27. Februar 2026 | 1353 Ansicht(en) | 1 Personen fanden das hilfreich

Einzelanmeldung bei mehreren Identitätsanbietern in Webex verwalten

list-menuFeedback?
SSO ermöglicht es Ihren Benutzern, einen einzigen, gemeinsamen Satz von Anmeldeinformationen für Webex App-Anwendungen und andere Anwendungen in Ihrer Organisation zu verwenden. Mit Webex können Sie SSO für mehrere Identitätsanbieter ( IdPs) in Ihrer Organisation zur Benutzerauthentifizierung einrichten. Sie können außerdem Routingregeln erstellen, um die Authentifizierung für verschiedene Domänen oder Benutzergruppen zu konfigurieren.

Single Sign-On (SSO) ermöglicht es Benutzern, sich sicher bei Webex anzumelden, indem sie sich beim gemeinsamen Identitätsanbieter ihrer Organisation authentifizieren. Ein Identitätsanbieter (IdP) speichert und verwaltet die digitalen Identitäten Ihrer Benutzer sicher und stellt den Benutzerauthentifizierungsdienst für Ihre Webex-Benutzer bereit.

Warum Sie möglicherweise mehrere IdPs benötigen

Viele große Unternehmen durchlaufen Fusionen und Übernahmen, und diese Unternehmen verfügen selten über dieselbe IT-Infrastruktur und dieselben Identitätsanbieter. Staatliche Institutionen verfügen über verschiedene Organisationen und nachgeordnete Behörden. Oftmals verfügen diese Organisationen über eine einzige E-Mail-Adresse für ihre IT-Abteilung bzw. ihre Infrastruktur. Große Bildungseinrichtungen verfügen über eine zentrale Einkaufsabteilung, während verschiedene Universitäten und Hochschulen über unterschiedliche IT-Organisationen und -Abteilungen verfügen.

Es ist üblich, dass Identitätsanbieter (IdPs) und Dienstanbieter (SPs) miteinander föderieren. Der Identitätsanbieter (IdP) ist für die Authentifizierung der Anmeldeinformationen Ihrer Benutzer verantwortlich, und der Dienstanbieter (SP) vertraut der vom IdP durchgeführten Authentifizierung. Dies ermöglicht es Ihren Benutzern, mit derselben digitalen Identität auf verschiedene SaaS-Anwendungen und -Dienste zuzugreifen. Sollte Ihre Organisation aus irgendeinem Grund keine Föderation zwischen den IdPs durchführen können, bietet Webex eine Lösung zur Unterstützung mehrerer IdPs. Aus diesen Gründen bieten wir Ihnen die Möglichkeit, SSO für mehrere IdPs in Webex zu konfigurieren und den Authentifizierungsprozess Ihrer Benutzer zu vereinfachen.

Beschränkungen

  • Aktuell unterstützen wir nur SAML, OpenID Connect und Webex Identity als Identitätsanbieter.

Außerhalb des Geltungsbereichs

  • Gruppenzuordnungen konfigurieren.

In diesem Abschnitt wird beschrieben, wie Sie Ihre Identitätsanbieter (IdP) in Ihre Webex-Organisation integrieren können. Sie können die IdPs auswählen, die am besten zu den Anforderungen Ihrer Organisation passen.

Wenn Sie nach einer SSO-Integration für eine Webex Meetings-Site (verwaltet in der Site-Administration) suchen, dann lesen Sie bitte Konfigurieren von Single Sign-On für die Webex-Administration.

Voraussetzungen

Vorbereitungen

Stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

    • Sie benötigen die Rolle „Vollständiger Administrator“ im Control Hub.
    • Eine Metadatendatei vom IdP zur Weitergabe an Webex und eine Metadatendatei von Webex zur Weitergabe an den IdP. Weitere Informationen finden Sie unter Single Sign-On Integration in Control Hub. Dies gilt nur für die SAML-Konfiguration.
    • Sie sollten das Verhalten Ihrer Routing-Regeln planen, bevor Sie mehrere IdPs einrichten.

    Die Standard-Routingregel wird angewendet, sobald Sie Ihren ersten IdP konfiguriert haben. Sie können aber einen anderen Identitätsanbieter als Standard festlegen. Siehe Hinzufügen oder Bearbeiten von Routingregeln auf der Registerkarte Routingregeln in diesem Artikel.

SAML konfigurieren
1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Gehen Sie zum Tab Identitätsanbieter und klicken Sie auf SSO aktivieren.

4

Wählen Sie SAML als Ihren IdP aus und klicken Sie auf Weiter.

