Enkel inloggning och Control Hub

Enkel inloggning (SSO) är en session eller användarautentiseringsprocess som gör det möjligt för en användare att ange autentiseringsuppgifter för att få åtkomst till ett eller flera program. Processen autentiserar användare för alla program som de har behörighet till. Den eliminerar ytterligare uppmaningar när användare byter program under en viss session.

Saml 2.0 Federation Protocol (Security Assertion Markup Language) används för att tillhandahålla SSO verifiering mellan Webex-molnet och din identitetsleverantör (IdP).

Profiler

Webex-appen har endast stöd för SSO webbläsarprofil. I webbläsarens profil SSO stödjer Webex-appen följande bindningar:

  • SP-initierad POST -> POST-bindning

  • SP–initierad OMDIRIGERING -> POST-bindning

NameID-format

SAML 2.0-protokollet stöder flera NameID-format för kommunikation om en specifik användare. Webex-appen har stöd för följande NameID-format.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadatan som du laddar från din IdP är den första posten konfigurerad för användning i Webex.

Enkel utloggning

Webex-appen har stöd för profilen för enkel utloggning. I Webex-appenkan en användare logga ut från programmet som använder SAML-protokollet för enkel utloggning för att avsluta sessionen och bekräfta att logga ut med din IdP. Se till att din IdP har konfigurerats för enskild utloggning.

Integrera Control Hub med ADFS

Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Integrationsstegen för exempelvis nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteras. Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering men omfattas inte av dokumentation.

Konfigurera den här integreringen för användare i din Webex-organisation ( inklusive Webex-appen, Webex Meetingsoch andra tjänster som administreras i Control Hub). Om din Webex-webbplats är integrerad i Control Hubärver Webex-webbplatsen användarhanteringen. Om du inte kan komma Webex Meetings åtkomst på detta sätt och den inte hanteras i Control Hub, måste du göra en separat integrering för att aktivera SSO för Webex Meetings. (Se Konfigurera enkel inloggning för Webex för mer information i SSO-integrering i webbplatsadministration.)

Beroende på vad som konfigureras i autentiseringsmekanismerna i ADFS kan integrerad Windows-autentisering (IWA) aktiveras som standard. Om detta är aktiverat autentiseras program som startas via Windows (t.ex. Webex-appen och Cisco Kataloganslutning) som den användare som är inloggad, oavsett vilken e-postadress som angavs i samband med den inledande e-postmeddelandet.

Hämta Webex metadata till ditt lokala system

1

Från kundvyn i https://admin.webex.comgår du till Hantering > Organisationsinställningar och bläddrar sedan till Autentisering och växlar sedan till inställningen enkel inloggning för att starta konfigurationsguiden.

2

Välj certifikattyp för din organisation:

  • Självsignerat av Cisco – Vi rekommenderar det här valet. Låt oss signera certifikatet så att du bara behöver förnya det en gång var femte år.
  • Signerat av en offentlig certifikatutfärdare – säkrare, men du måste uppdatera metadata ofta (såvida inte din IdP-leverantör har stöd för förtroendeankare).

Betrodda ankare är offentliga nycklar som kan verifiera en digital signaturs certifikat. Se din IdP-dokumentation för mer information.

3

Hämta metadatafilen.

Namnet på Webex-metadatafil är idb-meta--SP.xml.

Installera Webex-metadata i ADFS

Innan du börjar

Control Hub har stöd för ADFS 2.x eller senare.

Windows 2008 R2 innehåller endast ADFS 1.0. Du måste installera minst ADFS 2.x från Microsoft.

För SSO- och Webex-tjänster måste identitetsleverantörer (IdPs) uppfylla följande SAML 2.0-specifikation:

  • Ställ in attributet NameID Format på urn:oasis:names:tc:SAML:2.0:nameid-format:Övergående

  • Konfigurera ett anspråk på IdP så att uid -attributnamnet inkluderas med ett värde som mappas till det attribut som har valts i Cisco kataloganslutning eller det användarattribut som matchar det som har valts i Webex-identitetstjänsten. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.) Se den anpassade attributinformationen i https://www.cisco.com/go/hybrid-services-directory för vägledning.

