Egyszeri bejelentkezés és Vezérlőközpont

Az egyszeri bejelentkezés (SSO) egy munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat biztosítson egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazáshoz, amelyre jogosultságot kapnak. Kiküszöböli a további utasításokat, amikor a felhasználók egy adott munkamenet során alkalmazásokat váltanak.

A Security Assertion Markup Language (SAML 2.0) összevonási protokoll az SSO-hitelesítés biztosítására szolgál a Webex felhő és az Identitásszolgáltató (IdP) között.

Profilok

A Webex alkalmazás csak a webböngésző SSO profilját támogatja. A webböngésző SSO-profiljában a Webex alkalmazás a következő kötéseket támogatja:

  • SP kezdeményezte a POST -> POST kötést

  • SP kezdeményezte REDIRECT -> POST kötést

NameID formátum

Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval való kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-formátum:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-formátum:nincs megadva

  • urn:oasis:nevek:tc:SAML:1.1:nameid-formátum:emailCím

Az idP-ből berakott metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.

SingleLogout

A Webex alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezik az idP-vel. Győződjön meg arról, hogy az idP be van állítva a SingleLogout szolgáltatáshoz.

Vezérlőközpont integrálása az ADFS-szel

A konfigurációs útmutatók egy konkrét példát mutatnak be az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt minden lehetőséghez. A nameid-format urna:oasis:names:tc:SAML:2.0:nameid-format:tranient integrációs lépései például dokumentálva vannak. Más formátumok, például urna:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urna:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fog az SSO-integrációhoz, de kívül esik a dokumentációnk hatókörén.

Állítsa be ezt az integrációt a Webex-szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings-etés a Control Hubban felügyelt egyéb szolgáltatásokat). Ha a Webex webhelye integrálva van a Control Hubba , a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex Értekezletekhez , és nem kezeli a Control Hubban , külön integrációt kell végeznie az SSO engedélyezéséhez a Webex Meetingsszámára . (Lásd: Konfigurálja az egyszeri bejelentkezést a Webex számára, ha további információt szeretne a webhelyfelügyelet SSO-integrációjáról.)

Attól függően, hogy mi van konfigurálva az ADFS hitelesítési mechanizmusaiban, az integrált Windows-hitelesítés (IWA) alapértelmezés szerint engedélyezhető. Ha engedélyezve van, a Windows rendszeren keresztül indított alkalmazások (például a Webex App és a Cisco Directory Connector ) a bejelentkezett felhasználóként hitelessíthetők, függetlenül attól, hogy milyen e-mail címet írnak be a kezdeti e-mail-üzenetben.

Töltse le a Webex metaadatait a helyi rendszerbe

1

A vevő nézetében https://admin.webex.comnyissa meg a Felügyeleti > Szervezeti beállítások lehetőséget, majd görgessen a Hitelesítéslapra , majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához.

2

Válassza ki a szervezet tanúsítványtípusát:

  • Cisco által önaláírt – ezt a választást javasoljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírt – Biztonságosabb, de gyakran kell frissítenie a metaadatokat (hacsak az IdP szolgáltató nem támogatja a megbízhatókapcsolat-alapok alkalmazását).

A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.

3

Töltse le a metaadatfájlt.

A Webex-metaadatfájl neve idb-meta--SP.xml.

Webex metaadatok telepítése az ADFS-be

Mielőtt elkezdené

A Control Hub támogatja az ADFS 2.x vagy újabb verzióit.

A Windows 2008 R2 csak ADFS 1.0-t tartalmaz. Legalább ADFS 2.x-et kell telepítenie a Microsofttól.

Az SSO és a Webex szolgáltatások esetében az identitásszolgáltatóknak meg kell felelniük a következő SAML 2.0 specifikációnak:

  • Állítsa be a NameID Format attribútumot urn:oasis:names:tc:SAML:2.0:nameid-format értékre:Átmeneti

  • Konfiguráljon egy igénylést az IdP-n úgy, hogy az tartalmazza az UID attribútum nevét egy olyan értékkel, amely a Cisco Directory Connector alkalmazásban kiválasztott attribútumhoz vagy a Webex identitásszolgáltatásban kiválasztott attribútumnak megfelelő felhasználói attribútumhoz van hozzárendelve. (Ez az attribútum lehet például e-mail-cím vagy felhasználónév.) Útmutatásért tekintse meg az egyedi attribútum-információkat itt: https://www.cisco.com/go/hybrid-services-directory .

