Система единого входа и Control Hub

Система единого входа (SSO) – это процесс аутентификации сеанса или пользователя, благодаря которому пользователь может предоставлять учетные данные для доступа к одному или нескольким приложениям. В ходе процесса выполняется аутентификация пользователей для всех приложений, на которые им предоставлены права. В дальнейшем, когда пользователь будет переключаться между приложениями во время определенного сеанса, подсказки не будут отображаться.

Протокол федерации языка разметки подтверждения безопасности (SAML 2.0) используется для обеспечения аутентификации SSO между облаком Webex и поставщиком удостоверений (idP).

Профили

Приложение Webex поддерживает только профиль SSO веб-браузера. В профиле SSO веб-браузера приложение Webex поддерживает следующие привязки.

  • Поставщик услуг инициировал привязку POST -> POST.

  • Поставщик услуг инициировал привязку REDIRECT -> POST.

Формат NameID

Протокол SAML 2.0 поддерживает несколько форматов NameID для взаимодействия с определенным пользователем. Приложение Webex поддерживает следующие форматы NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданных, загружаемых от idP, первая запись настроена для использования в Webex.

Единый выход из системы

Приложение Webex поддерживает профиль единого выхода из системы. В приложении Webex пользователь может выйти из приложения, в котором для завершения сеанса и подтверждения выхода с помощью поставщика удостоверений используется протокол единого выхода из системы SAML. Проверьте, заданы ли настройки поставщика удостоверений для единого выхода из системы.

Интеграция Control Hub с ADFS


В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования формата NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified или urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Настройте эту интеграцию для пользователей в своей организации Webex (включая приложение Webex, Webex Meetings и другие службы, администрирование которых осуществляется в Control Hub). Если веб-сайт Webex интегрирован в Control Hub, веб-сайт Webex унаследует способ управления пользователями. Если таким способом не удается получить доступ к Webex Meetings и управление осуществляется не в Control Hub, то для того, чтобы включить SSO для Webex Meetings, необходимо выполнить отдельную интеграцию. (Дополнительная информация об интеграции системы единого входа со службой администрирования веб-сайта в статье: Настройка системы единого входа для Webex.)

В зависимости от настройки аутентификации в ADFS, встроенная аутентификация Windows (IWA) может быть включена по умолчанию. Если этот параметр включен, приложения, запущенные в Windows (например, Webex и соединитель каталогов Cisco), будут аутентифицированы в качестве пользователя, выполнившего вход, независимо от того, какой адрес электронной почты был введен при первоначальном запросе адреса электронной почты.

Скачивание метаданных Webex в локальную систему

1

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к параметру Управление > Настройки организации, затем прокрутите страницу до параметра Аутентификация и перейдите к настройкам Системы единого входа, чтобы запустить мастер настройки.

2

Выберите тип сертификата для своей организации.

  • Самоподписанный сертификат Cisco – рекомендуем выбрать этот тип сертификата. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Сертификат, подписанный центром сертификации, – более безопасный вариант, но вам придется чаще обновлять метаданные (за исключением случаев, когда ваш поставщик удостоверений поддерживает точки доверия).

 

Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

3

Скачайте файл метаданных.

Имя файла метаданных Webex: idb-meta-<org-ID>-SP.xml.

Установка метаданных Webex в ADFS

Прежде чем начать

Control Hub поддерживает ADFS 2.x и последующих версий.

Windows 2008 R2 включает только ADFS 1.0. Необходимо установить версию ADFS 2.x от Microsoft или более позднюю.

Для системы единого входа и служб Webex поставщики удостоверений (IdP) должны соответствовать спецификации SAML 2.0.

  • Задайте для атрибута формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте в параметрах IdP запрос для добавления имени атрибута UID со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов Cisco, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Webex. (Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.) Информацию о пользовательских атрибутах см. в статье https://www.cisco.com/go/hybrid-services-directory.

1

Войдите на сервер ADFS с полномочиями администратора.

2

Откройте консоль управления ADFS и перейдите в раздел Доверительные отношения > Отношение доверия с проверяющей стороной > Добавить отношение доверия с проверяющей стороной.

3

В окне мастера добавления отношения доверия с проверяющей стороной выберите Начать.

4

Для параметра Выбрать источник данных выберите Импорт данных о проверяющей стороне из файла, перейдите к скачанному файлу метаданных Control Hub и нажмите Далее.

5

Для параметра Указать отображаемое имя задайте отображаемое имя для этого отношения доверия с проверяющей стороной, например Webex, и нажмите Далее.

6

Для параметра Выбрать правила авторизации выдачи выберите Разрешить всем пользователям доступ к этой проверяющей стороне и нажмите Далее.

