Enotna prijava in nadzorno vozlišče

Enotna prijava (SSO) je postopek avtentikacije seje ali uporabnika, ki uporabniku omogoča, da predloži poverilnice za dostop do ene ali več aplikacij. S tem postopkom se avtentificirajo uporabniki za vse aplikacije, za katere so jim dodeljene pravice. Odpravlja dodatne pozive, ko uporabniki med posamezno sejo preklapljajo med aplikacijami.

Protokol SAML 2.0 (Security Assertion Markup Language) se uporablja za preverjanje pristnosti SSO med oblakom Webex in vašim ponudnikom identitete (IdP).

Profili

Aplikacija Webex App podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika aplikacija Webex App podpira naslednje vezi:

  • SP je začel POST -> POST vezavo

  • SP je sprožil REDIRECT -> vezava POST

Oblika NameID

Protokol SAML 2.0 podpira več oblik NameID za sporočanje podatkov o določenem uporabniku. Aplikacija Webex podpira naslednje oblike NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih prenesete iz svojega IdP, je prvi vnos konfiguriran za uporabo v storitvi Webex.

Enotni odjava

Aplikacija Webex App podpira enotni profil odjave. V aplikaciji Webex App se lahko uporabnik odjavi iz aplikacije, ki s protokolom SAML za enkratno odjavo zaključi sejo in potrdi odjavo z vašim IdP. Prepričajte se, da je vaš IdP konfiguriran za enkratno odjavo.

Integracija nadzornega vozlišča z ADFS

V priročnikih za konfiguracijo je prikazan poseben primer za integracijo SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer, dokumentirani so koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Drugi formati, kot sta urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ali urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress , bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

To integracijo nastavite za uporabnike v organizaciji Webex (vključno z aplikacijo Webex App, Webex Meetings in drugimi storitvami, ki jih upravljate v Control Hubu). Če je spletno mesto Webex vključeno v Control Hub, spletno mesto Webex podeduje upravljanje uporabnikov. Če do storitve Webex Meetings ne morete dostopati na ta način in je ne upravljate v vozlišču Control Hub, morate opraviti ločeno integracijo, da omogočite SSO za storitev Webex Meetings. (Za več informacij o integraciji SSO v Upravljanju spletnega mesta glejte Configure Single Sign-On for Webex .)

Glede na to, kaj je nastavljeno v mehanizmih preverjanja pristnosti v ADFS, je lahko privzeto omogočeno integrirano preverjanje pristnosti Windows (IWA). Če je omogočeno, se aplikacije, ki se zaženejo prek sistema Windows (na primer aplikacija Webex in Cisco Directory Connector), avtentificirajo kot uporabnik, ki je prijavljen, ne glede na to, kateri e-poštni naslov je vnesen med začetnim e-poštnim pozivom.

Prenesite metapodatke storitve Webex v lokalni sistem

1

V pogledu stranke v spletnem mestu https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti in preklopite na nastavitev Enotna prijava , da zaženete čarovnika za nastavitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani družbe Cisco- Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, tako da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega organa za potrdila-Večja varnost, vendar boste morali pogosto posodabljati metapodatke (razen če prodajalec IdP podpira sidra zaupanja).

Sidra zaupanja so javni ključi, ki delujejo kot organ za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo svojega IdP.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta--SP.xml.

Namestitev metapodatkov storitve Webex v ADFS

Preden začnete

Nadzorno vozlišče podpira ADFS 2.x ali novejšo različico.

Operacijski sistem Windows 2008 R2 vključuje samo ADFS 1.0. Namestiti morate najmanj ADFS 2.x od Microsofta.

Za storitve SSO in Webex morajo ponudniki identitet (IdP) izpolnjevati naslednjo specifikacijo SAML 2.0:

  • Atribut NameID Format nastavite na urn:oasis:names:tc:SAML:2.0:nameid-format:prehodni

  • Konfigurirajte zahtevek v IdP, da vključuje ime atributa uid z vrednostjo, ki je preslikana na atribut, ki je izbran v Cisco Directory Connector, ali na atribut uporabnika, ki se ujema z izbranim v storitvi identitete Webex. (Ta atribut je lahko na primer e-poštni naslov ali glavno ime uporabnika.) Za navodila glejte informacije o atributih po meri v https://www.cisco.com/go/hybrid-services-directory .

