Tek oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onayı İşaretleme Dili (SAML 2.0) Federasyon Protokolü, Webex bulutu ile kimlik sağlayıcı (IdP) arasında SSO kimlik doğrulaması sağlamak için kullanılır.

Profil

Webex Uygulaması yalnızca web tarayıcısı SSO profilini destekler. Web tarayıcısı SSO profilinde Webex App aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

Ad Kimliği biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulaması, aşağıdaki Ad Kimliği biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nizden yüklediğiniz meta verilerde, ilk giriş Webex kullanılmak üzere yapılandırılır.

Çoklu Oturum Kapatma

Webex Uygulaması, çoklu oturum kapatma profilini destekler. Webex Uygulamasında, bir kullanıcı uygulamada oturumu kapatabilir. Bunun için oturumu sonlandırmak ve IdP’nizle oturumu kapatmayı onaylamak için SAML çoklu oturum kapatma protokolü kullanılır. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Control Hub'ı ADFS ile Entegre Etme


 

Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient belgelendirilmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ve urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer biçimler, urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SSO entegrasyonu için kullanılabilir ancak belgelerimiz kapsamında yer verilmemiştir.

Webex kuruluşunuzdaki kullanıcılar için bu entegrasyonu ayarlayın ( Webex Uygulaması, Webex Meetings ve Control Hub'da yönetilen diğer hizmetler dahil). Webex siteniz Control Hub'a entegre edilmişse Webex sitesi , kullanıcı yönetimini devralır. Webex Meetings bu şekilde erişemiyorsanız ve Control Hub'da yönetilmiyorsa, Webex Meetings için SSO etkinleştirmek için ayrı bir entegrasyon yapmanız gerekir. (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

ADFS'deki Kimlik Doğrulama mekanizmalarındaki yapılandırmaya bağlı olarak,Tümleşik Windows Kimlik Doğrulaması (IWA) varsayılan olarak etkinleştirilebilir. Etkinleştirilirse, Windows üzerinden başlatılan uygulamalar (örneğin Webex Uygulaması ve Cisco Dizin Bağlayıcı), ilk e-posta istemi sırasında hangi e-posta adresinin girildiğinden bağımsız olarak, oturum açan kullanıcı kimliğinin kimliğini doğrular.

Webex meta verilerini yerel sisteminize indirin

1

Müşteri görünümündenhttps://admin.webex.com , git Yönetim > Organizasyon Ayarları öğesine gidin ve ardından kimlik doğrulama ve ardından Tek oturum açma Kurulum sihirbazını başlatmak için ayar.

2

Kuruluşunuz için sertifika türünü seçin:

  • Cisco tarafından kendinden imzalı —Bu seçimi öneriyoruz. Sertifikayı biz imzalayalım, böylece her beş yılda bir yenilemeniz yeterli.
  • Genel bir sertifika yetkilisi tarafından imzalanmış —Daha güvenlidir ancak meta verileri sık sık güncellemeniz gerekir (IdP satıcınız güven bağlantılarını desteklemediği sürece).

 

Güven çapaları, bir dijital imzanın sertifikasını doğrulamak için bir otorite görevi gören ortak anahtarlardır. Daha fazla bilgi için IDP belgelerinize bakın.

3

Meta veri dosyasını indirin.

Webex meta veri dosya adı: idb-meta-<org-ID> -SP.xml .

ADFS'de Webex meta verilerini yükleme

Başlamadan önce

Control Hub, ADFS 2.x veya sonraki sürümlerini destekler.

Windows 2008 R2 yalnızca ADFS 1.0'ı içerir. Microsoft’tan en az ADFS 2.x sürümünü yüklemelisiniz.