5

Wählen Sie den Zertifikattyp aus:

  • Selbstsigniert von Cisco—Wir empfehlen diese Option. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle— Sicherer, aber Sie müssen die Metadaten regelmäßig aktualisieren (es sei denn, Ihr IdP-Anbieter unterstützt Trust Anchors).

Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.

6

Klicken Sie auf Metadaten herunterladen und klicken Sie dann auf Weiter.

Der Metadatendateiname der Webex-App lautet idb-meta-<org-ID>-SP.xml.

7

Laden Sie Ihre IdP-Metadatendatei hoch oder füllen Sie das Konfigurationsformular aus.

Beim Hochladen der Metadatendatei gibt es zwei Möglichkeiten, die Metadaten vom Kundenidentitätsanbieter (Customer IdP) zu validieren:

  • Der Kunden-IdP stellt eine Signatur in den Metadaten bereit, die von einer öffentlichen Stammzertifizierungsstelle signiert wurden.
  • Der Kunden-IdP stellt eine selbstsignierte private Zertifizierungsstelle bereit oder stellt keine Signatur für ihre Metadaten bereit. Diese Option ist weniger sicher.
Andernfalls geben Sie im Konfigurationsformular die IdP-Informationen ein.

Klicken Sie auf Weiter.

8

(Optional) Sie können den Namen des SAML-Attributs für Webex-Benutzername oder Primäre E-Mail-Adresse von uid in einen mit dem IdP-Manager vereinbarten Namen wie z. B. email, upnusw. ändern.

9

(Optional) Konfigurieren Sie die Just-in-Time (JIT)-Einstellungen und die SAML-Mapping-Antwort.

Siehe Konfigurieren von Just-in-Time (JIT) und SAML-Mapping auf der Registerkarte Verwalten Ihrer IdPs in diesem Artikel.
10

Klicken Sie auf SSO-Setup testen, und wenn sich ein neuer Browser-Tab öffnet, authentifizieren Sie sich beim IdP durch Anmelden.

Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.

Wenn Sie eine Authentifizierungsfehlermeldung erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldefunktion zu testen, empfehlen wir Ihnen, auf diesem Bildschirm auf URL in die Zwischenablage kopieren zu klicken und sie in einem privaten Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

11

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO und IdP und klicken Sie auf Aktivieren.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Gehen Sie zu den vorherigen Schritten zurück, um die Fehler zu beheben.

Die SSO-Konfiguration wird in Ihrer Organisation erst dann wirksam, wenn Sie die erste Optionsschaltfläche auswählen und SSO aktivieren.

Nächste Schritte

Sie können eine Routing-Regel einrichten. Siehe Hinzufügen oder Bearbeiten von Routingregeln auf der Registerkarte Routingregeln in diesem Artikel.

Sie können die Vorgehensweise unter Automatisierte E-Mails unterdrücken befolgen, um zu verhindern, dass E-Mails an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

OpenID Connect konfigurieren

Wenn Sie OpenID Connect mit Entra ID oder einem IdP einrichten, bei dem die E-Mail-Adresse kein permanenter Identifikator ist, empfehlen wir Ihnen, das externalId -Verknüpfungsattribut zu verwenden, um eine Zuordnung zu einem eindeutigen Identifikator herzustellen. Für Entra ID schlagen wir vor, OIDC auf externalIdabzubilden. Wenn wir feststellen, dass die E-Mail-Adresse nicht mit dem Verknüpfungsattribut übereinstimmt, wird der Benutzer aufgefordert, seine Identität zu bestätigen oder einen neuen Benutzer mit der korrekten E-Mail-Adresse anzulegen.

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Management > Sicherheit > Authentifizierung.

3

Gehen Sie zum Tab Identitätsanbieter und klicken Sie auf SSO aktivieren.

4

Wählen Sie OpenID Connect als Ihren IdP aus und klicken Sie auf Weiter.

5

Geben Sie Ihre IdP-Informationen ein.

  • Name—Der Name zur Identifizierung Ihres IdP.
  • Client-ID—Die eindeutige ID zur Identifizierung von Ihnen und Ihrem Identitätsanbieter.
  • Client Secret—Das Passwort, das nur Sie und Ihr IdP kennen.
  • Scopes—Die Scopes, die Ihrem IdP zugeordnet werden sollen.

6

(Optional) Aktivieren Sie die Option Allow Proof Key for Code Exchange (PKCE) configuration, um Ihren OIDC IdP mit dieser Sicherheitserweiterung einzurichten.

Dies stärkt die Sicherheit der Client-Anwendung und gewährleistet die Kompatibilität mit Benutzern, die dies benötigen.

