- 主页
- /
- 文章
您可以配置 Control Hub 与使用 PingFederate 作为身份提供程序 (IdP) 的部署之间的单点登录 (SSO) 集成。
单点登录和 Control Hub
单点登录 (SSO) 是一种会话或用户验证的流程,允许用户通过提供凭证来访问一个或多个应用程序。 此流程能够为用户已获得授权的所有应用程序验证用户。 这样用户在特定会话期间切换应用程序时,不会再看到额外提示。
安全断言标记语言 (SAML 2.0) 联合协议用于提供 Webex 云与您的身份提供商 (IdP) 之间的 SSO 验证。
档案
Webex 应用程序仅支持 Web 浏览器 SSO 档案。 在 Web 浏览器 SSO 档案中,Webex 应用程序支持下列绑定:
SP 发起的 POST->POST 绑定
SP 发起的 REDIRECT->POST 绑定
NameID 格式
为了传达关于特定用户的信息,SAML 2.0 协议支持多种 NameID 格式。 Webex 应用程序支持以下 NameID 格式。
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
在您从 IdP 加载的元数据中,第一个条目为在 Webex 中使用而配置。
单点注销
Webex 应用程序支持单点注销档案。 在 Webex 应用程序中,当用户注销应用程序时,系统会使用 SAML 单点注销协议结束会话并与您的 IdP 确认该注销操作。 请确保您的 IdP 经过单点注销配置。
集成 Control Hub 与 PingFederate
配置指南给出了 SSO 集成的特定示例,但没有提供针对所有可能性的详细配置。 例如,记录了 |
为 Webex 组织(包括 Webex 应用程序、Webex Meetings 以及 Control Hub 中管理的其他服务)中的用户设置此集成。 如果 Webex 站点集成在 Control Hub 中,Webex 站点会继承用户管理。 如果您无法用这种方式访问 Webex Meetings,且其不受 Control Hub 管理,则必须另外执行集成来为 Webex Meetings 启用 SSO。 (请参阅配置 Webex 的单点登录了解站点管理中 SSO 集成的更多信息。)
准备工作
对于 SSO 和 Control Hub,IdP 必须遵循 SAML 2.0 规范。 此外,IdP 必须按以下方式进行配置:
下载 Webex 元数据到本地系统
1 | 从https://admin.webex.com中的客户视图,转至 ,然后滚动至身份验证,然后打开单点登录设置以启动设置向导。 | ||
2 | 选择组织的证书类型:
| ||
3 | 下载元数据文件。 Webex 元数据文件名是 idb-meta--SP.xml。<org-ID> |
配置新的服务商连接
1 | 转至您的 PingFederate 管理门户( |
2 | 在“SP 连接”下方选择“新建”。 |
3 | 选择“不使用此连接的模板”单选按钮,然后选择“下一步”。 |
4 | 选档“浏览 SSO 档案”,然后单击“下一步”。 |
5 | 选择“导入元数据”标签页。 |
6 | 单击选择文件,浏览并导入您从 Control Hub 下载的元数据文件,然后单击下一步。 |
7 | 检查“常规信息”标签页中的信息,然后单击“完成”。 |
配置浏览器单点登录
1 | 从 PingFederate 管理门户选择“配置浏览器 SSO”。 |
2 | 勾选“SP 发起的 SSO”复选框,然后单击“下一步”。 |
3 | 选择“配置断言创建”。 |
4 | 选择“配置协议设置”。 |
5 | 在“激活和摘要”屏幕上,将连接状态设置为活动。 |
从 PingFederate 导出元数据
1 | 在主屏幕上单击“管理所有 SP”。 |
2 | 找到您刚才创建的连接,然后单击“导出元数据”。 |
3 | 从下拉列表中选择用于签署导出文件的证书。 |
4 | 单击导出。 |
导入 IdP 元数据并在测试后启用单点登录
导出 Webex 元数据,配置 IdP,并将 IdP 元数据下载到本地系统后,您即可以将该元数据导入到 Webex 组织中(从 Control Hub 导入)。
准备工作
请勿从身份提供程序 (IdP) 界面测试 SSO 集成。 我们仅支持服务商启动(SP 启动)的流程,因此您必须将 Control Hub SSO 测试用于此集成。
1 | 选择一种:
| ||||
2 | 在“导入 IdP 元数据”页面中,将 IdP 元数据文件拖放到该页面,或使用文件浏览器选项来找到和上传该元数据文件。 单击下一步。 如果可以,请使用安全性较高选项。 只有当您的 IdP 使用公共 CA 签署元数据时,这才有可能。 在所有其他情况下,则必须使用安全性较低选项。 这包括元数据未签名、自签名或由私有 CA 签名。
| ||||
3 | 选择测试 SSO 设置,当新的浏览器选项卡打开时,登录并使用 IdP 进行身份验证。
| ||||
4 | 返回到 Control Hub 浏览器标签页。
|
下一步
如果您要从 Okta 中将用户预先配置到 Webex 云,请使用将 Okta 用户同步到 Cisco Webex Control Hub 中的过程。
如果您要从 Azure AD 中将用户预先配置到 Webex 云,请使用将 Azure Active Directory 用户同步到 Cisco Webex Control Hub 中的过程。
您可以按照阻止自动电子邮件中的过程禁用发送给组织中新 Webex 应用程序用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。