1

Prijavite se v strežnik ADFS z administratorskimi pravicami.

2

Odprite konzolo za upravljanje ADFS in poiščite Odnosi zaupanja > Zaupanja odvisnih strank > Dodajte zaupanje odvisne stranke.

3

V oknu Add Relying Party Trust Wizard izberite Start.

4

Za Izberite vir podatkov izberite Uvozite podatke o zanašajoči se stranki iz datoteke, poiščite datoteko Control Hub Metadata, ki ste jo prenesli, in izberite Next.

5

Za Specify Display Name, ustvarite prikazno ime za to zaupanja vredno stranko, na primer Webex , in izberite Next.

6

Za izberite Pravila za avtorizacijo izdaje, izberite Dovolite vsem uporabnikom dostop do te zanašajoče se stranke in izberite Naprej.

7

Za Ready to Add Trust, izberite Next in dokončajte dodajanje zaupanja v ADFS.

Ustvarjanje pravil trditev za preverjanje pristnosti v storitvi Webex

1

V glavnem podoknu ADFS izberite razmerje zaupanja, ki ste ga ustvarili, in nato izberite Edit Claim Rules. Na zavihku Pravila za preoblikovanje izdajanja izberite Dodaj pravilo.

2

V koraku Izberite vrsto pravila izberite Send LDAP Attributes as Claims, nato pa izberite Next.

  1. Vnesite ime pravila zahtevka .

  2. Kot shrambo atributov izberite Active Directory .

  3. Mapiranje E-mail-Addresses atributa LDAP na uid tip izhodne trditve.

    To pravilo sporoča sistemu ADFS, katera polja je treba preslikati v sistem Webex za identifikacijo uporabnika. Vrste odhodnih zahtevkov napišite točno tako, kot je prikazano.

  4. Shranite spremembe.

3

Ponovno izberite Dodaj pravilo , izberite Pošlji zahtevke z uporabo pravila po meri, nato pa izberite Naprej.

To pravilo zagotavlja ADFS atribut "spname qualifier", ki ga Webex sicer ne zagotavlja.

  1. Odprite urejevalnik besedila in kopirajte naslednjo vsebino.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    URL1 in URL2 v besedilu zamenjajte na naslednji način:

    • URL1 je entitetaID iz datoteke z metapodatki ADFS, ki ste jo prenesli.

      V nadaljevanju je na primer prikazan naslednji vzorec: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopirajte samo identifikator entitete iz datoteke z metapodatki ADFS in ga prilepite v besedilno datoteko, da nadomestite URL1.

    • URL2 je v prvi vrstici datoteke z metapodatki Webex, ki ste jo prenesli.

      V nadaljevanju je na primer prikazan naslednji vzorec: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Iz datoteke z metapodatki storitve Webex kopirajte samo identifikator entitete in ga prilepite v besedilno datoteko, da nadomestite URL2.

  2. S posodobljenimi naslovi URL kopirajte pravilo iz urejevalnika besedila (začenši s "c:") in ga prilepite v polje pravila po meri v strežniku ADFS.

    Dokončano pravilo mora biti videti takole:

  3. Izberite Finish , da ustvarite pravilo, in nato zapustite okno Edit Claim Rules.

4

V glavnem oknu izberite Relying Party Trust , nato pa v desnem podoknu izberite Properties .

5

Ko se prikaže okno Lastnosti, poiščite zavihek Napredno , SHA-256 in nato izberite V redu , da shranite spremembe.

6

Če želite prenesti datoteko, v notranjem strežniku ADFS poiščite naslednji naslov URL: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Morda boste morali desno klikniti stran in prikazati vir strani, da boste dobili pravilno oblikovano datoteko XML.

7

Datoteko shranite v lokalni računalnik.

