Enotna prijava in Nadzorno središče

Enotna prijava (SSO) je seja ali postopek preverjanja pristnosti uporabnika, ki uporabniku omogoča, da zagotovi poverilnice za dostop do ene ali več aplikacij. Postopek preverja pristnost uporabnikov za vse aplikacije, za katere so jim podeljene pravice. Odpravlja dodatne pozive, ko uporabniki zamenjajo aplikacije med določeno sejo.

Protokol federacije Security Assertion Markup Language (SAML 2.0) se uporablja za zagotavljanje avtentikacije SSO med Webex oblak in vaš ponudnik identitete (IdP).

Profili

Aplikacija Webex podpira samo profil SSO spletnega brskalnika. V profilu SSO spletnega brskalnika, Aplikacija Webex podpira naslednje vezave:

  • SP je sprožil povezovanje POST -> POST

  • SP je sprožil vezavo REDIRECT -> POST

Oblika imena ID

Protokol SAML 2.0 podpira več formatov NameID za komunikacijo o določenem uporabniku. Aplikacija Webex podpira naslednje formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

V metapodatkih, ki jih naložite iz svojega IdP, je prvi vnos konfiguriran za uporabo v Webex.

SingleLogout

Aplikacija Webex podpira enoten profil za odjavo. notri Aplikacija Webex, se lahko uporabnik odjavi iz aplikacije, ki uporablja protokol za enojno odjavo SAML za zaključek seje in potrdi odjavo s svojim IdP. Zagotovite, da je vaš IdP konfiguriran za SingleLogout.

Integriraj Nadzorno središče z ADFS


 

Konfiguracijski vodniki prikazujejo poseben primer integracije SSO, vendar ne zagotavljajo izčrpne konfiguracije za vse možnosti. Na primer koraki integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient so dokumentirani. Drugi formati, kot npr urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress bodo delovali za integracijo SSO, vendar so zunaj obsega naše dokumentacije.

Nastavite to integracijo za uporabnike v svojem Webex organizacija (vključno z Aplikacija Webex, Sestanki Webex, in druge storitve, ki se izvajajo v Nadzorno središče). Če tvoj Webex spletno mesto je integrirano v Nadzorno središče, the Webex spletno mesto podeduje upravljanje uporabnikov. Če ne morete dostopati Sestanki Webex na ta način in se ne upravlja v Nadzorno središče, morate narediti ločeno integracijo, da omogočite enotno prijavo za Sestanki Webex. (Glej Konfigurirajte enotno prijavo za Webex za več informacij o integraciji SSO v administraciji mesta.)

Odvisno od tega, kaj je konfigurirano v mehanizmih za preverjanje pristnosti v ADFS, je lahko integrirano preverjanje pristnosti Windows (IWA) privzeto omogočeno. Če je omogočeno, bodo aplikacije, ki se zaženejo v sistemu Windows (kot npr Aplikacija Webex in Cisco Directory Connector) preverite pristnost kot uporabnik, ki je prijavljen, ne glede na to, kateri e-poštni naslov je bil vnesen med začetnim e-poštnim pozivom.

Prenesite Webex metapodatkov v vaš lokalni sistem

1

Iz pogleda stranke v https://admin.webex.com, Pojdi do Upravljanje > Nastavitve organizacije, nato pa se pomaknite na Preverjanje pristnosti, nato pa vklopite Enotna prijava nastavitev za zagon čarovnika za namestitev.

2

Izberite vrsto potrdila za svojo organizacijo:

  • Samopodpisano s strani Cisca— Priporočamo to izbiro. Dovolite nam, da potrdilo podpišemo, da ga boste morali obnoviti le enkrat na pet let.
  • Podpisan s strani javnega potrdila— Bolj varno, vendar boste morali pogosto posodabljati metapodatke (razen če vaš dobavitelj IdP podpira sidra zaupanja).

 

Sidra zaupanja so javni ključi, ki delujejo kot avtoriteta za preverjanje potrdila digitalnega podpisa. Za več informacij glejte dokumentacijo vašega ponudnika identifikacije.

3

Prenesite datoteko z metapodatki.

Ime datoteke z metapodatki Webex je idb-meta-<org-ID>-SP.xml.

Namestite Webex metapodatki v ADFS

Preden začneš

Nadzorno središče podpira ADFS 2.x ali novejšo.

Windows 2008 R2 vključuje samo ADFS 1.0. Od Microsofta morate namestiti najmanj ADFS 2.x.

