通过单点登录(SSO),用户可以向组织的通用身份提供程序进行身份验证,从而安全地登录Webex。 身份提供程序(IdP)安全地存储和管理用户的数字身份,并为您的Webex用户提供用户验证服务。

您可能需要多个IdP的原因

许多大公司都经历过兼并和收购,而这些公司很少拥有相同的IT基础设施和身份供应商。 政府机构下属有各种组织和机构。 通常,这些组织各自拥有一个IT部门和基础设施的电子邮件地址。 各大教育机构设有中央采购部门,但不同的大学和学院设有不同的IT组织和部门。

IdP和服务提供商(SP)相互联合是很常见的。 IdP负责验证用户的凭证,SP信任IdP进行的验证。 这样您的用户就可以使用相同的数字身份访问各种SaaS应用程序和服务。 但是,如果由于某些原因,您的组织无法在IdP之间联合,则Webex提供了支持多个IdP的变通方法。 出于这些原因,我们允许您在Webex中为多个IdP配置SSO并简化用户的身份验证过程。

限制

  • 此功能仅在您已购买Webex扩展安全包时可用。
  • 如果您在组织中使用Directory Connector,则必须为所有用户预配置Directory Connector。 有关详细信息,请参阅Directory Connector部署指南
  • 我们目前仅支持作为身份提供程序的SAML、OpenID Connect和Webex身份。

超出范围

  • 配置组分配。

本节介绍如何将身份提供程序(IdP)与Webex组织集成。 您可以选择最符合组织要求的IdP。

如果您正在寻找Webex Meetings站点(在站点管理中管理)的SSO集成,请参阅为Webex管理配置单点登录

必要条件

准备工作

确保满足以下条件:

  • 您必须拥有Webex扩展安全包才能在Control Hub中配置具有多个IdP的SSO。
  • 您必须在Control Hub中拥有完全管理员角色。
  • 在设置多个IdP之前,您应计划路由规则行为。

 
配置初始IdP后,会应用缺省路由规则。 但您可以将另一个IdP设置为默认值。 请参阅本文“路由规则”选项卡中的添加或编辑路由规则

配置SAML

1

https://admin.webex.com 中的客户视图,转至 > 设置(Organization Settings),滚动至 验证( ) SSO 以启动配置向导。

2

选择 SAML 作为您的IdP,然后单击下一步

3

选择证书类型:

  • 由 Cisco 自签名 — 我们推荐此选择。 我们在证书上签名,您只需每五年续订一次。
  • 由公共证书颁发机构签名—更安全,但您需要经常更新元数据(除非您的IdP供应商支持信任锚)。

 
信任锚是充当验证数字签名证书的认证中心的公共密钥。 有关更多信息,请参阅 IdP 文档。
4

单击下载元数据,然后单击下一步

Webex 应用程序元数据文件名是 idb-meta--SP.xml。<org-ID>

5

上传您的IdPs元数据文件或填写配置表单。

上传元数据文件时,有两种方法可以验证客户IdP的元数据:

  • 客户 IdP 在元数据中提供由公共根 CA 签发的签名。
  • 客户 IdP 提供自签名的私有 CA 或不提供元数据的签名。 该选项相对而言不太安全。
否则,在配置表单中输入IdP信息。

单击下一步

6

(可选)配置即时(JIT)设置和SAML映射响应。

请参阅本文中“管理您的IdP”选项卡中的“实时配置(JIT)和SAML映射”。
7

单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。


 

启用前请先测试SSO连接。 此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到验证错误,凭证可能存在问题。 请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。


 

要查看SSO登录体验,我们建议您从此屏幕单击将URL复制到剪贴板,然后将其粘贴到私人浏览器窗口中。 在此处,您可以使用 SSO 登录。 这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

