Single sign-on ja Control Hub

Single sign-on (SSO) on istunnon tai käyttäjän todennusprosessi, jonka avulla käyttäjä voi antaa tunnistetiedot yhden tai useamman sovelluksen käyttämiseksi. Prosessi todentaa käyttäjät kaikkien niiden sovellusten osalta, joihin heille on annettu oikeudet. Se poistaa lisäkehotukset, kun käyttäjät vaihtavat sovelluksia tietyn istunnon aikana.

SAML 2.0 (Security Assertion Markup Language) -liittymäprotokollaa käytetään SSO-todennuksen tarjoamiseen Webex-pilven ja identiteetin tarjoajan (IdP) välillä.

Profiilit

Webex App tukee vain verkkoselaimen SSO-profiilia. Webex App tukee verkkoselaimen SSO-profiilissa seuraavia sidoksia:

  • SP aloitti POST -> POST-sidonnan

  • SP aloitti REDIRECT -> POST-sidonnan

NameID-muoto

SAML 2.0 -protokolla tukee useita NameID-muotoja, joiden avulla voidaan viestiä tietystä käyttäjästä. Webex App tukee seuraavia NameID-muotoja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP:ltäsi lataamissasi metatiedoissa ensimmäinen merkintä on määritetty käytettäväksi Webexissä.

SingleLogout

Webex App tukee yksittäistä uloskirjautumisprofiilia. Webex App -sovelluksessa käyttäjä voi kirjautua ulos sovelluksesta, joka käyttää SAML single logout -protokollaa istunnon lopettamiseen ja uloskirjautumisen vahvistamiseen IdP:lläsi. Varmista, että IdP:si on määritetty SingleLogout.

Integroi Control Hub ADFS:n kanssa

Määritysoppaat esittävät tietyn esimerkin SSO-integraatiosta, mutta ne eivät tarjoa tyhjentävää määritystä kaikille mahdollisuuksille. Esimerkiksi integraatiovaiheet nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient on dokumentoitu. Muut muodot, kuten urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified tai urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , toimivat SSO-integroinnissa, mutta ne eivät kuulu dokumentaatiomme piiriin.

Määritä tämä integraatio Webex-organisaatiosi käyttäjille (mukaan lukien Webex App, Webex Meetings ja muut Control Hubissa hallinnoidut palvelut). Jos Webex-sivusto on integroitu Control Hubiin, Webex-sivusto perii käyttäjähallinnan. Jos et voi käyttää Webex Meetings -palvelua tällä tavoin eikä sitä hallita Control Hubissa, sinun on tehtävä erillinen integrointi Webex Meetingsin SSO:n käyttöön ottamiseksi. (Katso Configure Single Sign-On for Webex lisätietoja SSO-integraatiosta sivuston hallinnassa.)

Riippuen siitä, mitä ADFS:n todennusmekanismeissa on määritetty, IWA (Integrated Windows Authentication) voi olla oletusarvoisesti käytössä. Jos tämä on käytössä, Windowsin kautta käynnistettävät sovellukset (kuten Webex App ja Cisco Directory Connector) todennetaan sisäänkirjautuneena käyttäjänä riippumatta siitä, mikä sähköpostiosoite on syötetty alkuperäisen sähköpostikutsun yhteydessä.

Lataa Webexin metatiedot paikalliseen järjestelmään.

1

Siirry asiakasnäkymässä osoitteessa https://admin.webex.com kohtaan Hallinta > Organisaatioasetukset ja selaa sitten kohtaan Todennus ja vaihda sitten Single sign-on -asetus käynnistääksesi ohjatun asennuksen.

2

Valitse organisaatiollesi sopiva varmenteen tyyppi:

  • Ciscon itse allekirjoittama- Suosittelemme tätä vaihtoehtoa. Anna meidän allekirjoittaa todistus, jotta sinun tarvitsee uusia se vain kerran viidessä vuodessa.
  • Julkisen varmentajan allekirjoittama- Turvallisempi, mutta metatiedot on päivitettävä usein (ellei IdP-toimittaja tue luottamusankkureita).

