Registro único e Webex Control Hub

O registro único (SSO) é um processo de autenticação de sessão ou usuário que permite ao usuário fornecer credenciais para acessar um ou mais aplicativos. O processo autentica os usuários em todos os aplicativos aos quais eles têm direitos. Ele elimina outros avisos quando os usuários alternam de aplicativos durante uma sessão específica.

O Protocolo de federação SAML 2.0 (Linguagem de marcação de asserção de segurança) é usado para fornecer autenticação de SSO entre o Cisco Webex em nuvem e o provedor de identidade (IdP).

Perfis

O Cisco Webex Teams é compatível apenas com o perfil SSO do navegador da web. No perfil SSO do navegador da web, o Cisco Webex Teams é compatível com as seguintes vinculações:

  • POST iniciado por SP -> vinculação de POST

  • REDIRECIONAMENTO iniciado por SP -> vinculação de POST

Formato da ID do nome

O Protocolo SAML 2.0 é compatível com vários formatos de NameID destinados à comunicação sobre um usuário específico. O Cisco Webex Teams é compatível com os seguintes formatos de NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Nos metadados que você carrega do IdP, a primeira entrada é configurada para uso no Cisco Webex.

SingleLogout

O Cisco Webex Teams é compatível com o perfil de logoff único. No aplicativo Cisco Webex Teams, um usuário pode finalizar a sessão do aplicativo, que usa o protocolo SAML de logoff único para encerrar a sessão e confirmar que a finalizou com o IdP. Certifique-se de que seu IdP esteja configurado para SingleLogout.

Integrar o Cisco Webex Control Hub com o ADFS


Os guias de configuração mostram um exemplo específico da integração de SSO, mas não fornecem uma configuração completa de todas as possibilidades. Por exemplo, as etapas de integração de nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient são documentadas. Outros formatos, como urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, funcionarão na integração de SSO, mas estão fora do escopo da nossa documentação.

Configure esta integração para usuários em sua organização Cisco Webex (incluindo Cisco Webex Teams, Cisco Webex Meetings e outros serviços administrados no Cisco Webex Control Hub). Se o site Webex estiver integrado no Cisco Webex Control Hub, o site Webex herdará o gerenciamento de usuários. Se você não conseguir acessar o Cisco Webex Meetings dessa maneira e ele não for gerenciado no Cisco Webex Control Hub, será necessário fazer uma integração separada para habilitar o SSO no Cisco Webex Meetings. (Consulte Configurar o registro único no Webex para obter mais informações sobre a integração de SSO na administração do site.)

Dependendo do que estiver configurado nos mecanismos de Autenticação do ADFS, a Autenticação integrada do Windows (IWA) poderá ser habilitada por padrão. Se habilitada, os aplicativos iniciados por meio do Windows (como o Webex Teams e o Conector de diretórios da Cisco) se autenticarão como o usuário que iniciou sessão, independentemente do endereço de e-mail inserido durante a solicitação inicial de e-mail.

Baixar os metadados do Cisco Webex no seu sistema local

1

Na exibição do cliente em https://admin.webex.com, vá para Configurações e role até Autenticação.

2

Clique em Modificar e em Integrar um provedor de identidade de terceiros. (Avançado) e, em seguida, clique em Próximo.

3

Baixe o arquivo de metadados.

O nome do arquivo de metadados do Cisco Webex é idb-meta-<org-ID>-SP.xml.

Instalar metadados do Cisco Webex no ADFS

Antes de começar

O Cisco Webex Control Hub é compatível com o ADFS 2.x ou posterior.

O Windows 2008 R2 inclui apenas o ADFS 1.0. Você deve instalar a versão mínima do ADFS 2.x da Microsoft.

Para serviços Cisco Webex e de SSO, os provedores de identidade (IdPs) devem estar em conformidade com a seguinte especificação SAML 2.0:

  • Defina o atributo de Formato da NameID para urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configure uma declaração no IdP para incluir o nome do atributo uid com um valor que seja mapeado no atributo escolhido no Conector de diretórios da Cisco ou no atributo do usuário que corresponde ao escolhido no serviço de identidade Cisco Webex. (Este atributo pode ser Endereços de e-mail ou o Nome principal do usuário, por exemplo.) Consulte as informações do atributo personalizado em https://www.cisco.com/go/hybrid-services-directory para obter orientação.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Abra o console de Gerenciamento ADFS e navegue até Relações de confiança > Objetos de confiança da terceira parte confiável > Adicionar objeto de confiança da terceira parte confiável.