Za SSO in Webex storitev, morajo ponudniki identitet (IdP) ustrezati naslednji specifikaciji SAML 2.0:

  • Nastavite atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:prehodno

  • Konfigurirajte zahtevek za IdP, da vključite uid ime atributa z vrednostjo, ki je preslikana v atribut, ki je izbran v Cisco Directory Connector ali atribut uporabnika, ki se ujema s tistim, ki je izbran v Webex storitev identitete. (Ta atribut je lahko na primer E-mail-Addresses ali User-Principal-Name.) Oglejte si informacije o atributih po meri v https://www.cisco.com/go/hybrid-services-directory za vodenje.

1

Prijavite se v strežnik ADFS s skrbniškimi dovoljenji.

2

Odprite konzolo za upravljanje ADFS in poiščite Odnosi zaupanja > Skladi zanašajoče se stranke > Dodajte zaupanje odvisne stranke.

3

Iz Čarovnik za dodajanje zaupanja odvisne stranke okno, izberite Začetek.

4

Za Izberite Vir podatkov izberite Uvoz podatkov o odvisni strani iz datoteke, poiščite Nadzorno središče Datoteko z metapodatki, ki ste jo prenesli, in izberite Naslednji.

5

Za Določite prikazno ime, ustvarite prikazno ime za to zaupanje odvisne stranke, kot je npr Webex in izberite Naslednji.

6

Za Izberite Pravila za avtorizacijo izdaje, izberite Dovolite vsem uporabnikom dostop do te odvisne strankein izberite Naslednji.

7

Za Pripravljen na dodajanje zaupanja, izberite Naslednji in dokončajte dodajanje zanašajočega se zaupanja v ADFS.

Ustvarite pravila zahtevkov za Webex avtentikacija

1

V glavnem podoknu ADFS izberite razmerje zaupanja, ki ste ga ustvarili, in nato izberite Uredi pravila zahtevka. Na zavihku Pravila preoblikovanja izdaje izberite Dodaj pravilo.

2

V koraku Izberi vrsto pravila izberite Pošlji atribute LDAP kot zahtevkein nato izberite Naslednji.

  1. Vnesite a Ime pravila zahtevka.

  2. Izberite Aktivni imenik kot trgovina z atributi.

  3. Zemljevid E-poštni naslovi Atribut LDAP za uid vrsta odhodnega zahtevka.

    To pravilo pove ADFS, v katera polja naj se preslika Webex za identifikacijo uporabnika. Vrste odhodnih zahtevkov črkujte točno tako, kot je prikazano.

  4. Shranite spremembe.

3

Izberite Dodaj pravilo znova izberite Pošljite zahtevke z uporabo pravila po meriin nato izberite Naslednji.

To pravilo zagotavlja ADFS atribut »spname qualifier«, ki Webex drugače ne zagotavlja.

  1. Odprite urejevalnik besedil in kopirajte naslednjo vsebino.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Zamenjajte URL1 in URL2 v besedilu, kot sledi:

    • URL1 je entityID iz datoteke metapodatkov ADFS, ki ste jo prenesli.

      Na primer, spodaj je vzorec tega, kar vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopirajte samo entityID iz datoteke z metapodatki ADFS in ga prilepite v besedilno datoteko, da nadomestite URL1

    • URL2 je v prvi liniji v Webex datoteko z metapodatki, ki ste jo prenesli.

      Na primer, spodaj je vzorec tega, kar vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopirajte samo entityID iz Webex datoteko z metapodatki in jo prilepite v besedilno datoteko, da nadomestite URL2.

  2. S posodobljenimi URL-ji kopirajte pravilo iz urejevalnika besedil (ki se začne pri »c:«) in ga prilepite v polje s pravilom po meri na strežniku ADFS.

    Izpolnjeno pravilo bi moralo izgledati takole:

  3. Izberite Končaj da ustvarite pravilo, nato pa zapustite okno Urejanje pravil zahtevka.

4

Izberite Zaupanje zanašajoče se stranke v glavnem oknu in nato izberite Lastnosti v desnem podoknu.

5

Ko se prikaže okno Lastnosti, poiščite Napredno zavihek, SHA-256 in nato izberite v redu da shranite spremembe.

6

Za prenos datoteke poiščite naslednji URL na notranjem strežniku ADFS: https://<AD_FS_Strežnik>/FederationMetadata/2007-06/FederationMetadata.xml


 

Morda boste morali z desno miškino tipko klikniti stran in si ogledati izvorno kodo strani, da dobite pravilno oblikovano datoteko XML.

