כניסה אחת ורכזת בקרה

כניסה יחידה (SSO) היא הפעלה או תהליך אימות משתמש המאפשר למשתמש לספק אישורים כדי לגשת ליישום אחד או יותר. התהליך מאמת את המשתמשים עבור כל היישומים שניתנות להם זכויות. הוא מבטל בקשות נוספות כאשר משתמשים מחליפים יישומים במהלך הפעלה מסוימת.

פרוטוקול ה - Security Assertion Markup Language ‏( SAML 2.0) משמש כדי לספק אימות SSO בין הענן של Webex לספק הזהויות שלך (IDP).

פרופילים

אפליקציית Webex תומכת רק בפרופיל SSO של דפדפן האינטרנט. בפרופיל SSO של דפדפן האינטרנט, אפליקציית Webex תומכת בקשירות הבאות:

  • פוסט יזום של SP -> כריכת פוסט

  • SP יזמה ניתוב מחדש -> כריכה לפוסטים

פורמט NameID

פרוטוקול SAML 2.0 תומך במספר פורמטים של NameID לתקשורת עם משתמש מסוים. אפליקציית Webex תומכת בתבניות ה - NameID הבאות.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

במטא נתונים שאתה טוען מ - IDP שלך, הרשומה הראשונה מוגדרת לשימוש ב - Webex.

SingleLogout

אפליקציית Webex תומכת בפרופיל ההתנתקות הבודד. באפליקציית Webex, משתמש יכול להתנתק מהאפליקציה, המשתמשת בפרוטוקול ההתנתקות הבודד SAML כדי לסיים את ההפעלה ולאשר את ההתנתקות באמצעות ה - IDP שלך. ודא ש - IDP מוגדר ל - SingleLogout.

שלב מרכז בקרה עם ADFS

מדריכי התצורה מציגים דוגמה ספציפית לשילוב SSO אך אינם מספקים תצורה ממצה לכל האפשרויות. לדוגמה, שלבי האינטגרציה לכד פורמט - שם:נווה מדבר:שמות: tc:SAML:2.0: פורמט - שם:ארעי מתועדים. פורמטים אחרים כגון כד:נווה מדבר:שמות: tc:SAML:1.1: nameid - format: unpecified or urn: noasis:names: tc:SAML:1.1: nameid - format:emailAddress יעבוד עבור שילוב SSO אך הם מחוץ לתחום של התיעוד שלנו.

הגדר שילוב זה עבור משתמשים בארגון Webex שלך (כולל אפליקציית Webex, פגישות Webex ושירותים אחרים המנוהלים במרכז הבקרה). אם אתר Webex שלך משולב במרכז הבקרה, אתר Webex יורש את ניהול המשתמש. אם אינך יכול לגשת לפגישות Webex בדרך זו והיא אינה מנוהלת במרכז הבקרה, עליך לבצע אינטגרציה נפרדת כדי לאפשר SSO לפגישות Webex. (עיין בהגדרת כניסה בודדת עבור Webex לקבלת מידע נוסף על שילוב SSO במנהל האתר).

בהתאם למה שמוגדר במנגנוני האימות ב - ADFS, אימות חלונות משולבים (IWA) ניתן להפעלה כברירת מחדל. אם אפשרות זו מופעלת, יישומים שיושקו דרך Windows (כגון Webex App ו - Cisco Directory Connector) יאמתו את הזהות של המשתמש שהתחבר, ללא קשר לכתובת הדוא"ל שהוזנה במהלך בקשת הדוא"ל הראשונית.

הורד את המטא נתונים של Webex למערכת המקומית שלך

1

מהתצוגה של הלקוח ב -https://admin.webex.com, עבור אל ניהול > הגדרות ארגון ולאחר מכן גלול אל אימות, ולאחר מכן החלף את הגדרת הכניסה הבודדת כדי להפעיל את אשף ההתקנה.
2

בחר את סוג האישור עבור הארגון שלך:

  • חתימה עצמית של סיסקו- אנו ממליצים על בחירה זו. תן לנו לחתום על התעודה, כך שתצטרך לחדש אותה רק אחת לחמש שנים.
  • נחתם על ידי רשות אישורים ציבורית - מאובטח יותר, אך עליך לעדכן את המטא נתונים לעתים קרובות (אלא אם כן ספק ה - IDP שלך תומך בעוגני אמון).

 

עוגני אמון הם מפתחות ציבוריים הפועלים כרשות לאימות אישור חתימה דיגיטלית. למידע נוסף, עיין בתיעוד של IDP.
3

הורד את קובץ המטא נתונים.

שם הקובץ של המטא נתונים של Webex הוא idb - meta<org-ID> - SP.xml.

התקן מטא נתונים של Webex ב - ADFS

לפני שתתחיל

מרכז הבקרה תומך ב - ADFS 2.x ואילך.

