感謝您的意見回饋。
在 Webex 中使用多個 IdP 進行 SSO
意見回饋?單一登入 (SSO) 使用戶能夠透過向您組織的通用身分提供者進行驗證來安全地登入 Webex。身分提供者 (IdP) 安全地儲存和管理使用者的數位身份,並為您的 Webex 使用者提供使用者身份驗證服務。
為什麼您可能需要多個身分提供者
許多大公司都會進行合併和收購,而這些公司很少擁有相同的 IT 基礎架構和身分提供者。政府機構下轄各種組織和部門。通常,這些組織會為自己的 IT 部門和基礎架構分別使用同一個電子郵件地址。大型教育機構設有中央採購部門,但不同的大學和學院有不同的IT組織和部門。
身分識別提供者 (IdP) 和服務提供者 (SP) 相互聯合是很常見的。身分提供者 (IdP) 負責驗證使用者的憑證,服務提供者 (SP) 信任身分提供者 (IdP) 進行的身分驗證。這樣,您的用戶就可以使用同一個數位身分存取各種 SaaS 應用程式和服務。但是,如果由於某種原因您的組織無法在身分提供者 (IdP) 之間進行聯合,那麼 Webex 提供了一個變通方法來支援多個身分提供者。鑑於上述原因,我們為您提供在 Webex 中為多個身分提供者設定 SSO 的選項,並簡化使用者的身分驗證流程。
限制
- 如果您的組織使用 Directory Connector,則所有使用者都必須設定 Directory Connector。有關更多信息,請參閱 目錄連接器部署指南 。
- 我們目前僅支援 SAML、OpenID Connect 和 Webex Identity 作為身分識別提供者。
超出範圍
- 配置組分配。
- 域名驗證。有關更多信息,請參閱 管理您的域名 。
- 用戶配置。有關更多信息,請參閱 將使用者新增至 Control Hub 組織的方法 。
本節介紹如何將身分識別提供者 (IdP) 與 Webex 組織整合。您可以選擇最符合您組織需求的身分提供者 (IdP)。
如果您正在尋找 Webex Meetings 網站(在網站管理中管理)的 SSO 集成,請參閱 設定 Webex 管理的單一登入。
在開始之前
請確保滿足以下條件:
- 您必須擁有 Control Hub 中的完整管理員角色。
- 從身分識別提供者 (IdP) 取得元資料文件,並將其提供給 Webex;從 Webex 取得元資料文件,並將其提供給身分提供者 (IdP)。有關更多信息,請參閱控制中心中的 單點登入整合。這僅適用於 SAML 配置。
- 在設定多個身分提供者 (IdP) 之前,您應該規劃好路由規則的行為。
配置初始身分提供者 (IdP) 後,將套用預設路由規則。但您可以將另一個身分提供者設定為預設提供者。請參閱本文「路由規則」標籤中的 新增或編輯路由規則 。
| 1 | |
| 2 |
前往 。 |
| 3 |
前往 身分提供者 選項卡,然後按一下 啟動 SSO。 |
| 4 |
選擇 SAML 作為您的身分提供者 (IdP),然後按一下 下一步。 |
| 5 |
選擇憑證類型:
信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。 |
| 6 |
按一下下載中繼資料,然後按下一步。 Webex App 元資料檔名是 idb-meta-<org-ID>-SP.xml。 |
| 7 |
上傳您的身分提供者元資料檔案或填寫設定表單。 上傳元資料檔案時,有兩種方法可以驗證來自客戶身分提供者 (IdP) 的元資料:
按一下下一步。 |
| 8 |
(可選)您可以將 Webex 使用者名稱 或 主電子郵件地址 的 SAML 屬性名稱從 |
| 9 |
(可選)配置即時 (JIT) 設定和 SAML 映射回應。 請參閱本文「管理您的身分提供者」標籤中的 設定即時 (JIT) 和 SAML 對應 。
|
| 10 |
點擊 測試 SSO 設定,當開啟新的瀏覽器標籤頁時,透過登入向 IdP 進行身份驗證。 測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。 如果收到身份驗證錯誤,則可能是憑證有問題。檢查使用者名稱和密碼並再試一次。 Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。 要查看 SSO 登入體驗,我們建議您從此畫面點擊 複製 URL 到剪貼簿 並將其貼上到隱私瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。 |
| 11 |
回到 Control Hub 瀏覽器標籤。
只有選擇第一個單選按鈕並啟動 SSO,SSO 設定才會在您的組織中生效。 |
下一步
您可以設定路由規則。請參閱本文「路由規則」標籤中的 新增或編輯路由規則 。
您可以按照 抑制自動電子郵件 中的步驟來停用向組織中的新 Webex App 使用者發送電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。
當使用 Entra ID 或 IdP 設定 OpenID Connect 時,如果電子郵件不是永久標識符,我們建議您使用 externalId 連結屬性對應到唯一識別符。對於 Entra ID,我們建議將 OIDC 對應到 externalId。如果發現電子郵件地址與連結屬性不匹配,系統會提示使用者驗證身分或使用正確的電子郵件地址建立新使用者。
| 1 | |
| 2 |
前往 。 |
| 3 |
前往 身分提供者 選項卡,然後按一下 啟動 SSO。 |
| 4 |
選擇 OpenID Connect 作為您的身分提供者,然後按 下一步。 |
| 5 |
請輸入您的身分提供者資訊。
|
| 6 |
(可選)啟用 允許代碼交換的金鑰驗證 (PKCE) 配置 以使用此安全性擴充來設定您的 OIDC IdP。 這增強了客戶端應用程式的安全性,並確保了與有此需求的使用者的相容性。 |
| 7 |
選擇新增端點的方式。這可以自動完成,也可以手動完成。
|
| 8 |
