Jedno prijavljivanje i kontrolno čvorište

Jedinstveno prijavljivanje (SSO) je proces sesije ili potvrde identiteta korisnika koji omogućava korisniku da obezbedi akreditive za pristup jednoj ili više aplikacija. Proces daje potvrdu identiteta korisnicima za sve aplikacije kojima su data prava. Ona eliminiše dodatna odziva kada korisnici zamene aplikacije tokom određene sesije.

Protokol Federacije bezbednosnih oznaka (SAML 2.0) koristi se za obezbeđivanje SSO potvrde identiteta između Webex cloud-a i dobavljača identiteta (IdP).

Profili

Webex aplikacija podržava samo SSO profil Veb pregledača. U SSO profilu Veb pregledača, Webex Aplikacija podržava sledeće poveze:

  • SP inicirala post -> POST binding

  • SP pokrenuo REDIRECT -> POST binding

ID format imena

SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex aplikacija podržava sledeće ID formate imena.

  • URL:oaza:names:tc:SAML:2.0:nameid-format:transient

  • URL:oaza:imena:tc:SAML:1.1:nameid-format:nespecifikovano

  • URL:oaza:imena:tc:SAML:1.1:nameid-format:emailAdresa

U metapodacima koje učitavate iz IdP-a, prva stavka je konfigurisana za korišćenje u webexu .

Jednostrukilog

Webex aplikacija podržava profil za jedinstveno odjavljivanje. U aplikaciji Webexkorisnik može da se odjavi iz aplikacije, koja koristi SAML protokol za jedinstveno odjavljivanje da bi završio sesiju i potvrdio to odjavljivanje pomoću IdP-a. Uverite se da je vaš IdP konfigurisan za singleLogout.

Integrisanje kontrolnog čvorišta pomoću ADFS-a

Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne obezbeđuju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za urnu urne urnije u imenom:oaza:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju ali su izvan opsega naše dokumentacije.

Podesite ovu integraciju za korisnike u Vašoj Webex organizaciji (uključujući Webex App, Webex meetingsi druge usluge administrirane u kontrolnom čvorištu). Ako je Vaša Webex lokacija integrisana u kontrolno čvorište , Webex lokacija nasleđuje upravljanje korisnicima. Ako ne možete da pristupite Webex sastancima na ovaj način, a njime se ne upravlja u kontrolnom čvorištu, morate da uradite posebnu integraciju da biste omogućili SSO za Webex sastanke. (Vidite Konfigurišite jedinstveno prijavljivanje za Webex za više informacija u SSO integraciji u administraciji lokacije.)

U zavisnosti od toga šta je konfigurisano u mehanizmima potvrde identiteta u ADFS-u, integrisana Windows potvrda identiteta (IWA) se podrazumevano može omogućiti. Ako je omogućeno, aplikacije koje se pokreću putem operativnog sistema Windows (kao što su Webex App i Cisco Directory Connector ) imajupotvrdu identiteta kao korisnika koji se prijavio, bez obzira na to koja e-adresa je uneta tokom početnog odziva e-pošte.

Preuzimanje Webex metapodataka na lokalni sistem

1

Iz prikaza klijenta u programu https://admin.webex.com, idite na "Management > Organization Settings", a zatim se pomerite do potvrde identiteta, a zatim se prebacite na postavku jedinstvenog prijavljivanja da biste pokrenuli čarobnjak za instalaciju.

2

Odaberite tip certifikata za vašu organizaciju:

  • Samopotpisano od strane kompanije Cisco – Preporučujemo ovaj izbor. Hajde da potpišemo sertifikat tako da je potrebno da ga obnovite samo jednom u pet godina.
  • Potpisao javni autoritet za sertifikaciju – Bezbednije, ali moraćete često da ažurirate metapodatke (osim ako vaš dobavljač IdP ne podržava sidra pouzdanosti).

Sidra pouzdanosti su javni ključevi koji deluju kao autoritet za verifikaciju certifikata digitalnog potpisa. Za više informacija pogledajte IDP dokumentaciju.

3

Preuzmite datoteku metapodataka.

Ime Webex datoteke metapodataka je idb-meta--SP.xml.

Instaliranje Webex metapodataka u ADFS

Pre nego što počneš

Kontrolno čvorište podržava ADFS 2.x ili noviji.

Windows 2008 R2 uključuje samo ADFS 1.0. Morate da instalirate minimum ADFS 2.x od korporacije Microsoft.

