כניסה יחידה ומרכז בקרה

כניסה יחידה (SSO) היא תהליך הפעלה או אימות משתמש המאפשר למשתמש לספק אישורים לגישה ליישום אחד או יותר. התהליך מאמת את המשתמשים עבור כל היישומים שהם מקבלים זכויות עליהם. זה מבטל הנחיות נוספות כאשר משתמשים מחליפים יישומים במהלך הפעלה מסוימת.

פרוטוקול האיחוד של שפת סימון טענת האבטחה (SAML 2.0) משמש כדי לספק אימות SSO בין ענן Webex לבין ספק הזהויות שלך (IdP).

פרופילים

אפליקציית Webex תומכת רק בפרופיל SSO של דפדפן האינטרנט. בפרופיל SSO של דפדפן האינטרנט, Webex App תומך באיגודים הבאים:

  • SP יזם POST -> איגוד POST

  • SP יזם ניתוב מחדש -> איגוד POST

תבנית NameID

פרוטוקול SAML 2.0 תומך במספר תבניות NameID לתקשורת על משתמש ספציפי. אפליקציית Webex תומכת בתבניות NameID הבאות.

  • urn:oasis:names:tc:saml:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid תבנית:unspecified

  • כתובת דואר אלקטרוני

במטה-נתונים שאתה טוען מה- IdP שלך, הערך הראשון מוגדר לשימוש ב- Webex.

סינגללוג'אוט

אפליקציית Webex תומכת בפרופיל ההתנתקות הבודד. ב- Webex App, משתמש יכול לצאת מהאפליקציה, המשתמשת בפרוטוקול התנתקות יחיד SAML כדי לסיים את ההפעלה ולאשר את ההתנתקות באמצעות ה- IdP שלך. ודא שה-IDP שלך מוגדר עבור SingleLogout.

שלב את Control Hub עם ADFS

קווי התצורה מציגים דוגמה ספציפית לשילוב SSO, אך אינם מספקים תצורה ממצה עבור כל האפשרויות. לדוגמה, שלבי האינטגרציה עבור כד בתבנית nameid:oasis:names:tc:SAML:2.0:nameid-format:transient מתועדים. פורמטים אחרים כגון urn:oasis:names:tc:SAML:1.1:nameid-format:uns specifiified או urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress יפעלו עבור שילוב SSO אך הם מחוץ לתחום התיעוד שלנו.

הגדר שילוב זה עבור משתמשים בארגון Webex שלך (כולל Webex App, פגישותWebex ושירותים אחרים המנוהלים במרכז הבקרה). אם אתר Webex שלך משולב ב- Control Hub, אתר Webex יורש את ניהול המשתמשים. אם אינך מצליח לגשת לפגישות Webex בדרך זו והוא אינו מנוהל ב - Control Hub, עליך לבצע שילוב נפרד כדי להפוך את SSO לזמין עבור פגישותWebex. (ראה הגדר כניסה יחידה עבור Webex לקבלת מידע נוסף בשילוב SSO בניהול האתר.)

בהתאם להגדרה במנגנוני האימות ב-ADFS, ניתן להפעיל את אימות החלונות המשולב (IWA) כברירת מחדל. אם האפשרות מופעלת, יישומים שהופעלו דרך Windows (כגון יישום Webex ומחבר ספר הטלפונים של Cisco) מאמתים בתור המשתמש שנכנס, ללא קשר לכתובת הדוא"ל המוזנת במהלך הנחיית הדוא"ל הראשונית.

הורד את המטה-נתונים של Webex למערכת המקומית שלך

1

מתצוגת הלקוח ב- https://admin.webex.com, עבור אל ניהול > הגדרותארגון ולאחר מכן גלול אל אימותולאחר מכן החלף את הגדרת הכניסה היחידה כדי להפעיל את אשף ההתקנה.

2

בחר את סוג האישור עבור הארגון שלך:

  • נחתם בחתימה עצמית על-ידי Cisco – אנו ממליצים על בחירה זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • נחתם על-ידי רשות אישורים ציבורית – מאובטח יותר, אבל תצטרך לעדכן לעתים קרובות את המטה-נתונים (אלא אם ספק IdP שלך תומך בעוגנים של אמון).

עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.

3

הורד את קובץ המטא-נתונים.

שם קובץ המטה-נתונים של Webex הוא idb-meta--SP.xml.

התקן מטה-נתונים של Webex ב-ADFS

לפני שתתחיל

Control Hub תומך ב-ADFS 2.x ואילך.

Windows 2008 R2 כולל רק את ADFS 1.0. עליך להתקין לפחות ADFS 2.x מ-Microsoft.

