单点登录(SSO)允许用户通过对组织的通用身份提供商进行身份验证,安全地登录Webex。身份提供商(IdP)可以安全地存储和管理用户的数字身份,并为您的Webex用户提供用户身份验证服务。

为什么您可能需要多个IdPs

许多大公司进行兼并和收购,这些公司很少有相同的IT基础设施和身份提供商。政府机构有各种组织和机构。通常,这些组织各自的IT部门和基础架构都只有一个电子邮件地址。主要教育机构有中央采购部门,但不同的大学和学院有不同IT组织和部门。

通常看到IdPs和服务提供商(SP)相互联合。IdP负责验证您用户的凭据,SP信任由IdP进行的身份验证。这允许您的用户使用相同的数字身份访问各种SaaS应用程序和服务。但是,如果由于某种原因,您的组织无法在IdPs之间进行联合,则Webex提供支持多个IdPs的解决方法。出于这些原因,我们将为您提供在Webex中配置SSO以用于多个IdPs的选项,并简化用户的身份验证流程。

限制

  • 如果您在组织中使用Directory Connector,则所有用户必须配置有Directory Connector。有关详细信息,请参阅目录连接器部署指南
  • 我们目前仅支持SAML、OpenID Connect和Webex Identity作为身份提供商。

超出范围

  • 配置组分配。

本部分介绍如何将身份提供商(IdP)与Webex组织集成。您可以选择最适合您组织需求的IdPs。

如果您正在寻找Webex Meetings站点的SSO集成(在站点管理中管理),请参阅为Webex管理配置单点登录

必要条件

开始之前

确保满足以下条件:

  • 您必须有Webex扩展安全包,才能在Control Hub中配置多个IdPs的SSO。
  • 您必须在Control Hub中担任完整管理员角色。
  • 从IdP传递给Webex的元数据文件,从Webex传递给IdP的元数据文件。有关详细信息,请参阅Control Hub中的单点登录集成。这仅适用于SAML配置。
  • 在设置多个IdPs之前,您应该规划路由规则行为。
配置初始IdP后,将应用默认路由规则。但您可以将另一个IdP设置为默认值。请参阅本文的“路由规则”选项卡中的添加或编辑路由规则
配置SAML
1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 并单击管理SSO和IdPs 开始配置向导。

3

选择 SAML 作为您的IdP,然后单击下一步

4

选择证书类型:

  • 由Cisco自行签名—我们建议您选择此选项。我们在证书上签名,您只需每五年续订一次。
  • 由公共证书颁发机构签名—更安全,但您需要经常更新元数据(除非IdP供应商支持信任锚)。
信任锚是充当验证数字签名证书的认证中心的公共密钥。有关更多信息,请参阅 IdP 文档。
5

单击下载元数据,然后单击下一步

Webex应用程序元数据文件名为 idb-meta-<org-ID>-SP.xml

6

上传IdPs元数据文件或填写配置表。

上传元数据文件时,可通过以下两种方法验证来自客户ID的元数据:

  • 客户 IdP 在元数据中提供由公共根 CA 签发的签名。
  • 客户 IdP 提供自签名的私有 CA 或不提供元数据的签名。该选项相对而言不太安全。
否则,在配置表中输入IdP信息。

单击下一步

7

(可选)您可以将 Webex用户名主要电子邮件地址 的SAML属性的名称从 uid 更改为IdP管理器商定的内容,例如 emailupn 等。

8

(可选)配置即时(JIT)设置和SAML映射响应。

请参阅本文中的管理您的IdPs标签页中的 Configure Just In Time (JIT)和SAML映射 。
9

单击测试SSO设置,当新浏览器标签页打开时,通过登录使用IdP进行身份验证。

在SSO连接前测试该连接。此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到身份验证错误,则凭证可能存在问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

要查看SSO登录体验,我们建议您单击此屏幕中的复制网址到剪贴板 ,并将其粘贴到专用浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