Luottamusankkurit ovat julkisia avaimia, jotka toimivat auktoriteettina digitaalisen allekirjoituksen varmenteen varmentamisessa. Lisätietoja on IdP:n dokumentaatiossa.

3

Lataa metatietotiedosto.

Webexin metatietotiedoston nimi on idb-meta--SP.xml.

Asenna Webex-metatiedot ADFS:ään

Ennen kuin aloitat

Control Hub tukee ADFS 2.x:ää tai uudempaa versiota.

Windows 2008 R2 sisältää vain ADFS 1.0:n. Sinun on asennettava vähintään ADFS 2.x Microsoftilta.

SSO- ja Webex-palveluissa identiteetin tarjoajien (IdP) on noudatettava seuraavaa SAML 2.0 -määrittelyä:

  • Aseta NameID Format -attribuutin arvoksi urn:oasis:names:tc:SAML:2.0:nameid-format:transientti

  • Määritä IdP:hen väite, joka sisältää uid -attribuutin nimen, jonka arvo on yhdistetty Cisco Directory Connectorissa valittuun attribuuttiin tai Webex-tunnistuspalvelussa valittua attribuuttia vastaavaan käyttäjäattribuuttiin. (Tämä määrite voi olla esimerkiksi sähköpostiosoite tai käyttäjän pääkäyttäjän nimi.) Katso ohjeita mukautetun attribuutin tiedoista osoitteessa https://www.cisco.com/go/hybrid-services-directory .

1

Kirjaudu ADFS-palvelimeen järjestelmänvalvojan oikeuksilla.

2

Avaa ADFS-hallintakonsoli ja siirry osoitteeseen Luottamussuhteet > Relying Party Trusts > Add Relying Party Trust.

3

Valitse Add Relying Party Trust Wizard -ikkunassa Start.

4

Valitse Valitse tietolähde Valitse Tuo luotettavan osapuolen tiedot tiedostosta, selaa lataamasi Control Hub Metadata -tiedosto ja valitse Seuraava.

5

Kohdassa Määritä näyttönimi, luo tälle luotettavalle osapuolelle näyttönimi, kuten Webex ja valitse Seuraava.

6

Valitse Valitse Issuance Authorization Rules, valitse Permit all users to access this relying party ja valitse Next.

7

Valitse Valmis lisäämään luottamus, valitse Seuraava ja viimeistele luottavan luottamuksen lisääminen ADFS:ään.

Luo Webex-todennuksen väittämissäännöt

1

Valitse ADFS:n pääikkunassa luotu luottamussuhde ja valitse sitten Muokkaa vaatimussääntöjä. Valitse Issuance Transform Rules -välilehdellä Add Rule.

2

Valitse Choose Rule Type -vaiheessa Send LDAP Attributes as Claims ja valitse sitten Next.

  1. Syötä Claim Rule Name.

  2. Valitse attribuuttivarastoksi Active Directory .

  3. Liitä Sähköpostiosoitteet LDAP-attribuutti uid lähtevän pyynnön tyyppiin.

    Tämä sääntö kertoo ADFS:lle, mitä kenttiä Webexiin liitetään käyttäjän tunnistamiseksi. Kirjoita lähtevät korvausvaatimustyypit täsmälleen kuvan mukaisesti.

  4. Tallenna muutokset.

3

Valitse uudelleen Lisää sääntö , valitse Lähetä korvausvaatimuksia mukautetun säännön avulla ja valitse sitten Seuraava.

Tämä sääntö tarjoaa ADFS:lle "spname qualifier" -attribuutin, jota Webex ei muuten tarjoa.

  1. Avaa tekstieditori ja kopioi seuraava sisältö.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Korvaa URL1 ja URL2 tekstissä seuraavasti:

    • URL1 on lataamasi ADFS-metatietotiedoston entityID.

