Egyetlen bejelentkezési (SSO) integrációt konfigurálhat a Control Hub és az Active Directory összevonási szolgáltatásokat (ADFS 2.x és újabb) identitásszolgáltatóként (IdP) használó központi telepítés között.
Egyszeri bejelentkezés és vezérlőközpont
Az egyszeri bejelentkezés (egyszeri bejelentkezés) olyan munkamenet vagy felhasználói hitelesítési folyamat, amely lehetővé teszi a felhasználó számára, hogy hitelesítő adatokat adjon meg egy vagy több alkalmazás eléréséhez. A folyamat hitelesíti a felhasználókat az összes olyan alkalmazás esetében, amelyre jogosultságot kapnak. Kiküszöböli a további kéréseket, amikor a felhasználók egy adott munkamenet során váltanak alkalmazásokat.
A biztonsági állítások jelölési nyelve (SAML 2.0) összevonási protokollja az egyszeri bejelentkezés hitelesítésének biztosítására szolgál a Webex felhő és az identitásszolgáltató (IdP) között.
Profilok
A Webex App csak a webböngésző SSO-profilját támogatja. A webböngésző SSO-profiljában a Webex App a következő kötéseket támogatja:
SP kezdeményezett POST -> POST kötés
SP kezdeményezett REDIRECT -> POST kötés
NameID formátum
A SAML 2.0 protokoll számos NameID formátumot támogat egy adott felhasználóról való kommunikációhoz. A Webex Alkalmazás a következő NameID formátumokat támogatja.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Az IdP-ből betöltött metaadatokban az első bejegyzés a Webexben való használatra van konfigurálva.
SingleLogout
A Webex Alkalmazás támogatja az egyetlen kijelentkezési profilt. A Webex Alkalmazásbana felhasználó kijelentkezhet az alkalmazásból, amely az SAML egyetlen kijelentkezés protokollt használja a munkamenet befejezéséhez és annak megerősítéséhez, hogy kijelentkezett az IdP-vel. Győződjön meg arról, hogy az IdP a SingleLogout-hoz van konfigurálva.
Vezérlőközpont integrálása az ADFS-szel
A konfigurációs útmutatók konkrét példát mutatnak az egyszeri bejelentkezéshez, de nem biztosítanak kimerítő konfigurációt az összes lehetőséghez. A nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient integrációs lépései például dokumentálva vannak. Más formátumok, mint például az urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified vagy urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress az SSO-integrációhoz fog működni, de nem tartoznak a dokumentációnk hatókörébe. |
Állítsa be ezt az integrációt a Webex szervezet felhasználói számára (beleértve a WebexAppot, a Webex-értekezleteketés a Control Hubban felügyelt egyéb szolgáltatásokat ). Ha a Webex webhelye integrálva van a ControlHubba, a Webex webhely örökli a felhasználókezelést. Ha nem tud ilyen módon hozzáférni a Webex-értekezletekhez, és azt nem kezeli a Control Hub, külön integrációt kell végeznie a Webex-értekezletek egyszeri bejelentkezésének engedélyezéséhez. (Lásd: A Webex egyszeri bejelentkezésének konfigurálása további információkért a webhelyfelügyelet sso-integrációjáról.)
Attól függően, hogy mi van konfigurálva az ADFS hitelesítési mechanizmusaiban, az integrált Windows-hitelesítés (IWA) alapértelmezés szerint engedélyezhető. Ha engedélyezve van, a Windows rendszeren keresztül indított alkalmazások (például a Webex App és a Cisco Directory Connector ) a bejelentkezett felhasználóként hitelessíthetők, függetlenül attól, hogy milyen e-mail címet írnak be a kezdeti e-mail-üzenetben.
Töltse le a Webex metaadatait a helyi rendszerbe
1 | A vevői nézetből lépjen a https://admin.webex.com elemre, majd görgessen a Hitelesítéselemre, majd váltson az Egyszeri bejelentkezés beállításra a telepítővarázsló elindításához. |
||
2 | Válassza ki a szervezet tanúsítványtípusát:
|
||
3 | Töltse le a metaadatfájlt. A Webex metaadatfájl neve idb-meta-<org-ID>-SP.xml. |
Webex metaadatok telepítése az ADFS-be
Mielőtt elkezdené
A Control Hub támogatja az ADFS 2.x vagy újabb verzióit.
