Çoklu oturum açma ve Webex Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgilerini sağlamasına izin veren oturum veya Kullanıcı kimlik doğrulaması işlemidir. İşlem, haklarının verildiği tüm uygulamalar için kullanıcıların kimliğini doğrular. Kullanıcılar belirli bir oturum sırasında uygulamalara geçiş yaparken diğer istemleri ortadan kaldırır.

Güvenlik Onayı Biçimlendirme Dili (SAML 2,0) Federasyon Protokolü, Cisco Webex bulut ile kimlik sağlayıcınız (IDP) arasında SSO kimlik doğrulaması sağlamak için kullanılır.

Profil

Cisco Webex Teams yalnızca Web tarayıcısı SSO profilini destekler. Web tarayıcısında SSO profil Cisco Webex Teams aşağıdaki bağlamaları destekler:

  • SP tarafından başlatılan > sonrası sonrası bağlama

  • SP tarafından başlatılan yeniden yönlendirme-> SONRASı bağlama

NameID Format

SAML 2,0 protokolü, belirli bir kullanıcı hakkında iletişim kurmak için birkaç NameID biçimini destekler. Cisco Webex Teams aşağıdaki NameID biçimlerini destekler.

  • urn: Oasis: names: TC: SAML: 2.0: nameid-Format: geçici

  • urn: Oasis: names: TC: SAML: 1.1: NameID-Format: belirtilmemiş

  • urn: Oasis: names: TC: SAML: 1.1: nameid-Format: EpostaAdresi

IDP 'den yüklenen meta verilerde, ilk giriş Cisco Webex 'da kullanım için yapılandırılmıştır.

SingleLogout

Cisco Webex Teams tek oturum kapatma profilini destekler. Cisco Webex Teams uygulamasında, Kullanıcı oturumu sonlandırmak ve IDP 'niz ile oturum açmayı onaylamak için SAML tekli oturum kapatma protokolünü kullanan uygulamada oturumu kapatamaz. IDP 'nizin SingleLogout için yapılandırıldığından emin olun.

Cisco Webex Control Hub ADFS ile Tümleştir


Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, NameID-Format urn: Oasis: names: TC: SAML: 2.0: NameID-Format: geçici olarak belgelenmiştir. Urn: Oasis: names: TC: SAML: 1.1: NameID-Format: belirtilmemiş veya urn: Oasis: names: TC: SAML: 1.1: nameid-format SSO:

Cisco Webex kuruluşunuzdaki kullanıcılar için bu entegrasyonu (Cisco Webex Teams, Cisco Webex Meetings ve Cisco Webex Control Hub yönetilen diğer hizmetler dahil) ayarlayın. Webex siteniz Cisco Webex Control Hub tümleşikse Webex sitesi kullanıcı yönetimini devralır. Bu şekilde Cisco Webex Meetings erişemazsanız ve Cisco Webex Control Hub yönetilmediğinde Cisco Webex Meetings SSO etkinleştirmek için ayrı bir entegrasyon yapmanız gerekir. (Bkz . Site yönetimi SSO entegrasyonunda daha fazla bilgi için Webex Için çoklu oturum açmayı yapılandırın.)

ADFS 'deki kimlik doğrulama düzeneklerinden yapılandırılan şeye bağlı olarak, entegre Windows kimlik doğrulaması (ıWA) varsayılan olarak etkinleştirilebilir. Etkinleştirilirse, Windows üzerinden başlatılan uygulamalar (Webex Teams ve Cisco Dizin Bağlayıcı gibi), ilk e-posta istemi sırasında girilen e-posta adresi ne olursa olsun oturum açmış olan kullanıcı tarafından kimlik doğrulaması yapılır.

Cisco Webex meta verilerini yerel sisteminize indirin

1

Uygulamasındaki müşteri görünümünden https://admin.webex.comAyarlar 'a gidin ve ardından kimlik doğrulama 'ya gidin.

2

Değiştir'e tıklayın, 3. taraf kimlik sağlayıcısını tümleştir 'ya tıklayın. (Gelişmiş)ve ardından İleri 'ye tıklayın.

3

Meta veri dosyasını indirin.

Cisco Webex meta veri dosyası IDB-meta-<org-ID>-SP. xml ' dir.

ADFS 'de Cisco Webex meta verileri yükleme

Başlamadan önce

Cisco Webex Control Hub, ADFS 2. x veya sonrasını destekler.

