Možete da konfigurišete integraciju jedinstvenog prijavljivanja (SSO) između kontrolnog čvorišta i primene koja koristi usluge federacije aktivnog direktorijuma (ADFS 2.x i novije) kao dobavljača identiteta (IdP).
Jedno prijavljivanje i kontrolno čvorište
Jedinstveno prijavljivanje (SSO) je proces sesije ili potvrde identiteta korisnika koji omogućava korisniku da obezbedi akreditive za pristup jednoj ili više aplikacija. Proces daje potvrdu identiteta korisnicima za sve aplikacije kojima su data prava. Ona eliminiše dodatna odziva kada korisnici zamene aplikacije tokom određene sesije.
Protokol Federacije bezbednosnih oznaka (SAML 2.0) koristi se za obezbeđivanje SSO potvrde identiteta između Webex cloud-a i dobavljača identiteta (IdP).
Profili
Webex aplikacija podržava samo SSO profil Veb pregledača. U SSO profilu Veb pregledača, Webex Aplikacija podržava sledeće poveze:
SP inicirala post -> POST binding
SP pokrenuo REDIRECT -> POST binding
ID format imena
SAML 2.0 protokol podržava nekoliko NameID formata za komunikaciju o određenom korisniku. Webex aplikacija podržava sledeće ID formate imena.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
U metapodacima koje učitavate iz IDP-a, prva stavka je konfigurisana za korišćenje u programu Webex.
Jednostrukilog
Webex aplikacija podržava profil za jedinstveno odjavljivanje. U aplikaciji Webexkorisnik može da se odjavi iz aplikacije, koja koristi SAML protokol za jedinstveno odjavljivanje da bi završio sesiju i potvrdio to odjavljivanje pomoću IdP-a. Uverite se da je vaš IdP konfigurisan za singleLogout.
Integrisanje kontrolnog čvorišta pomoću ADFS-a
Vodiči za konfiguraciju prikazuju određeni primer za SSO integraciju, ali ne obezbeđuju iscrpnu konfiguraciju za sve mogućnosti. Na primer, koraci integracije za urnu urne urnije u imenom:oaza:names:tc:SAML:2.0:nameid-format:transient su dokumentovani. Ostali formati kao što su urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress će raditi za SSO integraciju ali su izvan opsega naše dokumentacije. |
Podesite ovu integraciju za korisnike u Webex organizaciji (uključujući Webex App, Webex Meetings i drugeusluge administrirane u kontrolnom čvorištu). Ako je Webex lokacija integrisana u kontrolnočvorište , Webex lokacija nasleđuje upravljanje korisnicima. Ako ne možete da pristupite Webex sastancima na ovaj način, a njime se ne upravlja u kontrolnom čvorištu, morate da uradite posebnu integraciju da biste omogućili SSO za Webex sastanke. (Vidite Konfigurišite jedinstveno prijavljivanje za Webex za više informacija u SSO integraciji u administraciji lokacije.)
U zavisnosti od toga šta je konfigurisano u mehanizmima potvrde identiteta u ADFS-u, integrisana Windows potvrda identiteta (IWA) se podrazumevano može omogućiti. Ako je omogućeno, aplikacije koje se pokreću putem operativnog sistema Windows (kao što su Webex App i Cisco Directory Connector ) imajupotvrdu identiteta kao korisnika koji se prijavio, bez obzira na to koja e-adresa je uneta tokom početnog odziva e-pošte.
Preuzimanje Webex metapodataka na lokalni sistem
1 | Iz prikaza klijenta u https://admin.webex.comprogramu , idite na prebacite na postavku jedinstvenog prijavljivanja da biste pokrenuli čarobnjak za instalaciju. |
||
2 | Odaberite tip certifikata za vašu organizaciju:
|
||
3 | Preuzmite datoteku metapodataka. Ime datoteke Webex metapodataka je idb-meta -<org-ID>-SP.xml. |
Instaliranje Webex metapodataka u ADFS
Pre nego što počneš
Kontrolno čvorište podržava ADFS 2.x ili noviji.