10

返回到 Control Hub 浏览器标签页。

  • 成功完成测试后,选择测试成功。激活SSO和ID ,然后单击激活
  • 如果未成功完成测试,选择测试未成功。返回前面的步骤以修复错误
除非您选择第一个单选按钮并激活SSO,否则SSO配置不会在您的组织中生效。

下一步

您可以设置路由规则。请参阅本文的“路由规则”选项卡中的添加或编辑路由规则

您可以按照抑制自动电子邮件 中的步骤禁用发送到组织中的新Webex应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。

配置OpenID Connect
1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 并单击管理SSO和IdPs 开始配置向导。

3

选择 OpenID Connect 作为您的IdP,然后单击下一步

4

输入您的IdP信息。

  • 姓名—用于标识您的IdP的名称。
  • 客户ID —用于识别您和您的IdP的唯一ID。
  • 客户端机密—您和ID P知道的密码。
  • 范围—要与您的IdP关联的范围。

5

选择添加端点的方法。这可以自动或手动完成。

  • 使用发现网址 自动添加端点。

    • 输入您的IdP的发现网址 。此URL将自动填充OIDC单点注销(SLO)所需的端点。
    • 打开允许会话自动注销 ,以确保用户在退出Webex时已在所有连接的应用程序和服务上注销。

  • 如果您愿意手动添加所有端点信息,请添加以下详细信息。

    • 发行方—输入您的IdP指定的发行方URL。
    • 授权端点—输入授权端点的URL。
    • 令牌端点—输入令牌端点的URL。
    • JWKS端点—输入JSON网络密钥集(JWKS) URL。
    • 用户信息端点—输入用户信息端点的URL。
    • 如果允许会话自动注销 已打开,则必须输入会话注销端点 URL,以便在所有连接的应用程序中启用单注销(SLO)。
    有关详细信息,请参阅 OpenID Connect配置指南

6

(可选)配置即时(JIT)设置。

请参阅本文中的管理您的IdPs标签页中的 Configure Just In Time (JIT)和SAML映射 。
7

单击测试SSO设置,当新浏览器标签页打开时,通过登录使用IdP进行身份验证。

在SSO连接前测试该连接。此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到身份验证错误,则凭证可能存在问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

要查看SSO登录体验,我们建议您单击此屏幕中的复制网址到剪贴板 ,并将其粘贴到专用浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

8

返回到 Control Hub 浏览器标签页。

  • 成功完成测试后,选择测试成功。激活SSO和ID ,然后单击激活
  • 如果未成功完成测试,选择测试未成功。返回前面的步骤以修复错误
除非您选择第一个单选按钮并激活SSO,否则SSO配置不会在您的组织中生效。

下一步

您可以设置路由规则。请参阅本文的“路由规则”选项卡中的添加或编辑路由规则

您可以按照抑制自动电子邮件 中的步骤禁用发送到组织中的新Webex应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。

配置Webex身份
1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 并单击管理SSO和IdPs 开始配置向导。

3

选择 Webex 作为您的IdP,然后单击下一步

4

请检查我已阅读并理解Webex IdP如何工作 ,然后单击下一步

5

设置路由规则。

请参阅本文的“路由规则”选项卡中的添加或编辑路由规则

添加路由规则后,将添加您的IdP,并显示在身份提供者 标签页下。

下一步

您可以按照抑制自动电子邮件 中的步骤禁用发送到组织中的新Webex应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。

设置多个IdP时,路由规则适用。路由规则允许Webex在配置了多个IdPs时识别要将用户发送到哪个IdP。

设置多个IdP时,您可以在SSO配置向导中定义路由规则。如果您跳过路由规则步骤,则Control Hub会添加IdP,但不激活IdP。必须添加路由规则以激活IdP。

添加或编辑路由规则
1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至路由规则 选项卡。

配置第一个IdP时,路由规则会自动添加并设置为默认规则。您可以选择另一个IdP以设置为默认规则。

4

单击添加新路由规则

5

输入新规则的详细信息:

  • 规则名称—输入路由规则的名称。
  • 选择路由类型—选择域或组。
  • 如果这些是您的域/组—输入您的组织中的域/组。
  • 然后使用此身份提供商—选择IdP。

6

单击添加

7

选择新的路由规则,然后单击激活

如果有多个IdPs路由规则,您可以更改路由规则优先顺序。
停用或删除路由规则
1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至路由规则 选项卡。

4

选择路由规则。

5

选择要否停用删除 路由规则。

建议您为IdP设置另一个活动路由规则。否则,您的SSO登录可能会遇到问题。

默认规则 无法停用或删除,但您可以修改路由的IdP。
管理您的身份提供商(IdP)证书

开始之前

有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。

这仅适用于SAML配置。

1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至身份提供者 选项卡。

4

转至IdP,单击 upload 并选择Upload Idp元数据

要下载元数据文件,请单击下载 并选择下载IDP元数据
5

导航至 IdP 管理界面以检索新的元数据文件。

6

返回Control Hub,将您的IdP元数据文件拖放到上传区域中,或单击选择文件 以上传元数据。

7

选择不太安全 (自签名)或更安全 (由公共CA签名),具体取决于您的IdP元数据如何签名,然后单击保存

8

配置Just In Time (JIT)设置和SAML映射响应。

请参阅本文中的管理您的IdPs标签页中的 Configure Just In Time (JIT)和SAML映射 。
9

单击测试SSO设置,当新浏览器标签页打开时,通过登录使用IdP进行身份验证。

在SSO连接前测试该连接。此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。

如果您收到身份验证错误,则凭证可能存在问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

要查看SSO登录体验,我们建议您单击此屏幕中的复制网址到剪贴板 ,并将其粘贴到专用浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

10

单击保存

管理服务提供商(SP)证书

开始之前

建议您在续订SP证书时更新组织中的所有IDPs。

这仅适用于SAML配置。

1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至身份提供者 选项卡。

4

转至IdP,然后单击

5

单击审核证书和到期日期

这将带您至服务提供商(SP)证书 窗口。
6

单击更新证书

7

在您的组织中选择IdP类型:

  • 支持多个证书的IdP
  • 支持单一证书的IdP
8

选择续订的证书类型:

  • 由Cisco自行签名—我们建议您选择此选项。我们在证书上签名,您只需每五年续订一次。
  • 由公共证书颁发机构签名—更安全,但您需要经常更新元数据(除非IdP供应商支持信任锚)。
信任锚是充当验证数字签名证书的认证中心的公共密钥。有关更多信息,请参阅 IdP 文档。
9

单击下载元数据下载证书 从Webex云下载更新后的元数据文件或证书的副本。

10

导航至IdP管理界面以上传新的Webex元数据文件或证书。

此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。

有关详细信息,请查看我们的SSO集成指南 或联系您的IdP管理员以获得支持。如果您使用的是Active Directory联合服务(AD FS),则可以了解如何在AD FS中更新Webex元数据

11

返回Control Hub界面,然后单击下一步

12

选择已成功更新所有IdPs ,然后单击下一步

这会将SP元数据文件或证书上传到组织中的所有IDPs。

13

单击完成续订

测试 SSO 设置

准备工作

1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至身份提供者 选项卡。

4

转至IdP,然后单击 更多菜单

5

选择测试IdP

6

单击测试SSO设置,当新浏览器标签页打开时,通过登录使用IdP进行身份验证。

如果您收到身份验证错误,则凭证可能存在问题。请检查用户名和密码并重试。

Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。

要查看SSO登录体验,我们建议您单击此屏幕中的复制网址到剪贴板 ,并将其粘贴到专用浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

7

返回到 Control Hub 浏览器标签页。

  • 成功完成测试后,选择测试成功。激活SSO和IdP ,然后单击保存
  • 如果未成功完成测试,选择测试未成功。返回前面的步骤以修复错误
除非您选择第一个单选按钮并激活 SSO,否则 SSO 配置在组织中不起作用。

