Çoklu Oturum Açma ve Webex Control Hub

Çoklu oturum açma (SSO), kullanıcının bir veya daha fazla uygulamaya erişmek için kimlik bilgileri sağlamasına izin veren bir oturum veya kullanıcı kimlik doğrulama işlemidir. Bu işlem, kullanıcılara yetkileri olan tüm uygulamalar için kimlik doğrulaması yapar. Kullanıcılar belirli bir oturum sırasında başka bir uygulamaya geçtiğinde istemlerle karşılaşmaz.

Security Assertion Markup Language (SAML 2.0) Federasyon Protokolü, Cisco Webex bulut ile kimlik sağlayıcınız (IdP) arasında SSO kimlik doğrulaması sağlamak için kullanılır.

Profil

Cisco Webex yalnızca web tarayıcısı SSO profilini destekler. Web tarayıcısı SSO profilinde Cisco Webex aşağıdaki bağlamaları destekler:

  • Hizmet Sağlayıcısı tarafından başlatılan POST -> POST bağlama

  • Hizmet Sağlayıcısı tarafından başlatılan REDIRECT -> POST bağlama

NameID Format

SAML 2.0 Protokolü, belirli bir kullanıcı hakkında iletişim kurmak için çeşitli NameID formatlarını destekler. Cisco Webex aşağıdaki NameID formatlarını destekler.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP'nizden yüklediğiniz meta verilerdeki ilk giriş, Cisco Webex'te kullanılmak üzere yapılandırılır.

Çoklu Oturum Kapatma

Cisco Webex çoklu oturum kapatma profilini destekler. Cisco Webex uygulamasında bir kullanıcı uygulamadaki oturumu kapatabilir. Bunun için, oturumu sonlandırmak ve IdP'nizle oturum kapatmayı onaylamak amacıyla SAML çoklu oturum kapatma protokolü kullanılır. IdP'nizin Çoklu Oturum Kapatma için yapılandırıldığından emin olun.

Cisco Webex Control Hub'ı ADFS ile Entegre Etme


Yapılandırma kılavuzları, SSO entegrasyonu için belirli bir örnek gösterir ancak tüm olasılıklar için kapsamlı yapılandırma sağlamaz. Örneğin, nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient için entegrasyon adımları belgelenmiştir. urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified veya urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress gibi diğer formatlar SSO entegrasyonu için uygundur ancak bu dokümantasyon kapsamı dışındadır.

Cisco Webex kuruluşunuzdaki kullanıcılar için bu entegrasyonu kurun (Cisco Webex, Cisco Webex Meetings ve Cisco Webex Control Hub'da yönetilen diğer hizmetler dahil). Webex siteniz Cisco Webex Control Hub ile entegre edilmişse Webex sitesi kullanıcı yönetimini devralır. Bu yöntemle Cisco Webex Meetings'e erişemiyorsanız ve bu durum Cisco Webex Control Hub'da yönetilmiyorsa Cisco Webex Meetings için SSO'yu etkinleştirmek amacıyla ayrı bir entegrasyon yapmanız gerekir. (Site Yönetiminde SSO entegrasyonu hakkında daha fazla bilgi edinmek amacıyla Webex İçin Çoklu Oturum Açmayı Yapılandırma bölümüne bakın.)

ADFS'deki Kimlik Doğrulama mekanizmalarındaki yapılandırmaya bağlı olarak,Tümleşik Windows Kimlik Doğrulaması (IWA) varsayılan olarak etkinleştirilebilir. Etkinleştirilirse, Windows aracılığıyla başlatılan uygulamalar (ör. Webex ve Cisco Directory Connector), ilk e-posta istemi sırasında hangi e-posta adresinin girildiğine bakılmaksızın kullanıcı oturum açtığında kimlik doğrulaması yapar.

Yerel Sisteminize Cisco Webex Meta Verilerini İndirme

1

Müşteri görünümünden https://admin.webex.comAyarlar'a gidin ve ardından sayfayı Kimlik Doğrulama'ya kaydırın.

2

Değiştir'e ve üçüncü taraf kimlik sağlayıcıyı entegre et 'e tıklayın. (Gelişmiş) ve ardından İleri'ye tıklayın.

3

Meta veri dosyasını indirin.

Cisco Webex meta veri dosya adı: idb-meta-<org-ID>-SP.xml.