Windows 2008 R2 uključuje samo ADFS 1.0. Morate da instalirate minimum ADFS 2.x od korporacije Microsoft.
Za SSO i Webex usluge dobavljači identiteta (IDPs) moraju biti u skladu sa sledećom SAML 2.0 specifikacijom:
Postavite atribut NameID formata na urn:oasis:names:tc:SAML:2.0:nameid-format:prolaz
Konfigurišite zahtev za IdP tako da sadrži ime atributa UID-a sa vrednošću koja je mapirana na atribut koji je izabran u Cisco Directory Connector ili korisnički atribut koji se podudara sa onim koji je izabran uWebex usluzi identiteta. (Ovaj atribut mogu biti e-adrese ili korisničko-glavno ime, na primer.) Više informacija o prilagođenom atributu https://www.cisco.com/go/hybrid-services-directory potražite u članku.
1 | Prijavite se na ADFS server sa administratorskim dozvolama. |
2 | Otvorite ADFS Management konzolu i potražite . |
3 | U prozoru Čarobnjak za pouzdanost stranke koji se oslanja na njih kliknite na dugme Start . |
4 | Za izbor izvora podataka izaberite Stavku Uvezi podatke o religiranoj stranci izdatoteke , potražite datoteku metapodataka kontrolnog čvorišta koju ste preuzeli i kliknite na dugme Dalje. |
5 | Za određivanje imena zaprikaz kreirajte ime za prikaz za ovu pouzdanu pouzdanost stranke kao što je Webex i kliknite na dugme Dalje. |
6 | Za izbor Pravila autorizacije izdavanjaizaberite opciju Dozvoli svim korisnicima da pristupe ovoj stranci koja se oslanjai kliknite na dugme Dalje . |
7 | Za opciju "Spremno zadodavanje poverenja" kliknite na dugme "Dalje" i završite dodavanje pouzdanosti ADFS-u. |
Kreiranje pravila zahteva za Webex potvrdu identiteta
1 | U glavnom ADFS oknu izaberite relaciju pouzdanosti koju ste kreirali, a zatim izaberite stavku Uredi pravila zahteva. Na kartici "Pravila za transformaciju izostavanja" izaberite stavku Dodaj pravilo. |
||
2 | U koraku Odaberite tip pravila izaberite Pošalji LDAP atribute kao zahteve , azatim kliknite na dugme Dalje. ![]() |
||
3 | Ponovo izaberite opciju Dodaj pravilo, izaberite pošalji zahteve koristeći prilagođeno pravilo , azatim kliknite na dugme Dalje. Ovo pravilo obezbeđuje ADFS-u atribut "spname qualifier" koji Webex inače ne obezbeđuje. |
||
4 | U glavnom prozoru izaberite stavku Pouzdanost poverenja stranke, a zatim u desnom oknu izaberite stavku Svojstva. |
||
5 | Kada se pojavi prozor "Svojstva", potražite karticu "Više opcija", "SHA-256", a zatim kliknite na dugme "U redu" da biste sačuvali promene. |
||
6 | Potražite sledeću URL adresu na internom ADFS serveru da biste preuzeli datoteku: https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml
|
||
7 | Sačuvajte datoteku na lokalnom računaru. |
Šta dalje
Spremni ste da ponovo uvezete ADFS metapodatke u Webex sa portala za upravljanje.
Uvoz IdP metapodataka i omogućavanje jedinstvenog prijavljivanja nakon testa
Kada izvezete Webex metapodatke, konfigurišete IdP i preuzmete IdP metapodatke u lokalni sistem, spremni ste da ga uvezete u Webex organizaciju iz kontrolnog čvorišta.
Pre nego što počneš
Nemojte testirati SSO integraciju iz interfejsa dobavljača identiteta (IdP). Mi podržavamo samo tokove koje je pokrenuo dobavljač usluga (SP) tako da za ovu integraciju morate da koristite SSO test kontrolnog čvorišta.
