Eenmalige aanmelding en Control Hub

Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.

Het Federation-protocol Security Assertion Markup Language (SAML 2.0) wordt gebruikt om SSO -verificatie te bieden tussen de Webex -cloud en uw Identiteitsprovider (IdP).

Profielen

Webex -app ondersteunt alleen het SSO -profiel van de webbrowser. In het SSO -profiel van de webbrowser ondersteunt de Webex -app de volgende bindingen:

  • SP-gestarte POST -> POST-binding

  • SP-gestarte OMLEIDING -> POST-binding

Indeling naam-ID

Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. Webex -app ondersteunt de volgende NameID-indelingen.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In de metagegevens die u laadt vanaf uw IdP, wordt het eerste item geconfigureerd voor gebruik in Webex.

Eenmalige afmelding

De Webex-app ondersteunt het profiel voor eenmalige afmelding. In de Webex-app kan een gebruiker zich afmelden bij de toepassing, die gebruikmaakt van het SAML-protocol voor eenmalige afmelding om de sessie te beëindigen en die afmelding te bevestigen met uw IdP. Zorg ervoor dat uw identiteitsprovider is geconfigureerd voor eenmalige afmelding.

Control Hub integreren met ADFS


 

De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor bijvoorbeeld nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient zijn gedocumenteerd. Andere indelingen zoals urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Webex organisatie (inclusief de Webex app, Webex Meetings en andere services die worden beheerd in Control Hub). Als uw Webex-site is geïntegreerd in Control Hub, neemt de Webex-site het gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Webex Meetings en het niet wordt beheerd in Control Hub, moet u een afzonderlijke integratie uitvoeren om SSO voor Webex Meetings in te schakelen. (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)

Afhankelijk van wat is geconfigureerd in de verificatiemechanismen in ADFS, kan Geïntegreerde Windows-verificatie (IWA) standaard worden ingeschakeld. Als deze optie is ingeschakeld, worden toepassingen die via Windows worden gestart (zoals de Webex-app en Cisco Directoryconnector) geverifieerd als de gebruiker die is aangemeld, ongeacht het e-mailadres dat is ingevoerd tijdens de eerste e-mailprompt.

De Webex -metagegevens downloaden naar uw lokale systeem

1

Vanuit de klantweergave inhttps://admin.webex.com , ga naar Beheer > Organisatie-instellingen en blader vervolgens naar Verificatie en schakel vervolgens de Eenmalige aanmelding instelling om de installatiewizard te starten.

2

Kies het certificaattype voor uw organisatie:

  • Zelfondertekend door Cisco —We raden deze keuze aan. Laat ons het certificaat ondertekenen, zodat u het slechts eens in de vijf jaar hoeft te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie —Veiliger, maar u moet de metagegevens regelmatig bijwerken (tenzij uw IdP-leverancier trust anchors ondersteunt).

 

Vertrouwde ankers zijn openbare sleutels die fungeren als autoriteit om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie.

3

Download het bestand met metagegevens.

De bestandsnaam van de Webex metagegevens is idb-meta-<org-ID> -SP.xml .

Webex-metagegevens installeren in ADFS

Voordat u begint

Control Hub ondersteunt ADFS 2.x of hoger.

Windows 2008 R2 bevat alleen ADFS 1.0. U moet minimaal ADFS 2.x van Microsoft installeren.

Voor SSO- en Webex-services moeten identiteitsproviders (IdP's) voldoen aan de volgende SAML 2.0-specificatie:

  • Stel het kenmerk NameID-indeling in op urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configureer een claim op de IdP om de naam van het uid-kenmerk op te nemen met een waarde die is toegewezen aan het kenmerk dat is gekozen in Cisco Directoryconnector of het gebruikerskenmerk dat overeenkomt met het kenmerk dat is gekozen in de Webex-identiteitsservice. (Dit kenmerk kan bijvoorbeeld E-mail-Addresses of User-Principal-Name zijn.) Zie de informatie over aangepaste kenmerken in https://www.cisco.com/go/hybrid-services-directory voor hulp.

