Egyszeri bejelentkezés és Control Hub

Az egyszeri bejelentkezés (SSO) egy munkamenet- vagy felhasználó-hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítési adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyhez jogosultságokat kaptak. Kiküszöböli a további felszólításokat, amikor a felhasználók alkalmazást váltanak egy adott munkamenet során.

A Security Assertion Markup Language (SAML 2.0) összevonási protokoll biztosítja az SSO -hitelesítést a Webex -felhő és az identitásszolgáltató (IdP) között.

Profilok

A Webex alkalmazás csak a webböngésző SSO -profilját támogatja. A webböngésző SSO -profiljában a Webex alkalmazás a következő összerendeléseket támogatja:

  • SP kezdeményezte POST -> POST-összerendelés

  • Az SP REDIRECT -> POST összerendelés kezdeményezte

NameID formátum

Az SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóval kapcsolatos kommunikációhoz. A Webex alkalmazás a következő NameID formátumokat támogatja.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Az IdP-ről betöltött metaadatokban az első bejegyzés a Webex való használatra van konfigurálva.

SingleLogout

A Webex alkalmazás támogatja az egyszeri kijelentkezési profilt. A Webex alkalmazásban a felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyszeri kijelentkezési protokollt használja a munkamenet befejezéséhez, és a kijelentkezés megerősítéséhez az Ön IdP-jével. Győződjön meg arról, hogy az IdP-je SingleLogout-ra van konfigurálva.

A Control Hub integrálása az ADFS-szel


 

A konfigurációs útmutatók egy konkrét példát mutatnak be az SSO-integrációra, de nem adnak teljes körű konfigurációt az összes lehetőséghez. Például a következőhöz: nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient tartozó integrációs lépések dokumentálva vannak. Más formátumok, mint pl.: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress működni fognak SSO-integráció esetén, de nem tartoznak a dokumentációnk hatókörébe.

Állítsa be ezt az integrációt a Webex -szervezet felhasználói számára (beleértve a Webex alkalmazást, a Webex Meetings alkalmazást és más, a Control Hubban felügyelt szolgáltatásokat). Ha a Webex-webhely be van építve a Control Hubba, a Webex-webhely örökli a felhasználókezelést. Ha nem tudja így elérni a Webex Meetings alkalmazást, és azt nem a Control Hub kezeli, külön integrációt kell végrehajtania az SSO a Webex Meetings számára engedélyezéséhez. (Lásd Egyszeri bejelentkezés konfigurálása a Webex számára További információ az SSO -integrációról a Webes adminisztráció.)

Attól függően, hogy mi van beállítva az ADFS hitelesítési mechanizmusaiban, az integrált Windows-hitelesítés (IWA) alapértelmezetten engedélyezve. Ha engedélyezve van, a Windowson keresztül indított alkalmazások (például a Webex alkalmazás és a Cisco Directory Connector) bejelentkezett felhasználóként hitelesítik magukat, függetlenül attól, hogy milyen e- e-mail-cím adtak meg a kezdeti e-mail-parancs során.

Töltse le a Webex metaadatokat a helyi rendszerére

1

Ügyfélnézetből inhttps://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre gombot, majd görgessen a lehetőséghez Hitelesítés , majd kapcsolja be a lehetőséget Egyszeri bejelentkezés beállítást a telepítővarázsló elindításához.

2

Válassza ki a tanúsítvány típusát a szervezete számára:

  • Cisco saját aláírásával — Ezt a választást javasoljuk. Írjuk alá a tanúsítványt, hogy csak ötévente kelljen megújítania.
  • Nyilvános hitelesítő hatóság írta alá — Biztonságosabb, de gyakran frissítenie kell a metaadatokat (kivéve, ha az IdP szállítója támogatja a megbízhatósági horgonyokat).

 

A megbízhatósági horgonyok nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére jogosultak. További információkért olvassa el az IdP dokumentációját.

3

Töltse le a metaadatfájlt.

A Webex -metaadat fájlnév: idb-meta-<org-ID> -SP.xml .

Telepítse a Webex metaadatokat az ADFS-be

Mielőtt elkezdené

A Control Hub támogatja az ADFS 2.x vagy újabb verzióit.

A Windows 2008 R2 csak az ADFS 1.0-s verzióját tartalmazza. Legalább az ADFS 2.x verzióját telepítenie kell a Microsoft.

