Єдиний вхід і центр керування

Єдиний вхід (SSO) - це процес аутентифікації сеансу або користувача, який дозволяє користувачеві надати облікові дані для доступу до однієї або декількох програм. Процес аутентифікує користувачів для всіх програм, на які їм надаються права. Вона усуває подальші підказки, коли користувачі перемикають програми під час певного сеансу.

Протокол Федерації мови розмітки тверджень безпеки (SAML 2.0) використовується для забезпечення автентифікації SSO між хмарою Webex і вашим постачальником ідентифікаційних даних (IdP).

Профілі

Програма Webex підтримує лише профіль SSO веб-переглядача. У профілі SSO веб-переглядача застосунок Webex підтримує такі прив 'язки:

  • SP ініційовано POST -> POST BINDING

  • SP ініціював ПЕРЕАДРЕСАЦІЮ -> POST BINDING

Формат NameID

Протокол SAML 2.0 підтримує декілька форматів NameID для спілкування про конкретного користувача. Програма Webex підтримує такі формати NameID.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

У метаданих, які ви завантажуєте зі свого IdP, перший запис налаштовано для використання в Webex.

SingleLogout

Програма Webex підтримує єдиний профіль виходу. У додатку Webex користувач може вийти з програми, яка використовує єдиний протокол виходу SAML для завершення сеансу та підтвердження виходу за допомогою свого IdP. Переконайтеся, що ваш IdP налаштований для SingleLogout.

Інтегрувати центр керування з ADFS

Керівництва з конфігурації показують конкретний приклад інтеграції SSO, але не забезпечують вичерпної конфігурації для всіх можливостей. Наприклад, задокументовано кроки інтеграції для urn:oasis:names:tc:SAML:2.0: nameid-format: transient. Інші формати, такі як urn: oasis: names: tc: SAML: 1.1: nameid-format:unspecified або urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress працюватимуть для інтеграції SSO, але виходять за рамки нашої документації.

Налаштуйте цю інтеграцію для користувачів у вашій організації Webex (включаючи додаток Webex, зустрічі Webex та інші служби, адміністрування яких здійснюється в Центрі керування). Якщо ваш сайт Webex інтегрований у Центр керування, сайт Webex успадковує управління користувачами. Якщо ви не можете отримати доступ до зустрічей Webex у такий спосіб, і він не управляється в Control Hub, ви повинні зробити окрему інтеграцію, щоб увімкнути SSO для зустрічей Webex. (Див. Налаштування єдиного входу для Webex для отримання додаткової інформації про інтеграцію SSO в адмініструванні сайту.)

Залежно від налаштувань механізмів автентифікації в ADFS, інтегровану аутентифікацію Windows (IWA) можна увімкнути за замовчуванням. Якщо ввімкнено, програми, які запускаються через Windows (такі як Webex App і Cisco Directory Connector), автентифікуються як користувач, який увійшов у систему, незалежно від того, яку адресу електронної пошти було введено під час початкового запиту електронної пошти.

Завантажте метадані Webex до локальної системи

1.

У перегляді клієнта в розділіhttps://admin.webex.com, перейдіть до Керування > Налаштування організації, а потім перейдіть до автентифікації, а потім увімкніть налаштування єдиного входу, щоб запустити майстер налаштування.
2.

Виберіть тип сертифіката для своєї організації:

  • Самопідписання компанією Cisco .Рекомендуємо такий вибір. Дозвольте нам підписати сертифікат, тому вам потрібно поновлювати його лише раз на п 'ять років.
  • Підписано публічним центром сертифікації- більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IDP не підтримує прив 'язки довіри).

 

Якорі довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, перегляньте документацію IdP.
3.

Завантажте файл метаданих.

Ім 'я файлу метаданих Webex - idb-meta-<org-ID>-SP.xml.

Встановити метадані Webex в ADFS

Перш ніж почати

Центр керування підтримує ADFS 2.x або новішу версію.

Windows 2008 R2 включає лише ADFS 1.0. Потрібно встановити мінімум ADFS 2.x від Microsoft.

