Single Sign-On e Webex Control Hub

Il Single Sign-On (SSO) è una sessione o un processo di autenticazione utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni per le quali dispongono di diritti. Elimina ulteriori prompt quando gli utenti passano da un'applicazione all'altra durante una determinata sessione.

Il protocollo di federazione Security Assertion Markup Language (SAML 2.0) viene utilizzato per fornire l'autenticazione SSO tra il cloud Cisco Webex e il provider di identità (IdP).

Profili

Cisco Webex Teams supporta solo il profilo SSO del browser Web. Nel profilo SSO del browser Web, Cisco Webex Teams supporta le seguenti associazioni:

  • POST avviato da SP -> Associazione POST

  • REDIRECT avviato da SP -> Associazione POST

Formato NameID

Il protocollo SAML 2.0 supporta diversi formati NameID per la comunicazione su uno specifico utente. Cisco Webex Teams supporta i seguenti formati NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nei metadati caricati dall'IdP, la prima voce viene configurata per l'uso in Cisco Webex.

Disconnessione singola

Cisco Webex Teams supporta il profilo di disconnessione singola. Nell'app Cisco Webex Teams, un utente può disconnettersi dall'applicazione che utilizza il protocollo di disconnessione singola SAML per terminare la sessione e confermare tale disconnessione con l'IdP. Verifica che l'IdP sia configurato per la disconnessione singola.

Integra Cisco Webex Control Hub con AD FS


Le guide alla configurazione mostrano un esempio specifico di integrazione SSO ma non forniscono una configurazione esaustiva per tutte le possibilità. Ad esempio, viene documentata la procedura di integrazione per nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Altri formati come urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress sono validi per l'integrazione SSO ma non rientrano nell'ambito della nostra documentazione.

Imposta questa integrazione per gli utenti nella tua organizzazione Cisco Webex (inclusi Cisco Webex Teams, Cisco Webex Meetings e altri servizi amministrati in Cisco Webex Control Hub). Se il sito Webex è integrato in Cisco Webex Control Hub, il sito Webex eredita la gestione utenti. Se non puoi accedere a Cisco Webex Meetings in questo modo e ciò non viene gestito in Cisco Webex Control Hub, devi eseguire un'integrazione separata per abilitare SSO per Cisco Webex Meetings (vedi Configura il Single Sign-On per Webex per ulteriori informazioni sull'integrazione SSO in Amministrazione sito).

A seconda della configurazione nei meccanismi di autenticazione in AD FS, l'Autenticazione integrata di Windows (IWA) può essere abilitata per impostazione predefinita. Se abilitata, le applicazioni avviate attraverso Windows (come Webex Teams e Cisco Directory Connector) vengono autenticate in base all'utente che ha eseguito l'accesso, indipendentemente dall'indirizzo e-mail inserito al prompt dell'e-mail iniziale.

Scarica i metadati Cisco Webex sul sistema locale

1

Dalla vista del cliente in https://admin.webex.com, vai a Impostazioni, quindi scorri fino ad Autenticazione.

2

Fai clic su Modifica, fai clic su Integra un provider identità di terze parti. (Avanzate), quindi fai clic su Avanti.

3

Scarica il file dei metadati.

Il nome file dei metadati Cisco Webex è idb-meta-<org-ID>-SP.xml.

Installa i metadati Cisco Webex in AD FS

Operazioni preliminari

Cisco Webex Control Hub supporta AD FS 2.x o versioni successive.

Solo Windows 2008 R2 include AD FS 1.0. Devi installare almeno AD FS 2.x di Microsoft.

Per SSO e i servizi Cisco Webex, i provider di identità (IdP) devono essere conformi alla seguente specifica SAML 2.0:

  • Imposta l'attributo del formato NameID su urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configura un'attestazione sull'IdP in modo da includere il nome dell'attributo uid con un valore che viene associato all'attributo scelto in Cisco Directory Connector o all'attributo utente che corrisponde a quello scelto nel servizio di identità Cisco Webex (tale attributo può essere, ad esempio, Indirizzi e-mail o Nome principale utente). Vedi le informazioni sull'attributo personalizzato in https://www.cisco.com/go/hybrid-services-directory per indicazioni.

1

Accedi al server AD FS con autorizzazioni di amministratore.

2

Apri la console di gestione AD FS e passa a Relazioni di attendibilità > Attendibilità componente > Aggiungi attendibilità componente.

3

Dalla finestra Aggiunta guidata attendibilità componente, seleziona Avvia.

