Çoklu oturum açma ve Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Güvenlik Onaylama İşaretleme Dili (SAML 2.0) Federasyon Protokolü, Webex SSO bulut ve kimlik sağlayıcınız (IdP) arasında kimlik doğrulaması sağlamak için kullanılır.

Profil

Webex Uygulaması , yalnızca web tarayıcısı ve SSO destekler. Web tarayıcısı SSO, Webex aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

AdKimlik biçimi

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Webex Uygulama aşağıdaki NameID biçimlerini destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nize yüklemekte olduğu meta veride, ilk giriş bu özellikte kullanım için Webex.

Çoklu Oturum Kapatma

Webex Uygulaması , tekli oturum açma profilini destekler. Uygulama Webexbir kullanıcı oturumu sona erdirecek ve IdP'niz ile oturumun çıkış işlemini onaylamak için SAML tek oturum açma protokolünü kullanan uygulamada oturumu çıkışlayabilir. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Control Hub'ı ADFS ile Entegre Et

Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları belgelenmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified veya urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer formatlar SSO entegrasyonu için uygundur ancak bu dokümantasyon kapsamı dışındadır.

Bu entegrasyonu kullanıcı için Webex ayarla ( Control Hub'Webex Uygulaması, Webex Meetings ve diğer hizmetler dahil). Kullanıcı Webex Control Hub'a entegre edilmişse site Webex yönetimi devralr. Yönetime bu şekilde Webex Meetings ve Control Hub'dayönetilmiyorsa için hızlı erişim iznini etkinleştirmek üzere ayrı bir SSO Webex Meetings . (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

ADFS'deki Kimlik Doğrulama mekanizmalarındaki yapılandırmaya bağlı olarak,Tümleşik Windows Kimlik Doğrulaması (IWA) varsayılan olarak etkinleştirilebilir. Etkinleştirilirse, (Webex Uygulaması ve Cisco Dizin Bağlayıcı gibi) Windows üzerinden başlatılan uygulamalar, ilk e-posta istemi sırasında hangi e-posta adresine girilen e-posta adresine bakılmaksızın, oturum açık olan kullanıcı olarak kimliği doğrular.

Meta verileri Webex sisteminize indirin

1

üzerinde müşteri https://admin.webex.comgörünümünden, Yönetim > KuruluşAyarları'nı seçin ve Kimlik Doğrulama'ya gidin ve ardından çoklu oturum açma ayarını açıp kurulum sihirbazını başlatın.

2

Organizasyonun sertifika türünü seçin:

  • Cisco tarafından kendinden imzalı—Bu seçeneği öneririz. Sertifikayı imzalamamız gerekiyor, bu nedenle bunu yalnızca beş yılda bir yenilemelisiniz.
  • Genel bir sertifika yetkilisi tarafından imzalanmış: Daha güvenlidir ancak meta verileri sık sık güncellemeniz gerekir (IdP sağlayıcınız güven çapaları desteklemiyorsa).

Güven çıpaları, dijital imzanın sertifikasını doğrulama yetkisi olarak çalışan genel anahtarlardır. Daha fazla bilgi için IdP belgelerinize başvurun.

3

Meta veri dosyasını indirin.

Webex meta veri dosya adı idb-meta--SP.xml’dir.

ADFS Webex de meta verileri yükleme

Başlamadan önce

Control Hub, ADFS 2.x veya sonrakini destekler.

Windows 2008 R2 yalnızca ADFS 1.0'ı içerir. Microsoft’tan en az ADFS 2.x sürümünü yüklemelisiniz.

Bu SSO ve hizmet Webex için kimlik sağlayıcılar (IdPs) aşağıdaki SAML 2.0 spesifikasyonuna uygun olmalı:

  • NameID Format özniteliğini urn:oasis:names:tc:SAML:2.0:nameid-format: olarak ayarlayıngeçici

  • Cisco Dizin Bağlayıcı'da seçilen öznitelikle veya Webex kimlik hizmetinde seçilenle eşleşen kullanıcı özniteliğiyle eşlenen bir değerle uid özniteliği adını içerecek şekilde IdP'de bir talep yapılandırın. (Bu öznitelik, örneğin E-posta Adresleri veya Kullanıcı Asıl Adı olabilir.) Yönergeler için https://www.cisco.com/go/hybrid-services-directory bölümündeki özel öznitelik bilgilerine bakın.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

ADFS Yönetimi konsolunu açın ve Güven İlişkileri > Bağlı Taraf Güvenleri > Bağlı Taraf Güveni Ekle yolunu izleyin.

