Çoklu oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onaylama İşaretleme Dili (SAML 2.0) SSO Federasyon Protokolü, Webex ve kimlik sağlayıcınız (IdP) arasında kimlik doğrulaması yapmak için kullanılır.

Profil

Webex Uygulaması, yalnızca web tarayıcısı ve SSO destekler. Web tarayıcısı ağ SSO, Webex aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

AdKimlik biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulama aşağıdaki NameID biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nize yüklemekte olduğu meta veride, ilk giriş bu özellik üzerinde kullanım içinWebex.

Çoklu Oturum Kapatma

Webex Uygulaması, tek oturum açma profilini destekler. Webex uygulamasında bir kullanıcı oturumu sona erdirecek ve IdP'niz ile oturumun çıkış işlemini onaylamak için SAML tek oturum açma protokolünü kullanan uygulamada oturumu sona erebilir. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Control Hub'ı ADFS ile Entegre Et


Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları belgelenmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified veya urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer formatlar SSO entegrasyonu için uygundur ancak bu dokümantasyon kapsamı dışındadır.

Bu entegrasyonu kullanıcı için Webex ayarla (Webex Uygulaması , Webex Meetings ve Control Hub'da yönetilendiğer hizmetlerdahil). Site Webex Control Hub'a entegre edilmişse yeni Webex kullanıcı yönetimini devralr. Bu şekilde Webex Meetings ve Control Hub'da yönetilmiyorsa için hızlı erişim iznini etkinleştirmek üzere ayrı bir entegrasyon SSO gerekir Webex Meetings. (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

ADFS'deki Kimlik Doğrulama mekanizmalarındaki yapılandırmaya bağlı olarak,Tümleşik Windows Kimlik Doğrulaması (IWA) varsayılan olarak etkinleştirilebilir. Etkinleştirilirse, (Webex Uygulaması ve Cisco Dizin Bağlayıcı gibi) Windows üzerinden başlatılan uygulamalar, ilk e-posta istemi sırasında hangi e-posta adresine girilen e-posta adresine bakılmaksızın, oturum açık olan kullanıcı olarak kimliği doğrular.

Meta verileri Webex sisteminize indirin

1

yapılandırma sihirbazını başlatmak için üzerinde müşteri görünümünden Yönetim > Kuruluş Ayarları 'nı seçin ve Kimlik Doğrulama ' ya gidin ve çoklu oturum açma ayarını https://admin.webex.com değiştirin.

2

Organizasyonun sertifika türünü seçin:

  • Cisco tarafından otomatik olarak imzalanan—Bu seçeneği öneriyoruz. Sertifikayı imzalamamız gerekiyor, bu nedenle bunu yalnızca beş yılda bir yenilemelisiniz.
  • Genel sertifika yetkilisi tarafından imzalanmış -Daha güvenli, ancak meta verileri sık bir şekilde güncellemeniz gerekir (IdP satıcınızgüven çıpalarını desteklemediği sürece).

 

Güven çıpaları, dijital imzanın sertifikasını doğrulama yetkisi olarak çalışan genel anahtarlardır. Daha fazla bilgi için IdP belgelerinize başvurun.

3

Meta veri dosyasını indirin.

Meta Webex dosya adıidb-meta-<org-ID>-SP.xmlbiçimindedir.

ADFS Webex de meta verileri yükleme

Başlamadan önce

Control Hub, ADFS 2.x veya sonrakini destekler.

Windows 2008 R2 yalnızca ADFS 1.0'ı içerir. Microsoft’tan en az ADFS 2.x sürümünü yüklemelisiniz.

