싱글 사인온 및 Control Hub

싱글 사인온(SSO)은 사용자가 자격 증명을 제공하여 한 개 이상의 응용프로그램에 액세스할 수 있도록 허용하는 세션 또는 사용자 인증 프로세스입니다. 해당 프로세스는 사용 권한이 있는 모든 응용프로그램에 대한 사용자를 인증합니다. 이는 특정 세션 중에 사용자가 응용프로그램을 전환할 때 추가 프롬프트를 제거합니다.

SAML 2.0(Security Assertion Markup Language) 페더레이션 프로토콜은 Webex 클라우드와 ID 제공자(IdP) 간의 SSO 인증을 제공하기 위해 사용됩니다.

프로필

Webex 앱은 웹 브라우저 SSO 프로필만 지원합니다. 웹 브라우저 SSO 프로필에서 Webex 앱은 다음 바인딩을 지원합니다.

  • SP 시작한 POST -> POST 바인딩

  • SP 시작한 REDIRECT -> POST 바인딩

NameID 형식

SAML 2.0 프로토콜은 특정 사용자에 대한 통신의 목적으로 다양한 NameID 형식을 지원합니다. Webex 앱은 다음 NameID 형식을 지원합니다.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP로부터 로드한 메타데이터에서 Webex에서 사용할 첫 번째 항목이 구성됩니다.

싱글 로그아웃

Webex 앱은 싱글 로그아웃 프로필을 지원합니다. Webex 앱에서 사용자는 응용프로그램에서 로그아웃할 수 있으며, 이는 SAML 싱글 로그아웃 프로토콜을 사용하여 세션을 종료하고 IdP의 로그아웃을 확인합니다. IdP가 싱글 로그아웃에 대해 구성되어 있는지 확인합니다.

Control Hub와 ADFS 통합

구성 안내서는 SSO 통합에 대한 특정 예제를 안내하지만, 모든 가능성에 대한 각각의 구성은 제공하지 않습니다. 예를 들어, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient에 대한 통합 단계는 문서화되었습니다. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 또는 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 등 다른 형식도 SSO 통합에 대해 작동하지만, 문서 범위에는 속하지 않습니다.

Webex 조직(Webex 앱, Webex MeetingsControl Hub에서 관리되는 기타 서비스 포함)에서 사용자에 대해 이 통합을 설정합니다. Control Hub에서 Webex 사이트가 통합된 경우, Webex 사이트는 사용자 관리를 상속받습니다. 이러한 방법으로 Webex Meetings에 액세스할 수 없으며 Control Hub에서 관리되지 않는 경우, 개별 통합을 실행하여 Webex Meetings에 대해 SSO를 활성화해야 합니다. (자세한 정보는 사이트 관리의 SSO 통합에서 Webex에 대해 싱글 사인온 구성을 참조)

ADFS의 인증 메커니즘에 구성된 내용에 따라, IWA(Integrated Windows Authentication)가 기본적으로 활성화될 수 있습니다. 활성화된 경우, 처음 이메일 프롬프트 중에 입력된 이메일 주소와 관계없이, Windows(Webex 앱Cisco Directory Connector 등)를 통해 실행된 응용프로그램이 로그인된 사용자로 인증됩니다.

Webex 메타데이터를 로컬 시스템으로 다운로드

1

https://admin.webex.com의 고객 보기에서 관리 > 조직 설정으로 이동하고 인증으로 스크롤한 후 싱글 사인온 설정을 켜서 설정 마법사를 시작합니다.
2

귀 조직의 인증서 유형을 선택합니다.

  • Cisco 셀프 서명—이 선택을 권장합니다. 인증서에 서명합니다. 이 인증서는 5년에 한 번만 갱신하면 됩니다.
  • 공용 인증 기관에서 서명—더 안전하지만 메타데이터를 자주 업데이트해야 합니다(IdP 공급업체가 트러스트 앵커를 지원하는 경우 제외).

 

트러스트 앵커는 디지털 서명의 인증서를 확인하는 기관 역할을 하는 공개 키입니다. 자세한 정보는 IdP 설명서를 참조하십시오.
3

메타데이터 파일을 다운로드합니다.

Webex 메타데이터 파일명은 idb-meta-<org-ID>-SP.xml입니다.

ADFS에 Webex 메타데이터 설치

시작하기 전에

Control Hub는 ADFS 2.x 이상을 지원합니다.

Windows 2008 R2에는 ADFS 1.0만 포함됩니다. Microsoft에서 최소 ADFS 2.x를 설치해야 합니다.

