Система единого входа и Webex Control Hub

Система единого входа (SSO) – это процесс аутентификации сеанса или пользователя, благодаря которому пользователь может предоставлять учетные данные для доступа к одному или нескольким приложениям. В ходе процесса выполняется аутентификация пользователей для всех приложений, на которые им предоставлены права. В дальнейшем, когда пользователь будет переключаться между приложениями во время определенного сеанса, подсказки не будут отображаться.

Протокол федерации языка разметки подтверждения безопасности (SAML 2.0) используется для обеспечения аутентификации системы единого входа между облаком Cisco Webex и поставщиком удостоверений (IdP).

Профили

Cisco Webex Teams поддерживает только профиль системы единого входа веб-браузера. В профиле системы единого входа веб-браузера Cisco Webex Teams поддерживает приведенные ниже привязки.

  • Поставщик услуг инициировал привязку POST -> POST.

  • Поставщик услуг инициировал привязку REDIRECT -> POST.

Формат NameID

Протокол SAML 2.0 поддерживает несколько форматов NameID для взаимодействия с определенным пользователем. Cisco Webex Teams поддерживает приведенные ниже форматы NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

В метаданных, загружаемых от поставщика удостоверений, первая запись настроена для использования в Cisco Webex.

Единый выход из системы

Cisco Webex Teams поддерживает профиль единого выхода из системы. В приложении Cisco Webex Teams пользователь может выйти из приложения, в котором для завершения сеанса и подтверждения выхода с помощью поставщика удостоверений используется протокол единого выхода из системы SAML. Проверьте, заданы ли настройки поставщика удостоверений для единого выхода из системы.

Интеграция Cisco Webex Control Hub с ADFS


В руководствах по настройке не предоставлены исчерпывающие сведения о настройке всевозможных конфигураций, а показан только отдельный пример интеграции системы единого входа. Например, описаны шаги для интегрирования формата NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient. Другие форматы, такие как urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified или urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, будут работать с интеграцией SSO, однако в документации не описаны.

Настройте эту интеграцию для пользователей в вашей организации Cisco Webex (включая Cisco Webex Teams, Cisco Webex Meetings и другие службы, администрирование которых осуществляется в Cisco Webex Control Hub). Если веб-сайт Webex интегрирован в Cisco Webex Control Hub, веб-сайт Webex унаследует способ управления пользователями. Если таким способом не удается получить доступ к Cisco Webex Meetings и управление осуществляется не в Cisco Webex Control Hub, то чтобы включить систему единого входа для Cisco Webex Meetings, необходимо выполнить отдельную интеграцию. (Дополнительная информация об интеграции системы единого входа со службой администрирования веб-сайта в статье: Настройка системы единого входа для Webex.)

В зависимости от настройки аутентификации в ADFS, встроенная аутентификация Windows (IWA) может быть включена по умолчанию. Если этот параметр включен, приложения, запущенные в Windows (например, Webex Teams и соединитель каталогов Cisco), будут аутентифицированы в качестве пользователя, выполнившего вход, независимо от того, какой адрес электронной почты был введен при первоначальном запросе адреса электронной почты.

Скачивание метаданных Cisco Webex на локальную систему

1

В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Настройки и прокрутите страницу до раздела Аутентификация.

2

Щелкните изменить, щелкните интегрировать стороннего поставщика удостоверений. (Дополнительно), а затем щелкните Далее.

3

Скачайте файл метаданных.

Имя файла метаданных Cisco Webex: idb-meta-<org-ID>-SP.xml.

Установка метаданных Cisco Webex в ADFS

Подготовка

Cisco Webex Control Hub поддерживает ADFS 2.x или более поздней версии.

Windows 2008 R2 включает только ADFS 1.0. Необходимо установить версию ADFS 2.x от Microsoft или более позднюю.

Для системы единого входа и служб Cisco Webex поставщики удостоверений (IdP) должны соответствовать спецификации SAML 2.0.

  • Задайте для атрибута формата NameID значение urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Настройте в параметрах поставщика удостоверений запрос для добавления имени атрибута UID со значением, сопоставленным с атрибутом, который выбран в соединителе каталогов Cisco, или атрибутом пользователя, который соответствует выбранному в службе удостоверений Cisco Webex. (Например, можно использовать атрибут E-mail-Addresses или User-Principal-Name.) Информацию о пользовательских атрибутах см. в статье https://www.cisco.com/go/hybrid-services-directory.

1

Войдите на сервер ADFS с полномочиями администратора.

2

Откройте консоль управления ADFS и перейдите к доверительным отношениям отношение доверия с > проверяющей стороной > Добавить отношение доверия с проверяющейстороной.

3

В окне мастера добавления отношения доверия с проверяющей стороной выберите Начать.

4

Для параметра Выбрать источник данных выберите Импорт данных о проверяющей стороне из файла, перейдите к скачанному файлу метаданных Cisco Webex Control Hub и нажмите Далее.

