- Registro único e Webex Control Hub
- SingleLogout
- Integre Cisco Webex Control Hub com o ADFS
- Baixar os Cisco Webex metadados para o seu sistema local
- Instalar Cisco Webex metadados no ADFS
- Criar regras de declaração para permitir a autenticação de Cisco Webex
- Importar os metadados IdP e habilitar o registro único após um teste
- Atualizar Cisco Webex confiança da terceira parte confiável no AD FS
- Solução de problemas do ADFS
Registro único e Webex Control Hub
O registro único (SSO) é um processo de autenticação de sessão ou de usuário que permite que um usuário forneça credenciais para acessar um ou mais aplicativos. O processo autentica os usuários para todos os aplicativos para os quais eles recebem direitos. Ela elimina mais solicitações quando os usuários alternam os aplicativos durante uma sessão específica.
O protocolo de Federação do Security Assertion Markup Language (SAML 2,0) é usado para fornecer SSO autenticação entre o Cisco Webex Cloud e seu provedor de identidade (IdP).
Perfis
Cisco Webex Teams suporta apenas o perfil de SSO do navegador da Web. No perfil de SSO do navegador da Web, Cisco Webex Teams suporta as seguintes associações:
-
SP iniciou a ligação de post->
-
SP iniciado redirecionar > publicar ligação
Formato da ID do nome
O protocolo SAML 2,0 suporta vários formatos NameID para a comunicação sobre um usuário específico. Cisco Webex Teams suporta os seguintes formatos de NameID.
-
urn: Oasis: nomes: TC: SAML: 2.0: NameID-Format: transitório
-
urn: Oasis: nomes: TC: SAML: 1.1: NameID-Format: Unspecified
-
urn: Oasis: nomes: TC: SAML: 1.1: NameID-Format: emailAddress
Nos metadados que você carrega do seu IdP, a primeira entrada é configurada para uso em Cisco Webex.
SingleLogout
Cisco Webex Teams suporta o perfil de logoff único. No aplicativo Cisco Webex Teams, um usuário pode finalizar a sessão do aplicativo, que usa o protocolo de logoff único SAML para encerrar a reunião e confirmar que você pode sair com o seu IdP. Certifique-se de que seu IdP está configurado para SingleLogout.
Integre Cisco Webex Control Hub com o ADFS
Os guias de configuração mostram um exemplo específico para SSO integração, mas não fornecem configuração exaustiva para todas as possibilidades. Por exemplo, as etapas de integração para NameID-Format urn: Oasis: names: TC: SAML: 2.0: NameID-Format: transitório está documentado. Outros formatos, como urn: Oasis: names: TC: SAML: 1.1: nomeid-Format: Unspecified ou urn: Oasis: names: TC: SAML: 1.1: NameID-Format: EmailAddress funcionará para a integração do SSO, mas está fora do escopo da nossa documentação. |
Configurar essa integração para usuários na sua organização Cisco Webex (incluindo Cisco Webex Teams, Cisco Webex Meetings e outros serviços administrados no Cisco Webex Control Hub). Se seu site Webex estiver integrado no Cisco Webex Control Hub, o site Webex herdará o gerenciamento de usuários. Se você não conseguir acessar Cisco Webex Meetings dessa forma e ele não for gerenciado no Cisco Webex Control Hub, você deverá fazer uma integração separada para habilitar o SSO para Cisco Webex Meetings. (Consulte Configure o registro único para Webex para obter mais informações na integração do SSO em administração do site.)
Dependendo do que está configurado nos mecanismos de autenticação no ADFS, a autenticação integrada do Windows (IWA) pode ser ativada por padrão. Se habilitados, os aplicativos que são iniciados através do Windows (como Webex Teams e Cisco Conector de diretórios) são autenticados como o usuário que está conectado, independentemente de qual endereço de e-mail é inserido durante o aviso de e-mail inicial.
Baixar os Cisco Webex metadados para o seu sistema local
1 |
Na exibição do cliente em https://admin.webex.com, vá para configuraçõese role até a autenticação. |
2 |
Clique em Modificar, clique em integrar um provedor de identidade de terceiros. (Avançado)e, em seguida, clique em próximo. |
3 |
Baixe o arquivo de metadados. O nome de arquivo de metadados Cisco Webex é idb-meta-<org-ID>-SP. XML. |
Instalar Cisco Webex metadados no ADFS
Antes de Iniciar
Cisco Webex Control Hub suporta ADFS 2. x ou posterior.
O Windows 2008 R2 inclui apenas o ADFS 1,0. Você deve instalar um mínimo de ADFS 2. x da Microsoft.
Para os serviços SSO e Cisco Webex, os provedores de identidade (IdPs) devem estar de acordo com a seguinte especificação SAML 2,0:
-
Defina o atributo de formato NameID para urn: Oasis: names: TC: SAML: 2.0: NameID-Format:transitório
-
Configure uma declaração no IdP para incluir o nome do atributo UID com um valor que é mapeado para o atributo escolhido no Cisco conector de diretórios ou o atributo de usuário que corresponde ao que foi escolhido na Cisco Webex serviço de identidade. (Este atributo pode ser endereço de E-mail ou nome principal do usuário, por exemplo). Consulte as informações sobre atributos personalizados em https://www.cisco.com/go/hybrid-services-directory para obter orientação.
