Jednokratna prijava i Control Hub

Jedinstvena prijava (SSO) je postupak potvrde identiteta sesije ili korisnika koji dozvoljava korisniku da obezbedi akreditive za pristup jednoj ili više aplikacija. Proces potvrđuje identitet korisnika za sve aplikacije na koje imaju pravo. Ona eliminiše dodatne upite kada korisnici zamene aplikacije tokom određene sesije.

Jezik za oznaku bezbednosne tvrdnje (SAML 2.0) za omogućavanje SSO potvrde identiteta između oblaka Webex i vašeg pružaoca usluga identiteta (IdP).

Profili

Webex aplikaciju podržava samo SSO profil veb-pregledača. U SSO profilu veb-pregledača aplikacija Webex podržava sledeća povezivanja:

  • SP je pokrenuo POST -> POST vezivanje

  • SP je pokrenuo PREUSMERAVANJE - > POST vezivanje

Format ID-a imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex aplikaciju podržava sledeće formate NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

U metapodacima koje učitavate iz IdP-a, prvi unos je konfigurisan za upotrebu u Webex.

Pojedinačni zapis

Aplikacija Webex podržava profil pojedinačne odjave. U aplikaciji Webex korisnik može da odjaviti se aplikaciju koja koristi SAML jedan protokol odjave da završi sesiju i potvrdi da odjaviti se pružaoca usluge identiteta. Uverite se da je vaš IdP konfigurisan za SingleLogout.

Integrišite Control Hub sa ADFS-om


 

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne pružaju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Drugi formati, kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress funkcionisaće za SSO integraciju, ali su izvan opsega naše dokumentacije.

Podesite ovu integraciju za korisnike u svojoj Webex organizaciji (uključujući aplikaciju Webex, Webex Meetings i druge usluge administratore u okviru Control Hub). Ako je Webex sajt usluga integrisana u Control Hub, Webex sajt nasleđuje upravljanje korisnicima. Ako ne možete da pristupite Webex Meetings na ovaj način i on se ne upravlja platformom Control Hub, morate da izvršite zasebnu integraciju da biste omogućili SSO za Webex Meetings. (Pogledajte Konfigurišite jedinstveno prijavljivanje za Webex za više informacija u SSO integraciji u administracija lokacije.)

U zavisnosti od toga šta je konfigurisano u mehanizmima potvrde identiteta u ADFS-u, integrisana Windows potvrda identiteta (IWA) može da se podrazumevano omogućeno. Ako je omogućeno, aplikacije koje se pokreću preko operativnog sistema Windows (kao što su aplikacija Webex i Cisco sinhronizator direktorijuma) potvrđuju identitet korisnika koji je prijavljen, bez obzira na to šta e-adresa uneseno tokom početnog upita za e-poštu.

Preuzmite Webex metapodatke na svoj lokalni sistem

1

Iz prikaza klijenta https://admin.webex.comu programu izaberite stavku Upravljanje > podešavanja organizacije, a zatim se pomerite do stavke "Potvrda identiteta", a zatim uključite opciju "Podešavanje pojedinačne prijave" da biste pokrenuli čarobnjak za podešavanje.

2

Izaberite tip sertifikata za svoju organizaciju:

  • Samopotpisano od strane Cisco – preporučujemo ovaj izbor. Hajde da potpišemo sertifikat, tako da ga obnavljate samo jednom u pet godina.
  • Potpisao državni organ za izdavanje sertifikata – bezbednije, ali moraćete često da ažurirate metapodatke (osim ako vaš dobavljač IdP ne podržava sidrije pouzdanosti).

 

Tipi pouzdanosti su javni ključevi koji deluju kao autoritet za potvrdu sertifikata digitalnog potpisa. Za više informacija pogledajte IdP dokumentaciju.

3

Preuzmite datoteku metapodataka.

Ime Webex datoteke metapodataka je idb-meta-SP.xml<org-ID>.

Instaliranje Webex metapodataka u ADFS

Pre nego što počnete

Control Hub podržava ADFS 2.x ili noviji.

Windows 2008 R2 sadrži samo ADFS 1.0. Morate da instalirate minimum ADFS 2.x iz microsoft usluge.

