單一登入

Webex SSO使用一個唯一標識符來向您組織中的人員授予對所有企業應用程式的存取權。 管理員可以使用「 Webex管理」為Webex應用程式配置SSO 。


 

單一登入是必須為您的網站佈建的一項可選功能。 如需相關資訊,請聯絡Cisco 支援。

設定 SSO

使用以下過程以設定 SSO 和 SAML 2.0。

準備工作

獲取並設定以下需求。

  • 符合標準SAML 2.0 或 WS同盟 1.0 的身分識別提供者 (IdP),例如 CA SiteMinder、ADFS 和 PingIdentity。


     

    SAML 1.1 和 WS同盟 1.0 已被棄用,不再支援Cisco Webex。

  • 來自受信任的憑證授權單位(譬如 VeriSign 和 Thawte)的公司 X.509 公開金鑰憑證。

  • IdP 已設定為向SAML判斷提供使用者帳戶資訊和SAML系統 ID。

  • IdP XML 檔案。

  • 公司 IAM 服務的 URL。

1

登入「Webex管理」並轉至設定>常用網站設定> SSO

2

同盟通訊協定下拉清單中,選取 SAML 2.0

如果存在現有設定,那麼某些欄位可能已經被填入值。

3

選取網站憑證管理程式鏈結。

4

網站憑證管理程式視窗中,選取瀏覽,然后導覽至您的 X.509 憑證的 CER 檔案所在的位置。

5

選取 CER 檔案,然後選取確定

6

選取關閉

7

SSO 設定頁上輸入所需的資訊,然後選取要啟用的選項。

8

選取更新

SSO 設定頁

下表列示且描述了 SSO 設定頁上的欄位和選項。


 

您在設定過程中使用的資訊必須確切。 如果需要關於為網站設定 SSO 所需的資訊的進一步說明,請聯絡您的身份識別提供者。

表 1. 「SSO 設定」頁的欄位和選項

欄位或選項

說明

AuthnContextClassRef

SAML 語句描述 IdP 處的驗證。 它必須與 IAM 設定相符。 ADFS 範例: urn:federation:authentication:windowsurn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping 範例: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

若要使用多個 AuthnContextClassRef 值,請新增“;”。譬如: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

自動建立帳戶(可選)

選取以建立使用者帳戶。 UID、電子郵件以及姓名欄位必須在聲明中出現。

自動更新帳戶(可選)

可透過在 t 中使用Webex 網站屬性來SAMLWebex帳戶。

客戶 SSO 錯誤 URL(可選)

如果發生錯誤,重新導向至此 URL 並在 URL 中附加錯誤碼。

客戶 SSO 服務登入 URL

您公司單一登入服務的 URL。 使用者通常透過此 URL 登入。 位於 IdP XML 檔案中(譬如: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

預設 Webex 目標頁面 URL(可選)

在驗證時,僅顯示為 web 應用程式指定的目標頁。

匯入 SAML 中繼資料(鏈結)

按一下以開啟同盟網路 SSO 設定 - SAML 中繼資料對話方塊。 匯入的中繼資料欄位包括:

  • AuthnRequestSigned 目標

  • SAML 的簽發者(IdP ID)

  • 客戶 SSO 服務登入 URL

SAML 的簽發者(IdP ID)

URI 唯一識別 IdP。 設定必須與客戶 IAM 中的設定相符。 位於 IdP XML 檔案中(譬如: entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust"

NameID 格式

必須符合 IdP 設定,且支援下列格式:

  • 未指定

  • 電子郵件地址

  • X509 主體名稱

  • 實體識別元

  • 永久識別元

移除 Active Directory UPN 的 uid 網域尾碼

當選取時,從使用者主體名稱(UPN)移除 Active Directory 域。

SSO 設定檔

指定使用者如何存取Webex 網站。 選取SP 起始如果使用者從Webex 會議網站開始並重新導向至企業 IdP 系統進行驗證。 選取已起始 IdP如果使用者透過公司 IAM 系統存取Webex 網站。

出席者的 SSO 驗證

此功能為使用Webex Meetings、 Webex Training 和Webex Events 的內部出席者的SAML判斷使用者驗證提供其他責任等級。 啟用後,此功能將取代Webex Meetings的「在參加者清單中顯示內部使用者標記」功能。

AuthnRequest 的簽名演算法

為了增強安全性,您現在可以生成 SHA-1、SHA-256 或 SHA-512 簽署憑證。

單一登出(可選)

選取以要求登出並設定登出 URL。


 

IdP 啟動的單一登出不受支援。

Webex SAML 簽發者 (SP ID)

URI將Webex Messenger服務識別為 SP。 設定必須與客戶身份識別和存取管理系統中的設定相符。 建議的命名規範: 對於Webex Meetings,請輸入Webex Meetings網站URL。 對於Webex Messenger服務,請使用「用戶端-網域名稱」格式(例如: IM-Client-ADFS-WebexEagle-Com )。

您可以匯出 SAML 中繼資料 Webex 設定檔

您可以匯出某些中繼資料用於以后匯入。 匯出的中繼資料欄位包括:

  • AuthnRequestSigned 目標

  • SAML 的簽發者(IdP ID)

  • 客戶 SSO 服務登入 URL

續訂過期的憑證

準備工作

此功能僅適用於已在「 Webex管理」中設定SSO且尚未在 Control Hub 中管理其網站的管理員。


 

我們建議您在 2022 年 11 月之前更新您的身分識別提供者 (IdP) 的憑證。 如果憑證過期,使用者可能無法成功登入。

1

登入「Webex管理」並轉至設定>常用網站設定> SSO

2

向下捲動至網站 SP 憑證管理員

顯示即將到期的憑證和新憑證詳細資料(序號、到期日期、金鑰詳細資料、狀態和動作)。 目前使用的憑證會標示為使用中。

3

移至新憑證,然後按一下匯出證明

您還可以按一下匯出中繼資料以下載新憑證的中繼資料。


 

新的憑證檔案將在一年後過期。 管理員將需要注意任何警示通知。

4

將新的憑證檔案上傳至您的身分提供者 (IdP)。

5

選取使用中新憑證的單選按鈕。

6

按一下更新

新憑證現已生效。

7

測驗新憑證。

更新憑證時的常見問題及解答

問: 所有管理員都受此功能影響嗎?

答: 不,只有已在「Webex管理」中設定SSO的管理員受影響。

問: 如果管理員在到期日之前不更新憑證,會發生什麼情況?

答: 憑證即將到期,您的使用者可能無法成功登入Webex 。 我們建議您在 2022 年 11 月之前更新憑證。

如果憑證過期,您仍然可以登入「網站管理」 ,以更新並啟動您對應的身份提供者的新憑證。 如果您在更新憑證時遇到任何問題,請聯絡您的Webex Support 團隊。

問: 新憑證的有效期為多長時間?

答: 新憑證的有效期大約為一年。 Webex營運團隊會在現有憑證過期前兩個月生成新憑證。 這會為您提供在到期日之前規劃和更新憑證的時間。