Single Sign-on e Webex Control Hub

Il Single Sign-on (SSO) è un processo di autenticazione di sessione o utente che consente a un utente di fornire le credenziali per accedere a una o più applicazioni. Il processo autentica gli utenti per tutte le applicazioni a cui è concesso il diritto. Elimina ulteriori prompt quando gli utenti passano le applicazioni durante una sessione particolare.

Il protocollo di Federazione Security Assermarkup Language (SAML 2,0) viene utilizzato per fornire SSO autenticazione tra il cloud Cisco Webex e il provider di identità (IdP).

Profili

Cisco Webex Teams supporta solo il profilo del SSO del browser Web. Nel profilo del SSO del browser Web, Cisco Webex Teams supporta le seguenti associazioni:

  • SP ha avviato POST-> binding POST

  • SP avviato REDIRECT-> POST binding

Formato NameID

Il protocollo SAML 2,0 supporta diversi formati NameID per la comunicazione su un determinato utente. Cisco Webex Teams supporta i seguenti formati NameID.

  • urn: Oasis: Names: TC: SAML: 2.0: nameid-format: Transient

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato

  • urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress

Nei metadati caricati dall'IdP, la prima voce è configurata per l'uso in Cisco Webex.

SingleLogout

Cisco Webex Teams supporta il profilo di disconnessione singolo. Nell'app Cisco Webex Teams, un utente può disconnettersi dall'applicazione, che utilizza il protocollo Single logout di SAML per terminare la sessione e confermare la disconnessione con l'IdP. Assicurarsi che l'IdP sia configurato per SingleLogout.

Integra Cisco Webex Control Hub con ADFS


Le guide alla configurazione mostrano un esempio specifico per SSO integrazione, ma non forniscono una configurazione completa per tutte le possibilità. Ad esempio, le operazioni di integrazione di NameID-formato urn: Oasis: Names: TC: SAML: 2.0: nameid-format: Transient sono documentate. Altri formati come urn: Oasis: Names: TC: SAML: 1.1: nameid-format: non specificato o urn: Oasis: Names: TC: SAML: 1.1: nameid-format: emailAddress funzionerà per l'integrazione SSO ma non rientra nell'ambito della nostra documentazione.

Impostare questa integrazione per gli utenti nell'organizzazione Cisco Webex (inclusi Cisco Webex Teams, Cisco Webex Meetings e altri servizi amministrati in Cisco Webex Control Hub). Se il sito di Webex è integrato in Cisco Webex Control Hub, il sito di Webex eredita la gestione utenti. Se non è possibile accedere a Cisco Webex Meetings in questo modo e non è gestita in Cisco Webex Control Hub, è necessario eseguire un'integrazione separata per abilitare SSO per Cisco Webex Meetings. (Vedere Configurare il Single Sign-on per Webex per ulteriori informazioni sull'integrazione di SSO in amministrazione sito.)

A seconda della configurazione dei meccanismi di autenticazione in ADFS, è possibile abilitare per impostazione predefinita l'autenticazione integrata di Windows (IWA). Se questa opzione è abilitata, le applicazioni avviate attraverso Windows (come Webex Teams e Cisco Connettore directory) vengono autenticate come utente che ha eseguito l'accesso, indipendentemente dall'indirizzo e-mail inserito durante il prompt e-mail iniziale.

Scaricare i metadati Cisco Webex sul sistema locale

1

Dalla vista del cliente in https://admin.webex.com, andare a impostazioni, quindi scorrere fino a autenticazione.

2

Fare clic su modifica, fare clic su integra un provider di identità di terze parti. (Avanzate), quindi fare clic su Avanti.

3

Scaricare il file di metadati.

Il nome file del Cisco Webex Metadata è IDB-meta-<org-ID>-SP. XML.

Installa metadati Cisco Webex in ADFS

Prima di iniziare

Cisco Webex Control Hub supporta ADFS 2. x o versioni successive.

