單一登入 (SSO) 可讓使用者透過向組織的通用身分識別提供者進行驗證,安全地登入 Webex。身分識別提供者 (IdP) 會安全地儲存和管理使用者的數位身分,並為 Webex 使用者提供使用者驗證服務。

您可能需要多個 IdP 的原因

許多大公司經歷了合併和收購,這些公司很少擁有相同的 IT 基礎架構和身分識別提供者。政府機構下有各種組織和機構。通常,這些組織各自的 IT 部門和基礎結構都有一個電子郵件地址。主要教育機構有一個中央採購部門,但不同的大學和學院具有不同的 IT 組織和部門。

通常會看到 IdP 和服務提供者 (SP) 彼此同盟。IdP 負責驗證使用者的憑證,而 SP 信任 IdP 進行的驗證。這可讓您的使用者使用相同的數位身分存取各種 SaaS 應用程式和服務。但是,如果由於某些原因您的組織無法在 IdP 之間聯合,則 Webex 會提供因應措施來支援多個 IdP。基於這些原因,我們為您提供在 Webex 中為多個 IdP 設定 SSO 的選項,並簡化使用者的驗證程序。

限制

  • 如果您在組織中使用目錄連接器,則必須為所有使用者佈建目錄連接器。請參閱Directory Connector 部署指南 以獲取更多資訊。
  • 我們目前僅支援 SAML、OpenID Connect 和 Webex Identity 作為身分識別提供者。

超出範圍

  • 設定群組指定。

本節介紹如何將身分識別提供者 (IdP) 與 Webex 組織整合。您可以選擇最符合組織需求的 IdP。

如果您正在尋找 Webex Meetings 網站的 SSO 整合(在「網站管理」中管理),請參閱為 Webex 管理設定單一登入

先決條件

開始之前

確保滿足下列條件:

    • 您必須在 Control Hub 中具有完全管理員角色。
    • 來自 IdP 的中繼資料檔案提供給 Webex,以及來自 Webex 的中繼資料檔案提供給 IdP。有關更多資訊,請參閱Control Hub 中的單一登入整合。這僅適用於 SAML 組態。
    • 您應該在設定多個 IdP 之前規劃您的路由規則行為。

    設定初始 IdP 後,即會套用預設路由規則。但您可以將另一個 IdP 設定為預設值。請參閱新增或編輯路由規則 在本文的「路由規則」標籤中。

設定 SAML
1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP 以啟動組態精靈。

3

選取SAML 作為您的 IdP,然後按一下下一頁

4

選擇憑證類型:

  • 由 Cisco 自我簽署— 我們建議使用此選項。讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公用憑證授權單位簽署— 更安全,但您需要經常更新中繼資料(除非您的 IdP 供應商支援信任錨)。

信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。

5

按一下下載中繼資料,然後按下一步

Webex 應用程式中繼資料檔名為idb-meta-<org-ID> -SP.xml

6

上傳您的 IdP 中繼資料檔案或填寫設定表格。

上傳中繼資料檔案時,有兩種方法可驗證來自客戶 IdP 的中繼資料:

  • 客戶 IdP 在中繼資料中提供一個由公用根 CA 簽署的簽章。
  • 客戶 IdP 提供一個自我簽署的專用 CA 或不為其中繼資料提供簽章。此選項不太安全。
或者,在組態表格中,輸入 IdP 資訊。

按一下下一步

7

(可選)您可以變更 的 SAML 屬性名稱Webex 使用者名稱主要電子郵件地址uid 與 IdP 管理員商定的內容,例如emailupn等。

8

(選用)設定即時 (JIT) 設定和 SAML 對映回應。

請參閱配置即時 (JIT) 和 SAML 對映 (在本文中的管理您的 IdP 標籤中)。
9

按一下測試 SSO 設定,當新的瀏覽器標籤開啟時,請透過登入向 IdP 進行驗證。

測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。

如果您收到驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

若要查看 SSO 登入體驗,我們建議您按一下將 URL 複製到剪貼簿 從此螢幕中,並將其貼至私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

