Kertakirjautuminen ja Ohjauskeskus

Kertakirjautuminen (SSO) on istunto- tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa valtuustiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikissa sovelluksissa, joihin heillä on oikeudet. Se eliminoi lisäkehotteet, kun käyttäjät vaihtavat sovellusta tietyn istunnon aikana.

Security Assertion Markup Language (SAML 2.0) Federation Protocol -protokollaa käytetään SSO-todennusta varten Webex pilvi ja identiteetin tarjoaja (IdP).

Profiilit

Webex-sovellus tukee vain verkkoselaimen SSO-profiilia. Verkkoselaimen SSO-profiilissa Webex-sovellus tukee seuraavia sidoksia:

  • SP aloitti POST -> POST-sidonta

  • SP aloitti REDIRECT -> POST -sidoksen

NameID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja tietystä käyttäjästä viestimiseen. Webex-sovellus tukee seuraavia NameID-muotoja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:stä lataamiesi metatietojen ensimmäinen merkintä on määritetty käytettäväksi Webex.

SingleLogout

Webex-sovellus tukee kertakirjautumisprofiilia. Sisään Webex-sovellus, käyttäjä voi kirjautua ulos sovelluksesta, joka käyttää SAML-kertakirjautumisprotokollaa lopettaakseen istunnon ja vahvistaakseen kirjautumisen ulos IDP:lläsi. Varmista, että IDP on määritetty SingleLogoutille.

Integroi Ohjauskeskus ADFS:n kanssa


 

Konfigurointioppaat näyttävät erityisen esimerkin SSO-integroinnista, mutta ne eivät tarjoa tyhjentävää konfigurointia kaikille mahdollisuuksille. Esimerkiksi integroinnin vaiheet nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient ovat dokumentoituja. Muut formaatit, esim urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress toimii SSO-integraatiossa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integrointi käyttäjillesi Webex organisaatio (mukaan lukien Webex-sovellus, Webex-kokouksetja muut palvelut, joita hallinnoidaan Ohjauskeskus). Jos sinun Webex sivusto on integroitu Ohjauskeskus, Webex sivusto perii käyttäjien hallinnan. Jos et pääse käsiksi Webex-kokoukset tällä tavalla, eikä sitä hallita Ohjauskeskus, sinun on tehtävä erillinen integrointi kertakirjautumisen mahdollistamiseksi Webex-kokoukset. (Katso Määritä Webexin kertakirjautuminen saadaksesi lisätietoja SSO-integroinnista sivuston hallinnassa.)

Sen mukaan, mitä ADFS:n todennusmekanismeissa on määritetty, Integrated Windows Authentication (IWA) voidaan ottaa oletusarvoisesti käyttöön. Jos käytössä, Windowsin kautta käynnistetyt sovellukset (esim Webex-sovellus ja Cisco Directory Connector) todennetaan sisäänkirjautuneena käyttäjänä riippumatta siitä, mikä sähköpostiosoite kirjoitetaan ensimmäisen sähköpostikehotteen aikana.

Lataa Webex metatiedot paikalliseen järjestelmääsi

1

Asiakasnäkymästä sisään https://admin.webex.com, mene Hallinto > Organisaation asetuksetja vieritä sitten kohtaan Todennus, ja kytke sitten päälle Kertakirjautuminen asetus käynnistääksesi ohjatun asennustoiminnon.

2

Valitse organisaatiosi varmennetyyppi:

  • Ciscon itse allekirjoittama– Suosittelemme tätä valintaa. Allekirjoitamme sertifikaatin, jotta sinun tarvitsee uusia se vain kerran viidessä vuodessa.
  • Julkisen varmentajan allekirjoittama— Turvallisempi, mutta sinun on päivitettävä metatiedot usein (ellei IDP-toimittaja tue luottamusankkureita).

 

Luottamusankkurit ovat julkisia avaimia, jotka toimivat valtuutuksena digitaalisen allekirjoituksen varmenteen vahvistamisessa. Katso lisätietoja IDP-dokumentaatiostasi.

3

Lataa metatietotiedosto.

Webex-metatietojen tiedostonimi on idb-meta-<org-ID>-SP.xml.

Asentaa Webex metatiedot ADFS:ssä

Ennen kuin aloitat

Ohjauskeskus tukee ADFS 2.x -versiota tai uudempaa.

Windows 2008 R2 sisältää vain ADFS 1.0:n. Sinun on asennettava vähintään ADFS 2.x Microsoftilta.