Windows 2008 R2 include solo ADFS 1,0. È necessario installare un minimo di ADFS 2. x da Microsoft.

Per i servizi di SSO e Cisco Webex, i provider di identità (IDP) devono essere conformi alla seguente specifica SAML 2,0:

  • Impostare l'attributo NameID Format su urn: Oasis: Names: TC: SAML: 2.0: nameid-format:Transient

  • Configurare un reclamo sull'IdP per includere il nome dell' attributo UID con un valore mappato all'attributo scelto in Cisco connettore directory o l'attributo utente corrispondente a quello scelto nel Cisco Webex servizio di identità. (Questo attributo potrebbe essere indirizzi e-mail E-mail o nome-entità utente, ad esempio.) Vedere le informazioni sugli attributi personalizzati in https://www.cisco.com/go/hybrid-services-directory per istruzioni.

1

Accedere al server ADFS con autorizzazioni di amministratore.

2

Aprire la console di gestione ADFS e passare a relazioni attendibili trust > di terze parti componente > attendibilità Aggiungi entità componente.

3

Dalla finestra Aggiungi creazione guidata entità componente , selezionare Avvia.

4

Per Seleziona origine dati, selezionare Importa dati sul componente da un file, passare al file di metadati Cisco Webex Control Hub scaricato e selezionare Avanti.

5

Per specificare il nome visualizzato, creare un nome visualizzato per questo trust di terze parti, ad esempio Cisco Webex e selezionare Avanti.

6

Per scegliere le regoledi autorizzazione all'emissione, selezionare Consenti a tutti gli utenti di accedere a questa relying partye selezionare Avanti.

7

Per l'aggiunta di attendibilità, selezionare Avanti e completare l'aggiunta dell'attendibilità della relying party ad ADFS.

Crea regole attestazioni per consentire l'autenticazione da Cisco Webex

1

Nel riquadro ADFS principale, selezionare la relazione di trust creata, quindi selezionare modifica regole attestazioni. Nella scheda regole di trasformazione rilascio, selezionare Aggiungi regola.

2

Nel passaggio Scegli tipo di regola, selezionare Invia attributi LDAP come attestazioni, quindi selezionare Avanti.

  1. Inserire il nome di una regola attestazione.

  2. Selezionare Active Directory come archivio attributi.

  3. Mappare l' attributo LDAP indirizzi E-mail e-mail al tipo di attestazione in uscita UID.

    Questa regola indica ad ADFS quali campi mappare a Cisco Webex per identificare un utente. Scrivere i tipi di attestazione in uscita esattamente come mostrato.

  4. Salvare le modifiche.

3

Selezionare Aggiungi regola di nuovo, selezionare Invia attestazioni utilizzando una regola personalizzata, quindi selezionare Avanti.

Questa regola fornisce ad ADFS l'attributo "qualificatore spName" che Cisco Webex non fornisce altrimenti.

  1. Aprire l'editor di testo e copiare il contenuto seguente.

    c: [Type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = > problema (Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c. Issuer, OriginalIssuer = c. OriginalIssuer, valore = c. valore, ValueType = c. ValueType, Properties ["http://schemas.xmlsoap.org/ws/2005/05/identity/ClaimProperties/Format"] = "urn: Oasis: Names: TC: SAML: 2.0: nameid-format: transient", Properties ["http://schemas.xmlsoap.org/ws/2005/05/identity/ClaimProperties/NameQualifier"] = " <!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder--> URL1 <!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder--> ", proprietà ["http://schemas.xmlsoap.org/ws/2005/05/identity/ClaimProperties/SPNameQualifier"] = " <!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder--> url2 <!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder--> ");

    Sostituire URL1 e URL2 nel testo nel seguente modo:
    • URL1 è entityID del file di metadati ADFS scaricato.

