Jediné prihlásenie a Control Hub

Jednotné prihlásenie (SSO) je relácia alebo proces autentifikácie používateľa, ktorý umožňuje používateľovi poskytnúť poverenia na prístup k jednej alebo viacerým aplikáciám. Proces overuje používateľov pre všetky aplikácie, na ktoré majú pridelené práva. Eliminuje ďalšie výzvy, keď používatelia prepínajú aplikácie počas konkrétnej relácie.

Federačný protokol SAML 2.0 (Security Assertion Markup Language) sa používa na poskytovanie autentifikácie SSO medzi cloudom Webex a vaším poskytovateľom identity (IdP).

Profily

Aplikácia Webex podporuje iba profil SSO webového prehliadača. V profile SSO webového prehliadača podporuje aplikácia Webex nasledujúce väzby:

  • SP inicioval väzbu POST -> POST

  • SP spustil väzbu PRESMEROVANIE -> POST

Formát NameID

Protokol SAML 2.0 podporuje niekoľko formátov NameID na komunikáciu o konkrétnom používateľovi. Aplikácia Webex podporuje nasledujúce formáty NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metaúdajoch, ktoré načítate z vášho IdP, je prvý záznam nakonfigurovaný na použitie vo Webexe.

SingleLogout

Webex App podporuje jeden profil odhlásenia. V aplikácii Webex sa používateľ môže odhlásiť z aplikácie, ktorá používa protokol jednotného odhlásenia SAML na ukončenie relácie a potvrdenie odhlásenia pomocou vášho IdP. Uistite sa, že váš IdP je nakonfigurovaný na SingleLogout.

Integrujte Control Hub s ADFS

Konfiguračné príručky zobrazujú konkrétny príklad integrácie SSO, ale neposkytujú vyčerpávajúcu konfiguráciu pre všetky možnosti. Zdokumentované sú napríklad kroky integrácie pre nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Iné formáty, ako napríklad urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified alebo urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress budú fungovať pre integráciu SSO ale sú mimo rozsahu našej dokumentácie.

Nastavte túto integráciu pre používateľov vo vašej organizácii Webex (vrátane Webex App, Webex Meetings a ďalších služieb spravovaných v Control Hub). Ak je vaša lokalita Webex integrovaná v Control Hub, lokalita Webex zdedí správu používateľov. Ak nemôžete pristupovať k stretnutiam Webex týmto spôsobom a nie sú spravované v Control Hub, musíte vykonať samostatnú integráciu, aby ste povolili jednotné prihlásenie pre stretnutia Webex. (Viac informácií o integrácii SSO v správe lokality nájdete v časti Konfigurácia jednotného prihlásenia pre Webex .)

V závislosti od toho, čo je nakonfigurované v mechanizmoch overovania v ADFS, je možné predvolene povoliť integrované overovanie systému Windows (IWA). Ak je táto možnosť povolená, aplikácie spúšťané prostredníctvom systému Windows (napríklad Webex App a Cisco Directory Connector) sa overia ako používateľ, ktorý je prihlásený, bez ohľadu na to, aká e-mailová adresa bola zadaná počas úvodnej e-mailovej výzvy.

Stiahnite si metadáta Webex do svojho lokálneho systému

1

V zobrazení zákazníka v https://admin.webex.com prejdite na položku Správa > Nastavenia organizácie a potom prejdite na položku Overenie a potom prepnite na možnosť Jednoduché znamenie -on , čím spustíte sprievodcu nastavením.

2

Vyberte typ certifikátu pre vašu organizáciu:

  • Samopodpísaný spoločnosťou Cisco – odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou – je bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ poskytovateľa identity nepodporuje ukotvenia dôveryhodnosti).

Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

3

Stiahnite si súbor metadát.

Názov súboru metadát Webex je idb-meta--SP.xml.

Nainštalujte metadáta Webex v ADFS

Skôr ako začnete

Control Hub podporuje ADFS 2.x alebo novší.

Windows 2008 R2 obsahuje iba ADFS 1.0. Musíte nainštalovať minimálne ADFS 2.x od spoločnosti Microsoft.

Pre SSO a Webex služby musia poskytovatelia identity (IdP) spĺňať nasledujúcu špecifikáciu SAML 2.0:

  • Nastavte atribút Formát ID názvu na urn:oasis:names:tc:SAML:2.0:nameid-format:prechodný

  • Nakonfigurujte nárok na IdP tak, aby obsahoval názov atribútu uid s hodnotou, ktorá je namapovaná na atribút vybraný v Cisco Directory Connector alebo atribút používateľa, ktorý sa zhoduje s atribútom vybraným v identite Webex služby. (Tento atribút môže byť napríklad E-mail-Addresses alebo User-Principal-Name.) Pozrite si informácie o vlastnom atribúte v časti https://www.cisco.com/go/hybrid-services-directory .

