Engangspålogging og Control Hub

Engangspålogging (SSO) er en økt- eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

Federation Protocol (SAML 2.0) for Security Assertion Markup Language brukes til å gi SSO-autentisering mellom Webex-skyen og identitetsleverandøren din (IdP).

Profiler

Webex-appen støtter bare SSO-profilen for nettleseren. I SSO-profilen for nettleseren støtter Webex-appen følgende bindinger:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

NameID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Webex-appen støtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP-en din, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex-appen støtter profilen for enkel utlogging. I Webex-appen kan en bruker logge av applikasjonen, som bruker SAML-protokollen for enkel utlogging til å avslutte økten og bekrefte utloggingen med IdP-en. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrer Control Hub med ADFS


 

Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer for SSO-integrering, men er utenfor omfanget i dokumentasjonen vår.

Konfigurer denne integreringen for brukere i Webex-organisasjonen din (inkludert Webex-appen, Webex Meetings og andre tjenester som administreres i Control Hub). Hvis Webex-nettsted er integrert i Control Hub, arver Webex-nettsted brukeradministrasjonen. Hvis du ikke har tilgang til Webex Meetings på denne måten og den ikke administreres i Control Hub, må du gjøre en separat integrering for å aktivere SSO for Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Integrert Windows-godkjenning (IWA) kan aktiveres som standard, avhengig av hva som er konfigurert i autentiseringsmekanismene i ADFS. Hvis aktivert, vil programmer som startes via Windows (for eksempel Webex App og Cisco Directory Connector), godkjennes som brukeren som er logget på, uavhengig av hvilken e-postadresse som angis under den første e-postmeldingen.

Last ned Webex-metadataene til det lokale systemet

1

Fra kundevisningen ihttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger , og bla til Autentisering , og slå deretter på Engangspålogging innstilling for å starte installasjonsveiviseren.

2

Velg sertifikattype for organisasjonen din:

  • Egensignert av Cisco –Vi anbefaler dette valget. La oss signere sertifikatet, slik at du bare trenger å fornye det én gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans – Sikrere, men du må oppdatere metadataene ofte (med mindre IdP-leverandøren støtter klareringsankere).

 

Klareringsankere er offentlige nøkler som fungerer som en autorisasjon for å bekrefte sertifikatet for en digital signatur. Hvis du vil ha mer informasjon, kan du se IdP-dokumentasjonen.

3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta-<org-ID> -SP.xml .

Installer Webex-metadata i ADFS

Før du starter

Control Hub støtter ADFS 2.x eller nyere.

Windows 2008 R2 inkluderer kun ADFS 1.0. Du må installere ADFS 2.x eller nyere fra Microsoft.

For SSO- og Webex-tjenester må identitetsleverandører (IdP-er) være i samsvar med følgende SAML 2.0-spesifikasjon:

  • Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP til å inkludere uid attributtnavn med en verdi som er tilordnet til attributtet som er valgt i Cisco-registerkobling eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.) Se informasjonen om egendefinerte attributter i https://www.cisco.com/go/hybrid-services-directory hvis du vil ha veiledning.

1

Logg på ADFS-serveren med administratortillatelser.

2

Åpne konsollen for ADFS-administrering, og bla til Pålitelige relasjoner > Pålitelige parter > Legg til pålitelige parter.

3

Velg Start fra vinduet Veiviser for Legg til pålitelige parter.

4

For Velg Datakilde velg Importer data om den pålitelige parten fra en fil , bla til Control Hub-metadatafilen du lastet ned, og velg Neste .

5

For Angi visningsnavn , opprett et visningsnavn for denne klareringen av den pålitelige parten, for eksempel Webex og velg Neste .

6

For Velg autorisasjonsregler for utstedelse velger du Tillat alle brukere å få tilgang til denne pålitelige parten og velger Neste.

7

For Klar for å legge til pålitelige parter velger du Neste og legger til den pålitelige parten i ADFS.

Opprett kravregler for Webex-godkjenning

1

Velg klareringsforholdet du opprettet i hovedruten for ADFS, og velg deretter Rediger kravregler. Velg Legg til regel i fanen Regler for utstedelsestransformasjon.

2

Velg Send LDAP-attributter som krav i trinnet Velg regeltype, og velg Neste.

