单点登录和 Cisco Webex Teams

单点登录 (SSO) 是一种会话或用户验证的流程,允许用户通过提供凭证来访问一个或多个应用程序。 此流程能够为用户已获得授权的所有应用程序验证用户。 这样用户在特定会话期间切换应用程序时,不会再看到额外提示。

安全断言标记语言 (SAML 2.0) 联合协议用于提供 Cisco Webex 云与您的身份提供程序 (IdP) 之间的 SSO 验证。

档案

Cisco Webex Teams 仅支持 Web 浏览器 SSO 档案。 在 Web 浏览器 SSO 档案中,Cisco Webex Teams 支持下列绑定:

  • SP 发起的 POST->POST 绑定

  • SP 发起的 REDIRECT->POST 绑定

NameID 格式

为了传达关于特定用户的信息,SAML 2.0 协议支持多种 NameID 格式。Cisco Webex Teams 支持下列 NameID 格式。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

在您从 IdP 加载的元数据中,第一个条目是为在 Cisco Webex 中使用而配置的。

单点注销

Cisco Webex Teams 支持单点注销档案。 当用户在 Cisco Webex Teams 应用程序中注销时,系统会使用 SAML 单点注销协议结束会话并与您的 IdP 确认该注销操作。 请确保您的 IdP 经过单点注销配置。

集成 Cisco Webex Control Hub 与 Google Apps 以实现单点登录


配置指南给出了 SSO 集成的特定示例,但没有提供针对所有可能性的详细配置。 例如,记录了 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的集成步骤。 其他格式如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 也适用于 SSO 集成,但不在我们的文档范围内。

Cisco Webex 组织中的用户设置此集成(包括 Cisco Webex TeamsCisco Webex Meetings 和在 Cisco Webex Control Hub 中管理的其他服务)。 如果您的 Webex 站点已集成在 Cisco Webex Control Hub 中,Webex 站点会继承用户管理。 如果您无法用这种方式访问 Cisco Webex Meetings,且其不受 Cisco Webex Control Hub 管理,则必须另外执行集成来为 Cisco Webex Meetings 启用 SSO。 (请参阅配置 Webex 的单点登录了解站点管理中 SSO 集成的更多信息。)

开始之前

对于 SSO 和 Cisco Webex Control Hub,IdP 必须遵循 SAML 2.0 规范。 此外,IdP 必须按以下方式进行配置:
  • 将“NameID 格式”属性设置为 urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • 配置 IdP 声明,包括 uid 属性名称,其值要映射到在 Cisco 目录连接器中选择的属性或者映射到用户属性,而用户属性应与 Cisco Webex 身份服务中选择的用户属性匹配。 (例如,该属性可以是电子邮件地址,也可以是用户主体名称。) 请参阅 https://www.cisco.com/go/hybrid-services-directory 中的自定义信息获取指导。

  • 使用受支持的浏览器。 我们建议使用最新版本的 Mozilla Firefox 或 Google Chrome。

  • 禁止浏览器中的任何弹出式窗口拦截器。

下载 Cisco Webex 元数据到本地系统

1

https://admin.webex.com 中的客户视图,转至设置,然后滚动到验证

2

单击修改,单击集成第三方身份提供程序。 (高级),然后单击下一步

3

下载元数据文件。

Cisco Webex 元数据文件名是 idb-meta-<org-ID>-SP.xml

在 Google Admin 中配置自定义应用程序

1

使用具有管理权限的帐户登录 Google Apps 管理控制台 (https://admin.google.com), 然后单击 " 应用程序"

2

在应用程序视图中单击“SAML 应用程序”。

3

在“SAML 应用程序”页面上单击加号 (+) 按钮,然后从弹出的页面中选择“设置我自己的自定义应用程序”。

4

在“Google IdP 信息”页面上的“选项 2”下方,单击“下载”并将文件保存到本地系统上易于查找的位置。

Google 元数据文件下载完成。 文件名格式为 GoogleIDPMetadata<domain name>

5

单击下一步

6

自定义应用程序基本信息页面上,输入应用程序名称 Cisco Webex Teams,然后单击下一步

7

要填写服务商详情页面,请用文本编辑器打开您之前下载的 Cisco Webex 元数据文件。

  1. Cisco Webex 元数据文件中搜索 “AssertionConsumerService”,然后将关键字 Location 后面的 URL 复制粘贴到“服务商详细信息”页面上的“ACS URL”字段中。

    示例:

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp
  2. Cisco Webex 元数据文件中搜索 “entityID”,然后将其后的 URL 复制粘贴到“服务商详细信息”页面上的实体标识字段中。

    示例:

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c
  3. “名称标识”应设置为“基本信息和主要电子邮件”

  4. “名称标识格式”应设置为“未指定”

  5. 不要求映射属性,因此可以在“属性映射”页面上单击“完成”

创建 Cisco Webex SAML 应用程序后,必须为用户启用该程序。

8

单击 Cisco Webex SAML 应用程序右侧的垂直点,然后选择一项:

  • 为每个用户启用
  • 为部分组织启用(然后选择组织)

导入 IdP 元数据并在测试后启用单点登录

导出 Cisco Webex 元数据,配置 IdP,并将 IdP 元数据下载到本地系统后,您便准备就绪,可以将该元数据导入到 Cisco Webex 组织中(从 Control Hub)。

1

选择一种:

  • 回到浏览器中的“Cisco Webex Control Hub – 导出目录元数据”页面,然后单击下一步
  • 如果 Control Hub 在浏览器标签页中不再是打开状态,请依次从 https://admin.webex.com 中的客户视图转至设置,滚动至验证,选择集成第三方身份提供程序(高级),然后在受信任元数据文件页面中单击下一步(因为您之前已完成)。
2

在“导入 IdP 元数据”页面中,将 IdP 元数据文件拖放到该页面,或使用文件浏览器选项来找到和上传该元数据文件。 单击下一步

如果元数据未签名、使用自签名证书签名或由私有企业证书颁发机构 (CA) 签名,我们建议您使用要求在元数据中使用由证书颁发机构签名的证书(安全级别较高)。 如果是自签名证书,您需要选择安全级别较低的选项。

3

选择测试 SSO 连接,当新的浏览器标签页打开时,登录并使用 IdP 进行验证。


 

如果您收到验证错误,可能是凭证有问题。 请检查用户名和密码并重试。

Webex Teams 错误往往意味着 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

4

返回到 浏览器标签页。Control Hub

  • 如果测试成功,选择“测试成功”。 启用“单点登录”选项并单击“下一步”。
  • 如果测试失败,选择“测试失败”。 禁用“单点登录”选项并单击“下一步”。

下一步做什么

您可以按照阻止自动电子邮件中的步骤禁用发送给组织中新 Webex Teams 用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。