1

Jelentkezzen be az ADFS-kiszolgálóra rendszergazdai engedélyekkel.

2

Nyissa meg az ADFS Felügyeleti konzolt, és keresse meg a Bizalmi kapcsolatok > Függő entitás megbízhatósági > Függő entitás megbízhatóságának hozzáadásalehetőséget.

3

A Függő entitás megbízhatóságának hozzáadása varázsló ablakban válassza a Start lehetőséget.

4

Az Adatforrás kiválasztása lehetőséghez válassza a Függő fél adatainak importálása fájlból lehetőséget, keresse meg a letöltött Control Hub-metaadatfájlt, majd válassza a Következő lehetőséget.

5

A Megjelenítési név megadása mezőhöz hozzon létre egy megjelenítési nevet a függő fél megbízhatóságához, például Webexet , és válassza a Következő lehetőséget.

6

A Kiadási engedélyezési szabályok kiválasztásamezőben válassza az Összes felhasználó hozzáférésének engedélyezéselehetőséget, majd válassza a Következő lehetőséget.

7

A Trust hozzáadására készterületen válassza a Tovább lehetőséget, és fejezze be a függő megbízhatóság hozzáadását az ADFS-hez.

Jogcímszabályok létrehozása Webex-hitelesítéshez

1

A fő ADFS ablaktáblán jelölje ki a létrehozott bizalmi kapcsolatot, majd válassza a Jogcímszabályok szerkesztéselehetőséget. A Kiadásátalakítási szabályok lapon válassza a Szabály hozzáadásalehetőséget.

2

A Szabálytípus kiválasztása lépésben válassza az LDAP-attribútumok küldése jogcímkéntlehetőséget, majd válassza a Következőlehetőséget.

  1. Írjon be egy jogcímszabály nevét.

  2. Válassza az Active Directory lehetőséget attribútumtárolóként.

  3. Az E-mail-címek LDAP attribútumának leképezése az uid kimenő jogcímtípusra.

    Ez a szabály megmondja az ADFS-nek, hogy mely mezőket kell leképezni a Webex-re a felhasználó azonosításához. A kimenő jogcímtípusokat pontosan az ábrán látható módon írja be.

  4. Mentse a módosításokat.

3

Válassza ismét a Szabály hozzáadása lehetőséget, válassza a Követelések küldése egyéni szabály használatávallehetőséget, majd válassza a Következő lehetőséget.

Ez a szabály az ADFS számára azt a "spname qualifier" attribútumot biztosítja, amelyet a Webex egyébként nem biztosít.

  1. Nyissa meg a szövegszerkesztőt, és másolja a következő tartalmat.

    c:[Típus == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => probléma(Típus = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "url1", Tulajdonságok["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "url2");

    Url1 és URL2 cseréje a szövegben az alábbiak szerint:

    • Az URL1 az Ön által letöltött ADFS-metaadatfájl entityID-je.

      Például az alábbi példa egy példa arra, amit lát: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Másolja csak az entityID-t az ADFS metaadatfájlból, és illessze be a szövegfájlba az URL-cím helyettesítéséhez1

    • Az URL2 a letöltött Webex-metaadatfájl első sorában található.

      Például az alábbi példa egy példa arra, amit lát: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Másolja csak az entityID-t a Webex metaadatfájlból, és illessze be a szövegfájlba az URL2 helyettesítéséhez.

  2. A frissített URL-címekkel másolja át a szabályt a szövegszerkesztőből ("c:" -tól kezdve), és illessze be az ADFS-kiszolgáló egyéni szabálymezőjéhez.

    A befejezett szabálynak így kell kinéznie:

  3. Válassza a Befejezés lehetőséget a szabály létrehozásához, majd lépjen ki a Jogcímszabályok szerkesztése ablakból.

4

A főablakban válassza a Függő entitás megbízhatósága lehetőséget, majd a jobb oldali ablaktáblán válassza a Tulajdonságok lehetőséget.

5

Amikor megjelenik a Tulajdonságok ablak, keresse meg a Speciális lapot, az SHA-256 lapot, majd válassza az OK gombot a módosítások mentéséhez.