SSO:lle ja Webex Palveluiden, identiteetintarjoajien (IdP) on oltava seuraavan SAML 2.0 -määrityksen mukaisia:

  • Aseta NameID Format -attribuutiksi urn:oasis:names:tc:SAML:2.0:nameid-format:ohimenevä

  • Määritä IdP:n vaatimus sisällyttämään uid attribuutin nimi arvolla, joka on yhdistetty valittuun määritteeseen Cisco Directory Connector tai käyttäjän määrite, joka vastaa kohdassa valittua attribuuttia Webex identiteettipalvelu. (Tämä attribuutti voi olla esimerkiksi Sähköpostiosoitteet tai Käyttäjän päänimi.) Katso mukautetun määritteen tiedot https://www.cisco.com/go/hybrid-services-directory opastusta varten.

1

Kirjaudu ADFS-palvelimeen järjestelmänvalvojan oikeuksilla.

2

Avaa ADFS-hallintakonsoli ja selaa kohtaan Luottamussuhteet > Luotettava puolueen luottamus > Lisää luottavainen puolue.

3

alkaen Lisää Luotettavan osapuolen luottamuksen ohjattu toiminto ikkuna, valitse alkaa.

4

varten Valitse Tietolähde valitse Tuo luottavan osapuolen tiedot tiedostosta, selaa kohtaan Ohjauskeskus lataamasi metatietotiedosto ja valitse Seuraava.

5

varten Määritä näyttönimi, luo näyttönimi tälle luottavalle osapuolelle, kuten Webex ja valitse Seuraava.

6

varten Valitse Myönnyksen valtuutussäännöt, valitse Salli kaikkien käyttäjien käyttää tätä luotettavaa osapuoltaja valitse Seuraava.

7

varten Valmiina lisäämään luottamusta, valitse Seuraava ja viimeistele luottavan luottamuksen lisääminen ADFS:ään.

Luo vaatimussäännöt kohteelle Webex todennus

1

Valitse ADFS-pääruudussa luomasi luottamussuhde ja valitse sitten Muokkaa vaatimussääntöjä. Valitse Myöntämisen muunnossäännöt -välilehdeltä Lisää sääntö.

2

Valitse Valitse sääntötyyppi -vaiheessa Lähetä LDAP-attribuutit väitteinäja valitse sitten Seuraava.

  1. Kirjoita Vaatimussäännön nimi.

  2. Valitse Active Directory attribuuttikauppana.

  3. Karttaa Sähköpostiosoitteet LDAP-attribuutti uid lähtevä vaatimustyyppi.

    Tämä sääntö kertoo ADFS:lle, mihin kenttiin se yhdistetään Webex käyttäjän tunnistamiseen. Kirjoita lähtevät vaatimustyypit täsmälleen kuvan mukaisesti.

  4. Tallenna muutokset.

3

Valitse Lisää sääntö uudelleen, valitse Lähetä vaatimuksia mukautetun säännön avullaja valitse sitten Seuraava.

Tämä sääntö tarjoaa ADFS:lle spname qualifier -määritteen Webex ei muuta säädetä.

  1. Avaa tekstieditori ja kopioi seuraava sisältö.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Korvaa URL1 ja URL2 tekstissä seuraavasti:

    • URL1 on entiteettitunnus lataamastasi ADFS-metatietotiedostosta.

      Esimerkiksi seuraava on esimerkki näkemästäsi: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopioi vain entiteettitunnus ADFS-metatietotiedostosta ja liitä se tekstitiedostoon korvataksesi URL1:n

    • URL2 on ensimmäisellä rivillä Webex lataamasi metatietotiedosto.

      Esimerkiksi seuraava on esimerkki näkemästäsi: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopioi vain entityID tiedostosta Webex metatietotiedosto ja liitä se tekstitiedostoon korvataksesi URL2.

  2. Kopioi päivitettyjen URL-osoitteiden kanssa sääntö tekstieditoristasi (alkaen kirjaimesta "c:") ja liitä se ADFS-palvelimesi mukautettuun sääntöruutuun.

    Täydetyn säännön pitäisi näyttää tältä:

  3. Valitse Suorittaa loppuun luodaksesi säännön, ja poistu sitten Muokkaa vaatimussääntöjä -ikkunasta.

4

Valitse Luotettava puolueen luottamus pääikkunassa ja valitse sitten Ominaisuudet oikeassa ruudussa.

5

Kun Ominaisuudet-ikkuna tulee näkyviin, selaa kohtaan Pitkälle kehittynyt välilehti, SHA-256 ja valitse sitten OK tallentaaksesi muutokset.

