Logon único e Control Hub

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de federação da linguagem de marcação de declaração de segurança (SAML 2.0) é usado para fornecer autenticação de SSO entre a nuvem Webex e seu fornecedor da identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de SSO do navegador da web. No perfil de SSO do navegador da web, o aplicativo Webex suporta as seguintes associações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carrega do IdP, a primeira entrada é configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logoff único. No aplicativo Webex, um usuário pode finalizar a sessão do aplicativo, que usa o protocolo SAML de logoff único para encerrar a sessão e confirmar que a finalizou com o IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com o ADFS


 

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração do nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funcionarão para integração de SSO, mas estão fora do escopo da nossa documentação.

Configure esta integração para usuários em sua organização Webex (incluindo Webex App, Webex Meetings e outros serviços administrados no Control Hub). Se o seu site do Webex estiver integrado no Control Hub, o site do Webex herdará o gerenciamento de usuários. Se você não pode acessar o Webex Meetings dessa maneira e ele não é gerenciado no Control Hub, você deve fazer uma integração separada para habilitar o SSO para Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Dependendo do que estiver configurado nos mecanismos de Autenticação do ADFS, a Autenticação integrada do Windows (IWA) poderá ser habilitada por padrão. Se ativados, os aplicativos iniciados por meio do Windows (como o aplicativo Webex e o Conector de diretórios da Cisco) se autenticam como o usuário que iniciou sessão, independentemente do endereço de e-mail inserido durante a solicitação inicial de e-mail.

Baixe os metadados do Webex para seu sistema local

1

A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização e role até Autenticação e, em seguida, alterne para Logon único configuração para iniciar o assistente de configuração.

2

Escolha o tipo de certificado para sua organização:

  • Autoassinado pela Cisco —Recomendamos esta escolha. Deixe-nos assinar o certificado para que você só precise renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu provedor IdP ofereça suporte a âncoras de confiança).

 

As âncoras de confiança são chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex é idb-meta-<org-ID> -SP.xml .

Instalar metadados Webex no ADFS

Antes de você começar

O Control Hub suporta o ADFS 2.x ou posterior.

O Windows 2008 R2 inclui apenas o ADFS 1.0. Você deve instalar a versão mínima do ADFS 2.x da Microsoft.

Para serviços SSO e Webex, os provedores de identidade (IdPs) devem estar em conformidade com a seguinte especificação SAML 2.0:

  • Defina o atributo de Formato da NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure uma declaração no IdP para incluir o nome do atributo uid com um valor mapeado para o atributo escolhido no Conector de diretórios da Cisco ou o atributo de usuário que corresponde ao escolhido no serviço de identidade Webex. (Este atributo pode ser Endereços de e-mail ou o Nome principal do usuário, por exemplo.) Consulte as informações do atributo personalizado em https://www.cisco.com/go/hybrid-services-directory para obter orientação.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Abra o console de Gerenciamento ADFS e navegue até Relações de confiança > Objetos de confiança da terceira parte confiável > Adicionar objeto de confiança da terceira parte confiável.

3

Na janela Adicionar assistente do objeto de confiança da terceira parte confiável, selecione Iniciar.

4

Para Selecionar fonte de dados selecione Importar dados sobre a parte confiável de um arquivo , navegue até o arquivo de metadados do Control Hub que você baixou e selecione Next .

5

Para Especificar nome de exibição , crie um nome de exibição para esta confiança de terceira parte confiável, como Webex e selecione Next .

6

Em Escolher regras de autorização de emissão, selecione Permitir que todos os usuários acessem esta terceira parte confiável e clique em Próximo.

7

Em Pronto para adicionar o objetivo de confiança, selecione Próximo e termine de adicionar o objetivo de confiança ao ADFS.

Criar regras de reivindicação para autenticação Webex

1

No painel principal do ADFS, selecione a relação de confiança que você criou e clique em Editar regras de declaração. Na guia de Regras de transformação de emissão, selecione Adicionar regra.

