Hub de controle e assinatura única

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O protocolo de federação Security Assertion Markup Language (SAML 2.0) é usado para fornecer SSO autenticação entre a nuvem Webex e seu provedor de identidade (IdP).

Perfis

O aplicativo Webex suporta apenas o perfil de usuário SSO navegador da web. No perfil de usuário do SSO da web, o aplicativo Webex suporta as seguintes ligações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato IDNome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O aplicativo Webex suporta os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carregar do IdP, a primeira entrada será configurada para uso no Webex.

SingleLogout

O aplicativo Webex suporta o perfil de logout único. No aplicativo Webex, um usuário pode finalizar a sessão, que usa o protocolo de logout único SAML para finalizar a sessão e confirmar que finalizou a sessão com o seu IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integre o Control Hub com o ADFS

Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração para nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão para integração SSO, mas estão fora do escopo da nossa documentação.

Configurar esta integração para usuários na sua organização Webex ( incluindo Aplicativo Webex, Webex Meetingse outros serviços administrados no Control Hub). Se seu site Webex estiver integrado no Control Hub, o site Webex herda o gerenciamento de usuários. Se não conseguir acessar Webex Meetings dessa maneira e não for gerenciado no Control Hub, você deverá fazer uma integração separada para habilitar o SSO para o Webex Meetings.

Dependendo do que estiver configurado nos mecanismos de Autenticação do ADFS, a Autenticação integrada do Windows (IWA) poderá ser habilitada por padrão. Se ativadas, os aplicativos que são lançados através do Windows (como aplicativos Webex e Cisco Conector de diretórios ) autenticam como o usuário que iniciou a autenticação, independentemente do endereço de e-mail que é inserido durante o prompt de e-mail inicial.

Baixe os metadados Webex para o seu sistema local

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade e clique em Ativar SSO.

4

Selecione um IdP.

5

Escolha o tipo de certificado para sua organização:

  • Autoassinado pela Cisco—Recomendamos esta opção. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública—Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor de IdP ofereça suporte a âncoras de confiança).

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

6

Baixe o arquivo de metadados.

O nome do arquivo de metadados do Webex é idb-meta-<org-ID>-SP.xml.

Instalar metadados Webex no ADFS

Antes de começar

O Control Hub suporta o ADFS 2.x ou posterior.

O Windows 2008 R2 inclui apenas o ADFS 1.0. Você deve instalar a versão mínima do ADFS 2.x da Microsoft.

Para SSO e Webex, os provedores de identidade (IdPs) devem estar em conformidade com a seguinte especificação SAML 2.0:

  • Defina o atributo Formato NameID como urn:oasis:names:tc:SAML:2.0:nameid-format:transitório

  • Configure uma reivindicação no IdP para incluir o nome do atributo uid com um valor mapeado para o atributo escolhido no Cisco Directory Connector ou o atributo de usuário que corresponde ao escolhido no serviço de identidade Webex. (Este atributo pode ser Endereços de e-mail ou Nome principal do usuário, por exemplo.) Consulte as informações do atributo personalizado em https://www.cisco.com/go/hybrid-services-directory para obter orientação.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Abra o console de Gerenciamento ADFS e navegue até Relações de confiança > Objetos de confiança da terceira parte confiável > Adicionar objeto de confiança da terceira parte confiável.

3

Na janela Adicionar assistente do objeto de confiança da terceira parte confiável, selecione Iniciar.

4

Para Selecionar fonte de dados selecione Importar dados sobre a parte confiável de um arquivo, navegue até o arquivo de metadados do Control Hub que você baixou e selecione Avançar.

5

Para Especificar nome de exibição, crie um nome de exibição para esta parte confiável, como Webex e selecione Avançar.

6

Em Escolher regras de autorização de emissão, selecione Permitir que todos os usuários acessem esta terceira parte confiável e clique em Próximo.

7

Em Pronto para adicionar o objetivo de confiança, selecione Próximo e termine de adicionar o objetivo de confiança ao ADFS.