4

Per Seleziona origine dati seleziona Importa dati sul componente da un file, passa al file di metadati Cisco Webex Control Hub scaricato e seleziona Avanti.

5

Per Specifica nome visualizzato, crea un nome visualizzato per questa attendibilità componente come Cisco Webex e seleziona Avanti.

6

Per Scegli regole di autorizzazione rilascio, seleziona Consenti a tutti gli utenti l'accesso a questo componente e seleziona Avanti.

7

Per Aggiunta attendibilità, seleziona Avanti e termina l'aggiunta dell'attendibilità componente a AD FS.

Crea regole di attestazione per consentire l'autenticazione da Cisco Webex

1

Nel riquadro principale di AD FS, seleziona la relazione di attendibilità creata, quindi seleziona Modifica regole attestazione. Nella scheda Regole di trasformazione rilascio, seleziona Aggiungi regola.

2

Nel passo Scegli tipo di regola, seleziona Inviare attributi LDAP come attestazioni, quindi seleziona Avanti.

  1. Inserisci un Nome regola attestazione.

  2. Seleziona Active Directory come Archivio attributi.

  3. Associa l'attributo LDAP Indirizzi e-mail al tipo di attestazione in uscita uid.

    Questa regola indica ad AD FS quali campi associare a Cisco Webex per identificare un utente. Specifica i tipi di attestazione in uscita esattamente come vengono mostrati.

  4. Salva le modifiche.

3

Seleziona nuovamente Aggiungi regola, seleziona Inviare attestazioni mediante una regola personalizzata, quindi seleziona Avanti.

Questa regola fornisce ad AD FS l'attributo "spname qualifier" che Cisco Webex non fornisce altrimenti.

  1. Apri l'editor di testo e copia il seguente contenuto.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Sostituisci URL1 e URL2 nel testo come segue:
    • URL1 è l'entityID del file di metadati AD FS scaricato.

      Ad esempio, di seguito è riportato un esempio di ciò che viene visualizzato: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copia solo l'entityID dal file di metadati AD FS e incollalo nel file di testo sostituendo URL1

    • URL2 è sulla prima riga del file di metadati Cisco Webex scaricato.

      Ad esempio, di seguito è riportato un esempio di ciò che viene visualizzato: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copia solo l'entityID dal file di metadati Cisco Webex e incollalo nel file di testo sostituendo URL2.

  2. Con gli URL aggiornati, copia la regola dall'editor di testo (a partire da "c:") e incollala nella casella della regola personalizzata sul server AD FS.

    La regola completata viene visualizzata come segue:
  3. Seleziona Fine per creare la regola, quindi esci dalla finestra Modifica regole attestazione.

4

Seleziona Attendibilità componente nella finestra principale, quindi seleziona Proprietà nel riquadro a destra.

5

Quando viene visualizzata la finestra Proprietà, passa alla scheda Avanzate, SHA-256, quindi seleziona OK per salvare le modifiche.

6

Passa al seguente URL sul server AD FS interno per scaricare il file: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

È possibile che tu debba fare clic con il pulsante destro del mouse sulla pagina e visualizzare l'origine della pagina per ottenere il file XML correttamente formattato.

7

Salva il file sul computer locale.

Operazioni successive

A questo punto, puoi importare nuovamente i metadati AD FS in Cisco Webex dal portale di gestione.

Importa i metadati IdP e abilita il Single Sign-On dopo un test

Dopo aver esportato i metadati Cisco Webex, configura l'IdP e scarica i metadati IdP sul sistema locale; a questo punto, puoi importarli nella tua organizzazione Cisco Webex da Control Hub.

Operazioni preliminari

Non testare l'integrazione SSO dall'interfaccia del provider di identità (IdP). Sono supportati solo i flussi avviati dal provider di servizi (SP), pertanto devi utilizzare il test SSO Control Hub per questa integrazione.

1

Scegli un'opzione:

  • Torna alla pagina Cisco Webex Control Hub - Esporta metadati directory nel browser, quindi fai clic su Avanti.
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista cliente in https://admin.webex.com, vai a Impostazioni, scorri fino ad Autenticazione, scegli Integra un provider di identità di terze parti (Avanzate), quindi fai clic su Avanti nella pagina del file di metadati attendibile (come hai già fatto in precedenza).
2

Nella pagina Importa metadati IdP, trascina la selezione del file di metadati IdP sulla pagina o utilizza l'opzione del file browser per individuare e caricare il file di metadati. Fai clic su Avanti.