Za SSO i Webex usluge, dobavljači identiteta (IdPs) moraju da se usaglaše sa sledećim SAML 2.0:

  • Podesite atribut NameID Format na urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurišite polaganje prava na IdP tako da uključuje ime UID atributa sa vrednošću koja je mapirana na atribut koji je izabran u Cisco sinhronizatoru direktorijuma ili korisnički atribut koji se podudara sa onom koja je izabrana u Webex usluzi identiteta. (Ovaj atribut, na primer, mogu biti e-adrese ili glavno ime korisnika.) Uputstva potražite u informacijama o prilagođenim atributima https://www.cisco.com/go/hybrid-services-directory .

1

Prijavite se na ADFS server sa dozvolama administratora.

2

Otvorite konzolu za ADFS Management i pregledajte trust Relationships > pouzdanosti oslanjanja na stranku > dodajte poverenje oslanjanje na stranku.

3

U prozoru "Dodaj pouzdane strane" izaberite "Pokreni ".

4

Za opciju Izbor izvora podataka izaberite podatke o oslanjanju na stranku iz datoteke, pregledajte datoteku metapodataka kontrolnog čvorišta koju ste preuzeli i izaberite Dalje.

5

Za navođenje imena za prikaz kreirajte ime za prikaz za ovo poverenje oslonjene strane kao što je Webex, a zatim izaberite "Dalje ".

6

Za opciju "Odaberi pravila ovlašćenja za izouenciju" izaberite "Dozvoli svim korisnicima da pristupaju ovoj oslanjanju" i izaberite "Dalje".

7

Za opciju "Spremno za dodavanje pouzdanosti", izaberite "Dalje" i završite dodavanje pouzdanosti u ADFS.

Kreirajte pravila polaganja prava za Webex potvrdu identiteta

1

U glavnom ADFS oknu izaberite relaciju pouzdanosti koju ste kreirali, a zatim izaberite Uredi pravila polaganja prava. Na kartici "Pravila transformacije izocijacija" izaberite opciju " Dodaj pravilo".

2

U koraku "Izaberi tip pravila" izaberite " Pošalji LDAP kao atribute kao zahteve", a zatim izaberite "Dalje ".

  1. Unesite ime pravila za polaganje prava.

  2. Izaberite Active Directory kao prodavnicu atributa.

  3. Mapirajte e-adrese LDAP atribut na UID tip odlaznog zahteva.

    Ovo pravilo kaže ADFS koja polja treba mapirajti u Webex da biste identifikovali korisnika. Pravopis tipova odlaznih zahteva tačno kako je prikazano.

  4. Sačuvajte promene.

3

Ponovo izaberite "Dodaj pravilo ", izaberite "Pošalji polaganje prava" pomoću prilagođenog pravila, a zatim izaberite "Dalje ".

Ovo pravilo pruža ADFS sa atributom "spname kvalifikator" koji Webex inače ne obezbeđuje.

  1. Otvorite uređivač teksta i kopirajte sledeći sadržaj.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Zamenite URL1 i URL2 u tekstu na sledeći:

    • URL1 je ID entiteta iz ADFS datoteke metapodataka koju ste preuzeli.

      Na primer, sledeći je uzorak onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopirajte samo ID entiteta iz ADFS datoteke metapodataka i nalepite ga u tekstualnu datoteku da biste zamenili URL1

    • URL2 se nalazi na prvoj liniji Webex datoteke metapodataka koju ste preuzeli.

      Na primer, sledeći je uzorak onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopirajte samo ID entiteta iz Webex datoteke metapodataka i nalepite ga u tekstualnu datoteku da biste zamenili URL2.

  2. Sa ažuriranim URL adresama, kopirajte pravilo iz uređivača teksta (počevši od "c:") i nalepite ga u prilagođeno polje za pravila na ADFS serveru.

    Dovršeno pravilo treba da izgleda ovako:

  3. Izaberite "Završi " da biste kreirali pravilo, a zatim napustite prozor Uredi pravila zahteva.

4

U prozoru "Pouzdane strane" glavni prozor izaberite stavku Svojstva u desnom oknu.

5

Kada se pojavi prozor Svojstva, pregledajte karticu Napredno, SHA-256, a zatim izaberite U redu da sačuvate promene.