3

Na janela Adicionar assistente do objeto de confiança da terceira parte confiável, selecione Iniciar.

4

Para Selecionar fonte de dados, selecione Importar dados sobre a terceira parte confiável de um arquivo, navegue até o arquivo de metadados do Cisco Webex Control Hub que você baixou e clique em Próximo.

5

Em Especificar nome de exibição, crie um nome de exibição para este objetivo de confiança da terceira parte confiável, como Cisco Webex e clique em Próximo.

6

Em Escolher regras de autorização de emissão, selecione Permitir que todos os usuários acessem esta terceira parte confiável e clique em Próximo.

7

Em Pronto para adicionar o objetivo de confiança, selecione Próximo e termine de adicionar o objetivo de confiança ao ADFS.

Criar regras de declaração para permitir a autenticação do Cisco Webex

1

No painel principal do ADFS, selecione a relação de confiança que você criou e clique em Editar regras de declaração. Na guia de Regras de transformação de emissão, selecione Adicionar regra.

2

Na etapa Escolher tipo de regra, selecione Enviar atributos LDAP como declarações e clique em Próximo.

  1. Insira um Nome da regra de declaração.

  2. Selecione Active Directory como o armazenamento de atributos.

  3. Mapeie o atributo LDAP de Endereços de e-mail quanto ao tipo de declaração de saída uid.

    Esta regra informa ao ADFS quais campos mapear no Cisco Webex para identificar um usuário. Digite os tipos de declaração de saída exatamente como mostrado.

  4. Salve suas alterações.

3

Clique em Adicionar regra novamente, selecione Enviar declarações usando uma regra personalizada e clique em Próximo.

Esta regra fornece ao ADFS o atributo "qualificador spname" que o Cisco Webex não fornece de outra forma.

  1. Abra o editor de texto e copie o seguinte conteúdo.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Substitua a URL1 e URL2 no texto da seguinte forma:
    • URL1 é a entityID do arquivo de metadados do ADFS que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copie apenas a entityID do arquivo de metadados do ADFS e cole-a no arquivo de texto para substituir a URL1

    • A URL2 está na primeira linha do arquivo de metadados do Cisco Webex que você baixou.

      Por exemplo, o seguinte é um exemplo do que você vê: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copie apenas a entityID do arquivo de metadados do Cisco Webex e cole-a no arquivo de texto para substituir a URL2.

  2. Com as URLs atualizadas, copie a regra do editor de texto (começando em "c:") e cole-a na caixa de regra personalizada no servidor ADFS.

    A regra concluída deve ser semelhante a esta:
  3. Selecione Concluir para criar a regra e saia da janela Editar regras de declaração.

4

Selecione Objeto de confiança da terceira parte confiável na janela principal e clique em Propriedades no painel direito.

5

Quando a janela de Propriedades for exibida, navegue até a guia Avançado, SHA-256 e clique em OK para salvar suas alterações.

6

Navegue até a seguinte URL no servidor ADFS interno para baixar o arquivo: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Talvez seja necessário clicar com o botão direito do mouse na página e visualizar a fonte da página para obter o arquivo XML formatado corretamente.

7

Salve o arquivo em sua máquina local.

O que fazer em seguida

Você está pronto para importar os metadados do ADFS de volta no Cisco Webex do portal de gerenciamento.

Importar os metadados do IdP e habilitar o registro único após um teste

Depois de exportar os metadados do Cisco Webex, configurar o IdP e baixar os metadados do IdP no seu sistema local, você estará pronto para importá-los para sua organização Cisco Webex do Control Hub.

Antes de começar

Não teste a integração de SSO da interface do fornecedor de identidade (IdP). Oferecemos suporte apenas para fluxos iniciados pelo provedor de serviços (iniciados por SP), portanto, você deve usar o teste de SSO do Control Hub nessa integração.

1

Escolha uma das opções:

  • Retorne à página do Cisco Webex Control Hub - Exportar metadados do diretório em seu navegador e clique em Próximo.
  • Se o Control Hub não estiver mais aberto na guia do navegador, na exibição do cliente em https://admin.webex.com, vá para Configurações, role até Autenticação, escolha Integrar um fornecedor de identidade de terceiros (Avançado) e clique em Próximo na página do arquivo de metadados confiáveis (porque você já fez isso antes).
2

Na página Importar metadados do IdP, arraste e solte o arquivo de metadados do IdP na página ou use a opção do navegador de arquivos para localizar e carregar o arquivo de metadados. Clique em Próximo.

