站点管理员可选择为其组织设置单点登录(SSO)。 SSO 允许人员使用一组凭证登录到多个应用程序。
单点登录
Webex SSO 使用一个唯一标识符让组织中的人员访问所有企业应用程序。 管理员可以使用 Webex Administration 来为 Webex 应用程序配置 SSO。
单点登录是可选功能,必须对站点进行设置才可使用。 有关更多信息,请联系思科支持人员。 |
配置 SSO
使用以下步骤配置 SSO 和 SAML 2.0。
准备工作
获取并设置以下要求。
符合 SAML 2.0 或 WS Federate 1.0 标准的身份提供程序 (IdP),例如 CA SiteMinder、ADFS 和 Ping Identity。
SAML 1.1 和 WS Federate 1.0 已被弃用,不再受Cisco Webex支持。
来自可信证书颁发机构,如 VeriSign 和 Thawte 的企业 X.509 公钥证书。
配置为向 SAML 断言提供用户帐户信息和 SAML 系统标识的 IdP。
IdP XML 文件。
企业 IAM 服务的 URL
1 | 登录 Webex 管理并转至 。 |
2 | 从联合协议下拉列表中,选择 SAML 2.0。 如果存在现有配置,某些字段可能已预填。 |
3 | 选择站点证书管理器链接。 |
4 | 在站点证书管理器窗口中,选择浏览,然后导航至 X.509 证书的 .CER 文件的位置。 |
5 | 选择 .CER 文件,然后选择确定。 |
6 | 选择关闭。 |
7 | 在SSO 配置页面上输入必填信息,然后选择要启用的选项。 |
8 | 选择更新。 |
SSO 配置页面
下表将列出并描述 SSO 配置页上的字段和选项。
您在配置期间使用的信息必须精准。 如果您需要有关配置站点 SSO 所需信息的进一步说明,请联系标识提供者。 |
字段或选项 | 描述 | ||
---|---|---|---|
AuthnContextClassRef | 描述在 IdP 进行的身份验证的 SAML 语句。 必须与身份访问管理(IAM)配置匹配。 ADFS 示例:
| ||
自动创建帐户(可选) | 选择以创建用户帐户。 UID、电子邮件及姓名字段必须存在于断言中。 | ||
自动更新帐户(可选) | t 中存在 updateTimeStamp 属性可更新 Webex 帐户当在 IdP 中进行修改时,新的时间戳将发送到Webex 站点w 帐户,并且 SAML 断言中发送任何属性。 | ||
客户 SSO 错误 URL(可选) | 如果发生错误,重定向到该 URL,同时在 URL 中附加错误代码。 | ||
客户 SSO 服务登录 URL | 企业单点登录服务的 URL。 用户通常使用该 URL 登录。 位于 IdP XML 文件中(例如: | ||
缺省 Webex 目标页面 URL(可选) | 在身份验证后,仅显示为 Web 应用程序指定的目标页面。 | ||
导入 SAML 元数据(链接) | 单击打开 联合 Web SSO 配置 - SAML 元数据对话框。 导入的元数据字段包含以下内容:
| ||
SAML 的颁发者(IdP 标识) | URI 将唯一地标识 IdP。 该配置必须与客户身份访问管理(IAM)系统中的设置匹配。 位于 IdP XML 文件中(例如: | ||
NameID 格式 | 必须与 IdP 配置匹配,并支持以下格式:
| ||
删除 Active Directory UPN 的 UID 域后缀 | 当选中时,将会从用户主体名称(UPN)中删除 Active Directory 域。 | ||
SSO 配置文件 | 指定用户如何访问Webex 站点。 选择SP 发起如果用户从Webex 会议站点开始并被重定向到企业 IdP 系统进行身份验证。 选择已发起 IdP如果用户通过公司 IAM 系统访问Webex 站点。 | ||
针对与会者的单点登录身份验证 | 此功能为使用Webex Meetings、Webex Training 和 Webex Events 的内部与会者提供 SAML 断言用户验证的额外责任级别。 启用后,此功能将取代Webex Meetings的“在参加者列表中显示内部用户标记”功能。 | ||
AuthnRequest 的签名算法 | 为了增强安全性,现在可以生成 SHA-1,SHA-256 或 SHA-512 签名证书。 | ||
单点注销(可选) | 选中以要求注销并且设置注销 URL。
| ||
Webex SAML 颁发者(SP 标识) | URI 会将Webex Messenger服务标识为 SP。 该配置必须与客户身份访问管理系统中的设置匹配。 推荐的命名规则: 对于Webex Meetings,输入Webex Meetings站点 URL。 对于Webex Messenger服务,使用“客户端-域名”格式(例如: | ||
您可导出 SAML 元数据 Webex 配置文件 | 您可导出一些的元数据,将来可再导入这些数据。 导出的元数据字段包含以下内容:
| ||
续订过期证书
准备工作
此功能仅适用于已在 Webex 管理中配置 SSO 并且尚未在 Control Hub 中管理其站点的管理员。
我们建议您在 2022 年 11 月之前将证书更新到身份提供程序 (IdP)。 如果证书过期,用户可能无法成功登录。 |
1 | 登录 Webex 管理并转至 。 | ||
2 | 向下滚动至 。显示即将过期和新证书的详细信息(序列号、到期日期、密钥详细信息、状态和操作)。 当前正在使用的证书标记为“活动”。 | ||
3 | 转至新证书,然后单击出口认证。 您还可以单击 ,以下载带有新证书的元数据。
| ||
4 | 将新的证书文件上传到您的身份提供程序 (IdP)。 | ||
5 | 选择活动中新证书的单选按钮。 | ||
6 | 单击 。新证书现已生效。 | ||
7 | 测试新证书。 |
更新证书时的常见问题解答
问: 此功能是否影响所有管理员?
答: 不,仅影响在 Webex 管理中配置了 SSO 的管理员。
问: 如果管理员在截止日期前未更新证书,会发生什么情况?
答: 证书即将过期,您的用户可能无法成功登录Webex。 我们建议您在2023年10月之前更新证书。
如果证书过期,您仍可登录“站点管理”以更新并激活对应身份提供程序的新证书。 如果您在更新证书时遇到任何问题,请联系您的 Webex 支持团队。
问: 新证书的有效期为多久?
答: 新证书的有效期约为一年。 Webex 运营团队会在现有证书过期前两个月生成一个新证书。 这使您有时间在截止日期前计划和更新证书。