6

Potražite sledeće opcije URL na internom ADFS serveru da biste preuzeli datoteku: https:// AD_FS_server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Možda ćete morati da kliknete desnim tasterom miša na stranicu i prikažete izvor stranice da biste dobili pravilno oblikovane XML datoteka.

7

Sačuvajte datoteku na lokalnom računaru.

Šta je sledeće

Spremni ste da ponovo uvezete ADFS metapodatke u Webex sa portala za upravljanje.

Uvezite IdP metapodatke i omogućite jedna prijava nakon testa

Kada izvezete Webex metapodatke, konfigurišite IdP i preuzmite IdP metapodatke na lokalni sistem, spremni ste da ih uvezete u svoju Webex organizaciju iz Control Hub.

Pre nego što počnete

Nemojte testirati SSO integraciju od dobavljača identiteta (IdP) interfejsa. Podržavamo samo tokove dobavljača usluga koje je pokrenuo SP, tako da morate da koristite test Control Hub SSO za ovu integraciju.

1

Odaberite jednu:

  • Vratite se na stranicu Control Hub – stranica za izbor sertifikata u pregledaču, a zatim kliknite na "Dalje ".
  • Ako control Hub više nije otvoren na kartici pregledača, https://admin.webex.comiz prikaza korisnika u , idite na "Upravljanje > Podešavanja organizacije", pomerite se do stavke "Potvrda identiteta", a zatim izaberite stavku Radnje > Uvezi metapodatke.
2

Na stranici "IdP metapodaci uvoz", prevucite i otpustite IdP datoteku metapodataka na stranicu ili koristite opciju pregledača datoteka da biste pronašli i otpremili datoteku metapodataka. Kliknite na Dalje.

Trebalo bi da koristite bezbednije opciju, ako možete. Ovo je moguće samo ako vaš IdP koristi javni CA za potpisivanje metapodataka.

U svim drugim slučajevima, morate da koristite opciju Manje bezbedno . To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.


 

Okta ne potpisivanje metapodataka, tako da morate da izaberete Manje bezbedno za Okta SSO integraciju.

3

Izaberite Testiraj SSO podešavanje i kada se otvori nova kartica pregledača, potvrdite identitet pomoću IdP-a prijavljivanjem.


 

Ako dobijete grešku prilikom potvrde identiteta možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška Webex aplikacije obično znači problem sa SSO podešavanjem. U ovom slučaju, ponovo hodajte kroz korake, posebno za korake gde kopirate i nalepite metapodatke platforme Control Hub u IdP podešavanje.


 

Da biste direktno videli iskustvo SSO prijavljivanja, možete da kliknete i na Kopiraj URL u ostavu preko ovog ekrana i da je nalepite u prozor privatnog pregledača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovaj korak zaustavlja netačne pozitivne informacije zbog tokena za pristup koji može biti u postojećoj sesiji od kada ste prijavljeni.

4

Vratite se na karticu pregledača Control Hub.

  • Ako je test bio uspešan, izaberite "Uspešan test". Uključite SSO i kliknite na dugme Dalje.
  • Ako test nije uspeo, izaberite "Neuspešan test". Isključite SSO i kliknite na dugme Dalje.

 

SSO konfiguracija ne stupi na snagu u vašoj organizaciji, osim ako ne izaberete prvi dugme za opciju i ne aktivirate SSO.

Šta je sledeće

Koristite procedure u sinhronizaciji korisnika usluge Okta u Cisco Webex Control Hub želite da dodelite privilegije za korisnike iz usluge Okta u Webex oblaku.

Koristite procedure u sinhronizaciji Azure Active Directory korisnika u Cisco Webex Control Hub ako želite da uradite dodelu privilegija za korisnike iz Azure AD-a u Webex oblak.

Možete da pratite proceduru u suzbijanju automatske e-pošte da biste onemogućili e-poruke koje se šalju novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacija korisnicima u vašoj organizaciji.

Ažuriraj Webex oslanjanje stranke u ADFS

Ovaj zadatak je posebno o ažuriranju ADFS-a novim SAML metapodacima iz Webex. Postoje srodni članci ako je potrebno da konfigurišete SSO sa ADFS-om ili ako je potrebno da ažurirate (jedan drugi) IdP sa SAML metapodacima za novi Webex SSO sertifikat.