Za SSO i Webex usluge dobavljači identiteta (IDPs) moraju biti u skladu sa sledećom SAML 2.0 specifikacijom:

  • Podesite atribut NameID formata na urn:oasis:names:tc:SAML:2.0:nameid-format:Дојење

  • Konfigurišite polaganje prava na IdP-u tako da uključi ime UID atributa sa vrednošću koja je mapirana na atribut koji je izabran u Cisco konektoru direktorijuma ili korisnički atribut koji se podudara sa onim koji je izabran u Webex usluzi identiteta. (Ovaj atribut može biti E-Adrese ili Korisničko-Principal-Ime, na primer.) Pogledajte prilagođene informacije o atributu u https://www.cisco.com/go/hybrid-services-directory za uputstva.

1

Prijavite se na ADFS server sa administratorskim dozvolama.

2

Otvorite ADFS Management konzolu i potražite lokaciju "Pouzdani odnosi> pouzdanost stranačkih poverenja > Add Relying Party Trust.

3

U prozoru Čarobnjak za pouzdanost stranke koji se oslanja na njih kliknite na dugme Start .

4

Za opciju Izaberite izvor podataka izaberite Uvezi podatke o pouzdanoj strani iz datoteke, pregledajte datoteku metapodataka Control Hub koju ste preuzeli i izaberite Sledeće.

5

Za opciju Odredite ime za prikazkreirajte ime za prikaz za ovaj pouzdani autoritet stranke, kao što je Webex i izaberite Sledeće.

6

Za izbor Pravila autorizacije izdavanjaizaberite opciju Dozvoli svim korisnicima da pristupe ovoj stranci koja se oslanjai kliknite na dugme Dalje .

7

Za opciju "Spremno zadodavanje poverenja" kliknite na dugme "Dalje" i završite dodavanje pouzdanosti ADFS-u.

Kreiranje pravila zahteva za Webex potvrdu identiteta

1

U glavnom ADFS oknu izaberite relaciju pouzdanosti koju ste kreirali, a zatim izaberite stavku Uredi pravila zahteva. Na kartici "Pravila za transformaciju izostavanja" izaberite stavku Dodaj pravilo.

2

U koraku Odaberite tip pravila izaberite Pošalji LDAP atribute kao zahteve , azatim kliknite na dugme Dalje.

  1. Unesite ime pravila zahteva.

  2. Izaberite aktivni direktorijum kao skladište atributa.

  3. Mapirajte LDAP atribut e-adresa na tip odlaznog zahteva UID-a.

    Ovo pravilo govori ADFS-u koja polja treba mapirati na Webex da bi identifikovao korisnika. Speluj tipove odlaznih zahteva tačno onako kako je prikazano.

  4. Sačuvajte promene.

3

Ponovo izaberite opciju Dodaj pravilo, izaberite pošalji zahteve koristeći prilagođeno pravilo , azatim kliknite na dugme Dalje.

Ovo pravilo obezbeđuje ADFS-u atribut "spname qualifier" koji Webex inače ne obezbeđuje.

  1. Otvorite uređivač teksta i kopirajte sledeći sadržaj.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => problem(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Izdavač = c.Izdavač, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Svojstva["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Svojstva["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] Кућаслика 1„, Svojstva[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] КућаURL2 adresa„);

    Zameni URL1 i URL adresu2 u tekstu na sledeći način:

    • URL1 je entityID iz ADFS datoteke metapodataka koju ste preuzeli.

      Na primer, sledeći je primer onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopirajte samo ID entiteta iz datoteke ADFS metapodataka i nalepite ga u tekstualnu datoteku da biste zamenili URL1

    • URL2 je na prvom redu u Webex datoteci metapodataka koju ste preuzeli.

      Na primer, sledeći je primer onoga što vidite: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopirajte samo ID entiteta iz Webex datoteke metapodataka i nalepite ga u tekstualnu datoteku da biste zamenili URL2.

  2. Pomoću ažuriranih URL adresa kopirajte pravilo iz uređivača teksta (počevši od "c:") i nalepite ga u prilagođeno polje za pravilo na ADFS serveru.

    Dovršeno pravilo bi trebalo da izgleda ovako:

  3. Kliknite na dugme "Završi" da biste kreirali pravilo, a zatim izađite iz prozora Uređivanje pravila zahteva.

4

U glavnom prozoru izaberite stavku Pouzdanost poverenja stranke, a zatim u desnom oknu izaberite stavku Svojstva.

5

Kada se pojavi prozor "Svojstva", potražite karticu "Više opcija", "SHA-256", a zatim kliknite na dugme "U redu" da biste sačuvali promene.

6

Potražite sledeću URL adresu na internom ADFS serveru da biste preuzeli datoteku: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Možda će biti potrebno da kliknete desnim tasterom miša na stranicu i prikažete izvor stranice da biste dobili ispravno oblikovanu XML datoteku.

