Logowanie jednokrotne i Control Hub

Logowanie jednokrotne (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do co najmniej jednej aplikacji. Proces ten uwierzytelnia użytkowników dla wszystkich aplikacji, do których mają prawa. Eliminuje to dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.

Protokół federacyjny SAML 2.0 (Security Assertion Markup Language) służy do uwierzytelniania jednokrotnego między chmurą Webex a dostawcą tożsamości (IdP).

Profile

Aplikacja Webex app obsługuje tylko profil logowania jednokrotnego w przeglądarce internetowej. W profilu logowania jednokrotnego przeglądarki internetowej aplikacja Webex App obsługuje następujące powiązania:

  • Skojarzonie POST -> POST inicjowane przez SP

  • Skojarzonie REDIRECT -> POST zainicjowane przez SP

Format NameID

Protokół SAML 2.0 obsługuje kilka formatów NameID służących do komunikowania się o określonym użytkowniku. Aplikacja Webex app obsługuje następujące formaty NameID.

  • urn:oaza:nazwy:tc:SAML:2.0:format nazwy:transient

  • urn:oaza:names:tc:SAML:1.1:format nazwy:nieokreślony

  • urn:oaza:names:tc:SAML:1.1:format nazwy:emailAddress

W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w Webex.

SingleLogout

Aplikacja Webex obsługuje pojedynczy profil wylogowania. W aplikacji Webex użytkownikmoże wylogować się z aplikacji, która używa protokołu pojedynczego wylogowania SAML do zakończenia sesji i potwierdzenia wylogowania przy użyciu dostawcy tożsamości. Upewnij się, że dostawca tożsamości jest skonfigurowany do obsługi SingleLogout.

Integracja centrum sterowania z programem ADFS

Przewodniki konfiguracji pokazują konkretny przykład integracji logowania jednokrotnego, ale nie zawierają wyczerpującej konfiguracji dla wszystkich możliwości. Na przykład kroki integracji dla formatu nameid urn:oasis:names:tc:SAML:2.0:nameid-format:transient są udokumentowane . Inne formaty, takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified lub urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania jednokrotnego, ale wykraczają poza zakres naszej dokumentacji.

Skonfiguruj tę integrację dla użytkowników w organizacji Webex (w tym Webex App, Webex Meetingsi innych usług administrowanych w Control Hub). Jeśli witryna webex jest zintegrowana z centrum sterowania, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Webex Meetings w ten sposób i nie jest on zarządzany w Control Hub, musisz wykonać oddzielną integrację, aby włączyć logowanie jednokrotne dla SpotkańWebex. (Zobacz Konfigurowanie logowania jednokrotnego dla usługi Webex, aby uzyskać więcej informacji na temat integracji logowania jednokrotnego w administracji witryną.)

W zależności od konfiguracji mechanizmów uwierzytelniania w programie ADFS zintegrowane uwierzytelnianie systemu Windows (IWA) może być domyślnie włączone. Jeśli ta opcja jest włączona, aplikacje uruchamiane za pośrednictwem systemu Windows (takie jak Webex App i Cisco Directory Connector) uwierzytelniają się jako zalogowany użytkownik, niezależnie od tego, jaki adres e-mail zostanie wprowadzony podczas początkowego monitu wiadomości e-mail.

Pobierz metadane Webex do systemu lokalnego

1

Z widoku klienta w https://admin.webex.commenu Przejdź do pozycji Zarządzanie > Ustawieniaorganizacji, a następnie przewiń do pozycji Uwierzytelnianie, a następnie włącz ustawienie logowania jednokrotnego , aby uruchomić kreatora instalacji.

2

Wybierz typ certyfikatu dla swojej organizacji:

  • Podpis własny Cisco — zalecamy tę opcję. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisany przez publiczny urząd certyfikacji — bezpieczniejszy, ale będzie wymagane częste aktualizowanie metadanych (chyba że dostawca tożsamości obsługuje kotwice zaufania).

Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

3

Pobierz plik metadanych.

Nazwa pliku metadanych Webex to idb-meta--SP.xml.

Instalowanie metadanych Webex w programie ADFS

Przed rozpoczęciem

Control Hub obsługuje program ADFS 2.x lub nowszy.

System Windows 2008 R2 zawiera tylko program ADFS 1.0. Należy zainstalować co najmniej program ADFS 2.x firmy Microsoft.

