Enkel pålogging og kontrollhub

Enkeltpålogging (SSO) er en økt- eller brukerautentiseringsprosess som lar en bruker oppgi påloggingsinformasjon for å få tilgang til ett eller flere applikasjoner. Prosessen autentiserer brukere for alle applikasjonene de har fått rettigheter til. Det eliminerer ytterligere spørsmål når brukere bytter applikasjoner i løpet av en bestemt økt.

Security Assertion Markup Language (SAML 2.0) Federation Protocol brukes til å gi SSO-autentisering mellom Webex Cloud og identitetsleverandøren din (IdP).

Profiler

Webex-appen støtter bare nettleserens SSO-profil. I nettleserens SSO-profil støtter Webex-appen følgende bindinger:

  • SP initierte POST -> POST-binding

  • SP initierte OMDIREKTER -> POST-binding

NavnID-format

SAML 2.0-protokollen støtter flere NameID-formater for kommunikasjon om en bestemt bruker. Webex-appen støtter følgende NameID-formater.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadataene du laster inn fra IdP-en din, er den første oppføringen konfigurert for bruk i Webex.

Enkeltlogging

Webex-appen støtter profilen for enkelt utlogging. I Webex-appen kan en bruker logge seg ut av applikasjonen, som bruker SAML-protokollen for enkel utlogging for å avslutte økten og bekrefte utloggingen med IdP-en din. Sørg for at IdP-en din er konfigurert for SingleLogout.

Integrer kontrollhub med ADFS

Konfigurasjonsveiledningene viser et spesifikt eksempel på SSO-integrasjon, men gir ikke uttømmende konfigurasjon for alle muligheter. For eksempel er integrasjonstrinnene for nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumentert. Andre formater som urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress vil fungere for SSO-integrasjon, men er utenfor omfanget av dokumentasjonen vår.

Konfigurer denne integrasjonen for brukere i Webex-organisasjonen din (inkludert Webex-appen, Webex Meetings og andre tjenester som administreres i Control Hub). Hvis Webex-nettstedet ditt er integrert i Control Hub, arver Webex-nettstedet brukeradministrasjonen. Hvis du ikke får tilgang til Webex Meetings på denne måten, og det ikke administreres i Control Hub, må du gjøre en separat integrasjon for å aktivere SSO for Webex Meetings.

Avhengig av hva som er konfigurert i autentiseringsmekanismene i ADFS, kan integrert Windows-autentisering (IWA) aktiveres som standard. Hvis aktivert, autentiseres programmer som startes via Windows (som Webex-appen og Cisco Directory Connector) som brukeren som er logget på, uavhengig av hvilken e-postadresse som oppgis under den første e-postforespørselen.

Last ned Webex-metadataene til ditt lokale system

1

Logg inn på Kontrollhub.

2

Gå til Ledelse > Sikkerhet > Autentisering.

3

Gå til fanen Identitetsleverandør og klikk på Aktiver SSO.

4

Velg en IdP.

5

Velg sertifikattypen for organisasjonen din:

  • Selvsignert av Cisco– Vi anbefaler dette valget. La oss signere sertifikatet, slik at du bare trenger å fornye det hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– Sikrere, men du må ofte oppdatere metadataene (med mindre IdP-leverandøren din støtter tillitsankere).

Tillitsankere er offentlige nøkler som fungerer som en autoritet for å verifisere sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se IdP-dokumentasjonen din.

6

Last ned metadatafilen.

Filnavnet for Webex-metadata er idb-meta-<org-ID>-SP.xml.

Installer Webex-metadata i ADFS

Før du begynner

Control Hub støtter ADFS 2.x eller nyere.

Windows 2008 R2 inkluderer bare ADFS 1.0. Du må installere minst ADFS 2.x fra Microsoft.

