Eenmalige aanmelding en Webex Control Hub

Eenmalige aanmelding (SSO) is een sessie- of gebruikersverificatieproces waarbij een gebruiker aanmeldgegevens kan verstrekken om toegang te krijgen tot een of meer toepassingen. Het proces verifieert gebruikers voor alle toepassingen waarvoor ze rechten hebben gekregen. Gebruikers krijgen geen prompts meer te zien wanneer ze tijdens een bepaalde sessie tussen toepassingen schakelen.

Het Security Assertion Markup Language-federatieprotocol (SAML 2.0) wordt gebruikt om SSO-verificatie te bieden tussen de Cisco Webex-cloud en uw identiteitsprovider (IdP).

Profielen

Cisco Webex Teams ondersteunt alleen het SSO-profiel van de webbrowser. In het SSO-profiel van de webbrowser ondersteunt Cisco Webex Teams de volgende bindingen:

  • SP-gestarte POST -> POST-binding

  • SP-gestarte OMLEIDING -> POST-binding

Indeling NameID

Het SAML 2.0-protocol ondersteunt verschillende NameID-indelingen voor communicatie over een specifieke gebruiker. Cisco Webex Teams ondersteunt de volgende NameID-indelingen.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

In de metagegevens die u van uw identiteitsprovider laadt, wordt de eerste invoer geconfigureerd voor gebruik in Cisco Webex.

Eenmalige afmelding

Cisco Webex Teams ondersteunt het profiel voor eenmalige afmelding. In de Cisco Webex Teams-app kan een gebruiker zich afmelden bij de toepassing, die gebruikmaakt van het SAML-protocol voor eenmalige afmelding, om de sessie te beëindigen en die afmelding te bevestigen bij uw identiteitsprovider. Zorg ervoor dat uw identiteitsprovider is geconfigureerd voor eenmalige afmelding.

Cisco Webex Control Hub met ADFS integreren


De configuratiehandleidingen geven een specifiek voorbeeld van SSO-integratie weer, maar bieden geen volledige configuratie voor alle mogelijkheden. De integratiestappen voor nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient worden bijvoorbeeld gedocumenteerd. Andere indelingen als urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified of urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ondersteunen SSO-integratie, maar vallen buiten het bereik van onze documentatie.

Stel deze integratie in voor gebruikers in uw Cisco Webex-organisatie (waaronder Cisco Webex Teams, Cisco Webex Meetings en andere services die worden beheerd in Cisco Webex Control Hub). Als uw Webex-site is geïntegreerd in Cisco Webex Control Hub, wordt het gebruikersbeheer overgenomen door de Webex-site. Als u op deze manier geen toegang hebt tot Cisco Webex Meetings en het wordt niet beheerd in Cisco Webex Control Hub, moet u een afzonderlijke integratie uitvoeren om SSO voor Cisco Webex Meetings in te schakelen. (Raadpleeg Eenmalige aanmelding configureren voor Webex voor meer informatie over SSO-integratie in Sitebeheer.)

Afhankelijk van wat is geconfigureerd in de verificatiemechanismen in ADFS, kan Geïntegreerde Windows-verificatie (IWA) standaard worden ingeschakeld. Indien ingeschakeld, verifiëren toepassingen die via Windows worden gestart (zoals Webex Teams en Cisco Directoryconnector) de gebruiker die zich aanmeldt, ongeacht welk e-mailadres is ingevoerd tijdens de eerste e-mailprompt.

De Cisco Webex-metagegevens naar uw lokale systeem downloaden

1

Ga vanuit de klantweergave op https://admin.webex.com naar Instellingen en blader vervolgens naar Verificatie.

2

Klik op Wijzigen, klik op Integreer een externe identiteitsprovider. (Geavanceerd) en klik dan op Volgende.

3

Download het bestand met metagegevens.

De bestandsnaam van de Cisco Webex-metagegevens is idb-meta-<org-ID>-SP.xml.

