Eenmalige aanmelding en Webex Control Hub

Eenmalige aanmelding (SSO) is een sessie-of gebruikersverificatie proces waarmee een gebruiker referenties kan opgeven voor toegang tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben. Er worden geen extra waarschuwingen meer gegeven wanneer gebruikers schakelen tussen toepassingen tijdens een bepaalde sessie.

Het Federation-Protocol van de Security Assertion Markup Language (SAML 2,0) wordt gebruikt voor SSO verificatie tussen de Cisco Webex Cloud en uw identiteitsprovider (IdP).

Profielen

Cisco Webex Teams ondersteunt alleen het browser SSO profiel. In de webbrowser SSO profiel ondersteunt Cisco Webex Teams de volgende bindingen:

  • SP gestart na > na de binding

  • SP gestart omleiding-> na binding

Indeling NameID

Het SAML 2,0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. Cisco Webex Teams ondersteunt de volgende NameID-indelingen.

  • urn: Oasis: names: TC: SAML: 2.0: NameID-Format: tijdelijk

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: emailAddress

In de metagegevens die u van uw IdP laadt, wordt de eerste vermelding geconfigureerd voor gebruik in Cisco Webex.

SingleLogout

Cisco Webex Teams ondersteunt het enkelvoudige afmeldings profiel. In de Cisco Webex Teams-app kan een gebruiker zich afmelden bij de toepassing, die het SAML single afmeldings protocol gebruikt om de sessie te beëindigen en te bevestigen dat u zich afmeldt bij uw IdP. Zorg ervoor dat uw IdP is geconfigureerd voor SingleLogout.

Cisco Webex Control Hub integreren met ADFS


De configuratie handleidingen tonen een specifiek voorbeeld voor de integratie van SSO, maar bieden geen uitputtende configuratie voor alle mogelijkheden. Bijvoorbeeld de integratie stappen voor NameID-indeling urn: Oasis: names: TC: SAML: 2.0: NameID-Format: tijdelijk zijn gedocumenteerd. Andere indelingen zoals urn: Oasis: names: TC: SAML: 1.1: NameID-Format: Unspecified of urn: Oasis: names: TC: SAML: 1.1: NameID-Format: emailAddress werkt voor SSO-integratie, maar vallen buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Cisco Webex-organisatie (inclusief Cisco Webex Teams, Cisco Webex Meetings en andere services die zijn beheerd in Cisco Webex Control Hub). Als uw Webex-site is geïntegreerd in Cisco Webex Control Hub, neemt de Webex site de Gebruikersbeheer over. Als u op deze manier geen toegang hebt tot Cisco Webex Meetings en deze niet wordt beheerd in Cisco Webex Control Hub, moet u een afzonderlijke integratie uitvoeren om SSO voor Cisco Webex Meetings in te schakelen. (Zie Configureer eenmalige aanmelding voor Webex voor meer informatie in Sitebeheer SSO-integratie.)

Afhankelijk van wat is ingesteld in de verificatiemechanismen in ADFS, kan geïntegreerde Windows-verificatie (IWA) standaard worden ingeschakeld. Als deze functie is ingeschakeld, verifiëren toepassingen die via Windows worden gestart (zoals Webex Teams en Cisco Directoryconnector) als de gebruiker die zich heeft aangemeld, ongeacht het e-mailadres dat is ingevoerd tijdens de eerste e-mail prompt.

De Cisco Webex metadata naar uw lokale systeem downloaden

1

Ga vanuit de klantweergave in naar https://admin.webex.cominstellingenen blader vervolgens naar verificatie.

2

Klik op wijzigen, klik op een externe identiteitsprovider integreren. (Geavanceerd)en klik vervolgens op volgende.

3

Download het bestand met metagegevens.

De Cisco Webex metadata-bestandsnaam is IDB-meta-<org-ID>-sp. XML.

Cisco Webex metagegevens installeren in ADFS

Voordat u begint

Cisco Webex Control Hub ondersteunt ADFS 2. x of hoger.

Windows 2008 R2 bevat alleen ADFS 1,0. U moet een minimum van ADFS 2. x van Microsoft installeren.

Voor SSO-en Cisco Webex-services moeten identiteitsproviders (Idp's) voldoen aan de volgende SAML 2,0-specificatie:

  • Stel het kenmerk NameID-indeling in op urn: Oasis: names: TC: SAML: 2.0: NameID-Format:tijdelijk

  • Configureer een claim op de IdP om de naam van het UID-kenmerk op te nemen met een waarde die is toegewezen aan het kenmerk dat is gekozen in Cisco Directoryconnector of het gebruikerskenmerk dat overeenkomt met het attribuut dat is gekozen in de Cisco Webex identiteitsservice. (Dit kenmerk kan E-mail-adressen of gebruikers-principal-naam zijn, bijvoorbeeld.) Raadpleeg de informatie over het aangepaste kenmerk in https://www.cisco.com/go/hybrid-services-directory voor hulp.