עבור שירותי SSO ו-Webex, ספקי זהויות (ספקי זהויות) חייבים להתאים למפרט SAML 2.0 הבא:

  • הגדר את התכונה תבנית NameID ל-urn:oasis:names:tc:SAML:2.0:nameid-format:ארעי

  • קבע תצורה של דרישת בעלות ב-IdP כדי לכלול את שם התכונה uid עם ערך הממופה לתכונה שנבחרה ב-Cisco Directory Connector או לתכונת המשתמש התואמת לזו שנבחרה בשירות הזהויות של Webex. (תכונה זו יכולה להיות כתובות דוא"ל או שם משתמש ראשי, לדוגמה.) עיין במידע התכונה המותאמת אישית בhttps://www.cisco.com/go/hybrid-services-directory לקבלת הדרכה.

1

היכנס לשרת ADFS עם הרשאות מנהל מערכת.

2

פתח את מסוף ניהול ADFS ועיין אל יחסי אמון > אמון צד מסתמך > הוסף אמון צד מסתמך.

3

מהחלון הוסף אשף אמון צד מסתמך , בחר התחל.

4

עבור בחר מקור נתונים בחר יבא נתונים על הצד הנסמך מקובץ, עבור אל קובץ המטה-נתונים של Control Hub שהורדת ובחר הבא.

5

עבור ציין שם תצוגה, צור שם תצוגה עבור אמון צד מסתמך זה, כגון Webex ובחר הבא.

6

עבור בחר כללי הרשאת הנפקה, בחר אפשר לכל המשתמשים לגשת לצד מסתמך זה ובחר הבא.

7

עבור מוכן להוספת אמון, בחר הבא וסיים להוסיף את האמון הנסתר ל-ADFS.

צור כללי דרישת בעלות עבור אימות Webex

1

בחלונית ADFS הראשית, בחר את יחסי האמון שיצרת ולאחר מכן בחר ערוך כללי דרישת בעלות. בלשונית 'כללי המרת הנפקה', בחר הוסף כלל.

2

בשלב 'בחר סוג כלל', בחר שלח תכונות LDAP כתביעות ולאחר מכן בחר הבא.

  1. הזן שם כלל דרוש.

  2. בחר Active Directory כחנות התכונות.

  3. מפה את תכונת כתובות דוא"ל LDAP לסוג דרישת הבעלות היוצאת uid .

    כלל זה אומר ל-ADFS אילו שדות למפות ל-Webex כדי לזהות משתמש. איות את סוגי דרישת הבעלות היוצאת בדיוק כפי שמוצג.

  4. שמור את השינויים.

3

בחר שוב הוסף כלל , בחר שלח תביעות באמצעות כלל מותאם אישית ולאחר מכן בחר הבא.

כלל זה מספק ל-ADFS תכונת "spname qualifier" ש-Webex לא מספק אחרת.

  1. פתח את עורך הטקסט והעתק את התוכן הבא.

    c:[סוג == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(סוג = "⁦http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",⁩ מנפיק = c.מנפיק, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["⁦http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]⁩ = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    החלף את URL1 ו-URL2 בטקסט באופן הבא:

    • URL1 הוא מזהה הישות מקובץ המטה-נתונים של ADFS שהורדת.

      לדוגמה, להלן דוגמה של מה שאתה רואה: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      העתק רק את entityID מקובץ המטה-נתונים של ADFS והדבק אותו בקובץ הטקסט כדי להחליף את URL1

    • URL2 נמצא בשורה הראשונה בקובץ המטה-נתונים של Webex שהורדת.

      לדוגמה, להלן דוגמה של מה שאתה רואה: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      העתק רק את entityID מקובץ המטה-נתונים של Webex והדבק אותו בקובץ הטקסט כדי להחליף את URL2.

  2. באמצעות כתובות ה-URL המעודכנות, העתק את הכלל מעורך הטקסט (החל מ-"C:") והדבק אותו לתיבת הכלל המותאמת אישית בשרת ADFS.

    הכלל שהושלם צריך להיראות כך:

  3. בחר סיום כדי ליצור את הכלל, ולאחר מכן צא מהחלון 'ערוך כללי דרישת בעלות'.

4

בחר אמון צד מסתמך בחלון הראשי ולאחר מכן בחר נכסים בחלונית הימנית.

5

כאשר החלון 'מאפיינים' מופיע, עיין בלשונית מתקדם , SHA-256 ולאחר מכן בחר אישור כדי לשמור את השינויים שלך.

6

עבור אל כתובת ה-URL הבאה בשרת ה-ADFS הפנימי כדי להוריד את הקובץ: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

ייתכן שיהיה עליך ללחוץ לחיצה ימנית על הדף ולהציג את מקור הדף כדי לקבל את קובץ ה-XML המעוצב כראוי.