8

返回到 Control Hub 浏览器标签页。

  • 成功完成测试后,选择测试成功。 激活SSO和Id P,然后单击
  • 如果未成功完成测试,选择测试未成功。 返回之前的步骤以修复错误

 
除非您选择第一个单选按钮并激活SSO,否则SSO配置不会在您的组织中生效。

下一步

您可以设置路由规则。 请参阅本文“路由规则”选项卡中的添加或编辑路由规则

您可以按照阻止自动电子邮件中的程序禁用发送给组织中的新Webex应用程序用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。

配置OpenID Connect

1

https://admin.webex.com 中的客户视图,转至 > 设置(Organization Settings),滚动至 验证( ) SSO 以启动配置向导。

2

选择 OpenID Connect 作为您的IdP,然后单击下一步

3

输入您的IdP信息。

  • 名称—用于标识IdP的名称。
  • 客户端ID—用于标识您和IdP的唯一ID。
  • 客户端密码—您和IdP知道的密码。
  • 范围—要与IdP关联的范围。
4

选择添加端点的方式。 这可以自动或手动完成。

  • 使用发现URL—输入IdP的配置URL。
  • 手动添加端点信息—输入以下详细信息。

    • 发行者
    • 授权终端
    • 令牌终端
    • JWKS 终端
    • 用户信息终端
    有关详细信息,请参阅 OpenID Connect配置指南
5

(可选)配置即时(JIT)设置。

请参阅本文中“管理您的IdP”选项卡中的“实时配置(JIT)和SAML映射”。
6

单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。


 

启用前请先测试SSO连接。 此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到验证错误,凭证可能存在问题。 请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。


 

要查看SSO登录体验,我们建议您从此屏幕单击将URL复制到剪贴板,然后将其粘贴到私人浏览器窗口中。 在此处,您可以使用 SSO 登录。 这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

7

返回到 Control Hub 浏览器标签页。

  • 成功完成测试后,选择测试成功。 激活SSO和Id P,然后单击
  • 如果未成功完成测试,选择测试未成功。 返回之前的步骤以修复错误

 
除非您选择第一个单选按钮并激活SSO,否则SSO配置不会在您的组织中生效。

下一步

您可以设置路由规则。 请参阅本文“路由规则”选项卡中的添加或编辑路由规则

您可以按照阻止自动电子邮件中的程序禁用发送给组织中的新Webex应用程序用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。

配置Webex标识

1

https://admin.webex.com 中的客户视图,转至 > 设置(Organization Settings),滚动至 验证( ) SSO 以启动配置向导。

2

选择 Webex作为您的IdP,然后单击下一步

3

检查我已阅读并了解Webex IdP的工作方式,然后单击下一步

4

设置路由规则。

请参阅本文“路由规则”选项卡中的添加或编辑路由规则

添加路由规则后,您的IdP将被添加并显示在“身份提供程序”标签页下。

下一步

您可以按照阻止自动电子邮件中的过程禁用发送给组织中新 Webex 应用程序用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。

设置多个IdP时,路由规则适用。 路由规则使Webex能够在配置多个IdP时识别要将用户发送到的IdP。

设置多个IdP时,您可以在SSO配置向导中定义路由规则。 如果跳过路由规则步骤,Control Hub会添加IdP,但不会激活IdP。 必须添加路由规则才能激活IdP。

添加或编辑路由规则

1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至 由规则 标签页。


 

配置第一个IdP时,路由规则会自动添加并设置为默认规则。 稍后您可以选择另一个IdP以设置为缺省规则。

3

单击添加新路由规则

4

输入新规则的详细信息:

  • 规则名称-输入路由规则的名称。
  • 选择路由类型—选择域或组。
  • 如果这些是您的域/组—输入您的组织中的域/组。
  • 然后使用此身份提供程序—选择IdP。
5

