Hub de controle e assinatura única

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de federação Security Assertion Markup Language (SAML 2.0) é usado para fornecer SSO autenticação entre a nuvem Webex e seu provedor de identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de usuário SSO navegador da web. No perfil de usuário do SSO da web, o aplicativo Webex suporta as seguintes ligações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carregar do IdP, a primeira entrada será configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logout único. No aplicativo Webex , um usuário pode finalizar a sessão, que usa o protocolo de logout único SAML para terminar a sessão e confirmar que finalizou a sessão com o seu IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com o ADFS


Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Configurar esta integração para usuários na sua organização Webex (incluindo Aplicativo Webex, Webex Meetings e outrosserviços administrados no Control Hub). Se seu site Webex estiver integrado no ControlHub, o site Webex herda o gerenciamento de usuários. Se não conseguir acessar o Webex Meetings dessa maneira e não for gerenciado no Control Hub, você deverá fazer uma integração separada para habilitar o SSO para o Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Dependendo do que estiver configurado nos mecanismos de Autenticação do ADFS, a Autenticação integrada do Windows (IWA) poderá ser habilitada por padrão. Se ativadas, os aplicativos que são lançados através do Windows (como aplicativos Webex e Cisco Conector de diretórios ) autenticam como o usuário que iniciou a autenticação, independentemente do endereço de e-mail que é inserido durante o prompt de e-mail inicial.

Baixe os metadados Webex para o seu sistema local

1

Na exibição do cliente em , vá para Gerenciamento > Da organização e role até Autenticação e, em seguida, alterne na configuração de Logon único para iniciar o assistente https://admin.webex.com de configuração.

2

Escolha o tipo de certificado para sua organização:

  • Auto assinado pela Cisco— Recomendamos essa opção. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública — Mais seguro, mas você precisará atualizar com frequência os metadados (a menos que o fornecedorIdP suporte âncoras de confiança).

 

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados Webex éidb-meta--SP.xml<org-ID>.

Instalar metadados Webex no ADFS

Antes de começar

O Control Hub suporta o ADFS 2.x ou posterior.

O Windows 2008 R2 inclui apenas o ADFS 1.0. Você deve instalar a versão mínima do ADFS 2.x da Microsoft.

Para SSO e Webex, os provedores de identidade (IdPs) devem estar em conformidade com a seguinte especificação SAML 2.0:

  • Defina o atributo de Formato da NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure uma reivindicação no IdP para incluir o nome do atributo uid com um valor que é mapeado para o atributo que é escolhido no Cisco Conector de diretórios ou o atributo de usuário que corresponde ao que é escolhido no serviço de identidade Webex. (Este atributo pode ser Endereços de e-mail ou o Nome principal do usuário, por exemplo.) Consulte as informações do atributo personalizado em https://www.cisco.com/go/hybrid-services-directory para obter orientação.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Abra o console de Gerenciamento ADFS e navegue até Relações de confiança > Objetos de confiança da terceira parte confiável > Adicionar objeto de confiança da terceira parte confiável.

3

Na janela Adicionar assistente do objeto de confiança da terceira parte confiável, selecione Iniciar.

4

Para Selecionar fonte de dados, selecione Importar dados sobre a parte subjacente de um arquivo, navegue até o arquivo de metadados do Control Hub que você baixou e selecione Próximo.

5

Para Especificar Nome de Exibição, crie um nome de exibição para essa confiançaconfiável, como o Webex e selecione Próximo.

6

Em Escolher regras de autorização de emissão, selecione Permitir que todos os usuários acessem esta terceira parte confiável e clique em Próximo.

7

Em Pronto para adicionar o objetivo de confiança, selecione Próximo e termine de adicionar o objetivo de confiança ao ADFS.

Criar regras de reivindicação para autenticação Webex

1

No painel principal do ADFS, selecione a relação de confiança que você criou e clique em Editar regras de declaração. Na guia de Regras de transformação de emissão, selecione Adicionar regra.

2

Na etapa Escolher tipo de regra, selecione Enviar atributos LDAP como declarações e clique em Próximo.

  1. Insira um Nome da regra de declaração.

  2. Selecione Active Directory como o armazenamento de atributos.

  3. Mapeie o atributo LDAP de Endereços de e-mail quanto ao tipo de declaração de saída uid.

    Esta regra informa o ADFS quais campos mapear para o Webex para identificar um usuário. Digite os tipos de declaração de saída exatamente como mostrado.

  4. Salve suas alterações.

3

Clique em Adicionar regra novamente, selecione Enviar declarações usando uma regra personalizada e clique em Próximo.

Esta regra fornece o ADFS com o atributo "qualificador do spname" que a Webex não fornece de outra maneira.

  1. Abra o editor de texto e copie o seguinte conteúdo.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Substitua a URL1 e URL2 no texto da seguinte forma:

    • URL1 é a entityID do arquivo de metadados do ADFS que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie apenas a entityID do arquivo de metadados do ADFS e cole-a no arquivo de texto para substituir a URL1

    • URL2 está na primeira linha do arquivo de metadados Webex que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie apenas a ID entidade do arquivo de metadados Webex e o copie no arquivo de texto para substituir o URL2.

  2. Com as URLs atualizadas, copie a regra do editor de texto (começando em "c:") e cole-a na caixa de regra personalizada no servidor ADFS.

    A regra concluída deve ser semelhante a esta:
  3. Selecione Concluir para criar a regra e saia da janela Editar regras de declaração.

4

Selecione Objeto de confiança da terceira parte confiável na janela principal e clique em Propriedades no painel direito.

5

Quando a janela de Propriedades for exibida, navegue até a guia Avançado, SHA-256 e clique em OK para salvar suas alterações.

