單一登入與 Control Hub

單一登入 (SSO) 是階段作業或使用者驗證程序,允許使用者提供認證來存取一或多個應用程式。 此程序會針對使用者取得權限的所有應用程式,進行使用者驗證。 如果使用者在特定階段作業期間切換應用程式,則此程序會消除進一步的提示。

「安全性聲明標記語言 (SAML 2.0) 同盟通訊協定」用於在 Webex 雲端和您的身分識別提供者 (IdP) 之間提供 SSO 驗證。

設定檔

Webex 應用程式僅支援 Web 瀏覽器 SSO 設定檔。 在 Webex 瀏覽器 SSO 設定檔中,Webex 應用程式支援下列繫結:

  • SP 起始的 POST -> POST 連結

  • SP 起始的 REDIRECT -> POST 連結

NameID 格式

「SAML 2.0 通訊協定」支援特定使用者採用數種 NameID 格式進行通訊。 Webex 應用程式支援下列 NameID 格式。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

在您從 IdP 載入的中繼資料中,第一個項目是設定用於 Webex

SingleLogout

Webex 應用程式支援單一登出設定檔。 在 Webex 應用程式中,使用者可以登出應用程式,這將使用「SAML 單一登出」通訊協定來結束階段作業,並向您的 IdP 確認該登出。 請確保為 SingleLogout 設定了 IdP。

Control Hub 與 Google Apps 整合

該設定指南顯示 SSO 整合的特定範例,但不提供所有可能性的詳盡設定。 例如,會記錄 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的整合步驟。 諸如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 之類的其他格式將適用於 SSO 整合,但不在我們的文檔討論範圍之內。

Webex 組織中的使用者設定此整合(包括 Webex 應用程式Webex Meetings 及在 Control Hub 中管理的其他服務)。 如果 Webex 網站已整合在 Control Hub 中,則 Webex 網站會繼承使用者管理。 如果您無法以此方式存取 Webex Meetings 且它未在 Control Hub 中進行管理,則您必須執行單獨整合才能為 Webex Meetings 啟用 SSO。 (如需相關資訊,請在網站管理的 SSO 整合中參閱為 Webex 設定單一登入。)

在開始之前

對於 SSO 及 Control Hub,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:

下載 Webex 中繼資料至您的本機系統

1

https://admin.webex.com 的客戶檢視中,前往管理 > 組織設定,然後捲動至驗證,然後開啟單一登入設定以啟動設定精靈。
2

選擇貴組織的憑證類型:

  • 由 Cisco 自我簽署 — 我們建議選擇此選項。 讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公用憑證授權單位簽署 — 較安全,但您需要經常更新中繼資料(除非 IdP 廠商支援信賴起點)。

 

信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。 如需更多資訊,請參閱您的 IdP 文件。
3

下載中繼資料檔案。

Webex 中繼資料檔名為 idb-meta-<org-ID>-SP.xml

在 Google Admin 中設定自訂應用程式

1

使用具有管理權限的帳戶來登入 Google Apps 管理主控台 (https://admin.google.com),然後按一下應用程式 > 網路版和行動裝置應用程式
2

新增應用程式下拉式清單,按一下新增自訂 SAML 應用程式
3

選項 1 區段下的「Google Idp 資訊」頁面上,按一下下載中繼資料並將檔案儲存在本端系統上可以輕鬆找到的位置中。

即會下載 Google 中繼資料檔。 檔名格式為 GoogleIDPMetadata-<domain name="">.xml
4

按一下下一步
5

自訂應用程式的基本資訊頁面上,輸入應用程式名稱Webex 應用程式,然後按下一步
6

若要填寫服務提供者詳細資料頁面,請在文字編輯器中開啟您先前下載的 Webex 中繼資料檔。

  1. Webex 中繼資料檔中搜尋 “AssertionConsumerService”,然後複製「位置」關鍵字後面的 URL,並貼到「服務提供者詳細資料」頁面上的 ACS URL 欄位。

    範例:

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp

  2. Webex 中繼資料檔中搜尋 "entityID",然後將其後面的 URL 複製到「服務提供者詳細資料」頁面上的實體 ID 欄位中。

    範例:

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c

  3. 「名稱 ID」應該設定為「基本資訊」及「主要電子郵件」

  4. 「名稱 ID 格式」應該設定為「未指定」

  5. 不需要任何屬性對映,因此在屬性對映頁面上,按一下完成

建立 Webex SAML 應用程式後,必須為使用者啟用此應用程式。
7

按一下 Webex SAML 應用程式右側的垂直點,然後選擇一個項目:

  • 針對每個人開啟
  • 針對部分組織開啟(然後選擇組織)

匯入 IdP 中繼資料並在測試後啟用單一登入

匯出 Webex 中繼資料後,設定 IdP,然後將 IdP 中繼資料下載至本機系統,您便可以將中繼資料匯入至 Webex 組織(從 Control Hub)。

在開始之前

請勿從身分識別提供者 (IdP) 介面測試 SSO 整合。 我們只支援由服務提供者發起(即由 SP 發起)的流程,因此您必須對此整合使用 Control Hub SSO 測試。

1

選擇一個:

  • 返回 Control Hub – 瀏覽器中的憑證選取項目頁面,然後按下一步
  • 如果 Control Hub 不會再於瀏覽器標籤中開啟,請從 https://admin.webex.com 的客戶檢視中,前往管理 > 組織設定,捲動至驗證,然後選擇動作 > 匯入中繼資料
2

在「匯入 IdP 中繼資料」頁面上,將 IdP 中繼資料檔案拖放到頁面上,或者使用檔案瀏覽器選項來尋找並上傳中繼資料檔。 按一下下一步

如果可以,您應該使用較安全選項。 這只有在您的 IdP 使用公用 CA 來簽署其中繼資料時才可行。

在所有其他情況下,您必須使用較不安全選項。 這包括中繼資料未簽署、自我簽署或由私人 CA 簽署這樣的情況。
3

選取測試 SSO 設定,然後當新的瀏覽器索引標籤開啟時,請透過登入,向 IdP 驗證。


 

如果您收到驗證錯誤,則憑證可能有問題。 檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。 在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

 

若要直接查看 SSO 登入體驗,您還可以從此螢幕按一下將 URL 複製到剪貼簿,並將其貼至私人瀏覽器視窗中。 您可以在這裡使用 SSO 進行逐步登入。 此步驟會停止因存取權杖可能位在現有階段作業中而您未進行登入的誤判。
4

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。 開啟 SSO 並按下一步
  • 如果測試不成功,請選取測試不成功。 關閉 SSO 並按下一步

 

此 SSO 設定不會在貴組織中生效,除非您先選擇圓鈕並啟動 SSO。

後續動作

您可以遵循禁用自動傳送的電子郵件中的程序,以停用傳送至貴組織中新 Webex 應用程式使用者的電子郵件。 文件還包含將通訊傳送給您組織中的使用者的最佳做法。