Logowanie jednokrotne i Control Hub

Jednokrotne logowanie (SSO) to proces uwierzytelniania sesji lub użytkownika, który umożliwia użytkownikowi podanie poświadczeń w celu uzyskania dostępu do jednej lub większej liczby aplikacji. Proces uwierzytelnia użytkowników we wszystkich aplikacjach, do których mają uprawnienia. Eliminuje dalsze monity, gdy użytkownicy przełączają aplikacje podczas określonej sesji.

Protokół federacyjny języka SAML 2.0 (Security Assertion Markup Language) służy do zapewniania uwierzytelniania SSO między chmurą Webex a dostawcą tożsamości (IdP).

Profile

Aplikacja Webex obsługuje tylko profil SSO przeglądarki internetowej. W profilu SSO przeglądarki internetowej aplikacja Webex App obsługuje następujące powiązania:

  • SP zainicjował test POST -> wiązanie testu POST

  • SP zainicjował PRZEKIEROWANIE -> wiązanie POST

Format identyfikatora nazwy

Protokół SAML 2.0 obsługuje kilka formatów NameID do komunikacji z określonym użytkownikiem. Aplikacja Webex obsługuje następujące formaty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

W metadanych ładowanych od dostawcy tożsamości pierwszy wpis jest skonfigurowany do użycia w aplikacji Webex.

SingleLogout

Aplikacja Webex obsługuje profil jednokrotnego wylogowania. W aplikacji Webex użytkownik może wylogować się z aplikacji, która korzysta z pojedynczego protokołu SAML, aby zakończyć sesję i potwierdzić wylogowanie za pomocą dostawcy tożsamości. Upewnij się, że usługa IdP jest skonfigurowana dla funkcji SingleLogout.

Integracja Control Hub z ADFS


 

Przewodniki konfiguracyjne przedstawiają konkretny przykład integracji logowania SSO, ale nie zawierają wyczerpującej konfiguracji obejmującej wszystkie możliwości. Na przykład etapy integracji dotyczące formatu nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient zostały udokumentowane. Inne formaty takie jak urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress będą działać w przypadku integracji logowania SSO, ale wykraczają poza zakres naszej dokumentacji.

Skonfiguruj tę integrację dla użytkowników w organizacji Webex (w tym aplikacji Webex , Webex Meetings i innych usług administrowanych w Control Hub). Jeśli witryna Webex jest zintegrowana z Control Hub, witryna Webex dziedziczy zarządzanie użytkownikami. Jeśli nie możesz uzyskać dostępu do Webex Meetings w ten sposób i nie jest to zarządzane w Control Hub, musisz przeprowadzić oddzielną integrację, aby włączyć SSO dla Webex Meetings. (Patrz Konfigurowanie jednokrotnego logowania dla Webex Aby uzyskać więcej informacji na temat integracji SSO w administracji witryny).

W zależności od tego, co jest skonfigurowane w mechanizmach uwierzytelniania w ADFS, zintegrowane uwierzytelnianie systemu Windows (IWA) może być domyślnie włączone. Jeśli ta opcja jest włączona, aplikacje uruchamiane za pośrednictwem systemu Windows (takie jak aplikacja Webex i Cisco Directory Connector) uwierzytelniają się jako użytkownik, który się zalogował, niezależnie od tego, jaki adres e-mail został wprowadzony podczas początkowego monitu e-mail.

Pobierz metadane Webex do systemu lokalnego

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , a następnie przewiń do Uwierzytelnianie , a następnie włącz Jednokrotne logowanie ustawienia, aby uruchomić kreatora konfiguracji.

2

Wybierz typ certyfikatu dla swojej organizacji:

  • Z podpisem własnym Cisco — Zalecamy ten wybór. Pozwól nam podpisać certyfikat, abyś mógł go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji — Bezpieczniejsze, ale konieczne jest częste aktualizowanie metadanych (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

 

Kotwice zaufania to klucze publiczne, które pełnią funkcję autoryzacji weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

3

Pobierz plik metadanych.

Nazwa pliku metadanych Webex to idb-meta-<org-ID> -SP.xml .

Instalowanie metadanych Webex w ADFS

Przed rozpoczęciem

Control Hub obsługuje ADFS 2.x lub nowszy.

Windows 2008 R2 zawiera tylko ADFS 1.0. Musisz zainstalować co najmniej ADFS 2.x z firmy Microsoft.