Se i metadati non sono firmati, sono firmati con un certificato autofirmato o sono firmati con un autorità di certificazione (CA) aziendale privata, è consigliabile utilizzare l'opzione Richiedi certificato firmato da autorità di certificazione in Metadati (più sicura). Se il certificato è autofirmato, devi scegliere l'opzione meno sicura.

3

Seleziona Prova connessione SSO; quando si apre una nuova scheda del browser, esegui l'autenticazione con IdP mediante l'accesso.


 

Se ricevi un errore di autenticazione in tal punto, è possibile che vi sia un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore Webex Teams solitamente indica un problema con l'impostazione di SSO. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

4

Torna alla scheda del browser Control Hub.

  • Se il test viene superato, seleziona Test eseguito regolarmente. Abilita l'opzione Single Sign-On e fai clic su Avanti.
  • Se il test non viene superato, seleziona Test non eseguito regolarmente. Disabilita l'opzione Single Sign-On e fai clic su Avanti.

Operazioni successive

Puoi seguire la procedura in Elimina i messaggi e-mail automatici per disabilitare i messaggi e-mail inviati ai nuovi utenti Webex Teams nella tua organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Aggiorna attendibilità del componente Cisco Webex in AD FS

Questa attività riguarda specificamente l'aggiornamento di AD FS con i nuovi metadati SAML di Cisco Webex. Sono disponibili articoli correlati qualora debba configurare SSO con AD FS o aggiornare un IdP (diverso) con i metadati SAML per un nuovo certificato SSO Webex.

Operazioni preliminari

Devi esportare il file di metadati SAML da Control Hub prima di aggiornare l'attendibilità del componente Cisco Webex in AD FS.

1

Accedi al server AD FS con autorizzazioni di amministratore.

2

Carica il file di metadati SAML da Webex in una cartella locale temporanea sul server AD FS, es. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Apri Powershell.

4

Esegui Get-AdfsRelyingPartyTrust per leggere l'attendibilità di tutti i componenti.

Prendi nota del parametro TargetName dell'attendibilità del componente Cisco Webex. Qui viene utilizzato l'esempio "Cisco Webex" ma potrebbe essere diverso nel tuo AD FS.

5

Esegui Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Assicurati di sostituire il nome file e il nome di destinazione con i valori corretti del tuo ambiente.

Vedi https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Accedi a Control Hub, quindi esegui il test dell'integrazione SSO:

  1. Vai a Impostazioni, scorri fino ad Autenticazione e fai clic su Modifica.

  2. Seleziona Integra un provider di identità di terze parti (Avanzate) e fai clic su Avanti.

  3. Fai clic su Avanti per ignorare la pagina Importa metadati IdP.

    Non devi ripetere questo passaggio poiché hai importato i metadati IdP in precedenza.

  4. Fai clic su Prova connessione SSO.

    Si apre una nuova finestra del browser in corrispondenza della pagina della richiesta di verifica IdP.

  5. Esegui l'accesso per completare il test.

Risoluzione dei problemi AD FS

Errori AD FS nei registri Windows

Nei registri Windows, potrebbe essere visualizzato un codice di errore del registro eventi AD FS 364. I dettagli dell'evento identificano un certificato non valido. In questi casi, l'host AD FS non è autorizzato ad attraversare il firewall sulla porta 80 per convalidare il certificato.

ID federazione

L'ID federazione è sensibile alle maiuscole e minuscole. Se questo è l'indirizzo e-mail della tua organizzazione, inseriscilo esattamente così come viene inviato da AD FS, altrimenti, Cisco Webex non potrà trovare l'utente corrispondente.

Non è possibile scrivere una regola di attestazione personalizzata per normalizzare l'attributo LDAP prima che venga inviato.

Importa i metadati dal server AD FS impostati nel tuo ambiente.

Se necessario, puoi verificare l'URL passando a Servizio > Endpoint > Metadati > Type:Federation Metadata in Gestione AD FS.

Sincronizzazione orario

Assicurati che l'orologio di sistema del server AD FS sia sincronizzato su un'origine dell'ora Internet affidabile che utilizzi il protocollo Network Time Protocol (NTP). Utilizza il seguente comando PowerShell per lo sfasamento dell'orologio esclusivamente per la relazione di attendibilità del componente Cisco Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Il valore esadecimale è univoco per il tuo ambiente. Sostituisci il valore dell'ID SP EntityDescriptor nel file di metadati Cisco Webex. Ad esempio:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">