1

Logga in på ADFS-servern med administratörsbehörigheter.

2

Öppna hanteringskonsolen för ADFS och bläddra till Förtroenderelationer > Förlitande part-förtroende > Lägg till förlitande part-förtroende.

3

Gå till fönstret Guiden Lägg till förlitande part-förtroende och välj Starta.

4

För Välj datakälla väljer du Importera data om den förlitande parten från en fil, bläddrar till metadatafilen för Control Hub som du hämtade och väljer Nästa.

5

För Ange visningsnamn skapar du ett visningsnamn för den här förlitande parten, t.ex. Webex , och väljer Nästa.

6

För Välj utfärdande av behörighetsregler väljer du Tillåt alla användare att komma åt den förlitande parten och väljer sedan Nästa.

7

För Klar att lägga till förtroende väljer du Nästa och avslutar med att lägga till den förlitande parten i ADFS.

Skapa anspråksregler för Webex-autentisering

1

I huvudfönstret för ADFS väljer du den förtroenderelation som du skapade och väljer sedan Redigera anspråksregler. På fliken Regler för utfärdandetransformering väljer du Lägg till regel.

2

I steget Välj regeltyp väljer du Skicka LDAP-attribut som anspråk och väljer sedan Nästa.

  1. Ange ett Namn på anspråksregel.

  2. Välj Active Directory som attributlagring.

  3. Mappa LDAP-attributet för e-postadresser till den utgående anspråkstypen för uid.

    Den här regeln talar om för ADFS vilka fält att mappa till Webex för att identifiera en användare. Stava de utgående anspråkstyperna exakt så som visas.

  4. Spara dina ändringar.

3

Välj Lägg till regel igen, välj sedan Skicka anspråk med en anpassad regel och välj därefter Nästa.

Den här regeln tillhandahåller ADFS med attributet "spname-kvalificerare" som Webex annars inte tillhandahåller.

  1. Öppna textredigeraren och kopiera följande innehåll.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Utfärdare = c.Utfärdare, Ursprunglig utfärdare = c.Ursprunglig utfärdare, Värde = c.Värde, Värdetyp = c.Värdetyp, Egenskaper["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Egenskaper["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Egenskaper["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersätt URL1 och URL2 i texten enligt följande:

    • URL1 är enhets-ID:t från ADFS-metadatafilen som du hämtade.

      Till exempel är följande ett exempel på vad du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopiera bara enhets-ID från ADFS-metadatafilen och klistra in det i textfilen för att ersätta URL1

    • URL2 finns på den första raden i Webex-metadatafilen som du hämtade.

      Till exempel är följande ett exempel på vad du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopiera endast enhets-ID från Webex metadatafil och klistra in den i textfilen för att ersätta URL2.

  2. Med de uppdaterade URL:erna kopierar du regeln från textredigeraren (börja med ”c:”) och klistrar in den i den anpassade regelrutan på ADFS-servern.

    Den ifyllda regeln ska se ut så här:

  3. Välj Slutför för att skapa regeln och stäng sedan fönstret Redigera anspråksregler.

4

Välj Förlitande part-förtroende i huvudfönstret och välj sedan Egenskaper i det högra fönstret.

5

När fönstret Egenskaper visas bläddrar du till fliken Avancerat, SHA-256 och väljer sedan OK för att spara ändringarna.

6

Bläddra till följande URL på den interna ADFS-servern för att hämta filen: https://<AD_FS_-server>/FederationMetadata/2007-06/FederationMetadata.xml

Du kan behöva högerklicka på sidan och visa sidkällan för att få korrekt formaterad XML-fil.

