Hub de controle e assinatura única

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de federação Security Assertion Markup Language (SAML 2.0) é usado para fornecer SSO autenticação entre a nuvem Webex e seu provedor de identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de usuário SSO navegador da web. No perfil de usuário do SSO da web, o aplicativo Webex suporta as seguintes ligações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carregar do IdP, a primeira entrada será configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logout único. No aplicativo Webex, um usuário pode finalizar a sessão, que usa o protocolo de logout único SAML para finalizar a sessão e confirmar que finalizou a sessão com o seu IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com o ADFS

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Configurar esta integração para usuários na sua organização Webex ( incluindo Aplicativo Webex, Webex Meetingse outros serviços administrados no Control Hub). Se seu site Webex estiver integrado no Control Hub, o site Webex herda o gerenciamento de usuários. Se não conseguir acessar Webex Meetings dessa maneira e não for gerenciado no Control Hub, você deverá fazer uma integração separada para habilitar o SSO para o Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Dependendo do que estiver configurado nos mecanismos de Autenticação do ADFS, a Autenticação integrada do Windows (IWA) poderá ser habilitada por padrão. Se ativadas, os aplicativos que são lançados através do Windows (como aplicativos Webex e Cisco Conector de diretórios ) autenticam como o usuário que iniciou a autenticação, independentemente do endereço de e-mail que é inserido durante o prompt de e-mail inicial.

Baixe os metadados Webex para o seu sistema local

1

Na exibição do cliente https://admin.webex.comem , vá para Gerenciamento > Configurações da organização, role até Autenticação e, em seguida, alterne na configuração de Logon único para iniciar o assistente de configuração.

2

Escolha o tipo de certificado para sua organização:

  • Autoassinado pela Cisco —Recomendamos essa escolha. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor IdP ofereça suporte a âncoras de confiança).

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex é idb-meta--SP.xml .

Instalar metadados Webex no ADFS

Antes de começar

O Control Hub suporta o ADFS 2.x ou posterior.

O Windows 2008 R2 inclui apenas o ADFS 1.0. Você deve instalar a versão mínima do ADFS 2.x da Microsoft.

Para SSO e Webex, os provedores de identidade (IdPs) devem estar em conformidade com a seguinte especificação SAML 2.0:

  • Defina o atributo de Formato NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transiente

  • Configure uma declaração no IdP para incluir o uid nome do atributo com um valor mapeado para o atributo escolhido no Conector de diretórios da Cisco ou o atributo de usuário que corresponde ao escolhido no serviço de identidade Webex. (Este atributo pode ser Endereços de e-mail ou Nome principal do usuário, por exemplo.) Consulte as informações do atributo personalizado em https://www.cisco.com/go/hybrid-services-directory para obter orientação.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Abra o console de Gerenciamento ADFS e navegue até Relações de confiança > Objetos de confiança da terceira parte confiável > Adicionar objeto de confiança da terceira parte confiável.

3

Na janela Adicionar assistente do objeto de confiança da terceira parte confiável, selecione Iniciar.

4

Para Selecionar fonte de dados selecione Importar dados sobre a parte confiável de um arquivo , navegue até o arquivo de metadados do Control Hub que você baixou e selecione Next .

5

Para Especificar nome de exibição , crie um nome de exibição para esta confiança de terceira parte confiável, como Webex e selecione Next .

6

Em Escolher regras de autorização de emissão, selecione Permitir que todos os usuários acessem esta terceira parte confiável e clique em Próximo.

7

Em Pronto para adicionar o objetivo de confiança, selecione Próximo e termine de adicionar o objetivo de confiança ao ADFS.

Criar regras de reivindicação para autenticação Webex

1

No painel principal do ADFS, selecione a relação de confiança que você criou e clique em Editar regras de declaração. Na guia de Regras de transformação de emissão, selecione Adicionar regra.

2

Na etapa Escolher tipo de regra, selecione Enviar atributos LDAP como declarações e clique em Próximo.