7

В окне Готово к добавлению отношения доверия нажмите Далее и завершите добавление отношения доверия с проверяющей стороной в ADFS.

Создание правил заявки для аутентификации в Webex

1

На главной панели ADFS выберите созданное отношение доверия, а затем нажмите Редактировать правила заявки. На вкладке "Правила передачи" нажмите Добавить правило.

2

На этапе выбора типа правила выберите Отправить атрибуты LDAP как заявки, а затем нажмите Далее.

  1. Введите Название правила заявок.

  2. Выберите Active Directory в качестве хранилища атрибутов.

  3. Сопоставьте атрибут LDAP Адрес электронной почты с типом исходящей заявки UID.

    Это правило передает в ADFS поля, которые следует сопоставлять с Webex для идентификации пользователя. Называйте типы исходящей заявки в точности так, как указано.

  4. Сохраните внесенные изменения.

3

Еще раз выберите Добавить правило, нажмите Отправить заявки с помощью пользовательского правила, а затем выберите Далее.

С помощью этого правила в ADFS предоставляется атрибут spname qualifier, который в ином случае не предоставляется Webex.

  1. Откройте текстовый редактор и скопируйте приведенный ниже контент.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Замените URL1 и URL2 в тексте по указанному ниже принципу.

    • URL1 – это идентификатор объекта из скачанного файла метаданных ADFS.

      Пример отображаемой ссылки: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Скопируйте только идентификатор объекта из файла метаданных ADFS и вставьте его в текстовый файл для замены URL1.

    • URL2 находится на первой строке скачанного файла метаданных Webex.

      Пример отображаемой ссылки: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Скопируйте только идентификатор объекта из файла метаданных Webex и вставьте его в текстовый файл вместо URL2.

  2. Используя обновленные URL-адреса, скопируйте правило из текстового редактора (начиная с "c:") и вставьте в поле пользовательского правила на своем сервере ADFS.

    Готовое правило должно выглядеть следующим образом:
  3. Нажмите кнопку Готово, чтобы создать правило, затем закройте окно "Редактировать правила заявок".

4

В главном окне выберите Отношение доверия с проверяющей стороной, затем на правой панели выберите Свойства.

5

В открывшемся окне "Свойства" перейдите на вкладку Дополнительно, SHA-256, затем нажмите ОК, чтобы сохранить изменения.

6

Чтобы скачать файл, перейдите по следующему URL-адресу на внутреннем сервере ADFS: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Чтобы формат файла XML был правильным, может потребоваться щелкнуть страницу правой кнопкой мыши и просмотреть источник страницы.

7

Сохраните файл на локальном диске компьютера.

Дальнейшие действия

Можно импортировать метаданные ADFS из портала управления обратно в Webex.

Импорт метаданных поставщика удостоверений и активация системы единого входа после тестирования

После экспорта метаданных Webex, настройки idP и скачивания метаданных idP на локальную систему можно импортировать их в свою организацию Webex из Control Hub.

Прежде чем начать

Не тестируйте интеграцию SSO в интерфейсе поставщика удостоверений (IdP). Поддерживаются только процессы, инициированные поставщиками услуг, поэтому для этой интеграции необходимо использовать тестирование SSO в Control Hub.

1

Выберите один из вариантов.

  • Вернитесь в Control Hub на страницу выбора сертификатов в браузере и щелкните Далее.
  • Если Control Hub не открыт во вкладке браузера, в окне просмотра информации о клиенте в https://admin.webex.com перейдите в раздел Управление > Настройки организации, прокрутите страницу до раздела Аутентификация и выберите Действия > Импорт метаданных.
2

На странице импорта метаданных IdP перетащите файл метаданных IdP на страницу либо воспользуйтесь параметром "Браузер файлов", чтобы найти и загрузить файл метаданных. Щелкните Далее.

По возможности используйте параметр Более безопасно. Это возможно только в том случае, если ваш поставщик удостоверений использовал общедоступный ЦС для подписи своих метаданных.

Во всех остальных случаях необходимо использовать параметр Менее безопасно. Он также используется, если метаданные не подписаны, являются самоподписанными или подписаны частным ЦС.

3

Выберите Настройка тестирования SSO и в открывшейся новой вкладке браузера выполните аутентификацию с помощью поставщика удостоверений посредством входа в систему.


 

Если вы получаете сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в приложении Webex обычно означает, что настройки SSO выполнены неверно. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку IdP.


 

Для непосредственного наблюдения за процессом входа в SSO также можно щелкнуть Скопировать URL-адрес в буфер обмена на этом экране и вставить его в окно своего браузера. После этого можно войти в систему посредством SSO. На этом этапе ложные срабатывания блокируются благодаря наличию маркера доступа, который может быть создан в текущем сеансе после вашего входа в систему.