SSO ve Webex hizmetleri için kimlik sağlayıcılarının (IdP'ler) aşağıdaki SAML 2.0 spesifikasyonuna uyması gerekir:

  • NameID Format özniteliğini urn:oasis:names:tc:SAML:2.0:nameid-format:transient olarak ayarlayın

  • Cisco Dizin Bağlayıcıda seçilen öznitelikle veya Webex kimlik hizmetinde seçilenle eşleşen kullanıcı özniteliğiyle eşlenen bir değerle uid özniteliği adını içerecek şekilde IdP üzerinde bir talep yapılandırın. (Bu öznitelik E-posta Adresleri veya Kullanıcı Asıl Adı olabilir.) Daha fazla bilgi edinmek için https://www.cisco.com/go/hybrid-services-directory özel öznitelik bilgilerine bakın.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

ADFS Yönetimi konsolunu açın ve Güven İlişkileri > Bağlı Taraf Güvenleri > Bağlı Taraf Güveni Ekle yolunu izleyin.

3

Bağlı Taraf Güveni Ekle Sihirbazı penceresinden Başlat'ı seçin.

4

Veri Kaynağını Seç için Bağlı taraf hakkındaki verileri bir dosyadan içe aktar'ı seçin, indirdiğiniz Control Hub Meta Veri dosyasına gidin ve Ileri'yi seçin.

5

Görünen Adı Belirtin için bu bağlı taraf güvenine yönelik Webex gibi bir görünen ad oluşturun ve Ileri'yi seçin.

6

Verme Yetkilendirme Kurallarını Seç için Tüm kullanıcıların bu bağlı tarafa erişmesine izin ver'i ve İleri'seçin.

7

Güven Eklemeye Hazır için İleri seçeneğini belirleyin ve ADFS'ye bağlı güven eklemeyi tamamlayın.

Webex kimlik doğrulaması için talep kuralları oluştur

1

Ana ADFS bölmesinde, oluşturduğunuz güven ilişkisini ve ardından Talep Kurallarını Düzenle'yi seçin. Verme Aktarım Kuralları bölümünden Kural Ekle'yi seçin.

2

Kural Türünü Seç adımında LDAP Özniteliklerini Talep Olarak Gönder'i ve ardından İleri'yi seçin.

  1. Talep Kuralı Adı'nı girin.

  2. Öznitelik Deposu olarak Active Directory'ı seçin.

  3. E-posta Adresleri LDAP özniteliğini uid giden talep türü ile eşleyin.

    Bu kural, ADFS'ye bir kullanıcıyı tanımlamak için hangi alanların Webex ile eşleneceğini söyler. Giden talep türlerini tam olarak gösterildiği gibi yazın.

  4. Değişiklikleri kaydedin.

3

Tekrar Kural Ekle'yi seçin, Talepleri Özel Kural Kullanarak Gönder'i ve ardından İleri'yi seçin.

Bu kural, ADFS'ye Webex'in başka şekilde sağlamadığı "spname niteleyici" özniteliğini sağlar.

  1. Metin düzenleyicinizi açın ve aşağıdaki içeriği kopyalayın.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Metindeki URL1 ve URL2'yi aşağıdaki gibi değiştirin:

    • URL1, indirdiğiniz ADFS meta veri dosyasındaki entityID'dir.

      Örneğin, şuna benzer metinler göreceksiniz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS meta veri dosyasından yalnızca entityID’i kopyalayın ve URL1'i değiştirmek için metin dosyasına yapıştırın

    • URL2 , indirdiğiniz Webex meta veri dosyasının ilk satırındadır.

      Örneğin, şuna benzer metinler göreceksiniz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Webex meta veri dosyasından yalnızca entityID’yi kopyalayın ve URL2’yi değiştirmek için metin dosyasına yapıştırın.

  2. Güncellenen URL'ler ile birlikte kuralı metin düzenleyicinizden kopyalayın ("c:" den başlayarak) ve ADFS sunucunuzdaki özel kural kutusuna yapıştırın.

    Kural tamamlandığında aşağıdaki gibi görünmelidir:

  3. Kuralı oluşturmak için Bitir'i seçin ve ardından Talep Kurallarını Düzenle penceresinden çıkın.

4

Ana pencerede Bağlı Taraf Güveni'ni ve ardından sağ bölmeden Özellikler'i seçin.

5

Özellikler penceresi gösterildiğinde Gelişmiş sekmesi, SHA-256'ya gidin ve ardından değişikliklerinizi kaydetmek için Tamam'ı seçin.