  1. Insira um Nome da regra de declaração.

  2. Selecione Active Directory como o armazenamento de atributos.

  3. Mapeie o atributo LDAP de Endereços de e-mail quanto ao tipo de declaração de saída uid.

    Esta regra informa o ADFS quais campos mapear para o Webex para identificar um usuário. Digite os tipos de declaração de saída exatamente como mostrado.

  4. Salve suas alterações.

3

Clique em Adicionar regra novamente, selecione Enviar declarações usando uma regra personalizada e clique em Próximo.

Esta regra fornece o ADFS com o atributo "qualificador do spname" que a Webex não fornece de outra maneira.

  1. Abra o editor de texto e copie o seguinte conteúdo.

    c:[Tipo == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => problema (tipo = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Emissor = c.Emissor, OriginalIssuer = c.OriginalIssuer, Valor = c.Value, ValueType = c.ValueType, Propriedades["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Propriedades["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Propriedades["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Substitua a URL1 e URL2 no texto da seguinte forma:

    • URL1 é a entityID do arquivo de metadados do ADFS que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_ 55515dde-8147-4183-8a85-b704d26 b5dba">

      Copie apenas a entityID do arquivo de metadados do ADFS e cole-a no arquivo de texto para substituir a URL1

    • URL2 está na primeira linha do arquivo de metadados Webex que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie apenas a ID entidade do arquivo de metadados Webex e o copie no arquivo de texto para substituir o URL2.

  2. Com as URLs atualizadas, copie a regra do editor de texto (começando em "c:") e cole-a na caixa de regra personalizada no servidor ADFS.

    A regra concluída deve ser semelhante a esta:

  3. Selecione Concluir para criar a regra e saia da janela Editar regras de declaração.

4

Selecione Objeto de confiança da terceira parte confiável na janela principal e clique em Propriedades no painel direito.

5

Quando a janela de Propriedades for exibida, navegue até a guia Avançado, SHA-256 e clique em OK para salvar suas alterações.

6

Navegue até a seguinte URL no servidor ADFS interno para baixar o arquivo: https://< AD _ FS _ Server >/FederationMetadata/2007-06/FederationMetadata.xml

Talvez seja necessário clicar com o botão direito do mouse na página e visualizar a fonte da página para obter o arquivo XML formatado corretamente.

7

Salve o arquivo em sua máquina local.

O que fazer em seguida

Você está pronto para importar os metadados ADFS de volta ao Webex do portal de gerenciamento.

Importar os metadados IdP e habilitar registro único um teste

Depois de exportar os metadados Webex , configurar o IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-los para sua organização Webex a partir do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Nós suportamos apenas os fluxos iniciados provedor de serviços (iniciados pelo SP), então você deve usar o Control Hub SSO teste para essa integração.

1

Escolha uma das opções:

  • Retorne ao Control Hub - página de seleção de certificado em seu navegador e, em seguida, clique em Next .
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização, role até Autenticaçãoe então escolha Ações > Importar metadados...
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar a opção Mais segura, se puder. Isso só é possível se o IdP usou uma CA pública para assinar seus metadados.

Em todos os outros casos, você deve usar a opção Menos segura. Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada.

Okta não assina os metadados, então você deve escolher Menos seguro para uma integração okta SSO.

3

Selecione Testar configuração de SSO , e quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Esta etapa para falso positivos devido a um token de acesso que pode estar em uma sessão existente de você ter sido logado.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. A ligue SSO e clique em Próximo.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Desligue a SSO e clique em Próximo.

A SSO organizador não tem efeito em sua organização, a menos que você escolha a botão de opção nome e ative o SSO.

O que fazer em seguida

Use os procedimentos em Sincronizar usuários okta em Cisco Webex Control Hub se você quiser fazer provisionamento de usuário fora do Okta na nuvem Webex.

Use os procedimentos em Sincronizar os Active Directory Azure em Cisco Webex Control Hub se você quiser fazer o provisionamento de usuário do Azure AD na nuvem Webex.

