Enkel inloggning och Webex Control Hub

Single Sign-on (SSO) är en sessions-eller användarautentisering som gör det möjligt för användare att ange inloggnings uppgifter för att få åtkomst till ett eller flera program. Processer autentiserar användare för alla de program som de tilldelas rättigheter till. Den eliminerar ytterligare uppmaningar när användare växlar program under en särskild session.

Federations protokollet Security Assertion Markup Language (SAML 2,0) används för att tillhandahålla SSO autentisering mellan Cisco Webex Cloud och din identitets leverantör (IdP).

Profil

Cisco Webex Teams stöder endast webbläsaren SSO profil. Cisco Webex Teams har stöd för följande bindningar i webbläsaren SSO profil:

  • SP initierad efter > efter bindning

  • SP initierad omdirigering – > efter bindning

NameID-format

SAML 2,0-protokollet har stöd för flera NameID-format för att kommunicera om en specifik användare. Cisco Webex Teams har stöd för följande NameID-format.

  • urn: Oasis: Names: TC: SAML: 2.0: NameID-format: tillfällig

  • urn: Oasis: Names: TC: SAML: 1.1: NameID-format: Ospecificerat

  • urn: Oasis: Names: TC: SAML: 1.1: NameID-format: emailAddress

I metadata som du laddar från din IdP är den första posten konfigurerad för användning i Cisco Webex.

SingleLogout

Cisco Webex Teams stöder den enskilde utloggnings profilen. En användare kan logga ut från programmet i Cisco Webex Teams-appen, vilket använder SAML ett enskilt utloggnings protokoll för att avsluta sessionen och bekräfta att logga ut med din IdP. Se till att din IdP är konfigurerad för SingleLogout.

Integrera Cisco Webex Control Hub med ADFS


Konfigurations guiderna visar ett specifikt exempel för SSO integrering, men ger ingen uttömmande konfiguration för alla möjligheter. T. ex. integrerings stegen för NameID-format urn: Oasis: Names: TC: SAML: 2.0: NameID-format: tillfällig är dokumenterat. Andra format, t. ex. urn: Oasis: Names: TC: SAML: 1.1: NameID-format: Ospecificerat eller urn: Oasis: Names: TC: SAML: 1.1: NameID-format: EmailAddress fungerar för SSO integrering, men är utanför räckvidden för vår dokumentation.

Konfigurera den här integreringen för användare på din Cisco Webex-organisation (inklusive Cisco Webex Teams, Cisco Webex Meetings och andra tjänster som administreras i Cisco Webex Control Hub). Om din Webex webbplats är integrerad med Cisco Webex Control Hub ärver Webex-webbplatsen användar hantering. Om du inte kan komma åt Cisco Webex Meetings på detta sätt och det inte hanteras i Cisco Webex Control Hub, måste du göra en separat integrering för att aktivera SSO för Cisco Webex Meetings. (Se Konfigurera enkel inloggning för Webex för mer information i SSO-integrering i Webbplatsadministration.)

Beroende på vad som är konfigurerat i autentiseringsmekanismen i AD FS kan integrerad Windows-autentisering (IWA) aktive ras som standard. Om den är aktive rad verifieras de program som startas via Windows (t. ex. Webex Teams och Cisco Kataloganslutning) som användaren är inloggad, oavsett vilken e-postadress som anges under den inledande e-postmeddelandet.

Hämta Cisco Webex metadata till ditt lokala system

1

Från kund visaren i https://admin.webex.comgår du till inställningaroch bläddrar sedan till autentisering.

2

Klicka på ändra, klicka på integrera en identitets leverantör i tredje part. (Avancerat)och klicka sedan på Nästa.

3

Hämta metadatafilen.

Cisco Webex metadata-filnamn är IDB-meta-<org-ID>-sp. xml.

Installera Cisco Webex metadata i AD FS

Innan du börjar

Cisco Webex Control Hub har stöd för ADFS 2. x eller senare.

Windows 2008 R2 inkluderar endast ADFS 1,0. Du måste installera minst ADFS 2. x från Microsoft.

För SSO-och Cisco Webex-tjänster måste identitets leverantörer (IdPs) följa följande SAML 2,0-specifikation:

  • Ställ in NameID-format-attributet på urn: Oasis: Names: TC: SAML: 2.0: NameID-format:tillfällig

  • Konfigurera ett anspråk på IdP så att det inkluderar UID- attributnamn med ett värde som är mappat till attributet som har valts i Cisco kataloganslutning eller det användarattribut som matchar det som har valts i Cisco Webex identitetstjänst. (Det här attributet kan vara E-post-adresser eller användar huvud namn, till exempel.) Se informationen om anpassat attribut i https://www.cisco.com/go/hybrid-services-directory för vägledning.

1

Logga in på ADFS-servern med administratörs behörighet.

2

Öppna ADFS-hanteringskonsolen och bläddra till betrodda relationer > förlitande part-förtroenden > Lägg till förlitande part-förtroende.

