SSO允许您的用户对Webex应用程序和组织中的其他应用程序使用一组通用凭证。 Webex允许您为组织中的多个身份提供程序(IdP)设置SSO,以进行用户验证。 您还可以创建路由规则,为多个域或用户组配置身份验证。
通过单点登录(SSO),用户可以向组织的通用身份提供程序进行身份验证,从而安全地登录Webex。 身份提供程序(IdP)安全地存储和管理用户的数字身份,并为您的Webex用户提供用户验证服务。
您可能需要多个IdP的原因
许多大公司都经历过兼并和收购,而这些公司很少拥有相同的IT基础设施和身份供应商。 政府机构下属有各种组织和机构。 通常,这些组织各自拥有一个IT部门和基础设施的电子邮件地址。 各大教育机构设有中央采购部门,但不同的大学和学院设有不同的IT组织和部门。
IdP和服务提供商(SP)相互联合是很常见的。 IdP负责验证用户的凭证,SP信任IdP进行的验证。 这样您的用户就可以使用相同的数字身份访问各种SaaS应用程序和服务。 但是,如果由于某些原因,您的组织无法在IdP之间联合,则Webex提供了支持多个IdP的变通方法。 出于这些原因,我们允许您在Webex中为多个IdP配置SSO并简化用户的身份验证过程。
限制
- 此功能仅在您已购买Webex扩展安全包时可用。
- 如果您在组织中使用Directory Connector,则必须为所有用户预配置Directory Connector。 有关详细信息,请参阅Directory Connector部署指南。
- 我们目前仅支持作为身份提供程序的SAML、OpenID Connect和Webex身份。
超出范围
- 配置组分配。
- 域验证。 有关更多信息,请参阅管理您的域。
- 用户设置。 有关更多信息,请参阅将用户添加到Control Hub组织的方式。
本节介绍如何将身份提供程序(IdP)与Webex组织集成。 您可以选择最符合组织要求的IdP。
如果您正在寻找Webex Meetings站点(在站点管理中管理)的SSO集成,请参阅为Webex管理配置单点登录。
准备工作
确保满足以下条件:
- 您必须拥有Webex扩展安全包才能在Control Hub中配置具有多个IdP的SSO。
- 您必须在Control Hub中拥有完全管理员角色。
- IdP提供给Webex的元数据文件,Webex提供给IdP的元数据文件。 有关详细信息,请参阅Control Hub中的单点登录集成。 这仅适用于SAML配置。
- 在设置多个IdP之前,您应计划路由规则行为。
 | 配置初始IdP后,会应用缺省路由规则。 但您可以将另一个IdP设置为默认值。 请参阅本文“路由规则”选项卡中的添加或编辑路由规则。 |
| 1 | |||||
| 2 | 转至 ,滚动到 点登录 并单击 SSO和IdP 以启动配置向导。 | ||||
| 3 | 选择 SAML 作为您的IdP,然后单击下一步。 | ||||
| 4 | 选择证书类型:
| ||||
| 5 | 单击下载元数据,然后单击下一步。 Webex 应用程序元数据文件名是 idb-meta--SP.xml。<org-ID> | ||||
| 6 | 上传您的IdPs元数据文件或填写配置表单。 上传元数据文件时,有两种方法可以验证客户IdP的元数据:
单击下一步。 | ||||
| 7 | (可选)您可以从 Webex Username或主要电子邮件地址更改SAML属性的名称 | ||||
| 8 | (可选)配置即时(JIT)设置和SAML映射响应。 请参阅本文中“管理您的IdP”选项卡中的“实时配置(JIT)和SAML映射”。
| ||||
| 9 | 单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。
| ||||
| 10 | 返回到 Control Hub 浏览器标签页。
|
下一步
您可以设置路由规则。 请参阅本文“路由规则”选项卡中的添加或编辑路由规则。
您可以按照阻止自动电子邮件中的程序禁用发送给组织中的新Webex应用程序用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。
| 1 | |||||
| 2 | 转至 ,滚动到 点登录 并单击 SSO和IdP 以启动配置向导。 | ||||
| 3 | 选择 OpenID Connect 作为您的IdP,然后单击下一步。 | ||||
| 4 | 输入您的IdP信息。
| ||||
| 5 | 选择添加端点的方式。 这可以自动或手动完成。
| ||||
| 6 | (可选)配置即时(JIT)设置。 请参阅本文中“管理您的IdP”选项卡中的“实时配置(JIT)和SAML映射”。
| ||||
| 7 | 单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。
| ||||
| 8 | 返回到 Control Hub 浏览器标签页。
|
下一步
您可以设置路由规则。 请参阅本文“路由规则”选项卡中的添加或编辑路由规则。
您可以按照阻止自动电子邮件中的程序禁用发送给组织中的新Webex应用程序用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。
设置多个IdP时,路由规则适用。 路由规则使Webex能够在配置多个IdP时识别要将用户发送到的IdP。
设置多个IdP时,您可以在SSO配置向导中定义路由规则。 如果跳过路由规则步骤,Control Hub会添加IdP,但不会激活IdP。 必须添加路由规则才能激活IdP。
准备工作
| 有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。 因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。 这仅适用于SAML配置。 |
| 1 | |||||
| 2 | 转至 ,滚动到 点登录,然后单击 SSO和IdP。 | ||||
| 3 | 转至身份提供程序选项卡。 | ||||
| 4 | 转至IdP,单击 要下载元数据文件,请单击
 并选择下载Idp元数据。 | ||||
| 5 | 导航至 IdP 管理界面以检索新的元数据文件。 | ||||
| 6 | 返回到Control Hub,然后将您的IdP元数据文件拖放到上传区域,或单击选择文件上传元数据。 | ||||
| 7 | 根据您的IdP元数据的签名方式,选择不太安全(自签名)或更安全(由公共CA签名),然后单击保存。 | ||||