A Windows 2008 R2 csak ADFS 1.0-t tartalmaz. Legalább ADFS 2.x-et kell telepítenie a Microsofttól.
Az SSO és a Webex szolgáltatások esetében az identitásszolgáltatóknak meg kell felelniük a következő SAML 2.0 specifikációnak:
Állítsa a NameID Format attribútumot urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Konfiguráljon egy jogcímet az IdP-n úgy, hogy tartalmazza az uid attribútum nevét egy olyan értékkel, amely a Cisco Directory-összekötőben kiválasztott attribútumhoz vagy a Webex identity szolgáltatásban kiválasztottnak megfelelő felhasználói attribútumhoz van rendelve. (Ez az attribútum lehet például e-mail-címek vagy felhasználónév.) Útmutatásért tekintse meg az egyéni attribútum https://www.cisco.com/go/hybrid-services-directory adatait.
1 | Jelentkezzen be az ADFS-kiszolgálóra rendszergazdai engedélyekkel. |
2 | Nyissa meg az ADFS Felügyeleti konzolt, és keresse meg a lehetőséget. |
3 | A Függő entitás megbízhatóságának hozzáadása varázsló ablakban válassza a Start lehetőséget. |
4 | Az Adatforrás kiválasztása listában válassza a Függő entitás adatainak importálása fájlbóllehetőséget , keresse meg a letöltött Control Hub Metaadat-fájlt, majd válassza a Következőlehetőséget. |
5 | A Megjelenítendő név megadása mezőben hozzon létre egy megjelenítendő nevet ehhez a függő fél megbízhatósági kapcsolathoz, például a Webexhez, és válassza a Következőlehetőséget. |
6 | A Kiadási engedélyezési szabályok kiválasztásamezőben válassza az Összes felhasználó hozzáférésének engedélyezéselehetőséget, majd válassza a Következő lehetőséget. |
7 | A Trust hozzáadására készterületen válassza a Tovább lehetőséget, és fejezze be a függő megbízhatóság hozzáadását az ADFS-hez. |
Jogcímszabályok létrehozása Webex-hitelesítéshez
1 | A fő ADFS ablaktáblán jelölje ki a létrehozott bizalmi kapcsolatot, majd válassza a Jogcímszabályok szerkesztéselehetőséget. A Kiadásátalakítási szabályok lapon válassza a Szabály hozzáadásalehetőséget. |
||
2 | A Szabálytípus kiválasztása lépésben válassza az LDAP-attribútumok küldése jogcímkéntlehetőséget, majd válassza a Következőlehetőséget. ![]() |
||
3 | Válassza ismét a Szabály hozzáadása lehetőséget, válassza a Követelések küldése egyéni szabály használatávallehetőséget, majd válassza a Következő lehetőséget. Ez a szabály az ADFS számára azt a "spname qualifier" attribútumot biztosítja, amelyet a Webex egyébként nem biztosít. |
||
4 | A főablakban válassza a Függő entitás megbízhatósága lehetőséget, majd a jobb oldali ablaktáblán válassza a Tulajdonságok lehetőséget. |
||
5 | Amikor megjelenik a Tulajdonságok ablak, keresse meg a Speciális lapot, az SHA-256 lapot, majd válassza az OK gombot a módosítások mentéséhez. |
||
6 | Keresse meg a következő URL-címet a belső ADFS-kiszolgálón a fájl letöltéséhez: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml
|
||
7 | Mentse a fájlt a helyi gépre. |
Mi a következő lépés
Készen áll arra, hogy az ADFS metaadatait visszaimportálja a Webexbe a felügyeleti portálról.
Az IdP metaadatok importálása és egyszeri bejelentkezés engedélyezése a teszt után
Miután exportálta a Webex metaadatokat, konfigurálta az IdP-t, és letöltötte az IdP metaadatokat a helyi rendszerbe, készen áll arra, hogy importálja azt a Webex szervezetébe a Control Hubprogramból.
Mielőtt elkezdené
Ne tesztelje az egyszeri bejelentkezést az identitásszolgáltató (IdP) felületéről. Ehhez az integrációhoz csak a Szolgáltató által kezdeményezett (SP által kezdeményezett) folyamatokat támogatjuk, ezért ehhez az integrációhoz a Control Hub SSO tesztet kell használnia.