3

Bağlı Taraf Güveni Ekle Sihirbazı penceresinden Başlat'ı seçin.

4

Veri Kaynağını Seç için Bağlı taraf hakkındaki verileri bir dosyadan içe aktar’ı seçin, indirdiğiniz Control Hub Meta Veri dosyasına gidin ve Ileri’yi seçin.

5

Görünen Ad Belirt için bu bağlı taraf güveni için Webex gibi bir görünen ad oluşturun ve Ileri’yi seçin.

6

Verme Yetkilendirme Kurallarını Seç için Tüm kullanıcıların bu bağlı tarafa erişmesine izin ver'i ve İleri'seçin.

7

Güven Eklemeye Hazır için İleri seçeneğini belirleyin ve ADFS'ye bağlı güven eklemeyi tamamlayın.

Kimlik doğrulaması için talep Webex oluştur

1

Ana ADFS bölmesinde, oluşturduğunuz güven ilişkisini ve ardından Talep Kurallarını Düzenle'yi seçin. Verme Aktarım Kuralları bölümünden Kural Ekle'yi seçin.

2

Kural Türünü Seç adımında LDAP Özniteliklerini Talep Olarak Gönder'i ve ardından İleri'yi seçin.

  1. Talep Kuralı Adı'nı girin.

  2. Öznitelik Deposu olarak Active Directory'ı seçin.

  3. E-posta Adresleri LDAP özniteliğini uid giden talep türü ile eşleyin.

    Bu kural, ADFS'ye, kullanıcı tanımlamak için Webex alanları söyler. Giden talep türlerini tam olarak gösterildiği gibi yazın.

  4. Değişiklikleri kaydedin.

3

Tekrar Kural Ekle'yi seçin, Talepleri Özel Kural Kullanarak Gönder'i ve ardından İleri'yi seçin.

Bu kural, ADFS'ye başka şekilde sağlanmayan "spname Webex" özniteliğini sağlar.

  1. Metin düzenleyicinizi açın ve aşağıdaki içeriği kopyalayın.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Metindeki URL1 ve URL2'yi aşağıdaki gibi değiştirin:

    • URL1 , indirdiğiniz ADFS meta veri dosyasındaki entityID'dir.

      Örneğin, aşağıda gördüklerinizin bir örneği verilmiştir: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS meta veri dosyasından yalnızca entityID’i kopyalayın ve URL1'i değiştirmek için metin dosyasına yapıştırın

    • URL2 , indirdiğiniz Webex meta veri dosyasının ilk satırında.

      Örneğin, aşağıda gördüklerinizin bir örneği verilmiştir: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Meta veri dosyasından yalnızca entityID Webex kopyalayın ve URL2'yi değiştirmek için metin dosyasına yapıştırın.

  2. Güncellenen URL'ler ile birlikte kuralı metin düzenleyicinizden kopyalayın ("c:" den başlayarak) ve ADFS sunucunuzdaki özel kural kutusuna yapıştırın.

    Kural tamamlandığında aşağıdaki gibi görünmelidir:

  3. Kuralı oluşturmak için Bitir'i seçin ve ardından Talep Kurallarını Düzenle penceresinden çıkın.

4

Ana pencerede Bağlı Taraf Güveni'ni ve ardından sağ bölmeden Özellikler'i seçin.

5

Özellikler penceresi gösterildiğinde Gelişmiş sekmesi, SHA-256'ya gidin ve ardından değişikliklerinizi kaydetmek için Tamam'ı seçin.

6

Dosyayı indirmek için dahili ADFS sunucusunda şu URL'ye gidin: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Düzgün biçimlendirilmiş XML dosyasını almak için sayfaya sağ tıklamanız ve sayfa kaynağını görüntülemeniz gerekebilir.

7

Dosyayı yerel sisteminize kaydedin.

Sonraki adım

ADFS meta verilerini, yönetim portalında yer alan Webex tekrar içe aktarmaya hazırsınız.