2

Na etapa Escolher tipo de regra, selecione Enviar atributos LDAP como declarações e clique em Próximo.

  1. Insira um Nome da regra de declaração.

  2. Selecione Active Directory como o armazenamento de atributos.

  3. Mapeie o atributo LDAP de Endereços de e-mail quanto ao tipo de declaração de saída uid.

    Esta regra informa ao ADFS quais campos mapear para o Webex para identificar um usuário. Digite os tipos de declaração de saída exatamente como mostrado.

  4. Salve suas alterações.

3

Clique em Adicionar regra novamente, selecione Enviar declarações usando uma regra personalizada e clique em Próximo.

Esta regra fornece ao ADFS o atributo "qualificador spname" que o Webex não fornece de outra forma.

  1. Abra o editor de texto e copie o seguinte conteúdo.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Substitua a URL1 e URL2 no texto da seguinte forma:

    • URL1 é a entityID do arquivo de metadados do ADFS que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie apenas a entityID do arquivo de metadados do ADFS e cole-a no arquivo de texto para substituir a URL1

    • URL2 está na primeira linha do arquivo de metadados Webex que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie apenas a entityID do arquivo de metadados Webex e cole-a no arquivo de texto para substituir a URL2.

  2. Com as URLs atualizadas, copie a regra do editor de texto (começando em "c:") e cole-a na caixa de regra personalizada no servidor ADFS.

    A regra concluída deve ser semelhante a esta:

  3. Selecione Concluir para criar a regra e saia da janela Editar regras de declaração.

4

Selecione Objeto de confiança da terceira parte confiável na janela principal e clique em Propriedades no painel direito.

5

Quando a janela de Propriedades for exibida, navegue até a guia Avançado, SHA-256 e clique em OK para salvar suas alterações.

6

Navegue até a seguinte URL no servidor ADFS interno para baixar o arquivo: https://< AD _ FS _ Server >/FederationMetadata/2007-06/FederationMetadata.xml


 

Talvez seja necessário clicar com o botão direito do mouse na página e visualizar a fonte da página para obter o arquivo XML formatado corretamente.

7

Salve o arquivo em sua máquina local.

O que fazer em seguida

Você está pronto para importar os metadados do ADFS de volta para o Webex do portal de gerenciamento.

Importar os metadados IdP e habilitar a logon único centralizada após um teste

Depois de exportar os metadados Webex , configurar seu IdP e baixar os metadados IdP para seu sistema local, você está pronto para importá-los para sua organização Webex a partir do Control Hub.

Antes de você começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne para a página de seleção de certificado do Control Hub no seu navegador e clique em Próximo .
  • Se o Control Hub não estiver mais aberto na guia do navegador, a partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e, em seguida, escolha Ações > Importar metadados .
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar o Mais seguro opção, se possível. Isso só será possível se o IdP tiver usado uma CA pública para assinar os metadados.

Em todos os outros casos, você deve usar o Menos seguro opção. Isso inclui se os metadados não são assinados, autoassinados ou assinados por uma CA privada.


 

O Okta não assina os metadados, portanto, você deve escolher Menos seguro para uma integração do Okta SSO.

3

Selecionar Testar a configuração do SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a configuração do SSO. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.


 

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Esta etapa para falsos positivos devido a um token de acesso que pode estar em uma sessão existente em que você está conectado.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ativar o SSO e clique em Próximo .
  • Se o teste não foi bem-sucedido, selecione Teste malsucedido. Desativar o SSO e clique em Próximo .

 

A configuração do SSO não entra em vigor na sua organização, a menos que você escolha o primeiro botão de opção de opção e ative o SSO.

O que fazer em seguida

Utilize os procedimentos em Sincronizar usuários Okta no Cisco Webex Control Hub se você quiser fazer o provisionamento de usuários do Okta para a nuvem Webex .

