- 主页
- /
- 文章
感谢您的反馈。
使用 SimpleSAML 在 Control Hub 中配置单点登录
在此文章中
反馈?您可以配置 Control Hub 与使用 SimpleSAML 作为身份提供程序 (IdP) 的部署之间的单点登录 (SSO) 集成。
单点登录和 Control Hub
单点登录 (SSO) 是一种会话或用户验证的流程,允许用户通过提供凭证来访问一个或多个应用程序。此流程能够为用户已获得授权的所有应用程序验证用户。这样用户在特定会话期间切换应用程序时,不会再看到额外提示。
安全断言标记语言 (SAML 2.0) 联合协议用于提供 Webex 云与您的身份提供商 (IdP) 之间的 SSO 验证。
档案
Webex 应用程序仅支持 Web 浏览器 SSO 档案。在 Web 浏览器 SSO 档案中,Webex 应用程序支持下列绑定:
-
SP 发起的 POST -> POST 绑定
-
SP 发起的 REDIRECT -> POST 绑定
NameID 格式
为了传达关于特定用户的信息,SAML 2.0 协议支持多种 NameID 格式。Webex 应用程序支持以下 NameID 格式。
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient -
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified -
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
在您从 IdP 加载的元数据中,第一个条目为在 Webex 中使用而配置。
单点注销
Webex 应用程序支持单点注销档案。在 Webex 应用程序中,当用户注销应用程序时,系统会使用 SAML 单点注销协议结束会话并与您的 IdP 确认该注销操作。请确保您的 IdP 经过单点注销配置。
将 Control Hub 与 SimpleSAML 集成
配置指南给出了 SSO 集成的特定示例,但没有提供针对所有可能性的详细配置。例如,记录了 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的集成步骤。其他格式(例如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress )适用于 SSO 集成,但超出了我们文档的范围。
为 Webex 组织(包括 Webex 应用程序、Webex Meetings 以及 Control Hub 中管理的其他服务)中的用户设置此集成。如果 Webex 站点集成在 Control Hub 中,Webex 站点会继承用户管理。如果您无法用这种方式访问 Webex Meetings,且其不受 Control Hub 管理,则必须另外执行集成来为 Webex Meetings 启用 SSO。
准备工作
对于 SSO 和 Control Hub,IdP 必须遵循 SAML 2.0 规范。此外,IdP 必须按以下方式进行配置:
下载 Webex 元数据到本地系统
转换元数据
| 1 |
用文本编辑器打开已导出的 Webex 元数据文件。 |
| 2 |
用浏览器打开 simpleSAML 主页,然后使用管理员凭证登录。 主页位置各不相同,但通常与此示例 URL 类似: https://yourcompany.yourdomain.com/simplesaml。 |
| 3 |
在主页中单击联合。 |
| 4 |
在工具下,执行 XML 至 Simple SAML XML 的转换。 |
| 5 |
复制文本编辑器中的 Webex 元数据,然后粘贴到 XML 转换字段中。 |
| 6 |
单击解析。 此时将显示转换后的元数据。您需要将此数据添加到远程 SP 文本文件。 |
创建远程服务商元数据文件
这些步骤仅用作示例。元数据目录和 IdP 主机根据客户端设置而有所不同。
准备工作
请注意必须传递的属性,并通过编辑元数据文件 saml20-idp-hosted.php进行相应映射。(例如,uid、mail、email 等等)。请参考以下元数据示例:
'authproc' => array(
// Convert LDAP names to oids.
3 => array(
'class' => 'saml:AttributeNameID',
'attribute' => 'mail',
'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',
),
50 => array(
'class' => 'core:AttributeMap',
'attribute' => 'mail',
'mail' => array('uid', 'email', 'mail'),
'sn' => 'lastname',
'givenName' => 'firstname',
),
),| 1 |
在主机上的 SimpleSAML 配置中,转至元数据目录。 |
| 2 |
使用文本编辑器将解析后的数据粘贴到 saml20-sp-remote.php 文件的末尾,然后保存文件。 |
| 3 |
返回到 SimpleSAML 首页,单击“联合”,然后会显示身份提供程序的元数据。 |
| 4 |
将该数据粘贴到一个新的文本文件中。 |
| 5 |
将更新后的文件保存到桌面,并用有意义的名称命名,例如 simplesaml-metadata.xml。 |
导入 IdP 元数据并在测试后启用单点登录
导出 Webex 元数据,配置 IdP,并将 IdP 元数据下载到本地系统后,您即可以将该元数据导入到 Webex 组织中(从 Control Hub 导入)。
准备工作
请勿从身份提供程序 (IdP) 界面测试 SSO 集成。我们仅支持服务商启动(SP 启动)的流程,因此您必须将 Control Hub SSO 测试用于此集成。
| 1 |
选择一种:
|
| 2 |
在导入 IdP 元数据页面上,将 IdP 元数据文件拖放到页面上,或者使用文件浏览器选项来查找并上传元数据文件。单击下一步。
如果可以,请使用安全性较高选项。只有当您的 IdP 使用公共 CA 签署元数据时,这才有可能。 在所有其他情况下,则必须使用安全性较低选项。这包括元数据未签名、自签名或由私有 CA 签名。 Okta 不会签署元数据,因此您必须为 Okta SSO 集成选择安全级别较低。 |
| 3 |
选择 测试 SSO 设置,当打开新的浏览器选项卡时,通过登录向 IdP 进行身份验证。 如果您收到验证错误,可能是凭证有问题。请检查用户名和密码并重试。 Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。 若要直接查看 SSO 登录体验,您还可以从此屏幕单击将 URL 复制到剪贴板,并将其粘贴到私密浏览器窗口中。在此处,您可以使用 SSO 登录。由于您登录的现有会话中可能存在的访问令牌,此步骤会阻止误报结果。 |
| 4 |
返回到 Control Hub 浏览器标签页。
除非您选择第一个单选按钮并激活 SSO,否则 SSO 配置在组织中不起作用。 |
下一步
如果您要从 Okta 中将用户预先配置到 Webex 云,请使用将 Okta 用户同步到 Cisco Webex Control Hub 中的过程。
如果您想将用户从 Entra ID 配置到 Webex 云,请使用 将 Microsoft Entra ID 用户同步到 Cisco Webex Control Hub 中的步骤。
您可以按照 抑制自动电子邮件 中的步骤来禁用发送给组织中新 Webex 应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。