SSO 및 Webex 서비스에 대해 ID 공급자(IdP)는 다음 SAML 2.0 사양을 따라야 합니다.

  • NameID 형식 속성을 urn:oasis:names:tc:SAML:2.0:nameid-format:transient으로 설정하십시오.

  • IdP에 있는 클레임에 uid 속성명(Cisco Directory Connector에서 선택된 속성에 매핑된 값 포함) 또는 Webex 아이덴티티 서비스에서 선택된 값과 일치하는 사용자 속성을 포함하도록 구성합니다. (예를 들어, 이 속성은 E-mail-Addresses 또는 User-Principal-Name일 수 있음) 안내에 대해서는 https://www.cisco.com/go/hybrid-services-directory에서 사용자 정의 속성 정보를 참조하십시오.

1

관리자 권한으로 ADFS 서버에 로그인합니다.
2

ADFS 관리 콘솔을 열고 트러스트 관계 > 신뢰 당사자 트러스트 > 신뢰 당사자 트러스트 추가를 찾습니다.
3

신뢰 당사자 트러스트 추가 마법사 창에서 시작을 선택합니다.
4

데이터 소스 선택에 대해 파일에서 신뢰 당사자에 대한 데이터 가져오기를 선택하고 다운로드한 Control Hub 메타데이터 파일을 찾은 후 다음을 선택합니다.
5

표시명 지정에 대해 이 신뢰 당사자 트러스트에 대한 표시명을 만들고(예: Webex) 다음을 선택합니다.
6

발행 인증 규칙 선택에 대해 모든 사용자가 이 신뢰 당사자에게 액세스할 수 있도록 허용을 선택하고 다음을 선택합니다.
7

트러스트 추가 준비에 대해 다음을 선택하고 ADFS 신뢰 당사자 추가하기 작업을 마칩니다.

Webex 인증에 대한 클레임 규칙 만들기

1

기본 ADFS 분할 창에서 작성한 트러스트 관계를 선택한 후 클레임 규칙 편집을 선택합니다. 발행 변환 규칙 탭에서 규칙 추가를 선택합니다.
2

규칙 유형 선택 단계에서 LDAP 속성을 클레임으로 보내기를 선택한 후 다음을 선택합니다.

  1. 클레임 규칙 이름을 입력합니다.

  2. Active Directory를 속성 스토어로 선택합니다.

  3. 이메일 주소 LDAP 속성을 uid 나가는 클레임 유형으로 매핑합니다.

    이 규칙은 사용자를 식별하기 위해 ADFS에 어떤 필드가 Webex로 매핑되었는지를 알립니다. 표시된 대로 정확히 나가는 클레임 유형을 적습니다.

  4. 변경 사항을 저장합니다.
3

규칙 추가를 다시 선택한 후 사용자 정의 규칙을 사용하여 클레임 보내기를 선택한 후 다음을 선택합니다.

이 규칙은 Webex에서 제공하지 않는 “spname qualifier” 속성으로 ADFS를 제공합니다.

  1. 텍스트 편집기를 열고 다음 콘텐츠를 복사합니다.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    텍스트에서 URL1 및 URL2를 다음과 같이 대체합니다.

    • URL1은 다운로드한 ADFS 메타데이터 파일의 entityID입니다.

      예를 들어, 다음은 표시되는 내용의 샘플입니다. <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS 메타데이터 파일의 entityID만 복사하고 텍스트 파일에 붙여넣어 URL1을 변경합니다.

    • URL2는 다운로드한 Webex 메타데이터 파일에 있는 첫 번째 줄에 위치합니다.

      예를 들어, 다음은 표시되는 내용의 샘플입니다. <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Webex 메타데이터 파일의 entityID만 복사하고 텍스트 파일에 붙여넣어 URL2를 변경합니다.

  2. 업데이트된 URL을 사용하여 텍스트 편집기("c:"로 시작됨)에서 규칙을 복사하고 ADFS 서버에 있는 사용자 정의 규칙 상자에 붙여 넣습니다.

    완료된 규칙은 다음과 같습니다.

  3. 마침을 선택하여 규칙을 만들고 클레임 규칙 편집 창을 종료합니다.
4

기본 창에서 신뢰 당사자 트러스트를 선택한 후 오른쪽 분할창에서 등록 정보를 선택합니다.
5

등록 정보 창이 나타나면 고급 탭에서 SHA-256을 찾은 후 확인을 선택하여 변경 사항을 저장합니다.
6

파일을 다운로드하려면 내부 ADFS 서버에서 다음 URL을 찾습니다. https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

올바르게 서식화된 XML 파일을 찾기 위해 페이지를 오른쪽 클릭하고 페이지 리소스를 확인해야 할 수도 있습니다.
7

로컬 머신에 파일을 저장합니다.