W przypadku usług SSO i Webex dostawcy tożsamości muszą spełniać następujące wymagania specyfikacji SAML 2.0:

  • Ustaw atrybut formatu identyfikatora nazwy na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Skonfiguruj roszczenie w dostawcy tożsamości, aby zawierało nazwę atrybutu uid o wartości zmapowanej na atrybut wybrany w łączniku usług katalogowych Cisco lub atrybut użytkownika zgodny z tym, który został wybrany w usłudze tożsamości Webex. (Tym atrybutem może być na przykład adres e-mail lub nazwa główna użytkownika). Aby uzyskać wskazówki, zobacz informacje o atrybutach niestandardowych https://www.cisco.com/go/hybrid-services-directory.

1

Zaloguj się do serwera ADFS z uprawnieniami administratora.

2

Otwórz konsolę zarządzania ADFS i przejdź do Relacje zaufania > Zaufanie stron > Dodaj Zaufanie stron.

3

W oknie Dodaj kreatora zaufania partyjnego wybierz Start.

4

W celu wybrania źródła danych wybierz opcję Importuj dane o stronie polegającej z pliku, przejdź do pobranego pliku metadanych Control Hub i wybierz opcję Dalej.

5

W celu Określenia nazwy wyświetlanej utwórz nazwę wyświetlaną dla tego zaufania partyjnego, takiego jak Webex, i wybierz opcję Dalej.

6

Aby wybrać reguły autoryzacji emisji, wybierz opcję Zezwalaj wszystkim użytkownikom na dostęp do tej strony polegającej, a następnie wybierz opcję Dalej.

7

Aby Gotowe do dodania zaufania, wybierz Następny i zakończyć dodawanie zaufania polegającego do ADFS.

Utwórz reguły reklamacji dla uwierzytelniania Webex

1

W głównym okienku ADFS wybierz utworzoną relację zaufania, a następnie wybierz opcję Edytuj reguły reklamacji. Na karcie Reguły zmiany emisji wybierz opcję Dodaj regułę.

2

W kroku Wybierz typ reguły wybierz opcję Wyślij atrybuty LDAP jako roszczenia, a następnie wybierz Dalej.

  1. Wprowadź nazwę reguły roszczenia.

  2. Wybierz Active Directory jako sklep z atrybutami.

  3. Mapuj atrybut E-mail-Adresses LDAP do identyfikatora wychodzącego typu reklamacji.

    Ta reguła informuje ADFS, które pola mają być mapowane do Webex w celu identyfikacji użytkownika. Wypisuj wychodzące typy zgłoszeń dokładnie tak, jak pokazano.

  4. Zapisz zmiany.

3

Ponownie wybierz opcję Dodaj regułę, wybierz Wyślij reklamacje przy użyciu reguły niestandardowej, a następnie wybierz Dalej.

Ta reguła zapewnia ADFS atrybut „spname qualifier”, którego Webex nie dostarcza w inny sposób.

  1. Otwórz edytor tekstu i skopiuj następującą treść.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Zastąp następujące adresy URL1 i URL2 w tekście:

    • Adres URL1 to identyfikator uprawnień z pobranego pliku metadanych ADFS.

      Na przykład poniżej znajduje się próbka tego, co widzisz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Skopiuj tylko entityID z pliku metadanych ADFS i wklej go do pliku tekstowego, aby zastąpić adres URL1

    • Adres URL2 znajduje się na pierwszej linii w pobranym pliku metadanych Webex.

      Na przykład poniżej znajduje się próbka tego, co widzisz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Skopiuj odpowiedni identyfikator z pliku metadanych Webex i wklej go do pliku tekstowego, aby zastąpić adres URL2.

  2. Za pomocą zaktualizowanych adresów URL skopiuj regułę z edytora tekstu (zaczynając od „c:”) i wklej ją do niestandardowego pola reguł na serwerze ADFS.

    Wypełniona reguła powinna wyglądać następująco:

  3. Wybierz Zakończ , aby utworzyć regułę, a następnie opuść okno Edytuj reguły reklamacji.

4

Wybierz Relying Party Trust w oknie głównym, a następnie wybierz Properties w prawym okienku.

5

Gdy pojawi się okno Właściwości, przejdź do karty Zaawansowane , SHA-256, a następnie wybierz OK , aby zapisać zmiany.

6

Przejdź do następującego adresu URL na wewnętrznym serwerze ADFS, aby pobrać plik: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Może być konieczne kliknięcie prawym przyciskiem myszy strony i wyświetlenie źródła strony, aby uzyskać odpowiednio sformatowany plik XML.