      Ad esempio, di seguito viene riportato un esempio di ciò che viene visualizzato: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copiare solo entityID dal file di metadati ADFS e incollarlo nel file di testo per sostituire URL1

    • URL2 è nella prima riga del file di metadati Cisco Webex scaricato.

      Ad esempio, di seguito viene riportato un esempio di ciò che viene visualizzato: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copiare solo entityID dal file di metadati Cisco Webex e incollarlo nel file di testo per sostituire URL2.

  2. Con gli URL aggiornati, copiare la regola dall'editor di testo (a partire da "c:") e incollarla nella casella della regola personalizzata sul server ADFS.

    La regola completata deve essere simile al seguente:
  3. Selezionare fine per creare la regola, quindi uscire dalla finestra Modifica regole attestazione.

4

Selezionare attendibilità entità componente nella finestra principale, quindi selezionare proprietà nel riquadro a destra.

5

Quando viene visualizzata la finestra Proprietà, passare alla scheda Avanzate, SHA-256, quindi selezionare OK per salvare le modifiche.

6

Selezionare il seguente URL sul server ADFS interno per scaricare il file: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.XML


 

Potrebbe essere necessario fare clic con il pulsante destro del mouse sulla pagina e visualizzare l'origine della pagina per ottenere il file XML correttamente formattato.

7

Salvare il file sul computer locale.

Operazioni successive

È possibile importare nuovamente i metadati ADFS in Cisco Webex dal portale di gestione.

Importare i metadati IdP e abilitare il Single Sign-on dopo un test

Dopo aver esportato i metadati Cisco Webex, configurare l'IdP e scaricare i metadati IdP nel sistema locale, è possibile importarlo nell'organizzazione Cisco Webex da Control Hub.

Prima di iniziare

Non eseguire il test dell'integrazione SSO dall'interfaccia IdP (Identity Provider). Supportiamo solo flussi avviati a provider di servizi (avvio da SP), pertanto è necessario utilizzare il test dell'hub di controllo SSO per questa integrazione.

1

Scegliere un'opzione:

  • Tornare alla pagina Cisco Webex Control Hub – Esporta metadati directory nel browser, quindi fare clic su Avanti.
  • Se Control Hub non è più aperto nella scheda del browser, dalla vista del cliente in https://admin.webex.com, andare a impostazioni, scorrere fino a autenticazione, scegliere integra un provider di identità di terze parti (Advanced), quindi fare clic su Avanti sulla pagina del file di metadati attendibili (poiché è già stato eseguito).
2

Nella pagina importa metadati IdP, trascinare e rilasciare il file di metadati IdP sulla pagina o utilizzare l'opzione browser file per individuare e caricare il file di metadati. Fare clic su Avanti.

Se i metadati non sono firmati, sono firmati con un certificato autofirmato o sono firmati con un'autorità di certificazione (CA) Enterprise privata, si consiglia di utilizzare il certificato di richiesta firmato da un'autorità di certificazione nei metadati (più sicuro). Se il certificato è autofirmato, è necessario scegliere l' opzione meno sicura .

3

Selezionare test SSO connessionee quando viene aperta una nuova scheda del browser, eseguire l'autenticazione con l'IDP effettuando l'accesso.


 

Se si riceve un errore di autenticazione, potrebbe essersi verificato un problema con le credenziali. Controllare il nome utente e la password e riprovare.

Un errore di Webex Teams solitamente indica un problema con l'impostazione della SSO. In questo caso, eseguire nuovamente la procedura, in particolare i passaggi in cui copiare e incollare i metadati dell'hub di controllo nell'impostazione IdP.

4

Tornare alla scheda del browser Control Hub.

  • Se il test è stato eseguito correttamente, selezionare questo test è stato eseguito correttamente. Abilitare l'opzione Single Sign on e fare clic su Avanti.
  • Se il test non è riuscito, selezionare questo test non è riuscito. Disabilitare l'opzione Single Sign on e fare clic su Avanti.