Az SSO és Webex szolgáltatások esetében az identitásszolgáltatóknak (Identitásszolgáltatóknak) meg kell felelniük a következő SAML 2.0 specifikációnak:

  • Állítsa be a NameID Format attribútumot a következőre: urn:oasis:names:tc: SAML:2.0:nameid-format:transient

  • Állítsa be az IdP-n egy jogcímet, hogy tartalmazza a uid attribútumnév egy olyan értékkel, amely a Cisco Directory Connector alkalmazásban kiválasztott attribútumhoz van hozzárendelve, vagy ahhoz a felhasználói attribútumhoz, amely megegyezik a Webex Identitásszolgáltatásban kiválasztott attribútummal. (Ez az attribútum lehet például e-mail-cím vagy felhasználói alapnév.) Tekintse meg az egyéni attribútum információit a következő helyen:https://www.cisco.com/go/hybrid-services-directory útmutatásért.

1

Jelentkezzen be az ADFS kiszolgálóra rendszergazdai jogosultságokkal.

2

Nyissa meg az ADFS-kezelési konzolt, és keresse meg a következőt: Bizalmi kapcsolatok > Relying Party Trusts > Relying Party Trust hozzáadása .

3

A következőből: Relying Party Trust varázsló hozzáadása ablakban válassza ki Indítás .

4

For Válassza az Adatforrás lehetőséget válassza ki Az érintett fél adatainak importálása fájlból , tallózással keresse meg a letöltött Control Hub-metaadatfájlt, és válassza ki a lehetőséget Következő .

5

For Adja meg a megjelenített nevet , hozzon létre egy megjelenítési név ennek a függő félnek, mint például Webex és válassza ki a lehetőséget Következő .

6

For Válassza a Kibocsátási engedélyezési szabályok lehetőséget , válassza ki Engedélyezze az összes felhasználó számára az érintett fél elérését gombot, és válassza a lehetőséget Következő .

7

For Készen áll a bizalom hozzáadására , válassza ki Következő és fejezze be a megbízható megbízhatóság hozzáadását az ADFS-hez.

Hozzon létre igénylési szabályokat a Webex -hitelesítéshez

1

A fő ADFS ablaktáblában jelölje ki a létrehozott bizalmi kapcsolatot, majd válassza a lehetőséget Igénylési szabályok szerkesztése . A Kiadás átalakítási szabályai lapon válassza ki a lehetőséget Szabály hozzáadása lehetőségre .

2

A Szabálytípus kiválasztása lépésben válassza ki a lehetőséget LDAP -attribútumok küldése jogcímként lehetőséget, majd válassza a lehetőséget Következő .

  1. Adja meg a Igénylési szabály neve .

  2. Válassza ki Active Directory mint az Attribútumtár.

  3. Térképezze fel a E-mail-címek LDAP-attribútum a uid kimenő követelés típusa.

    Ez a szabály közli az ADFS-sel, hogy mely mezőket képezze le a Webex rendszerre a felhasználó azonosítása érdekében. Pontosan írja be a kimenő követeléstípusokat az ábrán látható módon.

  4. Mentse a módosításokat.

3

Válassza ki Szabály hozzáadása lehetőségre ismét válassza ki a lehetőséget Követelések küldése egyéni szabály segítségével lehetőséget, majd válassza a lehetőséget Következő .

Ez a szabály biztosítja az ADFS számára az „spname qualifier” attribútumot, amelyet a Webex egyébként nem biztosít.

  1. Nyissa meg a szövegszerkesztőt, és másolja át a következő tartalmat.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Cserélje le az URL1 és URL2 karaktereket a szövegben az alábbiak szerint:

    • URL1 az entityID a letöltött ADFS-metaadatfájlból.

      A következő például egy példa arra, amit lát: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Másolja csak az entityID-t az ADFS-metaadatfájlból, és illessze be a szövegfájlba az URL1 helyére

    • URL2 van az Ön által letöltött Webex metaadatfájl első sorában.

      A következő például egy példa arra, amit lát: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Másolja csak az entityID-t a Webex metaadatfájlból, és illessze be a szövegfájlba az URL2 helyére.

  2. A frissített URL-címekkel másolja át a szabályt a szövegszerkesztőből ("c:" betűvel kezdődően), és illessze be az egyéni szabálymezőbe az ADFS-kiszolgálón.

    A kész szabálynak így kell kinéznie:

  3. Válassza ki Befejezés a szabály létrehozásához, majd lépjen ki az Igénylési szabályok szerkesztése ablakból.

4

Válassza ki Relying Party Trust a főablak, majd válassza a lehetőséget Tulajdonságok lehetőségre a jobb oldali ablaktáblában.

5

Amikor megjelenik a Tulajdonságok ablak, tallózással keresse meg a Speciális fül, SHA-256 majd válassza ki a lehetőséget OK a módosítások mentéséhez.

