在 Webex 中具有多个 IdP 的 SSO

单点登录 (SSO) 使用户能够通过对组织的通用标识提供程序进行身份验证，从而安全地登录Webex。身份提供程序(IdP) 安全地存储和管理用户的数字身份，并为 Webex 用户提供用户验证服务。

为什么可能需要多个 IdP

许多大公司都经历了并购，而这些公司很少有相同的 IT 基础设施和身份提供程序。政府机构下设各种组织和机构。通常，这些企业的 IT 部门和基础设施都使用一个电子邮件地址。主要教育机构有一个中央采购部门，但不同的大学和学院有不同的 IT 组织和部门。

IdP 和服务提供商 (SP) 相互联合是很常见的。 IdP 负责验证用户的凭证，SP 信任 IdP 进行的验证。这样，您的用户就可以使用相同的数字身份访问各种 SaaS 应用程序和服务。但是，如果您的组织由于某种原因无法在 IdP 之间联合，则 Webex 提供了一种解决方法来支持多个 IdP。出于以上原因，我们提供了一个选项，用于在 Webex 中为多个 IdP 配置 SSO，并简化用户的身份验证过程。

限制

此功能仅在您购买了 Webex Extended Security Pack 的情况下可用。

如果您的组织使用 Directory Connector，则必须使用 Directory Connector 预配置所有用户。请参阅Directory Connector 部署指南了解更多信息。

我们目前仅支持 SAML、OpenID Connect 和 Webex Identity 作为身份提供程序。

超出范围

配置组分配。

域验证。请参阅管理您的域了解更多信息。

用户预配置。请参阅向 Control Hub 组织添加用户的方法了解更多信息。

本节介绍如何将身份提供程序 (IdP) 与 Webex 组织集成。您可以选择最符合组织要求的 IdP。

如果您正在寻找Webex Meetings站点（在站点管理）的 SSO 集成，请参阅为 Webex 管理配置单点登录。

必要条件

准备工作

确保满足以下条件：

您必须具有 Webex Extended Security Pack 才能在 Control Hub 中配置具有多个 IdP 的 SSO。

您必须在 Control Hub 中拥有完全权限管理员角色。

一个来自 IdP 的元数据文件提供给 Webex，一个来自 Webex 的元数据文件提供给 IdP。有关更多信息，请参阅Control Hub 中的单点登录集成。这只适用于 SAML 配置。

您应该在设置多个 IdP 之前规划路由规则的行为。

配置初始 IdP 后，将应用缺省路由规则。但您可以将其他 IdP 设置为默认值。请参阅添加或编辑路由规则在本文的路由规则标签页中。

配置 SAML

从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击激活 SSO以启动配置向导。

选择SAML作为您的 IdP 并单击下一页。

选择证书类型：

由 Cisco 自签名 — 我们推荐此选择。我们在证书上签名，您只需每五年续订一次。
由公共证书颁发机构签署- 更安全，但您需要经常更新元数据（除非您的 IdP 供应商支持信任锚）。

信任锚是充当验证数字签名证书的认证中心的公共密钥。有关更多信息，请参阅 IdP 文档。

单击下载元数据，然后单击下一步。

Webex 应用程序元数据文件名是 idb-meta--SP.xml。<org-ID>

上传您的 IdP 元数据文件或填写配置表单。

上传元数据文件时，有两种方法可以验证来自客户 IdP 的元数据：

客户 IdP 在元数据中提供由公共根 CA 签发的签名。

客户 IdP 提供自签名的私有 CA 或不提供元数据的签名。该选项相对而言不太安全。

或者，在配置表单中，输入 IdP 信息。

单击下一步。

（可选）配置即时 (JIT) 设置和 SAML 映射响应。

请参阅配置即时 (JIT) 和 SAML 映射（本文章中的管理您的 IdP 标签页）。

单击测试 SSO 设置，当新的浏览器标签页打开时，通过登录向 IdP 进行身份验证。

请先测试 SSO 连接，然后再启用它。此步骤就像试运行，在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到验证错误，则凭证可能有问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下，请再检查一遍操作步骤，特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

要查看 SSO 登录体验，我们建议您单击将 URL 复制到剪贴板从该屏幕，然后将其粘贴到私人浏览器窗口中。在此处，您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息，这些信息可能会在测试 SSO 配置时提供误报结果。