7

Shranite datoteko na svoj lokalni računalnik.

Kaj storiti naprej

Pripravljeni ste na uvoz metapodatkov ADFS nazaj v Webex s portala za upravljanje.

Uvozite metapodatke IdP in omogočite enotno prijavo po preizkusu

Ko izvozite Webex metapodatkov, konfigurirajte svoj IdP in prenesite metapodatke IdP v svoj lokalni sistem, ste pripravljeni, da jih uvozite v svoj Webex organizacija iz Nadzorno središče.

Preden začneš

Ne preizkušajte integracije SSO iz vmesnika ponudnika identitete (IdP). Podpiramo samo tokove, ki jih sproži ponudnik storitev (SP-iniciator), zato morate uporabiti Nadzorno središče Preizkus SSO za to integracijo.

1

Izberi eno:

  • Vrnite se na Control Hub – stran za izbiro potrdila v brskalniku in kliknite Naslednji.
  • Če Control Hub ni več odprt na zavihku brskalnika, iz pogleda stranke v https://admin.webex.com, Pojdi do Upravljanje > Nastavitve organizacije, pomaknite se do Preverjanje pristnostiin nato izberite Dejanja > Uvoz metapodatkov.
2

Na strani Uvoz metapodatkov IdP povlecite in spustite datoteko z metapodatki IdP na stran ali pa uporabite možnost brskalnika datotek, da poiščete in naložite datoteko z metapodatki. Kliknite Naslednji.

Moral bi uporabiti Bolj varno možnost, če lahko. To je mogoče le, če je vaš IdP za podpis svojih metapodatkov uporabil javno CA.

V vseh drugih primerih morate uporabiti Manj varen možnost. To vključuje tudi, če metapodatki niso podpisani, samopodpisani ali podpisani s strani zasebne CA.


 

Okta ne podpisuje metapodatkov, zato morate izbrati Manj varen za integracijo Okta SSO.

3

Izberite Preizkusite nastavitev SSO , in ko se odpre nov zavihek brskalnika, preverite pristnost z IdP tako, da se prijavite.


 

Če prejmete napako pri preverjanju pristnosti, je morda težava s poverilnicami. Preverite uporabniško ime in geslo ter poskusite znova.

A Aplikacija Webex napaka običajno pomeni težavo z nastavitvijo SSO. V tem primeru se znova pomaknite skozi korake, zlasti korake, kjer kopirate in prilepite Nadzorno središče metapodatkov v nastavitev IdP.


 

Če si želite neposredno ogledati izkušnjo prijave v SSO, lahko tudi kliknete Kopiraj URL v odložišče s tega zaslona in ga prilepite v zasebno okno brskalnika. Od tam se lahko sprehodite skozi prijavo s sistemom SSO. Ta korak prepreči lažne pozitivne rezultate zaradi žetona za dostop, ki je morda v obstoječi seji, ko ste prijavljeni.

4

Vrnitev na Nadzorno središče zavihek brskalnika.

  • Če je bil preizkus uspešen, izberite Uspešen test. Vklopite SSO in kliknite Naslednji.
  • Če je bil preizkus neuspešen, izberite Neuspešen test. Izklop SSO in kliknite Naslednji.

 

Konfiguracija SSO ne začne veljati v vaši organizaciji, razen če izberete prvi izbirni gumb in aktivirate SSO.

Kaj storiti naprej

Uporabite postopke v Sinhronizirajte uporabnike Okta v Cisco Webex Control Hub če želite omogočiti uporabnike iz Okte v oblak Webex.

Uporabite postopke v Sinhronizirajte uporabnike Azure Active Directory v Cisco Webex Control Hub če želite omogočiti uporabnike iz storitve Azure AD v oblak Webex.

Postopek lahko sledite v Onemogoči samodejno pošiljanje e-pošte da onemogočite e-pošto, ki se pošilja novim uporabnikom aplikacije Webex v vaši organizaciji. Dokument vsebuje tudi najboljše prakse za pošiljanje sporočil uporabnikom v vaši organizaciji.

Nadgradnja Webex zaupanje odvisne stranke v ADFS

Ta naloga se posebej nanaša na posodabljanje ADFS z novimi metapodatki SAML iz Webexa. Obstajajo povezani članki, če jih potrebujete konfigurirajte SSO z ADFS, ali če potrebujete posodobi (drugačen) IdP z metapodatki SAML za novo potrdilo Webex SSO.

