Jednotné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je relácia alebo proces autentifikácie používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, na ktoré majú pridelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Protokol federácie SAML 2.0 (Security Assertion Markup Language) sa používa na poskytovanie overenia SSO medzi Webex cloud a váš poskytovateľ identity (IdP).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača Aplikácia Webex podporuje nasledujúce väzby:

  • SP inicioval väzbu POST -> POST

  • SP spustil väzbu PRESMEROVANIE -> POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metadátach, ktoré načítate od svojho poskytovateľa identity, je prvá položka nakonfigurovaná na použitie v Webex.

SingleLogout

Aplikácia Webex podporuje jeden profil odhlásenia. In Aplikácia Webex, používateľ sa môže odhlásiť z aplikácie, ktorá používa protokol jednotného odhlásenia SAML na ukončenie relácie a potvrdenie odhlásenia s vaším IdP. Uistite sa, že váš IdP je nakonfigurovaný na SingleLogout.

Integrovať Control Hub s ADFS


 

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Napríklad integračné kroky pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sú zdokumentované. Iné formáty ako napr urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budú fungovať pre integráciu SSO, ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo svojom Webex organizácia (vrátane Aplikácia Webex, Webex stretnutiaa ďalšie služby spravované v Control Hub). Ak tvoj Webex stránka je integrovaná Control Hub, Webex stránka zdedí správu používateľov. Ak nemáte prístup Webex stretnutia týmto spôsobom a nespravuje sa v Control Hub, musíte vykonať samostatnú integráciu, aby ste povolili jednotné prihlásenie Webex stretnutia. (Pozri Nakonfigurujte jednotné prihlásenie pre Webex pre viac informácií o integrácii SSO v správe lokality.)

V závislosti od toho, čo je nakonfigurované v mechanizmoch overovania v ADFS, je možné predvolene povoliť integrované overovanie systému Windows (IWA). Ak je povolená, aplikácie, ktoré sa spúšťajú cez Windows (ako napr Aplikácia Webex a Cisco Directory Connector) overiť ako používateľ, ktorý je prihlásený, bez ohľadu na to, akú e-mailovú adresu zadáte počas úvodnej e-mailovej výzvy.

Stiahnite si Webex metaúdaje do vášho lokálneho systému

1

Z pohľadu zákazníka v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizáciea potom prejdite na Overeniea potom prepnite na Jednotné prihlásenie nastavenie na spustenie sprievodcu nastavením.

2

Vyberte typ certifikátu pre vašu organizáciu:

  • Vlastnoručne podpísané spoločnosťou Cisco— Odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou—Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ IdP nepodporuje dôveryhodné kotvy).

 

Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

3

Stiahnite si súbor metadát.

Názov súboru metadát Webex je idb-meta-<org-ID>-SP.xml.

Inštalácia Webex metaúdaje v ADFS

Predtým ako začneš

Control Hub podporuje ADFS 2.x alebo novší.

Windows 2008 R2 obsahuje iba ADFS 1.0. Musíte nainštalovať minimálne ADFS 2.x od spoločnosti Microsoft.

Pre SSO a Webex služby, poskytovatelia identity (IdP) musia spĺňať nasledujúcu špecifikáciu SAML 2.0:

  • Nastavte atribút Formát ID názvu na urn:oasis:names:tc:SAML:2.0:nameid-format:prechodný

  • Nakonfigurujte nárok na IdP tak, aby zahŕňal uid názov atribútu s hodnotou, ktorá je namapovaná na atribút, ktorý je vybraný v Cisco Directory Connector alebo používateľský atribút, ktorý sa zhoduje s atribútom vybraným v Webex služba identity. (Tento atribút môže byť napríklad E-mail-Addresses alebo User-Principal-Name.) Pozrite si informácie o vlastných atribútoch v https://www.cisco.com/go/hybrid-services-directory pre usmernenie.

1

Prihláste sa na server ADFS s oprávneniami správcu.

2

Otvorte konzolu ADFS Management a prejdite na Dôverné vzťahy > Trusty spoliehajúcej sa strany > Pridajte dôveru strany spoliehajúcej sa strany.