单击添加

6

选择新路由规则,然后单击激活


 
如果您有多个IdP的路由规则,可以更改路由规则优先级顺序。

停用或删除路由规则

1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至 由规则 标签页。

3

选择路由规则。

4

选择是要停用还是删除路由规则。

建议您为IdP设置另一个活动路由规则。 否则,您可能会在SSO登录时遇到问题。


 
无法停用或删除默认规则,但您可以修改路由的IdP。

管理身份提供程序(IdP)证书

准备工作


 

有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。 因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。

这仅适用于SAML配置。

1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至身份提供程序选项卡。

3

转至IdP,单击upload并选择 IdP元数据

要下载元数据文件,请单击Download并选择下载Idp元数据
4

导航至 IdP 管理界面以检索新的元数据文件。

5

返回到Control Hub,然后将您的IdP元数据文件拖放到上传区域,或单击选择文件上传元数据。

6

根据您的IdP元数据的签名方式,选择不太安全(自签名)或更安全(由公共CA签名),然后单击保存

7

配置即时(JIT)设置和SAML映射响应。

请参阅本文中“管理您的IdP”选项卡中的“实时配置(JIT)和SAML映射”。
8

单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。


 

启用前请先测试SSO连接。 此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到验证错误,凭证可能存在问题。 请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。


 

要查看SSO登录体验,我们建议您从此屏幕单击将URL复制到剪贴板,然后将其粘贴到私人浏览器窗口中。 在此处,您可以使用 SSO 登录。 这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

9

单击保存

管理您的服务商(SP)证书

准备工作


 

建议您在续订SP证书时更新组织中的所有IdP。

这仅适用于SAML配置。

1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至身份提供程序选项卡。

3

转至IdP并单击

4

单击审查证书和到期日期

这会将您转至服务商(SP)证书窗口。
5

单击续订证书

6

选择组织中的IdP类型:

  • 支持多个证书的IdP
  • 支持单个证书的IdP
7

选择续订的证书类型:

  • 由 Cisco 自签名 — 我们推荐此选择。 我们在证书上签名,您只需每五年续订一次。
  • 由公共认证中心签名 — 安全性更高,但需要经常更新元数据(除非 IdP 供应商支持信任锚)。

 
信任锚是充当验证数字签名证书的认证中心的公共密钥。 有关更多信息,请参阅 IdP 文档。
8

单击下载元数据下载证书以从Webex云下载更新的元数据文件或证书的副本。

9

导航至IdP管理界面上传新的Webex元数据文件或证书。

此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。

有关详细信息,请参阅我们的SSO集成指南或联系您的IdP管理员获取支持。 如果您在Active Directory联合服务(AD FS)上,可以 如何在AD FS中更新Webex元数据

10

返回Control Hub界面,然后单击下一步

11

选择成功更新所有IdP,然后单击下一步

这会将SP元数据文件或证书上传到组织中的所有IdP。

12

单击完成续订

测试 SSO 设置

准备工作

1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至身份提供程序选项卡。

3

转至IdP并单击

4

选择测试IdP

5

单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。


 

如果您收到验证错误,凭证可能存在问题。 请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。


 

要查看SSO登录体验,我们建议您从此屏幕单击将URL复制到剪贴板,然后将其粘贴到私人浏览器窗口中。 在此处,您可以使用 SSO 登录。 这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

6

返回到 Control Hub 浏览器标签页。

  • 成功完成测试后,选择测试成功。 激活SSO和Id P,然后单击
  • 如果未成功完成测试,选择测试未成功。 返回之前的步骤以修复错误

 
除非您选择第一个单选按钮并激活 SSO,否则 SSO 配置在组织中不起作用。

配置即时(JIT)和SAML映射

准备工作

确保满足以下先决条件:

  • 已配置SSO。

  • 域已被验证。

  • 已申领并开启域。 此功能可确保域中的用户每次向您的IdP进行验证时都会创建和更新一次。

  • 如果启用了DirSync或Azure AD,则无法创建或更新SAML JIT。

  • “阻止用户配置文件更新”已启用。 允许SAML更新映射,因为此配置控制用户编辑属性的能力。 仍支持管理控制的创建和更新方法。


 