配置即时(JIT)和SAML映射

准备工作

确保满足以下前提条件:

  • SSO配置了 。

  • 这些域已经过验证。

  • 域名已声明并开启。此功能可确保您域中的用户每次使用您的IdP进行身份验证时都会创建并更新一次。

  • 如果启用了DirSync或Azure AD,则SAML JIT创建或更新将不起作用。

  • “阻止用户档案更新”已启用。允许 SAML 更新映射,因为此配置控制用户编辑属性的能力。仍支持由管理员控制的创建和更新方法。

当使用Azure AD或ID将SAML JIT设置为电子邮件不是永久标识符时,我们建议使用externalId 链接属性映射到唯一标识符。如果我们发现电子邮件与链接属性不匹配,将提示用户验证其身份或创建具有正确电子邮件地址的新用户。

新建用户不会自动获得分配的许可证,除非组织设置了自动 许可证模板。

1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至身份提供者 选项卡。

4

转至IdP,然后单击 更多菜单

5

选择编辑SAML映射

6

配置即时(JIT)设置

  • 创建或激活用户:如果找不到活动用户,则Webex Identity将创建用户,并在用户使用IdP验证后更新属性。
  • 使用 SAML 属性更新用户:如果找到有电子邮件地址的用户,Webex标识会用 SAML 断言中映射的属性更新该用户。
确认用户可以使用不同的、无法识别的电子邮件地址登录。

7

配置 SAML映射所需的属性

表1。 必需属性

Webex 身份属性名称

SAML 属性名称

属性说明

用户名/主电子邮件地址

例如:uid

将 UID 属性映射到预配置的用户的电子邮件、upn 或 edupersonprincipalname。

8

配置链接属性

这对用户来说应该是独一无二的。它用于查找用户,以便Webex可以更新所有配置文件属性,包括用户的电子邮件。
表 2. 链接属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如:user.objectid

为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时,这是必要的。

员工数字

例如:user.employeeid

用户的员工号码,或人力资源系统中的识别号码。请注意,这不适用于 externalid,因为您可以为其他用户重复或回收 employeenumber

分机属性 1

例如:user.extensionattribute1

将这些自定义属性映射到Active Directory、Azure或目录中的扩展属性,以便跟踪代码。

分机属性 2

例如:user.extensionattribute2

分机属性 3

例如:user.extensionattribute3

分机属性 4

例如:user.extensionlattribute4

分机属性 5

例如:user.extensionattribute5

9

配置配置文件属性

表 3. 配置文件属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如:user.objectid

为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时,这是必要的。

员工数字

例如:user.employeeid

该用户的员工编号或 HR 系统内部的标识号。请注意,这不是用于“externalid”的,因为您可以重新为其他用户使用或回收“employeenumber”。

preferredLanguage

例如:user.preferred语言

用户的首选语言。

locale

例如:user.locale

用户的主要工作地点

timezone

例如:user.timezone

用户的主要时区。

displayName

例如:user.displayname

用户在 Webex 中的显示名称。

name.givenName

例如:user.givenname

用户的名。

name.familyName

例如:用户姓氏

用户的姓。

address.streetAddress

例如:user.streetaddress

其主要工作地点的街道地址。

address.state

例如:user.state

主工作位置的状态。

地址.地区

例如:user.region

其主要工作地点的区域。

address.postalCode

例如:user.postalcode

其主要工作地点的邮政编码。

地址国家/地区

例如:user.country

其主要工作地点的国家或地区。

phoneNumbers.work

例如:工作电话号码

其主要工作地点的工作电话号码。请仅使用国际 E.164 格式(最多 15 位)。

phoneNumbers.extension

例如:移动电话号码

其主要工作电话号码的工作分机号。请仅使用国际 E.164 格式(最多 15 位)。

代词

例如:user.proun

用户的代词。这是可选属性,用户或管理员可以使其在档案中可见。

title

例如:user.jobtitle

用户的职位。

department

例如:user.department

用户的工作部门或团队。

代词

例如:user.proun

这是用户的代词。该属性的可视性受管理员和用户控制

manager

例如:manager

用户经理或团队主管。

成本中心

例如:成本中心

这是用户的姓,也称为姓氏或姓氏

email.alternate1

例如:user.mailnickname

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate2

例如:user.primaryauthoritativemail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate3

