Registro único e Webex Control Hub

O registro único (SSO) é um processo de autenticação de sessão ou de usuário que permite que um usuário forneça credenciais para acessar um ou mais aplicativos. O processo autentica os usuários para todos os aplicativos para os quais eles recebem direitos. Ela elimina mais solicitações quando os usuários alternam os aplicativos durante uma sessão específica.

O protocolo de Federação do Security Assertion Markup Language (SAML 2,0) é usado para fornecer SSO autenticação entre o Cisco Webex Cloud e seu provedor de identidade (IdP).

Perfis

Cisco Webex Teams suporta apenas o perfil de SSO do navegador da Web. No perfil de SSO do navegador da Web, Cisco Webex Teams suporta as seguintes associações:

  • SP iniciou a ligação de post->

  • SP iniciado redirecionar > publicar ligação

Formato da ID do nome

O protocolo SAML 2,0 suporta vários formatos NameID para a comunicação sobre um usuário específico. Cisco Webex Teams suporta os seguintes formatos de NameID.

  • urn: Oasis: nomes: TC: SAML: 2.0: NameID-Format: transitório

  • urn: Oasis: nomes: TC: SAML: 1.1: NameID-Format: Unspecified

  • urn: Oasis: nomes: TC: SAML: 1.1: NameID-Format: emailAddress

Nos metadados que você carrega do seu IdP, a primeira entrada é configurada para uso em Cisco Webex.

SingleLogout

Cisco Webex Teams suporta o perfil de logoff único. No aplicativo Cisco Webex Teams, um usuário pode finalizar a sessão do aplicativo, que usa o protocolo de logoff único SAML para encerrar a reunião e confirmar que você pode sair com o seu IdP. Certifique-se de que seu IdP está configurado para SingleLogout.

Integre Cisco Webex Control Hub com o ADFS

Os guias de configuração mostram um exemplo específico para SSO integração, mas não fornecem configuração exaustiva para todas as possibilidades. Por exemplo, as etapas de integração para NameID-Format urn: Oasis: names: TC: SAML: 2.0: NameID-Format: transitório está documentado. Outros formatos, como urn: Oasis: names: TC: SAML: 1.1: nomeid-Format: Unspecified ou urn: Oasis: names: TC: SAML: 1.1: NameID-Format: EmailAddress funcionará para a integração do SSO, mas está fora do escopo da nossa documentação.

Configurar essa integração para usuários na sua organização Cisco Webex (incluindo Cisco Webex Teams, Cisco Webex Meetings e outros serviços administrados no Cisco Webex Control Hub). Se seu site Webex estiver integrado no Cisco Webex Control Hub, o site Webex herdará o gerenciamento de usuários. Se você não conseguir acessar Cisco Webex Meetings dessa forma e ele não for gerenciado no Cisco Webex Control Hub, você deverá fazer uma integração separada para habilitar o SSO para Cisco Webex Meetings. (Consulte Configure o registro único para Webex para obter mais informações na integração do SSO em administração do site.)

Dependendo do que está configurado nos mecanismos de autenticação no ADFS, a autenticação integrada do Windows (IWA) pode ser ativada por padrão. Se habilitados, os aplicativos que são iniciados através do Windows (como Webex Teams e Cisco Conector de diretórios) são autenticados como o usuário que está conectado, independentemente de qual endereço de e-mail é inserido durante o aviso de e-mail inicial.

Baixar os Cisco Webex metadados para o seu sistema local

1

Na exibição do cliente em https://admin.webex.com, vá para configuraçõese role até a autenticação.

2

Clique em Modificar, clique em integrar um provedor de identidade de terceiros. (Avançado)e, em seguida, clique em próximo.

3

Baixe o arquivo de metadados.

O nome de arquivo de metadados Cisco Webex é idb-meta-<org-ID>-SP. XML.

Instalar Cisco Webex metadados no ADFS

Antes de Iniciar

Cisco Webex Control Hub suporta ADFS 2. x ou posterior.

O Windows 2008 R2 inclui apenas o ADFS 1,0. Você deve instalar um mínimo de ADFS 2. x da Microsoft.

Para os serviços SSO e Cisco Webex, os provedores de identidade (IdPs) devem estar de acordo com a seguinte especificação SAML 2,0:

  • Defina o atributo de formato NameID para urn: Oasis: names: TC: SAML: 2.0: NameID-Format:transitório

  • Configure uma declaração no IdP para incluir o nome do atributo UID com um valor que é mapeado para o atributo escolhido no Cisco conector de diretórios ou o atributo de usuário que corresponde ao que foi escolhido na Cisco Webex serviço de identidade. (Este atributo pode ser endereço de E-mail ou nome principal do usuário, por exemplo). Consulte as informações sobre atributos personalizados em https://www.cisco.com/go/hybrid-services-directory para obter orientação.