返回到 Control Hub 浏览器标签页。

成功完成测试后，选择测试成功。激活 SSO 和 IdP并单击激活。

如果未成功完成测试，选择测试未成功。返回到先前的步骤以修复错误。

除非您选择第一个单选按钮并激活 SSO，否则 SSO 配置不会在您的组织中生效。

下一步

您可以设置路由规则。请参阅添加或编辑路由规则在本文的路由规则标签页中。

您可以按照中的步骤操作禁止发送自动电子邮件以禁用向组织中的新 Webex 应用程序用户发送电子邮件的功能。文档中还包含向组织中用户发送通信的最佳实践。

配置 OpenID Connect

从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击激活 SSO以启动配置向导。

选择OpenID Connect作为您的 IdP 并单击下一页。

输入您的 IdP 信息。

姓名- 用于标识您的 IdP 的名称。

客户端标识- 用于标识您和您的 IdP 的唯一 ID。

客户端密码- 您和您的 IdP 知道的密码。

范围- 要与 IdP 关联的范围。

选择添加终端的方式。此操作可以自动或手动完成。

使用发现 URL - 输入 IdP 的配置 URL。
手动添加终端信息- 输入以下详细信息。
- 发行者
- 授权终端
- 令牌终端
- JWKS 终端
- 用户信息终端
有关更多信息，请参阅OpenID Connect配置指南。

（可选）配置即时 (JIT) 设置。

请参阅配置即时 (JIT) 和 SAML 映射（本文章中的管理您的 IdP 标签页）。

单击测试 SSO 设置，当新的浏览器标签页打开时，通过登录向 IdP 进行身份验证。

请先测试 SSO 连接，然后再启用它。此步骤就像试运行，在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到验证错误，则凭证可能有问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下，请再检查一遍操作步骤，特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

返回到 Control Hub 浏览器标签页。

成功完成测试后，选择测试成功。激活 SSO 和 IdP并单击激活。

如果未成功完成测试，选择测试未成功。返回到先前的步骤以修复错误。

除非您选择第一个单选按钮并激活 SSO，否则 SSO 配置不会在您的组织中生效。

下一步

您可以设置路由规则。请参阅添加或编辑路由规则在本文的路由规则标签页中。

配置 Webex 标识

1	从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击激活 SSO以启动配置向导。
2	选择Webex作为您的 IdP 并单击下一页。
3	检查我已阅读并了解 Webex IdP 的工作方式并单击下一页。
4	设置路由规则。请参阅添加或编辑路由规则在本文的路由规则标签页中。

添加路由规则后，您的 IdP 即被添加并显示在身份提供程序标签页。

下一步

您可以按照阻止自动电子邮件中的过程禁用发送给组织中新 Webex 应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。

设置多个 IdP 时，路由规则适用。当您配置了多个 IdP 时，路由规则使 Webex 能够确定将用户发送到哪个 IdP。

设置多个 IdP 时，您可以在 SSO 配置向导中定义路由规则。如果您跳过路由规则步骤，Control Hub 会添加 IdP，但不会激活 IdP。您必须添加路由规则以激活 IdP。

添加或编辑路由规则

从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。

转至路由规则标签页。

配置您的第一个 IdP 时，会自动添加路由规则并设置为默认规则。稍后，您可以选择其他 IdP 作为默认规则。

单击添加新的路由规则。

输入新规则的详细信息：

规则名称- 输入路由规则的名称。

选择路由类型- 选择域或组。

如果这些是您的域/组- 输入组织内的域/组。

然后使用此身份提供程序- 选择 IdP。

单击添加。

选择新的路由规则，然后单击激活。

如果您有多个 IdP 的路由规则，可以更改路由规则的优先级顺序。

停用或删除路由规则

1	从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。
2	转至路由规则标签页。
3	选择路由规则。
4	选择是否要停用或删除路由规则。建议为 IdP 设置其他活动的路由规则。否则，您的 SSO 登录可能会遇到问题。

该默认规则无法停用或删除，但您可以修改路由的 IdP。

管理您的身份提供程序 (IdP) 证书

准备工作

有时，您可能会收到电子邮件通知，或者会在 Control Hub 中看到 IdP 证书即将过期的警报。因为 IdP 供应商有自己特定的证书续订文档，我们涵盖 Control Hub 中所要求的内容，以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。

这只适用于 SAML 配置。

从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。

转至身份提供程序标签页。

转至 IdP，单击 upload 并选择上传 Idp 元数据。

要下载元数据文件，请单击

并选择下载 Idp 元数据。

导航至 IdP 管理界面以检索新的元数据文件。

返回到 Control Hub，将 IdP 元数据文件拖放到上传区域中，或者单击选择文件以上传元数据。

选择安全性较低（自签名）或更安全（由公共 CA 签名），取决于您的 IdP 元数据的签名方式，然后单击保存。

配置即时 (JIT) 设置和 SAML 映射响应。

请参阅配置即时 (JIT) 和 SAML 映射（本文章中的管理您的 IdP 标签页）。

单击测试 SSO 设置，当新的浏览器标签页打开时，通过登录向 IdP 进行身份验证。

请先测试 SSO 连接，然后再启用它。此步骤就像试运行，在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到验证错误，则凭证可能有问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下，请再检查一遍操作步骤，特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