Bu SSO ve hizmet Webex için kimlik sağlayıcılar (IdPs) aşağıdaki SAML 2.0 spesifikasyonuna uygun olmalı:

  • NameID Format özniteliğini urn:oasis:names:tc:SAML:2.0:nameid-format:transient olarak ayarlayın

  • IdP'de bir talepte, uid öznitelik adını Cisco Dizin Bağlayıcı'da seçilen öznitelikle veya tercihte seçilen öznitelikle eşleşen kullanıcı özniteliğiyle eşlenen bir değerle eklemek Webex kimlik hizmeti. (Bu öznitelik E-posta Adresleri veya Kullanıcı Asıl Adı olabilir.) Daha fazla bilgi edinmek için https://www.cisco.com/go/hybrid-services-directory özel öznitelik bilgilerine bakın.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

ADFS Yönetimi konsolunu açın ve Güven İlişkileri > Bağlı Taraf Güvenleri > Bağlı Taraf Güveni Ekle yolunu izleyin.

3

Bağlı Taraf Güveni Ekle Sihirbazı penceresinden Başlat'ı seçin.

4

Veri Kaynağını Seçin için bir dosyadan ilgili verileri içe aktar öğesini seçin ve indirdiğiniz Control Hub Meta Veri dosyasına gidin ve Sonraki seçeneğini seçin.

5

Görünen Adı Belirtme için Geçerli olacak şekilde bu görenen parti güveni için görünen adWebex ve seçeneğini seçin.

6

Verme Yetkilendirme Kurallarını Seç için Tüm kullanıcıların bu bağlı tarafa erişmesine izin ver'i ve İleri'seçin.

7

Güven Eklemeye Hazır için İleri seçeneğini belirleyin ve ADFS'ye bağlı güven eklemeyi tamamlayın.

Kimlik doğrulaması için talep Webex oluştur

1

Ana ADFS bölmesinde, oluşturduğunuz güven ilişkisini ve ardından Talep Kurallarını Düzenle'yi seçin. Verme Aktarım Kuralları bölümünden Kural Ekle'yi seçin.

2

Kural Türünü Seç adımında LDAP Özniteliklerini Talep Olarak Gönder'i ve ardından İleri'yi seçin.

  1. Talep Kuralı Adı'nı girin.

  2. Öznitelik Deposu olarak Active Directory'ı seçin.

  3. E-posta Adresleri LDAP özniteliğini uid giden talep türü ile eşleyin.

    Bu kural, ADFS'ye, kullanıcı tanımlamak için Webex alanları söyler. Giden talep türlerini tam olarak gösterildiği gibi yazın.

  4. Değişiklikleri kaydedin.

3

Tekrar Kural Ekle'yi seçin, Talepleri Özel Kural Kullanarak Gönder'i ve ardından İleri'yi seçin.

Bu kural, ADFS'ye başka şekilde sağlanmayan "spname Webex" özniteliğini sağlar.

  1. Metin düzenleyicinizi açın ve aşağıdaki içeriği kopyalayın.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Metindeki URL1 ve URL2'yi aşağıdaki gibi değiştirin:

    • URL1, indirdiğiniz ADFS meta veri dosyasındaki entityID'dir.

      Örneğin, şuna benzer metinler göreceksiniz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS meta veri dosyasından yalnızca entityID’i kopyalayın ve URL1'i değiştirmek için metin dosyasına yapıştırın

    • URL2, indirdiğiniz meta veri Webex ilk satırdadır.

      Örneğin, şuna benzer metinler göreceksiniz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Meta veri dosyasından yalnızca entityID Webex kopyalayın ve URL2'yi değiştirmek için metin dosyasına yapıştırın.

  2. Güncellenen URL'ler ile birlikte kuralı metin düzenleyicinizden kopyalayın ("c:" den başlayarak) ve ADFS sunucunuzdaki özel kural kutusuna yapıştırın.

    Kural tamamlandığında aşağıdaki gibi görünmelidir:
  3. Kuralı oluşturmak için Bitir'i seçin ve ardından Talep Kurallarını Düzenle penceresinden çıkın.

4

Ana pencerede Bağlı Taraf Güveni'ni ve ardından sağ bölmeden Özellikler'i seçin.

5

Özellikler penceresi gösterildiğinde Gelişmiş sekmesi, SHA-256'ya gidin ve ardından değişikliklerinizi kaydetmek için Tamam'ı seçin.

