Jedinstvena prijava i kontrolni centar

Jedinstvena prijava (SSO) je sesija ili postupak provjere autentičnosti korisnika koji korisniku omogućuje da pruži vjerodajnice za pristup jednoj ili više aplikacija. Proces provjerava autentičnost korisnika za sve aplikacije na koje imaju prava. Eliminira daljnje upite kada korisnici mijenjaju aplikacije tijekom određene sesije.

Protokol Federacijskog protokola za označavanje sigurnosnih tvrdnji (SAML 2.0) koristi se za pružanje SSO provjere autentičnosti između Webex oblaka i vašeg davatelja identiteta (IdP).

Profili

Webex App podržava samo SSO profil web preglednika. U SSO profilu web-preglednika Webex App podržava sljedeće veze:

  • SP pokrenuo POST -> POST povezivanje

  • SP pokrenuo REDIRECT -> POST povezivanje

Oblik ID naziva

SAML 2.0 Protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex App podržava sljedeće NameID formate.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn: oasis: names: tc: SAML: 1.1: nameid-format: neodređen

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitate iz IdP-a prvi unos konfiguriran je za korištenje u Webexu .

SingleLogout

Webex aplikacija podržava jedan profil za odjavu. U webex aplikacijikorisnik se može odjaviti iz aplikacije koja koristi SAML protokol za jedinstvenu odjavu kako bi završio sesiju i potvrdio tu odjavu s vašim IdP-om. Provjerite je li IdP konfiguriran za SingleLogout.

Integracija upravljačkog središta s ADFS-om

Vodiči za konfiguraciju pokazuju specifičan primjer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primjer, dokumentirani su koraci integracije za urnu oblika ime: oasis:names:tc:SAML:2.0:nameid-format:transient . Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ili urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju, ali su izvan opsega naše dokumentacije.

Postavite ovu integraciju za korisnike u web-organizaciji (uključujući Webex App, Webex sastankei druge servise kojima se upravlja u Control Hubu). Ako je vaše Webex web-mjesto integrirano u Control Hub, Webex web-mjesto nasljeđuje upravljanje korisnicima. Ako na taj način ne možete pristupiti sastancima web-exa, a njime se ne upravlja u kontrolnom središtu, morate napraviti zasebnu integraciju da biste omogućili SSO za web-sastanke. (Pogledajte Konfigurirajte jedinstvenu prijavu za Webex za više informacija o integraciji SSO-a u administraciji web-mjesta.)

Ovisno o tome što je konfigurirano u mehanizmima provjere autentičnosti u ADFS-u, integrirana Windows provjera autentičnosti (IWA) može se omogućiti prema zadanim postavkama. Ako je omogućeno, aplikacije koje se pokreću putem sustava Windows (kao što su Webex App i Cisco DirectoryConnector) autentikuju kao korisnik koji se prijavio, bez obzira na to koja se adresa e-pošte unosi tijekom početnog upita e-poštom.

Preuzimanje metapodataka webexa u lokalni sustav

1

U prikazu klijenta u sustavu https://admin.webex.comotvorite Postavke upravljanja > organizacije, a zatim se pomaknite do odjeljka Provjera autentičnosti, a zatim se prebacite na postavku Jedinstvena prijava da biste pokrenuli čarobnjak za postavljanje.

2

Odaberite vrstu certifikata za svoju tvrtku ili ustanovu:

  • Samopotpisao Cisco– preporučujemo ovaj odabir. Dopustite nam da potpišemo certifikat tako da ga trebate obnoviti samo jednom u pet godina.
  • Potpisano od strane javnog certifikacijskog tijela– sigurnije, ali morat ćete često ažurirati metapodatke (osim ako vaš pružatelj identiteta ne podržava usađene vjerodajnice).

Sidra povjerenja javni su ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Dodatne informacije potražite u dokumentaciji o IDP-u.

3

Preuzmite datoteku metapodataka.

Naziv datoteke Webex metapodataka je idb-meta--SP.xml.

Instaliranje webex metapodataka u ADFS

Prije nego što počnete

Control Hub podržava ADFS 2.x ili noviji.

Windows 2008 R2 sadrži samo ADFS 1.0. Od Microsofta morate instalirati najmanje ADFS 2.x.

