Jedinstvena prijava i kontrolno središte

Jedinstvena prijava (SSO) je proces provjere autentičnosti sesije ili korisnika koji dopušta korisniku da pruži vjerodajnice za pristup jednoj ili više aplikacija. Proces provjerava autentičnost korisnika za sve aplikacije za koje su dobili prava. Eliminira daljnje upite kada korisnici mijenjaju aplikacije tijekom određene sesije.

Protokol federacije Security Assertion Markup Language (SAML 2.0) koristi se za pružanje SSO provjere autentičnosti između Webex oblaka i vašeg davatelja identiteta (IdP).

Profili

Webex App podržava samo SSO profil web-preglednika. U SSO profilu web-preglednika, Webex App podržava sljedeća vezanja:

  • SP pokrenuo POST -> POST vezanje

  • SP pokrenuo preusmjeravanje -> POST vezanje

Format ID-a imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex App podržava sljedeće formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitavate sa svog IdP-a, prvi unos je konfiguriran za upotrebu u Webex.

SingleLogout

Webex App podržava profil za jednu odjavu. U aplikaciji Webex , korisnik se može odjaviti se iz aplikacije koja koristi SAML protokol za jednokratnu odjavu kako bi prekinula sesiju i potvrdila tu odjaviti se s vašim IdP-om. Provjerite je li vaš IdP konfiguriran za SingleLogout.

Integrirajte Control Hub s ADFS-om


 

Vodiči za konfiguraciju pokazuju konkretan primjer za upravljanje uslugama SSO-a, ali ne pružaju detaljnu konfiguraciju za sve mogućnosti. Na primjer, upute za upravljanje uslugama za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient su dokumentirane. Ostali formati kao npr. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress radit će za upravljanje uslugama SSO-a, ali su izvan opsega naše dokumentacije.

Postavite ovu integraciju za korisnike u svojoj Webex organizaciji (uključujući aplikaciju Webex , Webex Meetings i druge usluge koje se administriraju u Control Hubu). Ako je vaša Web-mjesto Webex integrirana u Control Hub, Web-mjesto Webex nasljeđuje upravljanje korisnicima. Ako ne možete pristupiti Webex Meetings na ovaj način i njime se ne upravlja u Control Hubu, morate napraviti zasebnu integraciju da biste omogućili SSO za Webex Meetings. (Vidi Konfigurirajte jedinstvenu prijavu za Webex za više informacija o SSO integraciji u Administracijsko web-mjesto.)

Ovisno o tome što je konfigurirano u mehanizmima provjere autentičnosti u ADFS-u, Integrirana Windows provjera autentičnosti (IWA) može se zadano omogućeno. Ako je omogućeno, aplikacije koje se pokreću putem sustava Windows (kao što su Webex App i Cisco Directory Connector) provjeravaju autentičnost kao korisnik koji je prijavljen, bez obzira na to koja je adresa e-pošte unesena tijekom početnog upita za e-poštu.

Preuzmite Webex metapodatke u svoj lokalni sustav

1

Iz pogleda kupaca uhttps://admin.webex.com , idite na Upravljanje > Postavke organizacije , a zatim se pomaknite do Autentifikacija , a zatim uključite Jedinstvena prijava postavku za pokretanje čarobnjaka za postavljanje.

2

Odaberite vrstu certifikata za svoju organizaciju:

  • Samopotpisao Cisco — Preporučamo ovaj izbor. Dopustite nam da potpišemo certifikat tako da ga trebate obnavljati samo jednom svakih pet godina.
  • Potpisano od strane javnog certifikacijskog tijela —Sigurnije, ali ćete morati često ažurirati metapodatke (osim ako vaš dobavljač IdP-a podržava sidra povjerenja).

 

Sidra povjerenja su javni ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Za više informacija pogledajte dokumentaciju vašeg IdP-a.

3

Preuzmite datoteku metapodataka.

Naziv datoteke metapodataka Webex je idb-meta-<org-ID> -SP.xml .

Instalirajte Webex metapodatke u ADFS

Prije početka

Control Hub podržava ADFS 2.x ili noviji.

Windows 2008 R2 uključuje samo ADFS 1.0. Morate instalirati minimalno ADFS 2.x od Microsoft.