当使用Azure AD或IdP设置SAML JIT时,如果电子邮件不是永久标识符,我们建议您使用 externalId 将映射属性链接至唯一标识符。 如果我们发现电子邮件与链接属性不匹配,系统会提示用户验证其身份或使用正确的电子邮件地址创建新用户。

新创建的用户不会自动获得分配的许可证,除非组织设置自动许可证模板

1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至身份提供程序选项卡。

3

转至IdP并单击

4

选择编辑SAML映射

5

配置即时(JIT)设置

  • 创建或激活用户: 如果找不到活动用户,Webex身份将创建用户并在用户通过IdP验证后更新属性。
  • 使用 SAML 属性更新用户: 如果找到电子邮件地址的用户,Webex身份将使用SAML断言中映射的属性更新用户。
确认用户可以使用其他无法识别的电子邮件地址登录。
6

配置 <UNK> L映射所需属性

表 1. 必需属性

Webex 身份属性名称

SAML 属性名称

属性说明

用户名/主要电子邮件地址

例如: uid

将 UID 属性映射到预配置的用户的电子邮件、upn 或 edupersonprincipalname。

7

配置链接属性

这应该是用户唯一的。 它用于查找用户,以便Webex可以更新所有档案属性,包括用户的电子邮件。
表 2. 关联属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如: 用户。对象

为了将该用户与其他各个档案区分开。 在目录之间映射或更改其他档案属性时,这是必要的。

员工编号

例如: user.employeeeid

用户的员工编号或其人力资源系统中的标识号。 请注意,这不适用于 externalid ,因为您可以重复使用或回收 employeenumber 用于其他用户。

分机属性1

例如: user.extensionattribute1

将这些自定义属性映射到Active Directory、Azure或您的目录中的扩展属性,以跟踪代码。

分机属性2

例如: user.extensionattribute2

分机属性3

例如: user.extensionattribute3

分机属性4

例如: 用户。extensionlattribute4

分机属性5

例如: user.extensionattribute5

8

配置 文件属性

表3. 配置文件属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如: 用户。对象

为了将该用户与其他各个档案区分开。 在目录之间映射或更改其他档案属性时,这是必要的。

员工编号

例如: user.employeeeid

此用户的员工编号或其人力资源系统中的标识号。 请注意,这不是“external alid”,因为您可以为其他用户重新使用或回收“employeeenumber”。