IdP meta verilerini içe aktarın ve çoklu oturum açma etkinleştir

Meta verileri dışa aktardikten Webex IdP'nizi yapılandırın ve IdP meta verilerini yerel sisteminize indirdikten sonra, Control Hub'dan Webex organizasyona aktarmaya hazır oluruz.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca hizmet sağlayıcı-başlatıldı (SP-başlatıldı) akışlarını destekliyoruz, bu nedenle bu entegrasyon için Control hub SSO test 'i kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızda Control Hub – sertifika seçimi sayfasına geri dönün ve Ileri’ye tıklayın.
  • Control Hub tarayıcı sekmesinde artık açık değilse müşteri görünümünden https://admin.webex.comYönetim > Kuruluş Ayarları’na gidin, Kimlik Doğrulama’ya kaydırın ve ardından Eylemler > Meta Verileri Içe Aktar’ı seçin.
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

Varsa Daha güvenli seçeneğini kullanabilirsiniz. Bu, ancak IdP'niz meta verilerini imzalamak için genel bir CA kullandı ise mümkündür.

Diğer tüm durumlarda, Daha az güvenli seçeneğini kullanabilirsiniz . Meta verilerin imzalanmaz, otomatik olarak imzalanmaz veya özel bir CA ile imzalanmazsa bu bilgiler dahildir.

Okta meta verileri oturum açmaz, bu nedenle Okta Güvenliği entegrasyonu için Daha az güvenli SSO gerekir.

3

SSO kurulumunu test et'i seçin ve yeni bir tarayıcı sekmesi açıldığında oturum açarak IdP ile kimliğinizi doğrulayın.

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Uygulama Webex hatası , genellikle kurulum sırasında SSO anlamına gelir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.

SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu adım, oturum aken mevcut bir oturumda olabileceğiniz bir erişim belirteci nedeniyle false pozitifleri durdurur.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarılı olmuşsa Test başarılı'ı seçin. Aç ve SSO'ye tıklayın.
  • Test başarısız olmuşsa Başarısız test'i seçin. Başlat'ı SSO Ve Sonraki seçeneğini tıklatın.

Ağ SSO yapılandırma, ilk olarak Etkinleştir'i seçmedikçe radyo düğmesi içinde SSO.

Sonraki adım

Okta'dan kullanıcı sağlamayı buluta Cisco Webex Control Hub Okta Kullanıcılarını senkronize etmek için bu Webex kullanın.

Azure AD'den kullanıcı Active Directory buluta kullanıcı sağlamayı yapmak Cisco Webex Control Hub Azure E-posta Kullanıcılarını aşağıdaki Webex kullanın.

Kuruluşunuzdaki yeni Webex Uygulaması kullanıcılarına gönderilen e-postaları devre dışı bırakmak için Otomatik E-postaları Engelle bölümündeki prosedürü takip edebilirsiniz. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.

ADFS Webex güvene göre güncelleme

Bu görev, özellikle ADFS’yi Webex’ten gelen yeni SAML meta verileriyle güncellemeyle ilgilidir. Dosyaları ADFS ile yapılandırmanız veya yeni bir sertifika SSO için SAML meta verilerine sahip (farklı bir) IdP'yi güncellemeniz gerekirse ilgili makaleler Webex SSO vardır.

Başlamadan önce

ADFS'de Webex Bağlı Taraf Güvenini güncellemeden önce SAML meta veri dosyasını Control Hub'dan dışa aktarmanız gerekir.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

Webex’teki SAML meta veri dosyasını ADFS sunucusundaki geçici bir yerel klasöre yükleyin. Ör. //ADFS_servername/temp/idb-meta--SP.xml.

3

PowerShell'i açın.

4

Tüm bağlı taraf güvenlerini okumak için Get-AdfsRelyingPartyTrust komutunu çalıştırın.

Webex bağlı taraf güveninin TargetName parametresini not edin. "Dosya" örneğini Webex, ancak ADFS'niz farklı olabilir.

5

Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex" komutunu çalıştırın.

Dosya adını ve hedef adını ortamınızdaki doğru değerlerle değiştirdiğinizden emin olun.