1

Inicie sessão no servidor ADFS com permissões de administrador.
2

Abra o console de gerenciamento do ADFS e navegue para relações de confiança confiança da terceira > parte confiável > Adicionar confiança da terceira parte confiável.

3

Na janela Adicionar Assistente de confiança da terceira parte confiável , selecione Iniciar.

4

Para selecionar fonte de dados , selecione Importar dados sobre a terceira parte confiável de um arquivo, navegue até o arquivo Cisco Webex Control Hub metadados que você baixou e selecione próximo.

5

Para especificar o nome de exibição, crie um nome de exibição para esta confiança da terceira parte confiável, como Cisco Webex e selecione próximo.

6

Para escolher regras de autorização de emissão, selecione permitir que todos os usuários acessem esta terceira parte confiávele selecione próximo.

7

Para pronto para adicionar confiança, selecione próximo e conclua adicionar a confiança confiante ao ADFS.

Criar regras de declaração para permitir a autenticação de Cisco Webex

1

No painel principal do ADFS, selecione a relação de confiança que você criou e, em seguida, selecione Editar regras de Declaração. Na guia regras de transformação de emissão, selecione Adicionar regra.

2

Na etapa escolher tipo de regra, selecione Enviar atributos LDAP como declaraçõese, em seguida, selecione próximo.

  1. Insira um nome de regra de Declaração.

  2. Selecione Active Directory como o repositório de atributos.

  3. Mapeie o atributo de e-mail-addresses LDAP para o tipo de declaração de saída UID.

    Esta regra informa ao ADFS quais campos mapear para Cisco Webex para identificar um usuário. Soletrar os tipos de declaração de saída exatamente como mostrado.

  4. Salve as alterações.
3

Selecione Adicionar regra novamente, selecione enviar declarações usando uma regra personalizadae, em seguida, selecione próximo.

Esta regra fornece o ADFS com o atributo "qualificador de nomes" que o Cisco Webex não fornecer de outra forma.

  1. Abra o editor de texto e copie o seguinte conteúdo.

    c: [type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = > problema (tipo = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c. emissor, OriginalIssuer = c. OriginalIssuer, Value = c. Value, ValueType = c. ValueType, Propriedades ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/Format"] = "urn: Oasis: names: TC: SAML: 2.0: NameID-Format: transitória", Propriedades ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/NameQualifier"] = " <!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder--> URL1 <!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder--> ", Propriedades ["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = " <!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder--> URL2 <!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder--> ");

    Substitua URL1 e URL2 no texto da seguinte maneira:
    • URL1 é a EntityId do arquivo de metadados do ADFS que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie apenas a EntityId do arquivo de metadados do ADFS e cole-a no arquivo de texto para substituir o URL1

    • O URL2 está na primeira linha do arquivo Cisco Webex metadados que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie apenas a EntityId do arquivo de metadados do Cisco Webex e cole-o no arquivo de texto para substituir o URL2.

  2. Com as URLs atualizadas, copie a regra do seu editor de texto (iniciando em "c:") e cole-a na caixa regra personalizada no seu servidor ADFS.

    A regra completa deve ter a seguinte aparência:

  3. Selecione concluir para criar a regra e, em seguida, saia da janela Editar regras de declaração.

4

Selecione confiança da terceira parte confiável na janela principal e, em seguida, selecione Propriedades no painel direito.

5

Quando a janela Propriedades for exibida, navegue até a guia Avançado, SHA-256 e, em seguida, clique em OK para salvar suas alterações.

6

Navegue até a seguinte URL no servidor ADFS interno para baixar o arquivo: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Talvez seja necessário clicar com o botão direito do mouse na página e visualizar a origem da página para obter o arquivo XML formatado corretamente.

7

Salve o arquivo na sua máquina local.

O que Fazer Depois

Você está pronto para importar os metadados do ADFS de volta para Cisco Webex no portal de gerenciamento.

Importar os metadados IdP e habilitar o registro único após um teste

Depois de exportar os Cisco Webex metadados, configurar seu IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-lo para a sua organização de Cisco Webex do Control Hub.

Antes de Iniciar

Não teste a integração SSO da interface do provedor de identidade (IdP). Nós suportamos apenas os fluxos iniciados provedor de serviços (iniciados pelo SP), então você deve usar o Control Hub SSO teste para essa integração.