3

Z Pridať Sprievodcu dôverujúcou stranou okno, vyberte Štart.

4

Pre Vyberte Zdroj údajov vyberte Importujte údaje o spoliehajúcej sa strane zo súboru, prejdite na Control Hub Súbor metadát, ktorý ste si stiahli, a vyberte Ďalšie.

5

Pre Zadajte zobrazovaný názov, vytvorte zobrazovaný názov pre tento trust spoliehajúcej sa strany, ako napr Webex a vyberte Ďalšie.

6

Pre Vyberte Pravidlá oprávnenia na vydanie, vyberte Povoliť všetkým používateľom prístup k tejto spoliehajúcej sa stranea vyberte Ďalšie.

7

Pre Pripravené pridať dôveru, vyberte Ďalšie a dokončite pridávanie spoliehajúcej sa dôveryhodnosti do ADFS.

Vytvorte pravidlá nároku pre Webex Overenie

1

Na hlavnom paneli ADFS vyberte dôveryhodný vzťah, ktorý ste vytvorili, a potom vyberte Upraviť reklamačné pravidlá. Na karte Pravidlá transformácie vydania vyberte Pridať pravidlo.

2

V kroku Vyberte typ pravidla vyberte Odoslať atribúty LDAP ako nárokya potom vyberte Ďalšie.

  1. Zadajte a Názov pravidla nároku.

  2. Vyberte Aktívny adresár ako Attribute Store.

  3. Zmapovať Emailové adresy LDAP atribút na uid typ odchádzajúcej pohľadávky.

    Toto pravidlo hovorí ADFS, na ktoré polia sa má mapovať Webex na identifikáciu používateľa. Vyhláskujte typy odchádzajúcich nárokov presne tak, ako sú zobrazené.

  4. Uložte zmeny.

3

Vyberte Pridať pravidlo znova vyberte Posielajte nároky pomocou vlastného pravidlaa potom vyberte Ďalšie.

Toto pravidlo poskytuje službe ADFS atribút „kvalifikátor spname“, ktorý Webex inak neustanovuje.

  1. Otvorte textový editor a skopírujte nasledujúci obsah.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Nahraďte URL1 a URL2 v texte takto:

    • URL1 je entityID zo súboru metadát ADFS, ktorý ste si stiahli.

      Toto je napríklad ukážka toho, čo vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Skopírujte len entityID zo súboru metadát ADFS a vložte ho do textového súboru, čím nahradíte URL1

    • URL2 je na prvom riadku v Webex súbor metadát, ktorý ste si stiahli.

      Toto je napríklad ukážka toho, čo vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Skopírujte len entityID z Webex súbor metadát a vložte ho do textového súboru, aby ste nahradili URL2.

  2. S aktualizovanými adresami URL skopírujte pravidlo z textového editora (začínajúc na „c:“) a prilepte ho do poľa vlastného pravidla na serveri ADFS.

    Vyplnené pravidlo by malo vyzerať takto:

  3. Vyberte Skončiť vytvorte pravidlo a potom zatvorte okno Upraviť pravidlá nároku.

4

Vyberte Dôvera spoliehajúcej sa strany v hlavnom okne a potom vyberte Vlastnosti v pravom paneli.

5

Keď sa zobrazí okno Vlastnosti, prejdite na položku Pokročilé karta, SHA-256 a potom vyberte OK aby sa zmeny uložili.

6

Ak chcete súbor stiahnuť, prejdite na nasledujúcu adresu URL na internom serveri ADFS: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Možno budete musieť kliknúť pravým tlačidlom myši na stránku a zobraziť zdrojový kód stránky, aby ste získali správne naformátovaný súbor XML.

7

Uložte súbor na lokálny počítač.

Čo urobiť ďalej

Ste pripravení importovať metadáta ADFS späť do Webex z manažérskeho portálu.