Windows 2008 R2 כולל רק את ADFS 1.0. עליך להתקין לפחות ADFS 2.x מ - Microsoft.

עבור שירותי SSO ו - Webex, ספקי זהויות (IDPs) חייבים להתאים למפרט ה - SAML 2.0 הבא:

  • הגדר את תכונת ה - NameID לכד:נווה מדבר:שמות: tc:SAML: 2.0:nameid - format:ארעי

  • הגדר טענה ב - IDP שתכלול את שם המאפיין של המשתמש עם ערך שמופה למאפיין שנבחר ב - Cisco Directory Connector או למאפיין המשתמש שתואם למאפיין שנבחר בשירות הזהות של Webex. (תכונה זו יכולה להיות כתובות דואר אלקטרוני או שם משתמש ראשי, לדוגמה). עיין בפרטי התכונה המותאמת אישית https://www.cisco.com/go/hybrid-services-directory לקבלת הדרכה.

1

היכנס לשרת ADFS עם הרשאות מנהל מערכת.
2

פתח את מסוף ניהול ADFS וגלוש ליחסי אמון > נאמנויות צד נשען > הוסף אמון צד נשען.
3

בחלון 'הוסף אשף אמון של צד תלוי ', בחר התחל.
4

עבור בחירת מקור נתונים בחר ייבא נתונים על הצד המסתמך מקובץ, דפדף לקובץ המטא נתונים של מרכז הבקרה שהורדת ובחר באפשרות הבא.
5

עבור ציון שם תצוגה, צור שם תצוגה עבור אמון צד מסתמך זה כגון Webex ובחר הבא.
6

כדי לבחור את כללי ההרשאה של ההנפקה, בחר הרשה לכל המשתמשים לגשת לצד הנשען זה, ובחר באפשרות הבא.
7

עבור 'מוכן להוספת אמון ', בחר באפשרות' הבא ' וסיים להוסיף את האמון המסתמך ל - ADFS.

צור כללי דרישת בעלות עבור אימות Webex

1

בחלונית הראשית של ADFS, בחר את יחסי האמון שיצרת, ולאחר מכן בחר ערוך כללי דרישת בעלות. בכרטיסייה כללי התמרת הנפקה, בחר הוסף כלל.
2

בשלב בחירת סוג הכלל, בחר באפשרות שלח תכונות LDAP כטענות ולאחר מכן בחר את הבא.

  1. הזן שם כלל דרישת בעלות.

  2. בחר ספרייה פעילה כחנות התכונות.

  3. למפות את המאפיין LDAP של כתובות דואר אלקטרוני לסוג דרישת הבעלות של המשתמש היוצא.

    כלל זה אומר ל - ADFS אילו שדות למפות ל - Webex כדי לזהות משתמש. איית את סוגי הטענות היוצאות בדיוק כפי שהוצגו.

  4. שמור את השינויים.
3

בחר הוסף כלל שוב, בחר שלח תביעות באמצעות כלל מותאם אישית, ולאחר מכן בחר הבא.

כלל זה מספק ל - ADFS את התכונה "מעפיל ספאם" ש - Webex אינה מספקת בדרך אחרת.

  1. פתח את עורך הטקסט והעתק את התוכן הבא.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    החלף URL1 ו - URL2 בטקסט כדלקמן:

    • URL1 הוא מזהה הישות מקובץ המטא נתונים של ADFS שהורדת.

      לדוגמה, להלן מדגם של מה שאתם רואים: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      העתק רק את מזהה הישות מקובץ המטא נתונים של ADFS והדבק אותו בקובץ הטקסט כדי להחליף את URL1

    • כתובת URL2 נמצאת בשורה הראשונה בקובץ המטא נתונים של Webex שהורדת.

      לדוגמה, להלן מדגם של מה שאתם רואים: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      העתק רק את מזהה הישות מקובץ המטא נתונים של Webex והדבק אותו בקובץ הטקסט כדי להחליף את URL2.

  2. עם כתובות האתרים המעודכנות, העתק את הכלל מעורך הטקסט שלך (החל מ -" c :") והדבק אותו בתיבת הכלל המותאמת אישית בשרת ה - ADFS שלך.

    הכלל שהושלם צריך להיראות כך:

  3. יש לבחור באפשרות סיום כדי ליצור את הכלל ולאחר מכן לצאת מחלון עריכת כללי דרישת הבעלות.
4

בחר אמון צד נשען בחלון הראשי, ולאחר מכן בחר מאפיינים בחלונית הימנית.
5

כאשר חלון המאפיינים מופיע, עיין בכרטיסייה מתקדם, SHA -256 ולאחר מכן בחר אישור כדי לשמור את השינויים שלך.
6

עיין בכתובת האתר הבאה בשרת ה - ADFS הפנימי כדי להוריד את הקובץ: https ://< AD_FS_Server>/FederationMetadata/2007 -06/FederationMetadata.xml


 

ייתכן שיהיה עליך ללחוץ לחיצה ימנית על הדף ולהציג את מקור הדף כדי לקבל את קובץ ה - XML המעוצב כראוי.
7

שמור את הקובץ למכונה המקומית שלך.