6

A fájl letöltéséhez keresse meg a következő URL -címet a belső ADFS-kiszolgálón: https://< Kr. u_ FS_ Kiszolgáló >/FederationMetadata/2007-06/FederationMetadata.xml


 

Előfordulhat, hogy jobb gombbal az oldalra kell kattintania, és meg kell tekintenie az oldal forrását, hogy megkapja a megfelelően formázott XML-fájl.

7

Mentse a fájlt a helyi gépre.

Mi a következő teendő

Készen áll az ADFS-metaadatok visszaimportálására a Webex a felügyeleti portálról.

Importálja az IdP-metaadatokat, és engedélyezze az egyszeri bejelentkezés egy teszt után

Miután exportálta a Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP-metaadatokat a helyi rendszerre, készen áll arra, hogy importálja azokat a Webex -szervezetbe a Control Hubból.

Mielőtt elkezdené

Ne tesztelje az SSO -integrációt az identitásszolgáltató (IdP) felületről. Csak a szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztjét kell használnia.

1

Válasszon egyet:

  • Térjen vissza a Control Hub – tanúsítvány kiválasztó oldalára a böngészőjében, majd kattintson a gombra Következő .
  • Ha a Control Hub már nincs megnyitva a böngésző lapon, az ügyfélnézetből behttps://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre , görgessen a lehetőséghez Hitelesítés , majd válassza a lehetőséget Műveletek lehetőségre > Metaadatok importálása .
2

Az IdP-metaadatok -metaadatok importálása oldalon húzza át az IdP-metaadatfájlt az oldalra, vagy használja a fájlböngészőt a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Tovább gombra.

Használnia kell a Biztonságosabb opciót, ha teheti. Ez csak akkor lehetséges, ha az IdP nyilvános hitelesítésszolgáltatót használt a metaadatainak aláírásához.

Minden egyéb esetben a Kevésbé biztonságos opciót. Ez vonatkozik arra az esetre is, ha a metaadatok nem privát hitelesítésszolgáltató által aláírt, önaláírt vagy aláírt.


 

Az Okta nem írja alá a metaadatokat, ezért választania kell Kevésbé biztonságos Okta SSO -integrációhoz.

3

Válassza ki Az SSO beállításának tesztelése , és amikor egy új böngészőlap megnyílik, bejelentkezéssel végezzen hitelesítést az IdP-vel.


 

Ha hitelesítési hibaüzenetet kap, lehet, hogy a hitelesítő adatokkal van probléma. Ellenőrizze a felhasználónevet és a jelszót, majd próbálkozzon újra.

A Webex alkalmazás hibája általában az SSO -beállítással kapcsolatos problémát jelent. Ebben az esetben ismételje meg a lépéseket, különösen azokat, amelyeknél a Control Hub metaadatait másolja és illessze be az IdP-beállításba.


 

Ha közvetlenül szeretné megtekinteni az SSO bejelentkezési élményt, kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez a lépés leállítja a hamis pozitív üzeneteket egy olyan hozzáférési token miatt, amely egy meglévő munkamenetben lehet, hogy Ön bejelentkezett.

4

Térjen vissza a Control Hub böngésző lapjára.

  • Ha a teszt sikeres volt, válassza a lehetőséget Sikeres teszt. SSO bekapcsolása és kattintson Következő .
  • Ha a teszt sikertelen volt, válassza a lehetőséget Sikertelen teszt. Az SSO kikapcsolása és kattintson Következő .

 

Az SSO -konfiguráció csak akkor lép életbe a szervezetben, ha az első választógombot választja és aktiválja az SSO-t.

Mi a következő teendő

Használja a következő eljárásokat: Az Okta-felhasználók szinkronizálása a Cisco Webex Control Hub ha az Oktából szeretne felhasználói beüzemelést végezni a Webex felhőbe.

Használja a következő eljárásokat: Az Azure Active Directory -felhasználók szinkronizálása a Cisco Webex Control Hub ha szeretné végrehajtani a felhasználók kiépítését az Azure AD-ből a Webex -felhőbe.

Az eljárást itt követheti Automatikus e-mailek letiltása a szervezeten belüli új Webex App-felhasználóknak küldött e-mailek letiltásához. A dokumentum a szervezeten belüli felhasználóknak szóló közlemények kiküldésére vonatkozó bevált módszerek is tartalmaz.