7

Wählen Sie aus, wie Endpunkte hinzugefügt werden sollen. Dies kann automatisch oder manuell erfolgen.

  • Verwenden Sie die Discovery-URL, um Endpunkte automatisch hinzuzufügen.

    • Geben Sie die Discovery-URL für Ihren IdP ein. Diese URL füllt automatisch die notwendigen Endpunkte für OIDC Single Logout (SLO) aus.
    • Aktivieren Sie die Option Automatische Abmeldung zulassen, um sicherzustellen, dass Benutzer bei allen verbundenen Anwendungen und Diensten abgemeldet werden, wenn sie sich von Webex abmelden.

  • Wenn Sie es vorziehen , alle Endpunktinformationen manuell hinzuzufügen, dann fügen Sie die folgenden Details hinzu.

    • Aussteller—Geben Sie die vom IdP angegebene Aussteller-URL ein.
    • Autorisierungsendpunkt—Geben Sie die URL für den Autorisierungsendpunkt ein.
    • Token-Endpunkt—Geben Sie die URL für den Token-Endpunkt ein.
    • JWKS-Endpunkt—Geben Sie die URL des JSON Web Key Set (JWKS) ein.
    • Userinfo-Endpunkt—Geben Sie die URL für den Benutzerinformations-Endpunkt ein.
    • Wenn die Option Automatische Abmeldung der Sitzung zulassen aktiviert ist, müssen Sie die URL des Sitzungsabmeldeendpunkts eingeben , um Single Logout (SLO) für alle verbundenen Anwendungen zu aktivieren.
    Weitere Informationen finden Sie im OpenID Connect Konfigurationsleitfaden.

8

(Optional) Konfigurieren Sie die Just-in-Time-Einstellungen (JIT).

Siehe Konfigurieren von Just-in-Time (JIT) und SAML-Mapping auf der Registerkarte Verwalten Ihrer IdPs in diesem Artikel.
9

Klicken Sie auf SSO-Setup testen, und wenn sich ein neuer Browser-Tab öffnet, authentifizieren Sie sich beim IdP durch Anmelden.

Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.

Wenn Sie eine Authentifizierungsfehlermeldung erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldefunktion zu testen, empfehlen wir Ihnen, auf diesem Bildschirm auf URL in die Zwischenablage kopieren zu klicken und sie in einem privaten Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

10

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO und IdP und klicken Sie auf Aktivieren.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Gehen Sie zu den vorherigen Schritten zurück, um die Fehler zu beheben.

Die SSO-Konfiguration wird in Ihrer Organisation erst dann wirksam, wenn Sie die erste Optionsschaltfläche auswählen und SSO aktivieren.

Nächste Schritte

Sie können eine Routing-Regel einrichten. Siehe Hinzufügen oder Bearbeiten von Routingregeln auf der Registerkarte Routingregeln in diesem Artikel.

Sie können die Vorgehensweise unter Automatisierte E-Mails unterdrücken befolgen, um zu verhindern, dass E-Mails an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Webex Identity konfigurieren
1

Melden Sie sich bei Control Hub an.

2

Gehe zu Management > Sicherheit > Authentifizierung.

3

Gehen Sie zum Tab Identitätsanbieter und klicken Sie auf SSO aktivieren.

4

Wählen Sie Webex als Ihren IdP aus und klicken Sie auf Weiter.

5

Setzen Sie ein Häkchen Ich habe gelesen und verstanden, wie Webex IdP funktioniert und klicken Sie auf Weiter.

6

Richten Sie eine Routing-Regel ein.

Siehe Hinzufügen oder Bearbeiten von Routingregeln auf der Registerkarte Routingregeln in diesem Artikel.

Sobald Sie eine Routing-Regel hinzugefügt haben, wird Ihr IdP hinzugefügt und auf der Registerkarte Identitätsanbieter angezeigt.

Nächste Schritte

Sie können die in Unterdrücken automatisierter E-Mails beschriebene Vorgehensweise befolgen, um E-Mails zu deaktivieren, die an neue Webex App-Benutzer in Ihrer Organisation gesendet werden. Das Dokument enthält außerdem bewährte Methoden zum Senden von Mitteilungen an Benutzer in Ihrer Organisation.

Routingregeln sind anwendbar, wenn mehr als ein IdP eingerichtet wird. Routingregeln ermöglichen es Webex, den richtigen Identitätsanbieter (IdP) zu identifizieren, an den Ihre Benutzer weitergeleitet werden sollen, wenn Sie mehrere IdPs konfiguriert haben.

