Single Sign-On e Control Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione Security Assertion Markup Language (SAML 2.0) viene utilizzato per fornire l'autenticazione SSO tra il cloud Webex e il provider identità (IdP).

Profili

L'app Webex supporta solo il profilo SSO del browser Web. Nel profilo SSO del browser Web, l'app Webex supporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. Webex App supporta i seguenti formati NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dal IdP, la prima voce è configurata per l'uso in Webex.

Disconnessione singola

L'app Webex supporta il profilo di disconnessione singola. Nell'app Webex, un utente può disconnettersi dall'applicazione, che utilizza il protocollo di disconnessione singola SAML per terminare la sessione e confermare tale disconnessione con l'IdP. Verifica che l'IdP sia configurato per la disconnessione singola.

Integrazione di Control Hub con ADFS


 

Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad es. vengono documentate le fasi di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funzioneranno per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Imposta questa integrazione per gli utenti dell'organizzazione Webex (inclusi app Webex , Webex Meetings e altri servizi amministrati in Control Hub). Se il sito Webex è integrato in Control Hub, il sito Webex eredita la gestione utenti. Se non è possibile accedere a Webex Meetings in questo modo e non è gestito in Control Hub, è necessario eseguire un'integrazione separata per abilitare SSO per Webex Meetings. (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).

A seconda della configurazione nei meccanismi di autenticazione in AD FS, l'Autenticazione integrata di Windows (IWA) può essere abilitata per impostazione predefinita. Se questa opzione è abilitata, le applicazioni avviate tramite Windows (come l'app Webex e il connettore directory Cisco) vengono autenticate come utente che ha eseguito l'accesso, indipendentemente dall'indirizzo e-mail inserito durante il prompt e-mail iniziale.

Scaricare i metadati Webex nel sistema locale

1

Dalla vista cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , quindi scorrere fino a Autenticazione , quindi attivare il Single Sign-On per avviare la procedura di installazione guidata.

2

Scegli il tipo di certificato per la tua organizzazione:

  • Autofirmato da Cisco —Si consiglia questa scelta. Consente di firmare il certificato in modo che sia necessario rinnovarlo solo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica —Più sicuro, ma dovrai aggiornare frequentemente i metadati (a meno che il fornitore IdP non supporti i trust anchor).

 

I trust anchor sono chiavi pubbliche che fungono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

3

Scarica il file dei metadati.

Il nome del file di metadati Webex è idb-meta-<org-ID> -SP.xml .

Installazione dei metadati Webex in ADFS

Operazioni preliminari

Control Hub supporta ADFS 2.x o versioni successive.

Solo Windows 2008 R2 include AD FS 1.0. Devi installare almeno AD FS 2.x di Microsoft.

Per i servizi SSO e Webex, i provider di identità (IdP) devono essere conformi alla seguente specifica SAML 2.0:

  • Impostare l'attributo del formato NameID su urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurare una richiesta sull'IdP per includere il nome dell'attributo uid con un valore associato all'attributo scelto in Cisco Directory Connector o l'attributo utente corrispondente a quello scelto nel servizio di identità Webex. (tale attributo può essere, ad esempio, Indirizzi e-mail o Nome principale utente). Vedi le informazioni sull'attributo personalizzato in https://www.cisco.com/go/hybrid-services-directory per indicazioni.

1

Accedi al server AD FS con autorizzazioni di amministratore.

2

Apri la console di gestione AD FS e passa a Relazioni di attendibilità > Attendibilità componente > Aggiungi attendibilità componente.

3

Dalla finestra Aggiunta guidata attendibilità componente, seleziona Avvia.

4

Per Seleziona origine dati seleziona Importa dati sul componente da un file, passa al file di metadati Control Hub scaricato e seleziona Avanti.

5

Per Specifica nome visualizzato, crea un nome visualizzato per l'attendibilità del componente come Webex e seleziona Avanti.

6

Per Scegli regole di autorizzazione rilascio, seleziona Consenti a tutti gli utenti l'accesso a questo componente e seleziona Avanti.

7

Per Aggiunta attendibilità, seleziona Avanti e termina l'aggiunta dell'attendibilità componente a AD FS.

Crea regole di richiesta per l'autenticazione Webex

1

Nel riquadro principale di AD FS, seleziona la relazione di attendibilità creata, quindi seleziona Modifica regole attestazione. Nella scheda Regole di trasformazione rilascio, seleziona Aggiungi regola.