ADFS'de Cisco Webex Meta Verilerini Yükleme

Başlamadan önce

Cisco Webex Control Hub, ADFS 2.x veya üstü sürümleri destekler.

Windows 2008 R2 yalnızca ADFS 1.0'ı içerir. Microsoft’tan en az ADFS 2.x sürümünü yüklemelisiniz.

SSO ve Cisco Webex hizmetleri için kimlik sağlayıcıları (IdP'ler) aşağıdaki SAML 2.0 belirtimine uymalıdır:

  • NameID Format özniteliğini urn:oasis:names:tc:SAML:2.0:nameid-format:transient olarak ayarlayın

  • Cisco Directory Connector'da seçilen özniteliğe veya Cisco Webex kimlik hizmetinde seçilenle eşleşen kullanıcı özniteliğine eşlenen bir değerle uid özniteliği adını içerecek şekilde IdP'de bir talep yapılandırın. (Bu öznitelik E-posta Adresleri veya Kullanıcı Asıl Adı olabilir.) Daha fazla bilgi edinmek için https://www.cisco.com/go/hybrid-services-directory özel öznitelik bilgilerine bakın.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

ADFS Yönetimi konsolunu açın ve Güven İlişkileri > Bağlı Taraf Güvenleri > Bağlı Taraf Güveni Ekle yolunu izleyin.

3

Bağlı Taraf Güveni Ekle Sihirbazı penceresinden Başlat'ı seçin.

4

Veri Kaynağını Seç için Bağlı taraf hakkındaki verileri bir dosyadan içe aktar'ı seçin, indirdiğiniz Cisco Webex Control Hub Meta Verileri dosyasını bulun ve İleri'yi seçin.

5

Görünen Ad Belirt için, bu bağlı taraf güvenine yönelik olarak Cisco Webex gibi bir görünen ad oluşturun ve İleri'yi seçin.

6

Verme Yetkilendirme Kurallarını Seç için Tüm kullanıcıların bu bağlı tarafa erişmesine izin ver'i ve İleri'seçin.

7

Güven Eklemeye Hazır için İleri seçeneğini belirleyin ve ADFS'ye bağlı güven eklemeyi tamamlayın.

Cisco Webex'ten Kimlik Doğrulamaya İzin Vermek İçin Talep Kuralları Oluşturma

1

Ana ADFS bölmesinde, oluşturduğunuz güven ilişkisini ve ardından Talep Kurallarını Düzenle'yi seçin. Verme Aktarım Kuralları bölümünden Kural Ekle'yi seçin.

2

Kural Türünü Seç adımında LDAP Özniteliklerini Talep Olarak Gönder'i ve ardından İleri'yi seçin.

  1. Talep Kuralı Adı'nı girin.

  2. Öznitelik Deposu olarak Active Directory'ı seçin.

  3. E-posta Adresleri LDAP özniteliğini uid giden talep türü ile eşleyin.

    Bu kural, ADFS'ye bir kullanıcıyı tanımlamak için Cisco Webex ile hangi alanların eşleneceğini söyler. Giden talep türlerini tam olarak gösterildiği gibi yazın.

  4. Değişiklikleri kaydedin.

3

Tekrar Kural Ekle'yi seçin, Talepleri Özel Kural Kullanarak Gönder'i ve ardından İleri'yi seçin.

Bu kural ADFS'ye, Cisco Webex'in başka şekilde sağlamadığı "spname niteleyici" özniteliğini sağlar.

  1. Metin düzenleyicinizi açın ve aşağıdaki içeriği kopyalayın.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Metindeki URL1 ve URL2'yi aşağıdaki gibi değiştirin:
    • URL1, indirdiğiniz ADFS meta veri dosyasındaki entityID'dir.

      Örneğin, şuna benzer metinler göreceksiniz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS meta veri dosyasından yalnızca entityID’i kopyalayın ve URL1'i değiştirmek için metin dosyasına yapıştırın

    • URL2, indirdiğiniz Cisco Webex meta veri dosyasının ilk satırındadır.

      Örneğin, şuna benzer metinler göreceksiniz: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Cisco Webex meta veri dosyasından yalnızca entityID’yi kopyalayın ve URL2'yi değiştirmek için metin dosyasına yapıştırın.

  2. Güncellenen URL'ler ile birlikte kuralı metin düzenleyicinizden kopyalayın ("c:" den başlayarak) ve ADFS sunucunuzdaki özel kural kutusuna yapıştırın.