3

I fönstret Lägg till förlitande part -förtroende klickar du på starta.

4

Välj Importera data om den förlitande parten i en fil, bläddra till den Cisco Webex Control Hub metadatafilen som du har hämtat och välj Nästa för att välja data källa.

5

För att Ange visnings namnskapar du ett visnings namn för den här förlitande parten, t. ex . Cisco Webex och väljer Nästa.

6

Välj Tillåt alla användare för att få åtkomst till den förlitande partenoch välj Nästaför att välja regler för utfärdandeauktorisering.

7

För att du ska kunna lägga till förtroendeväljer du nästa och avslutar Lägg till förlitande förtroende till AD FS.

Skapa anspråks regler för att tillåta autentisering från Cisco Webex

1

Välj den betrodda relation som du har skapat i huvud fönstret i AD FS och välj sedan Redigera anspråks regler. På fliken utfärdande av notifieringsregler väljer du Lägg till regel.

2

Välj Skicka LDAP-attribut som anspråk i steget Välj regeltypoch välj sedan Nästa.

  1. Ange ett anspråks regel namn.

  2. Välj Active Directory som attributarkiv.

  3. Mappa LDAP-attributet E-post-adresser till typen av utgående insticks program för UID .

    Den här regeln beordrar AD FS vars fält som ska mappas till Cisco Webex för att identifiera en användare. Stava dessa typer av utgående anspråk exakt så som det visas.

  4. Spara dina ändringar.

3

Välj Lägg till regel igen, Välj skicka anspråk med en anpassad regeloch välj sedan Nästa.

Den här regeln tillhandahåller ADFS med attributet "spName-kvalificerare" som Cisco Webex inte annars tillhandahåller.

  1. Öppna din text redigerare och kopiera följande innehåll.

    c: [Type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = >-problem (typ = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c. Issuer, OriginalIssuer = c. OriginalIssuer, Value = c. värde, ValueType = c. ValueType, Properties ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/format"] = "urn: Oasis: Names: TC: SAML:-NameID-format: tillfällig", egenskaper ["http://schemas.xmlsoap.org/WS/2005/05/Identity/claimproperties/namequalifier <!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder--> "] = " <!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder--> URL1" <!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder--> <!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder-->

    Ersätt URL1 och URL2 i texten enligt följande:
    • URL1 är entityId från AD FS-metadatafilen som du har hämtat.

      Följande är ett exempel på vad du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Kopiera enbart entityID från AD FS-metadatafilen och klistra in den i text filen för att ersätta URL1

    • URL2 finns på den första raden i Cisco Webex metadatafilen som du har hämtat.

      Följande är ett exempel på vad du ser: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Kopiera enbart entityID från Cisco Webex metadatafilen och klistra in den i text filen för att ersätta URL2.

  2. När du har uppdaterat URL: erna kopierar du regeln från din text redigerare (som börjar på "c") och klistrar in den i rutan anpassad regel på din ADFS-Server.

    Slutförd regel bör se ut så här:
  3. Välj Slutför för att skapa regeln och sedan fönstret Redigera anspråks regler.

4

Välj förlitande part -förtroende i huvud fönstret och välj sedan Egenskaper i höger panel.

5

När fönstret Egenskaper visas, bläddra till fliken Avancerat, SHA-256 och välj sedan OK för att spara dina ändringar.

6

Bläddra till följande URL på den interna ADFS-servern för att hämta filen: https://AD_FS_Server>-/federationmetadata/2007-06/federationmetadata.XML


 

Du kan behöva Högerklicka på sidan och läsa källan för att få den korrekt formaterade XML-filen.

7

Spara filen i ditt lokala system.

Och sedan då?

Du är redo att importera ADFS-metadata igen till Cisco Webex från hanterings portalen.

Importera IdP metadata och aktivera enkel inloggning efter ett test

När du har exporterat Cisco Webex metadata, konfigurerar din IdP och hämtar IdP metadata till ditt lokala system är du redo att importera den till din Cisco Webex-organisation från Control Hub.

Innan du börjar

Testa inte SSO integrering från identitets leverantörens gränssnitt (IdP). Vi har endast stöd för att använda tjänsteleverantör initierade (SP-initierade) flöden, vilket innebär att du måste Använd Control Hub SSO test för denna integrering.

1

Välj ett alternativ:

  • Återgå till sidan Cisco Webex Control Hub – exportera katalogens metadata i din webbläsare och klicka sedan på Nästa.
  • Om Control Hub inte längre är öppet på webbläsaren, https://admin.webex.comgår du till inställningar, bläddrar till autentisering, väljer integrera en identitets leverantör för tredje part (avancerat)och klickar sedan på Nästa på sidan betrodd metadatafil (eftersom du redan har gjort det).
2

På sidan Importera IdP-metadata kan du antingen dra och släppa IdP-metadatafil på sidan eller använda fil läsar alternativet för att leta upp och överföra metadatafilen. Klicka på Nästa.

