Engangspålogging og Control Hub

Single sign-on (SSO) er en økt- eller brukerautentiseringsprosess som gjør det mulig for en bruker å oppgi legitimasjon for å få tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere meldinger når brukere bytter programmer i løpet av en bestemt økt.

SAML 2.0 (Security Assertion Markup Language) Federation Protocol brukes til å gi SSO-autentisering mellom Webex-skyen og identitetsleverandøren din (IdP).

Profiler

Webex-appen støtter bare SSO-profilen til nettleseren. Webex-appen støtter følgende bindinger i nettleserens SSO-profil:

  • SP initiert POST -> POST binding

  • SP initiert OMDIRIGERING -> POST binding

Navn-ID-format

SAML 2.0-protokollen støtter flere navn-ID-formater for kommunikasjon om en bestemt bruker. Webex-appen støtter følgende Navn-ID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:uspesifisert

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra din IdP, konfigureres den første oppføringen for bruk i Webex.

Engangsutlogging

Webex-appen støtter engangsutlogging-profilen. I Webex-appen kan en bruker logge av programmet, som bruker SAML-protokollen for engangsutlogging til å avslutte økten og bekrefte at du logger av med IdP-en din. Sørg for at din IdP er konfigurert for engangsutlogging.

Integrer Control Hub med ADFS

Konfigurasjonsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke fullstendig konfigurasjon for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified eller urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer for SSO-integrering, men er utenfor omfanget av vår dokumentasjon.

Konfigurer denne integreringen for brukere i Webex-organisasjonen (inkludert Webex-appen, Webex Meetings og andre tjenester administrert i Control Hub). Hvis Webex-nettstedet ditt er integrert i Control Hub, arver Webex-nettstedet brukeradministrasjonen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Control Hub, må du utføre en separat integrering for å aktivere SSO for Webex Meetings. (Se Konfigurere engangspålogging for Webex for mer informasjon om SSO-integrering i nettstedsadministrasjon.)

Integrert Windows-autentisering (IWA) kan aktiveres som standard, avhengig av hva som er konfigurert i autentiseringsmekanismene i ADFS. Hvis aktivert, godkjennes programmer som startes via Windows (for eksempel Webex-appen og Cisco-registerkobling) som brukeren som er logget på, uavhengig av hvilken e-postadresse som angis under den første e-postmeldingen.

Last ned Webex-metadataene til ditt lokale system

1

Fra kundevisningen i https://admin.webex.com går du til Administrasjon > Organisasjonsinnstillinger, blar deretter til Autentisering, og slår deretter på innstillingen Engangspålogging for å starte installasjonsveiviseren.

2

Velg sertifikattype for organisasjonen din:

  • Selvsignert av Cisco – Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det én gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– Sikrere, men du må oppdatere metadataene ofte (med mindre IdP-leverandøren din støtter klareringsankre).

Klareringsankre er offentlige nøkler som fungerer som en myndighet til å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for IdP.

3

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta--SP.xml.

Installere Webex-metadata i ADFS

Før du begynner

Control Hub støtter ADFS 2.x eller nyere.

Windows 2008 R2 inkluderer bare ADFS 1.0. Du må installere minst ADFS 2.x fra Microsoft.

Identitetsleverandører (IdP-er) må overholde følgende SAML 2.0-spesifikasjon for SSO- og Webex-tjenester:

  • Angi attributtet NavnID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:forbigående

  • Konfigurer et krav på IdP til å inkludere uid -attributtnavnet med en verdi som er tilordnet til attributtet som er valgt i Cisco-registerkobling, eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.) Se informasjonen om egendefinerte attributter i https://www.cisco.com/go/hybrid-services-directory for veiledning.

1

Logg på ADFS-serveren med administratortillatelser.

2

Åpne konsollen for ADFS-administrasjon og bla til Klareringsrelasjoner > Pålitelige parter > Legg til pålitelige parter.

3

Velg Start i vinduet Veiviser for tillit til pålitelige parter.

4

For Velg datakilde velger du Importer data om den pålitelige parten fra en fil, blar til Control Hub-metadatafilen du lastet ned, og velger Neste.

5

For Angi visningsnavn oppretter du et visningsnavn for denne pålitelige parten, for eksempel Webex , og velger Neste.

6

For Velg godkjenningsregler for utstedelse velger du Gi alle brukere tilgang til denne pålitelige parten og velger Neste.

7

For Klar til å legge til klarering velger du Neste og fullfører med å legge den pålitelige klareringen til ADFS.

Opprett kravregler for Webex-godkjenning

1

Velg klareringsforholdet du opprettet i hovedruten for ADFS, og velg deretter Rediger kravregler. Velg Legg til regel på fanen Regler for utstedelsestransformasjon.