Wenn Sie mehr als einen Identitätsanbieter (IdP) einrichten, können Sie Ihre Routing-Regeln im SSO-Konfigurationsassistenten definieren. Wenn Sie den Schritt mit der Routing-Regel überspringen, fügt Control Hub zwar den IdP hinzu, aktiviert ihn aber nicht. Sie müssen eine Routing-Regel hinzufügen, um den IdP zu aktivieren.

Routingregeln hinzufügen oder bearbeiten
1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Routingregeln.

Bei der Konfiguration Ihres ersten IdP wird die Routing-Regel automatisch hinzugefügt und als Standardregel festgelegt. Sie können später einen anderen Identitätsanbieter (IdP) als Standardregel festlegen.

4

Klicken Sie auf Neue Routingregel hinzufügen.

5

Geben Sie die Details für eine Routing-Regel ein:

  • Regelname—Geben Sie den Namen für die Routing-Regel ein.
  • Wählen Sie einen Routingtyp aus—Wählen Sie eine Domäne oder Gruppe aus.
  • Wenn dies Ihre domains/groups—Geben Sie die domains/groups innerhalb Ihrer Organisation.
  • Dann diesen Identitätsanbieter verwenden—Wählen Sie den IdP aus.

6

Wählen Sie die Methode der Multi-Faktor-Authentifizierung (MFA) aus:

  • Aktuellen MFA-Status beibehalten— Ermöglicht es Ihnen, die bestehende MFA-Methode beizubehalten, ohne Änderungen vorzunehmen.
  • Aktuellen MFA-Status überschreiben— Ermöglicht es Ihnen, die bestehende MFA-Methode auf eine neue Konfiguration umzustellen.
  • MFA nur für diese Regel zulassen— Aktivieren Sie diese Option, um MFA speziell für die aktuelle Routing-Regel zu aktivieren.

Weitere Informationen zur Konfiguration von MFA für Ihre Organisation finden Sie unter Aktivieren der Integration der Multi-Faktor-Authentifizierung im Control Hub.

7

Klicken Sie auf Hinzufügen.

8

Wählen Sie die neue Routing-Regel aus und klicken Sie auf Aktivieren.

Sie können die Prioritätsreihenfolge der Routingregeln ändern, wenn Sie Routingregeln für mehrere IdPs haben.

Routingregeln deaktivieren oder löschen
1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Routingregeln.

4

Wählen Sie die Routing-Regel aus.

5

Wählen Sie, ob Sie die Routing-Regel deaktivierenoder löschen möchten .

Es wird empfohlen, eine weitere aktive Routing-Regel für den IdP zu haben. Andernfalls könnten Probleme mit Ihrer SSO-Anmeldung auftreten.

Die Standardregelkann nicht deaktiviert oder gelöscht werden, aber Sie können den gerouteten IdP ändern.

Verwalten Sie Ihre Identitätsanbieter-Zertifikate (IdP-Zertifikate).

Vorbereitungen

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder sehen eine Warnung in Control Hub, dass das IdP-Zertifikat abläuft. Da IdP-Anbieter über ihre eigene spezifische Dokumentation für die Zertifikatserneuerung verfügen, decken wir die in Control Hub erforderlichen Informationen zusammen mit allgemeinen Schritten zum Abrufen aktualisierter IdP-Metadaten und laden sie auf Control Hub hoch, um das Zertifikat zu erneuern.

Dies gilt nur für die SAML-Konfiguration.

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Identitätsanbieter.

4

Gehen Sie zum IdP, klicken Sie auf hochladen und wählen Sie Idp-Metadaten hochladen.

Um die Metadatendatei herunterzuladen, klicken Sie auf Herunterladen und wählen Sie Idp-Metadaten herunterladen.
5

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Metadatendatei abzurufen.

6

Kehren Sie zum Control Hub zurück und ziehen Sie Ihre IdP-Metadatendatei per Drag & Drop in den Upload-Bereich oder klicken Sie auf Datei auswählen, um die Metadaten hochzuladen.

7

Wählen Sie je nachdem, wie Ihre IdP-Metadaten signiert sind, entweder Weniger sicher (selbstsigniert) oder Sicherer (signiert von einer öffentlichen Zertifizierungsstelle) und klicken Sie anschließend auf Speichern.

8

Konfigurieren Sie die Just-in-Time (JIT)-Einstellungen und die SAML-Mapping-Antwort.

Siehe Konfigurieren von Just-in-Time (JIT) und SAML-Mapping auf der Registerkarte Verwalten Ihrer IdPs in diesem Artikel.
9

Klicken Sie auf SSO-Setup testen, und wenn sich ein neuer Browser-Tab öffnet, authentifizieren Sie sich beim IdP durch Anmelden.