1

Prihláste sa na server ADFS s oprávneniami správcu.

2

Otvorte konzolu ADFS Management a prejdite do časti Trust Relationships > Relying Party Trusts > Add Relying Party Trust.

3

V okne Add Relying Party Trust Wizard vyberte možnosť Štart.

4

V časti Vybrať zdroj údajov vyberte možnosť Importovať údaje o spoliehajúcej sa strane zo súboru, prejdite na súbor metadát Control Hub, ktorý ste prevzali, a vyberte možnosť Ďalej.

5

Pre možnosť Určiť zobrazovaný názov vytvorte zobrazovaný názov pre túto dôveryhodnú stranu, napríklad Webex , a vyberte možnosť Ďalej.

6

V časti Vybrať pravidlá autorizácie vydania vyberte možnosť Povoliť všetkým používateľom prístup k tejto spoliehajúcej sa strane a vyberte možnosť Ďalej.

7

Pre možnosť Pripravený na pridanie dôveryhodnosti vyberte možnosť Ďalej a dokončite pridávanie spoliehajúcej sa dôveryhodnosti do služby ADFS.

Vytvorte pravidlá nároku na autentifikáciu Webex

1

Na hlavnom paneli ADFS vyberte dôveryhodný vzťah, ktorý ste vytvorili, a potom vyberte položku Upraviť pravidlá nároku. Na karte Pravidlá transformácie vydania vyberte položku Pridať pravidlo.

2

V kroku Výber typu pravidla vyberte možnosť Odoslať atribúty LDAP ako nároky a potom vyberte položku Ďalej.

  1. Zadajte Názov pravidla nároku.

  2. Ako obchod s atribútmi vyberte možnosť Active Directory .

  3. Priraďte atribút LDAP E-mailové adresy k typu odchádzajúceho nároku uid .

    Toto pravidlo informuje ADFS, ktoré polia sa majú namapovať na Webex na identifikáciu používateľa. Vyhláskujte typy odchádzajúcich nárokov presne podľa obrázka.

  4. Uložte zmeny.

3

Znova vyberte možnosť Pridať pravidlo , vyberte možnosť Odoslať nároky pomocou vlastného pravidla a potom kliknite na tlačidlo Ďalej.

Toto pravidlo poskytuje službe ADFS atribút „kvalifikátor spname“, ktorý Webex inak neposkytuje.

  1. Otvorte textový editor a skopírujte nasledujúci obsah.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => problém (Typ = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Vydavateľ = c.Vydavateľ, Pôvodný vydavateľ = c.Pôvodný vydavateľ, Hodnota = c.Hodnota, Typ hodnoty = c.Typ hodnoty, Vlastnosti[" http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Vlastnosti["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Vlastnosti["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2

    Nahraďte URL1 a URL2 v texte takto:

    • URL1 je entityID zo súboru metadát ADFS, ktorý ste prevzali.

      Toto je napríklad príklad toho, čo vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde- 8147-4183-8a85-b704d26b5dba">

      Skopírujte len entityID zo súboru metadát ADFS a vložte ho do textového súboru, čím nahradíte URL1

    • URL2 je na prvom riadku v súbore metadát Webex, ktorý ste prevzali.

      Toto je napríklad príklad toho, čo vidíte: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Skopírujte len entityID zo súboru metadát Webex a vložte ho do textového súboru, aby ste nahradili URL2.

  2. S aktualizovanými adresami URL skopírujte pravidlo z textového editora (začínajúc na „c:“) a prilepte ho do poľa vlastného pravidla na serveri ADFS.

    Vyplnené pravidlo by malo vyzerať takto:

  3. Kliknutím na tlačidlo Dokončiť vytvorte pravidlo a potom zatvorte okno Upraviť pravidlá nároku.

4

V hlavnom okne vyberte možnosť Relying Party Trust a potom v pravom paneli vyberte položku Vlastnosti .

5

Keď sa zobrazí okno Vlastnosti, prejdite na kartu Rozšírené , SHA-256 a potom kliknutím na tlačidlo OK uložte zmeny.

6

Ak chcete súbor stiahnuť, prejdite na nasledujúcu adresu URL na internom serveri ADFS: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Možno budete musieť kliknúť pravým tlačidlom myši na stránku a zobraziť zdrojový kód stránky, aby ste získali správne naformátovaný súbor XML.

7

Uložte súbor na lokálny počítač.