Za usluge SSO-a i Webexa davatelji identiteta (IDP-ovi) moraju biti u skladu sa sljedećim specifikacijama SAML 2.0:

  • Postavite atribut NameID Format na urn:oasis:names:tc: SAML:2.0:nameid-format:prijelazno

  • Konfigurirajte zahtjev na IdP-u kako biste uključili naziv atributa uid s vrijednošću koja je mapirana na atribut koji je odabran u usluzi identiteta Cisco Directory Connector ili korisnički atribut koji odgovara onom koji je odabran na usluzi identiteta Webex. (Ovaj atribut može biti, na primjer, adresa e-pošte ili ime glavnog korisnika.) Upute potražite u informacijama o prilagođenom atributu u https://www.cisco.com/go/hybrid-services-directory odjeljku za upute.

1

Prijavite se na ADFS poslužitelj s administratorskim dozvolama.

2

Otvorite konzolu za upravljanje ADFS- om i pronađite pouzdane odnose > trustove pouzdanih strana > dodajte povjerenje pouzdane strane.

3

U prozoru Čarobnjak za dodavanje pouzdanosti pouzdane strane odaberite Start .

4

Za odabir izvora podataka odaberite Uvoz podataka o oslanjajućoj strani iz datoteke, prijeđite na preuzetu datoteku metapodataka okruženja Control Hub i odaberite Dalje.

5

Za određivanje zaslonskog naziva izradite zaslonski naziv za ovu pouzdanu stranu kao što je Webex i odaberite Dalje.

6

Za odabir pravila autorizacije izdavanjaodaberite Dopusti svim korisnicima pristup ovoj pouzdajućoj strani, a zatim Dalje .

7

Da biste spremni dodati pouzdanost ,odaberite Dalje i dovršite dodavanje pouzdanosti koja se oslanja na ADFS.

Stvaranje pravila zahtjeva za provjeru autentičnosti webexa

1

U glavnom oknu ADFS-a odaberite pouzdani odnos koji ste stvorili, a zatim Uredi pravila zahtjeva. Na kartici Pravila pretvorbe izdavanja odaberite Dodaj pravilo.

2

U koraku Odabir vrste pravila odaberite Pošalji atribute LDAP-a kao potraživanja, a zatim Dalje .

  1. Unesite naziv pravila zahtjeva.

  2. Kao spremište atributa odaberite Active Directory.

  3. Mapirajte atribut LDAP adresa e-pošte u vrstu izlaznog zahtjeva za UID.

    Ovo pravilo govori ADFS-u koja polja treba mapirati na Webex da bi se identificirao korisnik. Slovkaj vrste izlaznih zahtjeva točno onako kako je prikazano.

  4. Spremite promjene.

3

Ponovno odaberite Dodaj pravilo, odaberite Pošalji zahtjeve pomoću prilagođenog pravila, a zatim Dalje .

Ovo pravilo ADFS-u daje atribut "spname qualifier" koji Webex inače ne pruža.

  1. Otvorite uređivač teksta i kopirajte sljedeći sadržaj.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Svojstva["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Zamijenite URL1 i URL2 u tekstu na sljedeći način:

    • URL1 je entityID iz datoteke ADFS metapodataka koju ste preuzeli.

      Na primjer, sljedeće je primjer onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopirajte samo ID entiteta iz datoteke metapodataka ADFS-a i zalijepite ga u tekstnu datoteku da biste zamijenili URL1

    • URL2 je na prvoj liniji datoteke metapodataka Webex koju ste preuzeli.

      Na primjer, slijedi primjer onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopirajte samo ID entiteta iz datoteke metapodataka Webexa i zalijepite ga u tekstnu datoteku da biste zamijenili URL2.

  2. Pomoću ažuriranih URL-ova kopirajte pravilo iz uređivača teksta (počevši od "c:") i zalijepite ga u prilagođeni okvir pravila na ADFS poslužitelju.

    Dovršeno pravilo trebalo bi izgledati ovako:

  3. Odaberite Završi da biste stvorili pravilo, a zatim izađite iz prozora Uređivanje pravila zahtjeva.

4

U glavnom prozoru odaberite Pouzdanost pouzdane strane, a zatim Svojstva u desnom oknu.

5

Kada se pojavi prozor Svojstva, idite na karticu Dodatno, SHA-256, a zatim odaberite U redu da biste spremili promjene.

6

Da biste preuzeli datoteku, pronađite sljedeći URL na internom ADFS poslužitelju: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Možda ćete morati desnom tipkom miša kliknuti stranicu i pregledati izvor stranice da biste dobili ispravno oblikovanu XML datoteku.

