Єдиний вхід і центр керування

Єдиний вхід (SSO) – це процес автентифікації сеансу або користувача, який дає змогу надати облікові дані для доступу до однієї або кількох програм. Процес автентифікує користувачів для всіх додатків, на які їм надаються права. Він усуває подальші підказки, коли користувачі перемикають програми під час певного сеансу.

Протокол федерації «Мова розмітки тверджень безпеки» (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником посвідчень (IdP).

Профілі

Webex App підтримує лише профіль SSO веб-браузера. У профілі SSO веб-браузера Webex App підтримує такі прив'язки:

  • ІП ініціював прив'язку POST -> POST

  • СП ініціював ПЕРЕНАПРАВЛЕННЯ -> прив'язка ПОСТ

Формат nameID

Протокол SAML 2.0 підтримує кілька форматів NameID для спілкування про конкретного користувача. Webex App підтримує такі формати NameID.

  • urn: oasis: names: tc: SAML: 2. 0: назва- формат: transient

  • urn: oasis: names: tc: SAML: 1. 1: назва- формат: не заданий

  • urn:oasis:names:tc:SAML:1. 1:ім’я- формат:електронна адреса

У метаданих, які ви завантажуєте зі свого IdP, перший запис налаштовується для використання в Webex.

SingleLogout

Webex App підтримує єдиний профіль виходу. У Webex Appкористувач може вийти з програми, яка використовує протокол єдиного виходу SAML для завершення сеансу та підтвердження виходу за допомогою idP. Переконайтеся, що ваш IdP налаштовано для SingleLogout.

Інтегруйте Control Hub із ADFS.

Посібники з конфігурації показують конкретний приклад інтеграції SSO, але не надають вичерпної конфігурації для всіх можливостей. Наприклад, задокументовані кроки інтеграції для іменного формату urn:oasis:names:tc:SAML:2.0:nameid-format:transient . Інші формати, такі як урна:oasis:names:tc:SAML:1.1:nameid-format:unspecified або urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress працюватиме для інтеграції SSO, але виходить за рамки нашої документації.

Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи Webex App, Webex Meetingsта інші служби, що адмініструються в Control Hub). Якщо ваш вебекс-сайт інтегровано в Control Hub, веб-сайт успадковує керування користувачами. Якщо ви не можете отримати доступ до вебекс-зустрічей таким чином, а керування ними не здійснюється в Центрікерування, необхідно виконати окрему інтеграцію, щоб увімкнути єдиний вхід для вебекс-зустрічей. (Див. Налаштуйте єдиний вхід для Webex для отримання додаткової інформації про інтеграцію єдиного входу в адміністрування сайту.)

Залежно від того, що налаштовано в механізмах автентифікації в ADFS, за замовчуванням можна ввімкнути інтегровану автентифікацію Windows (IWA). Якщо цей параметр увімкнено, програми, які запускаються через Windows (як-от програма Webex і Cisco Directory Connector), автентифікуються як користувач, який ввійшов, незалежно від того, яку адресу електронної пошти буде введено під час початкового запиту електронної пошти.

Завантажте метадані Webex у свою локальну систему

1

У поданні клієнта перейдіть https://admin.webex.comдо розділу Керування > Параметриорганізації, а потім прокрутіть до пункту Автентифікація, а потім перемкніть параметр Єдиний вхід , щоб запустити майстер настроювання.

2

Виберіть тип сертифіката для своєї організації:

  • Самопідписаний Cisco — ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано загальнодоступним центром сертифікації. Більш безпечний, але вам доведеться часто оновлювати метадані (якщо ваш постачальник IdP не підтримує прив’язки довіри).

Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.

3

Завантажте файл метаданих.

Ім’я файлу метаданих Webex — idb-meta--SP.xml.

Установити метадані Webex у ADFS

Перед початком

Control Hub підтримує ADFS 2.x або пізнішої версії.