Frissítse a Webex támaszkodó fél bizalmát az ADFS-ben

Ez a feladat kifejezetten az ADFS frissítésére vonatkozik a Webex új SAML -metaadataival. Vannak kapcsolódó cikkek, ha kell konfigurálja az SSO -t ADFS-sel , vagy ha szükséges frissítés (egy másik) IdP SAML -metaadatokkal egy új Webex SSO tanúsítványhoz .

Mielőtt elkezdené

Exportálnia kell az SAML -metaadatfájlt a Control Hubból, mielőtt frissítené a Webex Relying Party Trust rendszert az ADFS-ben.

1

Jelentkezzen be az ADFS kiszolgálóra rendszergazdai jogosultságokkal.

2

Töltse fel az SAML metaadatfájlt a Webex alkalmazásból az ADFS kiszolgáló egy ideiglenes helyi mappájába, pl. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Nyissa meg a Powershell-t.

4

Futtatás Get-AdfsRelyingPartyTrust hogy elolvassa az összes bizalmi bizalmat.

Jegyezze fel a TargetName a Webex bizalmi kapcsolatának paramétere. A „Webex” példát használjuk, de az ADFS-ben eltérő lehet.

5

Futtatás Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Ügyeljen arra, hogy a fájlnevet és a célnevet a környezet megfelelő értékeire cserélje.

Látod https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Ha letöltötte a Webex SP 5 éves tanúsítványt, és be van kapcsolva az aláírási vagy a titkosítási tanúsítvány visszavonása, akkor a következő két parancsot kell futtatnia: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Jelentkezzen be a Control Hub rendszerébe, majd tesztelje az SSO -integrációt:

  1. Ugrás ide: Kezelés > Szervezeti beállítások elemre , görgessen a lehetőséghez Hitelesítés , és kapcsolja be a lehetőséget Egyszeri bejelentkezés beállítást a konfigurációs varázsló elindításához.

  2. Kattintson Következő hogy átugorja az IdP-metaadatok importálása oldalt.

    Nem kell megismételnie ezt a lépést, mert korábban már importálta az IdP metaadatokat.

  3. Engedélyezés előtt tesztelje az SSO -kapcsolatot. Ez a lépés tesztfuttatásként működik, és nincs hatással a szervezeti beállításokra, amíg a következő lépésben nem engedélyezi az SSO-t.


     

    Ha közvetlenül szeretné megtekinteni az SSO bejelentkezési élményt, kattintson az URL másolása a vágólapra lehetőségre erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

  4. Jelentkezzen be a teszt befejezéséhez.

ADFS hibaelhárítás

ADFS hibák a Windows naplóiban

A Windows naplóiban 364-es ADFS-eseménynapló- hibakód jelenhet meg. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.

Hiba történt a megbízható fél tanúsítványlánc létrehozására tett kísérlet során

Az SSO -tanúsítvány frissítésekor a következő hibaüzenet jelenhet meg a bejelentkezéskor: Invalid status code in response.

Ha ezt a hibát látja, ellenőrizze az Event Viewer naplóit az ADFS-kiszolgálón, és keresse a következő hibát: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. A lehetséges okok közé tartozik az, hogy a tanúsítvány visszavonásra került, a tanúsítványlánc nem ellenőrizhető a megbízható fél titkosítási tanúsítvány visszavonási beállításainak megfelelően, vagy a tanúsítvány még nincs az érvényességi időszakán belül.

Ha ez a hiba lép fel, akkor le kell futtatnia a parancsokat Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Összevonási azonosító

Az összevonási azonosító megkülönbözteti a kis- és nagybetűket. Ha ez az Ön szervezeti e- e-mail-cím, pontosan úgy adja meg, ahogyan az ADFS küldte, különben a Webex nem találja a megfelelő felhasználót.

Egyéni jogcímszabály nem írható az LDAP-attribútum normalizálására a küldés előtt.

Importálja a metaadatokat a környezetben beállított ADFS-kiszolgálóról.

Szükség esetén ellenőrizheti az URL -címet a ide navigálással Szolgáltatás lehetőségre > Végpontok lehetőségre > Metaadatok lehetőségre > Típus:Összevonási metaadatok az ADFS-kezelésben.

Időszinkronizálás

Gondoskodjon arról, hogy az ADFS-kiszolgáló rendszerórája egy megbízható, a Hálózati idő protokollt (NTP) használó internetes időforráshoz legyen szinkronizálva. A következő PowerShell-parancs segítségével torzítsa el az órát csak a Webex Relying Party Trust kapcsolat esetén.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

A hexadecimális érték egyedi az Ön környezetében. Cserélje ki az SP EntityDescriptor azonosító értékéből származó értéket a Webex metaadatfájlban. Például:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">