单点登录

Webex SSO使用唯一标识符为组织人员提供所有企业应用程序的访问权限。管理员可以使用 Webex 为 SSO 应用程序Webex应用程序。

单点登录是可选功能,必须对站点进行设置才可使用。请联系Cisco支持部门获取更多信息。

配置 SSO

使用以下步骤配置 SSO 和 SAML 2.0。

准备工作

获取并设置以下要求。

  • 符合标准 SAML 2.0 或 WS 联合身份验证 1.0 的 身份提供程序(IdP),例如 CA SiteMinder、ADFS 和 Ping Identity。

    已弃用 SAML 1.1 和 WS 联合 1.0,不再支持Cisco Webex。

  • 来自可信证书颁发机构,如 VeriSign 和 Thawte 的企业 X.509 公钥证书。

  • IdP 配置为向 SAML 断言提供用户帐户信息和 SAML 系统标识。

  • IdP XML 文件。

  • 企业 IAM 服务的 URL

1

登录 管理Webex转至配置 >通用站点>SSO配置。

2

联合协议下拉列表中,选择 SAML 2.0

如果存在现有配置,某些字段可能已预填。

3

选择站点证书管理器链接。

4

站点证书管理器窗口中,选择浏览,然后导航至 X.509 证书的 .CER 文件的位置。

5

选择 .CER 文件,然后选择确定

6

选择关闭

7

SSO 配置页面上输入必填信息,然后选择要启用的选项。

8

选择更新

SSO 配置页面

下表将列出并描述 SSO 配置页上的字段和选项。

您在配置期间使用的信息必须精准。如果您需要有关配置站点 SSO 所需信息的进一步说明,请联系标识提供者。

表1。 SSO 配置页上的字段和选项

字段或选项

说明

AuthnContextClassRef

描述在 IdP 进行的身份验证的 SAML 语句。必须与身份访问管理(IAM)配置匹配。ADFS 示例:urn:federation:authentication:windowsurn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping 示例:urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

要使用多个 AuthnContextClassRef 值,添加 ";"。例如: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

自动创建帐户(可选)

选择以创建用户帐户。UID、电子邮件和名和姓字段必须存在断言。

自动更新帐户(可选)

Webex可以在 t 中通过 updateTimeStamp 属性更新帐户 当在 IdP 中进行修改时,新的时间戳被发送到 Webex 站点,w 帐户具有 SAML 断言中发送的属性。

客户 SSO 错误 URL(可选)

如果发生错误,重定向到该 URL,同时在 URL 中附加错误代码。

客户 SSO 服务登录 URL

企业单点登录服务的 URL。用户通常使用该 URL 登录。位于IdP XML文件中(示例:<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

缺省 Webex 目标页面 URL(可选)

在身份验证后,仅显示为 Web 应用程序指定的目标页面。

导入 SAML 元数据(链接)

单击以打开联合 Web SSO 配置 - SAML 元数据对话框。导入的元数据字段包含以下内容:

  • AuthnRequestSigned Destination

  • SAML 的颁发者(IdP 标识)

  • 客户 SSO 服务登录 URL

SAML 的颁发者(IdP 标识)

URI 将唯一地标识 IdP。该配置必须与客户身份访问管理(IAM)系统中的设置匹配。位于 IdP XML 文件中(例如:entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

NameID 格式

必须与 IdP 配置匹配,并支持以下格式:

  • 未指定

  • 电子邮件地址

  • X509 主体名称

  • 实体标识符

  • 永久标识符

删除 Active Directory UPN 的 UID 域后缀

当选中时,将会从用户主体名称(UPN)中删除 Active Directory 域。

SSO 配置文件

指定用户如何访问 Webex 站点。如果用户 从会议 站点开始Webex并重定向至企业 IdP 系统进行身份验证,选择 SP 发起。如果用户 通过企业 IAM 系统访问 Webex站点,选择 IdP 发起。

针对与会者的单点登录身份验证

该功能针对使用云、云和云的内部与会者为使用 Webex Meetings、Webex Training 和 Webex Events 的 SAML 断言用户身份验证Webex Events。启用后,此功能将取代Webex Meetings的“在参加者列表中显示内部用户标记”功能。

AuthnRequest 的签名算法

为了增强安全性,现在可以生成 SHA-1,SHA-256 或 SHA-512 签名证书。

单点注销(可选)

选中以要求注销并且设置注销 URL。

不支持 IdP 发起的单点注销。

Webex SAML 颁发者(SP 标识)

URI 将 Webex信使服务标识为 SP。该配置必须与客户身份访问管理系统中的设置匹配。推荐的命名规则:有关Webex Meetings,请输入Webex Meetings URL。对于 Webex 信使服务,使用“client-domain-name”格式(例如:IM-Client-ADFS-WebexEagle-Com)。

您可导出 SAML 元数据 Webex 配置文件

您可导出一些的元数据,将来可再导入这些数据。导出的元数据字段包含以下内容:

  • AuthnRequestSigned Destination

  • SAML 的颁发者(IdP 标识)

  • 客户 SSO 服务登录 URL

续订过期证书

准备工作

此功能仅适用于在“管理”SSO中Webex但尚未在 Control Hub 中管理其站点“的管理员。

我们建议您在2022年11月之前将证书更新到您的身份提供商(IdP)。如果证书过期,用户可能无法成功登录。

1

登录 管理Webex转至配置 >通用站点>SSO配置。

2

向下滚动至站点SP证书管理器

将显示过期和新证书详细信息(序列号、到期日期、关键详细信息、状态和操作)。当前使用的证书被标记为“活动”。

3

转至新证书,然后单击导出证书

您也可以单击 屏幕底部的 导出元数据以下载新证书的元数据。

新的证书文件将在一年后过期。管理员需要留意任何警告通知。

4

将新证书文件上传到您的身份提供商(IdP)。

5

为新证书选择激活 单选按钮。

6

单击“更新”

新证书现已激活。

7

测试新证书。

更新证书时常见问题

问:所有管理员是否都受此功能的影响?

答:不会,只有管理员在“管理”SSO配置Webex受到影响。

问:如果管理员在到期日之前未更新证书,会发生什么?

答:证书将过期,用户可能无法成功登录 Webex证书。我们建议您在2023年10月之前更新证书。

如果证书过期,您仍然可以登录站点管理,以更新并向相应的身份提供程序激活新证书。如果您在更新证书时发现任何问题,请联系您的Webex Support团队。

问:新证书有效期为多长时间?

答:新证书的有效期约为一年。安全Webex团队会在现有证书过期前两个月生成新证书。这为您提供了在到期日期之前计划并更新证书的时间。