Windows 2008 R2 включає тільки ADFS 1.0. Необхідно встановити щонайменше ADFS 2.x із Microsoft.

Для служб SSO й Webex постачальники ідентифікаційних даних (IdP) повинні відповідати такій специфікації SAML 2.0:

  • Установіть атрибут формату ідентифікатора імені для urn:oasis:names:tc:SAML:2.0:nameid-format:тимчасовий

  • Налаштуйте запит на IdP, щоб включити ім’я атрибута uid зі значенням, зіставленим із атрибутом, вибраним в Cisco Directory Connector, або атрибутом користувача, який збігається з атрибутом, вибраним в службі ідентифікації Webex. (Наприклад, цей атрибут може бути адреси електронної пошти або ім’я користувача-основний-ім’я.) Щоб побачити інструкції, зверніться до інформації про користувацький атрибут у розділі https://www.cisco.com/go/hybrid-services-directory .

1

Увійдіть на сервер ADFS за допомогою дозволів адміністратора.

2

Відкрийте консоль керування ADFS і перейдіть у розділ Відносини довіри > Довіри сторін, що покладаються > Додати довіру сторін, що покладаються.

3

У вікні майстра довіри залежних сторін виберіть Почати.

4

Щоб вибрати джерело даних , виберіть Імпорт даних про прив’язану сторону з файлу, перейдіть до завантаженого файлу метаданих Control Hub і натисніть Далі.

5

Щоб задати відображуване ім’я, створіть відображуване ім’я для цієї довіри сторони, як-от Webex , і виберіть Далі.

6

Щоб вибрати правила авторизації видачі, виберіть Дозволити всім користувачам доступ до цієї сторони, яка покладається, а потім Далі.

7

Щоб Готово додати довіру, виберіть Далі і завершіть додавання довіри, що покладається, до ADFS.

Створити правила резервування для автентифікації Webex

1

На головній панелі ADFS виберіть створені відносини довіри, а потім Змінити правила резервування. На вкладці Правила перетворення емісії виберіть Додати правило.

2

На кроці Вибрати тип правила виберіть Надіслати атрибути LDAP як запити, а потім Далі.

  1. Введіть ім’я правила резервування.

  2. Виберіть Active Directory як сховище атрибутів.

  3. Зіставте атрибут LDAP Адреси електронної пошти з типом вихідного запиту uid .

    Це правило повідомляє ADFS, які поля зіставити з Webex, щоб ідентифікувати користувача. Напишіть типи вихідних запитів точно так, як показано.

  4. Збережіть зміни.

3

Виберіть Додати правило ще раз, Надіслати запити за допомогою користувацького правила, а потім Далі.

"Це правило надає ADFS атрибут ""spname qualifier"", який Webex в іншому випадку не надає."

  1. Відкрийте текстовий редактор і скопіюйте наступний контент.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Емітент = c.Емітент, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Замініть URL1 та URL2 у тексті так:

    • URL1 є ідентифікатором запису з завантаженого вами файлу метаданих ADFS.

      Наприклад, нижче наведено зразок того, що ви бачите: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Скопіюйте лише ідентифікатор запису з файлу метаданих ADFS і вставте його в текстовий файл, щоб замінити URL1.

    • URL2 знаходиться на першому рядку завантаженого вами файлу метаданих Webex.

      Наприклад, нижче наведено зразок того, що ви бачите: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Просто скопіюйте ідентифікатор запису з файлу метаданих Webex і вставте його в текстовий файл, щоб замінити URL2.

  2. З оновленими URL-адресами скопіюйте правило з текстового редактора (починаючи з "c:") і вставте його в поле користувацьких правил на сервері ADFS.

    Виконане правило має виглядати так:

  3. Виберіть Готово , щоб створити правило, а потім вийдіть із вікна редагування правил резервування.

4

Виберіть Довіряти стороні в головному вікні, а потім Властивості на правій панелі.