7

שמור את הקובץ במחשב המקומי שלך.

מה הלאה?

אתה מוכן לייבא את המטה-נתונים של ADFS בחזרה אל Webex מפורטל הניהול.

ייבוא המטה-נתונים של IdP והפעל כניסה יחידה לאחר בדיקה

לאחר ייצוא המטה-נתונים של Webex , קביעת התצורה של IdP והורדת המטה-נתונים של IdP למערכת המקומית שלך, אתה מוכן לייבא אותם לארגון Webex שלך ממרכז הבקרה.

לפני שתתחיל

אל תבדוק שילוב SSO מממשק ספק הזהויות (IdP). אנו תומכים רק בזרימות שיוזמו על-ידי ספק השירות (יזום SP), ולכן עליך להשתמש בבדיקת Control Hub SSO עבור שילוב זה.

1

בחר אחד:

  • חזור ל-Control Hub - דף בחירת האישורים בדפדפן שלך, ולאחר מכן לחץ על הבא.
  • אם Control Hub אינו פתוח עוד בלשונית הדפדפן, מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול אל אימות ולאחר מכן בחר פעולות > יבא מטה-נתונים.
2

בדף ייבוא מטא-נתונים של IdP, גרור ושחרר את קובץ המטא-נתונים IdP לדף או השתמש באפשרות דפדפן הקבצים כדי לאתר ולהעלות את קובץ המטה-נתונים. לחץ על הבא.

עליך להשתמש באפשרות מאובטחת יותר, אם אתה יכול. הדבר אפשרי רק אם ה-IDP שלך השתמש ב-CA ציבורי כדי לחתום על המטא-נתונים שלו.

בכל המקרים האחרים, עליך להשתמש באפשרות 'פחות מאובטח '. פעולה זו כוללת אם המטה-נתונים אינם חתומים, חתומים בחתימה עצמית או נחתמים על-ידי מנהל שירותי פרטי.

Okta לא חותם על המטה-נתונים, לכן עליך לבחור פחות מאובטח עבור שילוב Okta SSO.

3

בחר בדוק הגדרת SSO, וכאשר לשונית דפדפן חדשה נפתחת, בצע אימות עם ה-IdP על-ידי כניסה.

אם אתה מקבל שגיאת אימות, ייתכן שקיימת בעיה באישורים. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאת Webex App פירושה בדרך כלל בעיה בהגדרת SSO. במקרה זה, עבור שוב על השלבים, במיוחד השלבים שבהם אתה מעתיק ומדביק את המטה-נתונים של Control Hub בהגדרת IdP.

כדי לנסות בעצמך את חוויית הכניסה עם SSO, אתה יכול גם ללחוץ על העתקת URL ללוח מהמסך הזה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. שלב זה מפסיק תוצאות חיוביות שגויות עקב אסימון גישה שעשוי להיות בהפעלה קיימת מכניסתך.

4

חזור לכרטיסיה דפדפן מרכז הבקרה.

  • אם הבדיקה הצליחה, בחר בדיקה מוצלחת. הפעל את SSO ולחץ על הבא.
  • אם הבדיקה לא הצליחה, בחר בדיקה לא מוצלחת. כבה את SSO ולחץ על הבא.

תצורת SSO אינה נכנסת לתוקף בארגון שלך, אלא אם תבחר בלחצן האפשרויות הראשון ותפעיל את SSO.

מה הלאה?

השתמש בהליכים תחת סנכרן משתמשי Okta ל-Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמש מתוך Okta בענן Webex.

השתמש בהליכים בסנכרן משתמשי Azure Active Directory לתוך Cisco Webex Control Hub אם ברצונך לבצע הקצאת משתמש מתוך Azure AD בענן Webex.

באפשרותך לבצע את ההליך תחת הסתר הודעות דוא"ל אוטומטיות כדי להשבית הודעות דוא"ל שנשלחות למשתמשים חדשים של יישום Webex בארגון שלך. המסמך מכיל גם שיטות עבודה מומלצות לשליחת תקשורת למשתמשים בארגון שלך.

עדכן את אמון הצד הנסמך על Webex ב-ADFS

משימה זו עוסקת במיוחד בעדכון ADFS עם מטה-נתונים חדשים של SAML מ-Webex. ישנם מאמרים קשורים אם עליך לקבוע את תצורת SSO באמצעות ADFS, או אם עליך לעדכן IdP (אחר) במטה-נתונים של SAML עבור אישורWebex SSO חדש.

לפני שתתחיל

עליך לייצא את קובץ המטה-נתונים של SAML מ-Control Hub לפני שתוכל לעדכן את אמון הצד הנשען של Webex ב-ADFS.