10

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。啟用 SSO 和 IdP 並按一下啟動
  • 如果測試不成功,請選取測試不成功。回到先前的步驟以修正錯誤

除非您選擇第一個單選按鈕並啟動 SSO,否則 SSO 設定不會在您的組織中生效。

下一步

您可以設定路由規則。請參閱新增或編輯路由規則 在本文的「路由規則」標籤中。

您可以遵循以下步驟:隱藏自動傳送的電子郵件 以停用向組織中的新 Webex 應用程式使用者傳送電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。

設定 OpenID Connect
1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP 以啟動組態精靈。

3

選取OpenID Connect 作為您的 IdP,然後按一下下一頁

4

輸入您的 IdP 資訊。

  • 名稱— 用於識別 IdP 的名稱。
  • 用戶端 ID — 用來識別您和您的 IdP 的唯一 ID。
  • 用戶端密碼— 您和您的 IdP 知道的密碼。
  • 範圍— 要與您的 IdP 關聯的範圍。

5

選擇如何新增端點。這可以自動或手動完成。

  • 使用探索 URL 以自動新增端點。

    • 輸入探索 URL 為您的 IdP。此 URL 將自動填入 OIDC 單一登出 (SLO) 所需的端點。
    • 開啟允許課程自動登出 以確保使用者在登出 Webex 時已登出所有連線的應用程式和服務。

  • 如果您希望手動新增所有端點資訊,然後新增以下詳細資料。

    • 簽發者— 輸入 IdP 指定的簽發者 URL。
    • 授權端點— 輸入授權端點的 URL。
    • 權杖端點— 輸入權杖端點的 URL。
    • JWKS 端點— 輸入 JSON Web 金鑰集 (JWKS) URL。
    • 使用者資訊端點— 輸入使用者資訊端點的 URL。
    • 如果允許課程自動登出 已開啟,則您必須輸入階段作業登出端點 跨所有連線應用程式啟用單一登出 (SLO) 的 URL。
    如需詳細資訊,請參閱OpenID Connect 設定指南

6

(選用)設定即時 (JIT) 設定。

請參閱配置即時 (JIT) 和 SAML 對映 (在本文中的管理您的 IdP 標籤中)。
7

按一下測試 SSO 設定,當新的瀏覽器標籤開啟時,請透過登入向 IdP 進行驗證。

測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。

如果您收到驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

若要查看 SSO 登入體驗,我們建議您按一下將 URL 複製到剪貼簿 從此螢幕中,並將其貼至私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

8

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。啟用 SSO 和 IdP 並按一下啟動
  • 如果測試不成功,請選取測試不成功。回到先前的步驟以修正錯誤

除非您選擇第一個單選按鈕並啟動 SSO,否則 SSO 設定不會在您的組織中生效。

下一步

您可以設定路由規則。請參閱新增或編輯路由規則 在本文的「路由規則」標籤中。

您可以遵循以下步驟:隱藏自動傳送的電子郵件 以停用向組織中的新 Webex 應用程式使用者傳送電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。

設定 Webex 身分識別
1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP 以啟動組態精靈。

3

選取Webex 作為您的 IdP,然後按一下下一頁

4

檢查我已閱讀並了解 Webex IdP 的運作方式 並按一下下一頁

5

設定路由規則。

請參閱新增或編輯路由規則 在本文的「路由規則」標籤中。

新增路由規則後,您的 IdP 即會新增並顯示在身分識別提供者 標籤。

後續動作

您可以遵循以下步驟:隱藏自動傳送的電子郵件 以停用傳送給組織中的新 Webex 應用程式使用者的電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。

設定多個 IdP 時,路由規則適用。當您設定多個 IdP 時,路由規則可讓 Webex 識別要將使用者傳送至哪個 IdP。

設定多個 IdP 時,您可以在 SSO 設定精靈中定義您的路由規則。如果您跳過路由規則步驟,則 Control Hub 會新增 IdP,但不會啟動 IdP。您必須新增路由規則以啟用 IdP。