Kaj storiti naprej

Pripravljeni ste za uvoz metapodatkov ADFS nazaj v Webex iz portala za upravljanje.

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite metapodatke Webex, konfigurirate IdP in prenesete metapodatke IdP v lokalni sistem, jih lahko uvozite v organizacijo Webex iz Control Hub.

Preden začnete

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP), zato morate za to integracijo uporabiti test SSO v vozlišču Control Hub.

1

Izberite eno:

  • Vrnite se na stran Control Hub - izbira potrdila v brskalniku in kliknite Next.
  • Če vozlišče Control Hub ni več odprto v zavihku brskalnika, v pogledu stranke v https://admin.webex.com pojdite na Upravljanje > Nastavitve organizacije, se pomaknite na Preverjanje pristnosti, nato pa izberite Akcije > Uvoz metapodatkov.
2

Na strani Uvozi metapodatke IdP povlecite in spustite datoteko z metapodatki IdP na stran ali uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Next.

Če lahko, uporabite možnost More secure . To je mogoče le, če je IdP za podpisovanje svojih metapodatkov uporabil javni CA.

V vseh drugih primerih morate uporabiti možnost Manj varno . To velja tudi, če metapodatki niso podpisani, so podpisani sami ali jih je podpisal zasebni CA.

Okta metapodatkov ne podpiše, zato morate za integracijo Okta SSO izbrati Manj varno .

3

Izberite Test SSO setup, in ko se odpre nov zavihek brskalnika, se avtentificirajte z IdP tako, da se prijavite.

Če se pri preverjanju pristnosti pojavi napaka, je morda prišlo do težave s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

Napaka aplikacije Webex običajno pomeni težavo z nastavitvijo SSO. V tem primeru še enkrat ponovite korake, zlasti tiste, v katerih kopirate in prilepite metapodatke vozlišča Control Hub v nastavitev IdP.

Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam se lahko prijavite s SSO. S tem korakom preprečite lažno pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, v katero ste se prijavili.

4

Vrnite se na zavihek brskalnika Control Hub.

  • Če je bil test uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naprej.
  • Če je bil test neuspešen, izberite Neuspešen test. Izklopite SSO in kliknite Naprej.

Konfiguracija SSO v vaši organizaciji ne začne veljati, dokler ne izberete prvega radijskega gumba in ne aktivirate SSO.

Kaj storiti naprej

Če želite zagotoviti uporabnike iz Okta v oblak Webex, uporabite postopke v poglavju Sinhronizacija uporabnikov Okta v kontrolno vozlišče Cisco Webex .

Če želite zagotoviti uporabnike iz Azure AD v oblak Webex, uporabite postopke v razdelku Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub .

Če želite onemogočiti e-poštna sporočila, ki se pošiljajo novim uporabnikom aplikacije Webex App v vaši organizaciji, lahko sledite postopku v razdelku Suppress Automated Eails . Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v organizaciji.

Posodabljanje zaupanja zanašajoče se stranke Webex v ADFS

To opravilo se nanaša predvsem na posodobitev sistema ADFS z novimi metapodatki SAML iz storitve Webex. Če morate konfigurirati SSO z ADFS ali če morate posodobiti (drugega) IdP z metapodatki SAML za novo potrdilo Webex SSO, so na voljo povezani članki.

Preden začnete

Preden lahko v ADFS posodobite zaupanje Webex Relying Party Trust, morate izvoziti datoteko z metapodatki SAML iz vozlišča Control Hub.

1

Prijavite se v strežnik ADFS z administratorskimi pravicami.

2

Datoteko z metapodatki SAML iz storitve Webex prenesite v začasno lokalno mapo v strežniku ADFS, npr. //ADFS_servername/temp/idb-meta- -SP.xml.

3

Odprite program Powershell.

4

Zaženite Get-AdfsRelyingPartyTrust , da preberete vse zanesljivosti zanašajočih se strank.

Upoštevajte parameter TargetName v zaupanju Webexove zanašajoče se stranke. Uporabili smo primer "Webex", vendar je lahko v vašem sistemu ADFS drugačen.

