單一登入

Webex SSO 使用一個唯一的識別元為組織中的人員提供對所有企業應用程式的存取權。 管理員可以使用「Webex 網站管理」來設定 Cisco Webex 應用程式的 SSO。


單一登入是必須為您的網站佈建的一項可選功能。 聯絡您的客戶成功經理以獲取資訊。

設定 SSO

使用以下過程以設定 SSO 和 SAML 2.0。

開始之前

獲取並設定以下需求。

  • 符合標準 SAML 2.0 或 WS Federate 1.0 的身份識別和存取管理(IAM)系統,例如 CA SiteMinder、ADFS 和 Ping 身份識別。

  • 來自受信任的憑證授權單位(譬如 VeriSign 和 Thawte)的公司 X.509 公開金鑰憑證。

  • 設定為使用使用者帳戶資訊和 SAML 系統 ID 提供 SAML 判斷提示的 IAM。

  • IdP XML 檔案。

  • 公司 IAM 服務的 URL。

1

登入「Webex 網站管理」並轉至設定 > 通用網站設定 > SSO 設定

2

同盟通訊協定下拉清單中,選取 SAML 2.0

如果存在現有設定,那麼某些欄位可能已經被填入值。

3

選取網站憑證管理程式鏈結。

4

網站憑證管理程式視窗中,選取瀏覽,然后導覽至您的 X.509 憑證的 CER 檔案所在的位置。

5

選取 CER 檔案,然後選取確定

6

選取關閉

7

SSO 設定頁上輸入所需的資訊,然後選取要啟用的選項。

8

選取更新

SSO 設定頁

下表列示且描述了 SSO 設定頁上的欄位和選項。


您在設定過程中使用的資訊必須確切。 如果需要關於為網站設定 SSO 所需的資訊的進一步說明,請聯絡您的身份識別提供者。

表 1. 「SSO 設定」頁的欄位和選項

欄位或選項

說明

SSO 設定檔

指定使用者存取 Webex 網站的方式。 選取由 SP 起始(如果使用者從 Webex 會議網站開始並重新導向至企業 IdP 系統進行驗證)。 選取由 IdP 起始(如果使用者透過企業 IAM 系統存取 Webex 網站)。

匯入 SAML 中繼資料(鏈結)

按一下以開啟同盟網路 SSO 設定 - SAML 中繼資料對話方塊。 匯入的中繼資料欄位包括:

  • AuthnRequestSigned 目標

  • SAML 的簽發者(IdP ID)

  • 客戶 SSO 服務登入 URL

Webex SAML 簽發者 (SP ID)

URI 將 Cisco Webex 信差服務識別為 SP。 設定必須與客戶身份識別和存取管理系統中的設定相符。 建議的命名規範: 針對 Webex Meetings,輸入 Webex Meetings 網站 URL。 對於 Webex 信差服務,請使用格式 “client-domain-name”(譬如: IM-Client-ADFS-WebexEagle-Com)。

SAML 的簽發者(IdP ID)

URI 唯一識別 IdP。 設定必須與客戶 IAM 中的設定相符。 位於 IdP XML 檔案中(譬如: entityID=” http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust”

客戶 SSO 服務登入 URL

您公司單一登入服務的 URL。 使用者通常透過此 URL 登入。 位於 IdP XML 檔案中(譬如: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />

您可以匯出 SAML 中繼資料 Webex 設定檔

您可以匯出某些中繼資料用於以后匯入。 匯出的中繼資料欄位包括:

  • AuthnRequestSigned 目標

  • SAML 的簽發者(IdP ID)

  • 客戶 SSO 服務登入 URL

NameID 格式

必須與 IAM 設定相符,且使用以下受支援的格式:

  • 未指定

  • 電子郵件地址

  • X509 主體名稱

  • 實體識別元

  • 永久識別元

AuthnContextClassRef

SAML 語句描述 IdP 處的驗證。 它必須與 IAM 設定相符。 ADFS 範例: urn:federation:authentication:windows 或 urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping 範例: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified 附註: 若要使用多個 AuthnContextClassRef 值,請新增“;”。譬如: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

預設 Webex 目標頁面 URL(可選)

在驗證時,僅顯示為 web 應用程式指定的目標頁。

客戶 SSO 錯誤 URL(可選)

如果發生錯誤,重新導向至此 URL 並在 URL 中附加錯誤碼。

單一登出(可選)

選取以要求登出並設定登出 URL。


 

IdP 啟動的單一登出不受支援。

AuthnRequest 的簽名演算法

為了增強安全性,您現在可以生成 SHA-1、SHA-256 或 SHA-512 簽署憑證。

出席者的 SSO 驗證

此功能為針對使用 Webex Meetings、Webex Training 和 Webex Events 的內部出席者進行的 SAML 判斷提示使用者驗證提供額外的責任層級。 啟用後,此功能會取代 Webex Meetings 的「在參加者清單中顯示內部使用者標記」功能。

自動建立帳戶(可選)

選取以建立使用者帳戶。 必須在 SAML 判斷提示中包含 UID、電子郵件和姓和名欄位。

自動更新帳戶(可選)

Webex 帳戶可透過在 SAML 判斷提示中使用 updateTimeStamp 屬性來更新。 在 IAM 中進行修改時,會將新的時間戳記傳送至 Webex 網站,該網站會以在 SAML 判斷提示中傳送的任何屬性來更新帳戶。

移除 Active Directory UPN 的 uid 網域尾碼

當選取時,從使用者主體名稱(UPN)移除 Active Directory 域。