單一登入功能與 Cisco Webex Control Hub

單一登入 (SSO) 是階段作業或使用者驗證程序,允許使用者提供認證來存取一或多個應用程式。 此程序會針對使用者取得權限的所有應用程式,進行使用者驗證。 如果使用者在特定階段作業期間切換應用程式,則此程序會消除進一步的提示。

「安全性聲明標記語言 (SAML 2.0) 同盟通訊協定」用於在 Cisco Webex 雲端和您的身分識別提供者 (IdP) 之間提供 SSO 驗證。

設定檔

Cisco Webex 僅支援 Web 瀏覽器 SSO 設定檔。 在 Web 瀏覽器 SSO 設定檔中,Cisco Webex 支援下列繫結:

  • SP 起始的 POST -> POST 連結

  • SP 起始的 REDIRECT -> POST 連結

NameID 格式

「SAML 2.0 通訊協定」支援特定使用者採用數種 NameID 格式進行通訊。 Cisco Webex 支援下列 NameID 格式。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

在您從 IdP 載入的中繼資料中,第一個項目已設定用於 Cisco Webex

Cisco Webex Control Hub 與 Microsoft Azure 整合


該設定指南顯示 SSO 整合的特定範例,但不提供所有可能性的詳盡設定。 例如,會記錄 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient 的整合步驟。 諸如 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 或 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 之類的其他格式將適用於 SSO 整合,但不在我們的文檔討論範圍之內。

Cisco Webex 組織中的使用者設定此整合(包括 Cisco WebexCisco Webex Meetings 及在 Cisco Webex Control Hub 中管理的其他服務)。 如果 Webex 網站已整合在 Cisco Webex Control Hub 中,則 Webex 網站會繼承使用者管理。 如果您無法以此方式存取 Cisco Webex Meetings 且它未在 Cisco Webex Control Hub 中進行管理,則您必須執行單獨整合才能為 Cisco Webex Meetings 啟用 SSO。 (如需相關資訊,請在網站管理的 SSO 整合中參閱為 Webex 設定單一登入。)

在開始之前

對於 SSO 及 Cisco Webex Control Hub,IdP 必須符合 SAML 2.0 規格。 此外,必須以下列方式設定 IdP:


在 Azure Active Directory 中,佈建僅在手動模式中受支援。 此文件僅涵蓋單一登入 (SSO) 整合。

Cisco Webex 中繼資料下載至本地系統

1

https://admin.webex.com 的客戶檢視中,移至設定,然後捲動至驗證

2

按一下修改,按一下「整合協力廠商身分識別提供者」。 (進階),然後按下一步

3

下載中繼資料檔案。

Cisco Webex 中繼資料檔名為 idb-meta-<org-ID>-SP.xml

在 Azure 中設定單一登入應用程式設定

在開始之前

1

使用您的管理員認證在 https://portal.azure.com Azure 入口網站登入。

2

轉至組織的 Azure Active Directory

3

轉至企業應用程式,然後按一下新增

4

按一下從資源庫新增應用程式

5

在搜尋方塊中,輸入 Cisco Webex

6

在結果窗格中,選取 Cisco Webex,然後按一下新增以新增應用程式。

這時會出現一則訊息,指出已成功新增應用程式。

7

設定單一登入:

  1. 建立應用程式合約之後,請轉至單一登入標籤,然後在選取單一登入方法之下選擇 SAML

  2. 使用 SAML 設定單一登入頁面上,按一下編輯圖示以開啟基本 SAML 設定

  3. 按一下上傳中繼資料檔案,然後選擇您從 Cisco Webex Control Hub 下載的中繼資料檔案。

    已為您自動填寫部分欄位。

  4. 複製回覆 URL 值,並將其貼到登入 URL,然後儲存變更。

8

轉至管理 > 使用者和群組,然後選擇您想要授權存取 Cisco Webex 的適用使用者和群組。

9

使用 SAML 設定單一登入頁面的 SAML 登入憑證部分,按一下下載以下載同盟中繼資料 XML 並將其儲存在您的電腦上。

10

內容頁面上,確保使用者是否可以看到?已設為

我們不支援讓使用者看到 Webex 應用程式。

匯入 IdP 中繼資料並在測試後啟用單一登入

匯出 Cisco Webex 中繼資料後,設定 IdP,然後將 IdP 中繼資料下載至本地系統,您便可以將中繼資料從 Control Hub 匯入至 Cisco Webex 組織。

在開始之前

請勿從身分識別提供者 (IdP) 介面測試 SSO 整合。 我們只支援由服務提供者發起(即由 SP 發起)的流程,因此您必須對此整合使用 Control Hub SSO 測試。

1

選擇一個:

  • 在瀏覽器中回到「Cisco Webex Control Hub – 匯出目錄中繼資料」頁面,然後按下一步
  • 如果 Control Hub 不再於瀏覽器標籤中開啟,請從 https://admin.webex.com 的客戶檢視中,轉至設定,捲至驗證,選擇整合協力廠商身分識別提供者(進階),然後在信任的中繼資料檔案頁面上按下一步(因為您之前已經這樣做)。
2

在「匯入 IdP 中繼資料」頁面上,將 IdP 中繼資料檔案拖放到頁面上,或者使用檔案瀏覽器選項來尋找並上傳中繼資料檔。 按一下下一步

如果可以,您應該使用較安全的選項(在中繼資料中要求由憑證授權機構簽署的憑證)。 這只有在您的 IdP 使用公用 CA 來簽署其中繼資料時才可行。

在所有其他情況下,您都必須使用不太安全的選項(在中繼資料中允許自行簽署的憑證)。 這包括中繼資料未簽署、自我簽署或由私人 CA 簽署這樣的情況。

3

選取測試 SSO 連線,然後當新的瀏覽器標籤開啟時,請透過登入,向 IdP 驗證。


 

如果您收到驗證錯誤,則憑證可能有問題。 檢查使用者名稱和密碼並再試一次。

Webex 錯誤通常表示 SSO 設定有問題。 在這種情況下,再次檢查這些步驟,尤其是複製 Control Hub 中繼資料並貼至 IdP 設定的步驟。

4

回到 Control Hub 瀏覽器標籤。

  • 如果測試成功,請選取此測試已成功。 啟用「單一登入」選項並按下一步
  • 如果測試失敗,請選取此測試已失敗。 停用單一登入選項,並按下一步

後續動作

您可以遵循禁用自動傳送的電子郵件中的程序以停用傳送至您組織中的新 Webex 使用者的電子郵件。 文件還包含將通訊傳送給您組織中的使用者的最佳做法。

疑難排解 Azure Active Directory 整合

執行 SAML 測試時,請確保您使用 Mozilla Firefox 並安裝 SAML 追蹤器 https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

檢查來自 Azure 的判斷提示以確保它有正確的 nameid 格式,並且具有的屬性 uid 符合 Cisco Webex 中的使用者。