Importujte metadáta IdP a po teste povoľte jednotné prihlásenie

Po exportovaní Webex metaúdaje, nakonfigurujte svojho poskytovateľa identity a stiahnite si metadáta poskytovateľa identity do svojho lokálneho systému, ste pripravení ich importovať do svojho Webex organizácia z Control Hub.

Predtým ako začneš

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba toky iniciované poskytovateľom služieb (spustené SP), takže musíte použiť Control Hub Test SSO pre túto integráciu.

1

Vyberte jedno:

  • Vráťte sa na stránku Control Hub – výber certifikátu vo vašom prehliadači a potom kliknite Ďalšie.
  • Ak Control Hub už nie je otvorený na karte prehliadača, zo zákazníckeho zobrazenia v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie, prejdite na Overeniea potom vyberte Akcie > Importovať metadáta.
2

Na stránke Import metadát IdP presuňte myšou súbor metadát IdP na stránku alebo použite možnosť prehliadača súborov na vyhľadanie a odovzdanie súboru metadát. Kliknite Ďalšie.

Mali by ste použiť Bezpečnejšie možnosť, ak môžete. Je to možné len vtedy, ak váš poskytovateľ identity použil na podpis svojich metadát verejnú CA.

Vo všetkých ostatných prípadoch musíte použiť Menej bezpečné možnosť. To platí aj v prípade, ak metadáta nie sú podpísané, vlastnoručne podpísané alebo podpísané súkromnou CA.


 

Okta nepodpisuje metadáta, takže si musíte vybrať Menej bezpečné pre integráciu Okta SSO.

3

Vyberte Otestujte nastavenie jednotného prihlásenia a keď sa otvorí nová karta prehliadača, overte identitu poskytovateľa identity prihlásením.


 

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

A Aplikácia Webex chyba zvyčajne znamená problém s nastavením SSO. V tomto prípade si znova prejdite kroky, najmä kroky, v ktorých skopírujete a prilepíte súbor Control Hub metaúdaje do nastavenia IdP.


 

Ak chcete priamo zobraziť prostredie prihlásenia jedným prihlásením, môžete tiež kliknúť Skopírujte adresu URL do schránky z tejto obrazovky a vložte ho do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Tento krok zastaví falošné poplachy z dôvodu prístupového tokenu, ktorý môže byť v existujúcej relácii od vás, keď ste prihlásení.

4

Vráťte sa do Control Hub kartu prehliadača.

  • Ak bol test úspešný, vyberte Úspešný test. Zapnite SSO a kliknite Ďalšie.
  • Ak bol test neúspešný, vyberte Neúspešný test. Vypnite SSO a kliknite Ďalšie.

 

Konfigurácia SSO sa vo vašej organizácii neprejaví, pokiaľ nezvolíte prvý prepínač a neaktivujete SSO.

Čo urobiť ďalej

Použite postupy v Synchronizujte používateľov Okta do Cisco Webex Control Hub ak chcete vykonať poskytovanie používateľov z Okta do cloudu Webex.

Použite postupy v Synchronizujte používateľov služby Azure Active Directory do Cisco Webex Control Hub ak chcete vykonať poskytovanie používateľov z Azure AD do cloudu Webex.

Postup môžete sledovať v Potlačiť automatické e-maily zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii. Dokument obsahuje aj osvedčené postupy na odosielanie komunikácie používateľom vo vašej organizácii.

Aktualizovať Webex spoliehajúca sa strana dôveruje ADFS

Táto úloha sa týka konkrétne aktualizácie ADFS novými metaúdajmi SAML od Webex. V prípade potreby existujú súvisiace články nakonfigurovať jednotné prihlásenie pomocou ADFS, alebo ak potrebujete aktualizovať (iného) IdP pomocou metadát SAML pre nový certifikát Webex SSO.

Predtým ako začneš

Pred aktualizáciou dôveryhodnosti Webex Relying Party Trust v ADFS musíte exportovať súbor metadát SAML z Control Hub.

1

Prihláste sa na server ADFS s oprávneniami správcu.

2

Nahrajte súbor metadát SAML z Webexu do dočasného lokálneho priečinka na serveri ADFS, napr. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Otvorte Powershell.