Bkz. .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Webex SP 5 yıllık sertifikasını indirdikten ve İmzalama veya Şifreleme Sertifikası İptali'nin açık olduğunu biliyorsanız şu iki komutu çalıştırmanız gerekir: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Control Hub'da oturum açın, ardından SSO entegrasyonunu test edin:

  1. Kuruluş Ayarları > , KimlikDoğrulama'ya kaydırın ve yapılandırma sihirbazını başlatmak için Çoklu Oturum Açma ayarında geçiş yapın.

  2. IdP Meta Verilerini İçe Aktar sayfasını atlamak için İleri'ye tıklayın.

    Daha önce IdP meta verilerini içe aktardığınız için bu adımı tekrarlamanız gerekmez.

  3. Bağlantıyı SSO önce test edin. Bu adım, deneme çalıştırması işlevi görür ve bir sonraki adımda SSO etkinleştirene kadar kuruluş ayarlarınızı etkilemez.

    SSO ile giriş yapmaya doğrudan erişmek için bu ekranda URL’yi panoya kopyala seçeneğine tıklayın ve kopyaladığınız URL’yi özel bir tarayıcı penceresine yapıştırın. Burada, SSO ile giriş yapma işlemini gerçekleştirebilirsiniz. Bu işlem, web tarayıcınızda önbelleğe alınan ve SSO yapılandırmanızı test ederken yanlış pozitif sonuç verebilecek tüm bilgileri kaldırmanızı sağlar.

  4. Test tamamlamak için oturum açın.

ADFS ile ilgili sorun giderme

Windows günlüklerinde ADFS hataları

Windows günlüklerinde ADFS olay günlüğü hata kodu 364'ü görebilirsiniz. Olay ayrıntıları geçersiz bir sertifikayı tanımlar. Bu tür durumlarda ADFS ana bilgisayarının sertifikayı doğrulaması için 80 numaralı bağlantı noktasındaki güvenlik duvarını geçmesine izin verilmez.

Bağlı olan taraf güveni için sertifika zincirini oluşturma girişimi sırasında hata oluştu

SSO sertifikasını güncellerken oturum aken şu hatayı alabilirsiniz: Yanıtta geçersiz durum kodu.

Bu hatayı görüyorsanız ADFS sunucusunda Etkinlik Görüntüleyici günlüklerini kontrol edin ve aşağıdaki hatayı deneyin: Bağlı taraf güveni için sertifika zincirini oluşturma denemesi sırasında bir hata oluştu'https://idbroker.webex.com/<org-ID>' '754B9208F1F75C5CC122740F3675C5D129471D80' ile tanımlanan sertifika. Olası nedenler sertifikanın iptal edilmiş olması, sertifika zincirinin, bağlı olan taraf güvenin şifreleme sertifikası iptal ayarları tarafından belirtilen şekilde doğrulanamadı ya da sertifika geçerlilik süresi içinde değildir.

Bu hata oluşursa Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck Hiçbiri komutlarını çalıştırmanız gerekir

Federasyon Kimliği

Federasyon Kimliği büyük/küçük harf duyarlıdır. Eğer bu sizin kurumsal e-posta adresinizse, bunu tam olarak ADFS Webex olarak girin veya eşleşen kullanıcı bulunamaz.

LDAP özniteliği gönderilmeden bu özniteliği normalleştirmek için özel bir talep kuralı yazılamaz.

Meta verilerinizi ortamınızda kurduğunuz ADFS sunucusundan alın.

Gerekirse ADFS Yönetimi'nde Hizmet > Uç Noktalar > Meta Veriler > Tür: Federasyon Meta Verileri yolunu izleyerek URL'yi doğrulayabilirsiniz.

Senkronizasyonu ayarlama

ADFS sunucunuzun sistem saatinin, Ağ Zaman Protokolü'nü (NTP) kullanan güvenilir bir İnternet zaman kaynağıyla eşleştiğinden emin olun. Aşağıdaki PowerShell komutunu kullanarak yalnızca Güven ilişkisine bağlı olan Webex için saati iki kez kullanın.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Onaltılık değer, ortamınız için benzersizdir. Lütfen bu meta veri dosyasındaki SP EntityDescriptor kimliği Webex değiştirin. Örnek:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">