מה הלאה?

אתה מוכן לייבא את המטא נתונים של ADFS חזרה ל - Webex מפורטל הניהול.

ייבא את המטא נתונים של IDP והפעל כניסה בודדת לאחר בדיקה

לאחר שתייצא את המטא נתונים של Webex, הגדר את ה - IDP שלך והורד את המטא נתונים של IDP למערכת המקומית שלך, אתה מוכן לייבא אותם לארגון ה - Webex שלך מ - Control Hub.

לפני שתתחיל

אין לבדוק אינטגרציית SSO מממשק ספק הזהות (IDP). אנו תומכים רק בזרימות של ספק שירות (SP - initiated), לכן עליך להשתמש בבדיקת SSO של מרכז הבקרה לצורך אינטגרציה זו.

1

בחר אחד:

  • חזור אל מרכז הבקרה – דף בחירת האישורים בדפדפן שלך, ולאחר מכן לחץ על הבא.
  • אם מרכז הבקרה אינו פתוח עוד בכרטיסיית הדפדפן, מהתצוגה של הלקוח בhttps://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול אל אימות ולאחר מכן בחר פעולות > ייבא מטא נתונים.
2

בדף ייבוא מטא נתונים של IDP, גרור ושחרר את קובץ המטא נתונים של IDP לדף או השתמש באפשרות דפדפן הקבצים כדי לאתר ולהעלות את קובץ המטא נתונים. לחץ על הבא.

אתה צריך להשתמש באפשרות המאובטחת יותר, אם אתה יכול. זה אפשרי רק אם ה - IDP שלך השתמש ב - CA ציבורי כדי לחתום על המטא נתונים שלו.

בכל המקרים האחרים, עליך להשתמש באפשרות המאובטחת פחות. זה כולל אם המטא נתונים אינם חתומים, חתומים בעצמם או חתומים על ידי CA פרטי.
3

בחר באפשרות בדיקת הגדרת SSO , וכאשר תיפתח לשונית דפדפן חדשה, אמת באמצעות ה - IDP על ידי כניסה.


 

אם תתקבל שגיאת אימות, ייתכן שתהיה בעיה עם פרטי הכניסה. בדוק את שם המשתמש והסיסמה ונסה שוב.

שגיאה באפליקציית Webex פירושה בדרך כלל בעיה בהגדרת ה - SSO. במקרה זה, עליך לעבור שוב על השלבים, במיוחד על השלבים שבהם אתה מעתיק ומדביק את המטא - נתונים של מרכז הבקרה בהגדרת ה - IDP.

 

כדי לראות את חוויית הכניסה ל - SSO באופן ישיר, תוכל גם ללחוץ על העתק כתובת אתר ללוח מתוך מסך זה ולהדביק אותה בחלון דפדפן פרטי. משם, אתה יכול ללכת דרך כניסה עם SSO. שלב זה מפסיק חיובי כוזב בגלל אסימון גישה שעשוי להיות בפגישה קיימת ממך להיות מחובר.
4

חזור לכרטיסיית הדפדפן של מרכז הבקרה.

  • אם הבדיקה בוצעה בהצלחה, בחר בדיקה בוצעה בהצלחה. הפעל SSO ולחץ על הבא.
  • אם הבדיקה נכשלה, בחר בדיקה לא מוצלחת. כבה את SSO ולחץ על הבא.

 

תצורת SSO לא תיכנס לתוקף בארגון שלך אלא אם תבחר בלחצן הבחירה הראשון ותפעיל את SSO.

מה הלאה?

תוכל לפעול בהתאם לנוהל ב'דכא הודעות דוא"ל אוטומטיות 'כדי להשבית הודעות דוא"ל הנשלחות למשתמשי אפליקציית Webex החדשה בארגון שלך. המסמך כולל גם שיטות מומלצות לשליחת הודעות למשתמשים בארגון שלך.

עדכן את האמון של Webex במפלגה ב - ADFS

משימה זו נועדה במיוחד לעדכון AD FS עם מטא נתונים חדשים של SAML מ - Webex. יש מאמרים קשורים אם אתה צריך להגדיר SSO עם AD FS, או אם אתה צריך לעדכן (IDP שונה) עם SAML Metadata עבור תעודת SSO חדשה של Webex.

