單一登入

Webex SSO使用唯一識別碼來授予組織中人員存取所有企業應用程式的存取權。管理員可以使用 Webex 管理為 Webex SSO設定密碼。

單一登入是必須為您的網站佈建的一項可選功能。如需相關資訊,請聯絡Cisco 支援。

設定 SSO

使用以下過程以設定 SSO 和 SAML 2.0。

在開始之前

獲取並設定以下需求。

  • 標準 SAML 2.0 或 WS Federate 1.0 相容 身分識別提供者 (IdP),例如 CA SiteMinder、ADFS 和 Ping Identity。

    SAML 1.1 和 WS Federate 1.0 已棄用,不再受到 Cisco Webex。

  • 來自受信任的憑證授權單位(譬如 VeriSign 和 Thawte)的公司 X.509 公開金鑰憑證。

  • 用於提供 SAML 聲明的 IdP 消費者帳戶資訊及 SAML 系統 ID。

  • IdP XML 檔案。

  • 公司 IAM 服務的 URL。

1

請登錄 Webex 管理並轉至 設定>通用 網站設定>SSO 設定。

2

同盟通訊協定下拉清單中,選取 SAML 2.0

如果存在現有設定,那麼某些欄位可能已經被填入值。

3

選取網站憑證管理程式鏈結。

4

網站憑證管理程式視窗中,選取瀏覽,然后導覽至您的 X.509 憑證的 CER 檔案所在的位置。

5

選取 CER 檔案,然後選取確定

6

選取關閉

7

SSO 設定頁上輸入所需的資訊,然後選取要啟用的選項。

8

選取更新

SSO 設定頁

下表列示且描述了 SSO 設定頁上的欄位和選項。

您在設定過程中使用的資訊必須確切。如果需要關於為網站設定 SSO 所需的資訊的進一步說明,請聯絡您的身份識別提供者。

表 1. 「SSO 設定」頁的欄位和選項

欄位或選項

描述

AuthnContextClassRef

SAML 語句描述 IdP 處的驗證。它必須與 IAM 設定相符。ADFS 範例:urn:同盟:驗證:Windowsurn:oasis:names:tc: SAML:2.0:ac:classes:PasswordProtectedTransport Ping 範例:urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

若要使用多個 AuthnContextClassRef 值,請新增“;”。譬如: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

自動建立帳戶(可選)

選取以建立使用者帳戶。UID、電子郵件以及姓和名欄位必須存在聲明。

自動更新帳戶(可選)

可以在 t 中具有 updateTimeStamp 屬性來更新 Webex 帳戶 當在 IdP 中進行修改時,會向 Webex 網站(w 帳戶,其中具有 SAML 判斷聲明中所送出的任何屬性)來更新 Webex 帳戶。

客戶 SSO 錯誤 URL(可選)

如果發生錯誤,重新導向至此 URL 並在 URL 中附加錯誤碼。

客戶 SSO 服務登入 URL

您公司單一登入服務的 URL。使用者通常透過此 URL 登入。位於 IdP XML 檔案中(例如: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/

預設 Webex 目標頁面 URL(可選)

在驗證時,僅顯示為 web 應用程式指定的目標頁。

匯入 SAML 中繼資料(鏈結)

按一下以開啟同盟網路 SSO 設定 - SAML 中繼資料對話方塊。匯入的中繼資料欄位包括:

  • AuthnRequestSigned 目標

  • SAML 的簽發者(IdP ID)

  • 客戶 SSO 服務登入 URL

SAML 的簽發者(IdP ID)

URI 唯一識別 IdP。設定必須與客戶 IAM 中的設定相符。位於 IdP XML 檔案中(譬如:entityID="http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust" )

NameID 格式

必須與 IdP 組配置相符,並支援下列格式:

  • 未指定

  • 電子郵件地址

  • X509 主體名稱

  • 實體識別元

  • 永久識別元

移除 Active Directory UPN 的 uid 網域尾碼

當選取時,從使用者主體名稱(UPN)移除 Active Directory 域。

SSO 設定檔

指定使用者如何存取 Webex 網站。如果使用者 Webex 會議網站開始並重新導向至公司 IdP 系統進行驗證,請選取由 SP 起始。如果使用者 透過公司 IAM 系統存取 Webex 網站,請選取由 IdP 啟動。

出席者的 SSO 驗證

此功能為使用個人會議室、會議室和會議室的出席者進行 SAML 判斷Webex Meetings使用者驗證Webex Training責任Webex Events。啟用後,此功能將取代Webex Meetings的「在參加者清單中顯示內部使用者標記」功能。

AuthnRequest 的簽名演算法

為了增強安全性,您現在可以生成 SHA-1、SHA-256 或 SHA-512 簽署憑證。

單一登出(可選)

選取以要求登出並設定登出 URL。

IdP 啟動的單一登出不受支援。

Webex SAML 簽發者 (SP ID)

URI 將 Webex Messenger 服務識別為 SP。設定必須與客戶身份識別和存取管理系統中的設定相符。建議的命名規範:對於Webex Meetings,請輸入Webex Meetings URL。對於「Webex 信差」服務,請使用格式「client-domain-name」(範例:IM-用戶端-ADFS-WebexEagle-Com )。

您可以匯出 SAML 中繼資料 Webex 設定檔

您可以匯出某些中繼資料用於以后匯入。匯出的中繼資料欄位包括:

  • AuthnRequestSigned 目標

  • SAML 的簽發者(IdP ID)

  • 客戶 SSO 服務登入 URL

續訂過期的憑證

在開始之前

此功能僅適用于在 Webex 管理中SSO且尚未在 Control Hub 中管理其網站的管理員。

我們建議您在 2022 年 11 月之前更新您的身分識別提供者 (IdP) 的憑證。如果憑證過期,使用者可能無法成功登錄。

1

請登錄 Webex 管理並轉至 設定>通用 網站設定>SSO 設定。

2

向下捲動至網站 SP 憑證管理員

顯示即將到期的憑證和新憑證詳細資料(序號、到期日期、金鑰詳細資料、狀態和動作)。目前正在使用的憑證會標示為使用中。

3

移至新憑證,然後按一下匯出證明

您也可以按一下螢幕 底部的匯出 中繼資料以下載具有新憑證的中繼資料。

新的憑證檔案將在一年到期。管理員將需要留意任何警示通知。

4

將新的憑證檔案上傳至您的身分提供者 (IdP)。

5

選取使用中 新憑證的單選按鈕。

6

按一下更新

新憑證現已使用中。

7

測驗新憑證。

更新憑證時常見問題及解答

問:所有管理員都受此功能影響嗎?

答:不會,僅影響在 Webex SSO中已進行此配置的管理員。

問:如果管理員在到期日之前不更新憑證,會發生什麼情況?

答:憑證將過期,並且您的使用者可能無法成功登錄 Webex。我們建議您在 2023 年 10 月之前更新憑證。

如果憑證過期,您仍然可以登入「網站管理」 ,以更新並啟動您對應的身份提供者的新憑證。如果在更新憑證時面臨任何問題,請聯絡您的Webex Support團隊。

問:新憑證的有效期為多長時間?

答:新憑證的有效時間大約為一年。Webex 運營團隊會在現有憑證過期前兩個月生成新憑證。這為您提供了在到期日之前計畫及更新憑證的時間。