7

Spara filen i ditt lokala system.

Nästa steg

Du kan nu importera ADFS-metadata tillbaka till Webex från hanteringsportalen.

Importera IdP-metadata och aktivera enkel inloggning (SSO) efter ett test

När du har exporterat Webex-metadata , konfigurerat din IdP och hämtat IdP-metadata till ditt lokala system är du redo att importera dem till din Webex-organisation från Control Hub.

Innan du börjar

Testa inte SSO-integrering från gränssnittet för identitetsleverantören (IdP). Vi har endast stöd för att använda tjänsteleverantör initierade (SP-initierade) flöden, vilket innebär att du måste Använd Control Hub SSO test för denna integrering.

1

Välj ett alternativ:

  • Återgå till Control Hub – sidan för certifikatval i webbläsaren och klicka sedan på Nästa.
  • Om Control Hub inte längre är öppen på webbläsarfliken går du från kundvyn i https://admin.webex.com till Hantering > Organisationsinställningar, bläddrar till Autentisering och väljer sedan Åtgärder > Importera metadata.
2

På sidan Importera IdP-metadata kan du antingen dra och släppa IdP-metadatafilen på sidan eller använda filläsaren för att hitta och läsa in metadatafilen. Klicka på Nästa.

Du bör använda alternativet Säkrare , om du kan. Detta är endast möjligt om din IdP använde en offentlig CA för att signera dess metadata.

I alla andra fall måste du använda alternativet Mindre säkert. Detta inbegriper om metadatan inte är signerad, själv signerad eller signerad av en privat CA.

Okta signerar inte metadatan, så du måste välja Mindre säkert för en Okta SSO integration.

3

Välj Testa SSO-konfiguration och när en ny webbläsarflik öppnas autentiserar du med IdP:n genom att logga in.

Om du får ett autentiseringsfel kan det uppstå ett problem med autentiseringsuppgifterna. Kontrollera användarnamnet och lösenordet och försök igen.

Ett Fel i Webex-appen innebär vanligtvis att ett problem SSO installationen. I det här fallet går du igenom stegen igen, särskilt de steg där du kopierar och klistrar in metadata för Control Hub i IdP-konfigurationen.

Om du vill se SSO-inloggningsupplevelsen direkt kan du även klicka på Kopiera URL till urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Det här steget stoppar falskt positivt eftersom det kan finnas en åtkomsttoken i en befintlig session från den som du är inloggad på.

4

Återgå till webbläsarfliken Control Hub.

  • Om testet lyckades väljer du Framgångsrikt test. Sätt på SSO och klicka på Nästa.
  • Om testet misslyckades väljer du Misslyckat test. Stäng av SSO och klicka på Nästa.

Konfigurationen SSO inte gälla i din organisation om du inte först väljer radioknapp och aktiverar SSO.

Nästa steg

Använd procedurerna i Synkronisera Okta-användare till Cisco Webex Control Hub du vill tillhandahålla användare från Okta i Webex-molnet.

Använd procedurerna i Synkronisera Azure Active Directory till Cisco Webex Control Hub användare om du vill tillhandahålla användare med Azure AD i Webex-molnet.

Du kan följa proceduren i Undertryck automatiserade e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex-appanvändare i din organisation. Dokumentet innehåller även bästa praxis för att skicka ut kommunikation till användare i din organisation.

Uppdatera Webex förlitande parts förtroende i ADFS

Den här uppgiften handlar specifikt om att uppdatera ADFS med nya SAML-metadata från Webex. Det finns relaterade artiklar om du behöver konfigurera SSO med ADFSeller om du behöver uppdatera (en annan) IdP med SAML-metadata för ett nytt Webex SSO certifikat.

Innan du börjar

Du måste exportera SAML-metadatafilen från Control Hub innan du kan uppdatera Webex förlitande part-förtroende i ADFS.

1

Logga in på ADFS-servern med administratörsbehörigheter.

