單一登入與 Control Hub

單一登入 (SSO) 是階段作業或使用者驗證程序,允許使用者提供認證來存取一或多個應用程式。此程序會針對使用者取得權限的所有應用程式,進行使用者驗證。如果使用者在特定階段作業期間切換應用程式,則此程序會消除進一步的提示。

「安全性聲明標記語言 (SAML 2.0) 同盟通訊協定」用於在 Webex 雲端和您的身分識別提供者 (IdP) 之間提供 SSO 驗證。

設定檔

Webex 應用程式僅支援 Web 瀏覽器 SSO 設定檔。在 Webex 瀏覽器 SSO 設定檔中,Webex 應用程式支援下列繫結:

  • SP 起始的 POST -> POST 連結

  • SP 起始的 REDIRECT -> POST 連結

NameID 格式

「SAML 2.0 通訊協定」支援特定使用者採用數種 NameID 格式進行通訊。Webex 應用程式支援下列 NameID 格式。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

在您從 IdP 載入的中繼資料中,第一個項目是設定用於 Webex。

SingleLogout

Webex 應用程式支援單一登出設定檔。在 Webex 應用程式中,使用者可以登出應用程式,這將使用「SAML 單一登出」通訊協定來結束階段作業,並向您的 IdP 確認該登出。請確保為 SingleLogout 設定了 IdP。

將 Control Hub 與 ADFS 整合

該設定指南顯示 SSO 整合的特定範例,但不提供所有可能性的詳盡設定。例如,會記錄 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的整合步驟。諸如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 之類的其他格式將適用於 SSO 整合,但不在我們的文檔討論範圍之內。

為 Webex 組織中的使用者設定此整合(包括 Webex 應用程式、Webex Meetings 及在 Control Hub 中管理的其他服務)。如果 Webex 網站已整合在 Control Hub 中,則 Webex 網站會繼承使用者管理。如果您無法以此方式存取 Webex Meetings 且它未在 Control Hub 中進行管理,則您必須執行單獨整合才能為 Webex Meetings 啟用 SSO。(如需相關資訊,請在網站管理的 SSO 整合中參閱為 Webex 設定單一登入。)

根據 ADFS 中的驗證機制所設定的內容,預設情況下可啟用 Integrated Windows Authentication (IWA)。啟用之後,透過 Windows 啟動的應用程式(例如 Webex 應用程式和 Cisco 目錄連接器)會以登入的使用者身分來驗證,這與起始電子郵件提示期間輸入的電子郵件地址無關。

下載 Webex 中繼資料至您的本機系統

1

https://admin.webex.com 的客戶檢視中,前往 管理 > 組織設定,然後捲動至驗證,然後開啟單一登入設定以啟動設定精靈。

2

選擇貴組織的憑證類型:

  • 由Cisco自我簽署— 我們建議您選擇此選項。讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公開憑證授權單位簽署— 更安全,但您需要經常更新中繼資料(除非您的 IdP 供應商支援信任錨)。

信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。

3

下載中繼資料檔案。

Webex中繼資料檔名為idb 中繼-SP.xml

在 ADFS 中安裝 Webex 中繼資料

在開始之前

Control Hub 支援 ADFS 2.x 或更新版本。

Windows 2008 R2 僅包含 ADFS 1.0。必須至少安裝 Microsoft 提供的 ADFS 2.x。

對於 SSO 和 Webex 服務,身分識別提供者 (IdP) 必須符合下列 SAML 2.0 規格:

  • 將 NameID 格式屬性設定為 urn:oasis:names:tc: SAML:2.0:nameid-格式:暫時的

  • 在 IdP 上設定宣告以包含uid 屬性名稱,其值會對應Cisco Directory Connector 中選擇的屬性或與Webex身分服務中選擇的使用者屬性相符的使用者屬性。(例如,此屬性可以是電子郵件地址或使用者主體名稱。)請參閱中的自訂屬性資訊https://www.cisco.com/go/hybrid-services-directory 尋求指導。

1

以管理員權限登入 ADFS 伺服器。

2

開啟 ADFS 管理主控台並瀏覽至信任關係 > 依賴方信任 > 新增依賴方信任

3

新增依賴方信任精靈視窗中,選取啟動

4

適用於選取資料來源 選取從檔案匯入有關依賴方的資料,瀏覽至您下載的 Control Hub 中繼資料檔案,然後選取下一個

5

對於指定顯示名稱,給此依賴方信任建立顯示名稱,例如 Webex,然後選取下一步

6

對於選擇發行授權規則,選取允許所有使用者存取此依賴方,然後選取下一步

7

對於準備新增信任,選取下一步並完成將依賴信任新增至 ADFS。

為 Webex 驗證建立宣告規則

1

在 ADFS 窗格中,選取您所建立的信任關係,然後選取編輯宣告規則。在「發行轉換規則」標籤上,選取新增規則

2

在「選擇規則類型」步驟中,選取將 LDAP 屬性作為宣告傳送,然後選取下一步

  1. 輸入宣告規則名稱

  2. 選取 Active Directory 作為屬性存放區。

  3. E-mail-Addresses LDAP 屬性對映至 uid 傳出宣告類型。

    此規則告知 ADFS 哪些欄位要對映至 Webex 以識別使用者。完全按所示的那樣拼寫傳出的宣告類型。

  4. 儲存變更。

3

再次選取新增規則,選取使用自訂規則來傳送宣告,然後選取下一步

此規則向 ADFS 提供「spname qualifier」屬性,而 Webex 並不另行提供。

  1. 開啟文字編輯器並複製下列內容。

    c:[Type =="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => 問題(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", 發行者 = c.發行者,原始發行者 = c.原始發行者,值 = c.Value,ValueType = c.ValueType,屬性["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc: SAML:2.0:nameid-格式:暫時", 屬性["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = " URL1 ", 內容["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = " URL2 ");

    取代下列文字中的 URL1 和 URL2:

    • URL1 是您下載的 ADFS 中繼資料檔案中的實體 ID。

      例如,以下是您所看到的範例: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust 55515dde-8147-4183-8a85-b704d26b5dba">_

      僅複製 ADFS 中繼資料檔中的 entityID 並將其貼到文字檔以取代 URL1

    • URL2 位於您下載的Webex中繼資料檔案的第一行。

      例如,以下是您所看到的範例: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59

      僅複製 Webex 中繼資料檔中的 entityID,並將其貼到文字檔以取代 URL2。

  2. 藉由更新的 URL,從文字編輯器複製規則(開頭為「c:」),並貼到 ADFS 伺服器上的自訂規則方塊中。

    完成的規則看起來應該類似如下:

  3. 選取完成以建立規則,然後結束「編輯宣告規則」視窗。

4

選取主視窗中的依賴方信任,然後選取右面板中的內容

5

當「內容」視窗出現時,瀏覽至進階標籤、SHA-256,然後選取確定來儲存變更。

6

瀏覽至內部 ADFS 伺服器上的下列 URL 以下載檔案:https://<廣告_FS_伺服器>/同盟中繼資料/2007-06/同盟中繼資料.xml

您可能需要用滑鼠右鍵按一下頁面,然後檢視頁面原始碼以取得正確格式化的 XML 檔。

7

將檔案儲存至本端機器。

後續動作

您已準備好從管理入口網站將 ADFS 中繼資料匯入回 Webex。

匯入 IdP 中繼資料並在測試後啟用單一登入

匯出 Webex 中繼資料後,設定 IdP,然後將 IdP 中繼資料下載至本機系統,您便可以將中繼資料匯入至 Webex 組織(從 Control Hub)。

在開始之前

請勿從身分識別提供者 (IdP) 介面測試 SSO 整合。我們只支援由服務提供者發起(即由 SP 發起)的流程,因此您必須對此整合使用 Control Hub SSO 測試。

1

選擇一個:

  • 返回到 Control Hub – 瀏覽器中的憑證選擇頁面,然後按一下下一個
  • 如果 Control Hub 不再在瀏覽器標籤中開啟,請從 的客戶檢視中https://admin.webex.com,轉至管理 >組織設定,捲動至驗證,然後選擇動作 >匯入中繼資料
2

在「匯入 IdP 中繼資料」頁面上,將 IdP 中繼資料檔案拖放到頁面上,或者使用檔案瀏覽器選項來尋找並上傳中繼資料檔。按下一步

如果可以,您應該使用較安全選項。這只有在您的 IdP 使用公用 CA 來簽署其中繼資料時才可行。

在所有其他情況下,您必須使用較不安全選項。這包括中繼資料未簽署、自我簽署或由私人 CA 簽署這樣的情況。

Okta 未簽署中繼資料,因此您必須為 Okta SSO 整合選擇較不安全

3

選取測試SSO設定,當新的瀏覽器標籤開啟時,請透過登入使用 IdP 進行驗證。

如果您收到驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

若要直接查看 SSO 登入體驗,您還可以從此螢幕按一下將 URL 複製到剪貼簿,並將其貼至私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。此步驟會停止因存取權杖可能位在現有階段作業中而您未進行登入的誤判。

4

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。開啟 SSO 並按下一步
  • 如果測試不成功,請選取測試不成功。關閉 SSO 並按下一步

此 SSO 設定不會在貴組織中生效,除非您先選擇圓鈕並啟動 SSO。

後續動作

如果您想要將 Okta 以外的使用者佈建至 Webex 雲端,請使用將 Okta 使用者同步至 Cisco Webex Control Hub 中的程序。

如果您想要將 Azure Active Directory 以外的使用者佈建至 Webex 雲端,請使用將 Azure Active Directory 使用者同步至 Cisco Webex Control Hub 中的程序。

您可以遵循中的程序禁用自動傳送的電子郵件 以停用傳送至貴組織中新Webex應用程式使用者的電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。

更新 ADFS 中的 Webex 依賴方信任

此工作專門關於使用Webex中的新SAML中繼資料來更新 ADFS。如果您需要使用 ADFS SSO或需要用 SAML 中繼資料更新(其他)IdP 以使用新的 Webex SSO 憑證,則有相關文章

在開始之前

您需要從 Control Hub 匯出SAML中繼資料檔案,然後才能更新 ADFS 中的Webex依賴方信任。

1

以管理員權限登入 ADFS 伺服器。

2

將SAML中繼資料檔案從Webex上傳至 ADFS 伺服器上的臨時本機資料夾,例如。 //ADFS_servername /temp/idb 中繼-SP.xml

3

開啟 Powershell。

4

執行 Get-AdfsRelyingPartyTrust 以讀取所有依賴方信任。

請注意目標名稱 Webex依賴方信任的參數。我們使用範例「Webex」,但它在 ADFS 中可能不同。

5

執行更新-AdfsRelyingPartyTrust-MetadataFile "//ADFS_servername /temp/idb 中繼-SP.xml」 -TargetName 「 Webex

請確認在您的環境中使用正確的值取代檔案名稱和目標名稱。

請參閱 https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

如果您下載 Webex SP 5 年憑證,並且開啟了「簽署」或「加密憑證撤銷」,則需要執行以下兩個指令:設定AdfsRelyingPartyTrust -SigningCertificateRevocationCheck 無 -EncryptionCertificateRevocationCheck 無 -TargetName 」 Webex

6

請登入 Control Hub,然後測試 SSO 整合:

  1. 前往 管理 > 組織設定、捲動至驗證,然後開啟單一登入設定以啟動設定精靈。

  2. 按一下下一步以跳過「匯入 IdP 中繼資料」頁面。

    由於您先前已匯入 IdP 中繼資料,因此無需重複此步驟。

  3. 測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。

    若要直接查看 SSO 登入體驗,您還可以從此螢幕按一下將 URL 複製到剪貼簿,並將其貼至私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

  4. 請登入以完成測驗。

ADFS 疑難排解

Windows 記錄中的 ADFS 錯誤

在 Windows 記錄中,可以看到 ADFS 事件記錄錯誤碼 364。事件詳細資料識別無效的憑證。在這些情況下,不允許 ADFS 主機透過防火牆上的埠 80 來驗證憑證。

嘗試為依賴方信任建立憑證鏈時發生錯誤

更新 SSO 憑證時,您可能會在登入時看到此錯誤:回應中的狀態代碼無效

如果您看到該錯誤,請檢查 ADFS 伺服器上的事件檢視器日誌,並尋找下列錯誤:嘗試為依賴方信任建立憑證鏈結時發生錯誤https://idbroker.webex.com/<org-ID>' 由指紋「754B9208F1F75C5CC122740F3675C5D129471D80」識別的憑證。可能的原因是憑證已撤銷、憑證鏈無法如依賴方信任的加密憑證撤銷設定所指定進行驗證,或憑證不在其有效期內。

如果發生此錯誤,您必須執行下列指令設定 ADFSRelyingPartyTrust -TargetIdentifierhttps://idbroker.webex.com/<orgID> -加密憑證撤銷檢查 無

同盟 ID

「同盟 ID」區分大小寫。如果這是貴組織的電子郵件地址,請完全按 ADFS 所傳送的內容輸入,否則 Webex 無法找到相符的使用者。

傳送 LDAP 屬性之前,無法撰寫自訂宣告規則來正規化 LDAP 屬性。

從您在環境中設定的 ADFS 伺服器匯入中繼資料。

如果需要的話,則可以在「ADFS 管理」中導覽至服務>端點>中繼資料>類型:同盟中繼資料以驗證 URL。

時間同步

確保 ADFS 伺服器的系統時鐘會同步至使用「網路時間通訊協定 (NTP)」的可靠網際網路時間來源。使用下列 PowerShell 指令,僅針對 Webex 依賴方信任關係,調整時鐘偏差。

設定 ADFSRelyingPartyTrust -TargetIdentifier 」https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

此十六進位值對於您的環境而言是唯一的。請取代 Webex 中繼資料檔中的 SP EntityDescriptor ID 值。例如:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">