7

Sačuvajte datoteku na lokalnom računaru.

Šta dalje

Spremni ste da ponovo uvezete ADFS metapodatke u Webex sa portala za upravljanje.

Uvoz IdP metapodataka i omogućavanje jedinstvenog prijavljivanja nakon testa

Kada izvezete Webex metapodatke, konfigurišete IdP i preuzmete IdP metapodatke u lokalni sistem, spremni ste da ga uvezete u Webex organizaciju iz kontrolnog čvorišta.

Pre nego što počneš

Nemojte testirati SSO integraciju iz interfejsa dobavljača identiteta (IdP). Mi podržavamo samo tokove koje je pokrenuo dobavljač usluga (SP) tako da za ovu integraciju morate da koristite SSO test kontrolnog čvorišta.

1

Odaberite jednu:

  • Vratite se na Control Hub – stranicu za izbor sertifikata u pregledaču, a zatim kliknite na Dalje.
  • Ako Control Hub nije više otvoren na kartici pregledača, iz prikaza kupca u https://admin.webex.com, idi na Upravljanje > Podešavanja organizacije, listaj do Autentifikacija, a zatim odaberite Опције > Uvezi metapodatke.
2

Na stranici "Uvoz IdP metapodataka" prevucite i otpustite datoteku IdP metapodataka na stranicu ili koristite opciju pregledača datoteka da biste pronašli i otpremili datoteku metapodataka. Kliknite na dugme Dalje.

Trebalo bi da koristite bezbedniju opciju, ako možete. Ovo je moguće samo ako je vaš IDP koristio javni CA za potpisivanje metapodataka.

U svim ostalim slučajevima morate da koristite opciju "Manje bezbedno ". To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA.

Okta ne potpisuje metapodatke, tako da morate odabrati Manje bezbedne za Okta SSO integraciju.

3

Izaberite Testiraj SSOpodešavanje i kada se otvori nova kartica pregledača, potvrdite identitet sa IdP-om prijavljivanjem.

Ako dobijete grešku u potvrdi identiteta, možda postoji problem sa akreditivima. Proverite korisničko ime i lozinku i pokušajte ponovo.

Greška webex aplikacije obično znači problem sa SSO instalacijom. U tom slučaju, ponovo hodajte kroz korake, posebno korake u kojima kopirate i lepite metapodatke kontrolnog čvorišta u IdP instalaciju.

Da biste direktno videli iskustvo SSO prijavljivanja, možete da kliknete i na Kopiraj URL u ostavu preko ovog ekrana i da je nalepite u prozor privatnog pregledača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovaj korak zaustavlja lažne pozitivne stvari zbog oznake za pristup koja se možda nastaje u postojećoj sesiji od prijavljenog.

4

Vratite se na karticu pregledača kontrolnog čvorišta.

  • Ako je test bio uspešan, izaberite Uspešan test. Uključite SSO i kliknite na dugme Dalje .
  • Ako test nije uspeo, izaberite Neuspešni test. Isključite SSO i kliknite na dugme " Dalje".

SSO konfiguracija ne stupa na snagu u vašoj organizaciji osim ako ne odaberete prvo radio dugme i aktivirate SSO.

Šta dalje

Koristite procedure u sinhronizovanju okta korisnika u Cisco Webex kontrolno čvorište ako želite da izvršite korisničko obezbeđivanje iz Okte u Webex oblaku.

Koristite procedure u Sinhronizaciji Azure Active Directory korisnika u Cisco Webex Control Hub ako želite da pružate usluge korisnicima iz Azure AD u Webex cloud.

Postupak možete da pratite u odeljku Suzbijanje automatizovanih e-poruka da biste onemogućili e-poruke koje se šalju novim korisnicima aplikacije Webex u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.

Ažuriranje Webex pouzdanosti stranke u ADFS-u

Ovaj zadatak se konkretno bavi ažuriranjem ADFS-a novim SAML metapodacima iz usluge Webex. Postoje srodni članci ako je potrebno da konfigurišete SSO sa ADFS-omili ako je potrebno da ažurirate (drugi) IDP sa SAML metapodacima za novi Webex SSO sertifikat.

Pre nego što počneš

Morate da izvezete SAML datoteku metapodataka iz platforme Control Hub da biste mogli da ažurirate poverenje Webex stranke koja se oslanja u ADFS.

1

Prijavite se na ADFS server sa administratorskim dozvolama.

2

Otpremite SAML datoteku metapodataka iz usluge Webex u privremenu lokalnu fasciklu na ADFS serveru, npr. //ADFS_servername/temp/idb-meta--SP.xml.