2

I trinnet Velg regeltype velger du Send LDAP-attributter som krav, og deretter Neste.

  1. Skriv inn et Navn på kravregel.

  2. Velg Active Directory som attributtlager.

  3. Tilordne LDAP-attributtet E-postadresser til den utgående kravtypen uid .

    Denne regelen forteller ADFS hvilke felt som skal tilordnes til Webex for å identifisere en bruker. Stave de utgående kravtypene nøyaktig slik det er vist.

  4. Lagre endringene.

3

Velg Legg til regel på nytt, velg Send krav ved hjelp av en egendefinert regel, og velg deretter Neste.

Denne regelen gir ADFS attributtet «spname qualifier» som Webex ellers ikke gir.

  1. Åpne tekstredigeringsprogrammet og kopier følgende innhold.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => utstedelse(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Utsteder = c.Utsteder, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Erstatt URL1 og URL2 i teksten på følgende måte:

    • URL1 er enhets-ID-en fra ADFS-metadatafilen du lastet ned.

      Følgende er for eksempel et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopier bare enhets-ID fra ADFS-metadatafilen og lim den inn i tekstfilen for å erstatte URL1

    • URL2 er på den første linjen i Webex-metadatafilen du lastet ned.

      Følgende er for eksempel et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier bare enhets-ID-en fra Webex-metadatafilen og lim den inn i tekstfilen for å erstatte URL2.

  2. Med de oppdaterte URL-adressene kopierer du regelen fra tekstredigeringsprogrammet (fra "c:") og limer den inn i den egendefinerte regelboksen på ADFS-serveren.

    Den fullførte regelen skal se slik ut:

  3. Velg Fullfør for å opprette regelen, og avslutt deretter vinduet Rediger kravregler.

4

Velg Pålitelige parter i hovedvinduet, og velg deretter Egenskaper i ruten til høyre.

5

Når Egenskaper-vinduet vises, blar du til fanen Avansert , SHA-256 og velger OK for å lagre endringene.

6

Bla til følgende URL på den interne ADFS-serveren for å laste ned filen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Du må kanskje høyreklikke på siden og vise sidekilden for å få den riktig formaterte XML-filen.

7

Lagre filen på den lokale maskinen.

Hva du skal gjøre nå

Du er klar til å importere ADFS-metadataene tilbake til Webex fra administrasjonsportalen.

Importer IdP-metadataene og aktiver engangspålogging etter en test

Når du har eksportert Webex-metadataene, konfigurert IdP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere dem til Webex-organisasjonen din fra Control Hub.

Før du begynner

Ikke test SSO-integrering fra grensesnittet til identitetsleverandøren (IdP). Vi støtter kun tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til siden for Control Hub – sertifikatvalg i nettleseren, og klikk deretter på Neste.
  • Hvis Control Hub ikke lenger er åpen i nettleserfanen, går du til https://admin.webex.comAdministrasjon > Organisasjonsinnstillinger i kundevisningen, blar til Autentisering og velger Handlinger > Importer metadata.
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filnettleseralternativet til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis IdP-en din brukte en offentlig sertifiseringsinstans til å signere metadataene.

I alle andre tilfeller må du bruke alternativet Mindre sikkert . Dette inkluderer om metadataene ikke er signert, selvsignert eller signert av en privat sertifiseringsinstans.

Okta signerer ikke metadataene, så du må velge Mindre sikker for en Okta SSO-integrering.

3

Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjenn med IdP-en ved å logge på.

Hvis du får en autentiseringsfeil, kan det oppstå et problem med legitimasjonen. Kontroller brukernavnet og passordet, og prøv på nytt.

En Webex-appfeil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene igjen, spesielt trinnene der du kopierer og limer inn Control Hub-metadataene i IdP-oppsettet.

Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavle fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom å logge på med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra at du er logget på.

4

Gå tilbake til nettleserfanen Control Hub.

  • Hvis testen var vellykket, velger du Vellykket test. Slå på SSO og klikk på Neste.
  • Hvis testen mislyktes, velger du Mislykket test. Slå av SSO og klikk på Neste.

SSO-konfigurasjonen trer ikke i kraft i organisasjonen med mindre du velger den første alternativknappen og aktiverer SSO.

Hva du skal gjøre nå

Bruk fremgangsmåtene i Synkroniser Okta-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Okta til Webex-skyen.

Bruk fremgangsmåtene i Synkronisere Azure Active Directory-brukere til Cisco Webex Control Hub hvis du vil klargjøre brukere fra Azure AD til Webex-skyen.