Criar regras de reivindicação para autenticação Webex

1

No painel principal do ADFS, selecione a relação de confiança que você criou e clique em Editar regras de declaração. Na guia de Regras de transformação de emissão, selecione Adicionar regra.

2

Na etapa Escolher tipo de regra, selecione Enviar atributos LDAP como declarações e clique em Próximo.

  1. Insira um Nome da regra de declaração.

  2. Selecione Active Directory como o armazenamento de atributos.

  3. Mapeie o atributo LDAP de Endereços de e-mail quanto ao tipo de declaração de saída uid.

    Esta regra informa o ADFS quais campos mapear para o Webex para identificar um usuário. Digite os tipos de declaração de saída exatamente como mostrado.

  4. Salve suas alterações.

3

Clique em Adicionar regra novamente, selecione Enviar declarações usando uma regra personalizada e clique em Próximo.

Esta regra fornece o ADFS com o atributo "qualificador do spname" que a Webex não fornece de outra maneira.

  1. Abra o editor de texto e copie o seguinte conteúdo.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Substitua a URL1 e URL2 no texto da seguinte forma:

    • URL1 é o entityID do arquivo de metadados do ADFS que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie apenas a entityID do arquivo de metadados do ADFS e cole-a no arquivo de texto para substituir a URL1

    • URL2 está na primeira linha do arquivo de metadados Webex que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie apenas a ID entidade do arquivo de metadados Webex e o copie no arquivo de texto para substituir o URL2.

  2. Com as URLs atualizadas, copie a regra do editor de texto (começando em "c:") e cole-a na caixa de regra personalizada no servidor ADFS.

    A regra concluída deve ser semelhante a esta:

  3. Selecione Concluir para criar a regra e saia da janela Editar regras de declaração.

4

Selecione Objeto de confiança da terceira parte confiável na janela principal e clique em Propriedades no painel direito.

5

Quando a janela de Propriedades for exibida, navegue até a guia Avançado, SHA-256 e clique em OK para salvar suas alterações.

6

Navegue até a seguinte URL no servidor ADFS interno para baixar o arquivo: https:// <AD_FS_Servidor>/FederationMetadata/2007-06/FederationMetadata.xml

Talvez seja necessário clicar com o botão direito do mouse na página e visualizar a fonte da página para obter o arquivo XML formatado corretamente.

7

Salve o arquivo em sua máquina local.

O que fazer em seguida

Você está pronto para importar os metadados ADFS de volta ao Webex do portal de gerenciamento.

Importar os metadados IdP e habilitar registro único um teste

Depois de exportar os metadados Webex , configurar o IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-los para sua organização Webex a partir do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Nós suportamos apenas os fluxos iniciados provedor de serviços (iniciados pelo SP), então você deve usar o Control Hub SSO teste para essa integração.

1

Escolha uma das opções:

  • Retorne à página de seleção de certificado do Control Hub no seu navegador e clique em Avançar.
  • Reabra o Control Hub se ele não estiver mais aberto na aba do seu navegador. Na visualização do cliente no Control Hub, acesse Gerenciamento > Segurança > Autenticação, selecione o IdP e escolha Ações > Importar Metadados.
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Você deve usar a opção Mais segura, se puder. Isso só é possível se o IdP usou uma CA pública para assinar seus metadados.

Em todos os outros casos, você deve usar a opção Menos segura. Isso inclui se os metadados não foram assinados, auto assinados ou assinados por uma CA privada.

Okta não assina os metadados, então você deve escolher Menos seguro para uma integração okta SSO.

3

Selecione Testar configuração de SSOe, quando uma nova guia do navegador abrir, autentique-se com o IdP fazendo login.

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Esta etapa para falso positivos devido a um token de acesso que pode estar em uma sessão existente de você ter sido logado.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. A ligue SSO e clique em Próximo.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Desligue a SSO e clique em Próximo.

A SSO organizador não tem efeito em sua organização, a menos que você escolha a botão de opção nome e ative o SSO.