1

היכנס לשרת ADFS עם הרשאות מנהל מערכת.

2

העלה את קובץ המטה-נתונים של SAML מ-Webex לתיקייה מקומית זמנית בשרת ה-ADFS, לדוגמה //ADFS_servername/temp/idb-meta--SP.xml.

3

פתח את Powershell.

4

הפעל את Get-AdfsRelyingPartyTrust כדי לקרוא את כל נאמנויות הצד הנסתרות.

שים לב לפרמטר TargetName של אמון הצד הנסמך על Webex. אנו משתמשים בדוגמה "Webex" אך זה יכול להיות שונה ב- ADFS שלך.

5

הפעל את Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

הקפד להחליף את שם הקובץ ואת שם היעד בערכים הנכונים מהסביבה שלך.

ראה https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

אם הורדת את אישור Webex SP ל-5 שנים והפעלת את ביטול אישור החתימה או ההצפנה, עליך להפעיל את שתי הפקודות הבאות: הגדר-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -Targetשם "Webex".

6

היכנס ל-Control Hub ולאחר מכן בדוק את שילוב SSO:

  1. עבור אל ניהול > הגדרותארגון, גלול אל אימותוהחלף על ההגדרה כניסה יחידה כדי להפעיל את אשף קביעת התצורה.

  2. לחץ על הבא כדי לדלג על הדף ייבוא מטא-נתונים של IdP.

    אין צורך לחזור על שלב זה, מכיוון שבעבר ייבאת את המטה-נתונים של IdP.

  3. בדוק את חיבור ה- SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו הרצה יבשה ואינו משפיע על הגדרות הארגון שלך עד שתפעיל את האפשרות SSO בשלב הבא.

    כדי לנסות בעצמך את חוויית הכניסה עם SSO, אתה יכול גם ללחוץ על העתקת URL ללוח מהמסך הזה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

  4. היכנס כדי להשלים את הבדיקה.

פתרון בעיות ADFS

שגיאות ADFS ביומני הרישום של Windows

ביומני הרישום של Windows, ייתכן שתראה קוד שגיאת יומן רישום של אירוע ADFS‏ 364. פרטי האירוע מזהים אישור לא חוקי. במקרים אלה, מארח ADFS אינו מורשה לעבור דרך חומת האש ביציאה 80 כדי לאמת את האישור.

אירעה שגיאה במהלך הניסיון לבנות את שרשרת האישורים עבור אמון הצד הנסמך

בעת עדכון תעודת SSO, ייתכן שתוצג לך שגיאה זו בעת הכניסה: קוד מצב לא חוקי בתגובה.

אם אתה רואה שגיאה זו, בדוק את יומני מציג האירועים בשרת ADFS וחפש את השגיאה הבאה: אירעה שגיאה במהלך הניסיון לבנות את שרשרת האישורים עבור תעודת האמון של הצד הנסתר 'https://idbroker.webex.com/<org-ID>' שזוהתה באמצעות טביעת אצבע '754B9208F1F75C5CC122740F3675C5D129471D80'. סיבות אפשריות לכך הן שהתעודה נשללה, לא ניתן לאמת את שרשרת האישורים כפי שצוין על-ידי הגדרות הביטול של תעודת ההצפנה של אמון הצד הנשען, או שהתעודה אינה בתקופת התוקף שלה.

אם שגיאה זו מתרחשת, עליך להפעיל את הפקודות Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

מזהה איחוד

מזהה הפדרציה רגיש לרישיות. אם זו כתובת הדוא"ל הארגונית שלך, הזן אותה בדיוק כפי ש-ADFS שולח אותה, או ש-Webex לא יכול למצוא את המשתמש המתאים.

לא ניתן לכתוב כלל דרישת בעלות מותאמת אישית כדי לנרמל את תכונת LDAP לפני שליחתה.

יבא את המטה-נתונים שלך משרת ה-ADFS שהגדרת בסביבה שלך.

באפשרותך לאמת את כתובת ה-URL במידת הצורך על-ידי ניווט אל שירות > נקודות קצה > מטה-נתונים > סוג:מטה-נתונים של איחוד בניהול ADFS.

סנכרון זמן

ודא ששעון המערכת של שרת ה-ADFS מסונכרן למקור זמן אינטרנט אמין המשתמש בפרוטוקול זמן הרשת (NTP). השתמש בפקודה הבאה של PowerShell כדי להטות את השעון עבור יחסי האמון של צד שלישי של Webex בלבד.

הגדר-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

הערך הקסדצימלי הוא ייחודי לסביבה שלך. החלף את הערך מערך מזהה EntityDescriptor של SP בקובץ המטה-נתונים של Webex. לדוגמה:

<entityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:מטה-נתונים" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">