单击保存。

管理您的服务商 (SP) 证书

准备工作

建议您在续订 SP 证书时更新组织中的所有 IdP。

这只适用于 SAML 配置。

从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。

转至身份提供程序标签页。

转至 IdP，然后单击。

单击查看证书和到期日期。

这会将您带到服务商 (SP) 证书窗口。

单击续订证书。

选择组织中的 IdP 类型：

支持多个证书的 IdP
支持单个证书的 IdP

选择续订的证书类型：

由 Cisco 自签名 — 我们推荐此选择。我们在证书上签名，您只需每五年续订一次。
由公共认证中心签名 — 安全性更高，但需要经常更新元数据（除非 IdP 供应商支持信任锚）。

信任锚是充当验证数字签名证书的认证中心的公共密钥。有关更多信息，请参阅 IdP 文档。

单击下载元数据或下载证书从 Webex 云下载更新的元数据文件或证书的副本。

导航至 IdP 管理界面以上传新的 Webex 元数据文件或证书。

此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成，具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。

要了解更多信息，请参阅我们的 SSO 集成指南或联系您的 IdP 管理员获取支持。如果您使用Active Directory联合服务 (AD FS)，则可以了解如何在 AD FS 中更新 Webex 元数据

返回到 Control Hub 界面并单击下一页。

选择已成功更新所有 IdP并单击下一页。

这会将 SP 元数据文件或证书上传到组织中的所有 IdP。

单击完成续订。

测试 SSO 设置

准备工作

从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。

转至身份提供程序标签页。

转至 IdP，然后单击。

选择测试 IdP 。

单击测试 SSO 设置，当新的浏览器标签页打开时，通过登录向 IdP 进行身份验证。

如果您收到验证错误，则凭证可能有问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下，请再检查一遍操作步骤，特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

返回到 Control Hub 浏览器标签页。

成功完成测试后，选择测试成功。激活 SSO 和 IdP并单击保存。

如果未成功完成测试，选择测试未成功。返回到先前的步骤以修复错误。

除非您选择第一个单选按钮并激活 SSO，否则 SSO 配置在组织中不起作用。

配置即时 (JIT) 和 SAML 映射

准备工作

确保满足以下前提条件：

SSO 已配置。
域已经过验证。
域已被申领并开启。此功能可确保您域中的用户在每次通过 IDP 进行身份验证时都可以创建并更新一次。
如果 DirSync 或 AzureAD 已启用，则 SAML JIT create 或 update 将不起作用。
“阻止用户配置文件更新”已启用。允许使用 SAML 更新映射，因为此配置控制用户编辑属性的能力。仍支持管理员控制的创建和更新方法。

新创建的用户不会自动获得分配的许可证，除非组织拥有自动许可证模板已设置。

从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。

转至身份提供程序标签页。

转至 IdP，然后单击。

选择编辑 SAML 映射。

配置即时 (JIT) 设置。

创建或激活用户：如果找不到活动用户，Webex Identity 将创建用户并在用户通过 IDP 验证后更新属性。
使用 SAML 属性更新用户：如果找到具有电子邮件地址的用户，Webex 标识将使用 SAML 断言中映射的属性更新用户。
确认用户可以使用其他无法识别的电子邮件地址登录。

配置SAML 映射。

设置必需的属性。

表 1. 必需属性
Webex 身份属性名称	SAML 属性名称	属性说明
用户名/主电子邮件地址	例如： uid	将 UID 属性映射到预配置的用户的电子邮件、upn 或 edupersonprincipalname。

设置链接属性。这对用户应该是唯一的。它用于查找用户，以便 Webex 可以更新所有档案属性，包括用户的电子邮件属性。

表 2. 链接属性
Webex 身份属性名称	SAML 属性名称	属性说明
externalId	例如：用户.objectid	为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时，这是必要的。
员工人数	例如：用户.employeeid	用户的员工号码或其 HR 系统中的标识号码。请注意，这不适用于 `externalid` ，因为您可以重复使用或回收利用 `employeenumber` 为其他用户。
分机属性 1	例如： user.extensionattribute1	将这些自定义属性映射到Active Directory、Azure 或您的目录中的扩展属性，以获取跟踪代码。
分机属性 2	例如： user.extensionattribute2
分机属性 3	例如： user.extensionattribute3
分机属性 4	例如： user.extensionlattribute4
分机属性 5	例如： user.extensionattribute5