6

Dosyayı indirmek için dahili ADFS sunucusunda şu URL'ye gidin: https:// AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Düzgün biçimlendirilmiş XML dosyasını almak için sayfaya sağ tıklamanız ve sayfa kaynağını görüntülemeniz gerekebilir.

7

Dosyayı yerel sisteminize kaydedin.

Sonraki adım

ADFS meta verilerini, yönetim portalında yer alan Webex tekrar içe aktarmaya hazırsınız.

IdP meta verilerini içe aktarın ve çoklu oturum açma etkinleştir

Meta verileri dışa aktardikten Webex IdP'nizi yapılandırın ve IdP meta verilerini yerel sisteminize indirdikten sonra, Control Hub'dan Webex organizasyona aktarmaya hazıroluruz.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca Hizmet Sağlayıcı tarafından başlatılan (SP tarafından başlatılan) akışları destekliyoruz. Bu nedenle, bu entegrasyon için Control Hub SSO testini kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızdaki Control Hub – sertifika seçim sayfasına geri dönmek ve ardından Sonraki seçeneğini tıklayın.
  • Control Hub artık tarayıcı sekmesinde açıksa, üzerinde müşteri görünümünden Yönetim > Kuruluş Ayarları seçeneğine gidin, Kimlik Doğrulama 'ya kaydırın ve ardından Meta Verileri https://admin.webex.com İçe > seçin.
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

Varsa Daha güvenli seçeneğini kullanabilirsiniz. Bu, ancak IdP'niz meta verilerini imzalamak için genel bir CA kullandı ise mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçeneğini kullanabilirsiniz. Meta verilerin imzalanmaz, otomatik olarak imzalanmaz veya özel bir sertifika yetkilisi tarafından imzalanmış olup olmadığını da içerir.

3

Kurulum SSO öğesini seçin ve yeni bir tarayıcı sekmesi açıldığında oturum açarak IdP ile kimlik doğrulaması yapın.


 

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Uygulama Webex hatası, genellikle kurulum sırasında SSO anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.


 

Doğrudan oturum açma SSO görmek için URL'yi bu ekrandan panoya kopyala öğesini tıklayıp özel bir tarayıcı penceresine yapıştırabilirsiniz. Bu oturumdan bir oturum açma ile SSO. Bu adım, oturum aken mevcut bir oturumda olabileceğiniz bir erişim belirteci nedeniyle false pozitifleri durdurur.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılı olmuşsa Test başarılı'ı seçin. Aç ve SSO 'ye tıklayın.
  • Test başarısız olmuşsa Başarısız test'i seçin. Başlat seçeneğini SSO ve Next (Sonraki) öğesini tıklayın.

 

Yeni SSO'i etkinleştirdikçe ve devre dışı radyo düğmesi yapılandırmanız SSO.

Sonraki adım

Kuruluşların yeni Uygulama kullanıcılarına gönderilen e-postaları devre dışı bırakmak için Otomatik E-postaları Webex prosedürü takip edin. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.

ADFS Webex güvene göre güncelleme

Bu görev, özel olarak AD FS'nin yeni SAML meta verisi ile Webex. SSO'yu ADFS ile yapılandırma veya Yeni Webex SSO Sertifikası için SAML Meta Verileriyle (farklı bir) IdP'yi güncelleme hakkında da makaleler mevcuttur.

Başlamadan önce

AD FS'de Bağlı Olan Taraf Güveni dosyasını güncellemeden önce Control Hub'Webex SAML meta veri dosyasını dışa aktarmanız gerekir.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

BIR siteden SAML meta Webex AD FS sunucusunda geçici bir yerel klasöre yükleyin, örn. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

PowerShell'i açın.

4

Çalıştır Get-AdfsRelyingPartyTrust tüm bağlı parti güvenlerini okuyun.

Not: TargetName parametresini Webex güvenerek. Biz "Cisco Webex" örneğini kullanıyoruz ancak bu, sizin ADFS'nizde farklı olabilir.