For SSO- og Webex-tjenester må identitetsleverandører (IdP-er) overholde følgende SAML 2.0-spesifikasjon:

  • Sett NameID Format-attributtet til urn:oasis:names:tc:SAML:2.0:nameid-format:forbigående

  • Konfigurer et krav på IdP-en til å inkludere attributtnavnet uid med en verdi som er tilordnet attributtet som er valgt i Cisco Directory Connector eller brukerattributtet som samsvarer med det som er valgt i Webex-identitetstjenesten. (Dette attributtet kan for eksempel være E-postadresser eller Brukernavn.) Se informasjonen om tilpassede attributter i https://www.cisco.com/go/hybrid-services-directory for veiledning.

1

Logg på ADFS-serveren med administratorrettigheter.

2

Åpne ADFS-administrasjonskonsollen og bla til Klareringsforhold > Tillitsavtaler for pårørende > Legg til tillit for avhengig part.

3

Fra vinduet Veiviser for legge til tillitsvalgt part velger du Start.

4

For Velg datakilde velg Importer data om den avhengige parten fra en fil, bla til Control Hub-metadatafilen du lastet ned, og velg Neste.

5

For Angi visningsnavnoppretter du et visningsnavn for denne tilliten til denne avhengige parten, for eksempel Webex og velger Neste.

6

For Velg utstedelsesautorisasjonsregler, velg Tillat alle brukere tilgang til denne avhengige parten, og velg Neste.

7

For Klar til å legge til tillitvelger du Neste og fullfører tilføyelsen av den avhengige tilliten til ADFS.

Opprett kravregler for Webex-autentisering

1

I hovedruten for ADFS velger du tillitsforholdet du opprettet, og deretter velger du Rediger kravregler. I fanen Regler for utstedelsestransformasjon velger du Legg til regel.

2

I trinnet Velg regeltype velger du Send LDAP-attributter som kravog deretter Neste.

  1. Skriv inn et Navn på kravregel.

  2. Velg Active Directory som attributtlager.

  3. Tilordne LDAP-attributtet E-mail-Addresses til den utgående kravtypen uid.

    Denne regelen forteller ADFS hvilke felt som skal tilordnes til Webex for å identifisere en bruker. Stave de utgående kravtypene nøyaktig som vist.

  4. Lagre endringene dine.

3

Velg Legg til regel på nytt, velg Send krav ved hjelp av en tilpasset regel, og velg deretter Neste.

Denne regelen gir ADFS attributtet «spname-kvalifikator» som Webex ellers ikke tilbyr.

  1. Åpne teksteditoren din og kopier følgende innhold.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Erstatt URL1 og URL2 i teksten som følger:

    • URL1 er enhets-ID-en fra ADFS-metadatafilen du lastet ned.

      For eksempel er følgende et eksempel på hva du ser: http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopier bare enhets-ID-en fra ADFS-metadatafilen og lim den inn i tekstfilen for å erstatte URL1.

    • URL2 er på den første linjen i Webex-metadatafilen du lastet ned.

      For eksempel er følgende et eksempel på hva du ser: https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopier bare enhets-ID-en fra Webex-metadatafilen og lim den inn i tekstfilen for å erstatte URL2.

  2. Med de oppdaterte URL-ene, kopier regelen fra tekstredigeringsprogrammet ditt (starter på "c:") og lim den inn i den tilpassede regelboksen på ADFS-serveren din.

    Den ferdige regelen skal se slik ut:

  3. Velg Fullfør for å opprette regelen, og lukk deretter vinduet Rediger kravregler.

4

Velg Relying Party Trust i hovedvinduet, og velg deretter Properties i høyre rute.

5

Når Egenskaper-vinduet vises, bla til fanen Avansert] SHA-256 og velg deretter OK for å lagre endringene.

6

Bla til følgende URL på den interne ADFS-serveren for å laste ned filen: https:// <AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Du må kanskje høyreklikke på siden og vise kildekoden for å få den riktig formaterte XML-filen.

7

Lagre filen på din lokale maskin.