Se os metadados não forem assinados, forem assinados por um certificado autoassinado ou por uma autoridade de certificação de empresa privada (CA), recomendamos que você use a opção Exigir certificado assinado por uma autoridade de certificação no metadados (mais seguro). Se o certificado for autoassinado, você deverá escolher a opção menos segura.

3

Selecione Testar conexão de SSO e quando uma nova guia do navegador for aberta, autentique-se com o IdP ao iniciar sessão.


 

Se você receber um erro de autenticação, talvez haja um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro no Webex Teams geralmente significa um problema com a configuração de SSO. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

4

Volte para a guia do navegador do Control Hub.

  • Se o teste for bem-sucedido, selecione Este teste foi bem-sucedido. Ative a opção de Registro único e clique em Próximo.
  • Se o teste não for bem-sucedido, selecione Este teste não foi bem-sucedido. Desative a opção de Registro único e clique em Próximo.

O que fazer em seguida

Você pode seguir o procedimento em Suprimir e-mails automatizados para desativar os e-mails enviados a novos usuários do Webex Teams em sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Atualizar o objeto de confiança da terceira parte confiável do Cisco Webex no ADFS

Esta tarefa é especificamente sobre como atualizar o ADFS com novos metadados SAML do Cisco Webex. Há artigos relacionados se você precisar configurar o SSO com o ADFS ou se precisar atualizar (um diferente) IdP com metadados SAML para um novo certificado SSO do Webex.

Antes de começar

Você deve exportar o arquivo de metadados SAML do Control Hub antes de atualizar o Objeto de confiança da terceira parte confiável do Cisco Webex no ADFS.

1

Inicie sessão no servidor ADFS com permissões de administrador.

2

Carregue o arquivo de metadados SAML do Webex para uma pasta local temporária no servidor ADFS, por exemplo, //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Abra o Powershell.

4

Execute Get-AdfsRelyingPartyTrust para ler todos os objetos de confiança da terceira parte confiável.

Observe o parâmetro TargetName do objeto de confiança da terceira parte confiável do Cisco Webex. Usamos o exemplo "Cisco Webex", mas pode ser diferente em seu ADFS.

5

Execute Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Certifique-se de substituir o nome do arquivo e o nome do destino pelos valores corretos do seu ambiente.

Consulte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Inicie sessão no Control Hub e teste a integração de SSO:

  1. Vá para Configurações, role até Autenticação e clique em Modificar.

  2. Selecione Integrar um provedor de identidade de terceiros (Avançado) e clique em Próximo.

  3. Clique em Próximo para pular a página Importar metadados do IdP.

    Não é necessário repetir essa etapa, pois você importou anteriormente os metadados do IdP.

  4. Clique em Testar conexão de SSO.

    Uma nova janela do navegador será aberta, redirecionando você para a página de desafio do IdP.

  5. Inicie sessão para concluir o teste.

Solução de problemas do ADFS

Erros do ADFS nos registros do Windows

Nos registros do Windows, você pode ver um código de erro 364 do registro de eventos do ADFS. Os detalhes do evento identificam um certificado inválido. Nesses casos, o host ADFS não tem permissão para validar o certificado através do firewall na porta 80.

ID da Federação

A ID da Federação diferencia maiúsculas e minúsculas. Se este for seu endereço de e-mail organizacional, insira-o exatamente conforme enviado pelo ADFS, caso contrário, o Cisco Webex não poderá encontrar o usuário correspondente.

Uma regra de declaração personalizada não pode ser gravada para normalizar o atributo LDAP antes do seu envio.

Importe os metadados do servidor ADFS que você configurou em seu ambiente.

Você pode verificar a URL, se necessário, navegando até Serviço > Terminais > Metadados > Tipo: metadados de federação no gerenciamento de ADFS.

Sincronização de hora

Certifique-se de que o relógio do sistema do servidor ADFS esteja sincronizado com uma fonte de horário confiável da Internet que use o protocolo NTP (Network Time Protocol). Use o seguinte comando do PowerShell para desviar o relógio apenas para o Objeto de confiança da terceira parte confiável do Cisco Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

O valor hexadecimal é exclusivo para seu ambiente. Substitua o valor do valor da ID do SP EntityDescriptor no arquivo de metadados do Cisco Webex. Por exemplo:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">