Operazioni successive

È possibile seguire la procedura per sopprimere i messaggi E-mail automatizzati per disabilitare i messaggi e-mail inviati ai nuovi Webex teams utenti nella propria organizzazione. Il documento contiene anche procedure consigliate per l'invio di comunicazioni agli utenti nella propria organizzazione.

Aggiornamento Cisco Webex attendibilità del componente in AD FS

Questa attività è specificamente relativa all'aggiornamento AD FS con i nuovi metadati SAML da Cisco Webex. Sono presenti articoli correlati se occorre configurare SSO con ad FSo se occorre aggiornare un IDP (un altro) con metadati SAML per un nuovo certificato di SSO Webex.

Prima di iniziare

È necessario esportare il file di metadati SAML da Control Hub prima di aggiornare il trust di Cisco Webex relying party in AD FS.

1

Accedere al server AD FS con autorizzazioni di amministratore.

2

Caricare il file di metadati SAML da Webex in una cartella locale temporanea sul server AD FS, ad esempio. //ADFS_servername/Temp/IDB-meta-<org-ID>-SP. XML.

3

Aprire PowerShell.

4

Eseguire Get-AdfsRelyingPartyTrust per leggere tutti i trust di terze parti.

Annotare il parametro targetName del trust Cisco Webex relying party. Utilizziamo l'esempio "Cisco Webex" ma potrebbe essere diverso in AD FS.

5

Eseguire Update-ADFSRelyingPartyTrust-MetadataFile "//ADFS_servername/Temp/IDB-meta-<org-ID>-SP. xml"-TargetName "Cisco Webex".

Accertarsi di sostituire il nome file e il nome di destinazione con i valori corretti dell'ambiente.

Consultare https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Accedere a Control Hub, quindi testare l'integrazione SSO:

  1. Andare a impostazioni, scorrere fino a autenticazione, fare clic su modifica.

  2. Selezionare integra un provider di identità di terze parti (Advanced) e fare clic su Avanti.

  3. Fare clic su Avanti per saltare la pagina importa metadati IDP.

    Non è necessario ripetere questa operazione, poiché in precedenza sono stati importati i metadati IdP.

  4. Fare clic su Test SSO connessione.

    Viene visualizzata una nuova finestra del browser che reindirizza alla pagina sfida IdP.

  5. Eseguire l'accesso per completare il test.

Risoluzione dei problemi ADFS

Errori ADFS nei registri di Windows

Nei registri di Windows, è possibile che venga visualizzato un codice di errore del registro eventi ADFS 364. I dettagli dell'evento identificano un certificato non valido. In questi casi, l'host ADFS non è consentito attraverso il firewall sulla porta 80 per convalidare il certificato.

ID Federazione

L'ID Federazione fa distinzione tra maiuscole e minuscole. Se questo è l'indirizzo e-mail dell'organizzazione, inserirlo esattamente quando ADFS lo invia o Cisco Webex Impossibile trovare l'utente corrispondente.

Non è possibile scrivere una regola di attestazione personalizzata per normalizzare l'attributo LDAP prima di essere inviato.

Importare i metadati dal server ADFS impostato nel proprio ambiente.

È possibile verificare l'URL, se necessario, passando a > endpoint servizio tipo di > metadati > : metadati federazione in gestione ADFS.

Sincronizzazione dell'ora

Assicurarsi che l'orologio di sistema del server ADFS sia sincronizzato con un'origine affidabile dell'ora Internet che utilizza il protocollo NTP (Network Time Protocol). Utilizzare il seguente comando PowerShell per inclinare l'orologio per la Cisco Webex solo relazione di trust di terze parti.

Imposta-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-Nonbeforekew 3

Il valore esadecimale è univoco per l'ambiente. Sostituire il valore del valore ID EntityDescriptor SP nel file di metadati Cisco Webex. Ad esempio:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">