(可選)配置即時生產(JIT)設定。 請參閱本文「管理您的身分提供者」標籤中的 設定即時 (JIT) 和 SAML 對應 。
|
| 9 |
點擊 測試 SSO 設定,當開啟新的瀏覽器標籤頁時,透過登入向 IdP 進行身份驗證。 測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。 如果收到身份驗證錯誤,則可能是憑證有問題。檢查使用者名稱和密碼並再試一次。 Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。 要查看 SSO 登入體驗,我們建議您從此畫面點擊 複製 URL 到剪貼簿 並將其貼上到隱私瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。 |
| 10 |
回到 Control Hub 瀏覽器標籤。
只有選擇第一個單選按鈕並啟動 SSO,SSO 設定才會在您的組織中生效。 |
下一步
您可以設定路由規則。請參閱本文「路由規則」標籤中的 新增或編輯路由規則 。
您可以按照 抑制自動電子郵件 中的步驟來停用向組織中的新 Webex App 使用者發送電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。
| 1 | |
| 2 |
前往 。 |
| 3 |
前往 身分提供者 選項卡,然後按一下 啟動 SSO。 |
| 4 |
選擇 Webex 作為您的身分提供者,然後按一下 下一步。 |
| 5 |
勾選 我已閱讀並瞭解 Webex IdP 的工作原理 ,然後按一下 下一步。 |
| 6 |
設定路由規則。 請參閱本文「路由規則」標籤中的 新增或編輯路由規則 。 |
新增路由規則後,您的身分提供者 (IdP) 將被新增並顯示在 身分提供者 標籤下。
後續動作
您可以依照 抑制自動電子郵件 中的步驟來停用傳送給您組織中新 Webex App 使用者的電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。
當設定多個身分提供者 (IdP) 時,路由規則適用。路由規則使 Webex 能夠在配置多個身分提供者 (IdP) 時,確定將使用者傳送至哪個身分提供者。
設定多個身分提供者時,您可以在 SSO 設定精靈中定義路由規則。如果跳過路由規則步驟,則控制中心會新增身分提供者,但不會啟動身分提供者。您必須新增路由規則才能啟動身分提供者 (IdP)。
| 1 | |
| 2 |
前往 。 |
| 3 |
轉到 “路由規則 ”標籤。 配置第一個身分識別提供者 (IdP) 時,路由規則會自動新增,並設定為 預設規則。稍後您可以選擇另一個身分提供者 (IdP) 設定為預設規則。 |
| 4 |
點選 新增新的路由規則。 |
| 5 |
請輸入路由規則的詳細資訊:
|
| 6 |
選擇多因素身份驗證(MFA)方法:
有關為您的組織配置 MFA 的更多信息,請參閱 在 Control Hub 中啟用多因素身份驗證整合。 |
| 7 |
按一下新增。 |
| 8 |
選擇新的路由規則,然後按一下 啟動。 |
如果您有針對多個身分提供者 (IdP) 的路由規則,則可以變更路由規則優先順序。
在開始之前
有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。
這僅適用於 SAML 配置。
| 1 | |
| 2 |
前往 。 |
| 3 |
轉到 “身份提供者 ”選項卡。 |
| 4 |
前往 IdP,點選 若要下載元資料文件,請點選
 並選擇 下載 Idp 元資料。 |
| 5 |
導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。 |
| 6 |
返回控制中心,將 IdP 元資料檔案拖曳到上傳區域,或按一下 選擇檔案 上傳元資料。 |
| 7 |
根據 IdP 元資料的簽章方式,選擇 安全性較低 (自簽章)或 安全性較高 (由公用 CA 簽章),然後點選 儲存。 |
| 8 |
配置即時 (JIT) 設定和 SAML 映射回應。 請參閱本文「管理您的身分提供者」標籤中的 設定即時 (JIT) 和 SAML 對應 。
|
| 9 |
點擊 測試 SSO 設定,當開啟新的瀏覽器標籤頁時,透過登入向 IdP 進行身份驗證。 測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。 如果收到身份驗證錯誤,則可能是憑證有問題。檢查使用者名稱和密碼並再試一次。 Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。 要查看 SSO 登入體驗,我們建議您從此畫面點擊 複製 URL 到剪貼簿 並將其貼上到隱私瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。 |
| 10 |
按一下儲存。 |
並選擇 在開始之前
建議您在續訂服務提供者 (SP) 憑證時,同時更新組織內的所有身分提供者 (IdP)。
這僅適用於 SAML 配置。
| 1 | |
| 2 |
前往 。 |
| 3 |
轉到 “身份提供者 ”選項卡。 |
| 4 |
前往身分識別提供者 (IdP) 並點選 |
| 5 |
點擊 查看證書和到期日期。 這將帶您進入 服務提供者(SP)憑證 頁面。您可以點選 如果您的組織使用雙證書,您也可以選擇將輔助證書切換為主證書或刪除現有的輔助證書。 |
| 6 |
點選 續訂憑證。 |
| 7 |
選擇您組織中的身分提供者類型:
|
| 8 |
選擇續訂的憑證類型:
信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。 |
| 9 |
若要確認是否要將目前證書替換為所選證書,請勾選 按一下「取代證書」 我將用所選證書取代目前證書,然後按一下 取代證書。 |
| 10 |