Você pode seguir o procedimento em Suprimir e-mails automáticos para desativar os e-mails enviados aos novos usuários do aplicativo Webex em sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Atualize a confiança confiável do Webex no ADFS

Esta tarefa é especificamente sobre como atualizar o ADFS com novos metadados SAML do Webex. Existem artigos relacionados se você precisar configurar o SSO com o ADFS, ou se você precisar atualizar (um diferente) IdP com metadados SAML para um novo certificado SSO Webex.

Antes de começar

Você precisa exportar o arquivo de metadados SAML do Control Hub antes de atualizar o Webex Relying Party Trust no ADFS.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Carregue o arquivo de metadados SAML do Webex em uma pasta local temporária no servidor ADFS, por exemplo//ADFS _servername/temp/idb-meta--SP.xml .

3

Abra o Powershell.

4

Execute Get-AdfsRelyingPartyTrust para ler todos os objetos de confiança da terceira parte confiável.

Observe o parâmetro TargetName do objeto de confiança da terceira parte confiável do Webex. Usamos o exemplo "Webex", mas ele pode ser diferente no ADFS.

5

Execute Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS _servername/temp/idb-meta--SP.xml" -TargetName " Webex ".

Certifique-se de substituir o nome do arquivo e o nome do destino pelos valores corretos do seu ambiente.

Consulte .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Se você baixou o certificado SP Webex de 5 anos e está com a revogação de certificados de assinatura ou criptografia precise executar estes dois comandos: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName " Webex ".

6

Inicie sessão no Control Hub e teste a integração de SSO:

  1. Vá para Gerenciamento > Daorganização, role até Autenticação e alterne a configuração de Single Sign-On para iniciar o assistente de configuração.

  2. Clique em Próximo para pular a página Importar metadados do IdP.

    Não é necessário repetir essa etapa, pois você importou anteriormente os metadados do IdP.

  3. Teste a conexão SSO anterior antes de habilita-la. Esta etapa funciona como uma simulação e não afeta as configurações da sua organização até que você habilite o SSO na próxima etapa.

    Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

  4. Inicie sessão para concluir o teste.

Solução de problemas do ADFS

Erros do ADFS nos registros do Windows

Nos registros do Windows, você pode ver um código de erro 364 do registro de eventos do ADFS. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.

Ocorreu um erro durante uma tentativa de construir a cadeia de certificados para a confiança confiável de parte

Ao atualizar o certificado SSO certificado, você pode ser apresentado com este erro ao fazer o registro: Código de status inválido na resposta .

Se você ver esse erro, verifique os registros do Visualizador de eventos no servidor ADFS e procure o seguinte erro: Ocorreu um erro durante uma tentativa de construir a cadeia de certificados para a confiança do parte subjacente 'https://idbroker.webex.com/<org-ID>' certificado identificado pela impressão digital' 754B9208F1F75C5CC122740F3675C5D129471D80'. As possíveis causas são que o certificado foi revogado, a cadeia de certificados não pôde ser verificada, conforme especificado pelas configurações de revogação de certificados de criptografia da parte confiável ou o certificado não está dentro de seu período de validade.

Se esse erro ocorrer, você deve executar os comandos Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID da Federação

A ID da Federação diferencia maiúsculas e minúsculas. Se este for seu endereço de e-mail organizacional, digite-o exatamente como o ADFS o envia, ou o Webex não consegue encontrar o usuário correspondente.

Uma regra de declaração personalizada não pode ser gravada para normalizar o atributo LDAP antes do seu envio.

Importe os metadados do servidor ADFS que você configurou em seu ambiente.

Você pode verificar a URL, se necessário, navegando até Serviço > Terminais > Metadados > Tipo: metadados de federação no gerenciamento de ADFS.

Sincronização de tempo

Certifique-se de que o relógio do sistema do servidor ADFS esteja sincronizado com uma fonte de horário confiável da Internet que use o protocolo NTP (Network Time Protocol). Use o seguinte comando PowerShell para dar ao relógio o relógio apenas para a relação De confiança confiável do Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

O valor hexadecimal é exclusivo para seu ambiente. Substitua o valor da ID do descritor de entidade SP no arquivo de metadados Webex. Por exemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">