Engangspålogging og Webex Control Hub

Engangspålogging (SSO) er en økt eller brukerautentiseringsprosess som gir en bruker tilgang til ett eller flere programmer. Prosessen autentiserer brukere for alle programmene de har rettigheter til. Det eliminerer ytterligere anvisninger når brukere bytter program i løpet av en bestemt økt.

Sammenslutningsprotokoll for SAML 2.0 (Security Assertion Markup Language) brukes til å gi SSO-autentisering mellom Cisco Webex-skyen og identitetsleverandøren (IdP).

Profiler

Cisco Webex Teams støtter bare SSO-profilen for nettleseren. Cisco Webex Teams støtter følgende bindinger i SSO-profilen for nettleseren:

  • SP-initiert POST -> POST-binding

  • SP-initiert OMDIRIGERING -> POST-binding

Navn-ID-format

SAML 2.0-protokollen støtter flere Navn-ID-formater for kommunikasjon om en bestemt bruker. Cisco Webex Teams støtter følgende Navn-ID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP, konfigureres den første oppføringen for bruk i Cisco Webex.

Engangsutlogging

Cisco Webex Teams støtter engangsutlogging-profilen. I Cisco Webex Teams-appen kan en bruker logge av programmet, som bruker SAML-protokollen for engangsutlogging til å avslutte økten og bekrefte at du logger av med IdP-en din. Kontroller at IdP-en din er konfigurert for engangsutlogging.

Integrer Cisco Webex Control Hub med ADFS


Konfigureringsveiledningene viser et spesifikt eksempel for SSO-integrering, men gir ikke uttømmende konfigurering for alle muligheter. For eksempel er integreringstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater, som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerer i SSO-integrering, men gjennomgås ikke i vår dokumentasjon.

Konfigurer denne integreringen for brukere i Cisco Webex-organisasjonen (inkludert Cisco Webex Teams, Cisco Webex Meetings og andre tjenester som administreres i Cisco Webex Control Hub). Hvis Webex-nettstedet er integrert i Cisco Webex Control Hub, arver Webex-nettstedet brukeradministrasjonen. Hvis du ikke får tilgang til Cisco Webex Meetings på denne måten, og det ikke administreres i Cisco Webex Control Hub, må du utføre en separat integrering for å aktivere SSO for Cisco Webex Meetings. (Hvis du vil ha mer informasjon om SSO-integrering, kan du se Konfigurer engangspålogging for Webex i Nettstedsadministrasjon.)

Integrert Windows-godkjenning (IWA) kan aktiveres som standard, avhengig av hva som er konfigurert i autentiseringsmekanismene i ADFS. Hvis det er aktivert, godkjennes programmer som startes via Windows (for eksempel Webex Teams og Cisco-registerkobling), som brukeren som er logget på, uavhengig av hvilken e-postadresse som skrives inn i den første e-postmeldingen.

Last ned Cisco Webex-metadata til ditt lokale system

1

Fra kundevisningen i https://admin.webex.com går du til Innstillinger og blar deretter til Autentisering.

2

Klikk på Endre, klikk på Integrer en tredjeparts identitetsleverandør. (Avansert), og klikk deretter på Neste.

3

Last ned metadatafilen.

Cisco Webex-metadatafilnavnet er idb-meta-<org-ID>-SP.xml.

Installere Cisco Webex-metadata i ADFS

Før du starter

Cisco Webex Control Hub støtter ADFS 2.x eller nyere.

Windows 2008 R2 inkluderer kun ADFS 1.0. Du må installere ADFS 2.x eller nyere fra Microsoft.

Identitetsleverandører (IDP-er) må overholde følgende SAML 2.0-spesifikasjon for SSO- og Cisco Webex-tjenester.

  • Angi attributtet Navn-ID-format til urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurer et krav på IdP så det inkluderer uid-attributtnavnet med en verdi som er kartlagt til attributtet som er valgt i Cisco-registerkoblingen, eller brukerattributtet som samsvarer med det som er valgt i Cisco Webex-identitetstjenesten. (Dette attributtet kan for eksempel være e-postadresser eller bruker-hovednavn.) Se informasjonen om egendefinerte attributter i https://www.cisco.com/go/hybrid-services-directory hvis du vil ha veiledning.

1

Logg på ADFS-serveren med administratortillatelser.

2

Åpne konsollen for ADFS-administrering, og bla til Pålitelige relasjoner > Pålitelige parter > Legg til pålitelige parter.