לפני שתתחיל

עליך לייצא את קובץ המטא נתונים של SAML ממרכז הבקרה לפני שתוכל לעדכן את האמון של Webex ב - AD FS.

1

היכנס לשרת AD FS עם הרשאות מנהל מערכת.
2

העלה את קובץ המטא נתונים של SAML מ - Webex לתיקייה מקומית זמנית בשרת ה - AD FS, למשל. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

פתח את "פאוורס - קונכייה ".
4

הפעל Get-AdfsRelyingPartyTrust לקרוא את כל הנאמנויות הנשענות על מפלגות.

שימו לב ל TargetName פרמטר נוסף של ה - Webex הנשען על אמון במפלגה. אנו משתמשים בדוגמה "סיסקו וובקס" אבל זה יכול להיות שונה ב - AD FS שלך.
5

הפעל Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

הקפד להחליף את שם הקובץ ושם היעד בערכים הנכונים מהסביבה שלך.

אתה רואהhttps://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust?

 

אם הורדת את אישור ה - Webex SP ל -5 שנים והפעלת את האפשרות 'חתימה' או 'ביטול אישור הצפנה ', עליך להפעיל את שתי הפקודות הבאות: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

היכנס למרכז הבקרה ובדוק את שילוב ה - SSO:

  1. עבור אל ניהול > הגדרות ארגון, גלול אל אימות והחלף את ההגדרה כניסה יחידה כדי להפעיל את אשף התצורה.

  2. לחץ על הבא כדי לדלג על הדף ייבוא Metadata IDP.

    אין צורך לחזור על שלב זה, כי ייבאת בעבר את המטא נתונים של IDP.

  3. בדוק את חיבור SSO לפני שאתה מפעיל אותו. שלב זה פועל כמו ריצה יבשה ואינו משפיע על הגדרות הארגון שלך עד להפעלת SSO בשלב הבא.


     

    כדי לראות את חוויית הכניסה ל - SSO באופן ישיר, תוכל גם ללחוץ על העתק כתובת אתר ללוח מתוך מסך זה ולהדביק אותה בחלון דפדפן פרטי. משם, אתה יכול ללכת דרך כניסה עם SSO. פעולה זו מסייעת בהסרת כל מידע שמוצג במטמון בדפדפן האינטרנט שלך ועשוי לספק תוצאה חיובית שגויה בעת בדיקת תצורת ה - SSO שלך.

  4. היכנס כדי להשלים את הבדיקה.

פתרון בעיות ADFS

שגיאות ADFS ביומני Windows

ביומני Windows, ייתכן שתראה קוד שגיאה של יומן אירועים מסוג ADFS 364. פרטי האירוע מזהים אישור לא חוקי. במקרים אלה, המארח של ADFS אינו מורשה לעבור דרך חומת האש בפורט 80 כדי לאמת את האישור.

אירעה שגיאה במהלך ניסיון לבנות את שרשרת האישורים עבור אמון הצד המסתמך

בעת עדכון אישור ה - SSO, ייתכן שתוצג בפניך שגיאה זו בעת הכניסה: Invalid status code in response.

אם אתה רואה שגיאה זו, בדוק את יומני מציג האירועים בשרת ה - ADFS וחפש את השגיאה הבאה: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. סיבות אפשריות הן שהאישור בוטל, לא ניתן היה לאמת את שרשרת האישורים כמפורט בהגדרות ביטול אישורי ההצפנה של הצד המסתמך, או שהאישור אינו נמצא בתקופת תוקפו.

אם מתרחשת שגיאה זו, עליך להפעיל את הפקודות Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

תעודה מזהה של הפדרציה

מזהה הפדרציה הוא מקרה רגיש. אם זו כתובת הדוא"ל הארגונית שלך, הזן אותה בדיוק כפי ש - ADFS שולחת אותה, או ש - Webex לא תוכל למצוא את המשתמש התואם.

לא ניתן לכתוב כלל תביעה מותאם אישית כדי לנרמל את תכונת ה - LDAP לפני שליחתה.

ייבא את המטא נתונים שלך משרת ה - ADFS שהגדרת בסביבה שלך.

באפשרותך לאמת את כתובת האתר במידת הצורך על ידי ניווט אל שירות > נקודות קצה > מטא נתונים > סוג: מטא נתונים פדרציה בניהול ADFS.

סנכרון זמן

ודא ששעון המערכת של שרת ה - ADFS שלך מסונכרן למקור אינטרנט אמין שמשתמש בפרוטוקול זמן רשת (NTP). השתמש בפקודת PowerShell הבאה כדי להסיט את השעון עבור יחסי האמון של צד נשען של Webex בלבד.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

הערך הקסדצימלי ייחודי לסביבה שלכם. אנא החלף את הערך מהערך SP EntityDescriptor בקובץ המטא נתונים של Webex. לדוגמה:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">