- Çoklu oturum açma ve Webex Control Hub
- SingleLogout
- Cisco Webex Control Hub ADFS ile Tümleştir
- Cisco Webex meta verilerini yerel sisteminize indirin
- ADFS 'de Cisco Webex meta verileri yükleme
- Cisco Webex 'den kimlik doğrulamasına Izin veren talep kuralları oluşturma
- IDP meta verilerini içe aktarın ve bir testten sonra çoklu oturum açmayı etkinleştirin
- AD FS 'de Cisco Webex bağlı olan taraf güvenini güncelleyin
- ADFS sorun giderme
Çoklu oturum açma ve Webex Control Hub
Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgilerini sağlamasına izin veren oturum veya Kullanıcı kimlik doğrulaması işlemidir. İşlem, haklarının verildiği tüm uygulamalar için kullanıcıların kimliğini doğrular. Kullanıcılar belirli bir oturum sırasında uygulamalara geçiş yaparken diğer istemleri ortadan kaldırır.
Güvenlik Onayı Biçimlendirme Dili (SAML 2,0) Federasyon Protokolü, Cisco Webex bulut ile kimlik sağlayıcınız (IDP) arasında SSO kimlik doğrulaması sağlamak için kullanılır.
Profil
Cisco Webex Teams yalnızca Web tarayıcısı SSO profilini destekler. Web tarayıcısında SSO profil Cisco Webex Teams aşağıdaki bağlamaları destekler:
-
SP tarafından başlatılan > sonrası sonrası bağlama
-
SP tarafından başlatılan yeniden yönlendirme-> SONRASı bağlama
NameID Format
SAML 2,0 protokolü, belirli bir kullanıcı hakkında iletişim kurmak için birkaç NameID biçimini destekler. Cisco Webex Teams aşağıdaki NameID biçimlerini destekler.
-
urn: Oasis: names: TC: SAML: 2.0: nameid-Format: geçici
-
urn: Oasis: names: TC: SAML: 1.1: NameID-Format: belirtilmemiş
-
urn: Oasis: names: TC: SAML: 1.1: nameid-Format: EpostaAdresi
IDP 'den yüklenen meta verilerde, ilk giriş Cisco Webex 'da kullanım için yapılandırılmıştır.
SingleLogout
Cisco Webex Teams tek oturum kapatma profilini destekler. Cisco Webex Teams uygulamasında, Kullanıcı oturumu sonlandırmak ve IDP 'niz ile oturum açmayı onaylamak için SAML tekli oturum kapatma protokolünü kullanan uygulamada oturumu kapatamaz. IDP 'nizin SingleLogout için yapılandırıldığından emin olun.
Cisco Webex Control Hub ADFS ile Tümleştir
Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, NameID-Format urn: Oasis: names: TC: SAML: 2.0: NameID-Format: geçici olarak belgelenmiştir. Urn: Oasis: names: TC: SAML: 1.1: NameID-Format: belirtilmemiş veya urn: Oasis: names: TC: SAML: 1.1: nameid-format SSO: |
Cisco Webex kuruluşunuzdaki kullanıcılar için bu entegrasyonu (Cisco Webex Teams, Cisco Webex Meetings ve Cisco Webex Control Hub yönetilen diğer hizmetler dahil) ayarlayın. Webex siteniz Cisco Webex Control Hub tümleşikse Webex sitesi kullanıcı yönetimini devralır. Bu şekilde Cisco Webex Meetings erişemazsanız ve Cisco Webex Control Hub yönetilmediğinde Cisco Webex Meetings SSO etkinleştirmek için ayrı bir entegrasyon yapmanız gerekir. (Bkz . Site yönetimi SSO entegrasyonunda daha fazla bilgi için Webex Için çoklu oturum açmayı yapılandırın.)
ADFS 'deki kimlik doğrulama düzeneklerinden yapılandırılan şeye bağlı olarak, entegre Windows kimlik doğrulaması (ıWA) varsayılan olarak etkinleştirilebilir. Etkinleştirilirse, Windows üzerinden başlatılan uygulamalar (Webex Teams ve Cisco Dizin Bağlayıcı gibi), ilk e-posta istemi sırasında girilen e-posta adresi ne olursa olsun oturum açmış olan kullanıcı tarafından kimlik doğrulaması yapılır.