Windows 2008 R2 yalnızca ADFS 1,0 içerir. Microsoft 'dan en az ADFS 2. x yüklemeniz gereklidir.

SSO ve Cisco Webex Hizmetleri için kimlik sağlayıcılarının (IDPs) aşağıdaki SAML 2,0 belirtimine uyması gerekir:

  • NameID Format özniteliğini urn: Oasis: names: TC: SAML: 2.0: nameid-Format: geçici olarak ayarlama

  • Cisco Dizin Bağlayıcı veya Cisco Webex kimlik hizmeti seçilen kullanıcı özniteliği için seçilen öznitelikle eşlenen bir değere sahip uid öznitelik adını dahil etmek Için IDP 'de bir talep yapılandırın. (Örneğin, bu öznitelik E-posta adresi veya Kullanıcı-sorumlu adı olabilir.) Kılavuz için bkz. özel öznitelik bilgileri https://www.cisco.com/go/hybrid-services-directory .

1

ADFS sunucusunda yönetici izinleriyle oturum açın.

2

ADFS yönetim konsolunu açıp güven ilişkileri > bağlı olan taraf güvenleri 'Ne göz atın > bağlı taraf güveni ekleyin.

3

Bağlı taraf güveni Ekleme Sihirbazı penceresinde, Başlat 'ı seçin .

4

Seçme veri kaynağı içinbir dosyadan bağlı olan taraf hakkındaki verileri içe aktar'ı seçin, indirdiğiniz Cisco Webex Control hub meta veri dosyasına gözatın ve ileri 'yi seçin .

5

Görünen adı belirtmek için, Cisco Webex gibi bu bağlı taraf güveni için bir görünen ad oluşturun ve ileri 'yi seçin.

6

Verme yetkilendirme kurallarını seçin içintüm kullanıcıların bu bağlı tarafa erişmesine izin ver 'i seçinve ileri 'yi seçin.

7

Güven eklemeye hazır olmak içinİleri 'yi ve ardından bağlı güveni ADFS 'ye eklemeyi bitirin.

Cisco Webex 'den kimlik doğrulamasına Izin veren talep kuralları oluşturma

1

Ana ADFS bölmesinde, oluşturduğunuz güven ilişkisini seçin ve ardından talep kurallarını Düzenle 'yi seçin. Verme dönüştürme kuralları sekmesinde kural ekle 'yi seçin .

2

Kural türünü seçin adımında LDAP özniteliklerini talep olarak gönder'i seçin ve ardından İleri 'yi seçin .

  1. Talep kuralı adı girin.

  2. Öznitelik deposu olarak Active Directory 'ı seçin.

  3. E-posta adresleri LDAP özniteliğini uid giden talep türüne eşleyin.

    Bu kural, ADFS 'ye kullanıcıyı tanımlamak için hangi alanların eşleneceğini Cisco Webex söyler. Giden talep türlerini tam olarak gösterildiği şekilde heceleyin.

  4. Değişiklikleri kaydedin.

3

Kuralı tekrar Ekle 'yi seçin, özel bir kural kullanarak talepleri gönder'i seçin ve ardından İleri 'yi seçin.

Bu kural, ADFS 'yi Cisco Webex başka bir şekilde sağlamayan "spName niteleyicisi" özniteliğiyle sunar.

  1. Metin düzenleyicinizi açıp aşağıdaki içeriği kopyalayın.

    c: [Type = = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] = > sorun (tür = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", veren = c. Issuer, OriginalIssuer = c. OriginalIssuer, değer = c. Value, ValueType = c. ValueType, Özellikler ["http://schemas.xmlsoap.org/ws/2005/05/identity/ClaimProperties/format"] = "urn: Oasis: names: TC:: 2.0: nameid-Format: geçici", Özellikler ["http://schemas.xmlsoap.org/ws/2005/05/identity/ClaimProperties/NameQualifier"] = " <!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder--> Url1 <!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder--> ", Özellikler ["http://schemas.xmlsoap.org/ws/2005/05/identity/ClaimProperties/SPNameQualifier"] = " <!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder--> Url2 <!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder--> ");

    Metinde URL1 ve URL2 'i şu şekilde değiştirin:
    • URL1, INDIRDIĞINIZ ADFS meta veri dosyasından entityID.

      Örneğin, aşağıdakiler gördükleriniz için bir örnektir: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Yalnızca EntityId 'yi ADFS meta veri dosyasından kopyalayın ve metin dosyasına yapıştırın. URL1

    • URL2 , indirdiğiniz Cisco Webex meta veri dosyasının ilk satırında yer alır.