W przypadku usług logowania jednokrotnego i webex dostawcy tożsamości (IdPs) muszą być zgodni z następującą specyfikacją SAML 2.0:

  • Ustaw atrybut formatu identyfikatora nazwy na urn:oasis:names:tc:SAML:2.0:nameid-format:przemijający

  • Skonfiguruj zgłoszenie u dostawcy tożsamości, aby zawierało nazwę atrybutu uid z wartością zamapowaną na atrybut wybrany w Cisco Directory Connector lub na atrybut użytkownika zgodny z atrybutem wybranym w usłudze tożsamości Webex. (Tym atrybutem może być na przykład adres e-mail lub nazwa główna użytkownika) Wskazówki można znaleźć w informacjach o atrybucie niestandardowym w https://www.cisco.com/go/hybrid-services-directory celu uzyskania wskazówek.

1

Zaloguj się do serwera ADFS z uprawnieniami administratora.

2

Otwórz konsolę zarządzania programu ADFS i przejdź do pozycji Relacje zaufania > relacje zaufania jednostki uzależnionej > Dodaj zaufanie jednostki uzależnionej.

3

W oknie Kreator dodawania zaufania jednostki uzależnionej wybierz pozycję Uruchom.

4

W polu Wybierz źródło danych wybierz opcję Importuj dane o podmiocie zależnym z pliku, przejdź do pobranego pliku metadanych Control Hub i wybierz opcję Dalej.

5

W polu Określ nazwę wyświetlaną utwórz nazwę wyświetlaną dla tego zaufania jednostki zależnej, takiego jak Webex , i wybierz opcję Dalej.

6

W obszarze Wybierz reguły autoryzacji wystawianiawybierz pozycję Zezwalaj wszystkim użytkownikom na dostęp do tej jednostki uzależnionej,a następnie wybierz pozycję Dalej.

7

W obszarze Dododania zaufania wybierz pozycję Dalej i zakończ dodawanie zaufania polegającego do programu ADFS.

Tworzenie reguł dotyczących uszczeń dla uwierzytelniania Webex

1

W głównym okienku programu ADFS wybierz utworzoną relację zaufania, a następnie wybierz pozycję Edytuj reguły dotyczących uszczelności. Na karcie Reguły przekształcania wystawiania wybierz pozycję Dodaj regułę.

2

W kroku Wybierz typ reguły wybierz opcję Wyślij atrybuty LDAP jako oświadczenia, a następnie wybierz pozycję Dalej.

  1. Wprowadź nazwę reguły roszczenia.

  2. Wybierz usługę Active Directory jako magazyn atrybutów.

  3. Zamapuj atrybut LDAP Adresy e-mail na typ oświadczenia wychodzącego uid.

    Ta reguła informuje program ADFS, które pola mają być mapowanie na Webex w celu zidentyfikowania użytkownika. Przeliteruj typy ujmów wychodzących dokładnie tak, jak pokazano.

  4. Zapisz zmiany.

3

Ponownie wybierz pozycję Dodaj regułę, wybierz pozycję Wyślij oświadczenia przy użyciu reguły niestandardowej, a następnie wybierz pozycję Dalej .

Ta reguła udostępnia programowi ADFS atrybut "spname qualifier", którego Webex nie udostępnia w inny sposób.

  1. Otwórz edytor tekstu i skopiuj następującą zawartość.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Zastąp adresy URL1 i URL2 w tekście w następujący sposób:

    • URL1 to identyfikator obiektu z pobranego pliku metadanych programu ADFS.

      Na przykład poniższy przykład tego, co widzisz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Skopiuj tylko identyfikator jednostki z pliku metadanych programu ADFS i wklej go w pliku tekstowym, aby zastąpić adres URL1

    • Adres URL2 znajduje się w pierwszym wierszu pobranego pliku metadanych Webex.

      Na przykład poniższy przykład tego, co widzisz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Skopiuj tylko entityID z pliku metadanych Webex i wklej go w pliku tekst, aby zastąpić ADRES URL2.

  2. Po zaktualizowaniu adresów URL skopiuj regułę z edytora tekstu (zaczynając od "c:") i wklej ją do pola reguły niestandardowej na serwerze ADFS.

    Wypełniona reguła powinna wyglądać tak:

  3. Wybierz pozycję Zakończ, aby utworzyć regułę, a następnie zamknij okno Edytowanie reguł dotyczących uszczelności.

4

Wybierz pozycję Zaufanie jednostki uzależnionej w oknie głównym, a następnie wybierz pozycję Właściwości w prawym okienku.

5

Po wyświetleniu okna Właściwości przejdź do karty Zaawansowane, SHA-256, a następnie wybierz przycisk OK, aby zapisać zmiany.

6

Przejdź do następującego adresu URL na wewnętrznym serwerze ADFS, aby pobrać plik: https://<Serwer_AD_FS>/FederationMetadata/2007-06/FederationMetadata.xml

Może być konieczne kliknięcie prawym przyciskiem myszy strony i wyświetlenie źródła strony, aby uzyskać poprawnie sformatowany plik XML.