新增或編輯路由規則
1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至路由規則 標籤。

設定第一個 IdP 時,會自動新增路由規則並設定為預設規則。您可以選擇另一個 IdP 稍後設定為預設規則。

4

按一下新增路由規則

5

輸入新規則的詳細資料:

  • 規則名稱— 輸入路由規則的名稱。
  • 選取路由類型— 選取網域或群組。
  • 如果這些是您的網域/群組— 輸入組織內的網域/群組。
  • 然後使用此身分識別提供者— 選取 IdP。

6

按一下新增

7

選取新的路由規則,然後按一下啟動

如果您有多個 IdP 的路由規則,則可以變更路由規則優先順序。

停用或刪除路由規則
1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至路由規則 標籤。

4

選取路由規則。

5

選擇是否要停用刪除 路由規則。

建議您為 IdP 使用另一個使用中的路由規則。否則,您可能會遇到 SSO 登入問題。

預設規則無法停用或刪除,但您可以修改路由的 IdP。

管理您的身分識別提供者 (IdP) 憑證

開始之前

有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。

這僅適用於 SAML 組態。

1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至身分識別提供者 標籤。

4

轉至 IdP,按一下upload 並選取上傳 Idp 中繼資料

若要下載中繼資料檔案,按一下下載 並選取下載 Idp 中繼資料
5

導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。

6

返回 Control Hub 並將您的 IdP 中繼資料檔案拖放至上傳區域,或按一下選擇檔案 以上傳中繼資料。

7

選擇不太安全 (自我簽署)或更安全 (由公用 CA 簽署),取決於簽署 IdP 中繼資料的方式,然後按一下儲存

8

配置即時 (JIT) 設定和 SAML 對映回應。

請參閱配置即時 (JIT) 和 SAML 對映 (在本文中的管理您的 IdP 標籤中)。
9

按一下測試 SSO 設定,當新的瀏覽器標籤開啟時,請透過登入向 IdP 進行驗證。

測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。

如果您收到驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

若要查看 SSO 登入體驗,我們建議您按一下將 URL 複製到剪貼簿 從此螢幕中,並將其貼至私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

10

按一下儲存

管理您的服務提供者 (SP) 憑證

開始之前

建議您在續訂 SP 憑證時更新組織中的所有 IdP。

這僅適用於 SAML 組態。

1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至身分識別提供者 標籤。

4

轉至 IdP 並按一下

5

按一下檢閱憑證和到期日

這會將您帶至服務提供者 (SP) 憑證 視窗。
6

按一下續訂憑證

7

選擇組織中的 IdP 類型:

  • 支援多個憑證的 IdP
  • 支援單一憑證的 IdP
8

選擇續訂的憑證類型:

  • 由 Cisco 自我簽署— 我們建議使用此選項。讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公用憑證授權單位簽署— 更安全,但您需要經常更新中繼資料(除非您的 IdP 供應商支援信任錨)。

信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。

9

按一下下載中繼資料下載憑證 從 Webex 雲端下載更新的中繼資料檔案或憑證的副本。

10

導覽至 IdP 管理介面以上傳新的 Webex 中繼資料檔案或憑證。

可透過瀏覽器標籤、遠端桌面通訊協定 (RDP),或透過特定的雲端提供者支援來完成此步驟,取決於您的 IdP 設定,以及是否由您或單獨的 IdP 管理員負責此步驟。

如需詳細資訊,請參閱我們的 SSO 整合指南 或聯絡您的 IdP 管理員以尋求支援。如果您使用的是 Active Directory Federation Services (AD FS),則可以查看如何在 AD FS 中更新 Webex 中繼資料

11

返回 Control Hub 介面,然後按一下下一頁

12

選取已成功更新所有 IdP 並按一下下一頁

這會將 SP 中繼資料檔案或憑證上傳至組織中的所有 IdP。

13

按一下完成續訂

測驗您的 SSO 設定

準備工作

1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至身分識別提供者 標籤。

4

轉至 IdP 並按一下「更多」功能表

5

選取測試 IdP

6

按一下測試 SSO 設定,當新的瀏覽器標籤開啟時,請透過登入向 IdP 進行驗證。

如果您收到驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

若要查看 SSO 登入體驗,我們建議您按一下將 URL 複製到剪貼簿 從此螢幕中,並將其貼至私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