Hva du skal gjøre nå

Du er klar til å importere ADFS-metadataene tilbake til Webex fra administrasjonsportalen.

Importer IdP-metadataene og aktiver enkel pålogging etter en test

Etter at du har eksportert Webex-metadataene, konfigurert IdP-en din og lastet ned IdP-metadataene til det lokale systemet ditt, er du klar til å importere dem til Webex-organisasjonen din fra Control Hub.

Før du begynner

Ikke test SSO-integrasjon fra identitetsleverandørgrensesnittet (IdP). Vi støtter bare tjenesteleverandørinitierte (SP-initierte) flyter, så du må bruke Control Hub SSO-testen for denne integrasjonen.

1

Velg én:

  • Gå tilbake til Control Hub – siden for valg av sertifikat i nettleseren din, og klikk deretter på Neste.
  • Åpne Kontrollhuben på nytt hvis den ikke lenger er åpen i nettleserfanen din. Fra kundevisningen i Control Hub går du til Administrasjon > Sikkerhet > Autentisering, velg IdP-en, og velg deretter Handlinger > Importer metadata.
2

På siden Importer IdP-metadata, dra og slipp IdP-metadatafilen til siden eller bruk filutforskeralternativet til å finne og laste opp metadatafilen. Klikk på Neste.

Du bør bruke alternativet Sikrere hvis du kan. Dette er bare mulig hvis IdP-en din brukte en offentlig CA til å signere metadataene sine.

I alle andre tilfeller må du bruke alternativet Mindre sikkert. Dette inkluderer hvis metadataene ikke er signert, selvsignert eller signert av en privat CA.

Okta signerer ikke metadataene, så du må velge Mindre sikker for en Okta SSO-integrasjon.

3

Velg Test SSO-oppsett, og når en ny nettleserfane åpnes, autentiser med IdP-en ved å logge på.

Hvis du får en autentiseringsfeil, kan det være et problem med påloggingsinformasjonen. Sjekk brukernavn og passord og prøv på nytt.

En Webex-appfeil betyr vanligvis et problem med SSO-oppsettet. I dette tilfellet går du gjennom trinnene på nytt, spesielt trinnene der du kopierer og limer inn Control Hub-metadataene i IdP-oppsettet.

For å se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavlen fra denne skjermen og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom påloggingen med SSO. Dette trinnet stopper falske positiver på grunn av et tilgangstoken som kan være i en eksisterende økt fra deg som er logget på.

4

Gå tilbake til nettleserfanen i Control Hub.

  • Hvis testen var vellykket, velg Vellykket test. Slå på SSO og klikk på Neste.
  • Hvis testen var mislykket, velg Mislykket test. Slå av SSO og klikk på Neste.

SSO-konfigurasjonen trer ikke i kraft i organisasjonen din med mindre du velger den første alternativknappen og aktiverer SSO.

Hva du skal gjøre nå

Bruk prosedyrene i Synkroniser Okta-brukere med Cisco Webex Control Hub hvis du vil utføre brukerklargjøring fra Okta til Webex-skyen.

Bruk prosedyrene i Synkroniser Azure Active Directory-brukere med Cisco Webex Control Hub hvis du vil utføre brukerklargjøring fra Azure AD til Webex-skyen.

Du kan følge prosedyren i Undertrykk automatiserte e-poster for å deaktivere e-poster som sendes til nye Webex-appbrukere i organisasjonen din. Dokumentet inneholder også beste praksis for å sende ut kommunikasjon til brukere i organisasjonen din.

Oppdater Webex-pålitelig parts tillit i ADFS

Denne oppgaven handler spesifikt om å oppdatere ADFS med nye SAML-metadata fra Webex. Det finnes relaterte artikler hvis du trenger å konfigurere SSO med ADFS, eller hvis du trenger å oppdatere (en annen) IdP med SAML-metadata for et nytt Webex SSO-sertifikat.

