单点登录和 Cisco Webex Control Hub

单点登录 (SSO) 是一种会话或用户验证的流程,允许用户通过提供凭证来访问一个或多个应用程序。 此流程能够为用户已获得授权的所有应用程序验证用户。 这样用户在特定会话期间切换应用程序时,不会再看到额外提示。

安全断言标记语言 (SAML 2.0) 联合协议用于提供 Cisco Webex 云与您的身份提供程序 (IdP) 之间的 SSO 验证。

档案

Cisco Webex 仅支持 Web 浏览器 SSO 档案。 在 Web 浏览器 SSO 档案中,Cisco Webex 支持下列绑定:

  • SP 发起的 POST->POST 绑定

  • SP 发起的 REDIRECT->POST 绑定

NameID 格式

为了传达关于特定用户的信息,SAML 2.0 协议支持多种 NameID 格式。 Cisco Webex 支持以下 NameID 格式。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

在您从 IdP 加载的元数据中,第一个条目是为在 Cisco Webex 中使用而配置的。

集成 Cisco Webex Control Hub 与 Microsoft Azure


配置指南给出了 SSO 集成的特定示例,但没有提供针对所有可能性的详细配置。 例如,记录了 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的集成步骤。 其他格式如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 也适用于 SSO 集成,但不在我们的文档范围内。

Cisco Webex 组织中的用户设置此集成(包括 Cisco WebexCisco Webex Meetings 以及 Cisco Webex Control Hub 中管理的其他服务)。 如果 Webex 站点集成在 Cisco Webex Control Hub 中,Webex 站点会继承用户管理。 如果您无法用这种方式访问 Cisco Webex Meetings,且其不受 Cisco Webex Control Hub 管理,则必须另外执行集成来为 Cisco Webex Meetings 启用 SSO。 (请参阅配置 Webex 的单点登录了解站点管理中 SSO 集成的更多信息。)

准备工作

对于 SSO 和 Cisco Webex 控制中心,IdP 必须遵循 SAML 2.0 规范。 此外,IdP 必须按以下方式进行配置:


在 Azure Active Directory 中,只能以手动模式进行预配置。 此文档仅介绍单点登录 (SSO) 集成。

Cisco Webex 元数据下载到本地系统

1

https://admin.webex.com 中的客户视图,转至设置,然后滚动到验证

2

单击修改,单击集成第三方身份提供程序。 (高级),然后单击下一步

3

下载元数据文件。

Cisco Webex 元数据文件名为 idb-meta-<org-ID>-SP.xml

在 Azure“应用程序设置”中配置单点登录

准备工作

1

使用您的管理员证书登录到 Azure 门户https://portal.azure.com

2

转至组织的 Azure Active Directory

3

转至企业应用程序,然后单击添加

4

单击“从库中添加应用程序”。

5

在搜索框中,键入 Cisco Webex

6

在结果面板中选择 Cisco Webex,然后单击添加以添加该应用程序。

此时将显示一条消息:该应用程序已成功添加。

7

配置单点登录:

  1. 创建应用程序协议后,请转至单点登录标签页,然后在选择单点登录方式下选择 SAML

  2. 设置基于 SAML 的单点登录页面,单击编辑图标打开基本 SAML 配置

  3. 单击上传元数据文件,然后选中从 Cisco Webex Control Hub 下载的元数据文件。

    某些字段会自动填写。

  4. 复制回复 URL 的值并将其粘贴到登录 URL,然后保存更改。

8

转至管理 > 用户和组,然后选择您要赋予其 Cisco Webex 访问权限的用户和组。

9

设置基于 SAML 的单点登录页面中的SAML 签名证书部分,单击下载,下载联合元数据 XML 并将其保存到计算机上。

10

属性页面上,确保对用户可见?设置为

我们不支持使 Webex 应用程序对用户可见。

导入 IdP 元数据并在测试后启用单点登录

导出 Cisco Webex 元数据,配置 IdP,并将 IdP 元数据下载到本地系统后,您便准备就绪,可以从 Control Hub 将该元数据导入到 Cisco Webex 组织中。

准备工作

请勿从身份提供程序 (IdP) 界面测试 SSO 集成。 我们仅支持服务商启动(SP 启动)的流程,因此您必须将 Control Hub SSO 测试用于此集成。

1

选择一种:

  • 回到浏览器中的“Cisco Webex Control Hub - 导出目录元数据”页面,然后单击下一步
  • 如果 Control Hub 在浏览器标签页中不再是打开状态,请依次从 https://admin.webex.com 中的客户视图转至设置,滚动至验证,选择集成第三方身份提供程序(高级),然后在受信任元数据文件页面中单击下一步(因为您之前已完成)。
2

在“导入 IdP 元数据”页面中,将 IdP 元数据文件拖放到该页面,或使用文件浏览器选项来找到和上传该元数据文件。 单击下一步

如果可以,您应该使用更安全的选项(在元数据中需要证书颁发机构签署的证书)。 只有当您的 IdP 使用公共 CA 签署元数据时,这才有可能。

在所有其他情况下,您必须使用安全级别较低的选项(允许在元数据中使用自签名证书)。 这包括元数据未签名、自签名或由私有 CA 签名。

3

选择测试 SSO 连接,当新的浏览器标签页打开时,登录并使用 IdP 进行验证。


 

如果您收到验证错误,可能是凭证有问题。 请检查用户名和密码并重试。

Webex 错误往往意味着 SSO 设置有问题。 在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

4

返回到 Control Hub 浏览器标签页。

  • 如果测试成功,选择“测试成功”。 启用“单点登录”选项并单击“下一步”。
  • 如果测试失败,选择“测试失败”。 禁用“单点登录”选项并单击“下一步”。

下一步

您可以按照阻止自动电子邮件中的过程禁用发送给组织中新 Webex 用户的电子邮件。 文档中还包含向组织中用户发送通信的最佳实践。

Azure Active Directory 集成疑难解答

当进行 SAML 测试时,请确保您使用的是 Mozilla Firefox 并安装 SAML Tracer https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

检查来自 Azure 的断言,确保它具有正确的 nameid 格式,并具有与 Cisco Webex 中用户匹配的属性 uid。