Preden začneš

Datoteko z metapodatki SAML morate izvoziti iz Control Huba, preden lahko posodobite Webex Relying Party Trust v ADFS.

1

Prijavite se v strežnik ADFS s skrbniškimi dovoljenji.

2

Prenesite metapodatkovno datoteko SAML iz Webexa v začasno lokalno mapo na strežniku ADFS, npr. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Odprite Powershell.

4

Teči Get-AdfsRelyingPartyTrust prebrati vse sklade odvisnih strank.

Upoštevajte TargetName parameter za Webex zaupanje zanašajoče se stranke. Uporabljamo primer "Webex", vendar je lahko v vašem ADFS drugačen.

5

Teči Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Zamenjajte ime datoteke in ciljno ime s pravilnimi vrednostmi iz vašega okolja.

glej https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Če ste prenesli 5-letno potrdilo Webex SP in imate vklopljen preklic potrdila za podpisovanje ali šifriranje, morate zagnati ta dva ukaza: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Prijavite se v Nadzorno središče, nato preizkusite integracijo SSO:

  1. Pojdi do Upravljanje > Nastavitve organizacije, pomaknite se do Preverjanje pristnosti, in preklopite na Enotna prijava nastavitev za zagon čarovnika za konfiguracijo.

  2. Kliknite Naslednji da preskočite stran Uvoz metapodatkov IdP.

    Tega koraka vam ni treba ponoviti, ker ste že uvozili metapodatke IdP.

  3. Preizkusite povezavo SSO, preden jo omogočite. Ta korak deluje kot preizkus in ne vpliva na nastavitve vaše organizacije, dokler v naslednjem koraku ne omogočite enotne prijave.


     

    Če si želite neposredno ogledati izkušnjo prijave v SSO, lahko tudi kliknete Kopiraj URL v odložišče s tega zaslona in ga prilepite v zasebno okno brskalnika. Od tam se lahko sprehodite skozi prijavo s sistemom SSO. To pomaga odstraniti vse informacije, predpomnjene v vašem spletnem brskalniku, ki bi lahko zagotovile lažno pozitiven rezultat pri testiranju vaše konfiguracije SSO.

  4. Za dokončanje testa se prijavite.

Odpravljanje težav ADFS

Napake ADFS v dnevnikih sistema Windows

V dnevnikih sistema Windows boste morda videli kodo napake dnevnika dogodkov ADFS 364. Podrobnosti dogodka identificirajo neveljavno potrdilo. V teh primerih gostitelju ADFS prek požarnega zidu na vratih 80 ni dovoljeno preverjanje potrdila.

Med poskusom izdelave verige potrdil za zaupanje odvisne stranke je prišlo do napake

Pri posodabljanju potrdila SSO se lahko pri prijavi prikaže ta napaka: Invalid status code in response.

Če vidite to napako, preverite dnevnike pregledovalnika dogodkov na strežniku ADFS in poiščite to napako: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Možni vzroki so, da je bilo potrdilo preklicano, verige potrdil ni bilo mogoče preveriti, kot je določeno z nastavitvami preklica šifrirnega potrdila zaupanja zanašajoče se stranke, ali potrdilo ni v roku veljavnosti.

Če pride do te napake, morate zagnati ukaze Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federacije

ID federacije razlikuje med velikimi in malimi črkami. Če je to vaš organizacijski e-poštni naslov, ga vnesite točno tako, kot ga pošlje ADFS, oz Webex ne najde ustreznega uporabnika.

Pravila zahtevka po meri ni mogoče napisati za normalizacijo atributa LDAP, preden je poslano.

Uvozite svoje metapodatke iz strežnika ADFS, ki ste ga nastavili v svojem okolju.

URL lahko po potrebi preverite tako, da se pomaknete na Storitev > Končne točke > Metapodatki > Vrsta: metapodatki zvez v upravljanju ADFS.

Časovna sinhronizacija

Prepričajte se, da je sistemska ura vašega strežnika ADFS sinhronizirana z zanesljivim internetnim časovnim virom, ki uporablja omrežni časovni protokol (NTP). Uporabite naslednji ukaz lupine PowerShell, da popačite uro za Webex Samo odnos zaupanja zanašajoče se stranke.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Šestnajstiška vrednost je edinstvena za vaše okolje. Zamenjajte vrednost iz vrednosti ID-ja SP EntityDescriptor v Webex datoteka z metapodatki. Na primer:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">