7

Zapisz plik na komputerze lokalnym.

Co dalej?

Możesz zaimportować metadane programu ADFS z powrotem do webex z portalu zarządzania.

Importowanie metadanych dostawcy tożsamości i włączanie logowania jednokrotnego po teście

Po wyeksportowaniu metadanych Webex , skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego można przystąpić do importowania ich do organizacji Webex z centrum sterowania.

Przed rozpoczęciem

Nie testuj integracji logowania jednokrotnego z interfejsu dostawcy tożsamości (IdP). Obsługujemy tylko przepływy inicjowane przez dostawcę usług (inicjowane przez dostawcę usług), więc do tej integracji należy użyć testu logowania jednokrotnego usługi Control Hub .

1

Wybierz jedną z nich:

  • Wróć do strony wyboru certyfikatu Control Hub w przeglądarce, a następnie kliknij przycisk Dalej.
  • Jeśli na karcie przeglądarki nie jest już otwarty program Control Hub, w widoku klienta na stronie https://admin.webex.com wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do pozycji Uwierzytelnianie, a następnie wybierz kolejno opcje Działania > Importuj metadane.
2

Na stronie Importowanie metadanych dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby zlokalizować i przekazać plik metadanych. Kliknij przycisk Dalej.

Jeśli możesz, powinieneś użyć opcji Bardziej bezpieczne . Jest to możliwe tylko wtedy, gdy dostawca tożsamości użył publicznego urzędu certyfikacji do podpisania swoich metadanych.

We wszystkich innych przypadkach należy użyć opcji Mniej bezpieczne . Dotyczy to również sytuacji, gdy metadane nie są podpisane, podpisane samodzielnie lub podpisane przez prywatny urząd certyfikacji.

Okta nie podpisuje metadanych, więc musisz wybrać Mniej bezpieczne dla integracji logowania jednokrotnego Okta.

3

Wybierz opcję Testuj konfigurację jednokrotnego logowania, a po otwarciu nowej karty przeglądarki uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.

Jeśli zostanie wyświetlony błąd uwierzytelniania, może to oznaczać problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło i spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją logowania jednokrotnego. W takim przypadku należy ponownie wykonać kroki, zwłaszcza kroki, w których kopiujesz i wklejasz metadane centrum sterowania do konfiguracji dostawcy tożsamości.

Aby bezpośrednio wyświetlić środowisko logowania SSO, można również kliknąć na tym ekranie opcję Skopiuj adres URL do schowka i wkleić skopiowany adres w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Ten krok zatrzymuje fałszywe alarmy z powodu tokenu dostępu, który może znajdować się w istniejącej sesji po zalogowaniu.

4

Wróć do karty przeglądarki Control Hub .

  • Jeśli test zakończył się pomyślnie, wybierz opcję Test pomyślny. Włącz logowanie jednokrotne i kliknij przycisk Dalej.
  • Jeśli test zakończył się niepowodzeniem, wybierz opcję Test nieudany. Wyłącz logowanie jednokrotne i kliknij przycisk Dalej.

Konfiguracja logowania jednokrotnego nie zostanie zastosowana w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz logowanie jednokrotne.

Co dalej?

Skorzystaj z procedur opisanych w temacie Synchronize Okta Users into Cisco Webex Control Hub (Synchronizuj użytkowników z usługą Okta z cisco Webex Control Hub ), jeśli chcesz przeprowadzić aprowizację użytkowników z okta do chmury Webex.

Skorzystaj z procedur opisanych w artykule Synchronizacja użytkowników usługi Azure Active Directory z centrum sterowania Cisco Webex, jeśli chcesz przeprowadzić obsługę administracyjną użytkowników z usługi Azure AD w chmurze Webex.

Możesz wykonać procedurę opisaną w części Pomijaj automatyczne wiadomości e-mail , aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w Twojej organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Aktualizowanie zaufania jednostki uzależnionej Webex w programie ADFS

To zadanie dotyczy w szczególności aktualizacji programu ADFS o nowe metadane SAML z Webex. Istnieją pokrewne artykuły, jeśli chcesz skonfigurować logowanie jednokrotne za pomocą programu ADFSlub jeśli chcesz zaktualizować (innego) dostawcę tożsamości za pomocą metadanych SAML dla nowego certyfikatulogowania jednokrotnego Webex.

Przed rozpoczęciem

Przed aktualizacją zaufania jednostki uzależnionej Webex w programie ADFS należy wyeksportować plik metadanych SAML z Control Hub.