6

Lataa tiedosto siirtymällä seuraavaan URL-osoitteeseen sisäisessä ADFS-palvelimessa: https://<ILMOITUS_FS_Palvelin>/FederationMetadata/2007-06/FederationMetadata.xml


 

Saatat joutua napsauttamaan sivua hiiren kakkospainikkeella ja katsomaan sivun lähdekoodia saadaksesi oikein muotoillun XML-tiedoston.

7

Tallenna tiedosto paikalliselle koneellesi.

Mitä tehdä seuraavaksi

Olet valmis tuomaan ADFS-metatiedot takaisin kohteeseen Webex hallintaportaalista.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen

Viennin jälkeen Webex metatiedot, määritä IdP:si ja lataa IdP-metatiedot paikalliseen järjestelmääsi, olet valmis tuomaan ne Webex organisaatiosta Ohjauskeskus.

Ennen kuin aloitat

Älä testaa SSO-integraatiota identiteetintarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan käynnistämiä (SP-aloitteisia) työnkulkuja, joten sinun on käytettävä Ohjauskeskus SSO-testi tälle integraatiolle.

1

Valitse yksi:

  • Palaa selaimesi Control Hub – varmenteen valintasivulle ja napsauta sitten Seuraava.
  • Jos Control Hub ei ole enää avoinna selainvälilehdellä, asiakasnäkymästä sisään https://admin.webex.com, mene Hallinto > Organisaation asetukset, vieritä kohtaan Todennusja valitse sitten Toiminnot > Tuo metatiedot.
2

Vedä ja pudota Tuo IdP-metatiedot -sivulla IdP-metatietotiedosto sivulle tai käytä tiedostoselaimen vaihtoehtoa paikantaaksesi ja ladataksesi metatietotiedoston. Klikkaus Seuraava.

Sinun tulisi käyttää Turvallisempi vaihtoehto, jos voit. Tämä on mahdollista vain, jos IDP on käyttänyt julkista varmentajaa metatietojensa allekirjoittamiseen.

Kaikissa muissa tapauksissa sinun on käytettävä Vähemmän turvallinen vaihtoehto. Tämä koskee myös sitä, jos metadataa ei ole allekirjoitettu, itse allekirjoitettu tai yksityinen varmentaja ei ole allekirjoittanut.


 

Okta ei allekirjoita metatietoja, joten sinun on valittava Vähemmän turvallinen Okta SSO -integraatiota varten.

3

Valitse Testaa SSO-asetuksia , ja kun uusi selaimen välilehti avautuu, todennus IdP:llä kirjautumalla sisään.


 

Jos saat todennusvirheen, tunnistetiedoissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

A Webex-sovellus virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Ohjauskeskus metatiedot IdP-asetuksiin.


 

Näet SSO-kirjautumiskokemuksen suoraan napsauttamalla Kopioi URL-osoite leikepöydälle tästä näytöstä ja liitä se yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä vaihe pysäyttää väärät positiiviset, koska sisäänkirjautumisesi saattaa olla olemassa olevassa istunnossa.

4

Palaa kohtaan Ohjauskeskus selaimen välilehti.

  • Jos testi onnistui, valitse Onnistunut testi. Ota SSO käyttöön ja napsauta Seuraava.
  • Jos testi ei onnistunut, valitse Epäonnistunut testi. Poista SSO käytöstä ja napsauta Seuraava.

 

SSO-määritykset eivät tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintanappia ja aktivoi kertakirjautumista.

Mitä tehdä seuraavaksi

Käytä toimenpiteitä kohdassa Synkronoi Okta-käyttäjät Cisco Webex Control Hubiin jos haluat tehdä käyttäjien provisioinnin Oktasta Webex-pilveen.

Käytä toimenpiteitä kohdassa Synkronoi Azure Active Directory -käyttäjät Cisco Webex Control Hubiin jos haluat tehdä käyttäjien hallinnan Azure AD:stä Webex-pilveen.

Voit seurata menettelyä kohdassa Estä automaattiset sähköpostit poistaaksesi sähköpostit, jotka lähetetään organisaatiosi uusille Webex App -käyttäjille. Asiakirja sisältää myös parhaat käytännöt viestinnän lähettämiseen organisaatiosi käyttäjille.

Päivittää Webex luottavainen puolueen luottamus ADFS:ään

Tämä tehtävä koskee erityisesti ADFS:n päivittämistä Webexin uusilla SAML-metatiedoilla. Tarvittaessa löytyy aiheeseen liittyviä artikkeleita määritä SSO ADFS:llä, tai jos tarvitset päivitä (eri) IDP SAML-metatiedoilla uudelle Webex SSO -sertifikaatille.