7

Spremite datoteku na lokalno računalo.

Što učiniti sljedeće

Spremni ste za uvoz ADFS metapodataka natrag na Webex s portala za upravljanje.

Uvoz IdP metapodataka i omogućavanje jedinstvene prijave nakon testiranja

Nakon što izvezete metapodatke webexa , konfigurirate IdP i preuzmete IdP metapodatke u lokalni sustav, spremni ste ga uvesti u svoju web-ex organizaciju iz Control Huba.

Prije nego što počnete

Nemojte testirati SSO integraciju iz sučelja davatelja identiteta (IdP). Podržavamo samo tokove koje je pokrenuo Davatelj usluga (iniciran SP-om), tako da za tu integraciju morate koristiti SSO test kontrolnog središta .

1

Odaberi jednu:

  • Vratite se na Control Hub – stranicu za odabir certifikata u pregledniku, a zatim kliknite na Dalje.
  • Ako Control Hub više nije otvoren na kartici preglednika, u prikazu korisnika u https://admin.webex.comsustavu idite na Upravljanje > Postavke organizacije, pomaknite se do Provjera autentičnosti, a zatim odaberite Radnje > Uvoz metapodataka.
2

Na stranici Uvoz IDP metapodataka povucite i ispustite datoteku IdP metapodataka na stranicu ili pomoću mogućnosti preglednika datoteka pronađite i prenesite datoteku metapodataka. Kliknite Dalje.

Trebali biste koristiti sigurniju opciju, ako možete. To je moguće samo ako je vaš IDP koristio javni CA za potpisivanje svojih metapodataka.

U svim drugim slučajevima morate koristiti opciju Manje sigurno . To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

Okta ne potpisuje metapodatke, pa morate odabrati Manje sigurno za Okta SSO integraciju.

3

Odaberite Testiraj postavljanje jedinstvene prijave, a kada se otvori nova kartica preglednika, potvrdite autentičnost s IdP-om prijavom.

Ako primite pogrešku pri provjeri autentičnosti, možda postoji problem s vjerodajnicama. Provjerite korisničko ime i lozinku i pokušajte ponovno.

Pogreška web-aplikacije obično znači problem s postavljanjem SSO-a. U tom slučaju ponovno prođite kroz korake, posebno korake u kojima kopirate i lijepite metapodatke kontrolnog središta u postavljanje IDP-a.

Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Ovaj korak zaustavlja lažno pozitivne rezultate zbog pristupnog tokena koji se možda koristi u postojećoj sesiji od prijave.

4

Vratite se na karticu preglednika Kontrolni centar .

  • Ako je test bio uspješan, odaberite Uspješno testiranje. Uključite SSO i kliknite Dalje.
  • Ako test nije uspio, odaberite Neuspješan test. Isključite SSO i kliknite Dalje.

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvi izborni gumb i aktivirate SSO.

Što učiniti sljedeće

Koristite postupke u sinkronizaciji korisnika Okta u Cisco Webex kontrolni centar ako želite napraviti dodjelu resursa korisnicima iz Okte u Webex oblak.

Koristite postupke u Sinkronizacija Azure Active Directory korisnika u Cisco Webex Control Hub ako želite učiniti pružanje korisnika iz Azure AD u Webex oblaku.

Možete slijediti postupak u odjeljku Onemogućavanje automatskih poruka e-pošte kako biste onemogućili e-poštu poslanu novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument sadrži i najbolje primjere iz prakse za slanje komunikacija korisnicima u tvrtki ili ustanovi.

Ažuriranje pouzdanosti web-strana u ADFS-u

Ovaj se zadatak posebno odnosi na ažuriranje ADFS-a novim SAML metapodacima iz Webexa. Postoje povezani članci ako trebate konfigurirati SSO s ADFS-omili ako trebate ažurirati (drugi) IdP SAML metapodacima za novi Webex SSO certifikat.

Prije nego što počnete

Morate izvesti SAML datoteku metapodataka iz okruženja Control Hub prije nego što možete ažurirati Webex pouzdanu stranu povjerenja u ADFS.

1

Prijavite se na ADFS poslužitelj s administratorskim dozvolama.