1

Meld u aan bij de ADFS-server met beheerdersrechten.

2

Open de ADFS-beheerconsole en blader naar Vertrouwensrelaties > Vertrouwensrelaties van derden > Vertrouwensrelatie van de derde partij toevoegen.

3

Selecteer in het venster Wizard Vertrouwensrelatie van de derde partij toevoegen de optie Starten.

4

Voor Gegevensbron selecteren selecteert u Gegevens over de derde partij uit een bestand importeren, bladert u naar het Control Hub-metagegevensbestand dat u hebt gedownload en selecteert u Volgende.

5

Voor Weergavenaam opgeven maakt u een weergavenaam voor deze vertrouwensrelatie van de derde partij, zoals Webex, en selecteert u Volgende.

6

Voor Regels kiezen voor uitgifteautorisatie selecteert u Alle gebruikers toegang geven tot deze derde partij en selecteert u Volgende.

7

Voor Gereed om vertrouwensrelatie toe te voegen selecteert u Volgende en voegt u de vertrouwensrelatie van de derde partij toe aan ADFS.

Claimregels maken voor Webex-verificatie

1

Selecteer in het hoofdvenster van ADFS de vertrouwensrelatie die u hebt gemaakt en selecteer vervolgens Claimregels bewerken. Selecteer op het tabblad Transformatieregels voor uitgifte de optie Regel toevoegen.

2

Selecteer LDAP-kenmerken verzenden als claims in de stap Regeltype kiezen en selecteer vervolgens Volgende.

  1. Voer een naam van de claimregel in.

  2. Selecteer Active Directory als het kenmerkarchief.

  3. Wijs het LDAP-kenmerk E-mail-Addresses toe aan het type uitgaande claim uid.

    Deze regel vertelt ADFS welke velden moeten worden toegewezen aan Webex om een gebruiker te identificeren. Spel de typen uitgaande claims precies zoals weergegeven.

  4. Sla uw wijzigingen op.

3

Selecteer Regel toevoegen opnieuw, selecteer Claims verzenden met een aangepaste regel en selecteer vervolgens Volgende.

Deze regel biedt ADFS het kenmerk 'spname qualifier' dat Webex anders niet levert.

  1. Open uw tekstverwerker en kopieer de volgende inhoud.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Vervang URL1 en URL2 in de tekst als volgt:

    • URL1 is de entityID van het ADFS-metagegevensbestand dat u hebt gedownload.

      Hier volgt een voorbeeld van wat u kunt u: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieer alleen de entiteits-id uit het ADFS-metagegevensbestand en plak deze in het tekstbestand om URL1 te vervangen

    • URL2 bevindt zich op de eerste lijn in het Webex-metagegevensbestand dat u hebt gedownload.

      Hier volgt een voorbeeld van wat u kunt u: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieer alleen de entiteits-id uit het Webex-metagegevensbestand en plak deze in het tekstbestand om URL2 te vervangen.

  2. Kopieer met de bijgewerkte URL's de regel uit uw tekstverwerker (vanaf 'c:') en plak deze in het aangepaste regelvak op uw ADFS-server.

    De ingevulde regel moet er als volgt uitzien:

  3. Selecteer Voltooien om de regel te maken en sluit vervolgens het venster Claimregels bewerken.

4

Selecteer Vertrouwensrelatie van de derde partij in het hoofdvenster en selecteer vervolgens Eigenschappen in het rechterdeelvenster.

5

Wanneer het venster Eigenschappen verschijnt, bladert u naar het tabblad Geavanceerd, SHA-256 en selecteert u OK om uw wijzigingen op te slaan.

6

Blader naar de volgende URL op de interne ADFS-server om het bestand te downloaden: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Mogelijk moet u met de rechtermuisknop op de pagina klikken en de paginabron bekijken om het XML-bestand met de juiste indeling te krijgen.