  1. Angi et Navn på kravregelen.

  2. Velg Active Directory som attributtlager.

  3. Tilordne LDAP-attributtet for E-postadresser til den utgående kravtypen uid.

    Denne regelen forteller ADFS hvilke felt som skal tilordnes til Webex for å identifisere en bruker. Stav de utgående kravtypene nøyaktig slik de vises.

  4. Lagre endringene.

3

Velg Legg til regel på nytt, velg Send krav via en egendefinert regel, og velg deretter Neste.

Denne regelen gir ADFS attributtet «spname qualifier» som Webex ellers ikke oppgir.

  1. Åpne tekstredigeringsprogrammet og kopier følgende innhold.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Erstatt URL1 og URL2 i teksten på følgende måte:

    • URL1 er enhets-ID-en fra ADFS-metadatafilen du lastet ned.

      Følgende er et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopier kun enhets-ID fra ADFS-metadatafilen og lim den inn i tekstfilen for å erstatte URL1

    • URL2 er på den første linjen i Webex-metadatafilen du lastet ned.

      Følgende er et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier bare enhets-ID-en fra Webex-metadatafilen, og lim den inn i tekstfilen for å erstatte URL2.

  2. Kopierer regelen fra tekstredigeringsprogrammet med de oppdaterte URL-adressene (som begynner mde «c:»), og lim den inn i den egendefinerte regelboksen på ADFS-serveren.

    Den fullførte regelen skal se slik ut:

  3. Velg Fullfør for å opprette regelen, og avslutt deretter vinduet Rediger kravregler.

4

Velg Pålitelige parter i hovedvinduet, og velg deretter Egenskaper i ruten til høyre.

5

Når Egenskaper-vinduet vises, blar du til Avansert-fanen, SHA-256 og velger OK for å lagre endringene.

6

Bla til følgende URL-adresse på den interne ADFS-serveren for å laste ned filen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Du må kanskje høyreklikke på siden og vise sidekilden for å få den riktig formaterte XML-filen.

7

Lagre filen på din lokale maskin.

Hva nå?

Du er klar til å importere ADFS-metadataene tilbake til Webex fra administrasjonsportalen.

Importer IdP-metadataene og aktiver engangspålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere dem til Webex-organisasjonen fra Control Hub.

Før du starter

Ikke test SSO-integrering fra IdP-grensesnittet (identitetsleverandør). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden Control Hub – sertifikatvalg i nettleseren, og klikk deretter Neste .
  • Hvis Control Hub ikke lenger er åpen i nettleserfanen, kan du fra kunden vise ihttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger , bla til Autentisering , og velg deretter Handlinger > Importer metadata .
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke Tryggere alternativ, hvis du kan. Dette er bare mulig hvis IdP-en din brukte en offentlig sertifiseringsinstans til å signere metadataene sine.

I alle andre tilfeller må du bruke Mindre sikker alternativet. Dette inkluderer hvis metadataene ikke er signert, egensignert eller signert av en privat sertifiseringsinstans.


 

Okta signerer ikke metadataene, så du må velge Mindre sikker for en Okta SSO-integrering.

3

Velg Test SSO-oppsettet , og når en ny nettleserfane åpnes, godkjenn med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex-appfeil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.


 

Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavlen fra dette skjermbildet og lime inn URL-en i et privat nettleservindu. Derfra kan du gjennomgå påloggingen med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra deg som er logget på.

4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO og klikk Neste .
  • Hvis testen mislyktes, velger du Testen mislyktes. Slå av SSO og klikk Neste .

 

SSO-konfigurasjonen trer ikke i kraft i organisasjonen din med mindre du velger den første alternativknapp og aktiverer SSO.

Hva nå?

Bruk fremgangsmåtene i Synkroniser Okta-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Okta til Webex-skyen.

Bruk fremgangsmåten i Synkronisere Azure Active Directory -brukere til Cisco Webex Control Hub hvis du vil gjøre brukerklargjøring fra Azure AD til Webex-skyen.

Du kan følge fremgangsmåten i Undertrykk automatiserte e-postmeldinger for å deaktivere e-postmeldinger som sendes til nye brukere av Webex-appen i organisasjonen din. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.