Для служб SSO та Webex постачальники ідентифікаційних даних (IDP) повинні відповідати наступній специфікації SAML 2.0:

  • Встановіть для атрибута NameID Format значення urn: oasis: names: tc: SAML: 2. 0: nameid-format:transient

  • Налаштуйте претензію на IdP, щоб включити ім 'я атрибута uid зі значенням, яке відповідає атрибуту, обраному в Cisco Directory Connector, або атрибуту користувача, який відповідає тому, який вибрано в службі ідентифікації Webex. (Цей атрибут може бути, наприклад, адреси електронної пошти або ім 'я користувача). Інформацію про користувацькі атрибути див. https://www.cisco.com/go/hybrid-services-directory у розділі.

1.

Увійдіть на сервер ADFS з правами адміністратора.
2.

Відкрийте консоль керування ADFS і перейдіть до розділу Довірчі відносини > Довіра залежних сторін > Додати довіру залежних сторін.
3.

У вікні Add Relying Party Trust Wizard (Майстер додавання довіри залежної сторони) виберіть Start (Почати).
4.

Для Select Data Source (Вибрати джерело даних) виберіть Import data about the relying party from a file (Імпортувати дані про залежну сторону з файлу), перейдіть до завантаженого файла метаданих Control Hub (Центр керування) і виберіть Next (Далі).
5.

Щоб вказати ім 'я відображення, створіть ім' я відображення для цієї довіри залежної сторони, наприклад Webex, і виберіть Далі.
6

Щоб вибрати Правила авторизації видачі, виберіть Дозволити всім користувачам доступ до цієї залежної сторони, а потім виберіть Далі.
7

Щоб готуватися до додавання довіри, виберіть Next (Далі ) і завершите додавання довіри до ADFS.

Створити правила претензії для автентифікації Webex

1.

На головній панелі ADFS виберіть створені довірчі відносини, а потім виберіть Редагувати правила претензії. На вкладці «Правила трансформування видачі» виберіть «Додати правило».
2.

На етапі Вибір типу правила виберіть Надіслати атрибути LDAP як претензії, а потім виберіть Далі.

  1. Введіть назву правила претензії.

  2. Виберіть Active Directory як зберігач атрибутів.

  3. Прив 'яжіть атрибут E-mail-Addresses LDAP до типу вихідної претензії uid.

    Це правило вказує ADFS, які поля слід зіставити з Webex, щоб ідентифікувати користувача. Напишіть вихідні типи претензій саме так, як показано.

  4. Збережіть зміни.
3.

Знову виберіть Додати правило, виберіть Надіслати претензії за спеціальним правилом, а потім виберіть Далі.

Це правило надає ADFS атрибут "spname qualifier", який Webex не надає в іншому випадку.

  1. Відкрийте текстовий редактор і скопіюйте наведений нижче вміст.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Замініть URL1 та URL2 у тексті наступним чином:

    • URL1 - це ідентифікатор суб 'єкта з файлу метаданих ADFS, який ви завантажили.

      Наприклад, нижче наведено зразок того, що ви бачите: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Скопіюйте лише ідентифікатор сутності з файлу метаданих ADFS і вставте його в текстовий файл, щоб замінити URL1

    • URL2 знаходиться на першому рядку в файлі метаданих Webex, який ви завантажили.

      Наприклад, нижче наведено зразок того, що ви бачите: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Скопіюйте лише ідентифікатор сутності з файлу метаданих Webex і вставте його в текстовий файл, щоб замінити URL2.

  2. З оновленими URL-адресами скопіюйте правило з текстового редактора (починаючи з "c:") і вставте його в спеціальне поле правил на сервері ADFS.

    Завершене правило має виглядати так:

  3. Виберіть Готово, щоб створити правило, а потім вийдіть з вікна Редагування правил претензії.
4.

Виберіть пункт Relying Party Trust (Довіра залежної сторони) у головному вікні, а потім виберіть Properties (Властивості) на правій панелі.
5.