6

Keresse meg a következő URL-címet a belső ADFS-kiszolgálón a fájl letöltéséhez: https://<AD_FS_kiszolgáló>/FederationMetadata/2007-06/FederationMetadata.xml

Előfordulhat, hogy a megfelelően formázott XML-fájl beszerzéséhez kattintson a jobb gombbal az oldalra, és tekintse meg az oldalforrást.

7

Mentse a fájlt a helyi gépre.

Mi a következő lépés

Készen áll arra, hogy az ADFS metaadatait visszaimportálja a Webexbe a felügyeleti portálról.

Az IdP metaadatainak importálása és egyszeri bejelentkezés engedélyezése a teszt után

Miután exportálta a Webex metaadatait, konfigurálta az idP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubból .

Mielőtt elkezdené

Ne tesztelje az SSO-integrációt az identitásszolgáltató (IdP) felületéről. Csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.

1

Válasszon egyet:

  • Térjen vissza a Control Hub – tanúsítvány kiválasztása oldalra a böngészőben, majd kattintson a Tovább gombra.
  • Ha a Control Hub már nem nyílik meg a böngésző fülön, az ügyfélnézetből itt: https://admin.webex.com, lépjen a következőre: Kezelés >> Szervezeti beállítások, görgessen a következőhöz: Hitelesítés, majd válassza a Műveletek >> Metaadatok importálása.
2

Az IdP metaadatok importálása lapon húzza az IdP metaadatfájlt a lapra, vagy a fájlböngésző beállítással keresse meg és töltse fel a metaadatfájlt. Kattintson a Tovább gombra .

Ha teheti, használja a Biztonságosabb opciót. Ez csak akkor lehetséges, ha az idP nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához.

Minden más esetben a Kevésbé biztonságos opciót kell használnia . Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem írta alá vagy írta alá egy magán hitelesítésszolgáltató.

Az Okta nem írja alá a metaadatokat, ezért az Okta SSO-integrációhoz a Kevésbé biztonságos lehetőséget kell választania .

3

Válassza az SSO-beállítás teszteléselehetőséget, és amikor megnyílik egy új böngészőfül, jelentkezzen be az IdP-vel.

Ha hitelesítési hiba jelenik meg, előfordulhat, hogy probléma van a hitelesítő adatokkal. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO beállításával kapcsolatos problémát jelent. Ebben az esetben sétáljon át újra a lépéseken, különösen azokon a lépéseken, amelyek során a Control Hub metaadatait az IdP-beállításba másolja és beilleszti.

Ha közvetlenül szeretné megtekinteni az SSO bejelentkezési élményt, kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez a lépés leállítja a hamis pozitív eredményt, mert egy hozzáférési jogkivonat lehet egy meglévő munkamenetben, amikor be van jelentkezve.

4

Térjen vissza a Control Hub böngésző lapra.

  • Ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget . Kapcsolja be az egyszeri bejelentkezést, és kattintson a Továbbgombra .
  • Ha a teszt sikertelen volt, válassza a Sikertelen teszt lehetőséget . Kapcsolja ki az egyszeri bejelentkezést, és kattintson a Továbbgombra .

Az SSO-konfiguráció csak akkor lép érvénybe a szervezetben, ha az első választógombot választja, és aktiválja az SSO-t.

Mi a következő lépés

Használja az Okta-felhasználók szinkronizálása a Cisco Webex Control Hubba című témakör eljárásait, ha az Okta-ból a Webex felhőbe szeretné kiépíteni a felhasználókat.

Használja az Azure Active Directory felhasználók szinkronizálása a Cisco Webex Control Hub, ha azt szeretné, hogy a felhasználói ellátás ki az Azure AD a Webex felhő.

Az Automatikus e-mailek letiltása szakaszban leírt eljárást követve letilthatja az Ön szervezetében lévő új Webex alkalmazás felhasználóknak küldött e-maileket. A dokumentum a szervezet felhasználóinak történő kommunikáció kiküldésére vonatkozó gyakorlati tanácsokat is tartalmaz.

A Webex függő entitások bizalmának frissítése az ADFS-ben

Ez a feladat kifejezetten az ADFS frissítésére vonatkozik a Webex új SAML-metaadataival. Vannak kapcsolódó cikkek, ha konfigurálnia kell az SSO-t az ADFS-szel, vagy ha frissítenie kell (egy másik) IDP-t SAML metaadatokkal egy új Webex SSO-tanúsítványhoz.

Mielőtt elkezdené

Exportálnia kell az SAML-metaadatfájlt a Control Hubból, mielőtt frissíthetné a Webex Relying Party Trust-ot az ADFS-ben.

