單一登入 (SSO) 使用戶能夠透過向組織的通用身分提供者進行驗證來安全地登入 Webex。身分提供者 (IdP) 安全地儲存和管理使用者的數位身份,並為您的 Webex 使用者提供使用者身份驗證服務。

為什麼您可能需要多個 IdP

許多大公司都會經歷併購,而這些公司很少擁有相同的 IT 基礎架構和身分提供者。政府機構下設各種組織和機構。通常,這些組織分別為其自己的 IT 部門和基礎架構設定一個電子郵件地址。大型教育機構都有中央採購部門,但不同的大學和學院有不同的IT組織和部門。

國內流離失所者 (IdP) 和服務提供者 (SP) 相互聯合是很常見的。IdP 負責驗證使用者的憑證,而 SP 信任 IdP 所做的驗證。這使得您的用戶可以使用相同的數位身分存取各種 SaaS 應用程式和服務。但是,如果由於某種原因您的組織無法在 IdP 之間聯合,那麼 Webex 提供了一種解決方法來支援多個 IdP。基於這些原因,我們為您提供了在 Webex 中為多個 IdP 設定 SSO 的選項,並簡化使用者的驗證流程。

限制

  • 如果您在組織中使用目錄連接器,則必須為所有使用者設定目錄連接器。有關更多信息,請參閱 目錄連接器部署指南
  • 我們目前僅支援 SAML、OpenID Connect 和 Webex Identity 作為身分識別提供者。

超出範圍

  • 配置小組分配。

本節介紹如何將您的身分提供者 (IdP) 與您的 Webex 組織整合。您可以選擇最適合您組織要求的 IdP。

如果您正在尋找 Webex Meetings 網站的 SSO 整合(在網站管理中管理),請參閱 為 Webex 管理設定單一登入

先決條件

在開始之前

確保滿足以下條件:

    • 您必須在 Control Hub 中擁有完全管理員角色。
    • 一個來自 IdP 的元資料檔案提供給 Webex,另一個來自 Webex 的元資料檔案提供給 IdP。有關更多信息,請參閱 Control Hub 中的單點登入整合。這僅適用於 SAML 配置。
    • 在設定多個 IdP 之前,您應該規劃路由規則行為。

    配置初始 IdP 後,將套用預設路由規則。但您可以將另一個 IdP 設定為預設。請參閱本文中「路由規則」標籤中的 「新增或編輯路由規則 」 。

配置 SAML
1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

前往 身分提供者 選項卡,然後按一下 啟動 SSO

4

選擇 SAML 作為您的 IdP 並點擊 下一步

5

選擇憑證類型:

  • 由 Cisco 自簽名— 我們推薦此選項。讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公共憑證授權單位簽署—更安全,但您需要經常更新元資料(除非您的 IdP 供應商支援信任錨)。

信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。

6

按一下下載中繼資料,然後按下一步

Webex App 元資料檔名為 idb-meta-<org-ID>-SP.xml

7

上傳您的 IdPs 元資料檔案或填寫設定表。

上傳元資料檔案時,有兩種方法可以驗證來自客戶 IdP 的元資料:

  • 客戶 IdP 在中繼資料中提供一個由公用根 CA 簽署的簽章。
  • 客戶 IdP 提供一個自我簽署的專用 CA 或不為其中繼資料提供簽章。此選項不太安全。
否則,在設定表單中輸入 IdP 資訊。

按一下下一步

8

(可選)您可以將 Webex 使用者名稱主電子郵件地址 的 SAML 屬性名稱從 uid 變更為與 IdP 管理員商定的名稱,例如 emailupn等。

9

(可選)配置即時 (JIT) 設定和 SAML 映射回應。

請參閱本文中「管理您的 IdP」標籤中的 配置即時 (JIT) 和 SAML 映射
10

按一下 測試 SSO 設定,當開啟新的瀏覽器標籤時,透過登入向 IdP 進行身份驗證。

測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。

如果您收到身份驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

要查看 SSO 登入體驗,我們建議您從此畫面點擊 將 URL 複製到剪貼簿 並將其貼上到私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

11

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。啟動 SSO 和 IdP 並點擊 啟動
  • 如果測試不成功,請選取測試不成功。返回前面的步驟修復錯誤