在 續訂服務提供者 (SP) 憑證 頁面中,按 下載元資料 或 下載憑證 從 Webex 雲端下載更新後的元資料檔案或憑證副本。 |
| 11 |
導覽至您的身分提供者 (IdP) 管理介面,上傳新的 Webex 元資料檔案或憑證。 可透過瀏覽器標籤、遠端桌面通訊協定 (RDP),或透過特定的雲端提供者支援來完成此步驟,取決於您的 IdP 設定,以及是否由您或單獨的 IdP 管理員負責此步驟。 如需了解更多信息, 請參閱我們的 SSO 整合指南 ,或聯絡您的 IdP 管理員以取得支援。如果您使用的是 Active Directory 聯合驗證服務 (AD FS),您可以 查看如何在 AD FS 中更新 Webex 元資料 |
| 12 |
返回控制中心介面。在 「續訂服務提供者 (SP) 憑證 」頁面上,選取 「我已經更新了所有 IdP 的元資料」 ,然後按一下 「下一步」 。 |
| 13 |
按一下完成。 |
。
下載 SP 元資料或憑證。 準備工作
| 1 | |
| 2 |
前往 。 |
| 3 |
轉到 “身份提供者 ”選項卡。 |
| 4 |
前往身分識別提供者 (IdP) 並點選 |
| 5 |
選擇 測試 IdP。 |
| 6 |
點擊 測試 SSO 設定,當開啟新的瀏覽器標籤頁時,透過登入向 IdP 進行身份驗證。 如果收到身份驗證錯誤,則可能是憑證有問題。檢查使用者名稱和密碼並再試一次。 Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。 要查看 SSO 登入體驗,我們建議您從此畫面點擊 複製 URL 到剪貼簿 並將其貼上到隱私瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。 |
| 7 |
回到 Control Hub 瀏覽器標籤。
此 SSO 設定不會在貴組織中生效,除非您先選擇圓鈕並啟動 SSO。 |
準備工作
確保滿足下列先決條件:
-
SSO已配置。
-
這些網域已經過驗證。
-
域名已認領並啟用。此功能可確保您網域中的使用者每次透過您的身分提供者進行身份驗證時都會建立並更新一次。
-
如果啟用了 DirSync 或 Entra ID,則 SAML JIT 建立或更新將無法運作。
-
「封鎖消費者設定檔更新」已啟用。允許 SAML 更新對圖,因為此配置控制使用者編輯屬性的能力。仍支援由管理員控制的建立和更新方法。
當使用 Entra ID 或 IdP 設定 SAML JIT 時,如果電子郵件不是永久標識符,我們建議您使用 externalId 連結屬性對應到唯一識別符。如果發現電子郵件地址與連結屬性不匹配,系統會提示使用者驗證身分或使用正確的電子郵件地址建立新使用者。
新建立的使用者不會自動獲得授權,除非組織 已設定自動授權 範本。
| 1 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 2 |
前往 。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 3 |
轉到 “身份提供者 ”選項卡。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 4 |
前往身分識別提供者 (IdP) 並點選 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 5 |
選擇 編輯 SAML 映射。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 6 |
配置 即時 (JIT) 設定。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 7 |
配置 SAML 映射所需屬性。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 8 |
配置 連結屬性。 這應該是用戶獨有的。它用於查找用戶,以便 Webex 可以更新用戶的所有個人資料屬性,包括電子郵件。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 9 |
配置 設定檔屬性。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 10 |
配置 組屬性。
如果使用者 A 與 SAML JIT 配置不支援從群組中移除使用者或刪除任何使用者。
有關 Webex Meetings 的 SAML 斷言屬性列表,請參閱 Webex Meetings 和 Jabber 的 SAML 斷言屬性。 |
在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。
無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心。
| 1 | |
| 2 |
前往 警報中心。 |
| 3 |
選擇管理,然後選擇所有規則。 |
| 4 |
從規則清單中,選擇您想要建立的任何 SSO 規則:
|
| 5 |
在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。 如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。 如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。 |
| 6 |
儲存變更。 |
後續動作
從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您將在第 60、45、30 和 15 天收到警報。)續訂證書後,警報將停止。
如果您在使用 SSO 登入時遇到問題,可以使用 SSO 自助式復原選項 來存取您在 Control Hub 中管理的 Webex 組織。自助恢復選項可讓您在控制中心更新或停用 SSO。