2

Prenesite datoteku SAML metapodataka iz Webexa u privremenu lokalnu mapu na ADFS poslužitelju, npr. //ADFS_servername/temp/idb-meta--SP.xml.

3

Otvorite Powershell.

4

Pokrenite Get-AdfsRelyingPartyTrust kako biste pročitali sve vjerodajnice pouzdanih strana.

Zabilježite TargetName parametra povjerenja pouzdane strane usluge Webex. Koristimo primjer "Webex", ali može biti drugačiji u vašem ADFS-u.

5

Pokreni Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Obavezno zamijenite naziv datoteke i naziv cilja ispravnim vrijednostima iz okruženja.

Pogledajte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Ako ste preuzeli 5-godišnji certifikat Webex SP-a i uključili opoziv certifikata za potpisivanje ili šifriranje, morate pokrenuti ove dvije naredbe: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName „Webex.

6

Prijavite se u Control Hub, a zatim testirajte SSO integraciju:

  1. Idite na Upravljanje > postavkamaorganizacije, pomaknite se do provjere autentičnostii uključite postavku Jedinstvena prijava da biste pokrenuli čarobnjak za konfiguriranje.

  2. Kliknite Dalje da biste preskočili stranicu IDP metapodaci uvoza.

    Ne morate ponavljati taj korak jer ste prethodno uvezli IDP metapodatke.

  3. Testirajte SSO vezu prije nego što je omogućite. Ovaj korak funkcionira poput testiranja i ne utječe na postavke vaše organizacije dok ne omogućite SSO u sljedećem koraku.

    Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Tako ćete lakše ukloniti sve informacije spremljene u predmemoriju vašeg web-preglednika koje bi mogle dati lažno pozitivan rezultat prilikom testiranja vaše konfiguracije SSO-a.

  4. Prijavite se da biste dovršili test.

Otklanjanje poteškoća s ADFS-om

ADFS pogreške u zapisnicima sustava Windows

U zapisnicima sustava Windows možda ćete vidjeti kod pogreške zapisnika događaja ADFS-a 364. Detalji događaja identificiraju certifikat koji nije valjan. U tim slučajevima, ADFS glavno računalo nije dopušteno kroz vatrozid na priključku 80 za provjeru valjanosti certifikata.

Došlo je do pogreške tijekom pokušaja izgradnje lanca certifikata za pouzdanost pouzdane strane

Prilikom ažuriranja SSO certifikata može vam se prikazati ova pogreška prilikom prijave: Nevažeći kôd statusa u odgovoru.

Ako vidite tu pogrešku, provjerite zapisnike preglednika događaja na ADFS poslužitelju i potražite sljedeću pogrešku: Došlo je do pogreške tijekom pokušaja izgradnje lanca certifikata za pouzdanu osobu „https://idbroker.webex.com/<org-ID>' certifikat identificiran otiskom palca „754B9208F1F75C5CC122740F3675C5D129471D80”. Mogući uzroci su da je certifikat opozvan, lanac certifikata nije mogao biti potvrđen kako je navedeno u postavkama opoziva certifikata za šifriranje pouzdane strane ili certifikat nije unutar razdoblja valjanosti.

Ako se pojavi ova pogreška, morate pokrenuti naredbe Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federacije

Federacijska iskaznica razlikuje velika i mala slova. Ako je to vaša adresa e-pošte tvrtke ili ustanove, unesite je točno onako kako je šalje ADFS ili Webex ne može pronaći odgovarajućeg korisnika.

Prilagođeno pravilo zahtjeva ne može se napisati za normalizaciju atributa LDAP prije slanja.

Uvezite metapodatke s ADFS poslužitelja koji ste postavili u okruženju.

URL možete provjeriti ako je potrebno tako da u upravljanju ADFS-om odete do krajnjih točaka servisa > > metapodataka > vrste:federacijskih metapodataka.

Sinkronizacija vremena

Provjerite je li sistemski sat ADFS poslužitelja sinkroniziran s pouzdanim internetskim izvorom vremena koji koristi protokol Network Time Protocol (NTP). Koristite sljedeću naredbu PowerShell da biste iskrivili sat samo za odnos Pouzdanost pouzdane strane webexa.

Set-ADFSRelyingPartyTrust -TargetIdentifier „https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Heksadecimalna vrijednost jedinstvena je za vaše okruženje. Zamijenite vrijednost iz vrijednosti IDscriptora SP-a u datoteci metapodataka Webex. Naprimjer:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">