已針對 Webex 組織測試了下列網路存取管理和同盟解決方案。 下面鏈結的文件可逐步引導您瞭解如何將特定身份識別提供者 (IdP) 與您的 Webex 組織進行整合。


這些指南涵蓋了託管在 Control Hub (https://admin.webex.com) 中 Webex 服務的 SSO 整合。 如果您正在尋找 Webex Meetings 網站(託管在「網站管理」中)的 SSO 整合,請閱讀為 Cisco Webex 網站設定單一登入

如果下面未列出 IdP,請使用本文中 SSO 設定標籤中的高階步驟。

單一登入 (SSO) 可讓使用者透過向組織通用身分識別提供者 (IdP) 驗證,安全地登入 Webex。 Webex 應用程式使用 Webex 服務與 Webex 平台身分識別服務進行通訊。 身分識別服務會使用您的身分識別提供者 (IdP) 驗證。

您可以在 Control Hub 中開始設定。 此部分會擷取用來整合協力廠商 IdP 的主要通用步驟。

對於 SSO 及 Control Hub,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:

  • 將 NameID 格式屬性設定成 urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • 根據您要部署的 SSO 的類型,設定在 IdP 上的宣告:

    • SSO(適用於組織)- 如果您要代表組織設定 SSO,請將 IdP 宣告設定為包含 uid 屬性名稱,其值會對映至目錄連接器中所選的屬性,或是對映至與 Webex 身分識別服務中所選屬性相符合的使用者屬性。 (例如,此屬性可為 E-mail-Addresses 或 User-Principal-Name。)

    • 合作夥伴 SSO(僅適用於服務提供者)- 如果您是服務提供者管理員且負責設定服務提供者管理的客戶組織使用的合作夥伴 SSO,請設定 IdP 宣告以包含郵件屬性(而不是uid)。 值必須對映到目錄連接器中所選的屬性,或與 Webex 身分識別服務中所選屬性相符的使用者屬性。


    如需 SSO 或合作夥伴 SSO 的自訂屬性對映詳細資訊,請參閱 https://www.cisco.com/go/hybrid-services-directory

  • 僅適用於合作夥伴 SSO。 此身分識別提供者必須支援多個判斷提示取用者服務 (ACS) URL。 如需如何對身分識別提供者設定多個 ACS URL 的範例,請參閱:

  • 使用支援的瀏覽器: 我們建議使用最新版本的 Mozilla Firefox 或 Google Chrome。

  • 在瀏覽器中停用任何快顯封鎖程式。


該設定指南顯示 SSO 整合的特定範例,但不提供所有可能性的詳盡設定。 例如,會記錄 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的整合步驟。 諸如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 之類的其他格式將適用於 SSO 整合,但不在我們的文檔討論範圍之內。

您必須在 Webex 平台身分識別服務與您的 IdP 之間建立 SAML 協議。

您需要兩個檔案來達成成功的 SAML 協議:

  • IdP 中的中繼資料檔案,授予 Webex。

  • Webex 中的中繼資料檔案,授予 IdP。

這是 IdP 中具有中繼資料的 PingFederate 中繼資料檔案範例。

身分識別服務中的中繼資料檔案。

以下是您預期從身分識別服務的中繼資料檔案中看到的內容。

  • EntityID — 它用來識別 IdP 設定中的 SAML 協議

  • 已簽署 AuthN 請求或任何簽署聲明沒有需求,它符合 IdP 在中繼資料檔案中所請求的內容。

  • 用來驗證中繼資料之 IdP 的已簽署中繼資料檔案屬於身分識別服務。

1

登入 Control Hub (https://admin.webex.com),前往設定,捲動至驗證,然後按一下修改

2

選取整合協力廠商身分識別提供者。 (進階),然後按一下開始

3

按一下下載中繼資料檔案,然後按下一步

4

Webex 平台身分識別服務會驗證來自 IdP 的中繼資料檔。

從客戶 IdP 驗證中繼資料有兩種可能的方法:

