Integrar Cisco Webex Control Hub con ADFS


Las guías de configuración muestran un ejemplo específico de integración SSO pero no ofrecen una configuración exhaustiva para todas las posibilidades. Por ejemplo, los pasos de integración para el formato de ID de nombre urn: oasis: names: TC: SAML: 2.0: NameID-Format: Transient están documentados. Otros formatos, como urn: de la oasis: names: TC: SAML: 1.1: NameID-Format: unsigned o urn: de las siguientes nombres: TC: SAML: 1.1: NameID-Format: emailAddress funcionará para la integración de SSO pero no es el alcance de nuestra documentación.

Configure esta integración para los usuarios de su Cisco Webex organización (incluidos Cisco Webex Teams, Cisco Webex Meetingsy otros servicios que se administran en Cisco Webex Control Hub). Si su sitio de Webex está integrado en Cisco Webex Control Hub, el sitio de Webex hereda la administración de usuarios. Si no puede acceder a Cisco Webex Meetings de esta manera y no está administrado en Cisco Webex Control Hub, debe realizar una integración separada para habilitar el SSO para Cisco Webex Meetings. (Consulte Configure el inicio de sesión único para WebEx para obtener más información acerca de la integración de SSO en administración del sitio).

Según lo que esté configurado en los mecanismos de autenticación en ADFS, se puede habilitar la autenticación integrada de Windows (IWA) de manera predeterminada. Si está habilitado, las aplicaciones que se inician a través de Windows (como Webex Teams y Conector de directorios de Cisco) se autentican como el usuario que inició sesión, independientemente de la dirección de correo electrónico que se ingrese durante el mensaje de correo electrónico inicial.

Descargar los metadatos de Cisco Webex en su sistema local

1

Desde la vista del cliente en https://admin.webex.com, diríjase a Configuración y desplácese hasta Autenticación.

2

Haga clic en Modificar, y, luego, en Integrar un proveedor de servicios de identidad externo. (Avanzado) y, luego, haga clic en Siguiente.

3

Descargue el archivo de metadatos.

El nombre de archivo de metadatos de Cisco Webex es idb-meta-<org-ID>-SP.xml.

Instalar metadatos de Cisco Webex en ADFS

Antes de empezar

Cisco Webex Control Hub es compatible con ADFS 2. x o superior.

Windows 2008 R2 solo incluye ADFS 1,0. Debe instalar un mínimo de ADFS 2. x de Microsoft.

En el caso de SSO y los Cisco Webex servicios, los proveedores de identidad (IDP) deben cumplir con la siguiente especificación SAML 2,0:

  • Establezca el atributo formato del ID de nombre del NameID en urn: a. de la siguiente forma: TC: SAML: 2.0: NameID-Format:Transient

  • Configure un reclamo en el IdP para incluir el nombre del atributo UID con un valor asignado al atributo elegido en Conector de directorios de Cisco o el atributo de usuario que coincida con el que se elige en el servicio de identidad de Cisco WebEx. (Por ejemplo, este atributo podría ser de dirección de correo electrónico o de nombre de usuario principal). Consulte la información del atributo personalizado en https://www.cisco.com/go/hybrid-services-directory para obtener instrucciones.

1

Inicie sesión en el servidor de ADFS con permisos de administrador.
2

Abra la consola de administración de ADFS y examine las relaciones de confianza > Relaciones de confianza para usuario autenticado > Agregar la relación de confianza del usuario autenticado.

3

En la ventana del Asistente para agregar partes de confianza, seleccione Iniciar.

4

En el paso para Seleccionar fuente de datos, seleccione Importar datos sobre la parte de confianza desde un archivo, busque el archivo de metadatos de Cisco Webex Control Hub que descargó y seleccione Siguiente.

5

para especificar nombre para mostrar, cree una nombre para mostrar para esta veracidad del usuario de confianza, como Cisco Webex y seleccione siguiente.

6

En el paso para Elegir reglas para la autorización de la emisión, seleccione Permitir que todos los usuarios accedan a esta parte de confianza y seleccione Siguiente.

7

En listo para agregar confianza, seleccione siguiente y termine de agregar la confianza de reconfianza a ADFS.

Crear reglas de reclamos para permitir la autenticación desde Cisco Webex

1

En el panel principal de ADFS, seleccione la relación de confianza que creó y, luego, seleccioneEditar reglas de reclamos. En la ficha de Reglas para transformar emisiones, seleccione Agregar regla.

2

En el paso para Elegir el tipo de regla, seleccione la opción para Enviar atributos LDAP como reclamos; luego, seleccione Siguiente.

  1. Introduzca un Nombre de regla de reclamo.

  2. Seleccione Active Directory como Almacén de atributos.

  3. Asigne el atributo LDAP E-mail-Addresses al tipo de reclamo saliente uid.

    La regla le indica a ADFS qué campos debe asignar a Cisco Webex para identificar a un usuario. Escriba los tipos de reclamos salientes exactamente como se muestran.

  4. Guarde los cambios.
3

Vuelva a seleccionar Agregar regla, seleccione Enviar reclamos utilizando una regla personalizada y, luego, seleccione Siguiente.

Esta regla le proporciona a ADFS el atributo “spname qualifier” que Cisco Webex no puede ofrecer.