3

Otvori Powershell.

4

Pokrenite Get-AdfsRelyingPartyTrust da biste pročitali sve pouzdane stranke.

Imajte na TargetName parametar poverenja stranke koja se oslanja na Webex. Koristimo primer "Webex", ali može biti drugačiji u vašem ADFS-u.

5

Pokrenite Update-AdfsRelyingPartyTrust-MetadataFile „//ADFS_servername/temp/idb-meta--SP.xml“ -TargetName „Webex.

Uverite se da ste ime datoteke i ime cilja zamenili ispravnim vrednostima iz okruženja.

Pogledajte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

Ako ste preuzeli Webex SP 5 godišnji certifikat i kada je uključen opoziv certifikata za potpisivanje ili šifrovanje, potrebno je da pokrenete ove dve komande: Set-AdfsRelyingPartyTrust-SigningCertificateRevocationCheck None -ŠifrovanjeCertificateRevocationCheck None -TargetName „Webex.

6

Prijavite se u kontrolno čvorište, a zatim testirajte SSO integraciju:

  1. Idite na opciju > "Upravljanje postavkama organizacije", pomerite se do potvrdeidentiteta i prebacite se na postavku jedinstvenog prijavljivanja da biste pokrenuli čarobnjak za konfigurisanje.

  2. Kliknite na dugme "Dalje" da biste preskočili stranicu "Uvoz IdP metapodataka".

    Ne morate da ponavljate taj korak jer ste prethodno uvezli IdP metapodatke.

  3. Testirajte SSO vezu pre nego što je omogućite. Ovaj korak predstavlja probu i ne utiče na podešavanja vaše organizacije dok ne omogućite SSO u narednom koraku.

    Da biste direktno videli iskustvo SSO prijavljivanja, možete da kliknete i na Kopiraj URL u ostavu preko ovog ekrana i da je nalepite u prozor privatnog pregledača. Odatle možete da prođete kroz prijavu pomoću jedinstvenog prijavljivanja (SSO). Ovo pomaže u uklanjanju bilo kojih informacija keširanih u vašem veb-pregledaču koje bi mogle da pruže lažni pozitivan rezultat prilikom testiranja vaše SSO konfiguracije.

  4. Prijavite se da biste dovršili test.

ADFS rešavanje problema

ADFS greške u Windows evidencijama

U Evidencijama operativnog sistema Windows možda ćete videti Kôd greške evidencije događaja ADFS 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.

Došlo je do greške tokom pokušaja izgradnje lanca certifikata za poverenje stranke koja se oslanja

Prilikom ažuriranja SSO certifikata, prilikom prijavljivanja može vam biti predstavljena ova greška: Nevažeći kôd statusa u odgovoru.

Ako vidite tu grešku, proverite evidencije prikazivača događaja na ADFS serveru i potražite sledeću grešku: Došlo je do greške tokom pokušaja izgradnje lanca sertifikata za poverenje oslanjanja na stranku 'https://idbroker.webex.com/<org-ID>' sertifikat identifikovan otiskom palca '754B9208F1F75C5CC122740F3675C5D129471D80'. Mogući uzroci su da je certifikat opozvan, lanac certifikata nije mogao biti verifikovan kao što je navedeno postavkama opoziva certifikata certifikata za šifrovanje pouzdanosti ili certifikat nije u okviru perioda važenja.

Ako dođe do ove greške, morate da pokrenete komande Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID federacije

ID Federacije je osetljiv na mala i velika slova. Ako je ovo vaša organizaciona e-adresa, unesite je tačno onako kako je ADFS šalje ili Webex ne može da pronađe odgovarajućeg korisnika.

Nije moguće napisati prilagođeno pravilo zahteva za normalizaciju LDAP atributa pre nego što bude poslat.

Uvezite metapodatke sa ADFS servera koji ste podesili u okruženju.

Možete da proverite URL adresu ako je potrebno tako što ćete se naći u usluzi > Endpoints > Metadata > Type:Federation Metadata u ADFS Management.

Sinhronizacija vremena

Uverite se da je sistemski sat ADFS servera sinhronizovan sa pouzdanim izvorom vremena na Internetu koji koristi Protokol mrežnog vremena (NTP). Koristite sledeću komandu PowerShell da biste iskriviti sat samo za webex Relying Party Trust odnos.

Set-ADFSRelyingPartyTrust -TargetIdentifier „https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Heksadecimalna vrednost je jedinstvena za vašu okolinu. Zamenite vrednost iz ID-a entiteta SP u datoteci Webex metapodataka. Na primer:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">