Čo robiť ďalej

Ste pripravení importovať metadáta ADFS späť do Webexu z portálu na správu.

Importujte metadáta IdP a po teste povoľte jednotné prihlásenie

Po exportovaní metadát Webex, konfigurácii vášho IdP a stiahnutí metadát IdP do vášho lokálneho systému ste pripravení ich importovať do vašej Webex organizácie z Control Hub.

Skôr ako začnete

Netestujte integráciu SSO z rozhrania poskytovateľa identity (IdP). Podporujeme iba toky iniciované poskytovateľom služieb (spustené SP), takže na túto integráciu musíte použiť test jednotného prihlásenia Control Hub.

1

Vyberte si jednu:

  • Vráťte sa vo svojom prehliadači na stránku Control Hub – výber certifikátu a kliknite na tlačidlo Ďalej.
  • Ak Control Hub už nie je otvorený na karte prehliadača, v zobrazení zákazníka v https://admin.webex.com prejdite do časti Správa > Nastavenia organizácie, prejdite na položku Overenie, a potom vyberte položky Akcie > Importovať metadáta.
2

Na stránke Import metadát IdP presuňte myšou súbor metadát IdP na stránku alebo použite možnosť prehliadača súborov na vyhľadanie a odovzdanie súboru metadát. Kliknite na tlačidlo Ďalej.

Ak môžete, mali by ste použiť možnosť Bezpečnejšie . Je to možné len vtedy, ak váš poskytovateľ identity použil na podpis svojich metadát verejnú CA.

Vo všetkých ostatných prípadoch musíte použiť možnosť Menej bezpečné . To platí aj v prípade, ak metadáta nie sú podpísané, vlastnoručne podpísané alebo podpísané súkromnou CA.

Okta nepodpisuje metadáta, takže pre integráciu Okta SSO musíte zvoliť možnosť Menej bezpečné .

3

Vyberte možnosť Testovať nastavenie jednotného prihlásenia a keď sa otvorí nová karta prehliadača, prihlásením sa overte u poskytovateľa identity.

Ak sa zobrazí chyba overenia, môže ísť o problém s povereniami. Skontrolujte používateľské meno a heslo a skúste to znova.

Chyba aplikácie Webex zvyčajne znamená problém s nastavením jednotného prihlásenia. V tomto prípade si znova prejdite kroky, najmä kroky, v ktorých skopírujete a prilepíte metadáta Control Hub do nastavenia IdP.

Ak chcete priamo zobraziť prihlásenie jedným prihlásením, môžete na tejto obrazovke tiež kliknúť na položku Kopírovať adresu URL do schránky a prilepiť ju do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Tento krok zastaví falošné poplachy z dôvodu prístupového tokenu, ktorý môže byť v existujúcej relácii od vás, keď ste prihlásení.

4

Vráťte sa na kartu prehliadača Control Hub.

  • Ak bol test úspešný, vyberte možnosť Úspešný test. Zapnite jednotné prihlásenie a kliknite na tlačidlo Ďalej.
  • Ak bol test neúspešný, vyberte možnosť Neúspešný test. Vypnite jednotné prihlásenie a kliknite na tlačidlo Ďalej.

Konfigurácia SSO sa vo vašej organizácii neprejaví, pokiaľ nezvolíte prvý prepínač a neaktivujete SSO.

Čo robiť ďalej

Ak chcete vykonať poskytovanie používateľov z Okta do cloudu Webex, použite postupy v časti Synchronizácia používateľov Okta do Cisco Webex Control Hub .

Ak chcete vykonať poskytovanie používateľov z Azure AD do cloudu Webex, použite postupy v časti Synchronizácia používateľov služby Azure Active Directory do Cisco Webex Control Hub .

Ak chcete zakázať e-maily odosielané novým používateľom aplikácie Webex vo vašej organizácii, postupujte podľa postupu v časti Potlačenie automatických e-mailov . Dokument obsahuje aj osvedčené postupy na odosielanie komunikácie používateľom vo vašej organizácii.

Aktualizujte dôveru spoliehajúcej sa strany Webex v ADFS

Táto úloha sa týka konkrétne aktualizácie ADFS novými metaúdajmi SAML od Webex. Sú tu súvisiace články, ak potrebujete konfigurovať jednotné prihlásenie pomocou ADFS alebo ak potrebujete aktualizovať (iného) poskytovateľa identity pomocou metadát SAML pre nový certifikát jednotného prihlásenia Webex.

Skôr ako začnete

Pred aktualizáciou dôveryhodnosti Webex Relying Party Trust v ADFS musíte exportovať súbor metadát SAML z Control Hub.

1

Prihláste sa na server ADFS s oprávneniami správcu.