Utilize os procedimentos em Sincronizar os usuários do Azure Active Directory no Cisco Webex Control Hub se você quiser fazer o provisionamento de usuários do Azure AD para a nuvem Webex .

Você pode seguir o procedimento em Suprimir os e-mails automatizados para desabilitar os e-mails que são enviados para novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Atualizar a terceira parte confiável do Webex no ADFS

Esta tarefa é especificamente sobre como atualizar o ADFS com novos metadados SAML do Webex. Existem artigos relacionados, se você precisar configurar o SSO com ADFS , ou se você precisar atualizar (um diferente) IdP com metadados SAML para um novo certificado de SSO Webex .

Antes de você começar

Você precisa exportar o arquivo de metadados SAML do Control Hub antes de poder atualizar a Parte de confiança da Webex no ADFS.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Carregue o arquivo de metadados SAML do Webex para uma pasta local temporária no servidor ADFS, p. ex. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Abra o Powershell.

4

Execute Get-AdfsRelyingPartyTrust para ler todas as partes confiáveis.

Observe a TargetName parâmetro da parte confiável da parte confiável Webex . Usamos o exemplo "Webex", mas pode ser diferente no seu ADFS.

5

Execute Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Certifique-se de substituir o nome do arquivo e o nome do destino pelos valores corretos do seu ambiente.

Consulte .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Se você tiver baixado o certificado de 5 anos do Webex SP e tiver a Assinatura ou a Revogação do certificado de criptografia ativada, será necessário executar estes dois comandos: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Inicie sessão no Control Hub e teste a integração de SSO:

  1. Ir para Gerenciamento > Configurações da organização , role até Autenticação e alterne para Registro único configuração para iniciar o assistente de configuração.

  2. Clique em Próximo para pular a página Importar metadados do IdP.

    Não é necessário repetir essa etapa, pois você importou anteriormente os metadados do IdP.

  3. Teste a conexão SSO antes de ativá-la. Esta etapa funciona como uma simulação e não afeta as configurações da sua organização até que você habilite o SSO na próxima etapa.


     

    Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

  4. Inicie sessão para concluir o teste.

Solução de problemas do ADFS

Erros do ADFS nos registros do Windows

Nos registros do Windows, você pode ver um código de erro 364 do registro de eventos do ADFS. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.

Ocorreu um erro durante uma tentativa de construir a cadeia de certificados para a confiança da terceira parte confiável

Ao atualizar o certificado SSO, você pode ser apresentado com este erro ao iniciar sessão: Invalid status code in response.

Se você vir esse erro, verifique os registros do Visualizador de eventos no servidor ADFS e procure o seguinte erro: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. As possíveis causas são que o certificado foi revogado, a cadeia de certificados não pôde ser verificada conforme especificado pelas configurações de revogação de certificados de criptografia da parte confiável ou o certificado não está dentro de seu período de validade.

Se esse erro ocorrer, você deve executar os comandos Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID da Federação

A ID da Federação diferencia maiúsculas e minúsculas. Se este for seu endereço de e-mail organizacional, insira-o exatamente como o ADFS o envia ou o Webex não poderá encontrar o usuário correspondente.

Uma regra de declaração personalizada não pode ser gravada para normalizar o atributo LDAP antes do seu envio.

Importe os metadados do servidor ADFS que você configurou em seu ambiente.

Você pode verificar a URL, se necessário, navegando até Serviço > Terminais > Metadados > Tipo: metadados de federação no gerenciamento de ADFS.

Sincronização de horário

Certifique-se de que o relógio do sistema do servidor ADFS esteja sincronizado com uma fonte de horário confiável da Internet que use o protocolo NTP (Network Time Protocol). Use o seguinte comando do PowerShell para desviar o relógio apenas para o relacionamento de confiança da terceira parte confiável Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

O valor hexadecimal é exclusivo para seu ambiente. Substitua o valor do valor da ID do SP EntityDescriptor no arquivo de metadados Webex. Por exemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">