5

Коли з’явиться вікно властивостей, перейдіть на вкладку Розширені , SHA-256 , а потім натисніть OK , щоб зберегти зміни.

6

Щоб завантажити файл, перейдіть за такою URL-адресою на внутрішньому сервері ADFS: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Можливо, вам знадобиться клацнути правою кнопкою миші на сторінці й переглянути джерело сторінки, щоб отримати належним чином відформатований файл XML.

7

Збережіть файл на локальному комп’ютері.

Що далі

Ви готові імпортувати метадані ADFS назад у Webex із порталу керування.

Імпорт метаданих IdP та ввімкнення єдиного входу після тесту

Після експорту метаданих Webex , настроювання ідентифікатора та завантаження метаданих IdP до локальної системи можна імпортувати їх до своєї організації Webex із Центрукерування.

Перш ніж почати

Не тестуйте інтеграцію SSO з інтерфейсу постачальника посвідчень (IdP). Ми підтримуємо потоки, ініційовані лише постачальником послуг (ініційовані SP), тому для цієї інтеграції необхідно використовувати тест SSO Control Hub .

1

Виберіть один із варіантів:

  • Поверніться на сторінку вибору сертифіката в браузері, а потім клацніть Далі.
  • Якщо Control Hub більше не відкривається в вкладці браузера, з подання клієнта в https://admin.webex.com перейдіть до Керування > Налаштування організації, прокрутіть до Автентифікація, а потім виберіть Дії > Імпорт метаданих.
2

На сторінці "Імпорт метаданих idP" перетягніть файл метаданих IdP на сторінку або скористайтеся параметром файлового браузера, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати опцію «Більш безпечний », якщо можете. Це можливо лише в тому випадку, якщо ваш IdP використовував загальнодоступний ЦС для підпису своїх метаданих.

У всіх інших випадках необхідно використовувати опцію «Менш безпечний ». Це стосується випадків, коли метадані не підписані, не підписані самостійно або не підписані приватним ЦС.

Okta не підписує метадані, тому ви повинні вибрати Менш безпечний для інтеграції Okta SSO.

3

Виберіть Тестове налаштування SSO й, коли відкриється нова вкладка браузера, автентифікуйтеся за допомогою IdP, увійшовши.

Якщо з'являється повідомлення про помилку автентифікації, можливо, виникла проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Цей крок зупиняє помилкові спрацьовування через маркер доступу, який може бути в наявному сеансі від входу.

4

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть єдиний вхід і натисніть Кнопку Далі.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Вимкніть єдиний вхід і натисніть кнопку Далі.

Конфігурація єдиного входу не набирає чинності у вашій організації, якщо не вибрати першу перемикач і не активувати єдиний вхід.

Що далі

Використовуйте процедури, описані в розділі Синхронізація користувачів Okta з Cisco Webex Control Hub, якщо ви хочете виконати підготовку користувачів з Okta в хмару Webex.

Використовуйте процедури, описані в розділі Синхронізація користувачів Azure Active Directory з Cisco Webex Control Hub, якщо потрібно виконати підготовку користувачів з Azure AD у хмарі Webex.

Щоб вимкнути електронні листи, які надсилаються новим користувачам програми Webex у вашій організації, можна виконати процедуру в розділі Блокувати автоматизовані електронні листи . Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Оновити довіру сторін, які покладаються на Webex у ADFS

Це завдання спеціально стосується оновлення ADFS новими метаданими SAML з Webex. Є пов'язані статті, якщо вам потрібно налаштувати єдиний вхід за допомогою ADFSабо якщо вам потрібно оновити (інший) IdP з метаданими SAML для нового сертифікатаWebex SSO.

Перш ніж почати

Перш ніж оновити довіру сторін Webex у ADFS, потрібно експортувати файл метаданих SAML з Control Hub.

1

Увійдіть на сервер ADFS за допомогою дозволів адміністратора.