3

Velg Start fra vinduet Veiviser for Legg til pålitelige parter.

4

For Velg datakilde velger du Importer data om den pålitelige parten fra en fil, blar til Cisco Webex Control Hub-metadatafilen du lastet ned, og velger Neste.

5

For Angi visningsnavn oppretter du et visningsnavn for denne pålitelige parten, for eksempel Cisco Webex og velger Neste.

6

For Velg autorisasjonsregler for utstedelse velger du Tillat alle brukere å få tilgang til denne pålitelige parten og velger Neste.

7

For Klar for å legge til pålitelige parter velger du Neste og legger til den pålitelige parten i ADFS.

Opprett kravregler for å tillate godkjenning fra Cisco Webex

1

Velg klareringsforholdet du opprettet i hovedruten for ADFS, og velg deretter Rediger kravregler. Velg Legg til regel i fanen Regler for utstedelsestransformasjon.

2

Velg Send LDAP-attributter som krav i trinnet Velg regeltype, og velg Neste.

  1. Angi et Navn på kravregelen.

  2. Velg Active Directory som attributtlager.

  3. Tilordne LDAP-attributtet for E-postadresser til den utgående kravtypen uid.

    Denne regelen forteller ADFS hvilke felt som skal tilordnes til Cisco Webex for å identifisere en bruker. Stav de utgående kravtypene nøyaktig slik de vises.

  4. Lagre endringene.

3

Velg Legg til regel på nytt, velg Send krav via en egendefinert regel, og velg deretter Neste.

Denne regelen gir ADFS attributtet «spname qualifier» som Cisco Webex ellers ikke gir.

  1. Åpne tekstredigeringsprogrammet og kopier følgende innhold.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Erstatt URL1 og URL2 i teksten på følgende måte:
    • URL1 er enhets-ID-en fra ADFS-metadatafilen du lastet ned.

      Følgende er et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopier kun enhets-ID fra ADFS-metadatafilen og lim den inn i tekstfilen for å erstatte URL1

    • URL2 er på den første linjen i Cisco Webex-metadatafilen du lastet ned.

      Følgende er et eksempel på det du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier kun enhets-ID fra Cisco Webex-metadatafilen og lim den inn i tekstfilen for å erstatte URL2.

  2. Kopierer regelen fra tekstredigeringsprogrammet med de oppdaterte URL-adressene (som begynner mde «c:»), og lim den inn i den egendefinerte regelboksen på ADFS-serveren.

    Den fullførte regelen skal se slik ut:
  3. Velg Fullfør for å opprette regelen, og avslutt deretter vinduet Rediger kravregler.

4

Velg Pålitelige parter i hovedvinduet, og velg deretter Egenskaper i ruten til høyre.

5

Når Egenskaper-vinduet vises, blar du til Avansert-fanen, SHA-256 og velger OK for å lagre endringene.

6

Bla til følgende URL-adresse på den interne ADFS-serveren for å laste ned filen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Du må kanskje høyreklikke på siden og vise sidekilden for å få den riktig formaterte XML-filen.

7

Lagre filen på din lokale maskin.

Hva nå?

Du er klar til å importere ADFS-metadataene tilbake til Cisco Webex fra administrasjonsportalen.

Importer IdP-metadataene og aktiver engangspålogging etter en test

Når du har eksportert Cisco Webex-metadataene, konfigurert idP-en og lastet ned IdP-metadataene til det lokale systemet, er du klar til å importere dem til Cisco Webex-organisasjonen fra Control Hub.

Før du starter

Ikke test SSO-integrasjon fra IdP-grensesnittet (identitetsleverandør). Vi støtter bare tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integreringen.

1

Velg én:

  • Gå tilbake til Cisco Webex Control Hub – Eksporter katalogmetadata-siden i nettleseren, og klikk på Neste.
  • Hvis Control Hub ikke lenger er åpen i nettleserfanen, går du til Innstillinger i kundevisningen i https://admin.webex.com, blar til Autentisering, velger Integrer en tredjeparts identitetsleverandør (avansert) og klikker deretter på Neste på siden for klarerte metadatafiler (fordi du har gjort det allerede).
2

Dra og slipp IdP-metadatafilen til siden Importer IdP-metadata, eller bruk filbehandleren til å finne og laste opp metadatafilen. Klikk på Neste.

Hvis metadataene ikke er signert, er signert med et egensignert sertifikat eller er signert med en privat bedrifts sertifiseringsinstans (CA), anbefaler vi at du bruker krever sertifikat signert av en sertifiseringsautoritet i metadata (sikrere). Hvis sertifikatet er egensignert, må du velge det mindre sikre alternativet.