除非您選擇第一個單選按鈕並啟動 SSO,否則 SSO 配置不會在您的組織中生效。

下一步

您可以設定路由規則。請參閱本文中「路由規則」標籤中的 「新增或編輯路由規則 」 。

您可以依照 抑制自動電子郵件 中的步驟停用傳送給組織中新 Webex 應用程式使用者的電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。

配置 OpenID Connect
1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

前往 身分提供者 選項卡,然後按一下 啟動 SSO

4

選擇 OpenID Connect 作為您的 IdP 並點擊 下一步

5

輸入您的 IdP 資訊。

  • 名稱— 用於識別您的 IdP 的名稱。
  • 客戶端 ID— 用於識別您和您的 IdP 的唯一 ID。
  • 客戶端金鑰— 您和您的 IdP 所知道的密碼。
  • 範圍— 與您的 IdP 關聯的範圍。

6

選擇如何新增端點。這可以自動或手動完成。

  • 使用發現 URL 自動新增端點。

    • 輸入您的 IdP 的 發現 URL 。此 URL 將自動填入 OIDC 單點登出 (SLO) 所需的端點。
    • 開啟 允許會話自動登出 以確保使用者在退出 Webex 時已從所有連線的應用程式和服務中登出。

  • 如果您喜歡 手動新增所有端點資訊,請新增以下詳細資訊。

    • 發行人— 輸入您的 IdP 指定的發行人 URL。
    • 授權端點— 輸入授權端點的 URL。
    • 令牌端點— 輸入令牌端點的 URL。
    • JWKS 端點— 輸入 JSON Web 金鑰集 (JWKS) URL。
    • 使用者資訊端點— 輸入使用者資訊端點的 URL。
    • 如果 允許會話自動退出 已打開,則必須輸入 會話退出端點 URL 以在所有連接的應用程式中啟用單點退出 (SLO)。
    有關更多信息,請參閱 OpenID Connect 設定指南

7

(可選)配置即時 (JIT) 設定。

請參閱本文中「管理您的 IdP」標籤中的 配置即時 (JIT) 和 SAML 映射
8

按一下 測試 SSO 設定,當開啟新的瀏覽器標籤時,透過登入向 IdP 進行身份驗證。

測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。

如果您收到身份驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

要查看 SSO 登入體驗,我們建議您從此畫面點擊 將 URL 複製到剪貼簿 並將其貼上到私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

9

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。啟動 SSO 和 IdP 並點擊 啟動
  • 如果測試不成功,請選取測試不成功。返回前面的步驟修復錯誤

除非您選擇第一個單選按鈕並啟動 SSO,否則 SSO 配置不會在您的組織中生效。

下一步

您可以設定路由規則。請參閱本文中「路由規則」標籤中的 「新增或編輯路由規則 」 。

您可以依照 抑制自動電子郵件 中的步驟停用傳送給組織中新 Webex 應用程式使用者的電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。

配置 Webex 身份
1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

前往 身分提供者 選項卡,然後按一下 啟動 SSO

4

選擇 Webex 作為您的 IdP 並點擊 下一步

5

勾選 我已閱讀並了解 Webex IdP 的工作原理 並點擊 下一步

6

設定路由規則。

請參閱本文中「路由規則」標籤中的 「新增或編輯路由規則 」 。

新增路由規則後,您的 IdP 就會被新增並顯示在 身分提供者 標籤下。

後續動作

您可以依照 抑制自動電子郵件 中的步驟停用傳送給組織中新 Webex 應用程式使用者的電子郵件。文件還包含將通訊傳送給您組織中的使用者的最佳做法。

設定多個 IdP 時適用路由規則。當您設定了多個 IdP 時,路由規則可讓 Webex 識別將使用者傳送到哪個 IdP。

設定多個 IdP 時,您可以在 SSO 設定精靈中定義路由規則。如果您跳過路由規則步驟,則 Control Hub 會新增 IdP,但不會啟動 IdP。您必須新增路由規則才能啟動 IdP。

新增或編輯路由規則
1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 路由規則 選項卡。

配置您的第一個 IdP 時,路由規則會自動新增並設定為 預設規則。您可以稍後選擇另一個 IdP 設定為預設規則。

4

點選 新增新的路由規則

5

輸入路由規則的詳細資訊:

  • 規則名稱— 輸入路由規則的名稱。
  • 選擇路由類型—選擇網域或群組。
  • 如果這些是你的 domains/groups—輸入 domains/groups 在您的組織內。
  • 然後使用此身分提供者—選擇 IdP。

6

選擇多重身份驗證 (MFA) 方法:

  • 保留目前 MFA 狀態— 允許您維護現有的 MFA 方法而不進行更改。
  • 覆寫目前的 MFA 狀態— 允許您將現有的 MFA 方法變更為新配置。
  • 僅允許此規則的 MFA— 開啟以專門為目前路由規則啟用 MFA。

有關為您的組織配置 MFA 的更多信息,請參閱 在 Control Hub 中啟用多重身份驗證整合

7

按一下新增

8

選擇新的路由規則,點選 啟動

如果您有多個 IdP 的路由規則,則可以變更路由規則優先順序。

停用或刪除路由規則
1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 路由規則 選項卡。

4

選擇路由規則。

5

選擇是否要 停用刪除 路由規則。

建議您為 IdP 設定另一個活動路由規則。否則,您可能會遇到 SSO 登入問題。

預設規則 無法停用或刪除,但您可以修改路由的 IdP。

管理您的身分提供者 (IdP) 憑證

在開始之前

有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。

這僅適用於 SAML 配置。

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

前往 IdP,點擊 upload 並選擇 上傳 Idp 元資料

若要下載元資料文件,請按一下 下載 並選擇 下載 Idp 元資料
5

導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。

6

返回 Control Hub 並將您的 IdP 元資料檔案拖曳到上傳區域或點擊 選擇檔案 上傳元資料。

7

根據您的 IdP 元資料的簽章方式,選擇 安全性較低 (自簽章) 或 安全性較高 (由公用 CA 簽章),然後點選 儲存

8

配置即時 (JIT) 設定和 SAML 映射回應。

請參閱本文中「管理您的 IdP」標籤中的 配置即時 (JIT) 和 SAML 映射
9

按一下 測試 SSO 設定,當開啟新的瀏覽器標籤時,透過登入向 IdP 進行身份驗證。

測試SSO,然後再啟用。此步驟的執行方式如同演練,不會影響貴組織設定,直到您在下一步啟用 SSO 為止。

如果您收到身份驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

要查看 SSO 登入體驗,我們建議您從此畫面點擊 將 URL 複製到剪貼簿 並將其貼上到私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

10

按一下儲存

管理您的服務提供者 (SP) 證書

在開始之前

建議您在更新 SP 憑證時更新組織中的所有 IdP。

這僅適用於 SAML 配置。

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

轉到 IdP 並點擊

5

按一下 查看證書和到期日期

這將帶您進入 服務提供者(SP)憑證 視窗。
6

按一下 更新證書

7

選擇您組織中的 IdP 類型:

  • 支援多個憑證的 IdP
  • 支援單一憑證的 IdP
8

選擇續訂的憑證類型:

  • 由 Cisco 自簽名— 我們推薦此選項。讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公共憑證授權單位簽署—更安全,但您需要經常更新元資料(除非您的 IdP 供應商支援信任錨)。

信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。

9

按一下 下載元資料下載憑證 從 Webex 雲端下載更新的元資料檔案或憑證的副本。

10

導覽至您的 IdP 管理介面以上傳新的 Webex 元資料檔案或憑證。

可透過瀏覽器標籤、遠端桌面通訊協定 (RDP),或透過特定的雲端提供者支援來完成此步驟,取決於您的 IdP 設定,以及是否由您或單獨的 IdP 管理員負責此步驟。

有關更多信息, 請參閱我們的 SSO 整合指南 或聯絡您的 IdP 管理員尋求支援。如果您使用的是 Active Directory 聯合驗證服務 (AD FS),您可以 查看如何在 AD FS 中更新 Webex 元資料

11

返回Control Hub介面,點選 下一步

12

選擇 成功更新所有 IdP 並點選 下一步

這會將 SP 元資料檔案或憑證上傳到您組織中的所有 IdP。

13

點選 完成續訂

測驗您的 SSO 設定

準備工作

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

轉到 IdP 並點擊 「更多」功能表

5

選擇 測試 IdP

6

按一下 測試 SSO 設定,當開啟新的瀏覽器標籤時,透過登入向 IdP 進行身份驗證。

如果您收到身份驗證錯誤,則憑證可能有問題。檢查使用者名稱和密碼並再試一次。

Webex 應用程式錯誤通常表示 SSO 設定有問題。在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