Коли з 'явиться вікно Properties (Властивості), перейдіть на вкладку Advanced (Додаткові), SHA-256, а потім виберіть OK, щоб зберегти зміни.
6

Перейдіть до наведеної нижче URL-адреси на внутрішньому сервері ADFS, щоб завантажити файл: https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Можливо, вам доведеться натиснути правою кнопкою миші на сторінці та переглянути джерело сторінки, щоб отримати належним чином відформатований XML-файл.
7

Збережіть файл на локальному комп 'ютері.

Що далі

Ви готові імпортувати метадані ADFS назад у Webex з порталу керування.

Імпортувати метадані IdP та увімкнути єдиний вхід після тесту

Після експорту метаданих Webex, налаштування IdP та завантаження метаданих IdP до локальної системи, ви можете імпортувати їх до своєї організації Webex з Control Hub.

Перш ніж почати

Не перевіряйте інтеграцію SSO з інтерфейсу постачальника ідентифікаційних даних (IdP). Ми підтримуємо лише потоки, ініційовані Постачальником послуг (SP-ініційовані), тому для цієї інтеграції потрібно використовувати тест SSO Control Hub.

1.

Виберіть один з варіантів:

  • Поверніться на сторінку Control Hub – вибір сертифіката у веб-переглядачі, а потім натисніть Далі.
  • Якщо Центр керування більше не відкрито на вкладці веб-переглядача, перейдіть у розділ " https://admin.webex.comКерування" > "Налаштування організації", прокрутіть до розділу "Аутентифікація", а потім виберіть " Дії" > "Імпортувати метадані".
2.

На сторінці Імпорт метаданих IdP перетягніть файл метаданих IdP на сторінку або скористайтеся опцією переглядача файлів, щоб знайти та завантажити файл метаданих. Клацніть Далі.

Ви повинні використовувати опцію «Більш безпечно», якщо це можливо. Це можливо, лише якщо ваш IdP використовує загальнодоступний ЦС для підписання своїх метаданих.

У всіх інших випадках ви повинні використовувати опцію Менш безпечний. Це стосується випадків, коли метадані не підписані, самопідписані або підписані приватним ЦС.
3.

Виберіть Test SSO setup (Перевірити налаштування SSO), а коли відкриється нова вкладка веб-переглядача, виконайте автентифікацію за допомогою IdP, увійшовши в систему.


 

Якщо ви отримали помилку автентифікації, можливо, виникла проблема з обліковими даними. Перевірте ім 'я користувача та пароль і спробуйте ще раз.

Помилка програми Webex зазвичай означає проблему з налаштуванням SSO. У цьому випадку перегляньте кроки знову, особливо кроки, на яких ви копіюєте та вставляєте метадані Control Hub у налаштування IdP.

 

Щоб переглянути безпосередній вхід SSO, натисніть Скопіювати URL-адресу в буфер обміну з цього екрана та вставте її в приватне вікно веб-переглядача. Звідти ви можете пройти через вхід за допомогою SSO. Цей крок зупиняє хибні позитивні результати через маркер доступу, який може знаходитися в існуючому сеансі від входу.
4.

Поверніться на вкладку веб-переглядача Центру керування.

  • Якщо тест пройшов успішно, виберіть Успішний тест. Увімкніть SSO і натисніть Далі.
  • Якщо тест пройшов невдало, виберіть Невдалий тест. Вимкніть SSO і натисніть Далі.

 

Налаштування SSO не набуває чинності у вашій організації, якщо ви не оберете першу перемикальну кнопку та не активуєте SSO.

Що далі

Щоб вимкнути електронні листи, які надсилаються новим користувачам додатка Webex у вашій організації, виконайте вказані нижче дії. Документ також містить рекомендації щодо надсилання повідомлень користувачам у вашій організації.

Оновити довіру залежної сторони Webex до ADFS

Це завдання конкретно стосується оновлення AD FS новими метаданими SAML з Webex. Існують пов 'язані статті, якщо вам потрібно налаштувати SSO з AD FS, або якщо вам потрібно оновити (інший) IdP з метаданими SAML для нового сертифіката Webex SSO.

Перш ніж почати

Вам потрібно експортувати файл метаданих SAML з Control Hub, перш ніж ви зможете оновити Webex Relying Party Trust в AD FS.

1.

Увійдіть на сервер AD FS з правами адміністратора.
2.

Завантажте файл метаданих SAML з Webex у тимчасову локальну папку на сервері AD FS, наприклад. //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3.

Відкрита пауершелл.
4.

Запустити Get-AdfsRelyingPartyTrust прочитати всі довіри залежних сторін.

Зауважте, що TargetName параметр довіри залежної сторони Webex. Ми використовуємо приклад "Cisco Webex", але він може відрізнятися у вашому AD FS.
5.

Запустити Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex".

Обов 'язково замініть назву файла та назву цілі правильними значеннями з вашого середовища.

Див https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.

 

Якщо ви завантажили 5-річний сертифікат Webex SP і ввімкнули підписування або відкликання сертифіката шифрування, вам потрібно виконати ці дві команди: Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None.

6

Увійдіть до Control Hub, а потім перевірте інтеграцію SSO:

  1. Перейдіть до меню Керування > Налаштування організації, прокрутіть до розділу Аутентифікація та увімкніть параметр Єдиний вхід, щоб запустити майстер налаштування.

  2. Натисніть Далі, щоб пропустити сторінку Імпорт метаданих IdP.

    Вам не потрібно повторювати цей крок, оскільки ви раніше імпортували метадані IdP.

  3. Перевірте з 'єднання SSO, перш ніж увімкнути його. Цей крок працює як пробний пробіг і не впливає на налаштування вашої організації, поки ви не увімкнете SSO на наступному етапі.


     

    Щоб переглянути безпосередній вхід SSO, натисніть Скопіювати URL-адресу в буфер обміну з цього екрана та вставте її в приватне вікно веб-переглядача. Звідти ви можете пройти через вхід за допомогою SSO. Це допоможе видалити будь-яку інформацію, кешовану у вашому веб-переглядачі, яка може дати хибнопозитивний результат під час тестування конфігурації SSO.

  4. Увійдіть, щоб завершити тест.

Усунення несправностей ADFS

Помилки ADFS у журналах Windows

У журналах Windows ви можете побачити код помилки журналу подій ADFS 364. Деталі події ідентифікують недійсний сертифікат. У цих випадках хосту ADFS не дозволяється через брандмауер на порт 80 перевіряти сертифікат.

Сталася помилка під час спроби побудови ланцюжка сертифікатів для довіри залежної сторони

При оновленні сертифіката SSO під час входу в систему може виникати така помилка: Invalid status code in response.

Якщо ви бачите цю помилку, перевірте журнали перегляду подій на сервері ADFS і знайдіть наступну помилку: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80'. Можливими причинами є те, що сертифікат було відкликано, ланцюжок сертифікатів не вдалося перевірити, як зазначено параметрами відкликання сертифіката шифрування залежної сторони, або сертифікат не є дійсним.

Якщо виникла ця помилка, ви повинні виконати команди Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

Ідентифікатор Федерації

Ідентифікатор Федерації враховує регістр. Якщо це електронна адреса вашої організації, введіть її точно так, як її надсилає ADFS, або Webex не може знайти відповідного користувача.

Неможливо записати спеціальне правило претензії, щоб нормалізувати атрибут LDAP перед його надсиланням.

Імпортуйте свої метадані з сервера ADFS, налаштованого у вашому середовищі.

За необхідності можна перевірити URL-адресу, перейшовши до розділу " Сервіс" > "Кінцеві точки" > "Метадані" > "Тип: Метадані федерації " в ADFS-менеджменті.

Синхронізація часу

Переконайтеся, що системний годинник вашого сервера ADFS синхронізовано з надійним джерелом інтернет-часу, який використовує протокол мережевого часу (NTP). Скористайтеся наведеною нижче командою PowerShell, щоб змістити годинник тільки для відносин Webex Relying Party Trust.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

Шістнадцяткове значення є унікальним для вашого середовища. Будь ласка, замініть значення зі значення ідентифікатора SP EntityDescriptor у файлі метаданих Webex. Наприклад:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">