7

Zapisz plik na komputerze lokalnym.

Co zrobić dalej

Możesz zaimportować metadane ADFS z powrotem do Webex z portalu zarządzania.

Zaimportuj metadane dostawcy tożsamości i włącz jednokrotne logowanie po teście

Po wyeksportowaniu metadanych Webex , skonfigurowaniu dostawcy tożsamości i pobraniu metadanych dostawcy tożsamości do systemu lokalnego możesz zaimportować je do swojej organizacji Webex z Control Hub.

Przed rozpoczęciem

Nie należy testować integracji SSO z interfejsu dostawcy tożsamości (IdP). Obsługujemy tylko przepływy zainicjowane przez dostawcę usług (inicjowane przez dostawcę usług), dlatego w przypadku tej integracji należy użyć testu SSO w usłudze Control Hub.

1

Wybierz jedną z nich:

  • Wróć do Control Hub — strona wyboru certyfikatu w przeglądarce, a następnie kliknij Dalej .
  • Jeśli Control Hub nie jest już otwarty na karcie przeglądarki, w widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie , a następnie wybierz Działania > Importuj metadane .
2

Na stronie Importowanie metadanych dostawcy tożsamości przeciągnij i upuść plik metadanych dostawcy tożsamości na stronę lub użyj opcji przeglądarki plików, aby zlokalizować i przesłać plik metadanych. Kliknij przycisk Dalej.

Należy użyć Bardziej bezpieczne opcję, jeśli możesz. Jest to możliwe tylko wtedy, gdy dostawca tożsamości używał publicznego urzędu certyfikacji do podpisywania metadanych.

We wszystkich innych przypadkach należy użyć przycisku Mniej bezpieczne opcja. Dotyczy to również sytuacji, w których metadane nie są podpisane, samopodpisane ani podpisane przez prywatny urząd certyfikacji.


 

Okta nie podpisuje metadanych, więc należy wybrać Mniej bezpieczne dla integracji Okta SSO .

3

Wybierz Przetestuj konfigurację SSO , a po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.


 

Jeśli pojawi się błąd uwierzytelniania, może to oznaczać problem z poświadczeniami. Sprawdź nazwę użytkownika i hasło, a następnie spróbuj ponownie.

Błąd aplikacji Webex zwykle oznacza problem z konfiguracją SSO . W takim przypadku ponownie wykonaj kroki, zwłaszcza te, w których kopiujesz i wklejasz metadane usługi Control Hub do konfiguracji dostawcy tożsamości.


 

Aby bezpośrednio wyświetlić środowisko logowania SSO, można również kliknąć na tym ekranie opcję Skopiuj adres URL do schowka i wkleić skopiowany adres w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Ten krok zatrzymuje fałszywe alarmy z powodu tokenu dostępu, który może znajdować się w istniejącej sesji po zalogowaniu.

4

Wróć do karty przeglądarki Control Hub.

  • Jeśli test zakończył się pomyślnie, wybierz Test zakończony powodzeniem. Włącz SSO i kliknij Dalej .
  • Jeśli test zakończył się niepowodzeniem, wybierz Test nie powiódł się. Wyłącz SSO i kliknij Dalej .

 

Konfiguracja SSO nie zacznie obowiązywać w organizacji, chyba że wybierzesz pierwszy przycisk radiowy i aktywujesz SSO.

Co zrobić dalej

Skorzystaj z procedur opisanych w Synchronizuj użytkowników Okta z Cisco Webex Control Hub jeśli chcesz przeprowadzić obsługę administracyjną użytkowników z Okta do chmury Webex .

Skorzystaj z procedur opisanych w Synchronizowanie użytkowników usługi Azure Active Directory z Cisco Webex Control Hub jeśli chcesz przeprowadzić inicjowanie obsługi administracyjnej użytkowników z usługi Azure AD do chmury Webex .

Możesz postępować zgodnie z procedurą w Wyłącz automatyczne wiadomości e-mail aby wyłączyć wiadomości e-mail wysyłane do nowych użytkowników aplikacji Webex w organizacji. Dokument zawiera również najważniejsze wskazówki dotyczące wysyłania wiadomości do użytkowników w organizacji.

Zaktualizuj zaufanie strony Webex w programie ADFS

To zadanie dotyczy w szczególności aktualizowania programu ADFS przy użyciu nowych metadanych SAML z Webex. Jeśli zajdzie taka potrzeba, istnieją powiązane artykuły skonfiguruj SSO przy użyciu usługi ADFS , lub jeśli trzeba aktualizacja (inny) IdP z metadanymi SAML dla nowego certyfikatu Webex SSO .