2

Передайте файл метаданих SAML із Webex у тимчасову локальну папку на сервері ADFS, наприклад //ADFS_servername/temp/idb-meta--SP.xml.

3

Відкрийте Powershell.

4

Запустіть Get-AdfsRelyingPartyTrust , щоб прочитати всі довіри сторін, що покладаються.

Зверніть увагу на параметр TargetName довіри сторони, що покладаються на Webex. Ми використовуємо приклад "Webex", але у вашій ADFS він може відрізнятися.

5

Запустіть Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Обов'язково замініть ім'я файлу та цільове ім'я на правильні значення з вашого середовища.

Див. https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Якщо ви завантажили 5-річний сертифікат Webex SP і ввімкнули функцію підписання або відкликання сертифіката шифрування, потрібно виконати ці дві команди: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex".

6

Увійдіть до Control Hub, потім перевірте інтеграцію SSO:

  1. Перейдіть до розділу Керування > Параметриорганізації, прокрутіть до пункту Автентифікаціята встановіть перемикач Параметр Єдиний вхід , щоб запустити майстер настроювання.

  2. Натисніть кнопку Далі , щоб пропустити сторінку Імпорт метаданих ідентифікатора.

    Вам не потрібно повторювати цей крок, оскільки ви раніше імпортували метадані IdP.

  3. Перевірте підключення єдиного входу, перш ніж його ввімкнути. На цьому кроці виконується пробний запуск, що не впливає на налаштування вашої організації, поки не буде ввімкнено SSO на наступному кроці.

    Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

  4. Увійдіть, щоб завершити тест.

Усунення несправностей ADFS

Помилки ADFS у журналах Windows

У журналах Windows можна побачити код помилки журналу події ADFS 364. Деталі події ідентифікують недійсний сертифікат. У цих випадках хост ADFS не дозволяється через брандмауер на порту 80 перевіряти сертифікат.

Сталася помилка під час спроби створити ланцюжок сертифікатів для довіри залежної сторони.

Під час оновлення сертифіката SSO під час входу може виникнути така помилка: Неприпустимий код стану у відповіді.

Якщо ви побачите цю помилку, перевірте журнали засобу перегляду подій на сервері ADFS і знайдіть вказану далі помилку: Сталася помилка під час спроби побудувати ланцюжок сертифікатів для довіри надійної сторони 'https://idbroker.webex.com/<org-ID>' сертифікат, ідентифікований відбитком '754B9208 F1F75C5CC122740F3675C5D129471D80'. Можливими причинами є відкликання сертифіката, не вдалося перевірити ланцюжок сертифікатів, як визначено параметрами відкликання сертифіката шифрування довіреної сторони, або сертифікат не перебуває в межах строку дії.

Якщо станеться ця помилка, ви повинні виконати команди Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -ШифруванняCertificateRevocationCheck None

Ідентифікатор федерації

Ідентифікатор федерації має значення з урахуванням регістру. Якщо це ваша адреса електронної пошти організації, введіть її точно так, як надсилає ADFS, або Webex не може знайти відповідного користувача.

Користувацьке правило резервування не може бути записано для нормалізації атрибута LDAP перед його надсиланням.

Імпортуйте метадані з сервера ADFS, який ви налаштували у вашому середовищі.

За потреби можна перевірити URL-адресу, перейшовши до меню Служба > Кінцеві пристрої > Метадані > Тип:Метадані федерації в управлінні ADFS.

Синхронізація часу

Переконайтеся, що системний годинник сервера ADFS синхронізовано з надійним джерелом часу в Інтернеті, яке використовує протокол мережевого часу (NTP). Використовуйте наведену далі команду PowerShell, щоб змінити годинник тільки для відносин довіри сторін Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Шістнадцяткове значення унікальне для вашого середовища. Замініть значення з значення ідентифікатора об’єкта SP EntityDescriptor у файлі метаданих Webex. Наприклад:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">