Cisco Webex-metagegevens installeren in ADFS

Voordat u begint

Cisco Webex Control Hub ondersteunt ADFS 2.x of later.

Windows 2008 R2 bevat alleen ADFS 1.0. U moet minimaal ADFS 2.x van Microsoft installeren.

Voor SSO- en Cisco Webex-services moeten identiteitsproviders (IdP's) voldoen aan de volgende SAML 2.0-specificatie:

  • Stel het kenmerk NameID-indeling in op urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configureer een claim op de identiteitsprovider om de kenmerknaam uid op te nemen met een waarde die is toegewezen aan het kenmerk dat is gekozen in Cisco Directoryconnector of het gebruikerskenmerk dat overeenkomt met het kenmerk dat is gekozen in de Cisco Webex-identiteitsservice. (Dit kenmerk kan bijvoorbeeld E-mail-Addresses of User-Principal-Name zijn.) Zie de informatie over aangepaste kenmerken in https://www.cisco.com/go/hybrid-services-directory voor hulp.

1

Meld u aan bij de ADFS-server met beheerdersrechten.

2

Open de ADFS-beheerconsole en blader naar Vertrouwensrelaties > Vertrouwensrelaties van derden > Vertrouwensrelatie van de derde partij toevoegen.

3

Selecteer in het venster Wizard Vertrouwensrelatie van de derde partij toevoegen de optie Starten.

4

Voor Gegevensbron selecteren selecteert u Gegevens over de derde partij uit een bestand importeren, bladert u naar het Cisco Webex Control Hub-metagegevensbestand dat u hebt gedownload en selecteert u Volgende.

5

Maak voor Weergavenaam opgeven een weergavenaam voor deze vertrouwensrelatie van de derde partij, zoals Cisco Webex, en selecteer Volgende.

6

Voor Regels kiezen voor uitgifteautorisatie selecteert u Alle gebruikers toegang geven tot deze derde partij en selecteert u Volgende.

7

Voor Gereed om vertrouwensrelatie toe te voegen selecteert u Volgende en voegt u de vertrouwensrelatie van de derde partij toe aan ADFS.

Claimregels maken om verificatie via Cisco Webex toe te staan

1

Selecteer in het hoofdvenster van ADFS de vertrouwensrelatie die u hebt gemaakt en selecteer vervolgens Claimregels bewerken. Selecteer op het tabblad Transformatieregels voor uitgifte de optie Regel toevoegen.

2

Selecteer LDAP-kenmerken verzenden als claims in de stap Regeltype kiezen en selecteer vervolgens Volgende.

  1. Voer een naam van de claimregel in.

  2. Selecteer Active Directory als het kenmerkarchief.

  3. Wijs het LDAP-kenmerk E-mail-Addresses toe aan het type uitgaande claim uid.

    Deze regel geeft aan welke velden ADFS moet toewijzen aan Cisco Webex om een gebruiker te identificeren. Spel de typen uitgaande claims precies zoals weergegeven.

  4. Sla uw wijzigingen op.

3

Selecteer Regel toevoegen opnieuw, selecteer Claims verzenden met een aangepaste regel en selecteer vervolgens Volgende.

Deze regel voorziet ADFS van het kenmerk 'spname qualifier' dat Cisco Webex anders niet biedt.

  1. Open uw tekstverwerker en kopieer de volgende inhoud.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Vervang URL1 en URL2 in de tekst als volgt:
    • URL1 is de entityID van het ADFS-metagegevensbestand dat u hebt gedownload.

      Hier volgt een voorbeeld van wat u kunt u: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopieer alleen de entiteits-id uit het ADFS-metagegevensbestand en plak deze in het tekstbestand om URL1 te vervangen

    • URL2 wordt weergegeven in de eerste regel in het Cisco Webex-metagegevensbestand dat u hebt gedownload.

      Hier volgt een voorbeeld van wat u kunt u: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopieer alleen de entiteits-id uit het Cisco Webex-metagegevensbestand en plak deze in het tekstbestand om URL2 te vervangen.