      Esimerkiksi seuraava on esimerkki siitä, mitä näet: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopioi vain entityID ADFS-metatietotiedostosta ja liitä se tekstitiedostoon URL1:n tilalle.

    • URL2 on lataamasi Webex-metatietotiedoston ensimmäisellä rivillä.

      Esimerkiksi seuraava on esimerkki siitä, mitä näet: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopioi Webexin metatietotiedostosta vain entityID ja liitä se tekstitiedostoon URL2:n tilalle.

  2. Kopioi sääntö päivitettyjen URL-osoitteiden kanssa tekstieditorista (alkaen "c:") ja liitä se ADFS-palvelimen mukautetun säännön laatikkoon.

    Valmiin säännön pitäisi näyttää tältä:

  3. Luo sääntö valitsemalla Finish ja poistu sitten ikkunasta Edit Claim Rules (Muokkaa korvaussääntöjä).

4

Valitse pääikkunassa Relying Party Trust ja valitse sitten oikeassa ruudussa Properties .

5

Kun Ominaisuudet-ikkuna tulee näkyviin, siirry Lisäasetukset -välilehdelle, SHA-256 ja tallenna muutokset valitsemalla OK .

6

Selaa sisäisen ADFS-palvelimen seuraavaan URL-osoitteeseen ladataksesi tiedoston: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Saatat joutua napsauttamaan sivua hiiren kakkospainikkeella ja katsomaan sivun lähdettä saadaksesi oikein muotoillun XML-tiedoston.

7

Tallenna tiedosto paikalliselle koneellesi.

Mitä tehdä seuraavaksi

Olet valmis tuomaan ADFS-metatiedot takaisin Webexiin hallintaportaalista.

Tuo IdP-metatiedot ja ota kertakirjautuminen käyttöön testin jälkeen.

Kun olet vienyt Webex-metatiedot, määrittänyt IdP:n ja ladannut IdP-metatiedot paikalliseen järjestelmään, voit tuoda ne Webex-organisaatioon Control Hubista.

Ennen kuin aloitat

Älä testaa SSO-integraatiota identiteetin tarjoajan (IdP) käyttöliittymästä. Tuemme vain palveluntarjoajan (SP) käynnistämiä virtoja, joten sinun on käytettävä Control Hub SSO -testiä tätä integrointia varten.

1

Valitse yksi:

  • Palaa selaimessasi Control Hub - varmenteen valintasivulle ja napsauta sitten Next.
  • Jos Control Hub ei ole enää avoinna selaimen välilehdellä, siirry asiakasnäkymästä https://admin.webex.com, valitse Hallinta > Organisaatioasetukset, selaa kohtaan Todennus ja valitse sitten Toiminnot > Tuo metatiedot.
2

Tuo IdP-metatiedot -sivulla joko raahaa ja pudota IdP-metatietotiedosto sivulle tai käytä tiedostoselaimen vaihtoehtoa metatietotiedoston etsimiseen ja lataamiseen. Napsauta Next.

Sinun kannattaa käyttää More secure -vaihtoehtoa, jos voit. Tämä on mahdollista vain, jos tunnistuspalveluntarjoajasi on käyttänyt julkista varmentajaa metatietojensa allekirjoittamiseen.

Kaikissa muissa tapauksissa on käytettävä Vähemmän suojattua -vaihtoehtoa. Tämä koskee myös sitä, jos metatietoja ei ole allekirjoitettu, jos niitä on allekirjoitettu itse tai jos niitä on allekirjoittanut yksityinen varmentaja.

Okta ei allekirjoita metatietoja, joten sinun on valittava Less secure Okta SSO -integraatiota varten.

3

Valitse Test SSO setup, ja kun uusi selainvälilehti avautuu, tunnistaudu IdP:n kanssa kirjautumalla sisään.