| 8 | 配置即时(JIT)设置和SAML映射响应。 请参阅本文中“管理您的IdP”选项卡中的“实时配置(JIT)和SAML映射”。
| ||||
| 9 | 单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。
| ||||
| 10 | 单击保存。 |
并选择准备工作
| 建议您在续订SP证书时更新组织中的所有IdP。 这仅适用于SAML配置。 |
| 1 | |||
| 2 | 转至 ,滚动到 点登录,然后单击 SSO和IdP。 | ||
| 3 | 转至身份提供程序选项卡。 | ||
| 4 | 转至IdP并单击 | ||
| 5 | 单击审查证书和到期日期。 这会将您转至服务商(SP)证书窗口。
| ||
| 6 | 单击续订证书。 | ||
| 7 | 选择组织中的IdP类型:
| ||
| 8 | 选择续订的证书类型:
| ||
| 9 | 单击下载元数据或下载证书以从Webex云下载更新的元数据文件或证书的副本。 | ||
| 10 | 导航至IdP管理界面上传新的Webex元数据文件或证书。 此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。 有关详细信息,请参阅我们的SSO集成指南或联系您的IdP管理员获取支持。 如果您在Active Directory联合服务(AD FS)上,可以 如何在AD FS中更新Webex元数据 | ||
| 11 | 返回Control Hub界面,然后单击下一步。 | ||
| 12 | 选择成功更新所有IdP,然后单击下一步。 这会将SP元数据文件或证书上传到组织中的所有IdP。 | ||
| 13 | 单击完成续订。 |
。准备工作
| 1 | |||||
| 2 | 转至 ,滚动到 点登录,然后单击 SSO和IdP。 | ||||
| 3 | 转至身份提供程序选项卡。 | ||||
| 4 | 转至IdP并单击 | ||||
| 5 | 选择测试IdP。 | ||||
| 6 | 单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。
| ||||
| 7 | 返回到 Control Hub 浏览器标签页。
|
。准备工作
确保满足以下先决条件:
已配置SSO。
域已被验证。
已申领并开启域。 此功能可确保域中的用户每次向您的IdP进行验证时都会创建和更新一次。
如果启用了DirSync或Azure AD,则无法创建或更新SAML JIT。
“阻止用户配置文件更新”已启用。 允许SAML更新映射,因为此配置控制用户编辑属性的能力。 仍支持管理控制的创建和更新方法。
| 当使用Azure AD或IdP设置SAML JIT时,如果电子邮件不是永久标识符,我们建议您使用 新创建的用户不会自动获得分配的许可证,除非组织设置自动许可证模板。 |
| 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 2 | 转至 ,滚动到 点登录,然后单击 SSO和IdP。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 3 | 转至身份提供程序选项卡。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 4 | 转至IdP并单击 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 5 | 选择编辑SAML映射。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 6 | 配置即时(JIT)设置。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 7 | 配置 <UNK> L映射所需属性。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 8 | 配置链接属性。 这应该是用户唯一的。 它用于查找用户,以便Webex可以更新所有档案属性,包括用户的电子邮件。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 9 | 配置 文件属性。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 10 | 配置 机属性。 将这些属性映射到Active Directory、Azure或您的目录中的扩展属性,以跟踪代码。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 11 | 配置 属性。
有关Webex Meetings的SAML断言属性列表,请参阅 https://help.webex.com/article/WBX67566。 |
在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。 这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。 我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。
| 无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。 请参阅 Control Hub 中的警报中心了解更多信息。 |
| 1 | |||
| 2 | 转至警报中心。 | ||
| 3 | 选择管理,然后选择所有规则。 | ||
| 4 | 从“规则”列表中,选择要创建的任何 SSO 规则:
| ||
| 5 | 在传递通道部分,选中电子邮件、Webex 空间或者二者结合的对话框。 如果选择电子邮件,则输入接收通知的电子邮件地址。
| ||
| 6 | 保存更改。 |
下一步
从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。 (您会在到期前第 60 天、第 45 天、第 30 天和第 15 天收到警报。) 您续订证书后,会立即停止发送警报。
如果您在SSO登录时遇到问题,可以使用 SSO自我恢复选项访问在Control Hub中管理的Webex组织。 “自我恢复”选项允许您在Control Hub中更新或禁用SSO。