7

Sla het bestand op uw lokale computer op.

De volgende stappen

U kunt de ADFS-metagegevens weer importeren in Webex vanuit de beheerportal.

De IdP-metagegevens importeren en eenmalige aanmelding na een test

Nadat u de Webex -metagegevens hebt geëxporteerd, uw IdP hebt geconfigureerd en de IdP-metagegevens hebt gedownload naar uw lokale systeem, bent u klaar om deze vanuit Control Hub in uw Webex -organisatie te importeren.

Voordat u begint

Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door de serviceprovider gestarte (SP-gestarte) stromen, dus u moet de SSO-test van Control Hub gebruiken voor deze integratie.

1

Kies een van de opties:

  • Keer terug naar de pagina Control Hub – certificaatselectie in uw browser en klik vervolgens op Volgende .
  • Als Control Hub niet meer is geopend in het browsertabblad, vanuit de klantweergave inhttps://admin.webex.com , ga naar Beheer > Organisatie-instellingen , blader naar Verificatie en kies vervolgens Acties > Metagegevens importeren .
2

Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

U moet de . gebruiken Veiliger optie, als u kunt. Dit is alleen mogelijk als uw IdP een openbare CA heeft gebruikt om de metagegevens te ondertekenen.

In alle andere gevallen moet u de Minder veilig optie. Dit geldt ook als de metagegevens niet zijn ondertekend, zelfondertekend zijn of zijn ondertekend door een privé-CA.


 

Okta ondertekent de metagegevens niet, dus u moet kiezen Minder veilig voor een Okta SSO -integratie.

3

Selecteren SSO -configuratie testen en wanneer een nieuw browsertabblad wordt geopend, kunt u zich verifiëren met de IdP door u aan te melden.


 

Als u een verificatiefout ontvangt, is er mogelijk een probleem met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

Een Webex app-fout betekent meestal een probleem met de SSO configuratie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider.


 

Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, kunt u ook klikken op URL naar klembord kopiëren vanuit dit scherm en deze in het venster van een privébrowser plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Met deze stap worden valse positieven gestopt vanwege een toegangstoken dat zich mogelijk in een bestaande sessie bevindt nadat u zich hebt aangemeld.

4

Keer terug naar het Control Hub-browsertabblad.

  • Als de test is geslaagd, selecteert u Succesvolle test. SSO inschakelen en klik op Volgende .
  • Als de test is mislukt, selecteert u Test is mislukt. SSO uitschakelen en klik op Volgende .

 

De SSO -configuratie wordt pas van kracht in uw organisatie als u het eerste radioknop kiest en SSO activeert.

De volgende stappen

Gebruik de procedures in Okta-gebruikers synchroniseren met Cisco Webex Control Hub als u gebruikersregistratie vanuit Okta wilt uitvoeren in de Webex cloud.

Gebruik de procedures in Azure Active Directory -gebruikers synchroniseren met Cisco Webex Control Hub als u vanuit Azure AD gebruikers wilt inrichten in de Webex cloud.

U kunt de procedure volgen in: Geautomatiseerde e-mails onderdrukken om e-mails uit te schakelen die worden verzonden naar nieuwe gebruikers van de Webex app in uw organisatie. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.

Vertrouwensrelatie van Webex Relying Party bijwerken in ADFS

Deze taak gaat specifiek over het bijwerken van ADFS met nieuwe SAML metagegevens van Webex. Er zijn gerelateerde artikelen als dat nodig is: SSO configureren met ADFS , of indien nodig (een andere) IdP bijwerken met SAML -metagegevens voor een nieuw Webex SSO -certificaat .

Voordat u begint

U moet het SAML -metagegevensbestand exporteren vanuit Control Hub voordat u de Webex Relying Party Trust in ADFS kunt bijwerken.

1

Meld u aan bij de ADFS-server met beheerdersrechten.