  • 客戶 IdP 在中繼資料中提供一個由公用根 CA 簽署的簽章。

  • 客戶 IdP 提供一個自我簽署的專用 CA 或不為其中繼資料提供簽章。 此選項不太安全。

5

測試 SSO 連線,然後再啟用它。

6

如果測試成功,則啟用單一登入。

如果您遇到 SSO 整合問題,可以使用本節中的要求和程序對 IdP 和 Webex 之間的 SAML 流程進行疑難排解。

  • 使用適用於 FirefoxChrome 的 SAML 追蹤附加程式。

  • 若要進行疑難排解,請使用安裝了 SAML 追蹤除錯工具的 Web 瀏覽器,然後移至 Web 版本的 Cisco Webex 程式(位於 https://teams.webex.com)。

以下是 Webex 應用程式、Webex 服務、Webex 平台身分識別服務和身分識別提供者 (IdP) 之間的訊息流。

  1. 轉至 https://admin.webex.com,在啟用了 SSO 的情況下,應用程式會提示輸入電子郵件地址。
  2. 應用程式將 GET 請求傳送至 OAuth 授權伺服器以請求權杖。 該請求會被重新導向至身分識別服務,直至 SSO 或使用者名稱和密碼流程。 即會傳送驗證伺服器的 URL。
  3. Webex 應用程式會使用 SAML HTTP POST 從 IdP 請求 SAML 聲明。
  4. 會在作業系統 Web 資源與 IdP 之間驗證應用程式。
  5. 應用程式會將 HTTP Post 傳回身分識別服務,並包括 IdP 提供的屬性以及在初始協議中同意的屬性。
  6. 從 IdP 至 Webex 的 SAML 聲明。
  7. 身分識別服務會接收取代為 Oauth 存取權與重新整理權杖的授權碼。 此權杖用來代表使用者存取資源。
1

轉至 https://admin.webex.com,在啟用了 SSO 的情況下,應用程式會提示輸入電子郵件地址。

應用程式將資訊傳送至 Webex 服務,而該服務會驗證電子郵件地址。

2

應用程式將 GET 請求傳送至 OAuth 授權伺服器以請求權杖。 該請求會被重新導向至身分識別服務,直至 SSO 或使用者名稱和密碼流程。 即會傳送驗證伺服器的 URL。

您可以在追蹤檔案中看到 GET 請求。

在參數區段中,服務會尋找 Oauth 代碼、已傳送請求的使用者電子郵件,以及其他 Oauth 詳細資料,例如 ClientID、redirectURI 和範圍。

3

Webex 應用程式會使用 SAML HTTP POST 從 IdP 請求 SAML 聲明。

啟用 SSO 之後,身分識別服務中的驗證引擎會重新導向至 IdP URL 進行 SSO。 交換中繼資料時提供的 IdP URL。

檢查追蹤工具中是否有 SAML POST 訊息。 您會看到向 IdPbroker 所請求的 IdP 顯示一則 HTTP POST 訊息。

RelayState 參數顯示來自 IdP 的正確回覆。

檢閱 SAML 請求的解碼版本,不存在必要的 AuthN,且答案的目的地應該移至 IdP 的目的地 URL。 確保已在 IdP 中的正確 entityID (SPNameQualifier) 之下正確設定 nameid-format

IdP nameid-format 已指定,且已在建立 SAML 協議時配置協議名稱。

4

會在作業系統 Web 資源與 IdP 之間驗證應用程式。

根據您的 IdP 以及在 IdP 中設定的驗證機制,會從 IdP 啟動不同的流程。

5

應用程式會將 HTTP Post 傳回身分識別服務,並包括 IdP 提供的屬性以及在初始協議中同意的屬性。

成功驗證後,應用程式會將 SAML POST 訊息中的資訊傳送至身分識別服務。

RelayState 與先前的 HTTP POST 訊息相同,其中應用程式告知 IdP 哪個 EntityID 正在請求聲明。

6

從 IdP 至 Webex 的 SAML 聲明。

7

身分識別服務會接收取代為 Oauth 存取權與重新整理權杖的授權碼。 此權杖用來代表使用者存取資源。

身分識別服務會驗證來自 IdP 的回答,它們發出 OAuth 權杖以允許 Webex 應用程式存取不同的 Webex 服務。