6

Navegue até a seguinte URL no servidor ADFS interno para baixar o arquivo: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Talvez seja necessário clicar com o botão direito do mouse na página e visualizar a fonte da página para obter o arquivo XML formatado corretamente.

7

Salve o arquivo em sua máquina local.

O que fazer em seguida

Você está pronto para importar os metadados ADFS de volta ao Webex do portal de gerenciamento.

Importar os metadados IdP e habilitar registro único um teste

Depois de exportar os metadados Webex, configurar o IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-los para a organização Webex a partir do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne ao Control Hub - página de seleção de certificados no navegador e, em seguida, clique em Próximo.
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em , vá para Gerenciamento > Configurações da organização, role até Autenticação e escolha Ações https://admin.webex.com > Importarmetadados.
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar a opção Mais segura, se puder. Isso só é possível se o IdP usou uma CA pública para assinar seus metadados.

Em todos os outros casos, você deve usar a opção Menos segura. Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada.

3

Selecione Testar SSO configuração e quando uma nova guia do navegador for aberta, autentcule-se com o IdP iniciando sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.


 

Para ver a SSO de início de vida diretamente, você também pode clicar em Copiar URL para a área de transferência desta tela e colar em uma janela de navegador privado. A partir daí, você pode entrar com o SSO. Esta etapa para falso positivos devido a um token de acesso que pode estar em uma sessão existente de você ter sido logado.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ligue a SSO e clique em Próximo .
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Desligue a SSO e clique em Próximo.

 

A SSO organizador não tem efeito em sua organização, a menos que você escolha a botão de opção nome e ative o SSO.

O que fazer em seguida

Você pode seguir o procedimento em Suprimir e-mails automatizados para desativar e-mails que são enviados para novos usuários do aplicativoWebex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Atualize a confiança confiável do Webex no ADFS

Esta tarefa é especificamente sobre atualizar o AD FS com os novos metadados SAML do Webex. Há artigos relacionados se você precisar configurar o SSO com o ADFS ou se precisar atualizar (um diferente) IdP com metadados SAML para um novo certificado SSO do Webex.

Antes de começar

Você precisa exportar o arquivo de metadados SAML do Control Hub antes de atualizar a confiança do parte subjacente Webex no AD FS.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Carregue o arquivo de metadados SAML do Webex para uma pasta local temporária no servidor AD FS, por exemplo. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Abra o Powershell.

4

Executar Get-AdfsRelyingPartyTrust para ler as confianças de todas as partes subjacentes.

Observe o TargetName parâmetro da confiança confiável do Webex. Usamos o exemplo "Cisco Webex", mas pode ser diferente em seu ADFS.

5

Executar Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Certifique-se de substituir o nome do arquivo e o nome do destino pelos valores corretos do seu ambiente.

Consulte .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Se você baixou o certificado SP Webex de 5 anos e está com a revogação de certificados de assinatura ou criptografia precise executar estes dois comandos: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Inicie sessão no Control Hub e teste a integração de SSO:

  1. Vá para Gerenciamento > Da organização, role até Autenticação e alterne a configuração de Single Sign-On para iniciar o assistente de configuração.

  2. Clique em Próximo para pular a página Importar metadados do IdP.

    Não é necessário repetir essa etapa, pois você importou anteriormente os metadados do IdP.

  3. Teste a conexão SSO anterior antes de habilita-la. Esta etapa funciona como uma dry run e não afeta as configurações da sua organização até que você SSO equipe na próxima etapa.


     

    Para ver a SSO de início de vida diretamente, você também pode clicar em Copiar URL para a área de transferência desta tela e colar em uma janela de navegador privado. A partir daí, você pode entrar com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no seu navegador da Web que poderia fornecer um resultado falso positivo ao testar a sua SSO configuração.

  4. Inicie sessão para concluir o teste.

Solução de problemas do ADFS

Erros do ADFS nos registros do Windows

Nos registros do Windows, você pode ver um código de erro 364 do registro de eventos do ADFS. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.

Ocorreu um erro durante uma tentativa de construir a cadeia de certificados para a confiança confiável de parte

Ao atualizar o certificado SSO certificado, você pode ser apresentado com este erro ao fazer o registro: Invalid status code in response.

Se você ver esse erro, verifique os registros do Visualizador de eventos no servidor ADFS e procure o seguinte erro: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. As possíveis causas são que o certificado foi revogado, a cadeia de certificados não pôde ser verificada, conforme especificado pelas configurações de revogação de certificados de criptografia da parte confiável ou o certificado não está dentro de seu período de validade.

Se esse erro ocorrer, você deve executar os comandos Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck No

ID da Federação

A ID da Federação diferencia maiúsculas e minúsculas. Se este for seu endereço de e-mail organizacional, digite-o exatamente como o ADFS o envia, ou o Webex não consegue encontrar o usuário correspondente.

Uma regra de declaração personalizada não pode ser gravada para normalizar o atributo LDAP antes do seu envio.

Importe os metadados do servidor ADFS que você configurou em seu ambiente.

Você pode verificar a URL, se necessário, navegando até Serviço > Terminais > Metadados > Tipo: metadados de federação no gerenciamento de ADFS.

Sincronização de tempo

Certifique-se de que o relógio do sistema do servidor ADFS esteja sincronizado com uma fonte de horário confiável da Internet que use o protocolo NTP (Network Time Protocol). Use o seguinte comando PowerShell para dar ao relógio o relógio apenas para a relação De confiança confiável do Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

O valor hexadecimal é exclusivo para seu ambiente. Substitua o valor da ID do descritor de entidade SP no arquivo de metadados Webex. Por exemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">