要查看 SSO 登入體驗,我們建議您從此畫面點擊 將 URL 複製到剪貼簿 並將其貼上到私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

7

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取測試成功。啟動 SSO 和 IdP 並點選 儲存
  • 如果測試不成功,請選取測試不成功。返回前面的步驟修復錯誤

此 SSO 設定不會在貴組織中生效,除非您先選擇圓鈕並啟動 SSO。

設定即時 (JIT) 和 SAML 映射

準備工作

確保滿足下列先決條件:

  • SSO已配置。

  • 這些網域已經過驗證。

  • 域名已被聲明並開啟。此功能可確保您網域中的使用者每次透過您的 IdP 進行身份驗證時都會建立並更新一次。

  • 如果啟用了 DirSync 或 Azure AD,則 SAML JIT 建立或更新將無法運作。

  • 「封鎖消費者設定檔更新」已啟用。允許 SAML 更新對圖,因為此配置控制使用者編輯屬性的能力。仍支援由管理員控制的建立和更新方法。

在使用 Azure AD 或 IdP 設定 SAML JIT 時,如果電子郵件不是永久標識符,我們建議您使用 externalId 連結屬性對應到唯一識別符。如果我們發現電子郵件與連結屬性不匹配,則會提示使用者驗證其身分或使用正確的電子郵件地址建立新使用者。

新建立的使用者不會自動獲得授權,除非組織 已設定自動授權 範本。

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

轉到 IdP 並點擊 「更多」功能表

5

選擇 編輯 SAML 映射

6

配置 即時(JIT)設定

  • 建立或啟用使用者:如果沒有找到活動用戶,則 Webex Identity 會在使用者透過 IdP 進行驗證後建立該使用者並更新屬性。
  • 使用 SAML 屬性更新使用者:如果找到具有電子郵件地址的使用者,則 Webex 身份識別會使用 SAML 聲明中對應的屬性來更新使用者。
確認使用者可以使用不同的、無法辨識的電子郵件地址登入。

7

配置 SAML 映射所需屬性

表 1. 必要屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

使用者名稱/主要電子郵件地址

範例:uid

將 UID 屬性對應至已佈建使用者的電子郵件、UPN 或 edupersonprincipalname。

8

配置 連結屬性

這對用戶來說應該是唯一的。它用於查找用戶,以便 Webex 可以更新所有個人資料屬性,包括用戶的電子郵件。
表 2. 連結屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

使用者的員工編號,或其人力資源系統內的識別號碼。請注意,這不適用於 externalid,因為您可以為其他使用者重複使用或回收 employeenumber

延伸屬性 1

範例:user.extensionattribute1

將這些自訂屬性對應到 Active Directory、Azure 或您的目錄中的擴充屬性,以用於追蹤程式碼。

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:使用者.extensionlattribute4

延伸屬性 5

範例:user.extensionattribute5

9

配置 設定檔屬性

表格 3. 設定檔屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

此使用者的員工號碼,或其人力資源系統內的標識號。請注意,這不是針對「externalid」的,因為您可以為其他使用者重新使用或回收「employeenumber」。