Testen Sie die SSO, bevor Sie sie aktivieren. Dieser Schritt funktioniert wie ein Trockenlauf und wirkt sich nicht auf Ihre Organisationseinstellungen aus, bis Sie SSO nächsten Schritt aktivieren.

Wenn Sie eine Authentifizierungsfehlermeldung erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldefunktion zu testen, empfehlen wir Ihnen, auf diesem Bildschirm auf URL in die Zwischenablage kopieren zu klicken und sie in einem privaten Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

10

Klicken Sie auf Speichern.

Verwalten Sie Ihre Service Provider (SP)-Zertifikate

Vorbereitungen

Es wird empfohlen, bei der Erneuerung Ihres SP-Zertifikats alle Ihre IdPs in Ihrer Organisation zu aktualisieren.

Dies gilt nur für die SAML-Konfiguration.

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Identitätsanbieter.

4

Gehen Sie zum IdP und klicken Sie auf Nächstes Symbol.

5

Klicken Sie auf Zertifikate und Ablaufdatum prüfen.

Hier gelangen Sie zur Seite Dienstanbieter (SP)-Zertifikate. Sie können auf Menü „Mehr“ klicken, um die SP-Metadaten oder das Zertifikat herunterzuladen.

Wenn Ihre Organisation Dualzertifikate verwendet, haben Sie auch die Möglichkeit, ein sekundäres Zertifikat in ein primäres Zertifikat umzuwandeln oder ein vorhandenes sekundäres Zertifikat zu löschen.

6

Klicken Sie auf Zertifikat erneuern.

7

Wählen Sie den IdP-Typ in Ihrer Organisation aus:

  • Identitätsanbieter (IdP), der ein einzelnes Zertifikat unterstützt
  • Identitätsanbieter (IdP), der mehrere Zertifikate unterstützt
8

Wählen Sie den Zertifikattyp für die Verlängerung aus:

  • Von Cisco selbst signiert (empfohlen)—Wir empfehlen diese Option. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle— Sicherer, aber Sie müssen die Metadaten regelmäßig aktualisieren (es sei denn, Ihr IdP-Anbieter unterstützt Trust Anchors).

Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.

9

Um zu bestätigen, dass Sie das aktuelle Zertifikat durch das von Ihnen ausgewählte ersetzen möchten, aktivieren Sie . Klicken Sie auf "Durch Klicken auf ‚Zertifikat ersetzen‘ werde ich das aktuelle Zertifikat durch das von mir ausgewählte ersetzen" , und klicken Sie dann auf "Zertifikat ersetzen" .

10

Klicken Sie auf der Seite Service Provider (SP)-Zertifikate erneuern ] auf Metadaten herunterladen oder Zertifikat herunterladen, um eine Kopie der aktualisierten Metadatendatei oder des Zertifikats aus der Webex-Cloud herunterzuladen.

11

Navigieren Sie zur Verwaltungsschnittstelle Ihres Identitätsanbieters, um die neue Webex-Metadatendatei oder das Zertifikat hochzuladen.

Dieser Schritt kann über eine Browser-Registerkarte, ein Remote-Desktop-Protokoll (RDP) oder über einen bestimmten Cloud-Anbieter-Support erfolgen. Dies hängt von Ihrer IdP-Einrichtung ab und ob Sie oder ein separater IdP-Administrator für diesen Schritt verantwortlich sind.

Weitere Informationen finden Sie in unseren SSO -Integrationsleitfäden oder wenden Sie sich an Ihren IdP-Administrator , um Unterstützung zu erhalten. Wenn Sie Active Directory Federation Services (AD FS) verwenden, können Sie hier nachsehen, wie Sie Webex-Metadaten in AD FS aktualisieren.

12

Zurück zur Control Hub-Oberfläche. Auf der Seite Service Provider (SP)-Zertifikate erneuern, aktivieren Sie Ich habe die Metadaten für alle IdPs bereits aktualisiertund klicken Sie dann auf Weiter.

13

Klicken Sie auf Fertig.

SSO-Einrichtung prüfen

Vorbereitungen

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Identitätsanbieter.

4

Gehen Sie zum IdP und klicken Sie auf Menü „Mehr“.

5

Select Test IdP.

6

Klicken Sie auf SSO-Setup testen, und wenn sich ein neuer Browser-Tab öffnet, authentifizieren Sie sich beim IdP durch Anmelden.

Wenn Sie eine Authentifizierungsfehlermeldung erhalten, liegt möglicherweise ein Problem mit den Anmeldeinformationen vor. Überprüfen Sie Nutzernamen und Passwort und versuchen Sie es erneut.