1

Meld u aan bij de ADFS-server met beheerdersrechten.

2

Open de ADFS-beheerconsole en blader naar vertrouwensrelaties > Vertrouwensrelaties van de Relying Party > Vertrouwensrelatie van de Relying Party toevoegen.

3

Klik in het venster vertrouwensrelatie van de Relying Party toevoegen opstarten.

4

Selecteer bij gegevensbron selecteren gegevens over de Relying Party importeren uit een bestand, blader naar het Cisco Webex Control hub metagegevensbestand dat u hebt gedownload en selecteer volgende.

5

Voor de weergavenaam opgeven, maakt u een weergavenaam voor deze vertrouwensrelatie van de relying party zoals Cisco Webex en selecteert u volgende.

6

Voor het kiezen van regels voor uitgifte verificatieselecteert u alle gebruikers toestaan om toegang te krijgen tot deze Relying Partyen selecteert u volgende.

7

Voor klaar om vertrouwen toe te voegen, selecteert u volgende en het toevoegen van de vertrouwensrelatie met ADFS is voltooid.

Maak claim regels om verificatie toe te staan van Cisco Webex

1

Selecteer in het hoofdvenster van ADFS de vertrouwensrelatie die u hebt gemaakt en selecteer vervolgens claim regels bewerken. Selecteer regel toevoegen op het tabblad regels uitgifte transformatie .

2

Selecteer in de stap type regel kiezen de optie LDAP-kenmerken als claims verzendenen selecteer volgende.

  1. Voer een claim regelnaam in.

  2. Selecteer Active Directory als het kenmerk Archief.

  3. Wijs het LDAP-adres van de e-mail-adressen toe aan het type uitgaande claim van de UID.

    Deze regel vertelt ADFS welke velden moeten worden toegewezen aan Cisco Webex om een gebruiker te identificeren. Spel de typen uitgaande claims precies zoals ze worden weergegeven.

  4. Sla uw wijzigingen op.

3

Selecteer regel toevoegen opnieuw, selecteer claims verzenden met een aangepaste regelen selecteer volgende.

Deze regel biedt ADFS met het kenmerk ' spname qualifier ' dat Cisco Webex niet op een andere manier levert.

  1. Open uw teksteditor en kopieer de volgende inhoud.

    c: [type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = >-probleem (type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", verlener = c. verlener, OriginalIssuer = c. OriginalIssuer, value = c. Value, ValueType = c. ValueType, eigenschappen ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/Format"] = "urn: Oasis: names: TC: SAML: 2.0: NameID-Format: kortstondig", Properties ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/namequalifier"]= "Url1"

    Vervang URL1 en URL2 in de tekst als volgt:
    • URL1 is de entiteit vanuit het ADFS-metagegevensbestand dat u hebt gedownload.

      Het volgende is bijvoorbeeld een voorbeeld van wat u ziet: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust"ID =" _55515dde-8147-4183-8a85-b704d26b5dba ">

      Kopieer alleen de entiteit uit het ADFS-metagegevensbestand en plak het in het tekstbestand om URL1 te vervangen

    • URL2 bevindt zich op de eerste regel in het Cisco Webex metagegevensbestand dat u hebt gedownload.

      Het volgende is bijvoorbeeld een voorbeeld van wat u ziet: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieer alleen de entiteit uit het Cisco Webex metagegevensbestand en plak deze in het tekstbestand om URL2 te vervangen.

  2. Met de bijgewerkte Url's kopieert u de regel vanuit uw teksteditor (beginnend met ' c: ') en plakt u deze in het vak aangepaste regel op uw ADFS-server.

    De voltooide regel moet er als volgt uitzien:
  3. Selecteer voltooien om de regel te maken en sluit vervolgens het venster claim regels bewerken af.

4

Selecteer vertrouwensrelatie Relying Party in het hoofdvenster en selecteer vervolgens eigenschappen in het rechterdeelvenster.

5

Wanneer het venster Eigenschappen wordt weergegeven, bladert u naar het tabblad Geavanceerd, SHA-256 en selecteert u vervolgens OK om uw wijzigingen op te slaan.