2

Nahrajte súbor metadát SAML z Webexu do dočasného lokálneho priečinka na serveri ADFS, napr. //ADFS_servername/temp/idb-meta--SP.xml.

3

Otvorte Powershell.

4

Spustite Get-AdfsRelyingPartyTrust a prečítajte si všetky dôveryhodné dôveryhodné strany.

Všimnite si parameter TargetName dôveryhodnej strany spoliehajúcej sa na Webex. Používame príklad „Webex“, ale vo vašom ADFS to môže byť iné.

5

Spustite Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex" .

Uistite sa, že ste nahradili názov súboru a názov cieľa správnymi hodnotami z vášho prostredia.

Pozrite si https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Ak ste si stiahli 5-ročný certifikát Webex SP a máte zapnuté zrušenie certifikátu podpisovania alebo šifrovania, musíte spustiť tieto dva príkazy: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Prihláste sa do Control Hub a potom otestujte integráciu SSO:

  1. Prejdite do časti Správa > Nastavenia organizácie, posuňte sa na položku Autentifikácia a zapnite nastavenie Jednotné prihlásenie , čím spustíte sprievodcu konfiguráciou.

  2. Kliknutím na tlačidlo Ďalej preskočíte stránku Import metadát IdP.

    Tento krok nemusíte opakovať, pretože ste predtým importovali metadáta IdP.

  3. Otestujte pripojenie SSO skôr, ako ho povolíte. Tento krok funguje ako skúšobná prevádzka a neovplyvní nastavenia vašej organizácie, kým v ďalšom kroku nepovolíte jednotné prihlásenie.

    Ak chcete priamo zobraziť prihlásenie jedným prihlásením, môžete na tejto obrazovke tiež kliknúť na položku Kopírovať adresu URL do schránky a prilepiť ju do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Pomáha to odstrániť všetky informácie uložené vo vašom webovom prehliadači, ktoré by mohli poskytnúť falošne pozitívny výsledok pri testovaní konfigurácie SSO.

  4. Ak chcete dokončiť test, prihláste sa.

Riešenie problémov s ADFS

Chyby ADFS v denníkoch systému Windows

V denníkoch systému Windows sa môže zobraziť kód chyby denníka udalostí ADFS 364. Podrobnosti udalosti identifikujú neplatný certifikát. V týchto prípadoch hostiteľ ADFS nemôže cez bránu firewall na porte 80 overiť certifikát.

Počas pokusu o vytvorenie reťazca certifikátov pre dôveryhodnú stranu sa vyskytla chyba

Pri aktualizácii certifikátu SSO sa vám pri prihlasovaní môže zobraziť táto chyba: Neplatný stavový kód v odpovedi.

Ak vidíte túto chybu, skontrolujte denníky prehliadača udalostí na serveri ADFS a vyhľadajte nasledujúcu chybu: Počas pokusu o vytvorenie reťazca certifikátov pre dôveryhodný certifikát spoliehajúcej sa strany „https://idbroker.webex.com/<org-ID>' “ identifikovaný pomocou odtlačku „754B9208F1F75C5CC122740F3675C5D129471D80“ sa vyskytla chyba. Možné príčiny sú, že certifikát bol zrušený, reťaz certifikátov sa nedala overiť tak, ako je to špecifikované v nastaveniach zrušenia certifikátu šifrovania dôveryhodnej strany, alebo certifikát nie je v dobe platnosti.

Ak sa vyskytne táto chyba, musíte spustiť príkazy Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federácie

ID federácie rozlišuje malé a veľké písmená. Ak je to vaša e-mailová adresa vašej organizácie, zadajte ju presne tak, ako ju služba ADFS odošle, inak Webex nemôže nájsť zodpovedajúceho používateľa.

Vlastné pravidlo nároku nemožno napísať na normalizáciu atribútu LDAP pred jeho odoslaním.

Importujte svoje metadáta zo servera ADFS, ktorý ste nastavili vo svojom prostredí.

V prípade potreby môžete adresu URL overiť tak, že prejdete na položku Služba > Koncové body > Metadáta > Typ:Metadáta federácie v správe ADFS.

Synchronizácia času

Uistite sa, že systémové hodiny vášho servera ADFS sú synchronizované so spoľahlivým internetovým zdrojom času, ktorý používa protokol NTP (Network Time Protocol). Použite nasledujúci príkaz PowerShell na skreslenie času len pre vzťah Webex Relying Party Trust.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Šestnástková hodnota je jedinečná pre vaše prostredie. Nahraďte hodnotu z hodnoty SP EntityDescriptor ID v súbore metadát Webex. Napríklad:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">