Ein Fehler in der Webex-App bedeutet in der Regel ein Problem mit der SSO Einrichtung. Gehen Sie in diesem Fall erneut die Schritte durch, insbesondere die Schritte, in denen Sie die Cisco Control Hub-Metadaten kopieren und in die IdP-Einrichtung einfügen.

Um die SSO-Anmeldefunktion zu testen, empfehlen wir Ihnen, auf diesem Bildschirm auf URL in die Zwischenablage kopieren zu klicken und sie in einem privaten Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

7

Kehren Sie zur Registerkarte Control Hub im Browser zurück.

  • Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test aus. Aktivieren Sie SSO und IdP und klicken Sie auf Speichern.
  • Wenn der Test nicht erfolgreich war, wählen Sie Nicht erfolgreich aus. Gehen Sie zu den vorherigen Schritten zurück, um die Fehler zu beheben.

Die SSO-Konfiguration wird in Ihrer Organisation erst wirksam, wenn Sie die erste Option Optionsschaltfläche wählen und diese SSO.

Just-in-Time (JIT)- und SAML-Zuordnung konfigurieren

Vorbereitungen

Stellen Sie sicher, dass die folgenden Vorbedingungen erfüllt werden:

  • SSO ist bereits konfiguriert.

  • Die Domänen wurden bereits verifiziert.

  • Die Domains wurden beansprucht und aktiviert. Diese Funktion stellt sicher, dass Benutzer Ihrer Domain jedes Mal, wenn sie sich bei Ihrem Identitätsanbieter authentifizieren, einmalig angelegt und aktualisiert werden.

  • Wenn DirSync oder Entra ID aktiviert sind, funktioniert SAML JIT create oder update nicht.

  • "Block Benutzerprofil Aktualisierung" ist aktiviert. SAML Update Mapping (SAML-Aktualisierungszuordnung) ist zulässig, da diese Konfiguration die Möglichkeit des Benutzers steuert, die Attribute zu bearbeiten. Vom Administrator kontrollierte Methoden der Erstellung und Aktualisierung werden weiterhin unterstützt.

Wenn Sie SAML JIT mit Entra ID oder einem IdP einrichten, bei dem die E-Mail-Adresse kein permanenter Identifikator ist, empfehlen wir Ihnen, das externalId -Verknüpfungsattribut zu verwenden, um eine Zuordnung zu einem eindeutigen Identifikator vorzunehmen. Wenn wir feststellen, dass die E-Mail-Adresse nicht mit dem Verknüpfungsattribut übereinstimmt, wird der Benutzer aufgefordert, seine Identität zu bestätigen oder einen neuen Benutzer mit der korrekten E-Mail-Adresse anzulegen.

Neu erstellte Benutzer erhalten lizenzen nicht automatisch, es sei denn, das Unternehmen hat eine automatische Lizenzvorlage eingerichtet.

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Identitätsanbieter.

4

Gehen Sie zum IdP und klicken Sie auf Menü „Mehr“.

5

Auswählen SAML-Zuordnung bearbeiten.

6

Just-in-Time (JIT)-Einstellungen konfigurieren .

  • Benutzer erstellen oder aktivieren: Wenn kein aktiver Benutzer gefunden wird, erstellt Webex Identity den Benutzer und aktualisiert die Attribute, nachdem sich der Benutzer beim Identitätsanbieter authentifiziert hat.
  • Benutzer mit SAML-Attributen aktualisieren: Wenn ein Benutzer mit E-Mail-Adresse gefunden wird, aktualisiert Webex Identity den Benutzer mit den in der SAML-Assertion zugeordneten Attributen.
Bestätigen Sie, dass sich Benutzer mit einer anderen, nicht identifizierbaren E-Mail-Adresse anmelden können.

7

Konfigurieren Sie SAML-Zuordnung erforderliche Attribute.

Tabelle 1: Erforderliche Attribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Benutzername/Primäre E-Mail-Adresse

Beispiel: Uid

Ordnen Sie das UID-Attribut der angegebenen E-Mail-Adresse des Benutzers, UPN oder edupersonprincipalname zu.

8

Konfigurieren Sie die Verknüpfungsattribute.

Dies sollte für jeden Benutzer individuell sein. Es dient dazu, einen Benutzer aufzurufen, damit Webex alle Profilattribute, einschließlich der E-Mail-Adresse, für einen Benutzer aktualisieren kann.
Tabelle 2. Verknüpfungsattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

Erweiterungsattribut 1

Beispiel: user.extensionattribute1

Ordnen Sie diese benutzerdefinierten Attribute erweiterten Attributen in Entra ID oder Ihrem Verzeichnis zu, um Tracking-Codes zu erhalten.

