单点登录

Webex SSO 使用唯一标识为组织中的人员提供对所有企业应用程序的访问权限。 管理员可以使用 Webex 站点管理为 Cisco Webex 应用程序配置 SSO。


单点登录是可选功能,必须对站点进行设置才可使用。 请联系您的客户成功经理以获取信息。

配置 SSO

使用以下步骤配置 SSO 和 SAML 2.0。

开始之前

获取并设置以下要求。

  • 符合标准 SAML 2.0 或 WS Federate 1.0 的身份和访问管理(IAM)系统,如 CA SiteMinder、ADFS 和 Ping Identity。

  • 来自可信证书颁发机构,如 VeriSign 和 Thawte 的企业 X.509 公钥证书。

  • 配置 IAM 以提供带有用户帐户信息和 SAML 系统标识的 SAML 断言。

  • IdP XML 文件。

  • 企业 IAM 服务的 URL

1

登录“Webex 站点管理”并转至 配置 > 通用站点设置 > SSO 配置

2

联合协议下拉列表中,选择 SAML 2.0

如果存在现有配置,某些字段可能已预填。

3

选择站点证书管理器链接。

4

站点证书管理器窗口中,选择浏览,然后导航至 X.509 证书的 .CER 文件的位置。

5

选择 .CER 文件,然后选择确定

6

选择关闭

7

SSO 配置页面上输入必填信息,然后选择要启用的选项。

8

选择更新

SSO 配置页面

下表将列出并描述 SSO 配置页上的字段和选项。


您在配置期间使用的信息必须精准。 如果您需要有关配置站点 SSO 所需信息的进一步说明,请联系标识提供者。

表 1. SSO 配置页上的字段和选项

字段或选项

描述

SSO 配置文件

指定用户访问 Webex 站点的方式。 选择 SP 发起(如果用户开始位于 Webex 会议站点并被重定向至企业 IdP 系统进行身份验证)。 选择 IdP 发起(如果用户通过企业 IAM 系统访问 Webex站点)。

导入 SAML 元数据(链接)

单击打开 联合 Web SSO 配置 - SAML 元数据对话框。 导入的元数据字段包含以下内容:

  • AuthnRequestSigned Destination

  • SAML 的颁发者(IdP 标识)

  • 客户 SSO 服务登录 URL

Webex SAML 颁发者(SP 标识)

URI 会将 Cisco Webex 信使服务标识为 SP。 该配置必须与客户身份访问管理系统中的设置匹配。 推荐的命名规则: 对于 Webex Meetings,输入 Webex Meetings 站点 URL。 对于 Webex 信使服务,使用“client-domain-name”格式(例如: IM-Client-ADFS-WebexEagle-Com)。

SAML 的颁发者(IdP 标识)

URI 将唯一地标识 IdP。 该配置必须与客户身份访问管理(IAM)系统中的设置匹配。 位于 IdP XML 文件中(例如: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust"

客户 SSO 服务登录 URL

企业单点登录服务的 URL。 用户通常使用该 URL 登录。 位于 IdP XML 文件中(例如: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />

您可导出 SAML 元数据 Webex 配置文件

您可导出一些的元数据,将来可再导入这些数据。 导出的元数据字段包含以下内容:

  • AuthnRequestSigned Destination

  • SAML 的颁发者(IdP 标识)

  • 客户 SSO 服务登录 URL

NameID 格式

必须与身份访问管理(IAM)配置匹配,并支持以下格式:

  • 未指定

  • 电子邮件地址

  • X509 主体名称

  • 实体标识符

  • 永久标识符

AuthnContextClassRef

描述在 IdP 进行的身份验证的 SAML 语句。 必须与身份访问管理(IAM)配置匹配。 ADFS 示例: urn:federation:authentication:windows 或 urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping 示例: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified 注: 要使用多个 AuthnContextClassRef 值,添加 ";"。例如: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

缺省 Webex 目标页面 URL(可选)

在身份验证后,仅显示为 Web 应用程序指定的目标页面。

客户 SSO 错误 URL(可选)

如果发生错误,重定向到该 URL,同时在 URL 中附加错误代码。

单点注销(可选)

选中以要求注销并且设置注销 URL。


 

不支持 IdP 发起的单点注销。

AuthnRequest 的签名算法

为了增强安全性,现在可以生成 SHA-1,SHA-256 或 SHA-512 签名证书。

针对与会者的单点登录身份验证

该功能针对使用 Webex Meetings、Webex Training 和 Webex Events 的内部用户为 SAML 断言用户身份验证提供更多的权限划分。 当启用后,该功能将取代 Webex Meetings 中的“在参加者列表中显示内部用户标记”功能。

自动创建帐户(可选)

选择以创建用户帐户。 UID、电子邮件和名和姓字段必须包含在 SAML 声明中。

自动更新帐户(可选)

Webex 可通过 SAML 声明中的 updateTimeStamp 属性更新帐户。 当在 IAM 中进行修改时,新时间戳被发送到 Webex 站点中,其将使用在 SAML 声明中发送的任何属性更新帐户。

删除 Active Directory UPN 的 UID 域后缀

当选中时,将会从用户主体名称(UPN)中删除 Active Directory 域。