  2. Kopieer met de bijgewerkte URL's de regel uit uw tekstverwerker (vanaf 'c:') en plak deze in het aangepaste regelvak op uw ADFS-server.

    De ingevulde regel moet er als volgt uitzien:
  3. Selecteer Voltooien om de regel te maken en sluit vervolgens het venster Claimregels bewerken.

4

Selecteer Vertrouwensrelatie van de derde partij in het hoofdvenster en selecteer vervolgens Eigenschappen in het rechterdeelvenster.

5

Wanneer het venster Eigenschappen verschijnt, bladert u naar het tabblad Geavanceerd, SHA-256 en selecteert u OK om uw wijzigingen op te slaan.

6

Blader naar de volgende URL op de interne ADFS-server om het bestand te downloaden: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Mogelijk moet u met de rechtermuisknop op de pagina klikken en de paginabron bekijken om het XML-bestand met de juiste indeling te krijgen.

7

Sla het bestand op uw lokale computer op.

De volgende stap

U kunt de ADFS-metagegevens weer naar Cisco Webex importeren vanuit de beheerportal.

De metagegevens van de identiteitsprovider importeren en eenmalige aanmelding inschakelen na een test

Nadat u de Cisco Webex-metagegevens hebt geëxporteerd, uw identiteitsprovider hebt geconfigureerd en de metagegevens van de identiteitsprovider naar uw lokale systeem hebt gedownload, kunt u deze vanuit Control Hub naar uw Cisco Webex-organisatie importeren.

Voordat u begint

Test de SSO-integratie niet vanuit de interface van de identiteitsprovider (IdP). We ondersteunen alleen door de serviceprovider gestarte (SP-gestarte) stromen, dus u moet de SSO-test van Control Hub gebruiken voor deze integratie.

1

Kies een van de opties:

  • Keer terug naar de pagina Cisco Webex Control Hub - Metagegevens voor adreslijst exporteren in uw browser en klik op Volgende.
  • Als Control Hub niet meer in het browsertabblad is geopend, ga dan vanuit de klantweergave op https://admin.webex.com naar Instellingen, blader naar Verificatie, kies Integreer een externe identiteitsprovider (Geavanceerd) en klik vervolgens op Volgende op de pagina met het vertrouwde metagegevensbestand (omdat u dit al eerder hebt gedaan).
2

Sleep op de pagina Metagegevens van de identiteitsprovider importeren het metagegevensbestand van de identiteitsprovider naar de pagina of gebruik de bestandsbrowser om het metagegevensbestand te zoeken en te uploaden. Klik op Volgende.

Als de metagegevens niet zijn ondertekend, zijn ondertekend met een zelfondertekend certificaat of zijn ondertekend met een certificeringsinstantie voor privé-ondernemingen (CA), raden we u aan gebruik te maken van een door een certificeringsinstantie ondertekend certificaat vereisen in metagegevens (veiliger). Als het certificaat zelfondertekend is, moet u de minder veilige optie kiezen.

3

Selecteer SSO-verbinding testen en als er een nieuw browsertabblad wordt geopend, verifieert u zich met de identiteitsprovider door u aan te melden.


 

Als u een verificatiefout ontvangt, is er mogelijk een probleem met de aanmeldgegevens. Controleer de gebruikersnaam en het wachtwoord en probeer het opnieuw.

Een Webex Teams-fout betekent meestal een probleem met de SSO-configuratie. In dit geval moet u de stappen opnieuw doorlopen, met name de stappen waarbij u de Control Hub-metagegevens kopieert en plakt in de configuratie van de identiteitsprovider.

4

Keer terug naar het Control Hub-browsertabblad.

  • Als de test is geslaagd, selecteert u Deze test is geslaagd. Schakel de optie voor eenmalige aanmelding in en klik op Volgende.
  • Als de test is mislukt, selecteert u Deze test is mislukt. Schakel de optie voor eenmalige aanmelding uit en klik op Volgende.

