- Головна
- /
- Стаття
Можна налаштувати інтеграцію єдиного входу (SSO) між Control Hub і розгортанням, яке використовує служби об’єднання Active Directory (ADFS 2.x або новішої версії) як постачальника посвідчень (IdP).
Центр єдиного входу та керування
Єдиний вхід (SSO) - це сеанс або процес автентифікації користувача, який дозволяє користувачеві надавати облікові дані для доступу до однієї або декількох програм. Процес автентифікації користувачів для всіх додатків, на які їм надані права. Це виключає подальші підказки, коли користувачі змінюють програми під час певного сеансу.
Протокол Федерації мови розмітки тверджень безпеки (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником ідентифікаційних даних (IdP).
Профілі
Webex App підтримує лише профіль SSO веб-браузера. У профілі SSO веб-браузера додаток Webex підтримує такі прив 'язки:
SP ініціював ПОСТ -> зв 'язування ПОСТІВ
SP ініціював ПЕРЕНАПРАВЛЕННЯ -> прив 'язка до ПУБЛІКАЦІЇ
Формат NameID
Протокол SAML 2.0 підтримує декілька форматів NameID для спілкування про конкретного користувача. Webex App підтримує наступні формати NameID.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
У метаданих, які ви завантажуєте з вашого IdP, перший запис налаштовано для використання в Webex.
Єдиний вихід
Програма Webex підтримує профіль єдиного виходу. У програмі Webex користувач може вийти з програми, яка використовує протокол єдиного виходу SAML, щоб завершити сеанс і підтвердити вихід за допомогою вашого IdP. Переконайтеся, що ваш IdP налаштований для єдиного виходу.
Інтегруйте Control Hub з ADFS
У посібниках із налаштування не описується налаштування всіх можливих конфігурацій, а наведено лише конкретний приклад інтеграції SSO. Наприклад, задокументовано дії для інтеграції |
Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи Webex App, Webex Meetings та інші служби, адмініструвані в Control Hub). Якщо ваш сайт Webex інтегрований в Control Hub, сайт Webex успадковує управління користувачами. Якщо ви не можете отримати доступ до Webex Meetings таким чином, і він не керується в Control Hub, ви повинні зробити окрему інтеграцію, щоб увімкнути SSO для Webex Meetings. (Див. Налаштування єдиного входу для Webex для отримання додаткової інформації про інтеграцію SSO в Адміністрацію сайту.)
Залежно від того, що налаштовано в механізмах автентифікації в ADFS, інтегровану автентифікацію Windows (IWA) можна ввімкнути за замовчуванням. Якщо цей параметр увімкнено, програми, які запускаються через Windows (наприклад, Webex App і Cisco Directory Connector), автентифікуються як користувач, який увійшов у систему, незалежно від того, яку адресу електронної пошти було введено під час початкового електронного запиту.
Завантажте метадані Webex у локальну систему
1. | У вікні клієнта перейдіть до розділу https://admin.webex.com" , а потім перейдіть до пункту "Аутентифікація", а потім увімкніть параметр "Єдиний вхід", щоб запустити майстер налаштування. | ||
2. | Виберіть тип сертифіката для вашої організації:
| ||
3. | Завантажте файл метаданих. Назва файлу метаданих Webex - idb-meta-<org-ID>-SP.xml. |
Установіть метадані Webex в ADFS
Перш ніж почати
Control Hub підтримує ADFS версії 2.x або пізнішої.
Windows 2008 R2 містить лише ADFS 1.0. Необхідно встановити принаймні ADFS 2.x від Microsoft.
Для SSO та служб Webex постачальники ідентифікаційних даних (IdP) повинні відповідати такій специфікації SAML 2.0:
Установіть для атрибута формату NameID значення urn: oasis:names:tc:SAML:2.0:nameid-format:transient.
Налаштуйте заявку на постачальника посвідчень, щоб включити uid ім’я атрибута зі значенням, яке зіставлено з атрибутом, вибраним у Cisco Directory Connector або атрибутом користувача, що збігається з атрибутом, вибраним у службі ідентифікації Webex. (Наприклад, таким атрибутом може бути E-mail-Addresses або User-Principal-Name.) Див. інформацію про користувацький атрибут уhttps://www.cisco.com/go/hybrid-services-directory для інструкції.
1. | Увійдіть на сервер ADFS з дозволами адміністратора. |
2. | Відкрийте консоль керування ADFS і перейдіть до . |
3. | З Додати майстер довіри перевіряючої сторони вікно, виберіть Почати . |
4. | Для Виберіть Джерело даних виберіть Імпортуйте дані про перевіряючу сторону з файлу , перейдіть до файлу метаданих Control Hub, який ви завантажили, і виберіть Далі . |
5. | Для Укажіть відображуване ім’я , створіть відображуване ім’я для цієї довіри перевіряючої сторони, наприклад Webex і виберіть Далі . |
6. | Для Виберіть Правила авторизації випуску , виберіть Дозволити всім користувачам доступ до цієї довіреної сторони і виберіть Далі . |
7. | Для Готово додати довіру , виберіть Далі і завершите додавання повіреної довіри до ADFS. |
Створіть правила заявки для автентифікації Webex
1. | На головній панелі ADFS виберіть довірчі відносини, які ви створили, а потім виберіть Змінити правила запиту . На вкладці Правила перетворення випуску виберіть Додати правило . | ||
2. | На кроці Вибрати тип правила виберіть Надіслати атрибути LDAP як вимоги , а потім виберіть Далі . | ||
3. | Виберіть Додати правило знову, виберіть Надсилайте запити за допомогою користувацького правила , а потім виберіть Далі . Це правило надає ADFS атрибут кваліфікатора імені SP, який Webex не надає. | ||
4. | Виберіть Довіра перевіряючої сторони в головному вікні, а потім виберіть Властивості на правій панелі. | ||
5. | Коли з’явиться вікно властивостей, перейдіть до розділу Розширений вкладка, SHA-256 а потім виберіть OK , щоб зберегти зміни. | ||
6. | Щоб завантажити файл, перейдіть за такою URL-адресою на внутрішньому сервері ADFS: https://< AD_ FS_ Сервер >/FederationMetadata/2007-06/FederationMetadata.xml
| ||
7. | Збережіть файл на локальному комп’ютері. |
Що далі
Ви готові імпортувати метадані ADFS назад у Webex із порталу керування.