5

Для параметра Указать отображаемое имя задайте отображаемое имя для этого отношения доверия с проверяющей стороной, например Cisco Webex, и нажмите Далее.

6

Для параметра Выбрать правила авторизации выдачи выберите Разрешить всем пользователям доступ к этой проверяющей стороне и нажмите Далее.

7

Для добавления доверительных отношенийвыберите Далее и завершите Добавление доверяющего доверия в ADFS.

Создание правил заявок на разрешение аутентификации в Cisco Webex

1

На главной панели ADFS выберите созданное отношение доверия, а затем нажмите Редактировать правила заявки. На вкладке "Правила передачи" нажмите Добавить правило.

2

На этапе выбора типа правила выберите Отправить атрибуты LDAP как заявки, а затем нажмите Далее.

  1. Введите Название правила заявок.

  2. Выберите Active Directory в качестве хранилища атрибутов.

  3. Сопоставьте атрибут LDAP Адрес электронной почты с типом исходящей заявки UID.

    Это правило передает в ADFS поля, которые следует сопоставлять с Cisco Webex для идентификации пользователя. Называйте типы исходящей заявки в точности так, как указано.

  4. Сохраните внесенные изменения.

3

Еще раз выберите Добавить правило, нажмите Отправить заявки с помощью пользовательского правила, а затем выберите Далее.

Это правило передает в ADFS атрибут spname qualifier, который в ином случае не предоставляется Cisco Webex.

  1. Откройте текстовый редактор и скопируйте приведенный ниже контент.

    c: [type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = ошибка > (Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c. Issuer, Оригиналиссуер = c. Оригиналиссуер, value = c. Value, ValueType = c. ValueType, свойства ["http://schemas.xmlsoap.org/WS/2005/05/Identity/ClaimProperties/Format"] = "urn: Oasis: Names: TC: SAML: 2.0: NameID-Format: временные", свойства ["http://schemas.xmlsoap.org/WS/2005/05/Identity/ClaimProperties/namequalifier"] = " <!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder--> URL1 <!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder--> ", свойства ["http://schemas.xmlsoap.org/WS/2005/05/Identity/ClaimProperties/spnamequalifier"] = "URL2 <!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder--> <!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder--> ");

    Замените URL1 и URL2 в тексте по указанному ниже принципу.
    • URL1 – это идентификатор объекта из скачанного файла метаданных ADFS.

      Пример отображаемой ссылки: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Скопируйте только идентификатор объекта из файла метаданных ADFS и вставьте его в текстовый файл для замены URL1.

    • URL2 находится в первой строке скачанного файла метаданных Cisco Webex.

      Пример отображаемой ссылки: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Скопируйте только идентификатор объекта из файла метаданных Cisco Webex и вставьте его в текстовый файл вместо URL2.

  2. Используя обновленные URL-адреса, скопируйте правило из текстового редактора (начиная с "c:") и вставьте в поле пользовательского правила на своем сервере ADFS.

    Готовое правило должно выглядеть следующим образом:
  3. Нажмите кнопку Готово, чтобы создать правило, затем закройте окно "Редактировать правила заявок".

4

В главном окне выберите Отношение доверия с проверяющей стороной, затем на правой панели выберите Свойства.

5

В открывшемся окне "Свойства" перейдите на вкладку Дополнительно, SHA-256, затем нажмите ОК, чтобы сохранить изменения.

6

Чтобы скачать файл, перейдите по следующему URL-адресу на внутреннем сервере ADFS: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Чтобы формат файла XML был правильным, может потребоваться щелкнуть страницу правой кнопкой мыши и просмотреть источник страницы.

7

Сохраните файл на локальном диске компьютера.

Дальнейшие действия

Можно импортировать метаданные ADFS из портала управления обратно в Cisco Webex.

Импорт метаданных поставщика удостоверений и включение системы единого входа после теста

После экспорта метаданных Cisco Webex, настройки IdP и скачивания метаданных IdP в локальную систему можно импортировать их в свою организацию Cisco Webex из Control Hub.

Подготовка

Не тестируйте интеграцию SSO в интерфейсе поставщика удостоверений (IdP). Поддерживаются только процессы, инициированные поставщиками услуг, поэтому для этой интеграции необходимо использовать тестирование SSO в Control Hub.

1

Выберите один из вариантов.

  • Вернитесь в Cisco Webex Control Hub на страницу экспорта метаданных каталога в браузере и щелкните Далее.
  • Если Control Hub больше не открыт на вкладке браузера, в окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Настройки, прокрутите страницу до раздела Аутентификация, выберите Интегрировать стороннего поставщика удостоверений (расширенно), а затем щелкните Далее на странице файла метаданных доверия (поскольку это уже сделано ранее).
2

На странице импорта метаданных IdP перетащите файл метаданных IdP на страницу либо воспользуйтесь параметром "Браузер файлов", чтобы найти и загрузить файл метаданных. Щелкните Далее.