6

Dosyayı indirmek için dahili ADFS sunucusunda şu URL'ye gidin: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Düzgün biçimlendirilmiş XML dosyasını almak için sayfaya sağ tıklamanız ve sayfa kaynağını görüntülemeniz gerekebilir.

7

Dosyayı yerel sisteminize kaydedin.

Sonraki işlemler

ADFS meta verilerini yönetim portalından tekrar Webex’e aktarmaya hazırsınız.

IdP meta verilerini içe aktarın ve bir testten sonra tekli oturum açma etkinleştirin

Webex meta verilerini dışa aktardıktan, IdP'nizi yapılandırdıktan ve IdP meta verilerini yerel sisteminize indirdikten sonra bunları Control Hub'dan Webex kuruluşunuza aktarmaya hazırsınız.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca Hizmet Sağlayıcı tarafından başlatılan (SP tarafından başlatılan) akışları destekliyoruz. Bu nedenle, bu entegrasyon için Control Hub SSO testini kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızda Control Hub – sertifika seçim sayfasına dönün ve ardından Sonraki .
  • Control Hub, tarayıcı sekmesinde artık açık değilse,https://admin.webex.com , git Yönetim > Organizasyon Ayarları , kaydır kimlik doğrulama seçin ve ardından Eylemler > Meta Verileri İçe Aktar .
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

kullanmalısın Daha güvenli seçenek, eğer yapabilirsen. Bu, yalnızca IdP'niz meta verilerini imzalamak için genel bir CA kullandıysa mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçenek. Bu, meta verilerin imzalanmamış, kendinden imzalı veya özel bir CA tarafından imzalanmamış olup olmadığını içerir.


 

Okta meta verileri imzalamaz, bu nedenle Daha az güvenli Okta SSO entegrasyonu için.

3

Seç SSO kurulumunu test edin ve yeni bir tarayıcı sekmesi açıldığında, oturum açarak IdP ile kimlik doğrulaması yapın.


 

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Webex Uygulaması hatası, genellikle SSO kurulumuyla ilgili bir sorun anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.


 

SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu adım, oturum açmanızdan sonra mevcut bir oturumda olabilecek bir erişim belirteci nedeniyle yanlış pozitifleri durdurur.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılıysa, öğesini seçin. Başarılı test. SSO aç ve tıklayın Sonraki .
  • Test başarısız olursa, öğesini seçin. Başarısız test. SSO kapat ve tıklayın Sonraki .

 

İlk radyo düğmesi seçip SSO etkinleştirmediğiniz sürece, SSO yapılandırması kuruluşunuzda etkili olmaz.

Sonraki işlemler

içindeki prosedürleri kullanın. Okta Kullanıcılarını Cisco Webex Control Hub ile senkronize edin Webex bulutuna kullanıcı sağlama yapmak istiyorsanız.

içindeki prosedürleri kullanın. Azure Active Directory Kullanıcılarını Cisco Webex Control Hub ile senkronize edin Azure AD'den Webex bulutuna kullanıcı sağlama yapmak istiyorsanız.

adresindeki prosedürü takip edebilirsiniz. Otomatik E-postaları Engelle kuruluşunuzdaki yeni Webex Uygulaması kullanıcılarına gönderilen e-postaları devre dışı bırakmak için. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.

ADFS'de Webex güvenen taraf güvenini güncelleyin

Bu görev özellikle Webex yeni SAML meta verileriyle güncellemekle ilgilidir. Gerekirse ilgili makaleler var SSO ADFS ile yapılandırın veya ihtiyacınız varsa yeni bir Webex SSO sertifikası için SAML meta verileriyle (farklı bir) IdP'yi güncelleyin .

Başlamadan önce

ADFS'de Webex Relying Party Trust'ı güncellemeden önce SAML meta veri dosyasını Control Hub'dan dışa aktarmanız gerekir.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

SAML meta veri dosyasını Webex ADFS sunucusundaki geçici bir yerel klasöre yükleyin, ör. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

PowerShell'i açın.