Cisco Webex meta verilerini yerel sisteminize indirin
1 |
Uygulamasındaki müşteri görünümünden https://admin.webex.comAyarlar 'a gidin ve ardından kimlik doğrulama 'ya gidin. |
2 |
Değiştir'e tıklayın, 3. taraf kimlik sağlayıcısını tümleştir 'ya tıklayın. (Gelişmiş)ve ardından İleri 'ye tıklayın. |
3 |
Meta veri dosyasını indirin. Cisco Webex meta veri dosyası IDB-meta-<org-ID>-SP. xml ' dir. |
ADFS 'de Cisco Webex meta verileri yükleme
Başlamadan önce
Cisco Webex Control Hub, ADFS 2. x veya sonrasını destekler.
Windows 2008 R2 yalnızca ADFS 1,0 içerir. Microsoft 'dan en az ADFS 2. x yüklemeniz gereklidir.
SSO ve Cisco Webex Hizmetleri için kimlik sağlayıcılarının (IDPs) aşağıdaki SAML 2,0 belirtimine uyması gerekir:
-
NameID Format özniteliğini urn: Oasis: names: TC: SAML: 2.0: nameid-Format: geçici olarak ayarlama
-
Cisco Dizin Bağlayıcı veya Cisco Webex kimlik hizmeti seçilen kullanıcı özniteliği için seçilen öznitelikle eşlenen bir değere sahip uid öznitelik adını dahil etmek Için IDP 'de bir talep yapılandırın. (Örneğin, bu öznitelik E-posta adresi veya Kullanıcı-sorumlu adı olabilir.) Kılavuz için bkz. özel öznitelik bilgileri https://www.cisco.com/go/hybrid-services-directory .
1 |
ADFS sunucusunda yönetici izinleriyle oturum açın. |
2 |
ADFS yönetim konsolunu açıp . |
3 |
Bağlı taraf güveni Ekleme Sihirbazı penceresinde, Başlat 'ı seçin . |
4 |
Seçme veri kaynağı içinbir dosyadan bağlı olan taraf hakkındaki verileri içe aktar'ı seçin, indirdiğiniz Cisco Webex Control hub meta veri dosyasına gözatın ve ileri 'yi seçin . |
5 |
Görünen adı belirtmek için, Cisco Webex gibi bu bağlı taraf güveni için bir görünen ad oluşturun ve ileri 'yi seçin. |
6 |
Verme yetkilendirme kurallarını seçin içintüm kullanıcıların bu bağlı tarafa erişmesine izin ver 'i seçinve ileri 'yi seçin. |
7 |
Güven eklemeye hazır olmak içinİleri 'yi ve ardından bağlı güveni ADFS 'ye eklemeyi bitirin. |
Cisco Webex 'den kimlik doğrulamasına Izin veren talep kuralları oluşturma
1 |
Ana ADFS bölmesinde, oluşturduğunuz güven ilişkisini seçin ve ardından talep kurallarını Düzenle 'yi seçin. Verme dönüştürme kuralları sekmesinde kural ekle 'yi seçin . |
||
2 |
Kural türünü seçin adımında LDAP özniteliklerini talep olarak gönder'i seçin ve ardından İleri 'yi seçin . ![]() |
||
3 |
Kuralı tekrar Ekle 'yi seçin, özel bir kural kullanarak talepleri gönder'i seçin ve ardından İleri 'yi seçin. Bu kural, ADFS 'yi Cisco Webex başka bir şekilde sağlamayan "spName niteleyicisi" özniteliğiyle sunar. |
||
4 |
Ana penceredeki bağlı taraf güvenini seçin ve ardından sağ bölmedeki Özellikler 'i seçin . |
||
5 |
Özellikler penceresi göründüğünde Gelişmiş sekmesine gidin, SHA-256 ve ardından değişikliklerinizi kaydetmek için Tamam 'ı seçin. |
||
6 |
Dosyayı indirmek için dahili ADFS sunucusunda aşağıdaki URL 'ye göz atın: https://AD_FS_Server>/FederationMetadata/2007-06/federationmetadata.xml
|
||
7 |
Dosyayı yerel sisteminize kaydedin. |
Sonraki adım
ADFS meta verilerini yönetim portalından Cisco Webex geri almaya hazırsınız.
IDP meta verilerini içe aktarın ve bir testten sonra çoklu oturum açmayı etkinleştirin
Cisco Webex meta verilerini dışa aktarın, IDP 'nizi yapılandırın ve IDP meta verilerini yerel sisteminize indirin, bunu Control hub 'dan Cisco Webex kuruluşunuza aktarabilirsiniz.
