站点管理员可选择为其组织设置单点登录(SSO)。 SSO 允许人员使用一组凭证登录到多个应用程序。
单点登录
Webex SSO 使用唯一标识为组织中的人员提供对所有企业应用程序的访问权限。 管理员可以使用 Webex 站点管理为 Cisco Webex 应用程序配置 SSO。
单点登录是可选功能,必须对站点进行设置才可使用。 请联系您的客户成功经理以获取信息。 |
配置 SSO
使用以下步骤配置 SSO 和 SAML 2.0。
开始之前
获取并设置以下要求。
-
符合标准 SAML 2.0 或 WS Federate 1.0 的身份和访问管理(IAM)系统,如 CA SiteMinder、ADFS 和 Ping Identity。
-
来自可信证书颁发机构,如 VeriSign 和 Thawte 的企业 X.509 公钥证书。
-
配置 IAM 以提供带有用户帐户信息和 SAML 系统标识的 SAML 断言。
-
IdP XML 文件。
-
企业 IAM 服务的 URL
1 |
登录“Webex 站点管理”并转至 。 |
2 |
从联合协议下拉列表中,选择 SAML 2.0。 如果存在现有配置,某些字段可能已预填。 |
3 |
选择站点证书管理器链接。 |
4 |
在站点证书管理器窗口中,选择浏览,然后导航至 X.509 证书的 .CER 文件的位置。 |
5 |
选择 .CER 文件,然后选择确定。 |
6 |
选择关闭。 |
7 |
在SSO 配置页面上输入必填信息,然后选择要启用的选项。 |
8 |
选择更新。 |
SSO 配置页面
下表将列出并描述 SSO 配置页上的字段和选项。
您在配置期间使用的信息必须精准。 如果您需要有关配置站点 SSO 所需信息的进一步说明,请联系标识提供者。 |
字段或选项 |
描述 |
||
---|---|---|---|
SSO 配置文件 |
指定用户访问 Webex 站点的方式。 选择 SP 发起(如果用户开始位于 Webex 会议站点并被重定向至企业 IdP 系统进行身份验证)。 选择 IdP 发起(如果用户通过企业 IAM 系统访问 Webex站点)。 |
||
导入 SAML 元数据(链接) |
单击打开 联合 Web SSO 配置 - SAML 元数据对话框。 导入的元数据字段包含以下内容:
|
||
Webex SAML 颁发者(SP 标识) |
URI 会将 Cisco Webex 信使服务标识为 SP。 该配置必须与客户身份访问管理系统中的设置匹配。 推荐的命名规则: 对于 Webex Meetings,输入 Webex Meetings 站点 URL。 对于 Webex 信使服务,使用“client-domain-name”格式(例如: IM-Client-ADFS-WebexEagle-Com)。 |
||
SAML 的颁发者(IdP 标识) |
URI 将唯一地标识 IdP。 该配置必须与客户身份访问管理(IAM)系统中的设置匹配。 位于 IdP XML 文件中(例如: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust") |
||
客户 SSO 服务登录 URL |
企业单点登录服务的 URL。 用户通常使用该 URL 登录。 位于 IdP XML 文件中(例如: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />) |
||
您可导出 SAML 元数据 Webex 配置文件 |
您可导出一些的元数据,将来可再导入这些数据。 导出的元数据字段包含以下内容:
|
||
NameID 格式 |
必须与身份访问管理(IAM)配置匹配,并支持以下格式:
|
||
AuthnContextClassRef |
描述在 IdP 进行的身份验证的 SAML 语句。 必须与身份访问管理(IAM)配置匹配。 ADFS 示例: urn:federation:authentication:windows 或 urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping 示例: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified 注: 要使用多个 AuthnContextClassRef 值,添加 ";"。例如: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport |
||
缺省 Webex 目标页面 URL(可选) |
在身份验证后,仅显示为 Web 应用程序指定的目标页面。 |
||
客户 SSO 错误 URL(可选) |
如果发生错误,重定向到该 URL,同时在 URL 中附加错误代码。 |
||
单点注销(可选) |
选中以要求注销并且设置注销 URL。
|
||
AuthnRequest 的签名算法 |
为了增强安全性,现在可以生成 SHA-1,SHA-256 或 SHA-512 签名证书。 |
||
针对与会者的单点登录身份验证 |
该功能针对使用 Webex Meetings、Webex Training 和 Webex Events 的内部用户为 SAML 断言用户身份验证提供更多的权限划分。 当启用后,该功能将取代 Webex Meetings 中的“在参加者列表中显示内部用户标记”功能。 |
||
自动创建帐户(可选) |
选择以创建用户帐户。 UID、电子邮件和名和姓字段必须包含在 SAML 声明中。 |
||
自动更新帐户(可选) |
Webex 可通过 SAML 声明中的 updateTimeStamp 属性更新帐户。 当在 IAM 中进行修改时,新时间戳被发送到 Webex 站点中,其将使用在 SAML 声明中发送的任何属性更新帐户。 |
||
删除 Active Directory UPN 的 UID 域后缀 |
当选中时,将会从用户主体名称(UPN)中删除 Active Directory 域。 |