例如:user.alternativeauthoritativemail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate4

例如:user.othermail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate5

例如:user.othermail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。
10

配置扩展属性

将这些属性映射到 Active Directory Azure 或目录中的扩展属性,跟踪代码。
表 4. 扩展属性

Webex 身份属性名称

SAML 属性名称

分机属性 1

例如:user.extensionattribute1

分机属性 2

例如:user.extensionattribute2

分机属性 3

例如:user.extensionattribute3

分机属性 4

例如:user.extensionattribute4

分机属性 5

例如:user.extensionattribute5

分机属性 6

例如:user.extensionattribute6

分机属性 7

例如:user.extensionattribute7

分机属性 8

例如:user.extensionattribute8

分机属性 9

例如:user.extensionattribute9

分机属性 10

例如:user.extensionattribute10

11

配置组属性

  1. 在Control Hub中创建群组并记录Webex群组ID。
  2. 转至您的用户目录或ID,并为将被分配到Webex组ID的用户设置属性。
  3. 更新您的IdP配置,以包含带有此属性名称与Webex组ID的声明(例如c65f7d85-b691-42b8-a20b-12345xxxx)。您还可以使用外部ID来管理对群组名称的更改或未来的集成场景。例如,与Azure AD同步或实现SCIM组同步。
  4. 指定将在SAML断言中发送的属性的确切名称,并将使用组ID。用于将用户添加到组。
  5. 如果您使用目录中的组在SAML断言中发送成员,请指定组对象的外部ID的确切名称。

如果用户A与 groupID 1234关联,用户B与 groupID 4567关联,则将分配给不同的组。此场景表明单个属性允许用户与多个组ID关联。虽然这不常见,但它是可能的,并且可以被视为添加剂变化。例如,如果用户A最初登录使用 groupID 1234,他们就会成为相应组的成员。如果用户A以后在使用 groupID 4567时签名,则他们也将添加到该第二组。

SAML JIT配置不支持从组中删除用户或任何删除用户。

表 5. 组属性

Webex 身份属性名称

SAML 属性名称

属性说明

组ID

例如:组ID

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

群外部标识符

例如:群外部标识符

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

有关用于搜索的 SAML 声明属性Webex Meetings,请参阅 https://help.webex.com/article/WBX67566

删除您的身份提供商(IdP)

开始之前

建议在删除IdP之前先停用或删除IdP的路由规则。
1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至身份提供者 选项卡。

4

转至IdP,然后单击 更多菜单

5

选择删除

1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至身份提供者 选项卡。

4

单击停用SSO

确认SSO禁用。

确认后,您组织中的所有IdPs都将停用SSO。

在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。

无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。请参阅 Control Hub 中的警报中心了解更多信息。

1

登录到 Control Hub。

2

转至警报中心

3

选择管理,然后选择所有规则

4

从“规则”列表中,选择要创建的任何 SSO 规则:

  • SSO IDP 证书过期
  • SSO SP 证书过期
5

在传递通道部分,选中电子邮件Webex 空间或者二者结合的对话框。

如果选择电子邮件,则输入接收通知的电子邮件地址。

如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。

6

保存更改。

下一步

从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。(您可以期待第60、45、30和15天的警报。)当您续订证书时,警报将停止。

如果SSO登录时遇到问题,您可以使用 SSO自我恢复选项 访问在Control Hub中管理的Webex组织。自我恢复选项允许您在Control Hub中更新或禁用SSO。