6

Blader naar de volgende URL op de interne ADFS-server om het bestand te downloaden: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.XML


 

Mogelijk moet u met de rechtermuisknop op de pagina klikken en de paginabron bekijken om het juist opgemaakte XML-bestand te krijgen.

7

Sla het bestand op uw lokale machine op.

Volgende stappen

U kunt de ADFS-metagegevens opnieuw importeren in Cisco Webex vanaf de beheerportal.

De IdP-metagegevens importeren en eenmalige aanmelding inschakelen na een test

Nadat u de Cisco Webex metagegevens hebt geëxporteerd, configureert u uw IdP en downloadt u de IdP-metagegevens naar uw lokale systeem, kunt u deze importeren in uw Cisco Webex-organisatie vanuit Control hub.

Voordat u begint

Test SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door serviceprovider geïnitieerde overdrachts stromen, dus u moet de Control hub gebruiken SSO test voor deze integratie.

1

Kies een van de opties:

  • Keer terug naar de pagina Cisco Webex Control Hub-sitemap exporteren in uw browser en klik vervolgens op volgende.
  • Als Control hub niet meer is geopend op het tabblad browser, gaat u naar instellingen in de klantweergave https://admin.webex.com, selecteert u naar verificatie,kiest ueen externe identiteitsprovider (Geavanceerd) integrerenen klikt u op volgende op de pagina met vertrouwde metagegevensbestand (omdat u deze al eerder hebt gebruikt).
2

Sleep op de pagina metadata van IdP importeren de Bestand met metagegevens van identiteitsprovider naar de pagina of gebruik de optie bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

Als de metadata niet is ondertekend, is ondertekend met een zelfondertekend certificaat of is ondertekend met een privé-ondernemingscertificeringsinstantie (CA), raden we u aan gebruik te maken van certificaat dat is ondertekend door een certificeringsinstantie in metagegevens (veiliger). Als het certificaat zelf is ondertekend, moet u de optie minder veilig kiezen .

3

Test SSO verbinding selecterenen wanneer een nieuw browsertabblad wordt geopend, verifieert u met de IdP door u aan te melden.


 

Als er een verificatiefout wordt weergegeven, kan er een probleem zijn met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

Een Webex Teams fout betekent meestal een probleem met de SSO-instellingen. In dat geval kunt u de stappen opnieuw doorlopen, vooral de stappen waarbij u de metadata van de Control hub kopieert en plakt in de IdP-instellingen.

4

Keer terug naar het tabblad browser voor Control hub.

  • Als de test is geslaagd, selecteert u deze test. Schakel de optie eenmalige aanmelding in en klik op volgende.
  • Als de test niet is geslaagd, selecteert u deze test is mislukt. Schakel de optie eenmalige aanmelding uit en klik op volgende.

Volgende stappen

U kunt de procedure in Automatische e-mailberichten volgen om e-mailberichten die naar nieuwe Webex teams-gebruikers in uw organisatie worden verzonden, uit te schakelen. Het document bevat ook optimale werkwijzen voor het verzenden van berichten naar gebruikers in uw organisatie.

Problemen met ADFS oplossen

ADFS-fouten in Windows-logboeken

In de Windows-logboeken ziet u mogelijk de foutcode 364 van ADFS-gebeurtenislogboek. De gebeurtenisdetails identificeren een ongeldig certificaat. In deze gevallen is de ADFS-host niet toegestaan via de firewall op poort 80 om het certificaat te valideren.

Federatie-ID

De Federatie-ID is hoofdlettergevoelig. Als dit uw e-mailadres van uw organisatie is, voert u dit precies in als ADFS verzendt, of Cisco Webex kunt de overeenkomende gebruiker niet vinden.

Een aangepaste claimregel kan niet worden geschreven om het LDAP-kenmerk te normaliseren voordat het wordt verzonden.

Importeer uw metagegevens van de ADFS-server die u in uw omgeving hebt ingesteld.

U kunt de URL indien nodig verifiëren door te navigeren naar service > Eindpunten > Metagegevens > Type: federatieve metagegevens in ADFS-beheer.

Tijdsynchronisatie

Zorg ervoor dat de systeemklok van de ADFS-server is gesynchroniseerd met een betrouwbare Internet tijdbron die gebruikmaakt van het NTP (Network Time Protocol). Gebruik de volgende PowerShell-opdracht om alleen de tijd voor de vertrouwensrelatie van de Cisco Webex Relying Party te scheeftrekken.

Set-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3

De hexadecimale waarde is uniek voor uw omgeving. Vervang de waarde van het SP EntityDescriptor ID-waarde in het Cisco Webex metagegevensbestand. Bijvoorbeeld:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">