Za SSO i Webex usluge, davatelji identiteta (IdP) moraju biti u skladu sa sljedećom SAML 2.0 specifikacijom:

  • Postavite atribut NameID Format na urn:oasis:names:tc: SAML:2.0:nameid-format: prijelazno

  • Konfigurirajte zahtjev na IdP-u tako da uključuje uid naziv atributa s vrijednošću koja je mapirana na atribut koji je odabran u Cisco Directory Connector-u ili korisnički atribut koji odgovara onom koji je odabran u Webex usluzi identiteta. (Ovaj atribut može biti, na primjer, adresa e-pošte ili ime glavnog korisnika.) Pogledajte informacije o prilagođenim atributima uhttps://www.cisco.com/go/hybrid-services-directory za vođenje.

1

Prijavite se na ADFS poslužitelj s administratorskim dopuštenjima.

2

Otvorite konzolu za upravljanje ADFS-om i pronađite Odnosi povjerenja > Oslanjajuća stranačka povjerenja > Dodajte povjerenje povjerljive strane .

3

Od Dodavanje čarobnjaka za povjerenje pouzdane strane prozor, odaberite Počnite .

4

Za Odaberite Izvor podataka odaberite Uvezite podatke o pouzdanoj strani iz datoteke , potražite datoteku metapodataka Control Hub koju ste preuzeli i odaberite Dalje .

5

Za Navedite naziv za prikaz , stvorite naziv prikaza za ovo povjerenje pouzdane strane kao što je Webex i odaberite Dalje .

6

Za Odaberite Pravila autorizacije izdavanja , odaberite Dopusti svim korisnicima pristup ovoj pouzdanoj strani i odaberite Dalje .

7

Za Spremni za dodavanje povjerenja , odaberite Dalje i završite s dodavanjem pouzdanog povjerenja u ADFS.

Izradite pravila zahtjeva za Webex provjeru autentičnosti

1

U glavnom oknu ADFS odaberite odnos povjerenja koji ste stvorili, a zatim odaberite Uredite pravila o zahtjevima . Na kartici Pravila pretvorbe izdavanja odaberite Dodajte pravilo .

2

U koraku Odaberite vrstu pravila odaberite Pošaljite LDAP atribute kao zahtjeve , a zatim odaberite Dalje .

  1. Unesite a Naziv pravila zahtjeva .

  2. Odaberite Active Directory kao Spremište atributa.

  3. Karta na E-mail adrese LDAP atribut za uid vrsta odlaznog potraživanja.

    Ovo pravilo govori ADFS-u koja polja treba mapirati u Webex kako bi se identificirao korisnik. Napišite odlazne vrste zahtjeva točno kako je prikazano.

  4. Spremite promjene.

3

Odaberite Dodajte pravilo ponovno odaberite Pošaljite zahtjeve pomoću prilagođenog pravila , a zatim odaberite Dalje .

Ovo pravilo daje ADFS-u atribut "spname qualifier" koji Webex inače ne daje.

  1. Otvorite uređivač teksta i kopirajte sljedeći sadržaj.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Zamijenite URL1 i URL2 u tekstu na sljedeći način:

    • URL1 je entityID iz ADFS datoteke metapodataka koju ste preuzeli.

      Na primjer, sljedeći je uzorak onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopirajte samo ID entiteta iz ADFS datoteke metapodataka i zalijepite ga u tekstualnu datoteku kako biste zamijenili URL1

    • URL2 je u prvom retku u Webex datoteci metapodataka koju ste preuzeli.

      Na primjer, sljedeći je uzorak onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopirajte samo ID entiteta iz Webex datoteke metapodataka i zalijepite ga u tekstualnu datoteku kako biste zamijenili URL2.

  2. S ažuriranim URL-ovima kopirajte pravilo iz uređivača teksta (počevši od "c:") i zalijepite ga u okvir prilagođenog pravila na vašem ADFS poslužitelju.

    Dovršeno pravilo bi trebalo izgledati ovako:

  3. Odaberite Završi da biste stvorili pravilo, a zatim izađite iz prozora Uredi pravila zahtjeva.

4

Odaberite Povjerenje stranke koja se oslanja u glavni prozor, a zatim odaberite Svojstva u desnom oknu.