7

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。啟用 SSO 和 IdP 並按一下儲存
  • 如果測試不成功,請選取測試不成功。回到先前的步驟以修正錯誤

此 SSO 設定不會在貴組織中生效,除非您先選擇圓鈕並啟動 SSO。

配置即時 (JIT) 和 SAML 對映

準備工作

確保滿足下列先決條件:

  • SSO已配置。

  • 這些網域已經過驗證。

  • 網域已宣告並已開啟。此功能可確保您網域中的使用者在每次向 IdP 進行驗證時建立和更新一次。

  • 如果已啟用 DirSync 或 Azure AD,則 SAML JIT 建立或更新將無法運作。

  • 「封鎖消費者設定檔更新」已啟用。允許 SAML 更新對圖,因為此配置控制使用者編輯屬性的能力。仍支援由管理員控制的建立和更新方法。

當使用 Azure AD 或電子郵件不是永久標識符的 IdP 設定 SAML JIT 時,我們建議您使用externalId 鏈結屬性以對應至唯一識別碼。如果我們發現電子郵件與鏈結屬性不相符,則會提示使用者驗證其身分或使用正確的電子郵件地址建立新使用者。

新建立的使用者不會自動獲得授權,除非組織 已設定自動授權 範本。

1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至身分識別提供者 標籤。

4

轉至 IdP 並按一下「更多」功能表

5

選取編輯 SAML 對應

6

設定即時 (JIT) 設定

  • 建立或啟用使用者:如果找不到使用中的使用者,則 Webex Identity 會建立使用者並在使用者向 IdP 驗證後更新屬性。
  • 使用 SAML 屬性更新使用者:如果找到具有電子郵件地址的使用者,則 Webex 身份識別會使用 SAML 聲明中對應的屬性來更新使用者。
確認使用者可以使用其他無法識別的電子郵件地址登入。

7

設定SAML 對映所需屬性

表 1. 必要屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

使用者名稱/主要電子郵件地址

範例:uid

將 UID 屬性對應至已佈建使用者的電子郵件、UPN 或 edupersonprincipalname。

8

設定鏈結屬性

這對於使用者應該是唯一的。它用於查找使用者,以便 Webex 可以更新所有設定檔屬性,包括使用者的電子郵件。
表 2. 鏈結屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

使用者的員工編號,或其 HR 系統中的識別碼。請注意,這不適用於externalid,因為您可以重複使用或回收employeenumber 其他使用者。

延伸屬性 1

範例:user.extensionattribute1

將這些自訂屬性對映至 Active Directory、Azure 或您的目錄中的擴充屬性以獲取追踪碼。

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:user.extensionlattribute4

延伸屬性 5

範例:user.extensionattribute5

9

設定設定檔屬性

表格 3. 設定檔屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

此使用者的員工號碼,或其人力資源系統內的標識號。請注意,這不是針對「externalid」的,因為您可以為其他使用者重新使用或回收「employeenumber」。