Ennen kuin aloitat

Sinun on vietävä SAML-metatietotiedosto Control Hubista, ennen kuin voit päivittää Webex Relying Party Trustin ADFS:ssä.

1

Kirjaudu ADFS-palvelimeen järjestelmänvalvojan oikeuksilla.

2

Lataa SAML-metatietotiedosto Webexistä ADFS-palvelimen väliaikaiseen paikalliseen kansioon, esim. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Avaa Powershell.

4

Juosta Get-AdfsRelyingPartyTrust lukea kaikki luottavaiset puolueet.

Huomaa TargetName parametrin Webex luottavainen puolueen luottamus. Käytämme esimerkkiä "Webex", mutta se voi olla erilainen ADFS:ssäsi.

5

Juosta Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Muista korvata tiedoston nimi ja kohteen nimi oikeilla arvoilla ympäristöstäsi.

Katso https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Jos olet ladannut Webex SP 5 -vuoden varmenteen ja allekirjoitus- tai salaussertifikaatin peruutus on käytössä, sinun on suoritettava nämä kaksi komentoa: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Kirjaudu sisään Ohjauskeskusja testaa sitten SSO-integraatiota:

  1. Mene Hallinto > Organisaation asetukset, vieritä kohtaan Todennus, ja ota käyttöön Kertakirjautuminen asetus käynnistääksesi ohjatun määritystoiminnon.

  2. Klikkaus Seuraava ohittaaksesi Tuo IdP-metatiedot -sivun.

    Sinun ei tarvitse toistaa tätä vaihetta, koska olet aiemmin tuonut IdP-metatiedot.

  3. Testaa SSO-yhteys ennen kuin otat sen käyttöön. Tämä vaihe toimii kuin kuivakäynti eikä vaikuta organisaatiosi asetuksiin ennen kuin otat kertakirjautumisen käyttöön seuraavassa vaiheessa.


     

    Näet SSO-kirjautumiskokemuksen suoraan napsauttamalla Kopioi URL-osoite leikepöydälle tästä näytöstä ja liitä se yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä auttaa poistamaan kaikki selaimesi välimuistissa olevat tiedot, jotka voivat antaa väärän positiivisen tuloksen SSO-määrityksiä testattaessa.

  4. Suorita testi kirjautumalla sisään.

ADFS-vianmääritys

ADFS-virheet Windowsin lokeissa

Windowsin lokeissa saatat nähdä ADFS-tapahtumalokin virhekoodin 364. Tapahtuman tiedot osoittavat virheellisen varmenteen. Näissä tapauksissa ADFS-isäntä ei saa vahvistaa sertifikaattia portin 80 palomuurin kautta.

Virhe yritettäessä rakentaa varmenneketjua luotettavalle osapuolelle

Kun päivität SSO-varmennetta, saatat saada tämän virheilmoituksen kirjautuessasi sisään: Invalid status code in response.

Jos näet tämän virheen, tarkista ADFS-palvelimen Event Viewerin lokit ja etsi seuraava virhe: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mahdollisia syitä ovat se, että varmenne on kumottu, varmenneketjua ei voitu varmentaa luottavan osapuolen salausvarmenteen kumoamisasetusten mukaisesti tai varmenne ei ole voimassaoloajan sisällä.

Jos tämä virhe ilmenee, sinun on suoritettava komennot Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Liittotunnus

Liittymistunnuksessa kirjainkoolla on merkitystä. Jos tämä on organisaatiosi sähköpostiosoitteesi, kirjoita se täsmälleen sellaisena kuin ADFS sen lähettää, tai Webex vastaavaa käyttäjää ei löydy.

Mukautettua vaatimussääntöä ei voida kirjoittaa normalisoimaan LDAP-attribuuttia ennen sen lähettämistä.

Tuo metatietosi ADFS-palvelimesta, jonka olet määrittänyt ympäristöösi.

Voit tarkistaa URL-osoitteen tarvittaessa siirtymällä osoitteeseen Palvelu > Päätepisteet > Metatiedot > Tyyppi: Liiton metatiedot ADFS-hallinnassa.

Ajan synkronointi

Varmista, että ADFS-palvelimesi järjestelmäkello on synkronoitu luotettavaan Internet-aikalähteeseen, joka käyttää Network Time Protocol (NTP) -protokollaa. Käytä seuraavaa PowerShell-komentoa vääristääksesi kelloa Webex Vain luottavainen puolueen luottamussuhde.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Heksadesimaaliarvo on ainutlaatuinen ympäristöllesi. Korvaa arvo SP EntityDescriptor ID -arvosta Webex metatietotiedosto. Esimerkiksi:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">