2

Nel passo Scegli tipo di regola, seleziona Inviare attributi LDAP come attestazioni, quindi seleziona Avanti.

  1. Inserisci un Nome regola attestazione.

  2. Seleziona Active Directory come Archivio attributi.

  3. Associa l'attributo LDAP Indirizzi e-mail al tipo di attestazione in uscita uid.

    Questa regola indica ad ADFS quali campi associare a Webex per identificare un utente. Specifica i tipi di attestazione in uscita esattamente come vengono mostrati.

  4. Salva le modifiche.

3

Seleziona nuovamente Aggiungi regola, seleziona Inviare attestazioni mediante una regola personalizzata, quindi seleziona Avanti.

Questa regola fornisce ad ADFS l'attributo "spname qualifier" che Webex non fornisce altrimenti.

  1. Apri l'editor di testo e copia il seguente contenuto.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Sostituisci URL1 e URL2 nel testo come segue:

    • URL1 è l'entityID del file di metadati AD FS scaricato.

      Ad esempio, di seguito è riportato un esempio di ciò che viene visualizzato: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copia solo l'entityID dal file di metadati AD FS e incollalo nel file di testo sostituendo URL1

    • URL2 è sulla prima linea nel file di metadati Webex scaricato.

      Ad esempio, di seguito è riportato un esempio di ciò che viene visualizzato: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copia solo l'entityID dal file di metadati Webex e incollalo nel file di testo per sostituire URL2.

  2. Con gli URL aggiornati, copia la regola dall'editor di testo (a partire da "c:") e incollala nella casella della regola personalizzata sul server AD FS.

    La regola completata viene visualizzata come segue:

  3. Seleziona Fine per creare la regola, quindi esci dalla finestra Modifica regole attestazione.

4

Seleziona Attendibilità componente nella finestra principale, quindi seleziona Proprietà nel riquadro a destra.

5

Quando viene visualizzata la finestra Proprietà, passa alla scheda Avanzate, SHA-256, quindi seleziona OK per salvare le modifiche.

6

Passa al seguente URL sul server AD FS interno per scaricare il file: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

È possibile che tu debba fare clic con il pulsante destro del mouse sulla pagina e visualizzare l'origine della pagina per ottenere il file XML correttamente formattato.

7

Salva il file sul computer locale.

Operazioni successive

Ora puoi importare nuovamente i metadati AD FS in Webex dal portale di gestione.

Importare i metadati IdP e abilitare il Single-Sign-On dopo un test

Dopo aver esportato i metadati Webex , configurato il tuo IdP e scaricato i metadati IdP nel sistema locale, sei pronto per importarli nell'organizzazione Webex da Control Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Sono supportati solo i flussi avviati dal provider di servizi (SP), pertanto devi utilizzare il test SSO Control Hub per questa integrazione.

1

Scegli un'opzione:

  • Ritornare alla pagina di selezione del certificato Control Hub - nel browser, quindi fare clic su Avanti .
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione , quindi scegliere Azioni > Importa metadati .
2

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fai clic su Avanti.

È necessario utilizzare il file Più sicuro opzione, se possibile. Ciò è possibile solo se il provider di identità ha utilizzato un'Autorità di certificazione pubblica per firmare i metadati.

In tutti gli altri casi, è necessario utilizzare il file Meno sicuro opzione. Ciò include se i metadati non sono firmati, autofirmati o firmati da un'Autorità di certificazione privata.


 

Okta non firma i metadati, quindi devi scegliere Meno sicuro per un'integrazione Okta SSO .

3

Selezionare Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.


 

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l'impostazione SSO . In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.


 

Per visualizzare direttamente l'esperienza di accesso SSO, puoi anche fare clic su Copia URL negli appunti da questa schermata e incollare in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questo passaggio consente di impedire i falsi positivi a causa di un token di accesso che potrebbe trovarsi in una sessione esistente dopo aver eseguito l'accesso.

4

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test eseguito correttamente. Attiva SSO e fare clic Avanti .
  • Se il test non ha esito positivo, selezionare Test non riuscito. Disattiva SSO e fare clic Avanti .

 

La configurazione SSO non ha effetto nell'organizzazione a meno che non si scelga Primo pulsante di opzione opzione e si attivi SSO.

Operazioni successive

Utilizzare le procedure in Sincronizza gli utenti Okta in Cisco Webex Control Hub se si desidera eseguire il provisioning utenti da Okta al cloud Webex .