Om metadata inte är signerade är signerade med ett självsignerat certifikat eller är registrerat med en privat företags certifikat utfärdare (CA) rekommenderar vi att du använder Kräv certifikat som signerats av en certifikat utfärdare i metadata (säkrare). Om certifikatet är självsignerat måste du välja alternativet mindre säker .

3

Välj test SSO anslutningoch när en ny flik öppnas, autentisera med IDP genom att logga in.


 

Om du får ett autentiseringsfel kan det bero på ett problem med inloggnings uppgifterna. Kontrol lera användar namnet och lösen ordet och försök igen.

Ett Webex Teams fel innebär vanligt vis ett problem med SSO-konfigurationen. I så fall kan du gå igenom stegen igen, särskilt stegen där du kopierar och klistrar in kontrollens metadata i IdP-konfigurationen.

4

Återgå till fliken Control Hub-webbläsare.

  • Om testet lyckades väljer du det här testet. Aktivera alternativet enkel inloggning och klicka sedan på Nästa.
  • Om testet misslyckades väljer du det här testet misslyckades. Inaktivera alternativet SSO (Single Sign-on ) och klicka på Nästa.

Och sedan då?

Du kan följa proceduren i Dölj automatiska e-postmeddelanden för att inaktivera e-postmeddelanden som skickas till nya Webex Teams användare i din organisation. Dokumentet innehåller också bästa praxis för att skicka meddelanden till användare inom din organisation.

Uppdatera Cisco Webex förlitande part-förtroende i AD FS

Den här åtgärden för att uppdatera AD FS med nya SAML-metadata från Cisco Webex. Det finns relaterade artiklar om du måste konfigurera SSO med AD FS, eller om du behöver Uppdatera (en annan) IDP med SAML-metadata för ett nytt Webex SSO certifikat.

Innan du börjar

Du måste exportera SAML-metadatafilen från Control Hub innan du kan uppdatera Cisco Webex förlitande part-förtroende i AD FS.

1

Logga in på AD FS-servern med administratörs behörighet.

2

Överför SAML-metadatafilen från Webex till en tillfällig lokal mapp på AD FS-servern, t. ex. ADFS_servername<org-ID>/Temp/IDB-meta--SP. xml.

3

Öppna PowerShell.

4

Kör Get-AdfsRelyingPartyTrust för att läsa alla förlitande part-förtroenden.

Notera parametern TargetName för Cisco Webex förlitande part-förtroendet. Vi använder t. ex. "Cisco Webex" men det kan vara ett annat i AD FS.

5

Kör Update-AdfsRelyingPartyTrust-MetadataFile "//ADFS_servername/Temp/IDB-meta-<org-ID>-sp. xml"-målnamn "Cisco Webex".

Se till att du byter ut fil namn och målnamn mot rätt värden från din miljö.

Se https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Logga in på Control Hub och testa sedan SSO-integrering:

  1. Gå till inställningar, bläddra till autentiseringoch klicka på ändra.

  2. Välj integrera en identitets leverantör i tredje part (avancerat) och klicka på Nästa.

  3. Klicka på Nästa för att hoppa över sidan Importera IDP-metadata.

    Du behöver inte upprepa det steget eftersom du tidigare har importerat IdP metadata.

  4. Klicka på testa SSO anslutning.

    Ett nytt webbläsarfönster öppnas och du omdirigerar dig till sidan IdP-utmaning.

  5. Logga in för att genomföra testet.

ADFS fel sökning

ADFS-fel i Windows-loggar

I Windows-loggarna kan du se en AD FS Event Log-felkoden 364. Händelse informationen identifierar ett ogiltigt certifikat. I dessa fall tillåts inte ADFS-värden genom brand väggen på port 80 för att validera certifikatet.

Federations-ID

Federations-ID är Skift läges känsligt. Om det här är din organisations e-postadress anger du den exakt som ADFS skickar den, eller så kan Cisco Webex inte hitta matchande användare.

Det går inte att skriva till en anpassad fordrings regel för att normalisera LDAP-attributet innan det skickas.

Importera dina metadata från den ADFS-server som du ställer in i din miljö.

Du kan verifiera URL: en om det behövs genom att navigera till tjänste > slut punktens > metadatatyp > . federationsmetadata i ADFS Management.

Starta synkroniseringen

Se till att din AD FS-servers system klocka är synkroniserad med en pålitlig Internet tids källa som använder Network Time Protocol (NTP). Använd följande PowerShell-kommando för att snedställa klockan endast för Cisco Webex förlitande part-förtroende relation.

Set-ADFSRelyingPartyTrust-TargetIdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3

Det hexadecimala värdet är unikt för din miljö. Ersätt värdet från värdet för SP EntityDescriptor i Cisco Webex metadatafilen. Till exempel:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">