5

Çalıştır Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Dosya adını ve hedef adını ortamınızdaki doğru değerlerle değiştirdiğinizden emin olun.

Bkz. .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Webex SP 5 yıllık sertifikasını indiriyor ve İmzalama veya Şifreleme Sertifikası İptali'nin açık olduğunu biliyorsanız şu iki komutu çalıştırmanız gerekir: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Control Hub'da oturum açın, ardından SSO entegrasyonunu test edin:

  1. Yapılandırma sihirbazını > için Yönetim ve Kuruluş Ayarları , kimlik doğrulamasına kaydırın ve Çoklu Oturum Açma ayarında geçiş yapın.

  2. IdP Meta Verilerini İçe Aktar sayfasını atlamak için İleri'ye tıklayın.

    Daha önce IdP meta verilerini içe aktardığınız için bu adımı tekrarlamanız gerekmez.

  3. Bağlantıyı SSO önce test edin. Bu adım dry run gibi çalışır ve siz sonraki adımda ayarı etkinleştirene SSO ayarlarınızı etkilemez.


     

    Doğrudan oturum açma SSO görmek için URL'yi bu ekrandan panoya kopyala öğesini tıklayıp özel bir tarayıcı penceresine yapıştırabilirsiniz. Bu oturumdan bir oturum açma ile SSO. Bu, kullanıcı yapılandırmanızı test etme sırasında web tarayıcınızda önbelleğe alınmış olan ve yanlış pozitif sonuç SSO yardımcı olur.

  4. Test tamamlamak için oturum açın.

ADFS ile ilgili sorun giderme

Windows günlüklerinde ADFS hataları

Windows günlüklerinde ADFS olay günlüğü hata kodu 364'ü görebilirsiniz. Olay ayrıntıları geçersiz bir sertifikayı tanımlar. Bu tür durumlarda ADFS ana bilgisayarının sertifikayı doğrulaması için 80 numaralı bağlantı noktasındaki güvenlik duvarını geçmesine izin verilmez.

Bağlı olan taraf güveni için sertifika zincirini oluşturma girişimi sırasında hata oluştu

SSO sertifikasını güncellerken oturum aken şu hatayı alabilirsiniz: Invalid status code in response.

Bu hatayı görüyorsanız ADFS sunucusunda Etkinlik Görüntüleyici günlüklerini kontrol edin ve aşağıdaki hatayı deneyin: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Olası nedenler sertifikanın iptal edilmiş olması, sertifika zincirinin, bağlı olan taraf güvenin şifreleme sertifikası iptal ayarları tarafından belirtilen şekilde doğrulanamadı ya da sertifika geçerlilik süresi içinde değildir.

Bu hata oluşursa komutları çalıştırmalısınız Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck No

Federasyon Kimliği

Federasyon Kimliği büyük/küçük harf duyarlıdır. Eğer bu sizin kurumsal e-posta adresinizse, bunu tam olarak ADFS Webex olarak girin veya eşleşen kullanıcı bulunamaz.

LDAP özniteliği gönderilmeden bu özniteliği normalleştirmek için özel bir talep kuralı yazılamaz.

Meta verilerinizi ortamınızda kurduğunuz ADFS sunucusundan alın.

Gerekirse ADFS Yönetimi'nde Hizmet > Uç Noktalar > Meta Veriler > Tür: Federasyon Meta Verileri yolunu izleyerek URL'yi doğrulayabilirsiniz.

Senkronizasyonu ayarlama

ADFS sunucunuzun sistem saatinin, Ağ Zaman Protokolü'nü (NTP) kullanan güvenilir bir İnternet zaman kaynağıyla eşleştiğinden emin olun. Aşağıdaki PowerShell komutunu kullanarak yalnızca Güven ilişkisine bağlı olan Webex için saati iki kez kullanın.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Onaltılık değer, ortamınız için benzersizdir. Lütfen bu meta veri dosyasındaki SP EntityDescriptor kimliği Webex değiştirin. Örnek:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">