      Örneğin, aşağıdakiler gördükleriniz için bir örnektir: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Cisco Webex meta veri dosyasından yalnızca EntityId kopyalayın ve URL2 'i değiştirmek için metin dosyasına yapıştırın.

  2. Güncellenen URL 'lerle, kuralı metin düzenleyicinizden ("c:" öğesinden başlayarak) kopyalayın ve ADFS sunucunuzdaki özel kural kutusuna yapıştırın.

    Tamamlanan kural şuna benzemelidir:
  3. Kuralı oluşturmak için bitir 'i seçin ve talep kurallarını Düzenle penceresinden çıkın.

4

Ana penceredeki bağlı taraf güvenini seçin ve ardından sağ bölmedeki Özellikler 'i seçin .

5

Özellikler penceresi göründüğünde Gelişmiş sekmesine gidin, SHA-256 ve ardından değişikliklerinizi kaydetmek için Tamam 'ı seçin.

6

Dosyayı indirmek için dahili ADFS sunucusunda aşağıdaki URL 'ye göz atın: https://AD_FS_Server>/FederationMetadata/2007-06/federationmetadata.xml


 

Doğru biçimlendirilmiş XML dosyasını almak için sayfaya sağ tıklayıp sayfa kaynağına tıklamanız gerekebilir.

7

Dosyayı yerel sisteminize kaydedin.

Sonraki adım

ADFS meta verilerini yönetim portalından Cisco Webex geri almaya hazırsınız.

IDP meta verilerini içe aktarın ve bir testten sonra çoklu oturum açmayı etkinleştirin

Cisco Webex meta verilerini dışa aktarın, IDP 'nizi yapılandırın ve IDP meta verilerini yerel sisteminize indirin, bunu Control hub 'dan Cisco Webex kuruluşunuza aktarabilirsiniz.

Başlamadan önce

Kimlik sağlayıcı (IDP) arabiriminden SSO entegrasyonunu test etmeyin. Yalnızca hizmet sağlayıcı-başlatıldı (SP-başlatıldı) akışlarını destekliyoruz, bu nedenle bu entegrasyon için Control hub SSO test 'i kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızdaki Cisco Webex Control Hub-dizin meta verilerini dışa aktar sayfasına dönün ve ardından İleri 'ye tıklayın .
  • Control hub artık tarayıcı sekmesinde açık değilse, uygulamasındaki müşteri görünümünden https://admin.webex.comAyarlar 'a gidin, kimlik doğrulama 'ya gidin, üçüncü taraf kimlik sağlayıcısı 'nı (Gelişmiş) tümleştir 'yı seçinve ardından güvenilir meta veri dosyası sayfasında ileri 'ye tıklayın (Gelişmiş)
2

IDP meta verilerini Içe Aktar sayfasında, IdP meta veri dosyası sayfaya sürükleyip bırakın ya da meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

Meta veriler imzalanmadı, kendinden imzalı bir sertifikayla imzalandı veya özel bir kurumsal sertifika yetkilisi (CA) ile imzalanmışsa meta verisinde bir sertifika yetkilisi tarafından imzalanan sertifika gerektir 'i kullanmanızı öneririz (daha güvenli). Sertifika kendinden imzalıysa, daha az güvenli seçeneğini belirlemeniz gerekir .

3

Test SSO bağlantısı'nı seçin ve yeni bir tarayıcı sekmesi açıldığında IDP ile oturum açarak kimlik doğrulaması yapın.


 

Kimlik doğrulama hatası alırsanız kimlik bilgilerinde bir sorun olabilir. Kullanıcı adını ve parolayı kontrol edip tekrar deneyin.

Webex Teams bir hata genellikle SSO kurulum sorunu anlamına gelir. Bu durumda, özellikle kontrol hub 'ını IDP kurulumuna kopyalayıp yapıştırdığınız adımları tekrar adımları izleyin.

4

Control hub tarayıcı sekmesine dönün.

  • Test başarılı olduysa, Bu testi başarılı bir şekilde seçin. Çoklu oturum açma seçeneğini etkinleştirip İleri 'ye tıklayın .
  • Test başarısız olursa Bu test başarısız oldu öğesini seçin. Çoklu oturum açma seçeneğini devre dışı bırakın ve İleri 'ye tıklayın.