    Kural tamamlandığında aşağıdaki gibi görünmelidir:
  3. Kuralı oluşturmak için Bitir'i seçin ve ardından Talep Kurallarını Düzenle penceresinden çıkın.

4

Ana pencerede Bağlı Taraf Güveni'ni ve ardından sağ bölmeden Özellikler'i seçin.

5

Özellikler penceresi gösterildiğinde Gelişmiş sekmesi, SHA-256'ya gidin ve ardından değişikliklerinizi kaydetmek için Tamam'ı seçin.

6

Dosyayı indirmek için dahili ADFS sunucusunda şu URL'ye gidin: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Düzgün biçimlendirilmiş XML dosyasını almak için sayfaya sağ tıklamanız ve sayfa kaynağını görüntülemeniz gerekebilir.

7

Dosyayı yerel sisteminize kaydedin.

Sonraki adım

Artık ADFS meta verilerini yönetim portalından tekrar Cisco Webex'e aktarmaya hazırsınız.

IdP Meta Verilerini İçe Aktarma ve Testten Sonra Çoklu Oturum Açma Etkinleştirme

Cisco Webex meta verilerini dışa aktardıktan sonra IdP'nizi yapılandırın ve yerel sisteminize IdP meta verilerini indirin. Artık bu verileri Control Hub'dan Cisco Webex kuruluşunuza aktarmaya hazırsınız.

Başlamadan önce

Kimlik sağlayıcı (IdP) arayüzünden SSO entegrasyonunu test etmeyin. Yalnızca Hizmet Sağlayıcı tarafından başlatılan (SP tarafından başlatılan) akışları destekliyoruz. Bu nedenle, bu entegrasyon için Control Hub SSO testini kullanmanız gerekir.

1

Şunlardan birini tercih edin:

  • Tarayıcınızda Cisco Webex Control Hub’daki Dizin Meta Verilerini Dışa Aktar sayfasına geri dönün ve ardından İleri'ye tıklayın.
  • Control Hub tarayıcı sekmesinde açık değilse müşteri görünümünden https://admin.webex.comAyarlar'a gidip sayfayı Kimlik Doğrulama'ya kaydırın. Üçüncü taraf kimlik sağlayıcıyı entegre et (Gelişmiş) öğesini seçin ve ardından güvenilir meta veri dosyası sayfasında İleri'ye tıklayın (bunu zaten yaptınız).
2

IdP Meta Verilerini İçe Aktar sayfasında IdP meta veri dosyasını sayfaya sürükleyip bırakın veya meta veri dosyasını bulup yüklemek için dosya tarayıcı seçeneğini kullanın. İleri'ye tıklayın.

Meta veriler imzalanmamışsa, kendinden imzalı bir sertifika ile imzalanmışsa veya özel kurumsal sertifika yetkilisi (CA) tarafından imzalanmışsa, Meta Veriler'de sertifika yetkilisi tarafından imzalanmış bir sertifika gerektir seçeneğini kullanmanızı öneririz (daha güvenlidir). Sertifika kendinden imzalı ise daha az güvenli seçeneği belirlemeniz gerekir.

3

SSO Bağlantısını Test Et’i seçin ve yeni bir tarayıcı sekmesi açıldığında IdP ile oturum açarak kimliğinizi doğrulayın.


 

Kimlik doğrulamayla ilgili bir hatayla karşılaşırsanız oturum açma bilgilerinizi yanlış girmiş olabilirsiniz. Kullanıcı adı ve parolanızı kontrol edip tekrar deneyin.

Webex hatası, genellikle SSO kurulumuyla ilgili bir sorunla ilişkilidir. Bu durumda adımları, özellikle de Control Hub meta verilerini kopyalayıp IdP kurulumuna yapıştırmayla ilgili adımları tekrar uygulayın.

4

Control Hub tarayıcı sekmesine geri dönün.

  • Test başarıyla sonuçlandıysa Bu test başarılı oldu seçeneğini belirleyin. Çoklu Oturum Açma seçeneğini etkinleştirin ve İleri'ye tıklayın.
  • Test başarısız olduysa Bu test başarısız oldu seçeneğini belirleyin. Çoklu Oturum Açma seçeneğini devre dışı bırakın ve İleri'ye tıklayın.