5

Kada se pojavi prozor Svojstva, idite na Napredno kartica, SHA-256 a zatim odaberite OK da biste spremili svoje promjene.

6

Idite na sljedeći URL na internom ADFS poslužitelju da preuzmete datoteku: https://< AD_ FS_ Poslužitelj >/FederationMetadata/2007-06/FederationMetadata.xml


 

Možda ćete trebati desnom tipkom miša kliknuti na stranicu i pogledati izvor stranice da biste dobili ispravno formatiranu XML datoteku.

7

Spremite datoteku na svoj lokalni stroj.

Što učiniti sljedeće

Spremni ste za uvoz ADFS metapodataka natrag u Webex s portala za upravljanje.

Uvezite IdP metapodatke i omogućite jedinstvena prijava nakon testa

Nakon što izvezete Webex metapodatke, konfigurirate svog IdP-a i preuzmete IdP metapodatke u svoj lokalni sustav, spremni ste za uvoz u svoju Webex organizaciju iz Control Huba.

Prije početka

Nemojte testirati SSO integraciju iz sučelja davatelja identiteta (IdP). Podržavamo samo tokove koje pokreće davatelj usluga (inicira SP), tako da za ovu integraciju morate koristiti SSO test kontrolnog čvorišta.

1

Odaberi jednu:

  • Vratite se na stranicu Control Hub – odabir certifikata u pregledniku, a zatim kliknite Dalje .
  • Ako Control Hub više nije otvoren na kartici preglednika, iz korisničkog prikaza uhttps://admin.webex.com , idite na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija , a zatim odaberite Radnje > Uvoz metapodataka .
2

Na stranici Uvoz IdP metapodaci -a ili povucite i ispustite datoteku metapodataka IdP-a na stranicu ili upotrijebite opciju preglednika datoteka da biste locirali i prenijeli datoteku metapodataka. Kliknite na Dalje.

Trebali biste koristiti Sigurnije opcija, ako možete. To je moguće samo ako je vaš IdP koristio javni CA za potpisivanje svojih metapodataka.

U svim ostalim slučajevima morate koristiti Manje siguran opcija. To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.


 

Okta ne potpisuje metapodatke, pa morate odabrati Manje siguran za Okta SSO integraciju.

3

Odaberite Testirajte SSO postavljanje , a kada se otvori nova kartica preglednika, autentificirajte se s IdP-om prijavom.


 

Ako dobijete pogrešku pri autentifikaciji, možda postoji problem s vjerodajnicama. Provjerite korisničko ime i lozinku i pokušajte ponovno.

Pogreška Webex aplikacije obično znači problem s SSO -a. U tom slučaju ponovno prođite kroz korake, posebno korake u kojima kopirate i zalijepite metapodatke Control Huba u postavku IdP-a.


 

Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Ovaj korak zaustavlja lažne pozitivne rezultate zbog tokena za pristup koji bi mogao biti u postojećoj sesiji nakon što ste prijavljeni.

4

Vratite se na karticu preglednika Control Hub.

  • Ako je test bio uspješan, odaberite Uspješan test. Uključite SSO i kliknite Dalje .
  • Ako je test bio neuspješan, odaberite Neuspješan test. Isključite SSO i kliknite Dalje .

 

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvi izborni gumb i aktivirate SSO.

Što učiniti sljedeće

Koristite postupke u Sinkronizirajte Okta korisnike u Cisco Webex Control Hub ako želite izvršiti opskrbu korisnika iz Okte u Webex oblak.

Koristite postupke u Sinkronizirajte korisnike Azure Active Directory u Cisco Webex Control Hub ako želite izvršiti opskrbu korisnika iz Azure AD u Webex oblak.

Možete pratiti proceduru u Suzbijte automatizirane e-poruke da onemogućite e-poruke koje se šalju novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument također sadrži najbolje prakse za slanje komunikacija korisnicima u vašoj organizaciji.

Ažurirajte povjerenje Webex -ove provjerene strane u ADFS

Ovaj zadatak se posebno odnosi na ažuriranje ADFS-a novim SAML metapodacima iz Webex. Ako trebate, postoje povezani članci konfigurirati SSO s ADFS-om , ili ako trebate ažurirajte (drugačiji) IdP sa SAML metapodacima za novi Webex SSO certifikat .

