un proveedor de servicios de identidad de terceros (Avanzado) y haga clic en Siguiente.

  3. Haga clic en Siguiente para omitir la página Importar metadatos del IdP.

    No es necesario que repita ese paso, ya que anteriormente ha importado los metadatos del IdP.

  4. Haga clic en Probar conexión de SSO.

    Se abre una nueva ventana del navegador que lo redirige a la página de desafío del IdP.

  5. Inicie sesión para completar la prueba.

Solucionar problemas en ADFS

Errores de ADFS en registros de Windows

En los registros de Windows es posible que vea un código de error 364 en el registro de eventos de ADFS. Los detalles del evento identifican la presencia de un certificado no válido. En estos casos, el host de ADFS no tiene autorización para atravesar el firewall en el puerto 80 para validar el certificado.

ID de federación

El ID de federación distingue entre mayúsculas y minúsculas. Si esta es la dirección de correo electrónico de su organización, introdúzcala exactamente como la envíe ADFS; si no lo hace, Cisco Webex no podrá encontrar el usuario que corresponda.

No se puede redactar una regla de reclamo personalizada para normalizar el atributo LDAP antes de enviarlo.

Importe sus metadatos desde el servidor de AD FS que configuró en su entorno.

Si es necesario, puede verificar la URL; para ello, navegue hasta Servicio > Extremos > Metadatos > Tipo: Metadatos de federación en la Administración de ADFS.

Sincronización de la hora

Asegúrese de que el reloj del sistema de su servidor ADFS esté sincronizado con una fuente de hora de Internet confiable que emplee el Protocolo de hora de red (Network Time Protocol, NTP). Utilice el siguiente comando de PowerShell para sesgar el reloj solo para la relación de confianza para usuario autenticado de Cisco Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

El valor hexadecimal es único para su entorno. Sustituya el valor a partir del valor de ID de EntityDescriptor del SP en el archivo de metadatos de Cisco Webex. Por ejemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">