1

Jelentkezzen be az ADFS-kiszolgálóra rendszergazdai engedélyekkel.

2

Töltse fel az SAML-metaadatfájlt a Webexből egy ideiglenes helyi mappába az ADFS-kiszolgálón, pl. //ADFS_servername/temp/idb-meta--SP.xml.

3

Nyissa meg a PowerShellt.

4

Futtassa a Get-AdfsRelyingPartyTrust programot az összes függő fél megbízhatósági adatainak olvasásához.

Jegyezze fel a Webex függő felek bizalmának TargetName paraméterét. A "Webex" példát használjuk, de ez eltérő lehet az ADFS-ben.

5

Futtassa az Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex" parancsot.

Ügyeljen arra, hogy a fájlnév és a célnév a környezet megfelelő értékeire legyen lecserélve.

Látod https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Ha letöltötte a Webex SP 5 éves tanúsítványát, és be van kapcsolva az aláírási vagy titkosítási tanúsítvány visszavonása, akkor a következő két parancsot kell futtatnia: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Jelentkezzen be a Control Hubba, majd tesztelje az egyszeri bejelentkezés integrációját:

  1. Nyissa meg a Felügyeleti > szervezet beállításai lehetőséget, görgessen a Hitelesítéslapra , és váltson az Egyszeri bejelentkezés beállításon a konfigurációs varázsló elindításához.

  2. Kattintson a Tovább gombra az IdP metaadatok importálása lap kihagyásához.

    Nem kell megismételnie ezt a lépést, mert korábban importálta az IDP metaadatait.

  3. Az engedélyezés előtt tesztelje az SSO-kapcsolatot. Ez a lépés tesztfuttatásként működik, és nincs hatással a szervezeti beállításokra, amíg a következő lépésben nem engedélyezi az SSO-t.

    Ha közvetlenül szeretné megtekinteni az SSO bejelentkezési élményt, kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

  4. Jelentkezzen be a teszt befejezéséhez.

ADFS hibaelhárítás

ADFS-hibák a Windows-naplókban

A Windows-naplókban egy ADFS-eseménynapló 364-es hibakódja látható. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.

Hiba történt a függő fél megbízhatósági kapcsolatának tanúsítványláncának létrehozása során

Az egyszeri bejelentkezéskor előfordulhat, hogy a következő hibaüzenet jelenik meg: Érvénytelen állapotkód válaszban.

Ha ezt a hibát látja, ellenőrizze az Eseménynapló naplóit az ADFS-kiszolgálón, és keresse meg a következő hibát: Hiba történt a függő fél megbízhatóságához tartozó tanúsítványlánc kiépítésének kísérlete során: „https://idbroker.webex.com/<org-ID>' a „754B9208F1F75C5CC122740F3675C5D129471D80” ujjlenyomattal azonosított tanúsítvány. Ennek lehetséges oka, hogy a tanúsítványt visszavonták, a tanúsítványlánc nem ellenőrizhető a függő fél titkosítási tanúsítványának visszavonási beállításai által meghatározottak szerint, vagy a tanúsítvány nem rendelkezik annak érvényességi időszakán belül.

Ha ez a hiba előfordul, futtatni kell a Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None parancsokat.

Összevonási azonosító

Az összevonási azonosító megkülönbözteti a kis- és nagybetűket. Ha ez a szervezeti e-mail-cím, pontosan adja meg, ahogy az ADFS küldi, vagy a Webex nem találja a megfelelő felhasználót.

Az ldap attribútum elküldése előtt nem írható egyéni jogcímszabály az LDAP attribútum normalizálására.

Importálja a metaadatokat a környezetben beállított ADFS-kiszolgálóról.

Szükség esetén ellenőrizheti az URL-címet a Service > Endpoints > Metadata > Type:Federation Metadata az ADFS Managementben.

Időszinkronizálás

Győződjön meg arról, hogy az ADFS-kiszolgáló rendszerórája szinkronizálva van egy megbízható internetidőforrással, amely a hálózati időprotokollt (NTP) használja. A következő PowerShell-paranccsal csak a Webex Függő fél megbízhatósági kapcsolatának óráját ferdítve.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

A hexadecimális érték egyedülálló az Ön környezetében. Cserélje le az értéket a Webex metaadatfájl SP EntityDescriptor ID értékéből. Például:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">