1 |
Inicie sessão no servidor ADFS com permissões de administrador. |
2 |
Abra o console de gerenciamento do ADFS e navegue para . |
3 |
Na janela Adicionar Assistente de confiança da terceira parte confiável , selecione Iniciar. |
4 |
Para selecionar fonte de dados , selecione Importar dados sobre a terceira parte confiável de um arquivo, navegue até o arquivo Cisco Webex Control Hub metadados que você baixou e selecione próximo. |
5 |
Para especificar o nome de exibição, crie um nome de exibição para esta confiança da terceira parte confiável, como Cisco Webex e selecione próximo. |
6 |
Para escolher regras de autorização de emissão, selecione permitir que todos os usuários acessem esta terceira parte confiávele selecione próximo. |
7 |
Para pronto para adicionar confiança, selecione próximo e conclua adicionar a confiança confiante ao ADFS. |
Criar regras de declaração para permitir a autenticação de Cisco Webex
1 |
No painel principal do ADFS, selecione a relação de confiança que você criou e, em seguida, selecione Editar regras de Declaração. Na guia regras de transformação de emissão, selecione Adicionar regra. |
||
2 |
Na etapa escolher tipo de regra, selecione Enviar atributos LDAP como declaraçõese, em seguida, selecione próximo. ![]() |
||
3 |
Selecione Adicionar regra novamente, selecione enviar declarações usando uma regra personalizadae, em seguida, selecione próximo. Esta regra fornece o ADFS com o atributo "qualificador de nomes" que o Cisco Webex não fornecer de outra forma. |
||
4 |
Selecione confiança da terceira parte confiável na janela principal e, em seguida, selecione Propriedades no painel direito. |
||
5 |
Quando a janela Propriedades for exibida, navegue até a guia Avançado, SHA-256 e, em seguida, clique em OK para salvar suas alterações. |
||
6 |
Navegue até a seguinte URL no servidor ADFS interno para baixar o arquivo: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml
|
||
7 |
Salve o arquivo na sua máquina local. |
O que Fazer Depois
Você está pronto para importar os metadados do ADFS de volta para Cisco Webex no portal de gerenciamento.
Importar os metadados IdP e habilitar o registro único após um teste
Depois de exportar os Cisco Webex metadados, configurar seu IdP e baixar os metadados IdP para o sistema local, você estará pronto para importá-lo para a sua organização de Cisco Webex do Control Hub.
Antes de Iniciar
Não teste a integração SSO da interface do provedor de identidade (IdP). Nós suportamos apenas os fluxos iniciados provedor de serviços (iniciados pelo SP), então você deve usar o Control Hub SSO teste para essa integração.
1 |
Escolha uma das opções:
|
||
2 |
Na página importar metadados IdP, arraste e solte o arquivo de metadados IdP na página ou use a opção navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo. Se os metadados não são assinados, são assinados com um certificado autoassinado, ou assinados com uma autoridade de certificação corporativa privada (CA), recomendamos que você use o certificado necessário assinado por uma autoridade de certificação em metadados (mais seguro). Se o certificado for auto-assinado, você precisará escolher a opção menos segura . |
||
3 |
Selecione testar SSO conexãoe quando uma nova guia do navegador é aberta, autentique com o IDP entrando em sessão.
|
||
4 |
Retornar para a guia do navegador do Control Hub.
|
O que Fazer Depois
Você pode seguir o procedimento em suprime E-mails automatizados para desativar e-mails que são enviados para novos usuários do Webex Teams na sua organização. O documento também contém as melhores práticas para enviar comunicações para usuários na sua organização.
Atualizar Cisco Webex confiança da terceira parte confiável no AD FS
Antes de Iniciar
Você precisa exportar o arquivo de metadados SAML do Control Hub antes de poder atualizar a Cisco Webex confiança da terceira parte confiável no AD FS.
1 |
Inicie sessão no servidor AD FS com permissões de administrador. |
2 |
Carregue o arquivo de metadados SAML do Webex para uma pasta local temporária no servidor AD FS, por exemplo. |
3 |
Abra o PowerShell. |
4 |
Execute o Observe o |
5 |
Execute Certifique-se de substituir o nome do arquivo e o nome do destino pelos valores corretos do seu ambiente. Consulte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust. |
6 |
Inicie sessão no Control Hub e, em seguida, teste a integração do SSO: |
Solução de problemas do ADFS
Erros do ADFS em registros do Windows
Nos registros do Windows, você pode ver um código de erro do registro de eventos do ADFS 364. Os detalhes do evento identificam um certificado inválido. Nesses casos, o organizador do ADFS não é permitido através do firewall na porta 80 para validar o certificado.
ID da Federação
A ID da Federação diferencia maiúsculas de minúsculas. Se este for o seu endereço de e-mail corporativo, insira-o exatamente como o ADFS o envia ou Cisco Webex não pode encontrar o usuário correspondente.
Uma regra de declaração personalizada não pode ser gravada para normalizar o atributo LDAP antes de ser enviado.
Importe seus metadados do servidor ADFS que você configurou no seu ambiente.
Você pode verificar a URL, se necessário, navegando para o
de Federação no gerenciamento de ADFS.Sincronização de horário
Certifique-se de que o relógio do sistema do seu servidor ADFS esteja sincronizado com uma fonte de horário de Internet confiável que use o protocolo de horário de rede (NTP). Use o seguinte comando do PowerShell para inclinar o relógio para a relação de confiança de terceira parte confiável Cisco Webex apenas.
Set-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3
O valor hexadecimal é exclusivo do seu ambiente. Substitua o valor do valor da ID do SP EntityDescriptor no arquivo de metadados Cisco Webex. Por exemplo:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">