1

Zaloguj się do serwera ADFS z uprawnieniami administratora.

2

Prześlij plik metadanych SAML z usługi Webex do tymczasowego folderu lokalnego na serwerze ADFS, np. //ADFS_servername/temp/idb-meta--SP.xml.

3

Otwórz program Powershell.Open Powershell.

4

Uruchom Get-AdfsRelyingPartyTrust , aby odczytać wszystkie relacje zaufania stron zależnych.

Zwróć uwagę na parametr TargetName zaufania jednostki uzależnionej Webex. Używamy przykładu "Webex", ale może być inaczej w programie ADFS.

5

Uruchom Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName „Webex.

Pamiętaj, aby zastąpić nazwę pliku i nazwę obiektu docelowego poprawnymi wartościami ze środowiska.

Zobacz https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Jeśli po pobraniu certyfikatu Webex SP 5 lat i masz włączone podpisywanie lub odwoływanie certyfikatów szyfrowania, musisz uruchomić następujące dwa polecenia: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName „Webex.

6

Zaloguj się do centrum sterowania, a następnie przetestuj integrację logowania jednokrotnego:

  1. Przejdź do obszaru Zarządzanie > ustawienia organizacji, przewiń do kategorii Uwierzytelnianiei włącz ustawienie Logowanie jednokrotne, aby uruchomić kreatora konfiguracji.

  2. Kliknij przycisk Dalej , aby pominąć stronę Importowanie metadanych dostawcy tożsamości.

    Nie musisz powtarzać tego kroku, ponieważ wcześniej zaimportowano metadane dostawcy tożsamości.

  3. Przetestuj połączenie logowania jednokrotnego przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.

    Aby bezpośrednio wyświetlić środowisko logowania SSO, można również kliknąć na tym ekranie opcję Skopiuj adres URL do schowka i wkleić skopiowany adres w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

  4. Zaloguj się, aby ukończyć test.

Rozwiązywanie problemów z programem ADFS

Błędy programu ADFS w dziennikach systemu Windows

W dziennikach systemu Windows może być wyświetlany kod błędu 364 dziennika zdarzeń programu ADFS. Szczegóły zdarzenia identyfikują nieprawidłowy certyfikat. W takich przypadkach host programu ADFS nie może przejść przez zaporę na porcie 80 w celu sprawdzenia poprawności certyfikatu.

Wystąpił błąd podczas próby utworzenia łańcucha certyfikatów dla zaufania jednostki uzależnionej

Podczas aktualizowania certyfikatu logowania jednokrotnego podczas logowania jednokrotnego może zostać wyświetlony następujący błąd: Nieprawidłowy kod stanu w odpowiedzi.

Jeśli widzisz ten błąd, sprawdź dzienniki Podglądu zdarzeń na serwerze ADFS i poszukaj następującego błędu: Wystąpił błąd podczas próby utworzenia łańcucha certyfikatów dla certyfikatu zaufania jednostki uzależnionejhttps://idbroker.webex.com/<org-ID>' identyfikowanego odciskiem palca „754B9208F1F75C5CC122740F3675C5D129471D80”. Możliwe przyczyny są takie, że certyfikat został odwołany, nie można zweryfikować łańcucha certyfikatów zgodnie z ustawieniami odwołania certyfikatu szyfrowania jednostki uzależnionej lub certyfikat nie jest w okresie ważności.

W przypadku wystąpienia tego błędu należy uruchomić polecenia Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Identyfikator federacji

W identyfikatorze federacji rozróżniana jest wielkość liter. Jeśli jest to adres e-mail organizacji, wprowadź go dokładnie tak, jak wysyła go program ADFS, w przeciwnym razie firma Webex nie może znaleźć pasującego użytkownika.

Nie można napisać niestandardowej reguły oświadczenia w celu znormalizowania atrybutu LDAP przed jego wysłaniem.

Zaimportuj metadane z serwera ADFS skonfigurowanego w środowisku.

W razie potrzeby adres URL można zweryfikować, przechodząc do strony Punkty końcowe usługi > > metadanych > Type:Federation Metadata w przyrządzie programu ADFS.

Synchronizacja czasu

Upewnij się, że zegar systemowy serwera ADFS jest zsynchronizowany z niezawodnym internetowym źródłem czasu korzystanym z protokołu NTP (Network Time Protocol). Użyj następującego polecenia programu PowerShell, aby pochylić zegar tylko dla relacji zaufania jednostki uzależnionej Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Wartość szesnastkowa jest unikatowa dla twojego środowiska. Zastąp wartość z wartości SP EntityDescriptor ID w pliku metadanych Webex. Na przykład:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadane" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">