다음에 수행할 작업

관리 포털에서 ADFS 메타데이터를 다시 Webex로 가져올 준비가 되었습니다.

IdP 메타데이터 가져오기 및 테스트 후에 싱글 사인온 활성화

Webex 메타데이터를 내보낸 후 IdP를 구성하고 해당 IdP 메타데이터를 로컬 시스템으로 다운로드하면 Control Hub에서 Webex 조직으로 가져올 준비가 됩니다.

시작하기 전에

ID 제공자(IdP) 인터페이스에서 SSO 통합을 테스트하지 마십시오. 저희는 서비스 공급자가 시작한(SP-시작) 흐름만 지원하므로 이 통합에 대해 Control Hub SSO 테스트를 사용해야 합니다.

1

다음 중 하나를 선택합니다.

  • 브라우저에서 Control Hub – 인증서 선택 페이지로 돌아간 후 다음을 클릭합니다.
  • Control Hub가 브라우저 탭에서 더 이상 열려 있지 않으면 https://admin.webex.com의 고객 보기에서, 관리 > 조직 설정으로 이동하고 인증으로 스크롤한 후 작업 > 메타데이터 가져오기를 선택합니다.
2

IdP 메타데이터 가져오기 페이지에서 IdP 메타데이터 파일을 페이지로 드래그하고 드롭하거나, 파일 찾아보기 옵션을 사용하여 메타데이터 파일을 찾고 업로드합니다. 다음을 클릭합니다.

가능하면 보안 수준 높음 옵션을 사용해야 합니다. 이는 IdP에서 메타데이터에 서명하기 위해 공용 CA를 사용한 경우에만 가능합니다.

다른 모든 경우에는 보안 수준 낮음 옵션을 사용해야 합니다. 여기에는 메타데이터가 서명되지 않은 경우, 셀프 서명된 경우 또는 개인 CA에서 서명한 경우가 포함됩니다.
3

SSO 설정 테스트를 선택하고 새로운 브라우저 탭이 열리면 로그인하여 IdP로 인증합니다.


 

인증 오류를 수신하는 경우, 자격 증명과 관련된 문제일 수 있습니다. 사용자이름 및 비밀번호를 확인한 후 다시 시도하십시오.

Webex 앱 오류는 일반적으로 SSO 설정과 관련된 문제를 의미합니다. 이러한 경우, 해당 단계를 다시 실행합니다. 특히 Control Hub 메타데이터를 IdP 설정에 복사하고 붙여넣는 단계를 주의하십시오.

 

SSO 로그인 경험을 직접 보려면 이 화면에서 클립보드에 URL 복사를 클릭하고 개인 브라우저 창에 붙여넣을 수도 있습니다. 여기서 SSO로 로그인하는 과정을 진행할 수 있습니다. 이 단계는 로그인 중인 기존 세션에 있을 수 있는 액세스 토큰으로 인한 가양성을 중지합니다.
4

Control Hub 브라우저 탭으로 돌아갑니다.

  • 테스트가 성공적이면 테스트 성공을 선택합니다. SSO를 켜고 다음을 클릭합니다.
  • 테스트가 실패했으면 테스트 실패를 선택합니다. SSO를 끄고 다음을 클릭합니다.

 

첫 번째 라디오 버튼을 선택하고 SSO를 활성화한 경우가 아니면 SSO 구성이 귀 조직에 적용되지 않습니다.

다음에 수행할 작업

자동 이메일 표시하지 않기에 있는 절차를 따라 조직에서 새로운 Webex 앱 사용자에게 발송하는 이메일을 비활성화할 수 있습니다. 해당 문서에는 조직에 있는 사용자에게 통신문을 발송하는 모범 사례도 포함됩니다.

ADFS에서 Webex 신뢰 당사자 트러스트 업데이트

이 작업은 특히 Webex의 새로운 SAML 메타데이터로 AD FS를 업데이트하는 경우입니다. AD FS로 SSO를 구성해야 하거나, (다른) IdP를 새 Webex SSO 인증서용 SAML 메타데이터로 업데이트해야 하는 경우 관련된 문서가 있습니다.

시작하기 전에

먼저 Control Hub에서 SAML 메타데이터 파일을 내보내야 AD FS에서 Webex 신뢰 당사자 트러스트를 업데이트할 수 있습니다.