Jos saat todennusvirheen, tunnuksissa voi olla ongelma. Tarkista käyttäjätunnus ja salasana ja yritä uudelleen.

Webex App -virhe tarkoittaa yleensä ongelmaa SSO-asetuksissa. Käy tässä tapauksessa vaiheet uudelleen läpi, erityisesti vaiheet, joissa kopioit ja liität Control Hubin metatiedot IdP-asetuksiin.

Jos haluat nähdä SSO-sisäänkirjautumiskokemuksen suoraan, voit myös napsauttaa Kopioi URL-osoite leikepöydälle tästä näytöstä ja liittää sen yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä vaihe estää vääriä positiivisia tuloksia, jotka johtuvat kirjautumisen yhteydessä mahdollisesti olemassa olevassa istunnossa olevasta käyttöoikeustunnuksesta.

4

Palaa Control Hub -selainvälilehdelle.

  • Jos testi onnistui, valitse Onnistunut testi. Ota SSO käyttöön ja napsauta Seuraava.
  • Jos testi ei onnistunut, valitse Epäonnistunut testi. Ota SSO pois käytöstä ja napsauta Seuraava.

SSO-konfiguraatio ei tule voimaan organisaatiossasi, ellet valitse ensimmäistä valintaruutua ja aktivoi SSO:ta.

Mitä tehdä seuraavaksi

Käytä menettelyjä osoitteessa Synkronoi Okta-käyttäjät Cisco Webex Control Hubiin , jos haluat tehdä käyttäjien käyttöönoton Oktasta Webex-pilveen.

Käytä menettelyjä osoitteessa Synkronoi Azure Active Directory -käyttäjät Cisco Webex Control Hubiin , jos haluat tehdä käyttäjien käyttöönoton Azure AD:stä Webex-pilveen.

Voit poistaa organisaatiosi uusille Webex App -käyttäjille lähetettävät sähköpostiviestit käytöstä kohdassa Suppress Automated Emails kuvatun menettelyn mukaisesti. Asiakirjassa on myös parhaita käytäntöjä viestinnän lähettämiseen organisaatiosi käyttäjille.

Webexin luotettavan osapuolen luottamuksen päivittäminen ADFS:ssä

Tämä tehtävä koskee erityisesti ADFS:n päivittämistä Webexin uusilla SAML-metatiedoilla. Aiheeseen liittyviä artikkeleita on saatavilla, jos sinun on määritettävä SSO ADFS:n kanssa tai jos sinun on päivitettävä (eri) IdP:n SAML-metatiedot uutta Webex SSO -varmentetta varten.

Ennen kuin aloitat

Sinun on vietävä SAML-metatietotiedosto Control Hubista, ennen kuin voit päivittää Webex Relying Party Trust -luottamuksen ADFS:ssä.

1

Kirjaudu ADFS-palvelimeen järjestelmänvalvojan oikeuksilla.

2

Lataa SAML-metatietotiedosto Webexistä väliaikaiseen paikalliseen kansioon ADFS-palvelimella, esim. //ADFS_servername/temp/idb-meta- -SP.xml.

3

Avaa Powershell.

4

Suorita Get-AdfsRelyingPartyTrust lukeaksesi kaikki luotettavien osapuolten luottamukset.

Huomaa Webexin luottavan osapuolen luottamuksen TargetName -parametri. Käytämme esimerkkinä "Webex", mutta se voi olla erilainen ADFS:ssäsi.

5

Suorita Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta- -SP.xml" -TargetName "Webex".

Varmista, että korvaa tiedostonimi ja kohteen nimi ympäristön oikeilla arvoilla.

Katso https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Jos olet ladannut Webex SP 5 -vuosivarmenteen ja sinulla on Signing tai Encryption Certificate Revocation -varmenteen peruutus käytössä, sinun on suoritettava nämä kaksi komentoa: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Kirjaudu sisään Control Hubiin ja testaa SSO-integraatio:

  1. Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Authentication ja kytke päälle Single Sign-On -asetus käynnistääksesi ohjatun määrityksen.