Du kan følge fremgangsmåten i Undertrykk automatiserte e-poster for å deaktivere e-poster som sendes til nye brukere av Webex-appen i organisasjonen. Dokumentet inneholder også beste praksis for å sende ut kommunikasjon til brukere i organisasjonen.

Oppdater Webex pålitelige parter i ADFS

Denne oppgaven handler spesielt om å oppdatere ADFS med nye SAML-metadata fra Webex. Det finnes relaterte artikler hvis du må konfigurere SSO med ADFS, eller hvis du må oppdatere (en annen) IdP med SAML-metadata for et nytt Webex SSO-sertifikat.

Før du begynner

Du må eksportere SAML-metadatafilen fra Control Hub før du kan oppdatere Webex pålitelige parter i ADFS.

1

Logg på ADFS-serveren med administratortillatelser.

2

Last opp SAML-metadatafilen fra Webex til en midlertidig lokal mappe på ADFS-serveren, f.eks. //ADFS_servername/temp/idb-meta--SP.xml.

3

Åpne Powershell.

4

Kjør Get-AdfsRelyingPartyTrust for å lese alle pålitelige parter.

Noter TargetName -parameteren for Webex-pålitelige parter. Vi bruker eksemplet "Webex", men det kan være annerledes i din ADFS.

5

Kjør Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Sørg for å erstatte filnavnet og målnavnet med de riktige verdiene fra miljøet ditt.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Hvis du har lastet ned 5-års Webex SP-sertifikatet og har aktivert tilbaketrekking av signerings- eller krypteringssertifikat, må du kjøre disse to kommandoene: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName «Webex».

6

Logg på Control Hub, og test deretter SSO-integrasjonen:

  1. Gå til Administrasjon > Organisasjonsinnstillinger, bla til Autentisering og slå på innstillingen Engangspålogging for å starte konfigurasjonsveiviseren.

  2. Klikk på Neste for å hoppe over siden Importer IdP-metadata.

    Du trenger ikke gjenta dette trinnet fordi du tidligere importerte IdP-metadataene.

  3. Test SSO-tilkoblingen før du aktiverer den. Dette trinnet fungerer som en testkjøring og påvirker ikke organisasjonsinnstillingene før du aktiverer SSO i neste trinn.

    Hvis du vil se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavle fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom å logge på med SSO. Dette bidrar til å fjerne all informasjon som er bufret i nettleseren din som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

  4. Logg på for å fullføre testen.

ADFS-feilsøking

ADFS-feil i Windows-logger

I Windows-loggene kan det hende du ser feilkode 364 for ADFS-hendelsesloggen. Hendelsesdetaljene identifiserer et ugyldig sertifikat. I slike tilfeller har ikke ADFS-verten tillatelse til å validere sertifikatet gjennom brannmuren på port 80.

Det oppsto en feil under et forsøk på å bygge sertifikatkjeden for den pålitelige parten

Når du oppdaterer SSO-sertifikatet, kan det hende du får denne feilen når du logger på: Ugyldig statuskode i respons.

Hvis du ser denne feilen, sjekker du Event Viewer-loggene på ADFS-serveren og ser etter følgende feil: Det oppstod en feil under et forsøk på å bygge sertifikatkjeden for den pålitelige parten «https://idbroker.webex.com/<org-ID>' sertifikatet identifisert av miniatyrbilde «754B9208F1F75C5CC122740F3675C5D129471D80». Mulige årsaker er at sertifikatet ble tilbakekalt, sertifikatkjeden kunne ikke verifiseres som angitt av den pålitelige partens innstillinger for tilbakekalling av krypteringssertifikat, eller at sertifikatet ikke er innenfor gyldighetsperioden.

Hvis denne feilen oppstår, må du kjøre kommandoene Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Sammenslutnings-ID

Sammenslutnings-ID-en skiller mellom store og små bokstaver. Hvis dette er din organisasjons e-postadresse, skriver du den inn nøyaktig slik ADFS sender den, ellers finner ikke Webex den samsvarende brukeren.

En egendefinert kravregel kan ikke skrives for å normalisere LDAP-attributtet før det sendes.

Importer metadataene dine fra ADFS-serveren du har konfigurert i miljøet ditt.

Du kan bekrefte URL-adressen ved å gå til Tjeneste > Endepunkter > Metadata > Type:Federation Metadata i ADFS-administrasjon.

Tidssynkronisering

Sørg for at ADFS-serverens systemklokke er synkronisert til en pålitelig tidskilde for Internett som bruker Network Time Protocol (NTP). Bruk følgende PowerShell-kommando til å forskyve klokken kun for Webex pålitelige parter.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Den heksadesimale verdien er unik for miljøet ditt. Erstatt verdien fra SP EntityDescriptor ID-verdien i Webex-metadatafilen. For eksempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">