preferredLanguage

範例:user.preferredlanguage

使用者偏好的語言。

locale

範例:user.locale

使用者的主要工作位置。

timezone

範例:user.timezone

使用者的主要時區。

displayName

範例:user.displayname

Webex 中的使用者顯示名稱。

name.givenName

範例:user.givenname

使用者的名字。

name.familyName

範例:user.姓氏

使用者的姓氏。

addresses.streetAddress

範例:user.streetaddress

使用者主要工作位置的街道地址。

addresses.state

範例:user.state

主要工作位置的狀態。

addresses.region

範例:user.region

使用者主要工作位置的地區。

addresses.postalCode

範例:user.postalcode

使用者主要工作位置的郵遞區號。

address.country

範例:user.country

使用者主要工作位置的國家。

phoneNumbers.work

範例:公司電話號碼

使用者主要工作位置的工作電話號碼。僅使用國際 E.164 格式(最多 15 位)。

phoneNumbers.extension

範例:行動電話號碼

使用者主要工作電話號碼的工作分機號。僅使用國際 E.164 格式(最多 15 位)。

代詞

範例:user.pronoun

使用者的代詞。這是可選屬性,使用者或管理員可以令其設定檔上顯示它。

title

範例:user.jobtitle

使用者的職稱。

department

範例:user.department

使用者的工作部門或團隊。

代詞

範例:user.pronoun

這是使用者的代詞。此屬性的可見度由管理員和使用者控制

manager

範例:manager

使用者的經理或團隊領導。

成本中心

範例:成本中心

這是使用者的姓氏,也稱為姓氏或姓氏

email.alternate1

範例:user.mailnickname

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate2

範例:user.primaryauthorititativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate3

範例:user.alternativeauthoritativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate4

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate5

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。
10

設定分機屬性

針對 Active Directory,將這些屬性對Active Directory或您的目錄中的延伸追蹤碼。
表 4. 擴充屬性

Webex 身分屬性名稱

SAML 屬性名稱

延伸屬性 1

範例:user.extensionattribute1

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:user.extensionattribute4

延伸屬性 5

範例:user.extensionattribute5

延伸屬性 6

範例:user.extensionattribute6

延伸屬性 7

範例:user.extensionattribute7

延伸屬性 8

範例:user.extensionattribute8

延伸屬性 9

範例:user.extensionattribute9

延伸屬性 10

範例:user.extensionattribute10

11

設定群組屬性

  1. 在 Control Hub 中建立群組並記下 Webex 群組 ID。
  2. 轉至您的使用者目錄或 IdP,並為將被指定給 Webex 群組 ID 的使用者設定屬性。
  3. 更新 IdP 的設定以包含帶有此屬性名稱以及 Webex 群組 ID 的宣告(例如 c65f7d85-b691-42b8-a20b-12345xxxx )。您還可以使用外部 ID 來管理對群組名稱的變更或用於未來的整合方案。例如,與 Azure AD 同步或實施 SCIM 群組同步。
  4. 指定將在 SAML 聲明中與群組 ID 一起傳送的屬性的確切名稱。這用於將使用者新增至群組。
  5. 如果您使用目錄中的群組傳送 SAML 判斷提示中的成員,請指定群組物件的外部 ID 的確切名稱。

如果使用者 A 與groupID 1234 和使用者 BgroupID 4567,它們會被指定給不同的群組。此情境表示單一屬性允許使用者與多個群組 ID 建立關聯。雖然這種情況不常見,但有可能發生,並且可以被視為附加變更。例如,如果使用者 A 最初使用groupID 1234,他們將成為相應群組的成員。如果使用者 A 稍後使用groupID 4567,它們也會被新增至第二個群組。

SAML JIT 佈建不支援從群組中移除使用者或刪除任何使用者。

表 5. 群組屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

群組 ID

範例:群組 ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

群組外部 ID

範例:群組外部 ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

有關詳細資訊的 SAML 判斷屬性清單Webex Meetings,請參閱 https://help.webex.com/article/WBX67566

刪除您的身分識別提供者 (IdP)

開始之前

建議您先停用或刪除 IdP 的路由規則,然後再刪除 IdP。

1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至身分識別提供者 標籤。

4

轉至 IdP 並按一下「更多」功能表

5

選取刪除

1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

3

轉至身分識別提供者 標籤。

4

按一下停用 SSO

確認 SSO 停用。

確認後,將為您組織中的所有 IdP 停用 SSO。

在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。

無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心

1

登入 Control Hub。

2

轉至警示中心

3

選擇管理,然後選擇所有規則

4

從規則清單中,選擇您想要建立的任何 SSO 規則:

  • SSO IdP 憑證過期
  • SSO SP 憑證過期
5

在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。

如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。

如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。

6

儲存變更。

後續動作

從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您可能會在第 60、45、30 和 15 天收到警示。)當您續訂憑證時,警示會停止。

如果您在使用 SSO 登入時遇到問題,您可以使用SSO 自行複原選項 以存取在 Control Hub 中管理的 Webex 組織。自我複原選項可讓您在 Control Hub 中更新或停用 SSO。