3

Velg Test SSO-tilkobling, og når en ny nettleserfane åpnes, autentiserer du den med IdP ved å logge på.


 

Hvis du får en autentiseringsfeil, kan det være et problem med legitimasjonen. Kontroller brukernavnet og passordet ditt, og prøv på nytt.

En Webex Teams-feil betyr vanligvis at det er et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene hvor du kopierer og limer Control Hub-metadataene inn i IdP-oppsettet.

4

Gå tilbake til Control Hub-nettleserfanen.

  • Hvis testen var vellykket, velger du Denne testen var vellykket. Aktiver alternativ for engangspålogging, og klikk på Neste.
  • Hvis testen mislyktes, velger du Denne testen var mislykket. Deaktiver alternativet for engangspålogging, og klikk på Neste.

Hva nå?

Du kan følge fremgangsmåten i Stopp automatiserte e-poster for å deaktivere e-poster som sendes til nye Webex Teams-brukere i organisasjonen. Dokumentet inneholder også gode fremgangsmåter for å sende ut kommunikasjon til brukere i organisasjonen.

Oppdater Cisco Webex pålitelige parter i ADFS

Denne oppgaven handler spesielt om å oppdatere ADFS med nye SAML-metadata fra Cisco Webex. Det finnes relaterte artikler hvis du må konfigurere SSO med ADFS, eller hvis du må oppdatere (en annen) IdP med SAML-metadata for et nytt Webex SSO-sertifikat.

Før du starter

Du må eksportere SAML-metadatafilen fra Control Hub før du kan oppdatere Cisco Webex pålitelige parter i ADFS.

1

Logg på ADFS-serveren med administratortillatelser.

2

Last opp SAML-metadatafilen fra Webex til en midlertidig lokal mappe på ADFS-serveren, f.eks. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Åpne Powershell.

4

Kjør Get-AdfsRelyingPartyTrust for å lese alle pålitelige parter.

Legg merke til TargetName parameteren for Cisco Webex pålitelige parter. Vi bruker eksemplet «Cisco Webex», men det kan være annerledes i ADFS.

5

Kjør Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Sørg for at du erstatter filnavnet og målnavnet med de riktige verdiene fra miljøet.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Logg på Control Hub, og test deretter SSO-integrasjonen:

  1. Gå til Innstillinger, bla til Godkjenning, klikk på Endre.

  2. Velg Integrer en tredjeparts identitetsleverandør (avansert) og klikk på Neste.

  3. Klikk på Neste for å hoppe over siden Importer IdP-metadata.

    Du trenger ikke gjenta dette trinnet fordi du tidligere har importert IdP-metadataene.

  4. Klikk på Test SSO-tilkobling.

    Det åpnes et nytt nettleservindu som omdirigerer deg til IdP-utfordringssiden.

  5. Logg på for å fullføre testen.

ADFS-feilsøking

ADFS-feil i Windows-logger

I Windows-loggene kan det hende du ser en feilkode 364 for ADFS-hendelsesloggen. Hendelsesinformasjonen identifiserer et ugyldig sertifikat. I disse tilfellene har ikke ADFS-verten tilgang til å komme seg gjennom brannmuren på port 80, for å validere sertifikatet.

Sammenslutnings-ID

Sammenslutnings-ID-en skiller mellom store og små bokstaver. Hvis dette er den organisatoriske e-postadressen din, skriver du den inn nøyaktig slik ADFS sender den, ellers finner ikke Cisco Webex den samsvarende brukeren.

En egendefinert kravregel kan ikke skrives for å normalisere LDAP-attributtet før det sendes.

Importer metadataene fra ADFS-serveren du har konfigurert i miljøet ditt.

Du kan bekrefte URL-adressen ved å gå til Tjenester > Endepunkter > Metadata > Type:Sammenslutning-metadata i ADFS-administrering, hvis dette er nødvendig.

Tidssynkronisering

Kontroller at ADFS-serverens systemklokke er synkronisert med en pålitelig tidskilde for internett som bruker NTP (Network Time Protocol). Bruk følgende PowerShell-kommando til å forskyve klokken kun for relasjoner mellom Cisco Webex pålitelige parter.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Den heksadesimale verdien er unik for miljøet ditt. Erstatt verdien fra SP EntityDescriptor ID-verdien i Cisco Webex-metadatafilen. For eksempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">