Pre nego što počnete

Morate da izvezete SAML datoteku metapodataka iz Control Hub da biste mogli da ažurirate Webex pouzdane strane oslanjanja u ADFS.

1

Prijavite se na ADFS server sa dozvolama administratora.

2

Otpremite SAML datoteku metapodataka iz Webex u privremenu lokalnu fasciklu na ADFS serveru, npr. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Otvorite Powershell.

4

Pokreni Get-AdfsRelyingPartyTrust da biste pročitali sva pouzdana lica koja se oslanjaju.

E-pošti TargetName parametar pouzdanosti Webex stranci. Koristimo primer "Webex" ali može da se razlikuje u vašem ADFS-u.

5

Pokreni Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Obavezno zamenite ime datoteke i ciljno ime ispravnim vrednostima iz vašeg okruženja.

Pogledajte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Ako ste preuzeli sertifikat Webex sp od 5 godina i isključili opoziv sertifikata ili šifrovanja, potrebno je da pokrenete ove dve komande: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Prijavite se na Control Hub, a zatim testirajte SSO integraciju:

  1. Idite na stranicu Upravljanje > organizacije, pomerite se do stavke "Potvrda identiteta" i uključite ili isključite podešavanje jedinstvene prijave da biste pokrenuli čarobnjak za konfiguraciju.

  2. Kliknite na dugme " Dalje" da biste preskočili stranicu za IdP metapodaci uvoza.

    Ne morate da ponavljate taj korak zbog toga što ste prethodno uvezli IdP metapodatke.

  3. Testirajte SSO vezu pre nego što je omogućite. Ovaj korak predstavlja probu i ne utiče na podešavanja vaše organizacije dok ne omogućite SSO u narednom koraku.


     

    Da biste direktno videli iskustvo SSO prijavljivanja, možete da kliknete i na Kopiraj URL u ostavu preko ovog ekrana i da je nalepite u prozor privatnog pregledača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovo pomaže u uklanjanju bilo kojih informacija keširanih u vašem veb-pregledaču koje bi mogle da pruže lažni pozitivan rezultat prilikom testiranja vaše SSO konfiguracije.

  4. Prijavite se da biste završili test.

Rešavanje problema sa ADFS

ADFS greške u Windows evidencijama

U Windows evidencijama, možda ćete videti evidenciju ADFS događaja kôd greške 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.

Došlo je do greške tokom pokušaja da se lanac sertifikata za poverenje oslanjane strane

Prilikom ažuriranja sertifikata SSO možda će vam biti predstavljena ova greška prilikom prijavljivanja: Invalid status code in response.

Ako vidite tu grešku, proverite evidencije prikaznika događaja na ADFS serveru i potražite sledeću grešku: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Mogući uzroci su da je sertifikat opozvan, lanac sertifikata sertifikat nije mogao da se potvrdi kao što je naznačeno podešavanjima opoziva sertifikata pouzdane strane ili sertifikat nije u okviru perioda važenja.

Ako dođe do ove greške, morate da pokrenete komande Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Spoljni ID

Federacija ID velika i mala slova. Ako je ovo vaša organizacija e-adresa, unesite ga baš onako kako ga ADFS šalje ili Webex ne može da pronađe korisnika koji se podudara.

Prilagođeno pravilo zahtevanja ne može da se upiše za normalizaciju LDAP atribut pre nego što se pošalje.

Uvezite svoje metapodatke sa ADFS servera koji podesiti u okruženju.

Ako je URL potrebno, možete da proverite prelaskom na > krajnje tačke usluge > metapodatake > tip:metapodaci spoljnog pristupa u ADFS upravljanju.

Sinhronizacija vremena

Uverite se da je sistemski sat vašeg ADFS servera sinhronizovan sa pouzdanim izvorom internet vremena koji koristi Mrežni vremenski protokol (NTP). Koristite sledeću PowerShell komandu da biste poništili sat samo za odnos poverenja u Webex Oslanjanje na stranku.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Heksadecimalna vrednost je jedinstvena za vaše okruženje. Zamena vrednosti iz SP EntityDescriptor ID u Webex datoteci metapodataka. Na primer:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">