Før du begynner

Du må eksportere SAML-metadatafilen fra Control Hub før du kan oppdatere Webex Relying Party Trust i ADFS.

1

Logg på ADFS-serveren med administratorrettigheter.

2

Last opp SAML-metadatafilen fra Webex til en midlertidig lokal mappe på ADFS-serveren, f.eks. //ADFS_servername/temp/idb-meta--SP.xml.

3

Åpne Powershell.

4

Kjør Get-AdfsRelyingPartyTrust for å lese alle tillitsvalgte parter.

Merk deg parameteren TargetName for Webex-pålitelig parts tillit. Vi bruker eksemplet «Webex», men det kan være annerledes i ADFS-en din.

5

Kjør Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Sørg for å erstatte filnavnet og målnavnet med de riktige verdiene fra miljøet ditt.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Hvis du har lastet ned Webex SP 5-årssertifikatet og har tilbakekalling av signerings- eller krypteringssertifikat aktivert, må du kjøre disse to kommandoene: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Logg på Control Hub, og test deretter SSO-integrasjonen:

  1. Gå til Ledelse > Sikkerhet > Autentisering.

  2. I fanen Identitetsleverandør går du til IdP-en og klikker på Mer meny

  3. Velg Test-IdP.

  4. Test SSO-tilkoblingen før du aktiverer den. Dette trinnet fungerer som en prøveperiode og påvirker ikke organisasjonsinnstillingene dine før du aktiverer SSO i neste trinn.

    For å se SSO-påloggingsopplevelsen direkte, kan du også klikke på Kopier URL til utklippstavlen fra denne skjermen og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom påloggingen med SSO. Dette bidrar til å fjerne all informasjon som er lagret i nettleseren din og som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

  5. Logg inn for å fullføre testen.

ADFS-feilsøking

ADFS-feil i Windows-logger

I Windows-loggene kan du se en ADFS-hendelsesloggfeilkode 364. Hendelsesdetaljene identifiserer et ugyldig sertifikat. I disse tilfellene har ikke ADFS-verten lov til å validere sertifikatet gjennom brannmuren på port 80.

Det oppsto en feil under forsøk på å bygge sertifikatkjeden for den avhengige partens tillit

Når du oppdaterer SSO-sertifikatet, kan du få denne feilen når du logger på: Invalid status code in response.

Hvis du ser denne feilen, sjekk hendelsesvisningsloggene på ADFS-serveren og se etter følgende feil: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mulige årsaker er at sertifikatet ble tilbakekalt, sertifikatkjeden ikke kunne bekreftes som angitt av innstillingene for tilbakekalling av krypteringssertifikat for den pålitelige partens tillit, eller at sertifikatet ikke er innenfor gyldighetsperioden.

Hvis denne feilen oppstår, må du kjøre kommandoene Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/ -EncryptionCertificateRevocationCheck None

Forbunds-ID

Federation-ID-en skiller mellom store og små bokstaver. Hvis dette er organisasjonens e-postadresse, skriv den inn nøyaktig slik ADFS sender den, ellers finner ikke Webex den samsvarende brukeren.

En tilpasset kravregel kan ikke skrives for å normalisere LDAP-attributtet før den sendes.

Importer metadataene dine fra ADFS-serveren du har konfigurert i miljøet ditt.

Du kan bekrefte URL-en om nødvendig ved å gå til Tjeneste > Endepunkter > Metadata > Type:Federation Metadata i ADFS-administrasjon.

Tidssynkronisering

Sørg for at systemklokken på ADFS-serveren er synkronisert med en pålitelig tidskilde på Internett som bruker Network Time Protocol (NTP). Bruk følgende PowerShell-kommando for å skjeve klokken kun for Webex Relying Party Trust-forholdet.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Den heksadesimale verdien er unik for miljøet ditt. Vennligst erstatt verdien fra SP EntityDescriptor ID-verdien i Webex-metadatafilen. For eksempel: