Einleitung
In diesem Dokument wird beschrieben, wie Sie eine Attribut-UID mithilfe eines Syntex manuell zur Vertrauensstellung der ADFS-vertrauenden Seite hinzufügen.
Voraussetzungen
Anforderungen
- ADFS-Server
- Steuerungs-Hub
Verwendete Komponenten
- ADFS-Server
- Cisco WebEx Control Hub
- AD vor Ort
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Dies ist nützlich, wenn ein Problem beim Hinzufügen eines Attributanspruchs in ADFS aufgrund eines vorhandenen Attributs auftritt.
Szenario 1
Sie haben eine Vertrauensstellung für eine vertrauende Seite, für die eine Anspruchsregel mit dem Attribut UID oder Uid erstellt wurde.
Dies schlägt bei der Authentifizierung fehl, da Webex (SP) die Groß- und Kleinschreibung des erforderlichen Attributs berücksichtigt und uid sein muss und die E-Mail-Adresse des Benutzers in der SAML-Antwort weitergeben muss.
Szenario 2
Sie verfügen über eine Partei-Vertrauensstellung, bei der eine Anspruchsregel ein Attribut mit dem Namen uid übergibt, das jedoch mit einem anderen Attribut in AD verknüpft ist als dem, was erforderlich ist (emailAddress/UserPrincipleName). Dies führt zu Problemen.
Konfigurationen
In einer idealen Konfiguration gemäß Cisco WebEx Guide muss die ADFS-Konfiguration wie folgt aussehen:

ADFS-Administratoren können dies über ihre Vertrauensstellungen der vertrauenden Partei aufrufen-> Vertrauen, das sie für WebEx erstellt haben -> Anspruchsausstellungsrichtlinie bearbeiten -> Regel bearbeiten -> Attribute -> Regelsprache anzeigen.
Die Regelsprache im Klartext lautet:
c:[Geben Sie == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY" ein.]
=> issue(store = "Active Directory", types = ("uid"), query = ";userPrincipalName;{0}", param = c.Value);
Da die Konfiguration nicht korrekt angezeigt wird, erstellen Sie diese Regel manuell mithilfe des einfachen Texts der Regelsprache.
Hinzufügen einer benutzerdefinierten Anspruchsregel im ADFS-Server unter WebEx Vertrauenswürdigkeit der vertrauenden Partei
Schritte zum Erstellen dieser Regel
- Wählen Sie im ADFS-Hauptbereich die erstellte Vertrauensstellung aus, und wählen Sie dann Anspruchsregeln bearbeiten. Wählen Sie auf der Registerkarte "Ausstellungstransformationsregeln" die Option Regel hinzufügen aus.
- Wählen Sie Anträge mithilfe einer benutzerdefinierten Regel senden aus, und wählen Sie dann Weiter aus.
- Kopieren Sie die Regel aus dem Texteditor (beginnend bei c:) und fügen Sie sie in das benutzerdefinierte Regelfeld auf dem ADFS-Server ein.
Das muss so aussehen:


Anschließend können Sie SSO vom Control Hub aus testen. Dies muss erwartungsgemäß funktionieren.