Імпортуйте метадані IdP та увімкніть єдиний вхід після тесту
Після експорту метаданих Webex, налаштування вашого IdP та завантаження метаданих IdP до вашої локальної системи, ви готові імпортувати їх до вашої організації Webex з Control Hub.
Перш ніж почати
Не перевіряйте інтеграцію SSO з інтерфейсом постачальника ідентифікаційних даних (IdP). Ми підтримуємо лише потоки, ініційовані постачальником послуг (SP-ініційовані), тому ви повинні використовувати тест SSO Control Hub для цієї інтеграції.
1. | Виберіть один із варіантів:
| ||||
2. | На сторінці Імпорт метаданих IdP або перетягніть файл метаданих IdP на сторінку, або скористайтеся параметром переглядача файлів, щоб знайти та завантажити файл метаданих. Клацніть Далі. Ви повинні використовувати більш безпечний варіант, якщо ви можете. Це можливо лише в тому випадку, якщо ваш IdP використовував публічний ЦС для підписання своїх метаданих. У всіх інших випадках ви повинні використовувати менш безпечний варіант. Це включає випадки, коли метадані не підписані, самопідписані або підписані приватним ЦС.
| ||||
3. | Виберіть Test SSO setup (Тестування налаштування SSO), а коли відкриється нова вкладка браузера, аутентифікуйтеся за допомогою IdP, увійшовши в обліковий запис.
| ||||
4. | Поверніться на вкладку браузера Control Hub.
|
Що далі
Використовуйте процедури синхронізації користувачів Okta в Cisco Webex Control Hub, якщо ви хочете виконати підготовку користувачів з Okta в хмарі Webex.
Використовуйте процедури синхронізації користувачів Azure Active Directory в Cisco Webex Control Hub, якщо ви хочете виконати підготовку користувачів з Azure AD до хмари Webex.
Щоб вимкнути електронні листи, які надсилаються новим користувачам додатка Webex у вашій організації, виконайте процедуру, описану в розділі Придушити автоматизовані електронні листи. Документ також містить найкращі практики для розсилки повідомлень користувачам у вашій організації.
Оновлення довіри сторони, яка покладається на Webex, до ADFS
Перш ніж почати
Вам потрібно експортувати файл метаданих SAML з Control Hub, перш ніж ви зможете оновити Webex Relying Party Trust в ADFS.
1. | Увійдіть на сервер ADFS з дозволами адміністратора. | ||
2. | Завантажте файл метаданих SAML з Webex до тимчасової локальної папки на сервері ADFS, наприклад. | ||
3. | Відкрийте Powershell. | ||
4. | Виконайте команду Зверніть увагу на | ||
5. | Виконайте команду Переконайтеся, що ім 'я файлу та ім' я цілі замінено правильними значеннями з вашого середовища. Див https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust..
| ||
6. | Увійдіть в Control Hub, а потім перевірте інтеграцію SSO: |
Усунення несправностей ADFS
Помилки ADFS в журналах Windows
У журналах Windows можна побачити код помилки журналу події ADFS 364. Деталі події ідентифікують недійсний сертифікат. У цих випадках хост ADFS не дозволяється через брандмауер на порту 80 перевіряти сертифікат.
Під час спроби побудувати ланцюжок сертифікатів для довіри перевіряючої сторони сталася помилка
Під час оновлення сертифіката SSO під час входу може з’явитися така помилка: Invalid status code in response
.
Якщо ви бачите цю помилку, перевірте журнали засобу перегляду подій на сервері ADFS і знайдіть таку помилку: An error occurred during an attempt to
build the certificate chain for the relying party trust
'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint
'754B9208F1F75C5CC122740F3675C5D129471D80'
. Можливими причинами є те, що сертифікат було відкликано, ланцюжок сертифікатів не вдалося перевірити, як зазначено в параметрах відкликання сертифіката шифрування довіреної сторони, або сертифікат не має терміну дії.
У разі виникнення цієї помилки необхідно запустити команди Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID>
-EncryptionCertificateRevocationCheck None
Ідентифікатор федерації
Ідентифікатор федерації чутливий до регістру. Якщо це адреса електронної пошти вашої організації, введіть її точно так, як її надсилає ADFS, інакше Webex не зможе знайти відповідного користувача.
Користувацьке правило запиту неможливо записати для нормалізації атрибута LDAP до його надсилання.
Імпортуйте метадані із сервера ADFS, який ви налаштували у своєму середовищі.
За потреби можна перевірити URL, перейшовши до
в Керуванні ADFS.Синхронізація часу
Переконайтеся, що системний годинник вашого сервера ADFS синхронізовано з надійним джерелом часу в Інтернеті, що використовує протокол мережевого часу (NTP). Використовуйте наведену далі команду PowerShell, щоб перекосити годинник лише для відносин довіри з перевіряючої сторони Webex.
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3
Шістнадцяткове значення є унікальним для вашого середовища. Замініть значення зі значення ідентифікатора дескриптора об’єкта SP у файлі метаданих Webex. Наприклад:
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">