Если метаданные не подписаны, подписаны с помощью самоподписанного сертификата или подписаны с помощью частного корпоративного центра сертификации (CA), рекомендуется использовать требуемый сертификат, подписанный центром сертификации метаданных (более защищенный). Если сертификат является самоподписанным, необходимо выбрать менее защищенный вариант.

3

Выберите тест SSO соединение, а затем при открытии новой вкладки браузера выполните аутентификацию в IDP, войдя в систему.


 

Если вы получаете сообщение об ошибке аутентификации, возможно, возникла проблема с учетными данными. Проверьте имя пользователя и пароль и повторите попытку.

Ошибка в Webex Teams обычно означает проблему с настройкой системы единого входа. В этом случае повторите шаги еще раз, особенно шаги копирования и вставки метаданных Control Hub в настройку поставщика удостоверений.

4

Вернитесь на вкладку браузера с Control Hub.

  • Если проверка прошла успешно, выберите Тест выполнен. Включите параметр единого входа и щелкните Далее.
  • Если тест не был успешным, выберите Тест не выполнен. Отключите параметр единого входа и щелкните Далее.

Дальнейшие действия

Следуйте процедуре блокирования автоматических рассылок по электронной почте для отключения электронных сообщений, отправляемых новым пользователям Webex Teams в вашей организации. В документе также содержатся рекомендации по отправке коммуникаций пользователям вашей организации.

Обновление отношения доверия с проверяющей стороной Cisco Webex в AD FS

Эта задача в частности об обновлении AD FS с новыми метаданными SAML из Cisco Webex. Существуют ли соответствующие статьи в случае необходимости настройки SSO с помощью AD FSили при необходимости обновления (другого) IDP с метаданными SAML для нового сертификата SSO Webex.

Подготовка

Необходимо экспортировать файл метаданных SAML из Control Hub, прежде чем можно будет обновить отношение доверия с проверяющей стороной Cisco Webex в AD FS.

1

Войдите на сервер AD FS с полномочиями администратора.

2

Загрузите файл метаданных SAML из Webex в временную локальную папку на сервере AD FS, например. ADFS_servername<org-ID>/темп/ИДБ-мета--СП. XML.

3

Откройте PowerShell.

4

Выполните Get-адфсрелингпартитруст для чтения всех отношений доверия с проверяющей стороной.

Обратите внимание на параметр TargetName для отношения доверия с проверяющей стороной Cisco Webex. Мы используем пример "Cisco Webex", но в AD FS он может отличаться.

5

Запустите Update-адфсрелингпартитруст-метадатафиле "//ADFS_servername/темп/ИДБ-мета-<org-ID>-СП. XML"-TargetName "Cisco Webex".

Убедитесь в том, что имя файла и имя целевого объекта заменены правильными значениями из среды.

См. https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Войдите в Control HUB и протестируйте интеграцию SSO:

  1. Перейдите к меню настройки, прокрутите страницу до пункта аутентификация, нажмите изменить.

  2. Выберите интегрировать стороннего поставщика удостоверений (дополнительно) и щелкните Далее.

  3. Нажмите Далее , чтобы пропустить страницу "Импорт метаданных IDP".

    Повтор этого шага не требуется, поскольку ранее были импортированы метаданные IdP.

  4. Щелкните тест SSO соединение.

    Откроется новое окно браузера, перенаправляющее на страницу запроса IdP.

  5. Войдите, чтобы завершить тест.

Устранение неполадок ADFS

Ошибки ADFS в журналах Windows

В журналах Windows может отображаться код ошибки 364 в журнале событий ADFS. В сведениях о событии указан недействительный сертификат. В таких случаях узлу ADFS не разрешается проверка сертификата через порт 80 брандмауэра.

Идентификатор федерации

Идентификатор федерации задается с учетом регистра. Если это ваш адрес электронной почты в организации, введите его в том виде, в котором ADFS отправляет его, иначе найти в Cisco Webex соответствующего пользователя будет невозможно.

Невозможно записать пользовательское правило заявок, чтобы нормализовать атрибут LDAP перед отправкой.

Импортируйте метаданные с сервера ADFS, настроенного в среде.

При необходимости URL можно проверить, перейдя к > типу метаданных конечных точек службы > > : метаданные федерации в управлении ADFS.

Начните синхронизацию

Проверьте, синхронизированы ли системные часы сервера ADFS с надежным источником времени в Интернете, который использует протокол сетевого времени (NTP). Для отклонения хода часов только для отношения доверия с проверяющей стороной Cisco Webex используйте приведенную ниже команду PowerShell.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Шестнадцатеричное значение уникально для вашей среды. Замените значение идентификатора SP EntityDescriptor в файле метаданных Cisco Webex. Например:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">