Başlamadan önce
Kimlik sağlayıcı (IDP) arabiriminden SSO entegrasyonunu test etmeyin. Yalnızca hizmet sağlayıcı-başlatıldı (SP-başlatıldı) akışlarını destekliyoruz, bu nedenle bu entegrasyon için Control hub SSO test 'i kullanmanız gerekir.
1 |
Şunlardan birini tercih edin:
|
||
2 |
IDP meta verilerini Içe Aktar sayfasında, IdP meta veri dosyası sayfaya sürükleyip bırakın ya da meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın. Meta veriler imzalanmadı, kendinden imzalı bir sertifikayla imzalandı veya özel bir kurumsal sertifika yetkilisi (CA) ile imzalanmışsa meta verisinde bir sertifika yetkilisi tarafından imzalanan sertifika gerektir 'i kullanmanızı öneririz (daha güvenli). Sertifika kendinden imzalıysa, daha az güvenli seçeneğini belirlemeniz gerekir . |
||
3 |
Test SSO bağlantısı'nı seçin ve yeni bir tarayıcı sekmesi açıldığında IDP ile oturum açarak kimlik doğrulaması yapın.
|
||
4 |
Control hub tarayıcı sekmesine dönün.
|
Sonraki adım
https://collaborationhelp.cisco.com/article/nqj88gt Kuruluşunuzdaki yeni Webex Teams kullanıcılarına gönderilmiş e-postaları devre dışı bırakmak Için otomatik e-postaların gizlenmelerini engellemek amacıyla bu prosedürü takip edebilirsiniz. Belge, kuruluşunuzdaki kullanıcılara iletişim göndermeyle ilgili en iyi uygulamaları da içerir.
AD FS 'de Cisco Webex bağlı olan taraf güvenini güncelleyin
Başlamadan önce
AD FS 'de Cisco Webex bağlı olan taraf güvenini güncellemeden önce SAML meta veri dosyasını Control hub 'dan dışa aktarmanız gerekir.
1 |
AD FS sunucusunda yönetici izinleriyle oturum açın. |
2 |
SAML meta veri dosyasını Webex AD FS sunucusundaki geçici yerel klasöre yükleyin; ör. |
3 |
PowerShell 'i açar. |
4 |
|
5 |
Dosya adı ve hedef adını ortamınızdaki doğru değerlerle ayarladığınızdan emin olun. Bkz. https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust. |
6 |
Control hub 'da oturum açın ve ardından SSO entegrasyonu test edin: |
ADFS sorun giderme
Windows günlüklerindeki ADFS hataları
Windows günlükleri 'nde, bir ADFS etkinlik günlüğü hata kodu 364 görebilirsiniz. Etkinlik ayrıntıları geçersiz bir sertifika tanımlar. Bu durumlarda, ADFS toplantı sahibine sertifika doğrulama 80 üzerindeki güvenlik duvarı üzerinden izin verilmez.
Federasyon KIMLIĞI
Federasyon KIMLIĞI büyük/küçük harfe duyarlıdır. Bu kuruluş e-posta adresiniz ise, bunu tam olarak ADFS ile gönderir veya Cisco Webex eşleşen kullanıcıyı bulamaz.
LDAP özniteliği gönderilmeden önce normalleştirilemez özel talep kuralı yazılamaz.
Ortamınızda kurduğunuz ADFS sunucusundan meta verilerinizi içe aktarın.
Gerekirse,
ADFS yönetiminde Federasyon meta verileri) giderek URL 'yi doğrulayabilirsiniz.Senkronizasyonu Başlatma
ADFS sunucunuzun sistem saatinin Ağ Saati Protokolü 'Nü (NTP) kullanan güvenilir bir Internet saat kaynağıyla senkronize edildiğinden emin olun. Aşağıdaki PowerShell komutunu kullanarak, yalnızca Cisco Webex bağlı olan taraf güven ilişkisinin saatini eğriltin.
Set-ADFSRelyingPartyTrust-Targetıdentifier "https://idbroker.webex.com/$ENTITY _ID_HEX_VALUE"-NotBeforeSkew 3
Onaltılık değer ortamınız için benzersizdir. Lütfen değeri Cisco Webex meta veri dosyasında SP EntityDescriptor KIMLIK değerinden değiştirin. Örneğin:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">