Sonraki adım

Kuruluşunuzdaki yeni Webex kullanıcılarına gönderilen e-postaları devre dışı bırakmak için Otomatik E-postaları Engelle bölümündeki prosedürü takip edebilirsiniz. Belgede, kuruluşunuzdaki kullanıcılarla en iyi şekilde iletişime geçme yöntemlerini de bulabilirsiniz.

ADFS'de Cisco Webex Bağlı Taraf Güvenini Güncelleme

Bu görev, özellikle ADFS'yi Cisco Webex'teki yeni SAML meta verileriyle güncelleme hakkındadır. SSO'yu ADFS ile yapılandırma veya Yeni Webex SSO Sertifikası için SAML Meta Verileriyle (farklı bir) IdP'yi güncelleme hakkında da makaleler mevcuttur.

Başlamadan önce

ADFS'de Cisco Webex Bağlı Taraf Güveni'ni güncellemeden önce SAML meta veri dosyasını Control Hub'dan dışa aktarmanız gerekir.

1

Yönetici izinleriyle ADFS sunucusunda oturum açın.

2

Webex'teki SAML meta veri dosyasını ADFS sunucusundaki geçici yerel klasöre yükleyin. Örneğin, //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

PowerShell'i açın.

4

Tüm bağlı taraf güvenlerini okumak için Get-AdfsRelyingPartyTrust komutunu çalıştırın.

Cisco Webex bağlı taraf güveni TargetName parametresini not edin. Biz "Cisco Webex" örneğini kullanıyoruz ancak bu, sizin ADFS'nizde farklı olabilir.

5

Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex" komutunu çalıştırın.

Dosya adını ve hedef adını ortamınızdaki doğru değerlerle değiştirdiğinizden emin olun.

Bkz. https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust
6

Control Hub'da oturum açın, ardından SSO entegrasyonunu test edin:

  1. Ayarlar'a gidin, sayfayı Kimlik Doğrulama'ya kaydırın ve Düzenle'ye tıklayın.

  2. Üçüncü taraf kimlik sağlayıcısı entegre et (Gelişmiş) seçeneğini belirleyin ve İleri'ye tıklayın.

  3. IdP Meta Verilerini İçe Aktar sayfasını atlamak için İleri'ye tıklayın.

    Daha önce IdP meta verilerini içe aktardığınız için bu adımı tekrarlamanız gerekmez.

  4. SSO Bağlantısını Test Et’e tıklayın.

    Yeni bir tarayıcı penceresi açılır ve sizi IdP görev sayfasına yönlendirir.

  5. Test tamamlamak için oturum açın.

ADFS Sorun Giderme

Windows Günlüklerinde ADFS Sorunları

Windows günlüklerinde ADFS olay günlüğü hata kodu 364'ü görebilirsiniz. Olay ayrıntıları geçersiz bir sertifikayı tanımlar. Bu tür durumlarda ADFS ana bilgisayarının sertifikayı doğrulaması için 80 numaralı bağlantı noktasındaki güvenlik duvarını geçmesine izin verilmez.

Federasyon Kimliği

Federasyon Kimliği büyük/küçük harf duyarlıdır. Bu, sizin kurumsal e-posta adresiniz ise tam olarak ADFS'nin gönderdiği gibi girin. Aksi takdirde Cisco Webex eşleşen kullanıcıyı bulamaz.

LDAP özniteliği gönderilmeden bu özniteliği normalleştirmek için özel bir talep kuralı yazılamaz.

Meta verilerinizi ortamınızda kurduğunuz ADFS sunucusundan alın.

Gerekirse ADFS Yönetimi'nde Hizmet > Uç Noktalar > Meta Veriler > Tür: Federasyon Meta Verileri yolunu izleyerek URL'yi doğrulayabilirsiniz.

Senkronizasyonu Başlatma

ADFS sunucunuzun sistem saatinin, Ağ Zaman Protokolü'nü (NTP) kullanan güvenilir bir İnternet zaman kaynağıyla eşleştiğinden emin olun. Yalnızca Cisco Webex Bağlı Taraf Güveni ilişkisi için saati eğmek amacıyla aşağıdaki PowerShell komutunu kullanın.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Onaltılık değer, ortamınız için benzersizdir. Lütfen Cisco Webex meta veri dosyasında bulunan SP EntityDescriptor ID değerindeki değeri değiştirin. Örnek:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">