4

Bežať Get-AdfsRelyingPartyTrust prečítať všetky trusty spoliehajúcich sa strán.

Všimnite si TargetName parametrom Webex dôveru spoliehajúcej sa strany. Používame príklad „Webex“, ale vo vašom ADFS to môže byť iné.

5

Bežať Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Uistite sa, že ste nahradili názov súboru a názov cieľa správnymi hodnotami z vášho prostredia.

Pozri https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Ak ste si stiahli 5-ročný certifikát Webex SP a máte zapnuté zrušenie certifikátu podpisovania alebo šifrovania, musíte spustiť tieto dva príkazy: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Prihláste sa do Control Hub, potom otestujte integráciu SSO:

  1. Ísť do Zvládanie > Nastavenia organizácie, prejdite na Overeniea prepnite na Jednotné prihlásenie nastavenie na spustenie sprievodcu konfiguráciou.

  2. Kliknite Ďalšie preskočte stránku Import IdP Metadata.

    Tento krok nemusíte opakovať, pretože ste predtým importovali metadáta IdP.

  3. Otestujte pripojenie SSO skôr, ako ho povolíte. Tento krok funguje ako skúšobná prevádzka a neovplyvní nastavenia vašej organizácie, kým v ďalšom kroku nepovolíte jednotné prihlásenie.


     

    Ak chcete priamo zobraziť prostredie prihlásenia jedným prihlásením, môžete tiež kliknúť Skopírujte adresu URL do schránky z tejto obrazovky a vložte ho do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Pomáha to odstrániť všetky informácie uložené vo vašom webovom prehliadači, ktoré by mohli poskytnúť falošne pozitívny výsledok pri testovaní konfigurácie SSO.

  4. Ak chcete dokončiť test, prihláste sa.

Riešenie problémov s ADFS

Chyby ADFS v denníkoch systému Windows

V denníkoch systému Windows sa môže zobraziť kód chyby denníka udalostí ADFS 364. Podrobnosti udalosti identifikujú neplatný certifikát. V týchto prípadoch hostiteľ ADFS nemôže cez bránu firewall na porte 80 overiť certifikát.

Počas pokusu o vytvorenie reťazca certifikátov pre dôveryhodnú stranu sa vyskytla chyba

Pri aktualizácii certifikátu SSO sa vám pri prihlasovaní môže zobraziť táto chyba: Invalid status code in response.

Ak vidíte túto chybu, skontrolujte denníky prehliadača udalostí na serveri ADFS a vyhľadajte nasledujúcu chybu: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Možné príčiny sú, že certifikát bol zrušený, reťaz certifikátov sa nedala overiť tak, ako je to špecifikované v nastaveniach zrušenia certifikátu šifrovania dôveryhodnej dôveryhodnej strany, alebo certifikát nie je v rámci doby platnosti.

Ak sa vyskytne táto chyba, musíte spustiť príkazy Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federácie

ID federácie rozlišuje malé a veľké písmená. Ak je to vaša organizačná e-mailová adresa, zadajte ju presne tak, ako ju ADFS odosiela, príp Webex nemôže nájsť zodpovedajúceho používateľa.

Vlastné pravidlo nároku nemožno napísať na normalizáciu atribútu LDAP pred jeho odoslaním.

Importujte svoje metadáta zo servera ADFS, ktorý ste nastavili vo svojom prostredí.

V prípade potreby môžete adresu URL overiť tak, že prejdete na servis > Koncové body > Metadáta > Typ:Metadáta federácie v správe ADFS.

Synchronizácia času

Uistite sa, že systémové hodiny vášho servera ADFS sú synchronizované so spoľahlivým internetovým zdrojom času, ktorý používa protokol NTP (Network Time Protocol). Použite nasledujúci príkaz PowerShell na skreslenie hodín pre Webex Len vzťah spoliehajúcej sa strany.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Šestnástková hodnota je jedinečná pre vaše prostredie. Nahraďte hodnotu z hodnoty SP EntityDescriptor ID v súbore Webex súbor metadát. Napríklad:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">