4

Вернитесь на вкладку браузера с Control Hub.

  • Если тестирование прошло успешно, выберите Тест прошел успешно. Включите SSO и щелкните Далее.
  • Если тестирование прошло с ошибками, выберите Не удалось выполнить тест. Выключите SSO и щелкните Далее.

 

Для вступления в силу конфигурации SSO в вашей организации нужно выбрать первый переключатель и включить SSO.

Дальнейшие действия

Для деактивации отправки сообщений по электронной почте новым пользователям приложения Webex в вашей организации выполните процедуру Запрет автоматической рассылки по электронной почте. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.

Обновление отношения доверия с проверяющей стороной Webex в ADFS

Эта задача специально предназначена для обновления ADFS с помощью новых метаданных SAML от Webex. Существуют похожие статьи, если необходимо настроить SSO с AD FS, или если необходимо обновить (другой) IdP метаданными SAML для нового сертификата SSO Webex.

Прежде чем начать

Чтобы обновить отношения доверия с проверяющей стороной Webex в ADFS, необходимо экспортировать файл метаданных SAML из Control Hub.

1

Войдите на сервер AD FS с полномочиями администратора.

2

Загрузите файл метаданных SAML из Webex во временную локальную папку на сервере ADFS, например, //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Откройте Powershell.

4

Выполните команду Get-AdfsRelyingPartyTrust чтобы прочесть все отношения доверия с проверяющей стороной.

Обратите внимание на TargetName параметр отношений доверия с проверяющей стороной Webex. Мы используем пример «Cisco Webex», но в вашем AD FS все может быть иначе.

5

Выполните команду Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Замените имя файла и целевое имя правильными значениями из вашей среды.

См. https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Если вы скачали сертификат Webex SP на 5 лет и у вас включена функция подписи или отзыва сертификата шифрования, вам нужно выполнить две команды. Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Войдите в Control Hub, а затем проверьте интеграцию SSO.

  1. Выберите Управление > Настройки организации, прокрутите страницу до раздела Аутентификация и перейдите к настройкам системы единого входа, чтобы запустить мастер настройки.

  2. Щелкните Далее, чтобы пропустить страницу «Импорт метаданных IdP».

    Повторение этого шага не требуется, поскольку вы ранее уже импортировали метаданные IdP.

  3. Протестируйте соединение системы единого входа перед ее включением. На этом шаге выполняется пробный запуск, что не влияет на настройки вашей организации, пока SSO не будет активирована на следующем шаге.


     

    Для непосредственного наблюдения за процессом входа в SSO также можно щелкнуть Скопировать URL-адрес в буфер обмена на этом экране и вставить его в окно своего браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

  4. Войдите, чтобы выполнить тест.

Устранение неполадок ADFS

Ошибки ADFS в журналах Windows

В журналах Windows может отображаться код ошибки 364 в журнале событий ADFS. В сведениях о событии указан недействительный сертификат. В таких случаях узлу ADFS не разрешается проверка сертификата через порт 80 брандмауэра.

Произошла ошибка при попытке построения цепочки сертификатов отношения доверия с проверяющей стороной

При обновлении SSO сертификата во время входа в систему может появиться эта ошибка: Invalid status code in response.

Если вы видите эту ошибку, проверьте журналы в окне просмотра событий на сервере ADFS и найдите следующую ошибку: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Возможные причины: сертификат был отозван, цепочка сертификатов не может быть проверена (как указано в настройках отзыва сертификата шифрования отношения доверия с проверяющей стороной), сертификат не соответствует сроку действия.

В случае этой ошибки необходимо запустить команды Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck No

Идентификатор федерации

Идентификатор федерации задается с учетом регистра. Если это ваш адрес электронной почты в организации, введите его в том виде, в котором ADFS отправляет его, иначе найти в Webex соответствующего пользователя будет невозможно.

Невозможно записать пользовательское правило заявок, чтобы нормализовать атрибут LDAP перед отправкой.

Импортируйте метаданные с сервера ADFS, настроенного в среде.

При необходимости можно проверить URL-адрес, перейдя в раздел Служба > Терминальные устройства > Метаданные > Тип: метаданные федерации на консоли управления ADFS.

Синхронизация времени

Проверьте, синхронизированы ли системные часы сервера ADFS с надежным источником времени в Интернете, который использует протокол сетевого времени (NTP). Для отклонения хода часов только для отношения доверия с проверяющей стороной Webex используйте приведенную ниже команду PowerShell.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Шестнадцатеричное значение уникально для вашей среды. Замените значение идентификатора SP EntityDescriptor в файле метаданных Webex. Например:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">