Enkel pålogging og kontrollhub

Engangspålogging (SSO) er en økt- eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

SAML 2.0 Federation Protocol (Security Assertion Markup Language) brukes til å gi SSO-godkjenning mellom Webex-skyen og identitetsleverandøren (IdP).

Profiler

Webex App støtter bare nettleserens SSO-profil. I nettleserens SSO-profil støtter Webex App følgende bindinger:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Webex App støtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex App støtter den enkle avloggingsprofilen. I Webex Appkan en bruker logge av programmet, som bruker SAML-protokollen for enkel avlogging til å avslutte økten og bekrefte at logger av med din IdP. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrer kontrollhub med ADFS

Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon.

Konfigurer denne integreringen for brukere i Webex-organisasjonen (inkludert Webex App, Webex Meetingsog andre tjenester som administreres i Kontrollhub). Hvis Webex-området er integrert i Kontrollhub ,arver Webex-området brukerbehandlingen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Kontrollhub , må du gjøre enegen integrasjon for å aktivere SSO for Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Integrert Windows-godkjenning (IWA) kan aktiveres som standard, avhengig av hva som er konfigurert i autentiseringsmekanismene i ADFS. Hvis aktivert, godkjennes programmer som startes via Windows (for eksempel Webex App og Cisco Directory Connector ), som brukeren som er logget på, uavhengig av hvilken e-postadresse som skrives inn under den første e-postmeldingen.

Last ned Webex-metadataene til det lokale systemet

1

Fra kundevisningen i https://admin.webex.comgår du til Administrasjons- > Organisasjonsinnstillinger, og deretter går du til Godkjenning , og deretter aktiverer du innstillingen Enkel pålogging for å starte installasjonsveiviseren.
2

Velg sertifikattypen for organisasjonen:

  • Selvsignert av Cisco– Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det en gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– sikrere, men du må ofte oppdatere metadataene (med mindre IdP-leverandøren støtter klareringsankere).

 

Klareringsankere er fellesnøkler som fungerer som en instans for å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se idp-dokumentasjonen.
3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta-<org-ID>-SP.xml.

Installere Webex-metadata i ADFS

Før du starter

Control Hub støtter ADFS 2.x eller senere.

Windows 2008 R2 inkluderer kun ADFS 1.0. Du må installere ADFS 2.x eller nyere fra Microsoft.

For SSO- og Webex-tjenester må identitetsleverandører (IDPer) overholde følgende SAML 2.0-spesifikasjon:

  • Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP til å inkludere uid -attributtnavnet med en verdi som er tilordnet attributtet som er valgt i Cisco Directory Connector, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.) Se informasjonen om egendefinerte attributter i https://www.cisco.com/go/hybrid-services-directory hvis du vil ha veiledning.

1

Logg på ADFS-serveren med administratortillatelser.
2

Åpne konsollen for ADFS-administrering, og bla til Pålitelige relasjoner > Pålitelige parter > Legg til pålitelige parter.
3

Velg Start fra vinduet Veiviser for Legg til pålitelige parter.
4

Velg Importer data om den beroende parten fra en fil under Velg datakilde , bla tilmetadatafilen for kontrollhuben du lastet ned, og velg Neste .
5

For Angi visningsnavnoppretter du et visningsnavn for denne beroende partklareringen, for eksempel Webex , og velger Neste.
6

For Velg autorisasjonsregler for utstedelse velger du Tillat alle brukere å få tilgang til denne pålitelige parten og velger Neste.
7

For Klar for å legge til pålitelige parter velger du Neste og legger til den pålitelige parten i ADFS.

Opprette kravregler for Webex-godkjenning

1

Velg klareringsforholdet du opprettet i hovedruten for ADFS, og velg deretter Rediger kravregler. Velg Legg til regel i fanen Regler for utstedelsestransformasjon.
2

Velg Send LDAP-attributter som krav i trinnet Velg regeltype, og velg Neste.