Oppdater klareringen av Webex-avhengige parter i ADFS

Denne oppgaven handler spesielt om oppdatering av ADFS med nye SAML-metadata fra Webex. Det finnes relaterte artikler hvis du trenger det konfigurere enkel pålogging med ADFS , eller hvis du trenger det oppdatere (en annen) IdP med SAML-metadata for et nytt Webex SSO-sertifikat .

Før du starter

Du må eksportere SAML-metadatafilen fra Control Hub før du kan oppdatere klareringen for Webex Relying Party i ADFS.

1

Logg på ADFS-serveren med administratortillatelser.

2

Last opp SAML-metadatafilen fra Webex til en midlertidig lokal mappe på ADFS-serveren, for eksempel. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Åpne Powershell.

4

Kjør Get-AdfsRelyingPartyTrust for å lese alle pålitelige parter.

Legg merke til TargetName parameteren for den tillitsfulle Webex-parten. Vi bruker eksemplet «Webex», men det kan være annerledes i ADFS.

5

Kjør Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Sørg for at du erstatter filnavnet og målnavnet med de riktige verdiene fra miljøet ditt.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Hvis du har lastet ned Webex SP 5-års-sertifikatet og har aktivert signering eller tilbakekall av krypteringssertifikat, må du kjøre disse to kommandoene: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Logg på Control Hub, og test deretter SSO-integrasjonen:

  1. Gå til Ledelse > Organisasjonsinnstillinger , bla til Autentisering , og slå på Engangspålogging innstilling for å starte konfigurasjonsveiviseren.

  2. Klikk på Neste for å hoppe over siden Importer IdP-metadata.

    Du trenger ikke gjenta dette trinnet fordi du tidligere har importert IdP-metadataene.

  3. Test SSO-tilkoblingen før du aktiverer den. Dette trinnet fungerer som en testkjøring og påvirker ikke organisasjonsinnstillingene før du aktiverer SSO i neste trinn.


     

    Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavlen fra dette skjermbildet og lime inn URL-en i et privat nettleservindu. Derfra kan du gjennomgå påloggingen med SSO. Dette bidrar til å fjerne all informasjon som er bufret i nettleseren din, som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

  4. Logg på for å fullføre testen.

ADFS-feilsøking

ADFS-feil i Windows-logger

I Windows-loggene kan det hende du ser en feilkode 364 for ADFS-hendelsesloggen. Hendelsesinformasjonen identifiserer et ugyldig sertifikat. I disse tilfellene har ikke ADFS-verten tilgang til å komme seg gjennom brannmuren på port 80, for å validere sertifikatet.

Det oppstod en feil under et forsøk på å bygge sertifikatkjede for klareringen av den pålitelige parten

Når du oppdaterer SSO-sertifikatet, kan du bli presentert med denne feilen når du logger på: Invalid status code in response.

Hvis du ser denne feilen, kontrollerer du aktivitetslisten på ADFS-serveren og ser etter følgende feil: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mulige årsaker er at sertifikatet ble tilbakekalt, at sertifikatkjede ikke kunne bekreftes som angitt av den tillitsfulle partens innstillinger for tilbakekall av krypteringssertifikater, eller at sertifikatet ikke er innenfor gyldighetsperioden.

Hvis denne feilen oppstår, må du kjøre kommandoene Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Sammenslutnings-ID

Sammenslutnings-ID-en skiller mellom store og små bokstaver. Hvis dette er e-postadresse for din bedrift , skriver du den inn nøyaktig slik ADFS sender den, ellers finner ikke Webex den samsvarende brukeren.

En egendefinert kravregel kan ikke skrives for å normalisere LDAP-attributtet før det sendes.

Importer metadataene fra ADFS-serveren du har konfigurert i miljøet ditt.

Du kan bekrefte URL-adressen ved å gå til Tjenester > Endepunkter > Metadata > Type:Sammenslutning-metadata i ADFS-administrering, hvis dette er nødvendig.

Tidssynkronisering

Kontroller at ADFS-serverens systemklokke er synkronisert med en pålitelig tidskilde for internett som bruker NTP (Network Time Protocol). Bruk følgende PowerShell-kommando til å skjeve klokken bare for klareringsrelasjonen for Webex Relying Party.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Den heksadesimale verdien er unik for miljøet ditt. Erstatt verdien fra ID-verdien for SP EntityDescriptor i Webex-metadatafilen. For eksempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">