1 | Válasszon egyet:
|
||||
2 | Az IdP metaadatok importálása lapon húzza és dobja az IdP metaadatfájlt a lapra, vagy használja a fájlböngésző opciót a metaadatfájl megkereséséhez és feltöltéséhez. Kattintson a Továbbgombra. Ha lehet, használja a biztonságosabb opciót. Ez csak akkor lehetséges, ha az azonosító azonosító nyilvános hitelesítésszolgáltatót használt a metaadatok aláírásához. Minden más esetben a kevésbé biztonságos opciót kell használnia. Ez magában foglalja azt az esetben is, ha a metaadatokat nem írta alá, nem saját maga írta alá, vagy nem írta alá egy privát hitelesítésszolgáltató. |
||||
3 | Válassza a SSO-beállítás teszteléselehetőséget, és amikor megnyílik egy új böngészőlap, jelentkezzen be bejelentkezéssel az IdP-vel.
|
||||
4 | Vissza a Control Hub böngésző fülre.
|
Mi a következő lépés
Az automatikus e-mailek letiltása című témakörben letilthatja a szervezet új Webex App-felhasználóinak küldött e-maileket. A dokumentum a kommunikációnak a szervezet felhasználóinak történő küldésére vonatkozó ajánlott eljárásokat is tartalmazza.
A Webex függő entitások bizalmának frissítése az ADFS-ben
Mielőtt elkezdené
A Webex Függő fél megbízhatóságának frissítése előtt exportálnia kell az SAML metaadatfájlt a Control Hubból.
1 | Jelentkezzen be az AD FS-kiszolgálóra rendszergazdai engedélyekkel. |
||
2 | Töltse fel a SAML metaadatfájlt a Webex-ből egy ideiglenes helyi mappába az AD FS szerveren, pl. |
||
3 | Nyissa meg a Powershellt. |
||
4 | Futtatás Vegye figyelembe a |
||
5 | Futtatás Ügyeljen arra, hogy a fájl nevét és a célnevét a környezetből származó megfelelő értékekre cserélje. Látod https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
|
||
6 | Jelentkezzen be a ControlHubba, majd tesztelje az egyszeri bejelentkezés integrációját: |
ADFS hibaelhárítás
ADFS-hibák a Windows-naplókban
A Windows-naplókban egy ADFS-eseménynapló 364-es hibakódja látható. Az esemény részletei érvénytelen tanúsítványt azonosítanak. Ezekben az esetekben az ADFS-állomás nem engedélyezett a 80-as port tűzfalán keresztül a tanúsítvány érvényesítéséhez.
Hiba történt a függő fél megbízhatósági kapcsolatának tanúsítványláncának létrehozása során
Az egyszeri bejelentkezéskor előfordulhat, hogy a következő hibaüzenet jelenik meg: Invalid status code in response
.
Ha ezt a hibát látja, ellenőrizze az Eseménynapló naplóit az ADFS-kiszolgálón, és keresse meg a következő hibát: An error occurred during an attempt to
build the certificate chain for the relying party trust
'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint
'754B9208F1F75C5CC122740F3675C5D129471D80'
. Ennek lehetséges oka, hogy a tanúsítványt visszavonták, a tanúsítványlánc nem ellenőrizhető a függő fél titkosítási tanúsítványának visszavonási beállításai által meghatározottak szerint, vagy a tanúsítvány nem rendelkezik annak érvényességi időszakán belül.
Ha ez a hiba bekövetkezik, futtatnia kell a parancsokat Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID>
-EncryptionCertificateRevocationCheck None
Összevonási azonosító
Az összevonási azonosító megkülönbözteti a kis- és nagybetűket. Ha ez a szervezeti e-mail-cím, pontosan adja meg, ahogy az ADFS küldi, vagy a Webex nem találja a megfelelő felhasználót.
Az ldap attribútum elküldése előtt nem írható egyéni jogcímszabály az LDAP attribútum normalizálására.
Importálja a metaadatokat a környezetben beállított ADFS-kiszolgálóról.
Szükség esetén ellenőrizheti az URL-címet a
az ADFS Managementben.Időszinkronizálás
Győződjön meg arról, hogy az ADFS-kiszolgáló rendszerórája szinkronizálva van egy megbízható internetidőforrással, amely a hálózati időprotokollt (NTP) használja. A következő PowerShell-paranccsal csak a Webex Függő fél megbízhatósági kapcsolatának óráját ferdítve.
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3
A hexadecimális érték egyedülálló az Ön környezetében. Cserélje le az értéket a Webex metaadatfájl SP EntityDescriptor ID értékéből. Például:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">