4

Çalıştır Get-AdfsRelyingPartyTrust güvenen tüm taraf güvenlerini okumak için.

not edin TargetName Webex güvenen taraf güveninin parametresi. "Webex" örneğini kullanıyoruz, ancak ADFS'nizde farklı olabilir.

5

Çalıştır Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex".

Dosya adını ve hedef adını ortamınızdaki doğru değerlerle değiştirdiğinizden emin olun.

Bkz. .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

 

Webex SP 5 yıllık sertifikasını indirdiyseniz ve İmzalama veya Şifreleme Sertifikası İptali açıksa şu iki komutu çalıştırmanız gerekir: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Control Hub'da oturum açın, ardından SSO entegrasyonunu test edin:

  1. git Yönetim > Organizasyon Ayarları , kaydır kimlik doğrulama ve Tek Oturum Açma yapılandırma sihirbazını başlatmak için ayar.

  2. IdP Meta Verilerini İçe Aktar sayfasını atlamak için İleri'ye tıklayın.

    Daha önce IdP meta verilerini içe aktardığınız için bu adımı tekrarlamanız gerekmez.

  3. Etkinleştirmeden önce SSO bağlantısını test edin. Bu adım, deneme çalıştırması işlevi görür ve bir sonraki adımda SSO etkinleştirene kadar kuruluş ayarlarınızı etkilemez.


     

    SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu işlem, web tarayıcınızda önbelleğe alınan ve SSO yapılandırmanızı test ederken yanlış pozitif sonuç verebilecek tüm bilgileri kaldırmanızı sağlar.

  4. Test tamamlamak için oturum açın.

ADFS sorun giderme

Windows günlüklerinde ADFS hataları

Windows günlüklerinde ADFS olay günlüğü hata kodu 364'ü görebilirsiniz. Olay ayrıntıları geçersiz bir sertifikayı tanımlar. Bu tür durumlarda ADFS ana bilgisayarının sertifikayı doğrulaması için 80 numaralı bağlantı noktasındaki güvenlik duvarını geçmesine izin verilmez.

Bağlı taraf güveni için sertifika zinciri oluşturma denemesi sırasında hata oluştu

SSO sertifikasını güncellerken oturum açarken şu hatayla karşılaşabilirsiniz: Invalid status code in response.

Bu hatayı görürseniz ADFS sunucusunda Etkinlik Görüntüleyicisi günlüklerini kontrol edin ve aşağıdaki hatayı arayın: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Bunun olası nedenleri, sertifikanın iptal edilmesi, sertifika zincirinin bağlı taraf güveninin şifreleme sertifika iptal ayarları tarafından belirtildiği şekilde doğrulanamaması veya sertifikanın geçerlilik süresi içinde olmamasıdır.

Bu hata oluşursa komutları çalıştırmanız gerekir Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Federasyon Kimliği

Federasyon Kimliği büyük/küçük harf duyarlıdır. Bu sizin kurumsal e-posta adresiniz ise, e-postayı tam olarak ADFS’nin gönderdiği gibi girin. Aksi takdirde Webex eşleşen kullanıcıyı bulamaz.

LDAP özniteliği gönderilmeden bu özniteliği normalleştirmek için özel bir talep kuralı yazılamaz.

Meta verilerinizi ortamınızda kurduğunuz ADFS sunucusundan alın.

Gerekirse ADFS Yönetimi'nde Hizmet > Uç Noktalar > Meta Veriler > Tür: Federasyon Meta Verileri yolunu izleyerek URL'yi doğrulayabilirsiniz.

Saat senkronizasyonu

ADFS sunucunuzun sistem saatinin, Ağ Zaman Protokolü'nü (NTP) kullanan güvenilir bir İnternet zaman kaynağıyla eşleştiğinden emin olun. Yalnızca Webex Bağlı Taraf Güveni ilişkisi için saati eğmek üzere aşağıdaki PowerShell komutunu kullanın.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Onaltılık değer, ortamınız için benzersizdir. Lütfen Webex meta veri dosyasındaki SP EntityDescriptor kimliği değerindeki değeri değiştirin. Örnek:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">