Prije početka

Morate izvesti SAML datoteku metapodataka iz Control Huba prije nego što možete ažurirati Webex Relying Party Trust u ADFS-u.

1

Prijavite se na ADFS poslužitelj s administratorskim dopuštenjima.

2

Prenesite SAML datoteku metapodataka s Webex u privremenu lokalnu mapu na ADFS poslužitelju, npr. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Otvorite Powershell.

4

Pokrenite Get-AdfsRelyingPartyTrust za čitanje svih povjerljivih stranaka.

Obratite pažnju na TargetName parametar povjerenja Webex pouzdane strane. Koristimo primjer "Webex", ali može biti drugačije u vašem ADFS-u.

5

Pokrenite Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Obavezno zamijenite naziv datoteke i naziv cilja ispravnim vrijednostima iz vašeg okruženja.

Pogledajte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Ako ste preuzeli Webex SP 5-godišnji certifikat i imate uključeno opoziv certifikata za potpisivanje ili šifriranje, trebate pokrenuti ove dvije naredbe: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Prijavite se na Control Hub, a zatim testirajte SSO integraciju:

  1. Idi na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija , i uključite Jedinstvena prijava postavku za pokretanje čarobnjaka za konfiguraciju.

  2. Kliknite Dalje da biste preskočili stranicu Import IdP metapodaci .

    Ne morate ponavljati taj korak jer ste prethodno uvezli IdP metapodatke.

  3. Testirajte SSO vezu prije nego što je omogućite. Ovaj korak funkcionira poput testiranja i ne utječe na postavke vaše organizacije dok ne omogućite SSO u sljedećem koraku.


     

    Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Tako ćete lakše ukloniti sve informacije spremljene u predmemoriju vašeg web-preglednika koje bi mogle dati lažno pozitivan rezultat prilikom testiranja vaše konfiguracije SSO-a.

  4. Prijavite se da dovršite test.

Rješavanje problema s ADFS-om

ADFS pogreške u zapisnicima sustava Windows

U zapisnicima sustava Windows možete vidjeti kôd pogreške ADFS zapisnika događaja 364. Detalji događaja identificiraju certifikat koji nije valjan. U tim slučajevima, ADFS glavno računalo nije dopušteno kroz vatrozid na priključku 80 za provjeru valjanosti certifikata.

Došlo je do pogreške tijekom pokušaja izgradnje lanac certifikata za povjerenje pouzdane strane

Prilikom ažuriranja SSO certifikata, prilikom prijave može vam se prikazati ova pogreška: Invalid status code in response.

Ako vidite tu pogrešku, provjerite zapisnike preglednika događaja na ADFS poslužitelju i potražite sljedeću pogrešku: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mogući uzroci su da je certifikat opozvan, lanac certifikata nije mogao biti provjeren kako je navedeno u postavkama opoziva certifikata šifriranja pouzdane strane pouzdane strane ili certifikat nije unutar razdoblja valjanosti.

Ako dođe do ove pogreške, morate pokrenuti naredbe Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID Federacije

ID Federacije razlikuje velika i mala slova. Ako je ovo vaša organizacijska adresa e-pošte, unesite je točno onako kako je šalje ADFS ili Webex ne može pronaći odgovarajućeg korisnika.

Pravilo prilagođenog zahtjeva ne može se napisati za normalizaciju LDAP atribut prije nego što se pošalje.

Uvezite svoje metapodatke s ADFS poslužitelja koji ste postaviti u svom okruženju.

Po potrebi možete provjeriti URL tako što ćete otići na Usluga > Krajnje točke > Metapodaci > Vrsta: metapodaci federacije u ADFS menadžmentu.

Sinkronizacija vremena

Provjerite je li sistemski sat vašeg ADFS poslužitelja sinkroniziran s pouzdanim internetskim izvorom vremena koji koristi mrežni protokol vremena (NTP). Upotrijebite sljedeću naredbu PowerShell da iskrivite sat samo za odnos povjerenja pouzdane strane Webex .

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Heksadecimalna vrijednost jedinstvena je za vaše okruženje. Molimo zamijenite vrijednost iz SP EntityDescriptor ID vrijednosti u Webex datoteci metapodataka. Na primjer:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">