  1. Angi et Navn på kravregelen.

  2. Velg Active Directory som attributtlager.

  3. Tilordne LDAP-attributtet for E-postadresser til den utgående kravtypen uid.

    Denne regelen forteller ADFS hvilke felt som skal tilordnes webex for å identifisere en bruker. Stav de utgående kravtypene nøyaktig slik de vises.

  4. Lagre endringene.
3

Velg Legg til regel på nytt, velg Send krav via en egendefinert regel, og velg deretter Neste.

Denne regelen gir ADFS attributtet "spname qualifier" som Webex ellers ikke gir.

  1. Åpne tekstredigeringsprogrammet og kopier følgende innhold.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Erstatt URL1 og URL2 i teksten på følgende måte:

    • URL1 er enhets-ID-en fra ADFS-metadatafilen du lastet ned.

      Følgende er et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopier kun enhets-ID fra ADFS-metadatafilen og lim den inn i tekstfilen for å erstatte URL1

    • URL2 er på den første linjen i Webex-metadatafilen du lastet ned.

      Følgende er et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier bare entityID fra Webex-metadatafilen, og lim den inn i tekstfilen for å erstatte URL2.

  2. Kopierer regelen fra tekstredigeringsprogrammet med de oppdaterte URL-adressene (som begynner mde «c:»), og lim den inn i den egendefinerte regelboksen på ADFS-serveren.

    Den fullførte regelen skal se slik ut:

  3. Velg Fullfør for å opprette regelen, og avslutt deretter vinduet Rediger kravregler.
4

Velg Pålitelige parter i hovedvinduet, og velg deretter Egenskaper i ruten til høyre.
5

Når Egenskaper-vinduet vises, blar du til Avansert-fanen, SHA-256 og velger OK for å lagre endringene.
6

Bla til følgende URL-adresse på den interne ADFS-serveren for å laste ned filen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Du må kanskje høyreklikke på siden og vise sidekilden for å få den riktig formaterte XML-filen.
7

Lagre filen på din lokale maskin.

Hva nå?

Du er klar til å importere ADFS-metadataene tilbake til Webex fra administrasjonsportalen.

Importere IdP-metadataene og aktivere enkel pålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere den til Webex-organisasjonen fra Control Hub .

Før du starter

Ikke test SSO-integrering fra IdP-grensesnittet (identitetsleverandør). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden Kontrollhub – sertifikatvalg i webleseren, og klikk deretter Neste.
  • Hvis Kontrollhub ikke lenger er åpen i kategorien Leser , går du til Innstillinger for administrasjon > organisasjon i kundevisning i https://admin.webex.com , går til Godkjenning og velger Handlinger >Importer metadata.
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis din IdP brukte en offentlig sertifiseringsinstans til å signere metadataene.

I alle andre tilfeller må du bruke alternativet Mindre sikker . Dette inkluderer hvis metadataene ikke er signert, selvsignert eller signert av en privat sertifiseringsinstans.
3

Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjennes den med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex App-feil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.

 

Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra deg som er logget på.
4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO, og klikk Neste.
  • Hvis testen mislyktes, velger du Mislykket test. Deaktiver SSO, og klikk Neste .

 

SSO-konfigurasjonen trer ikke i kraft i organisasjonen med mindre du velger første alternativknapp og aktiverer SSO.

Hva nå?

Du kan følge fremgangsmåten i Undertrykk automatiserte e-postmeldinger for å deaktivere e-postmeldinger som sendes til nye Webex App-brukere i organisasjonen. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.

Oppdater Webex-beroende parttillit i ADFS

Denne oppgaven handler spesielt om å oppdatere AD FS med nye SAML-metadata fra Webex. Det finnes relaterte artikler hvis du må konfigurere SSO med ADFS, eller hvis du må oppdatere (en annen) IdP med SAML-metadata for et nytt Webex SSO-sertifikat.