2

Ladda upp SAML-metadatafilen från Webex till en tillfällig lokal mapp på ADFS-servern, t.ex. //ADFS_servername/temp/idb-meta--SP.xml.

3

Öppna Powershell.

4

Kör Get-AdfsRelyingPartyTrust för att läsa alla betrodda parter.

Observera parametern TargetName för Webex förlitande part-förtroende. Vi använder exemplet "Webex" men det kan vara annorlunda i dina ADFS.

5

Kör Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Se till att ersätta filnamnet och målnamnet med rätt värden från din miljö.

Se .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Om du har hämtat Webex SP 5-årscertifikatet och har signering eller återkallning av krypteringscertifikat aktiverat måste du köra dessa två kommandon: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName ”Webex.

6

Logga in på Control Hub och testa sedan SSO-integreringen:

  1. Gå till Hantering > inställningar, bläddra till Autentisering och växla på inställningen enkel inloggning för att starta konfigurationsguiden.

  2. Klicka på Nästa för att hoppa över sidan Importera IdP-metadata.

    Du behöver inte upprepa det steget eftersom du tidigare importerade IdP-metadata.

  3. Testa anslutningen SSO du aktiverar den. Det här steget fungerar som en testkörning och påverkar inte organisationsinställningarna förrän du aktiverar SSO i nästa steg.

    Om du vill se SSO-inloggningsupplevelsen direkt kan du även klicka på Kopiera URL till urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Detta bidrar till att ta bort all information som cachelagrats i din webbläsare och som kan ge ett falskt positivt resultat när du testar din SSO-konfiguration.

  4. Logga in för att slutföra testet.

Felsökning av ADFS

ADFS-fel i Windows-loggar

I Windows-loggarna kan du se en felkod 364 för ADFS-händelselogg. Händelseinformationen identifierar ett ogiltigt certifikat. I de här fallen har ine ADFS-värden behörighet genom brandväggen på port 80 för att validera certifikatet.

Fel uppstod under ett försök att bygga certifikatkedjan för förtroende för förlitande part

När du uppdaterar SSO certifikat kan det hända att det här felet visas vid inloggningen: Ogiltig statuskod i svar.

Om du ser det felet ska du kontrollera i Händelsevisaren på ADFS-servern och leta efter följande fel: Ett fel inträffade under ett försök att skapa certifikatkedjan för den förlitande partens förtroendehttps://idbroker.webex.com/<org-ID>' -certifikat som identifieras med miniatyrutskrift '754B9208F1F75C5CC122740F3675C5D129471D80'. Möjliga orsaker är att certifikatet återkallades, att certifikatkedjan inte kunde verifieras som specificeras av den förlitande partens inställningar för återkallning av krypteringscertifikat eller att certifikatet inte befinner sig inom giltighetsperioden.

Om detta fel uppstår måste du köra kommandona Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Federations-ID

Federations-ID:t är skiftlägeskänsligt.skiftlägeskänsligt. Om detta är din organisations e-postadress anger du den exakt som ADFS skickar den eller så hittar Webex inte den överensstämmande användaren.

En anpassad anspråksregel kan inte skrivas för att normalisera LDAP-attributet innan det skickas.

Importera dina metadata från den ADFS-server som du har angett i din miljö.

Du kan vid behov verifiera URL:en genom att navigera till Tjänst > Slutpunkter > Metadata > Type:Federation Metadata i ADFS-hantering.

Tidssynkronisering

Kontrollera att systemklockan på ADFS-servern är synkroniserad med en tillförlitlig internettidskälla som använder nätverkstidsprotokollet (NTP). Använd följande PowerShell-kommando för att skeva klockan då endast Webex förlitar sig på en betrodd relation.

Ställ in-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Det hexadecimala värdet är unikt för din miljö. Ersätt värdet från SP EntityDescriptor ID-värdet i Webex-metadatafilen. Till exempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">