preferredLanguage

例如: 用户。首选语言

用户的首选语言。

locale

例如: 用户。区域设置

用户的主要工作地点

timezone

例如: 用户。时区

用户的主要时区。

displayName

例如: 用户。displayname

用户在 Webex 中的显示名称。

name.givenName

例如: 用户。givenname

用户的名。

name.familyName

例如: 用户姓名

用户的姓。

地址。street地址

例如: 用户。街地址

其主要工作地点的街道地址。

地址。状态

例如: 用户。状态

其主要工作地点的状态。

地址。区域

例如: 用户。区域

其主要工作地点的区域。

地址。mailCode

例如: 用户。postalcode

其主要工作地点的邮政编码。

地址。国家

例如: 用户。国家

其主要工作地点的国家或地区。

电话号码。工作

例如: 工作电话枚举

其主要工作地点的工作电话号码。 请仅使用国际 E.164 格式(最多 15 位)。

电话号码。分机

例如: 移动电话枚举

其主要工作电话号码的工作分机号。 请仅使用国际 E.164 格式(最多 15 位)。

代词

例如: 用户。代词

用户的代称。 这是一个可选属性,用户或管理员可以将其显示在其档案中。

标题

例如: 用户。工作标题

用户的职位。

部门

例如: 用户。部门

用户的工作部门或团队。

代词

例如: 用户。代词

这是用户的代称。 此属性的可见性由管理员和用户控制

Manager

例如: Manager

用户的经理或团队负责人。

成本中心

例如: 成本中心

这是用户的姓氏,也称为姓氏或家名

电子邮件。alternate1

例如: 用户。邮件昵称

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate2

例如: 用户。原authoritativemail

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate3

例如: 用户。电子邮件

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate4

例如: 用户。其他邮件

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate5

例如: 用户。其他邮件

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。
9

配置 机属性

将这些属性映射到Active Directory、Azure或您的目录中的扩展属性,以跟踪代码。
表 4. 分机属性

Webex 身份属性名称

SAML 属性名称

分机属性1

例如: user.extensionattribute1

分机属性2

例如: user.extensionattribute2

分机属性3

例如: user.extensionattribute3

分机属性4

例如: user.extensionattribute4

分机属性5

例如: user.extensionattribute5

分机属性6

例如: user.extensionattribute6

分机属性7

例如: user.extensionattribute7

分机属性8

例如: user.extensionattribute8

分机属性9

例如: user.extensionattribute9

分机属性10

例如: user.extensionattribute10

10

配置 属性

  1. 在Control Hub中创建组并记下Webex组标识。
  2. 转至用户目录或IdP并为将分配到Webex组标识的用户设置属性。
  3. 更新您的IdP配置以包含带有此属性名称的声明以及Webex组标识(例如c65f7d85-b691-42b8-a20b-12345xxxx)。 您还可以使用外部ID管理组名称的更改或用于未来的集成场景。 例如,与Azure AD同步或实施SCIM组同步。
  4. 使用组ID指定将在SAML断言中发送的属性的确切名称。 这用于将用户添加到组。
  5. 如果在SAML断言中使用目录中的组发送成员,指定组对象外部ID的确切名称。

 

如果用户A与 groupID 1234和用户B groupID 4567,它们被分配到不同的组。 此场景表示单个属性允许用户与多个组ID关联。 虽然这种情况不常见,但它是可能的,并且可以被视为一种额外的更改。 例如,如果用户A最初使用 groupID 1234年,他们成为相应团体的一员。 如果用户A稍后登录使用 groupID 4567,它们也被添加到第二组。

SAML JIT设置不支持从组中删除用户或删除任何用户。

表 5. 组属性

Webex 身份属性名称

SAML 属性名称

属性说明

组Id

例如: 组Id

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

组外部Id

例如: 组外部Id

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

有关Webex Meetings的SAML断言属性列表,请参阅 https://help.webex.com/article/WBX67566

删除身份提供程序(IdP)

准备工作


 
建议您先停用或删除IdP的路由规则,然后再删除IdP。
1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至身份提供程序选项卡。

3

转至IdP并单击

4

选择删除

1

https://admin.webex.com 中的客户视图,转至 > 设置,滚动至 验证,然后单击 SSO和IdP

2

转至身份提供程序选项卡。

3

单击停用SSO

确认停用SSO。

确认后,将对组织中的所有IdP停用SSO。

在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。 这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。 我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。


 

无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。 请参阅 Control Hub 中的警报中心了解更多信息。

1

https://admin.webex.com中的客户视图,转至警报中心

2

选择管理,然后选择所有规则

3

从“规则”列表中,选择要创建的任何 SSO 规则:

  • SSO IDP 证书过期
  • SSO SP 证书过期
4

在传递通道部分,选中电子邮件Webex 空间或者二者结合的对话框。

如果选择电子邮件,则输入接收通知的电子邮件地址。


 

如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。

5

保存更改。

下一步

从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。 (您会在到期前第 60 天、第 45 天、第 30 天和第 15 天收到警报。) 您续订证书后,会立即停止发送警报。

如果您在SSO登录时遇到问题,可以使用 SSO自我恢复选项访问在Control Hub中管理的Webex组织。 “自我恢复”选项允许您在Control Hub中更新或禁用SSO。