1 | Odaberite jednu:
|
||||
2 | Na stranici "Uvoz IdP metapodataka" prevucite i otpustite datoteku IdP metapodataka na stranicu ili koristite opciju pregledača datoteka da biste pronašli i otpremili datoteku metapodataka. Kliknite na dugme Dalje. Trebalo bi da koristite bezbedniju opciju, ako možete. Ovo je moguće samo ako je vaš IDP koristio javni CA za potpisivanje metapodataka. U svim ostalim slučajevima morate da koristite opciju "Manje bezbedno". To uključuje ako metapodaci nisu potpisani, samopotpisani ili potpisani od strane privatnog CA. |
||||
3 | Izaberite test SSOinstalacije i kada se otvori nova kartica pregledača, potvrdite verodostojnost IDP-a prijavljivanjem.
|
||||
4 | Vratite se na karticu pregledača kontrolnog čvorišta.
|
Šta dalje
Proceduru možete da sledite u fascikli "Spreči automatizovane e-poruke" da biste onemogućili e-poruke koje se šalju novim korisnicima Webex aplikacija u vašoj organizaciji. Dokument takođe sadrži najbolje prakse za slanje komunikacije korisnicima u vašoj organizaciji.
Ažuriranje Webex pouzdanosti stranke u ADFS-u
Pre nego što počneš
Potrebno je da izvezete SAML datoteku metapodataka iz kontrolnog čvorišta da biste mogli da ažurirate pouzdanost Webex relying party u AD FS.
1 | Prijavite se na AD FS server sa administratorskim dozvolama. |
||
2 | Otpremite SAML datoteku metapodataka iz Webexa u privremenu lokalnu fasciklu na AD FS serveru, npr. |
||
3 | Otvori Powershell. |
||
4 | Pokreni Napomena |
||
5 | Pokreni Uverite se da ste ime datoteke i ime cilja zamenili ispravnim vrednostima iz okruženja. Pogledajte https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
|
||
6 | Prijavite se u kontrolnočvorište , a zatim testirajte SSO integraciju: |
ADFS rešavanje problema
ADFS greške u Windows evidencijama
U Evidencijama operativnog sistema Windows možda ćete videti Kôd greške evidencije događaja ADFS 364. Detalji događaja identifikuju nevažeći certifikat. U tim slučajevima, ADFS domaćinu nije dozvoljeno da prođe kroz zaštitni zid na portu 80 da bi proverio valjanost certifikata.
Došlo je do greške tokom pokušaja izgradnje lanca certifikata za poverenje stranke koja se oslanja
Prilikom ažuriranja SSO certifikata, prilikom prijavljivanja može vam biti predstavljena ova greška: Invalid status code in response
.
Ako vidite tu grešku, proverite evidencije prikazivača događaja na ADFS serveru i potražite sledeću grešku: An error occurred during an attempt to
build the certificate chain for the relying party trust
'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint
'754B9208F1F75C5CC122740F3675C5D129471D80'
. Mogući uzroci su da je certifikat opozvan, lanac certifikata nije mogao biti verifikovan kao što je navedeno postavkama opoziva certifikata certifikata za šifrovanje pouzdanosti ili certifikat nije u okviru perioda važenja.
Ako dođe do ove greške, morate pokrenuti komande Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID>
-EncryptionCertificateRevocationCheck None
ID federacije
ID Federacije je osetljiv na mala i velika slova. Ako je ovo vaša organizaciona e-adresa, unesite je tačno onako kako je ADFS šalje ili Webex ne može da pronađe odgovarajućeg korisnika.
Nije moguće napisati prilagođeno pravilo zahteva za normalizaciju LDAP atributa pre nego što bude poslat.
Uvezite metapodatke sa ADFS servera koji ste podesili u okruženju.
Možete da proverite URL adresu ako je potrebno tako što ćete se naći u
u ADFS Management.Sinhronizacija vremena
Uverite se da je sistemski sat ADFS servera sinhronizovan sa pouzdanim izvorom vremena na Internetu koji koristi Protokol mrežnog vremena (NTP). Koristite sledeću komandu PowerShell da biste iskriviti sat samo za webex Relying Party Trust odnos.
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3
Heksadecimalna vrednost je jedinstvena za vašu okolinu. Zamenite vrednost iz ID-a entiteta SP u datoteci Webex metapodataka. Na primer:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">