5

Zaženite Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta- -SP.xml" -TargetName "Webex".

Prepričajte se, da ime datoteke in ciljno ime zamenjate s pravilnimi vrednostmi iz vašega okolja.

Glej https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Če ste prenesli letno potrdilo Webex SP 5 in imate vklopljeno podpisovanje ali preklic šifrirnega potrdila, morate zagnati ta dva ukaza: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Prijavite se v vozlišče Control Hub in nato preizkusite integracijo SSO:

  1. Pojdite na Management > Organization Settings, se pomaknite na Authentication in preklopite na nastavitev Single Sign-On , da zaženete čarovnika za konfiguracijo.

  2. Kliknite Next , da preskočite stran Import IdP Metadata.

    Tega koraka vam ni treba ponoviti, ker ste že uvozili metapodatke IdP.

  3. Preden omogočite povezavo SSO, jo preizkusite. Ta korak deluje kot poskusna uporaba in ne vpliva na nastavitve organizacije, dokler v naslednjem koraku ne omogočite SSO.

    Če si želite neposredno ogledati izkušnjo prijave SSO, lahko na tem zaslonu kliknete tudi Kopiraj URL v odložišče in ga prilepite v zasebno okno brskalnika. Od tam se lahko prijavite s SSO. S tem odstranite vse informacije, shranjene v predpomnilniku spletnega brskalnika, ki bi lahko pri testiranju konfiguracije SSO pokazale lažno pozitiven rezultat.

  4. Prijavite se in dokončajte test.

Odpravljanje težav z ADFS

Napake ADFS v dnevnikih sistema Windows

V dnevnikih operacijskega sistema Windows se lahko prikaže koda napake dnevnika dogodkov ADFS 364. V podrobnostih dogodka je navedeno neveljavno potrdilo. V teh primerih gostitelju ADFS prek požarnega zidu na vratih 80 ni dovoljeno potrditi potrdila.

Pri poskusu izgradnje verige potrdil za zaupanje zanašajoče se stranke je prišlo do napake.

Pri posodabljanju potrdila SSO se lahko pri vpisovanju prikaže ta napaka: Nepravilna koda stanja v odzivu.

Če vidite to napako, preverite dnevnike pregledovalnika dogodkov v strežniku ADFS in poiščite naslednjo napako: Pri poskusu izgradnje verige potrdil za zaupanje zanašajoče se stranke 'https://idbroker.webex.com/<org-ID>' potrdilo, identificirano z odtisom '754B9208F1F75C5CC122740F3675C5D129471D80'. Možni vzroki so, da je bilo potrdilo preklicano, verige potrdila ni bilo mogoče preveriti, kot je določeno v nastavitvah za preklic šifrirnega potrdila zaupanja zanašajoče se stranke, ali pa potrdilo ni v obdobju veljavnosti.

Če se pojavi ta napaka, morate izvesti ukaze Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federacije

ID federacije je občutljiv na velike in male črke. Če je to vaš organizacijski e-poštni naslov, ga vnesite točno tako, kot ga pošlje ADFS, sicer Webex ne more najti ustreznega uporabnika.

Pravila trditve po meri ni mogoče napisati za normalizacijo atributa LDAP pred pošiljanjem.

Uvozite metapodatke iz strežnika ADFS, ki ste ga nastavili v svojem okolju.

Po potrebi lahko preverite naslov URL tako, da se pomaknete na Service > Endpoints > Metadata > Type:Federation Metadata v upravljanju ADFS.

Časovna sinhronizacija

Prepričajte se, da je sistemska ura strežnika ADFS sinhronizirana z zanesljivim internetnim virom časa, ki uporablja protokol NTP (Network Time Protocol). Z naslednjim ukazom PowerShell lahko popačite uro samo za razmerje Webex Relying Party Trust.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Šestnajstiška vrednost je edinstvena za vaše okolje. Zamenjajte vrednost z vrednostjo SP EntityDescriptor ID v datoteki metapodatkov Webex. Na primer:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">