Sonraki adım

https://collaborationhelp.cisco.com/article/nqj88gt Kuruluşunuzdaki yeni Webex Teams kullanıcılarına gönderilmiş e-postaları devre dışı bırakmak Için otomatik e-postaların gizlenmelerini engellemek amacıyla bu prosedürü takip edebilirsiniz. Belge, kuruluşunuzdaki kullanıcılara iletişim göndermeyle ilgili en iyi uygulamaları da içerir.

AD FS 'de Cisco Webex bağlı olan taraf güvenini güncelleyin

Bu görev, AD FS 'nin Cisco Webex 'den yeni SAML meta verileri ile güncellenmesi için özellikle kullanılır. AD FS ile SSO yapılandırmanız gerekiyorsaveya Yeni Webex SSO sertifika Için SAML meta verilerine sahip bir IDP güncellemeniz gerekiyorsa ilgili makaleler vardır.

Başlamadan önce

AD FS 'de Cisco Webex bağlı olan taraf güvenini güncellemeden önce SAML meta veri dosyasını Control hub 'dan dışa aktarmanız gerekir.

1

AD FS sunucusunda yönetici izinleriyle oturum açın.

2

SAML meta veri dosyasını Webex AD FS sunucusundaki geçici yerel klasöre yükleyin; ör. //ADFS_servername/Temp/IDB-meta-<org-ID>-SP. xml.

3

PowerShell 'i açar.

4

Tüm bağlı taraf güvenlerini okumak Için-ADFSRelyingPartyTrust 'i çalıştırın.

Cisco Webex bağlı olan taraf güveninin TargetName parametresini not alın. "Cisco Webex" örneğini kullanırız, ancak AD FS 'niz içinde farklı olabilir.

5

Güncelleme-ADFSRelyingPartyTrust-metadatafıle "//ADFS_servername/Temp/IDB-meta-<org-ID>-SP. xml"-hedefadı "Cisco Webex"komutunu çalıştırın.

Dosya adı ve hedef adını ortamınızdaki doğru değerlerle ayarladığınızdan emin olun.

Bkz. https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Control hub 'da oturum açın ve ardından SSO entegrasyonu test edin:

  1. Ayarlar 'a gidipkimlik doğrulaması içinDeğiştir 'e tıklayın .

  2. Üçüncü taraf kimlik sağlayıcısı 'nı (Gelişmiş) entegre et 'i seçin ve İleri 'ye tıklayın.

  3. IDP meta verilerini içe aktar sayfasını atlamak için ileri 'ye tıklayın.

    Daha önce IDP meta verilerini içe aktardığınız için bu adımı tekrarlamanız gerekmez.

  4. Test SSO bağlantısına tıklayın.

    Yeni bir tarayıcı penceresi açılır, sizi IDP Challenge sayfasına yönlendirir.

  5. Testi tamamlamak için oturum açın.

ADFS sorun giderme

Windows günlüklerindeki ADFS hataları

Windows günlükleri 'nde, bir ADFS etkinlik günlüğü hata kodu 364 görebilirsiniz. Etkinlik ayrıntıları geçersiz bir sertifika tanımlar. Bu durumlarda, ADFS toplantı sahibine sertifika doğrulama 80 üzerindeki güvenlik duvarı üzerinden izin verilmez.

Federasyon KIMLIĞI

Federasyon KIMLIĞI büyük/küçük harfe duyarlıdır. Bu kuruluş e-posta adresiniz ise, bunu tam olarak ADFS ile gönderir veya Cisco Webex eşleşen kullanıcıyı bulamaz.

LDAP özniteliği gönderilmeden önce normalleştirilemez özel talep kuralı yazılamaz.

Ortamınızda kurduğunuz ADFS sunucusundan meta verilerinizi içe aktarın.

Gerekirse, hizmet > uç noktaları > meta veri > türüne ( ADFS yönetiminde Federasyon meta verileri) giderek URL 'yi doğrulayabilirsiniz.

Senkronizasyonu Başlatma

ADFS sunucunuzun sistem saatinin Ağ Saati Protokolü 'Nü (NTP) kullanan güvenilir bir Internet saat kaynağıyla senkronize edildiğinden emin olun. Aşağıdaki PowerShell komutunu kullanarak, yalnızca Cisco Webex bağlı olan taraf güven ilişkisinin saatini eğriltin.

Set-ADFSRelyingPartyTrust-Targetıdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3

Onaltılık değer ortamınız için benzersizdir. Lütfen değeri Cisco Webex meta veri dosyasında SP EntityDescriptor KIMLIK değerinden değiştirin. Örneğin:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">