单点登录

Webex SSO 使用一个唯一标识符让组织中的人员访问所有企业应用程序。 管理员可以使用 Webex Administration 来为 Webex 应用程序配置 SSO。


 

单点登录是可选功能,必须对站点进行设置才可使用。 有关更多信息,请联系思科支持人员。

配置 SSO

使用以下步骤配置 SSO 和 SAML 2.0。

准备工作

获取并设置以下要求。

  • 符合 SAML 2.0 或 WS Federate 1.0 标准的身份提供程序 (IdP),例如 CA SiteMinder、ADFS 和 Ping Identity。


     

    SAML 1.1 和 WS Federate 1.0 已被弃用,不再受Cisco Webex支持。

  • 来自可信证书颁发机构,如 VeriSign 和 Thawte 的企业 X.509 公钥证书。

  • 配置为向 SAML 断言提供用户帐户信息和 SAML 系统标识的 IdP。

  • IdP XML 文件。

  • 企业 IAM 服务的 URL

1

登录 Webex 管理并转至配置>通用站点设置> SSO 配置

2

联合协议下拉列表中,选择 SAML 2.0

如果存在现有配置,某些字段可能已预填。

3

选择站点证书管理器链接。

4

站点证书管理器窗口中,选择浏览,然后导航至 X.509 证书的 .CER 文件的位置。

5

选择 .CER 文件,然后选择确定

6

选择关闭

7

SSO 配置页面上输入必填信息,然后选择要启用的选项。

8

选择更新

SSO 配置页面

下表将列出并描述 SSO 配置页上的字段和选项。


 

您在配置期间使用的信息必须精准。 如果您需要有关配置站点 SSO 所需信息的进一步说明,请联系标识提供者。

表 1. SSO 配置页上的字段和选项

字段或选项

描述

AuthnContextClassRef

描述在 IdP 进行的身份验证的 SAML 语句。 必须与身份访问管理(IAM)配置匹配。 ADFS 示例: urn:federation:authentication:windowsurn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping 例如: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

要使用多个 AuthnContextClassRef 值,添加 ";"。例如: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

自动创建帐户(可选)

选择以创建用户帐户。 UID、电子邮件及姓名字段必须存在于断言中。

自动更新帐户(可选)

t 中存在 updateTimeStamp 属性可更新 Webex 帐户当在 IdP 中进行修改时,新的时间戳将发送到Webex 站点w 帐户,并且 SAML 断言中发送任何属性。

客户 SSO 错误 URL(可选)

如果发生错误,重定向到该 URL,同时在 URL 中附加错误代码。

客户 SSO 服务登录 URL

企业单点登录服务的 URL。 用户通常使用该 URL 登录。 位于 IdP XML 文件中(例如: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

缺省 Webex 目标页面 URL(可选)

在身份验证后,仅显示为 Web 应用程序指定的目标页面。

导入 SAML 元数据(链接)

单击打开 联合 Web SSO 配置 - SAML 元数据对话框。 导入的元数据字段包含以下内容:

  • AuthnRequestSigned Destination

  • SAML 的颁发者(IdP 标识)

  • 客户 SSO 服务登录 URL

SAML 的颁发者(IdP 标识)

URI 将唯一地标识 IdP。 该配置必须与客户身份访问管理(IAM)系统中的设置匹配。 位于 IdP XML 文件中(例如: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust"

NameID 格式

必须与 IdP 配置匹配,并支持以下格式:

  • 未指定

  • 电子邮件地址

  • X509 主体名称

  • 实体标识符

  • 永久标识符

删除 Active Directory UPN 的 UID 域后缀

当选中时,将会从用户主体名称(UPN)中删除 Active Directory 域。

SSO 配置文件

指定用户如何访问Webex 站点。 选择SP 发起如果用户从Webex 会议站点开始并被重定向到企业 IdP 系统进行身份验证。 选择已发起 IdP如果用户通过公司 IAM 系统访问Webex 站点。

针对与会者的单点登录身份验证

此功能为使用Webex Meetings、Webex Training 和 Webex Events 的内部与会者提供 SAML 断言用户验证的额外责任级别。 启用后,此功能将取代Webex Meetings的“在参加者列表中显示内部用户标记”功能。

AuthnRequest 的签名算法

为了增强安全性,现在可以生成 SHA-1,SHA-256 或 SHA-512 签名证书。

单点注销(可选)

选中以要求注销并且设置注销 URL。


 

不支持 IdP 发起的单点注销。

Webex SAML 颁发者(SP 标识)

URI 会将Webex Messenger服务标识为 SP。 该配置必须与客户身份访问管理系统中的设置匹配。 推荐的命名规则: 对于Webex Meetings,输入Webex Meetings站点 URL。 对于Webex Messenger服务,使用“客户端-域名”格式(例如: IM-Client-ADFS-WebexEagle-Com )。

您可导出 SAML 元数据 Webex 配置文件

您可导出一些的元数据,将来可再导入这些数据。 导出的元数据字段包含以下内容:

  • AuthnRequestSigned Destination

  • SAML 的颁发者(IdP 标识)

  • 客户 SSO 服务登录 URL

续订过期证书

准备工作

此功能仅适用于已在 Webex 管理中配置 SSO 并且尚未在 Control Hub 中管理其站点的管理员。


 

我们建议您在 2022 年 11 月之前将证书更新到身份提供程序 (IdP)。 如果证书过期,用户可能无法成功登录。

1

登录 Webex 管理并转至配置>通用站点设置> SSO 配置

2

向下滚动至站点 SP 证书管理器

显示即将过期和新证书的详细信息(序列号、到期日期、密钥详细信息、状态和操作)。 当前正在使用的证书标记为“活动”。

3

转至新证书,然后单击出口认证

您还可以单击导出元数据,以下载带有新证书的元数据。


 

新的证书文件将在一年后过期。 管理员需要注意任何警报通知。

4

将新的证书文件上传到您的身份提供程序 (IdP)。

5

选择活动中新证书的单选按钮。

6

单击更新

新证书现已生效。

7

测试新证书。

更新证书时的常见问题解答

问: 此功能是否影响所有管理员?

答: 不,仅影响在 Webex 管理中配置了 SSO 的管理员。

问: 如果管理员在截止日期前未更新证书,会发生什么情况?

答: 证书即将过期,您的用户可能无法成功登录Webex。 我们建议您在2023年10月之前更新证书。

如果证书过期,您仍可登录“站点管理”以更新并激活对应身份提供程序的新证书。 如果您在更新证书时遇到任何问题,请联系您的 Webex 支持团队。

问: 新证书的有效期为多久?

答: 新证书的有效期约为一年。 Webex 运营团队会在现有证书过期前两个月生成一个新证书。 这使您有时间在截止日期前计划和更新证书。