  1. Abra su editor de texto y copie el siguiente contenido.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Reemplace URL1 y URL2 en el texto de la siguiente manera:
    • URL1 es el valor de entityID del archivo de metadatos de ADFS que descargó.

      Por ejemplo, lo que sigue es una muestra de lo que verá: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie solo el entityID del archivo de metadatos de ADFS y péguelo en el archivo de texto para reemplazar a URL1.

    • URL2 está en la primera línea del archivo de metadatos de Cisco Webex que descargó.

      Por ejemplo, lo que sigue es una muestra de lo que verá: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie solo el entityID del archivo de metadatos de Cisco Webex y péguelo en el archivo de texto para reemplazar a URL2.

  2. Con las URL actualizadas, copie la regla desde su editor de texto (a partir de "c:") y péguela en el cuadro de regla personalizada de su servidor ADFS.

    La regla completada se debería ver así:

  3. Seleccione Finalizar para crear la regla; luego, salga de la ventana para Editar reglas de reclamo.

4

Seleccione la Parte de confianza en la ventana principal y, luego, Propiedades en el panel derecho.

5

Cuando aparezca la ventana de Propiedades, diríjase a la ficha Avanzadas, SHA-256, y, luego, seleccione Aceptar para guardar sus cambios.

6

Diríjase a la siguiente URL en el servidor ADFS interno para descargar el archivo: https://Servidor_AD_FS>/FederationMetadata/2007-06/FederationMetadata.xml


 

Es posible que deba hacer clic derecho sobre la página y ver el código fuente de la página para obtener el archivo xml con el formato correcto.

7

Guarde el archivo en su máquina local.

Qué hacer a continuación

Ya puede volver a importar los metadatos de ADFS a Cisco Webex desde el portal de administración.

Importar los metadatos del IdP y habilitar el inicio de sesión único después de una prueba

Después de exportar los metadatos de Cisco Webex, configurar su IdP y descargar los metadatos del IdP a su sistema local, estará en condiciones de importarlos a su organización de Cisco Webex desde Control Hub.

1

Elija una opción:

  • Regrese a la página Cisco Webex Control Hub – Exportar metadatos de directorios en su navegador y, a continuación, haga clic en Siguiente.
  • Si Control Hub ya no está abierto en la ficha del navegador, desde la vista del cliente en https://admin.webex.com, vaya a Configuración, desplácese hasta Autenticación, elija Integrar un proveedor de servicios de identidad externo (avanzado) y, a continuación, haga clic en Siguiente en la página del archivo de metadatos de confianza (debido a que usted ya lo hizo antes).
2

En la página Importar metadatos del IdP, arrastre y suelte el archivo de metadatos del IdP a la página o utilice la opción para examinar archivos y localizar y cargar el archivo de metadatos. Haga clic en Siguiente.

Si los metadatos no están firmados, están firmados con un certificado de firma automática o están firmados con una autoridad de certificación (CA) privada para la empresa, le recomendamos que utilice el certificado de requerir firmado por una autoridad de certificados en los metadatos (más seguro). Si el certificado es de firma automática, tiene que elegir la opción menos seguro.

3

Seleccione probar conexión de SSOy cuando se abre una nueva ficha del explorador, autentique con el IdP iniciando sesión.


 

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

La presencia de un error de Webex Teams suele indicar que hay un problema con la configuración del SSO. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración de IdP.

4

Regrese a la ficha Control Hub del navegador.

  • Si la prueba fue exitosa, seleccione Esta prueba fue exitosa. Habilite la opción del Inicio de sesión único y haga clic en Siguiente.
  • Si la prueba no fue exitosa, seleccione Esta prueba no fue exitosa. Deshabilite la opción del Inicio de sesión único y haga clic en Siguiente.

Qué hacer a continuación

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de Webex Teams de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Solucionar problemas en ADFS

Errores de ADFS en registros de Windows

En los registros de Windows es posible que vea un código de error 364 en el registro de eventos de ADFS. Los detalles del evento identifican la presencia de un certificado no válido. En estos casos, el host de ADFS no tiene autorización para atravesar el firewall en el puerto 80 para validar el certificado.

ID de federación

El ID de federación distingue entre mayúsculas y minúsculas. Si esta es la dirección de correo electrónico de su organización, introdúzcala exactamente como la envíe ADFS; si no lo hace, Cisco Webex no podrá encontrar el usuario que corresponda.

No se puede redactar una regla de reclamo personalizada para normalizar el atributo LDAP antes de enviarlo.

Importe sus metadatos desde el servidor de AD FS que configuró en su entorno.

Si es necesario, puede verificar la URL si se desplaza hasta el servicio. > Extremos > Metadatos > Tipo: metaDatos de Federación en administración de ADFS.

Sincronización de la hora

Asegúrese de que el reloj del sistema de su servidor ADFS esté sincronizado con una fuente de hora de Internet confiable que emplee el Protocolo de hora de red (Network Time Protocol, NTP). Utilice el siguiente comando de PowerShell para sesgar el reloj solo para la relación de parte de confianza de Cisco Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

El valor hexadecimal es único para su entorno. Reemplace el valor a partir del valor de ID de EntityDescriptor del SP en el archivo de metadatos de Cisco Webex. Por ejemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">