O que fazer em seguida

Use os procedimentos em Sincronizar usuários okta em Cisco Webex Control Hub se você quiser fazer provisionamento de usuário fora do Okta na nuvem Webex.

Use os procedimentos em Sincronizar os Active Directory Azure em Cisco Webex Control Hub se você quiser fazer o provisionamento de usuário do Azure AD na nuvem Webex.

Você pode seguir o procedimento em Suprimir e-mails automatizados para desabilitar e-mails enviados a novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Atualize a confiança confiável do Webex no ADFS

Esta tarefa é especificamente sobre atualizar o ADFS com novos metadados SAML do Webex. Existem artigos relacionados se você precisar configurar o SSO com o ADFS, ou se você precisar atualizar (um diferente) IdP com metadados SAML para um novo certificado SSO Webex.

Antes de começar

Você precisa exportar o arquivo de metadados SAML do Control Hub antes de poder atualizar o Webex Relying Party Trust no ADFS.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Carregue o arquivo de metadados SAML do Webex para uma pasta local temporária no servidor ADFS, por exemplo, //ADFS_servername/temp/idb-meta--SP.xml.

3

Abra o Powershell.

4

Execute Get-AdfsRelyingPartyTrust para ler todos os trusts de terceira parte confiável.

Observe o parâmetro TargetName da parte confiável do Webex. Usamos o exemplo "Webex", mas ele pode ser diferente no ADFS.

5

Correr Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Certifique-se de substituir o nome do arquivo e o nome do destino pelos valores corretos do seu ambiente.

Consulte .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Se você baixou o certificado SP Webex de 5 anos e está com a revogação de certificados de assinatura ou criptografia precise executar estes dois comandos: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Inicie sessão no Control Hub e teste a integração de SSO:

  1. Ir para Gestão > Segurança > Autenticação.

  2. Na aba Provedor de identidade, vá até o IdP e clique em Menu “Mais”

  3. Selecione Testar IdP.

  4. Teste a conexão SSO anterior antes de habilita-la. Esta etapa funciona como uma simulação e não afeta as configurações da sua organização até que você habilite o SSO na próxima etapa.

    Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

  5. Inicie sessão para concluir o teste.

Solução de problemas do ADFS

Erros do ADFS nos registros do Windows

Nos registros do Windows, você pode ver um código de erro 364 do registro de eventos do ADFS. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.

Ocorreu um erro durante uma tentativa de construir a cadeia de certificados para a confiança confiável de parte

Ao atualizar o certificado SSO certificado, você pode ser apresentado com este erro ao fazer o registro: Invalid status code in response.

Se você ver esse erro, verifique os registros do Visualizador de eventos no servidor ADFS e procure o seguinte erro: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. As possíveis causas são que o certificado foi revogado, a cadeia de certificados não pôde ser verificada, conforme especificado pelas configurações de revogação de certificados de criptografia da parte confiável ou o certificado não está dentro de seu período de validade.

Se esse erro ocorrer, você deve executar os comandos Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/ -EncryptionCertificateRevocationCheck None

ID da Federação

A ID da Federação diferencia maiúsculas e minúsculas. Se este for seu endereço de e-mail organizacional, digite-o exatamente como o ADFS o envia, ou o Webex não consegue encontrar o usuário correspondente.

Uma regra de declaração personalizada não pode ser gravada para normalizar o atributo LDAP antes do seu envio.

Importe os metadados do servidor ADFS que você configurou em seu ambiente.

Você pode verificar a URL, se necessário, navegando até Serviço > Terminais > Metadados > Tipo: metadados de federação no gerenciamento de ADFS.

Sincronização de tempo

Certifique-se de que o relógio do sistema do servidor ADFS esteja sincronizado com uma fonte de horário confiável da Internet que use o protocolo NTP (Network Time Protocol). Use o seguinte comando PowerShell para dar ao relógio o relógio apenas para a relação De confiança confiável do Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

O valor hexadecimal é exclusivo para seu ambiente. Substitua o valor da ID do descritor de entidade SP no arquivo de metadados Webex. Por exemplo: