Enkel inloggning (SSO) och Webex Control Hub

Enkel inloggning (SSO) är en session eller användarautentiseringsprocess som gör det möjligt för en användare att ange autentiseringsuppgifter för att få åtkomst till ett eller flera program. Processen autentiserar användare för alla program som de har behörighet till. Den eliminerar ytterligare uppmaningar när användare byter program under en viss session.

SAML 2.0 (Security Assertion Markup Language) används för att tillhandahålla SSO-autentisering mellan Cisco Webex-molnet och identitetsleverantören (IdP).

Profiler

Cisco Webex Teams stöder endast webbläsarens SSO-profil. I webbläsarens SSO-profil stöder Cisco Webex Teams följande bindningar:

  • SP-initierad POST -> POST-bindning

  • SP–initierad OMDIRIGERING -> POST-bindning

NameID-format

SAML 2.0-protokollet stöder flera NameID-format för kommunikation om en specifik användare. Cisco Webex Teams stöder följande NameID-format.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

I metadata som du hämtar från din IdP konfigureras den första posten för användning i Cisco Webex.

Enkel utloggning

Cisco Webex Teams stöder profilen för enskild utloggning. I appen Cisco Webex Teams kan en användare logga ut från programmet som använder SAML-protokollet för enkel utloggning för att avsluta sessionen och bekräfta den utloggningen med din IdP. Se till att din IdP har konfigurerats för enskild utloggning.

Integrera Cisco Webex Control Hub med ADFS


Konfigurationsguiderna visar ett specifikt exempel för SSO-integrering, men tillhandahåller inte uttömmande konfiguration för alla möjligheter. Integrationsstegen för exempelvis nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient dokumenteras. Andra format, t.ex. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fungerar för SSO-integrering men omfattas inte av dokumentation.

Konfigurera den här integreringen för användare i din Cisco Webex-organisation (inklusive Cisco Webex Teams, Cisco Webex Meetings och andra tjänster som administreras i Cisco Webex Control Hub). Om din Webex-webbplats är integrerad i Cisco Webex Control Hub ärver Webex-webbplatsen användarhanteringen. Om du inte kan komma åt Cisco Webex Meetings på det här sättet och den inte hanteras iCisco Webex Control Hub måste du separera integrationen för att aktivera SSO för Cisco Webex Meetings. (Se Konfigurera enkel inloggning för Webex för mer information i SSO-integrering i webbplatsadministration.)

Beroende på vad som konfigureras i autentiseringsmekanismerna i ADFS kan integrerad Windows-autentisering (IWA) aktiveras som standard. Om det är aktiverat autentiseras program som startas via Windows (t.ex. Webex Teams och Cisco Directory Connector) som den användare som är inloggad, oavsett vilken e-postadress som angavs för det första e-postmeddelandet.

Hämta Cisco Webex-metadata till ditt lokala system

1

Gå till Inställningar från kundvyn i https://admin.webex.com och bläddra sedan till Autentisering.

2

Klicka på Ändra, klicka på Integrera identitetsleverantör för tredje part. (Avancerat) och klicka sedan på Nästa.

3

Hämta metadatafilen.

Filnamnet för Cisco Webex-metadata är idb-meta-<org-ID>-SP.xml.

Installera Cisco Webex-metadata i ADFS

Innan du börjar

Cisco Webex Control Hub stöder ADFS 2.x eller senare.

Windows 2008 R2 innehåller endast ADFS 1.0. Du måste installera minst ADFS 2.x från Microsoft.

För SSO- och Cisco Webex-tjänster måste identitetsleverantörer (IdP) uppfylla följande SAML 2.0-specifikation:

  • Ange attributet för NameID-format till urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Konfigurera ett anspråk på IdP så att uid-attributnamnet inkluderas med ett värde som mappas till attributet som väljs i Cisco Directory Connector eller det användarattribut som matchar det som väljs i identitetstjänsten för Cisco Webex. (Det här attributet kan till exempel vara e-postadresser eller användarnamn.) Se den anpassade attributinformationen i https://www.cisco.com/go/hybrid-services-directory för vägledning.

1

Logga in på ADFS-servern med administratörsbehörigheter.

2

Öppna hanteringskonsolen för ADFS och bläddra till Förtroenderelationer > Förlitande part-förtroende > Lägg till förlitande part-förtroende.

3

Gå till fönstret Guiden Lägg till förlitande part-förtroende och välj Starta.

4

För Välj datakälla väljer du Importera data om den förlitande parten från en fil genom att bläddra till metadatafilen för Cisco Webex Control Hub som du har hämtat och välj Nästa.

5

För Ange visningsnamn skapar du ett visningsnamn för den här förlitande parten, till exempel Cisco Webex och väljer Nästa.

6

För Välj utfärdande av behörighetsregler väljer du Tillåt alla användare att komma åt den förlitande parten och väljer sedan Nästa.

7

För Klar att lägga till förtroende väljer du Nästa och avslutar med att lägga till den förlitande parten i ADFS.

Skapa anspråksregler för att tillåta autentisering från Cisco Webex

1

I huvudfönstret för ADFS väljer du den förtroenderelation som du skapade och väljer sedan Redigera anspråksregler. På fliken Regler för utfärdandetransformering väljer du Lägg till regel.

2

I steget Välj regeltyp väljer du Skicka LDAP-attribut som anspråk och väljer sedan Nästa.

  1. Ange ett Namn på anspråksregel.

  2. Välj Active Directory som attributlagring.

  3. Mappa LDAP-attributet för e-postadresser till den utgående anspråkstypen för uid.

    Den här regeln talar om för ADFS vilka fält som ska mappa till Cisco Webex för att identifiera en användare. Stava de utgående anspråkstyperna exakt så som visas.

  4. Spara ändringarna.

3

Välj Lägg till regel igen, välj sedan Skicka anspråk med en anpassad regel och välj därefter Nästa.

Den här regeln ger ADFS attributet ”spname qualifier” som Cisco Webex inte tillhandahåller på annat sätt.

  1. Öppna textredigeraren och kopiera följande innehåll.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Ersätt URL1 och URL2 i texten enligt följande:
    • URL1 är enhets-ID från ADFS-metadatafilen som du hämtade.

      Följande är ett exempel på vad du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopiera bara enhets-ID från ADFS-metadatafilen och klistra in det i textfilen för att ersätta URL1

    • URL2 finns på den första raden i metadatafilen för Cisco Webex som du hämtade.

      Följande är ett exempel på vad du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopiera bara enhets-ID från metadatafilen för Cisco Webex och klistra in det i textfilen för att ersätta URL2.

  2. Med de uppdaterade URL:erna kopierar du regeln från textredigeraren (börja med ”c:”) och klistrar in den i den anpassade regelrutan på ADFS-servern.

    Den ifyllda regeln ska se ut så här:
  3. Välj Slutför för att skapa regeln och stäng sedan fönstret Redigera anspråksregler.

4

Välj Förlitande part-förtroende i huvudfönstret och välj sedan Egenskaper i det högra fönstret.

5

När fönstret Egenskaper visas bläddrar du till fliken Avancerat, SHA-256 och väljer sedan OK för att spara ändringarna.

6

Bläddra till följande URL på den interna ADFS-servern för att hämta filen: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Du kan behöva högerklicka på sidan och visa sidkällan för att få korrekt formaterad XML-fil.

7

Spara filen i ditt lokala system.

Nästa steg

Du är redo att importera ADFS-metadata tillbaka till Cisco Webex från hanteringsportalen.

Importera metadata för IdP och aktivera enkel inloggning (SS) efter ett test

När du har exporterat Cisco Webex-metadata, konfigurerat din IdP och hämtat IdP-metadata till ditt lokala system, är du redo att importera den till din Cisco Webex-organisation från Control Hub.

Innan du börjar

Testa inte SSO-integrering från gränssnittet för identitetsleverantören (IdP). Vi stöder endast flöden initierade av tjänsteleverantör (SP-initierade), så du måste använda SSO-testet för Control Hub för den här integreringen.

1

Välj ett alternativ:

  • Återgå till Cisco Webex Control Hub – exportera sidan för katalogmetadata i webbläsaren och klicka sedan på Nästa.
  • Om Control Hub inte längre är öppen på webbläsarfliken från kundvyn i https://admin.webex.com går du till Inställningar, bläddrar till Autentisering, väljer Integrera en identitetsleverantör för tredje part (Avancerat) och klickar därefter på Nästa på sidan för betrodda metadatafiler (eftersom du redan har gjort det tidigare).
2

På sidan Importera IdP-metadata kan du antingen dra och släppa IdP-metadatafilen på sidan eller använda filläsaren för att hitta och läsa in metadatafilen. Klicka på Nästa.

Om metadata inte signeras, signeras med ett självsignerat certifikat eller signeras med en certifikatutfärdare för privata företag (CA), rekommenderar vi att du använder Kräv att certifikatet signeras av en certifikatutfärdare i Metadata (säkrare). Om certifikatet är självsignerat måste du välja det mindre säkra alternativet.

3

Välj Testa SSO-anslutning och autentisera med IdP genom att logga in när en ny webbläsarflik öppnas.


 

Om du får ett autentiseringsfel kan det uppstå ett problem med autentiseringsuppgifterna. Kontrollera användarnamnet och lösenordet och försök igen.

Ett fel i Webex Teams innebär vanligtvis ett problem med SSO-konfigurationen. I det här fallet går du igenom stegen igen, särskilt de steg där du kopierar och klistrar in metadata för Control Hub i IdP-konfigurationen.

4

Återgå till webbläsarfliken Control Hub.

  • Om testet lyckades väljer du Det här testet lyckades. Aktivera alternativet för enkel inloggning (SSO) och klicka på Nästa.
  • Om testet misslyckades väljer du Det här testet misslyckades. Inaktivera alternativet för enkel inloggning (SSO) och klicka på Nästa.

Nästa steg

Du kan följa proceduren i Undertryck automatiserade e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex Teams-användare i din organisation. Dokumentet innehåller även bästa praxis för att skicka ut kommunikation till användare i din organisation.

Uppdatera Cisco Webex förlitande part-förtroende i ADFS

Den här uppgiften handlar särskilt om att uppdatera ADFS med nya SAML-metadata från Cisco Webex. Det finns relaterade artiklar om du behöver konfigurera SSO med ADFS eller om du behöver uppdatera (en annan) IdP med SAML-metadata för ett nytt Webex-certifikat för enkel inloggning.

Innan du börjar

Du måste exportera SAML-metadatafilen från Control Hub innan du kan uppdatera Cisco Webex förlitande part-förtroende i ADFS.

1

Logga in på ADFS-servern med administratörsbehörigheter.

2

Läs in SAML-metadatafilen från Webex till en tillfällig lokal mapp på ADFS-servern, t.ex. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Öppna Powershell.

4

Kör Get-AdfsRelyingPartyTrust för att läsa alla betrodda parter.

Observera parametern TargetName för Cisco Webex förlitande part-förtroende. Vi använder exemplet ”Cisco Webex” men det kan vara något annat i din ADFS.

5

Kör Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName ”Cisco Webex.

Se till att ersätta filnamnet och målnamnet med rätt värden från din miljö.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Logga in på Control Hub och testa sedan SSO-integreringen:

  1. Gå till Inställningar, bläddra till Autentisering, klicka på Ändra.

  2. Välj Integrera en identitetsleverantör för tredje part (Avancerat) och klicka på Nästa.

  3. Klicka på Nästa för att hoppa över sidan Importera IdP-metadata.

    Du behöver inte upprepa det steget eftersom du tidigare importerade IdP-metadata.

  4. Klicka på Testa SSO-anslutning.

    Ett nytt webbläsarfönster öppnas och omdirigerar dig till sidan IdP-utmaning.

  5. Logga in för att slutföra testet.

Felsökning för ADFS

ADFS-fel i Windows-loggar

I Windows-loggarna kan du se en felkod 364 för ADFS-händelselogg. Händelseinformationen identifierar ett ogiltigt certifikat. I de här fallen har ine ADFS-värden behörighet genom brandväggen på port 80 för att validera certifikatet.

Federations-ID

Federations-ID:t är skiftlägeskänsligt.skiftlägeskänsligt. Om det här är din organisations e-postadress anger du den exakt som den skickas i ADFS. Annars kan inte Cisco Webex hitta den matchande användaren.

En anpassad anspråksregel kan inte skrivas för att normalisera LDAP-attributet innan det skickas.

Importera dina metadata från den ADFS-server som du har angett i din miljö.

Du kan vid behov verifiera URL:en genom att navigera till Tjänst > Slutpunkter > Metadata > Type:Federation Metadata i ADFS-hantering.

Tidssynkronisering

Kontrollera att systemklockan på ADFS-servern är synkroniserad med en tillförlitlig internettidskälla som använder nätverkstidsprotokollet (NTP). Använd följande PowerShell-kommando för att anpassa klockan efter endast Cisco Webex-relationer för förlitande part-förtroende.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Det hexadecimala värdet är unikt för din miljö. Byt ut värdet från ID-värdet för SP EntityDescriptor i Cisco Webex-metadatafilen. Till exempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">