  2. Napsauta Next ohittaaksesi Import IdP Metadata -sivun.

    Sinun ei tarvitse toistaa tätä vaihetta, koska olet aiemmin tuonut IdP-metatiedot.

  3. Testaa SSO-yhteys ennen kuin otat sen käyttöön. Tämä vaihe toimii kuin koekäyttö, eikä se vaikuta organisaation asetuksiin ennen kuin otat SSO:n käyttöön seuraavassa vaiheessa.

    Jos haluat nähdä SSO-sisäänkirjautumiskokemuksen suoraan, voit myös napsauttaa Kopioi URL-osoite leikepöydälle tästä näytöstä ja liittää sen yksityiseen selainikkunaan. Sieltä voit käydä läpi kirjautumisen SSO:lla. Tämä auttaa poistamaan selaimesta välimuistiin tallennetut tiedot, jotka voisivat antaa väärän positiivisen tuloksen SSO-kokoonpanoa testattaessa.

  4. Kirjaudu sisään suorittaaksesi testin.

ADFS-vianmääritys

ADFS-virheet Windowsin lokitiedostoissa

Windowsin lokitiedostoissa saattaa näkyä ADFS-tapahtumalokin virhekoodi 364. Tapahtuman tiedot tunnistavat virheellisen varmenteen. Näissä tapauksissa ADFS-isäntä ei pääse palomuurin kautta porttiin 80 varmenteen vahvistamista varten.

Virhe tapahtui, kun luotettavan osapuolen varmenneketjua yritettiin rakentaa.

SSO-varmenteen päivittämisen yhteydessä kirjautumisen yhteydessä saattaa tulla tämä virheilmoitus: Vastauksen virheellinen tilakoodi.

Jos näet tämän virheen, tarkista ADFS-palvelimen Event Viewer -lokit ja etsi seuraava virhe: Virhe tapahtui, kun yritettiin rakentaa varmenne- ketjua luottavan osapuolen luottamuksen 'https://idbroker.webex.com/<org-ID>' varmenteelle, jonka tunnistetiedot on tunnistettu peukalonjäljellä '754B9208F1F75C5CC122740F3675C5D129471D80'. Mahdollisia syitä ovat, että varmenne on peruutettu, varmenneketjua ei ole voitu tarkistaa luotettavan osapuolen salausvarmenteen peruutusasetusten mukaisesti tai varmenteen voimassaoloaika on päättynyt.

Jos tämä virhe ilmenee, sinun on suoritettava komennot Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Liiton tunnus

Liiton tunnisteessa on noudatettava isojen ja pienten kirjainten eroa. Jos tämä on organisaatiosi sähköpostiosoite, anna se täsmälleen sellaisena kuin ADFS lähettää sen, tai Webex ei löydä vastaavaa käyttäjää.

LDAP-attribuutin normalisoimiseksi ennen sen lähettämistä ei voi kirjoittaa mukautettua väittämäsääntöä.

Tuo metatiedot ADFS-palvelimelta, jonka olet määrittänyt ympäristöön.

Voit tarvittaessa tarkistaa URL-osoitteen siirtymällä ADFS-hallinnassa osoitteeseen Palvelu > Päätepisteet > Metatiedot > Tyyppi:Federation Metatiedot .

Ajan synkronointi

Varmista, että ADFS-palvelimen järjestelmäkello on synkronoitu luotettavaan Internet-aikalähteeseen, joka käyttää NTP-protokollaa (Network Time Protocol). Käytä seuraavaa PowerShell-komentoa kellon vinouttamiseen vain Webex Relying Party Trust -suhteen osalta.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Heksadesimaaliarvo on ainutlaatuinen ympäristössäsi. Korvaa arvo SP EntityDescriptor ID -arvosta Webex-metatietotiedostossa. Esimerkiksi:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">