Utilizzare le procedure in Sincronizza gli utenti di Azure Active Directory in Cisco Webex Control Hub se si desidera eseguire il provisioning utente da Azure AD nel cloud Webex .

È possibile seguire la procedura in Eliminazione dei messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti dell'app Webex nell'organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Aggiorna attendibilità della parte Webex in ADFS

Questa attività riguarda in particolare l'aggiornamento di ADFS con i nuovi metadati SAML da Webex. Se necessario, sono disponibili articoli correlati configurare SSO con ADFS , o se necessario aggiornare (un altro) IdP con metadati SAML per un nuovo certificato Webex SSO .

Operazioni preliminari

È necessario esportare il file di metadati SAML da Control Hub prima di poter aggiornare l'attendibilità della parte attendibile Webex in ADFS.

1

Accedi al server AD FS con autorizzazioni di amministratore.

2

Caricare il file di metadati SAML da Webex a una cartella locale temporanea sul server ADFS, ad es. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Apri Powershell.

4

Esegui Get-AdfsRelyingPartyTrust per leggere tutti i trust delle parti coinvolte.

Tenere presente che TargetName dell'attendibilità della parte responsabile di Webex . Viene utilizzato l'esempio "Webex", ma potrebbe essere diverso nell'ADFS.

5

Esegui Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Assicurati di sostituire il nome file e il nome di destinazione con i valori corretti del tuo ambiente.

Consultare .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Se hai scaricato il certificato Webex SP 5 anni e hai attivato la firma o la revoca del certificato di crittografia attivata, devi eseguire questi due comandi: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Accedi a Control Hub, quindi esegui il test dell'integrazione SSO:

  1. Vai a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione , e attivare il Single Sign-On per avviare la procedura di installazione guidata di configurazione.

  2. Fai clic su Avanti per ignorare la pagina Importa metadati IdP.

    Non devi ripetere questo passaggio poiché hai importato i metadati IdP in precedenza.

  3. Verificare la connessione SSO prima di abilitarla. Questo passaggio funziona come un test controllato e non influisce sulle impostazioni della tua organizzazione finché non abiliti SSO nel passaggio successivo.


     

    Per visualizzare direttamente l'esperienza di accesso SSO, puoi anche fare clic su Copia URL negli appunti da questa schermata e incollare in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

  4. Esegui l'accesso per completare il test.

Risoluzione dei problemi ADFS

Errori ADFS nei registri Windows

Nei registri Windows, potrebbe essere visualizzato un codice di errore del registro eventi AD FS 364. I dettagli dell'evento identificano un certificato non valido. In questi casi, l'host AD FS non è autorizzato ad attraversare il firewall sulla porta 80 per convalidare il certificato.

Si è verificato un errore durante un tentativo di costruire la catena di certificati per l'attendibilità del componente

Quando si aggiorna il certificato SSO, è possibile che venga visualizzato questo errore durante l'accesso: Invalid status code in response.

Se viene visualizzato l'errore, controllare i registri del visualizzatore eventi sul server ADFS e individuare il seguente errore: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. È possibile che il certificato sia stato revocato, che la catena dei certificati non sia stata verificata come specificato dalle impostazioni di revoca dei certificati di crittografia del trust del trust o che il certificato non sia entro il periodo di validità.

Se si verifica questo errore, è necessario eseguire i comandi Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federazione

L'ID federazione è sensibile alle maiuscole e minuscole. Se questo è l'indirizzo e-mail dell'organizzazione, inserirlo esattamente come inviato da ADFS o se Webex non riesce a trovare l'utente corrispondente.

Non è possibile scrivere una regola di attestazione personalizzata per normalizzare l'attributo LDAP prima che venga inviato.

Importa i metadati dal server AD FS impostati nel tuo ambiente.

Se necessario, puoi verificare l'URL passando a Servizio > Endpoint > Metadati > Type:Federation Metadata in Gestione AD FS.

Sincronizzazione ora

Assicurati che l'orologio di sistema del server AD FS sia sincronizzato su un'origine dell'ora Internet affidabile che utilizzi il protocollo Network Time Protocol (NTP). Utilizzare il seguente comando PowerShell per modificare l'orologio solo per la relazione di attendibilità del componente Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Il valore esadecimale è univoco per il tuo ambiente. Sostituire il valore dell'ID SP EntityDescriptor nel file di metadati Webex. Ad esempio:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">