设置配置文件属性。

表 3. 配置文件属性
Webex 身份属性名称	SAML 属性名称	属性说明
externalId	例如：用户.objectid	为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时，这是必要的。
员工人数	例如：用户.employeeid	该用户的员工号码或其 HR 系统中的标识号。请注意，这不适用于“externalid”，因为您可以为其他用户重复使用或回收“employeenumber”。
preferredLanguage	例如：用户首选语言	用户的首选语言。
locale	例如：用户区域设置	用户的主要工作地点
timezone	例如：用户时区	用户的主要时区。
displayName	例如：用户.显示名	用户在 Webex 中的显示名称。
name.givenName	例如：用户名	用户的名。
name.familyName	例如：用户姓氏	用户的姓。
地址.streetAddress	例如：用户街道地址	其主要工作地点的街道地址。
地址.state	例如：用户状态	其主要工作地点的状态。
地址.region	例如：用户区域	其主要工作地点的区域。
地址.邮编	例如：用户.邮编	其主要工作地点的邮政编码。
地址.country	例如：用户.country	其主要工作地点的国家或地区。
phoneNumbers.work	例如：工作电话号码	其主要工作地点的工作电话号码。请仅使用国际 E.164 格式（最多 15 位）。
phoneNumbers.extension	例如：移动电话号码	其主要工作电话号码的工作分机号。请仅使用国际 E.164 格式（最多 15 位）。
代词	例如：用户代词	用户的代词。这是可选属性，用户或管理员可以将其显示在其档案中。
标题	例如：用户.jobtitle	用户的职位。
部门	例如：用户.部门	用户的工作部门或团队。
代词	例如：用户代词	这是用户的代词。此属性的可见性由管理员和用户控制
Manager	例如： Manager	用户的经理或其团队负责人。
成本中心	例如：成本中心	这是用户的姓氏，也称为 surname 或 familyname
email.alternate1	例如：用户.邮件昵称	用户的备用电子邮件地址。如果您希望用户能够使用它进行登录，请将其映射到 uid。
email.alternate2	例如： user.primaryauthoritativemail	用户的备用电子邮件地址。如果您希望用户能够使用它进行登录，请将其映射到 uid。
email.alternate3	例如： user.alternativeauthoritativemail	用户的备用电子邮件地址。如果您希望用户能够使用它进行登录，请将其映射到 uid。
email.alternate4	例如：用户.othermail	用户的备用电子邮件地址。如果您希望用户能够使用它进行登录，请将其映射到 uid。
email.alternate5	例如：用户.othermail	用户的备用电子邮件地址。如果您希望用户能够使用它进行登录，请将其映射到 uid。

设置分机属性。将这些属性映射到Active Directory、Azure 或您的目录中的扩展属性，以获取跟踪代码。

表 4. 分机属性
Webex 身份属性名称	SAML 属性名称
分机属性 1	例如： user.extensionattribute1
分机属性 2	例如： user.extensionattribute2
分机属性 3	例如： user.extensionattribute3
分机属性 4	例如： user.extensionattribute4
分机属性 5	例如： user.extensionattribute5
分机属性 6	例如： user.extensionattribute6
分机属性 7	例如： user.extensionattribute7
分机属性 8	例如： user.extensionattribute8
分机属性 9	例如： user.extensionattribute9
分机属性 10	例如： user.extensionattribute10

有关Webex Meetings的 SAML 断言属性列表，请参阅https://help.webex.com/article/WBX67566。

删除您的身份提供程序 (IdP)

准备工作

建议您先停用或删除 IdP 的路由规则，然后再删除 IdP。

1	从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。
2	转至身份提供程序标签页。
3	转至 IdP，然后单击。
4	选择删除。

1	从中的客户视图https://admin.webex.com，转至管理层>组织设置，滚动到验证并单击管理 SSO 和 IdP 。
2	转至身份提供程序标签页。
3	单击停用 SSO 。确认 SSO 停用。

一旦确认，将为组织中的所有 IdP 停用 SSO。

在证书设置为过期之前，您将在 Control Hub 中收到警报，但您还可以主动设置警报规则。这些规则会让您提前知道，您的 SP 或 IdP 证书即将过期。我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。

无论配置的传递通道是什么，所有警报始终都会显示在 Control Hub 中。请参阅 Control Hub 中的警报中心了解更多信息。

从https://admin.webex.com中的客户视图，转至警报中心。

选择管理，然后选择所有规则。

从“规则”列表中，选择要创建的任何 SSO 规则：

SSO IDP 证书过期
SSO SP 证书过期

在传递通道部分，选中电子邮件、Webex 空间或者二者结合的对话框。

如果选择电子邮件，则输入接收通知的电子邮件地址。

如果选择 Webex 空间选项，会自动将您添加到 Webex 应用程序内的空间中，我们将把通知发送到此处。

保存更改。

下一步

从到期前 60 天开始，我们会每隔 15 天发送一次证书到期警报。（您会在到期前第 60 天、第 45 天、第 30 天和第 15 天收到警报。）您续订证书后，会立即停止发送警报。

如果您在使用 SSO 登录时遇到问题，可以使用SSO 自我恢复选项以访问在 Control Hub 中管理的 Webex 组织。自我恢复选项可让您在 Control Hub 中更新或禁用 SSO。