De volgende stap

U kunt de procedure volgen in Automatische e-mailberichten onderdrukken om e-mails uit te schakelen die naar nieuwe Webex Teams-gebruikers in uw organisatie worden verzonden. Het document bevat ook aanbevolen procedures voor het verzenden van communicatie naar gebruikers in uw organisatie.

Vertrouwensrelatie van derden voor Cisco Webex bijwerken in ADFS

Deze taak is specifiek gericht op het bijwerken van ADFS met nieuwe SAML-metagegevens van Cisco Webex. Er zijn gerelateerde artikelen als u SSO moet configureren met ADFS of als u een (andere) identiteitsprovider moet bijwerken met SAML-metagegevens voor een nieuw Webex SSO-certificaat.

Voordat u begint

U moet het SAML-metagegevensbestand exporteren vanuit Control Hub voordat u de vertrouwensrelatie van de derde partij voor Cisco Webex in ADFS kunt bijwerken.

1

Meld u aan bij de ADFS-server met beheerdersrechten.

2

Upload het SAML-metagegevensbestand van Webex naar een tijdelijke lokale map op de ADFS-server, bijvoorbeeld //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Open Powershell.

4

Voer Get-AdfsRelyingPartyTrust uit om alle vertrouwensrelaties van de derde partij te lezen.

Noteer de parameter TargetName van de vertrouwensrelatie van de derde partij voor Cisco Webex. We gebruiken het voorbeeld 'Cisco Webex' maar het kan verschillen in uw ADFS.

5

Voer Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex" uit.

Zorg ervoor dat u de bestandsnaam en doelnaam vervangt door de juiste waarden uit uw omgeving.

Zie https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Meld u aan in Control Hub en test de SSO-integratie:

  1. Ga naar Instellingen, blader naar Verificatie en klik op Wijzigen.

  2. Selecteer Integreer een externe identiteitsprovider (Geavanceerd) en klik op Volgende.

  3. Klik op Volgende om de pagina Metagegevens van de identiteitsprovider importeren over te slaan.

    U hoeft die stap niet te herhalen, omdat u eerder de metagegevens van de identiteitsprovider hebt geïmporteerd.

  4. Klik op SSO-verbinding testen.

    Er wordt een nieuw browservenster geopend dat u doorverwijst naar de IdP-uitdagingspagina.

  5. Meld u aan om de test te voltooien.

Problemen met ADFS oplossen

ADFS-fouten in Windows-logboeken

In de Windows-logboeken ziet u mogelijk de foutcode 364 van een ADFS-gebeurtenislogboek. In de gebeurtenisdetails wordt een ongeldig certificaat vermeld. In deze gevallen mag de ADFS-host niet via de firewall op poort 80 het certificaat valideren.

Federatie-id

De federatie-id is hoofdlettergevoelig. Als dit het e-mailadres van uw organisatie is, voer het dan precies in zoals ADFS het verzendt, anders kan Cisco Webex de overeenkomende gebruiker niet vinden.

Er kan geen aangepaste claimregel worden geschreven om het LDAP-kenmerk te normaliseren voordat het wordt verzonden.

Importeer uw metagegevens uit de ADFS-server die u in uw omgeving hebt geconfigureerd.

U kunt de URL indien nodig verifiëren door te navigeren naar Service > Eindpunten > Metagegevens > Type:Federatieve metagegevens in ADFS-beheer.

Tijdsynchronisatie

Zorg ervoor dat de systeemklok van uw ADFS-server is gesynchroniseerd met een betrouwbare internettijdbron die gebruikmaakt van het Network Time Protocol (NTP). Gebruik de volgende PowerShell-opdracht om de klok alleen voor de vertrouwensrelatie van de derde partij voor Cisco Webex te wijzigen.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

De hexadecimale waarde is uniek voor uw omgeving. Vervang de waarde uit de waarde SP EntityDescriptor-id in het Cisco Webex-metagegevensbestand. Bijvoorbeeld:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">