preferredLanguage

範例:user.preferredlanguage

使用者偏好的語言。

locale

範例:user.locale

使用者的主要工作位置。

timezone

範例:user.timezone

使用者的主要時區。

displayName

範例:user.displayname

Webex 中的使用者顯示名稱。

name.givenName

範例:user.givenname

使用者的名字。

name.familyName

範例:user.姓氏

使用者的姓氏。

addresses.streetAddress

範例:user.streetaddress

使用者主要工作位置的街道地址。

addresses.state

範例:user.state

主要工作位置的狀態。

addresses.region

範例:user.region

使用者主要工作位置的地區。

addresses.postalCode

範例:user.postalcode

使用者主要工作位置的郵遞區號。

address.country

範例:user.country

使用者主要工作位置的國家。

phoneNumbers.work

範例:公司電話號碼

使用者主要工作位置的工作電話號碼。僅使用國際 E.164 格式(最多 15 位)。

phoneNumbers.extension

範例:行動電話號碼

使用者主要工作電話號碼的工作分機號。僅使用國際 E.164 格式(最多 15 位)。

代詞

範例:user.pronoun

使用者的代詞。這是可選屬性,使用者或管理員可以令其設定檔上顯示它。

title

範例:user.jobtitle

使用者的職稱。

department

範例:user.department

使用者的工作部門或團隊。

代詞

範例:user.pronoun

這是使用者的代詞。此屬性的可見度由管理員和使用者控制

manager

範例:manager

使用者的經理或團隊領導。

成本中心

範例:成本中心

這是使用者的姓氏,也稱為姓氏或姓氏

email.alternate1

範例:user.mailnickname

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate2

範例:user.primaryauthorititativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate3

範例:user.alternativeauthoritativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate4

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate5

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。
10

配置 擴充屬性

針對 Active Directory,將這些屬性對Active Directory或您的目錄中的延伸追蹤碼。
表 4. 擴充屬性

Webex 身分屬性名稱

SAML 屬性名稱

延伸屬性 1

範例:user.extensionattribute1

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:user.extensionattribute4

延伸屬性 5

範例:user.extensionattribute5

延伸屬性 6

範例:user.extensionattribute6

延伸屬性 7

範例:user.extensionattribute7

延伸屬性 8

範例:user.extensionattribute8

延伸屬性 9

範例:user.extensionattribute9

延伸屬性 10

範例:user.extensionattribute10

11

配置 組屬性

  1. 在 Control Hub 中建立一個群組並記下 Webex 群組 ID。
  2. 前往您的使用者目錄或 IdP 並為將指派到 Webex 群組 ID 的使用者設定屬性。
  3. 更新您的 IdP 配置以包含帶有此屬性名稱以及 Webex 群組 ID 的聲明(例如 c65f7d85-b691-42b8-a20b-12345xxxx)。您也可以使用外部 ID 來管理群組名稱的變更或用於未來的整合場景。例如,與 Azure AD 同步或實作 SCIM 群組同步。
  4. 指定將在 SAML 斷言中與群組 ID 一起傳送的屬性的確切名稱。這用於將用戶添加到群組。
  5. 如果您使用目錄中的群組來傳送 SAML 斷言中的成員,請指定群組物件外部 ID 的確切名稱。

如果使用者 A 與 groupID 1234 相關聯,而使用者 B 與 groupID 4567 相關聯,則他們將被指派到不同的群組。此場景表示單一屬性允許使用者與多個群組 ID 關聯。雖然這種情況並不常見,但卻是可能的,並且可以被視為一種附加變化。例如,如果使用者 A 最初使用 groupID 1234 登錄,則他們成為對應群組的成員。如果使用者 A 稍後使用 groupID 4567 登錄,他們也會被加入到第二個群組。

SAML JIT 設定不支援從群組中刪除使用者或任何刪除使用者的操作。

表 5. 組屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

群組編號

範例:群組編號

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

群組外部ID

範例:群組外部ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

有關詳細資訊的 SAML 判斷屬性清單Webex Meetings,請參閱 https://help.webex.com/article/WBX67566

刪除您的身分提供者 (IdP)

在開始之前

建議您在刪除 IdP 之前停用或刪除 IdP 的路由規則。

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

轉到 IdP 並點擊 「更多」功能表

5

選取刪除

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

點選 停用 SSO

確認 SSO 停用。

一旦確認,您組織內的所有 IdP 的 SSO 都會停用。

在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。

無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心

1

登入 Control Hub。

2

前往 警報中心

3

選擇管理,然後選擇所有規則

4

從規則清單中,選擇您想要建立的任何 SSO 規則:

  • SSO IdP 憑證過期
  • SSO SP 憑證過期
5

在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。

如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。

如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。

6

儲存變更。

後續動作

從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您可能會在第 60、45、30 和 15 天收到警報。)當您更新證書時,警報將停止。

如果您在 SSO 登入時遇到問題,您可以使用 SSO 自我恢復選項 來存取在 Control Hub 中管理的 Webex 組織。自我恢復選項可讓您在 Control Hub 中更新或停用 SSO。