1

Escolha uma das opções:

  • Retorne à página Cisco Webex Control Hub – exportar metadados do diretório no seu navegador e, em seguida, clique em próximo.
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em https://admin.webex.com, vá para configurações, role até autenticação, escolha integrar um provedor de identidade de terceiros (avançado)e, em seguida, clique em próximo na página de arquivos de metadados confiáveis (porque você já fez isso antes).
2

Na página importar metadados IdP, arraste e solte o arquivo de metadados IdP na página ou use a opção navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Se os metadados não são assinados, são assinados com um certificado autoassinado, ou assinados com uma autoridade de certificação corporativa privada (CA), recomendamos que você use o certificado necessário assinado por uma autoridade de certificação em metadados (mais seguro). Se o certificado for auto-assinado, você precisará escolher a opção menos segura .

3

Selecione testar SSO conexãoe quando uma nova guia do navegador é aberta, autentique com o IDP entrando em sessão.


 

Se você receber um erro de autenticação, poderá haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro Webex Teams normalmente significa um problema com a configuração do SSO. Neste caso, percorra as etapas novamente, especialmente as etapas onde você copia e cola os metadados do Control Hub na configuração do IdP.

4

Retornar para a guia do navegador do Control Hub.

  • Se o teste foi bem sucedido, selecione este teste foi bem sucedido. Ative a opção de registro único e clique em próximo.
  • Se o teste não foi bem-sucedido, selecione este teste não foi bem-sucedido. Desative a opção de registro único e clique em próximo.

O que Fazer Depois

Você pode seguir o procedimento em suprime E-mails automatizados para desativar e-mails que são enviados para novos usuários do Webex Teams na sua organização. O documento também contém as melhores práticas para enviar comunicações para usuários na sua organização.

Atualizar Cisco Webex confiança da terceira parte confiável no AD FS

Esta tarefa é especificamente sobre atualizar o AD FS com os novos metadados SAML do Cisco Webex. Existem artigos relacionados se você precisar configurar SSO com o AD FS, ou se precisar Atualizar (um outro) IDP com metadados SAML para um novo certificado de SSO Webex.

Antes de Iniciar

Você precisa exportar o arquivo de metadados SAML do Control Hub antes de poder atualizar a Cisco Webex confiança da terceira parte confiável no AD FS.

1

Inicie sessão no servidor AD FS com permissões de administrador.
2

Carregue o arquivo de metadados SAML do Webex para uma pasta local temporária no servidor AD FS, por exemplo. ADFS_servername<org-ID>/Temp/idb-meta--SP. XML.

3

Abra o PowerShell.
4

Execute o obter-AdfsRelyingPartyTrust para ler todas as confianças da terceira parte confiável.

Observe o parâmetro targetName da confiança da terceira parte confiável Cisco Webex. Usamos o exemplo "Cisco Webex", mas pode ser diferente no seu AD FS.

5

Execute Update-AdfsRelyingPartyTrust-MetadataFile "//ADFS_servername/Temp/idb-meta-<org-ID>-SP. xml"-TargetName "Cisco Webex".

Certifique-se de substituir o nome do arquivo e o nome do destino pelos valores corretos do seu ambiente.

Consulte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Inicie sessão no Control Hub e, em seguida, teste a integração do SSO:

  1. Vá para configurações, role até autenticação, clique em Modificar.

  2. Selecione integrar um provedor de identidade de terceiros (avançado) e clique em próximo.

  3. Clique em próximo para ignorar a página importar metadados IDP.

    Você não precisa repetir essa etapa porque você importou previamente os metadados IdP.

  4. Clique em testar SSO conexão.

    Uma nova janela do navegador é aberta, redireciona você para a página de desafio do IdP.

  5. Inicie sessão para concluir o teste.

Solução de problemas do ADFS

Erros do ADFS em registros do Windows

Nos registros do Windows, você pode ver um código de erro do registro de eventos do ADFS 364. Os detalhes do evento identificam um certificado inválido. Nesses casos, o organizador do ADFS não é permitido através do firewall na porta 80 para validar o certificado.

ID da Federação

A ID da Federação diferencia maiúsculas de minúsculas. Se este for o seu endereço de e-mail corporativo, insira-o exatamente como o ADFS o envia ou Cisco Webex não pode encontrar o usuário correspondente.

Uma regra de declaração personalizada não pode ser gravada para normalizar o atributo LDAP antes de ser enviado.

Importe seus metadados do servidor ADFS que você configurou no seu ambiente.

Você pode verificar a URL, se necessário, navegando para o tipo de metadados do serviço de > terminais > > : metadados de Federação no gerenciamento de ADFS.

Sincronização de horário

Certifique-se de que o relógio do sistema do seu servidor ADFS esteja sincronizado com uma fonte de horário de Internet confiável que use o protocolo de horário de rede (NTP). Use o seguinte comando do PowerShell para inclinar o relógio para a relação de confiança de terceira parte confiável Cisco Webex apenas.

Set-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3

O valor hexadecimal é exclusivo do seu ambiente. Substitua o valor do valor da ID do SP EntityDescriptor no arquivo de metadados Cisco Webex. Por exemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">