Før du starter

Du må eksportere SAML-metadatafilen fra Kontrollhub før du kan oppdatere Webex Beroende Part Trust i AD FS.

1

Logg på ADFS-serveren med administratortillatelser.
2

Last opp SAML-metadatafilen fra Webex til en midlertidig lokal mappe på ADFS-serveren, f.eks. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Åpne Powershell.
4

Kjør Get-AdfsRelyingPartyTrust for å lese alle pålitelige parter.

Legg merke til TargetName parameteren for webex-beroende partklarering. Vi bruker eksemplet «Cisco Webex», men det kan være annerledes i ADFS.
5

Kjør Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Sørg for at du erstatter filnavnet og målnavnet med de riktige verdiene fra miljøet ditt.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Hvis du har lastet ned Webex SP 5-årssertifikatet og har aktivert tilbakekalling av signerings- eller krypteringssertifikat, må du kjøre disse to kommandoene: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Logg på Control Hub, og test deretter SSO-integrasjonen:

  1. Gå til Innstillinger for behandling > organisasjon , bla til Godkjenning , og aktiver innstillingen Enkel pålogging forå starte konfigurasjonsveiviseren.

  2. Klikk på Neste for å hoppe over siden Importer IdP-metadata.

    Du trenger ikke gjenta dette trinnet fordi du tidligere har importert IdP-metadataene.

  3. Test SSO-tilkoblingen før du aktiverer den. Dette trinnet fungerer som en tørrkjøring og påvirker ikke organisasjonsinnstillingene før du aktiverer SSO i neste trinn.


     

    Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette bidrar til å fjerne all informasjon som er hurtigbufret i nettleseren din, noe som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

  4. Logg på for å fullføre testen.

ADFS-feilsøking

ADFS-feil i Windows-logger

I Windows-loggene kan det hende du ser en feilkode 364 for ADFS-hendelsesloggen. Hendelsesinformasjonen identifiserer et ugyldig sertifikat. I disse tilfellene har ikke ADFS-verten tilgang til å komme seg gjennom brannmuren på port 80, for å validere sertifikatet.

Det oppstod en feil under forsøk på å bygge sertifikatkjeden for den beroende partklareringen

Når du oppdaterer SSO-sertifikatet, kan du få denne feilen når du logger på: Invalid status code in response.

Hvis feilen vises, kontrollerer du Hendelsesliste-loggene på ADFS-serveren og ser etter følgende feil: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mulige årsaker er at sertifikatet ble tilbakekalt, sertifikatkjeden kunne ikke bekreftes som angitt av den beroende partklareringens innstillinger for tilbakekalling av krypteringssertifikat, eller sertifikatet er ikke innenfor gyldighetsperioden.

Hvis denne feilen oppstår, må du kjøre kommandoene Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Sammenslutnings-ID

Sammenslutnings-ID-en skiller mellom store og små bokstaver. Hvis dette er din organisatoriske e-postadresse, skriver du den inn nøyaktig slik ADFS sender den, eller Webex finner ikke den samsvarende brukeren.

En egendefinert kravregel kan ikke skrives for å normalisere LDAP-attributtet før det sendes.

Importer metadataene fra ADFS-serveren du har konfigurert i miljøet ditt.

Du kan bekrefte URL-adressen ved å gå til Tjenester > Endepunkter > Metadata > Type:Sammenslutning-metadata i ADFS-administrering, hvis dette er nødvendig.

Tidssynkronisering

Kontroller at ADFS-serverens systemklokke er synkronisert med en pålitelig tidskilde for internett som bruker NTP (Network Time Protocol). Bruk følgende PowerShell-kommando til å forskyve klokken bare for forholdet webex-beroende partklarering.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Den heksadesimale verdien er unik for miljøet ditt. Erstatt verdien fra SP EntityDescriptor ID-verdien i Webex-metadatafilen. For eksempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">