- 首頁
- /
- 文章
您可以在 Control Hub 和使用 F5 Big-IP 作為身分識別提供者 (IdP) 的部署之間設定「單一登入 (SSO)」整合。
單一登入與 Control Hub
單一登入 (SSO) 是階段作業或使用者驗證程序,允許使用者提供認證來存取一或多個應用程式。 此程序會針對使用者取得權限的所有應用程式,進行使用者驗證。 如果使用者在特定階段作業期間切換應用程式,則此程序會消除進一步的提示。
「安全性聲明標記語言 (SAML 2.0) 同盟通訊協定」用於在 Webex 雲端和您的身分識別提供者 (IdP) 之間提供 SSO 驗證。
設定檔
Webex 應用程式僅支援 Web 瀏覽器 SSO 設定檔。 在 Webex 瀏覽器 SSO 設定檔中,Webex 應用程式支援下列繫結:
SP 起始的 POST -> POST 連結
SP 起始的 REDIRECT -> POST 連結
NameID 格式
「SAML 2.0 通訊協定」支援特定使用者採用數種 NameID 格式進行通訊。 Webex 應用程式支援下列 NameID 格式。
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
在您從 IdP 載入的中繼資料中,第一個項目是設定用於 Webex。
SingleLogout
Webex 應用程式支援單一登出設定檔。 在 Webex 應用程式中,使用者可以登出應用程式,這將使用「SAML 單一登出」通訊協定來結束階段作業,並向您的 IdP 確認該登出。 請確保為 SingleLogout 設定了 IdP。
將 Control Hub 與 F5 Big-IP 整合
該設定指南顯示 SSO 整合的特定範例,但不提供所有可能性的詳盡設定。 例如,已記載整合步驟 |
為 Webex 組織中的使用者設定此整合(包括 Webex 應用程式、Webex Meetings 及在 Control Hub 中管理的其他服務)。 如果 Webex 網站已整合在 Control Hub 中,則 Webex 網站會繼承使用者管理。 如果您無法以此方式存取 Webex Meetings 且它未在 Control Hub 中進行管理,則您必須執行單獨整合才能為 Webex Meetings 啟用 SSO。 (如需相關資訊,請在網站管理的 SSO 整合中參閱為 Webex 設定單一登入。)
準備工作
對於 SSO 及 Control Hub,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:
下載 Webex 中繼資料至您的本機系統
1 | 從 https://admin.webex.com 的客戶檢視中,前往 ,然後捲動至驗證,然後開啟單一登入設定以啟動設定精靈。 | ||
2 | 選擇貴組織的憑證類型:
| ||
3 | 下載中繼資料檔案。 Webex 中繼資料檔名為 idb-meta--SP.xml。<org-ID> |
設定外部服務提供者和身分識別提供者
1 | 從您的 BIG-IP F5 管理介面中,轉至 。 |
2 | 從外部 SP 連接器中,選取 。 |
3 | 輸入一個有意義的名稱作為服務提供者名稱,例如 <yourorganizationname>.ciscowebex.com。 |
4 | 在安全性設定下,勾選下列勾選方塊:
|
5 | 回到 ,然後建立一個新的身分識別提供者 (IdP) 服務。 |
6 | 輸入一個有意義的名稱作為 IdP 服務名稱,例如 CI。 |
7 | 對於 IdP 實體 ID,請使用 Big-IP 伺服器的 FQDN,其前面有增添項,例如 https://bigip0a.uc8sevtlab13.com/CI。 |
8 | 在聲明設定下,選取聲明主體類型的暫時識別碼。 |
9 | 對於聲明主體值,傳回使用者電子郵件的值 %{session.ad.last.attr.mail}。 |
10 | 傳回屬性 mail 和 uid 以及值 %{session.ad.last.attr.mail}。 |
11 | 在安全性設定下,挑選憑證來簽署聲明。 |
12 | 儲存變更,然後連結您建立的服務提供者及身分識別提供者。 |
下載 F5 Big-IP 中繼資料
1 | 選取匯出 IDP 服務。 |
2 | 確保簽署中繼資料值為是。 |
3 | 將中繼資料檔下載至桌面或者您可以輕鬆找到的位置。 |
新增存取原則
1 | 移至存取原則 > 存取設定檔 > SAML,然後為您建立的 IdP 建立 SAML 資源。 |
2 | 移至「存取設定檔」並編輯您用於 WebEx Messenger CAS 的存取原則。 |
3 | 在登入標籤中新增名稱為登入頁面的項目,並保留預設值。 |
4 | 在驗證標籤中新增名稱為 AD 驗證的項目,並將 Active Directory 指定為伺服器。 |
5 | 在成功的分支上,從驗證標籤新增「AD 查詢」 |
6 | 移至分支規則,並將其變更為 AD 查詢已通過。 |
7 | 在「AD 查詢」的成功分支上,從指定標籤新增進階資源指定。 |
8 | 按一下新增/刪除並新增兩個資源 SAML,其含有所有 SAML 資源及您建立的 Webtop。 |
9 | 對於選取結束,選取允許。 存取原則應該類似於此快照: |
將存取設定檔與虛擬伺服器相關聯
必須將存取設定檔與您建立的虛擬伺服器關聯。
1 | 轉至 。 |
2 | 開啟「存取設定檔」以確認設定檔沒有關聯的虛擬伺服器。 |
3 | 選取進階資源指定。 |
4 | 選取新增/刪除以新增 SAML 資源。 |
5 | 關閉「存取原則設計」視窗並套用新的存取原則。 |
匯入 IdP 中繼資料並在測試後啟用單一登入
匯出 Webex 中繼資料後,設定 IdP,然後將 IdP 中繼資料下載至本機系統,您便可以將中繼資料匯入至 Webex 組織(從 Control Hub)。
準備工作
請勿從身分識別提供者 (IdP) 介面測試 SSO 整合。 我們只支援由服務提供者發起(即由 SP 發起)的流程,因此您必須對此整合使用 Control Hub SSO 測試。
1 | 選擇一個:
| ||||
2 | 在「匯入 IdP 中繼資料」頁面上,將 IdP 中繼資料檔案拖放到頁面上,或者使用檔案瀏覽器選項來尋找並上傳中繼資料檔。 按下一步。 如果可以,您應該使用較安全選項。 這只有在您的 IdP 使用公用 CA 來簽署其中繼資料時才可行。 在所有其他情況下,您必須使用較不安全選項。 這包括中繼資料未簽署、自我簽署或由私人 CA 簽署這樣的情況。
| ||||
3 | 選取 測試 SSO 設定 ,然後當新的瀏覽器索引標籤開啟時,請透過登入,向 IdP 驗證。
| ||||
4 | 回到 Control Hub 瀏覽器標籤。
|
下一步
如果您想要將 Okta 以外的使用者佈建至 Webex 雲端,請使用將 Okta 使用者同步至 Cisco Webex Control Hub 中的程序。
如果您想要將 Azure Active Directory 以外的使用者佈建至 Webex 雲端,請使用將 Azure Active Directory 使用者同步至 Cisco Webex Control Hub 中的程序。
您可以遵循禁用自動傳送的電子郵件中的程序,以停用傳送至貴組織中新 Webex 應用程式使用者的電子郵件。 文件還包含將通訊傳送給您組織中的使用者的最佳做法。