Erweiterungsattribut 2

Beispiel: user.extensionattribute2

Erweiterungsattribut 3

Beispiel: user.extensionattribute3

Erweiterungsattribut 4

Beispiel: Benutzer.Erweiterunglattribute4

Erweiterungsattribut 5

Beispiel: user.extensionattribute5

9

Konfigurieren Profilattribute.

Tabelle 3. Profilattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

preferredLanguage

Beispiel: user.preferredsprache

Die bevorzugte Sprache des Benutzers.

locale

Beispiel: user.locale

Der primäre Arbeitsstandort des Benutzers.

timezone

Beispiel: user.zeitzone

Die primäre Zeitzone des Benutzers.

displayName

Beispiel: user.displayname

Der Anzeigename des Benutzers in Webex.

name.givenName

Beispiel: user.givenname

Der Vorname des Benutzers.

name.familyName

Beispiel: Benutzer. Nachname

Der Nachname des Benutzers.

Adressen.streetAddress

Beispiel: user.streetaddress

Die Postanschrift des primären Arbeitsstandorts.

Adressen.Ort

Beispiel: Benutzer.LokalisierungDer Ort des primären Arbeitsstandorts.

Adressen.Region

Beispiel: Benutzer.Region

Die Region des primären Arbeitsstandorts.

Adressen.postalCode

Beispiel: user.postalcode

Die Postleitzahl des primären Arbeitsstandorts.

Adressen.Land

Beispiel: Benutzer.Land

Das Land des primären Arbeitsstandorts.

phoneNumbers.work

Beispiel: Telefonnummer (arbeit)

Die geschäftliche Telefonnummer des primären Arbeitsstandorts. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

phoneNumbers.extension

Beispiel: Durchwahl

Die geschäftliche Durchwahl der primären geschäftlichen Telefonnummer. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

phoneNumbers.mobile

Beispiel: MobiltelefonnummerDie Mobiltelefonnummer des primären Arbeitsstandorts. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

title

Beispiel: user.jobtitle

Die Position des Benutzers.

abteilung

Beispiel: Benutzer.Abteilung

Die Arbeitsabteilung oder das Team des Benutzers.

emails.workBeispiel: geschäftliche E-MailsDie geschäftlichen E-Mails des Benutzers.
OrganisationBeispiel: BenutzerorganisationDie Organisations-ID des Benutzers
10

Konfigurieren Gruppenattribute.

  1. Erstellen Sie eine Gruppe im Control Hub und notieren Sie sich die Webex-Gruppen-ID.
  2. Gehen Sie zu Ihrem Benutzerverzeichnis oder IdP und richten Sie ein Attribut für Benutzer ein, die der Webex-Gruppen-ID zugewiesen werden sollen.
  3. Aktualisieren Sie die Konfiguration Ihres IdP, um einen Anspruch einzuschließen, der diesen Attributnamen zusammen mit der Webex-Gruppen-ID enthält (z. B. c65f7d85-b691-42b8-a20b-12345xxxx). Sie können die externe ID auch zur Verwaltung von Änderungen an Gruppennamen oder für zukünftige Integrationsszenarien verwenden. Zum Beispiel die Synchronisierung mit Entra ID oder die Implementierung der SCIM-Gruppensynchronisierung.
  4. Geben Sie den genauen Namen des Attributs an, das in der SAML-Assertion zusammen mit der Gruppen-ID gesendet werden soll. Dies dient dazu, den Benutzer einer Gruppe hinzuzufügen.
  5. Geben Sie den genauen Namen der externen ID des Gruppenobjekts an, wenn Sie eine Gruppe aus Ihrem Verzeichnis verwenden, um Mitglieder in der SAML-Assertion zu senden.

Wenn Benutzer A mit groupID 1234 und Benutzer B mit groupID 4567 verknüpft ist, werden sie getrennten Gruppen zugeordnet. Dieses Szenario verdeutlicht, dass ein einzelnes Attribut es Benutzern ermöglicht, sich mit mehreren Gruppen-IDs zu verknüpfen. Dies ist zwar ungewöhnlich, aber möglich und kann als additive Veränderung betrachtet werden. Wenn sich beispielsweise Benutzer A mit groupID 1234 anmeldet, wird er Mitglied der entsprechenden Gruppe. Wenn sich Benutzer A später mit groupID 4567 anmeldet, wird er ebenfalls dieser zweiten Gruppe hinzugefügt.