2

Upload het SAML -metagegevensbestand van Webex naar een tijdelijke lokale map op de ADFS-server, bijv. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Open Powershell.

4

Uitvoeren Get-AdfsRelyingPartyTrust om alle vertrouwensrelaties van de Relying Party te lezen.

Let op de TargetName parameter van de Webex Relying Party Trust. We gebruiken het voorbeeld ' Webex', maar dit kan anders zijn in uw ADFS.

5

Uitvoeren Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Zorg ervoor dat u de bestandsnaam en doelnaam vervangt door de juiste waarden uit uw omgeving.

Zie .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Als u het Webex SP 5-jaarcertificaat hebt gedownload en het intrekken van ondertekenings- of versleutelingscertificaten hebt ingeschakeld, moet u de volgende twee opdrachten uitvoeren: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Meld u aan in Control Hub en test de SSO-integratie:

  1. Ga naar Beheer > Organisatie-instellingen , blader naar Verificatie en schakel de Eenmalige aanmelding instelling om de configuratiewizard te starten.

  2. Klik op Volgende om de pagina Metagegevens van de identiteitsprovider importeren over te slaan.

    U hoeft die stap niet te herhalen, omdat u eerder de metagegevens van de identiteitsprovider hebt geïmporteerd.

  3. Test de SSO -verbinding voordat u deze inschakelt. Deze stap werkt als een testuitvoering en heeft geen invloed op de instellingen van uw organisatie totdat u SSO inschakelt in de volgende stap.


     

    Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, kunt u ook klikken op URL naar klembord kopiëren vanuit dit scherm en deze in het venster van een privébrowser plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie.

  4. Meld u aan om de test te voltooien.

Problemen met ADFS oplossen

ADFS-fouten in Windows-logboeken

In de Windows-logboeken ziet u mogelijk de foutcode 364 van een ADFS-gebeurtenislogboek. In de gebeurtenisdetails wordt een ongeldig certificaat vermeld. In deze gevallen mag de ADFS-host niet via de firewall op poort 80 het certificaat valideren.

Er is een fout opgetreden tijdens een poging om de certificaatketen op te bouwen voor het vertrouwen van de derde partij

Wanneer u het SSO-certificaat bijwerkt, krijgt u mogelijk deze fout te zien bij het aanmelden: Invalid status code in response.

Als u deze fout ziet, controleert u de logboeken van de gebeurtenisviewer op de ADFS-server en zoekt u naar de volgende fout: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mogelijke oorzaken zijn dat het certificaat is ingetrokken, dat de certificaatketen niet kan worden geverifieerd zoals gespecificeerd door de instellingen voor intrekking van het coderingscertificaat van de derde partij, of dat het certificaat niet binnen de geldigheidsperiode ligt.

Als deze fout optreedt, moet u de opdrachten uitvoeren Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Federatie-id

De federatie-id is hoofdlettergevoelig. Als dit het e-mailadres van uw organisatie is, voert u dit exact in zoals ADFS het verzendt, of kan Webex de overeenkomende gebruiker niet vinden.

Er kan geen aangepaste claimregel worden geschreven om het LDAP-kenmerk te normaliseren voordat het wordt verzonden.

Importeer uw metagegevens uit de ADFS-server die u in uw omgeving hebt geconfigureerd.

U kunt de URL indien nodig verifiëren door te navigeren naar Service > Eindpunten > Metagegevens > Type:Federatieve metagegevens in ADFS-beheer.

Tijdsynchronisatie

Zorg ervoor dat de systeemklok van uw ADFS-server is gesynchroniseerd met een betrouwbare internettijdbron die gebruikmaakt van het Network Time Protocol (NTP). Gebruik de volgende PowerShell-opdracht om de klok alleen voor de vertrouwensrelatie van de derde partij van Webex te wijzigen.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

De hexadecimale waarde is uniek voor uw omgeving. Vervang de waarde uit de SP EntityDescriptor ID-waarde in het Webex-metagegevensbestand. Bijvoorbeeld:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">