1

관리자 권한으로 AD FS 서버에 로그인합니다.
2

Webex에서 AD FS 서버의 임시 로컬 폴더로 SAML 메타데이터 파일을 업로드합니다. 예: //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Powershell을 엽니다.
4

실행하여 Get-AdfsRelyingPartyTrust 모든 신뢰 당사자 트러스트를 읽습니다.

그 후 TargetNameWebex 신뢰 당사자 트러스트의 매개변수를 확인합니다. 여기서는 "Cisco Webex" 예를 사용하지만, 사용자의 AD FS에서는 다를 수 있습니다.
5

실행하여 Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

파일 이름과 대상 이름을 사용자 환경의 올바른 값으로 바꾸십시오.

https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust을(를) 참조하십시오.

 

Webex SP 5년 인증서를 다운로드하고 서명 또는 암호화 인증서 해지를 켠 경우, 다음 두 명령을 실행해야 합니다. Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Control Hub에 로그인한 후 다음 SSO 통합을 테스트합니다.

  1. 관리 > 조직 설정으로 이동하고 인증으로 스크롤한 후 싱글 사인온 설정을 켜서 구성 마법사를 시작합니다.

  2. 다음을 클릭하여 IdP 메타데이터 가져오기 페이지를 건너뜁니다.

    이전에 IdP 메타데이터를 가져왔으므로, 이 단계를 반복할 필요는 없습니다.

  3. 활성화하기 전에 SSO 연결을 테스트하십시오. 이 단계는 시험 실행처럼 작동하며 다음 단계에서 SSO를 활성화할 때까지 조직의 설정에 영향을 주지 않습니다.


     

    SSO 로그인 경험을 직접 보려면 이 화면에서 클립보드에 URL 복사를 클릭하고 개인 브라우저 창에 붙여넣을 수도 있습니다. 여기서 SSO로 로그인하는 과정을 진행할 수 있습니다. 이렇게 하면 SSO 구성을 테스트할 때 가양성 결과를 제공할 수 있는 웹 브라우저에 캐시된 모든 정보를 제거하는 데 도움이 됩니다.

  4. 로그인하여 테스트를 완료합니다.

ADFS 문제 해결

Windows 로그에 있는 ADFS 오류

Windows 로그에 ADFS 이벤트 로그 오류 코드 364가 나타날 수도 있습니다. 이벤트 세부 사항은 유효하지 않은 인증서를 식별합니다. 이러한 경우, ADFS 호스트는 포트 80에 있는 방화벽을 통해 인증서의 유효성을 검증할 수 없습니다.

신뢰 당사자 트러스트에 대한 인증서 체인을 구축하는 동안 오류가 발생했습니다.

SSO 인증서를 업데이트할 때 로그인 시 다음 오류가 표시될 수 있습니다. Invalid status code in response.

해당 오류가 표시되면, ADFS 서버의 이벤트 뷰어 로그를 확인하고 다음 오류를 찾아보십시오. An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. 가능성 있는 원인은 인증서가 해지되었거나, 신뢰 당사자 트러스트의 암호화 인증서 해지 설정에 지정된 대로 인증서 체인을 확인할 수 없거나, 인증서가 유효 기간 내에 있지 않기 때문입니다.

이 오류가 발생하면 명령을 실행해야 합니다. Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

페더레이션 ID

페더레이션 ID는 대소문자를 구분합니다. 조직 이메일 주소인 경우, ADFS에서 발송한 것과 동일하게 입력하십시오. 그렇지 않으면 Webex는 일치하는 사용자를 찾을 수 없습니다.

사용자 정의 클레임 규칙은 발송하기 전에 LDAP 속성을 정상화하기 위해 쓸 수 없습니다.

환경에서 설정한 ADFS 서버에서 메타데이터를 가져오기합니다.

필요한 경우 ADFS 관리에서 서비스 > 엔드포인트 > 메타데이터 > 유형:페더레이션 메타데이터를 탐색하여 URL을 확인할 수 있습니다.

시간 동기화

ADFS 서버의 시스템 시계가 네트워크 시간 프로토콜(NTP)을 사용하는 신뢰할 수 있는 인터넷 시간 소스와 동기화되었는지 확인하십시오. 다음 PowerShell 명령어를 사용하여 Webex 신뢰 당사자 트러스트 관계 전용의 시계를 조절합니다.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

16진수 값은 귀하의 환경에 대해 고유합니다. Webex 메타데이터 파일에 있는 SP EntityDescriptor ID 값에서 해당 값을 교체하십시오. 예:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">