SAML JIT Provisioning unterstützt weder das Entfernen von Benutzern aus Gruppen noch das Löschen von Benutzern.

Tabelle 4. Gruppenattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Gruppen-ID

Beispiel: Gruppen-ID

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

groupexternalId

Beispiel: groupexternalId

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

Eine Liste der SAML-Assertion-Attribute für Webex Meetings finden Sie unter SAML Assertion Attributes for Webex Meetings and Jabber.

Löschen Sie Ihren Identitätsanbieter (IdP).

Vorbereitungen

Es wird empfohlen, zuerst die Routing-Regeln des IdP zu deaktivieren oder zu löschen, bevor der IdP gelöscht wird.

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Identitätsanbieter.

4

Gehen Sie zum IdP und klicken Sie auf Menü „Mehr“.

5

Wählen Sie Löschen aus.

1

Melden Sie sich bei Control Hub an.

2

Gehe zu Verwaltung > Sicherheit > Authentifizierung.

3

Wechseln Sie zur Registerkarte Identitätsanbieter.

4

Klicken Sie auf SSO deaktivieren.

SSO-Deaktivierung bestätigen.

Nach der Bestätigung wird SSO für alle Identitätsanbieter in Ihrer Organisation deaktiviert.

Sie erhalten Warnungen in Control Hub, bevor die Zertifikate Ablaufen, aber Sie können auch proaktiv Warnregeln einrichten. Diese Regeln informieren Sie im Voraus, dass Ihre SP- oder IdP-Zertifikate ablaufen. Wir können ihnen diese per E-Mail, über einen Bereich in der Webex-App oder überbeides senden.

Unabhängig vom konfigurierten Bereitstellungskanal werden alle Warnungen immer in Control Hubangezeigt. Weitere Informationen finden Sie unter Warnungszentrum im Control Hub.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zum Benachrichtigungszentrum.

3

Wählen Sie Verwalten und dann Alle Regeln aus.

4

Wählen Sie aus der Liste Regeln eine der SSO, die Sie erstellen möchten:

  • SSO des IDP-Zertifikatsablaufs
  • SSO des SP-Zertifikats abgelaufen
5

Aktivieren Sie im Abschnitt Zustellkanal das Kontrollkästchen für E-Mail, Webex-Bereichoder beides.

Wenn Sie E-Mail wählen, geben Sie die E-Mail-Adresse ein, die die Benachrichtigung erhalten soll.

Wenn Sie die Option für den Webex-Bereich auswählen, werden Sie automatisch zu einem Bereich innerhalb der Webex-App hinzugefügt und wir senden die Benachrichtigungen dort.

6

Speichern Sie Ihre Änderungen.

Nächste Schritte

Wir senden alle 15 Tage ab 60 Tagen vor Ablauf eines Zertifikats eine Benachrichtigung über den Ablauf des Zertifikats. (Sie können Benachrichtigungen an den Tagen 60, 45, 30 und 15 erwarten.) Die Benachrichtigungen enden, sobald Sie das Zertifikat erneuern.

Sollten Sie Probleme mit Ihrer SSO-Anmeldung haben, können Sie die Option SSO Self Recovery verwenden, um Zugriff auf Ihre in Control Hub verwaltete Webex-Organisation zu erhalten. Die Option zur Selbstwiederherstellung ermöglicht es Ihnen, SSO im Control Hub zu aktualisieren oder zu deaktivieren.

War dieser Artikel hilfreich für Sie?
War dieser Artikel hilfreich für Sie?
PreiseWebex-AppMeetingsCallingNachrichtenTeilen von Bildschirminhalten
Webex SuiteCallingMeetingsNachrichtenSlidoWebinareEventsContact CenterCPaaSSicherheitControl Hub
HeadsetsKamerasTisch-SerieRoom-SerieBoard-SerieTelefon-SerieZubehör
BildungGesundheitswesenRegierungsbehördenFinanzenSport und UnterhaltungFrontlineGemeinnützigStartupsHybrid-Arbeit
DownloadsTest-Meeting beitretenOnline-KurseIntegrationenZugänglichkeitInklusivitätLive- und On-Demand-WebinareWebex-CommunityWebex-EntwicklerNeuigkeiten und Innovationen
CiscoSupport kontaktierenKontaktieren Sie das Sales-TeamWebex BlogWebex Thought LeadershipWebex Merch StoreKarrieren
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
NutzungsbedingungenDatenschutzerklärungCookiesMarkenzeichen
©2026 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten.
NutzungsbedingungenDatenschutzerklärungCookiesMarkenzeichen