Przed rozpoczęciem

Przed aktualizacją zaufania jednostki Webex w programie ADFS należy wyeksportować plik metadanych SAML z usługi Control Hub.

1

Zaloguj się do serwera ADFS z uprawnieniami administratora.

2

Prześlij plik metadanych SAML z Webex do tymczasowego folderu lokalnego na serwerze ADFS, np. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Otwórz program Powershell.

4

Uruchom Get-AdfsRelyingPartyTrust aby przeczytać wszystkie relacje zaufania strony ufającej.

Zwróć uwagę na TargetName parametr zaufania strony Webex . Używamy przykładu „Webex”, ale w programie ADFS może on być inny.

5

Uruchom Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Pamiętaj, aby zastąpić nazwę pliku i nazwę docelową poprawnymi wartościami ze środowiska.

Zobacz https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Jeśli pobrano 5-letni certyfikat Webex SP i masz włączone odwoływanie certyfikatów podpisywania lub szyfrowania, musisz uruchomić te dwa polecenia: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Zaloguj się do Control Hub, a następnie przetestuj integrację SSO :

  1. Przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i włącz Jednokrotne logowanie ustawienia, aby uruchomić kreatora konfiguracji.

  2. Kliknij Dalej , aby pominąć stronę Importowanie metadanych dostawcy tożsamości.

    Nie musisz powtarzać tego kroku, ponieważ wcześniej zaimportowano metadane dostawcy tożsamości.

  3. Przetestuj połączenie SSO przed jego włączeniem. Ten krok działa jak przebieg próbny i nie ma wpływu na ustawienia organizacji, dopóki nie zostanie włączone logowanie SSO w następnym kroku.


     

    Aby bezpośrednio wyświetlić środowisko logowania SSO, można również kliknąć na tym ekranie opcję Skopiuj adres URL do schowka i wkleić skopiowany adres w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

  4. Zaloguj się, aby ukończyć test.

Rozwiązywanie problemów z ADFS

Błędy ADFS w dziennikach systemu Windows

W dziennikach systemu Windows można zobaczyć kod błędu dziennika zdarzeń ADFS 364. Szczegóły zdarzenia identyfikują nieprawidłowy certyfikat. W takich przypadkach host programu ADFS nie może przejść przez zaporę na porcie 80 w celu sprawdzenia poprawności certyfikatu.

Podczas próby zbudowania łańcucha certyfikatów dla zaufanych stron wystąpił błąd.

Podczas aktualizacji certyfikatu logowania jednokrotnego może być wyświetlany ten błąd podczas logowania: Invalid status code in response.

Jeśli zobaczysz ten błąd, sprawdź dzienniki Podgląd zdarzeń na serwerze ADFS i wyszukaj następujący błąd: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Ewentualnymi przyczynami jest to, że certyfikat został cofnięty, łańcuch certyfikatów nie mógł zostać zweryfikowany zgodnie z ustawieniami cofnięcia certyfikatu szyfrowania przez zaufaną stronę lub certyfikat nie znajduje się w okresie ważności.

Jeśli wystąpi ten błąd, należy uruchomić polecenia Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Identyfikator federacji

Identyfikator Federacji jest wrażliwy na wielkość liter. Jeśli jest to Twój organizacyjny adres e-mail, wprowadź go dokładnie tak, jak wysyła go ADFS, lub Webex nie może znaleźć pasującego użytkownika.

Nie można zapisać niestandardowej reguły reklamacji w celu normalizacji atrybutu LDAP przed jego wysłaniem.

Importowanie metadanych z serwera ADFS skonfigurowanego w środowisku.

Adres URL można zweryfikować, jeśli to konieczne, przechodząc do Usługa > Punkty końcowe > Metadane > Typ:Metadane federacyjne w ADFS Management.

Synchronizacja czasu

Upewnij się, że zegar systemowy serwera ADFS jest zsynchronizowany z niezawodnym źródłem czasu internetowego używającym protokołu NTP (Network Time Protocol). Użyj następującego polecenia PowerShell, aby przewinąć zegar tylko dla relacji Webex Relying Party Trust.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Wartość szesnastkowa jest unikatowa dla środowiska. Wymień wartość z identyfikatora EntityDescriptor SP w pliku metadanych Webex. Na przykład:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">