Webex 中具有多个 IdP 的 SSO
单点登录 (SSO) 使用户能够通过向组织的通用身份提供商进行身份验证来安全地登录 Webex。身份提供商 (IdP) 安全地存储和管理用户的数字身份,并为您的 Webex 用户提供用户身份验证服务。
为什么您可能需要多个 IdP
许多大公司都会经历并购,而这些公司很少拥有相同的 IT 基础设施和身份提供商。政府机构下设各种组织和机构。通常,这些组织分别为其自己的 IT 部门和基础设施设置一个电子邮件地址。大型教育机构都有中央采购部门,但不同的大学和学院有不同的IT组织和部门。
国内流离失所者 (IdP) 和服务提供商 (SP) 相互联合是很常见的。IdP 负责验证用户的凭证,而 SP 信任 IdP 所做的验证。这使得您的用户可以使用相同的数字身份访问各种 SaaS 应用程序和服务。但是,如果由于某种原因您的组织无法在 IdP 之间联合,那么 Webex 提供了一种解决方法来支持多个 IdP。出于这些原因,我们为您提供了在 Webex 中为多个 IdP 配置 SSO 的选项,并简化用户的身份验证流程。
限制
- 如果您在组织中使用目录连接器,则必须为所有用户配置目录连接器。有关更多信息,请参阅 目录连接器部署指南 。
- 我们目前仅支持 SAML、OpenID Connect 和 Webex Identity 作为身份提供者。
超出范围
- 配置小组分配。
- 域名验证。请参阅 管理您的域名 以了解更多信息。
- 用户配置。有关更多信息,请参阅 将用户添加到 Control Hub 组织的方法 。
本节介绍如何将您的身份提供商 (IdP) 与您的 Webex 组织集成。您可以选择最适合您组织要求的 IdP。
如果您正在寻找 Webex Meetings 站点的 SSO 集成(在站点管理中管理),请参阅 为 Webex 管理配置单点登录。
准备工作
确保满足以下条件:
- 您必须在 Control Hub 中拥有完全管理员角色。
- 一个来自 IdP 的元数据文件提供给 Webex,另一个来自 Webex 的元数据文件提供给 IdP。有关更多信息,请参阅 Control Hub 中的单点登录集成。这仅适用于 SAML 配置。
- 在设置多个 IdP 之前,您应该规划路由规则行为。
配置初始 IdP 后,将应用默认路由规则。但您可以将另一个 IdP 设置为默认。请参阅本文中“路由规则”选项卡中的 “添加或编辑路由规则 ” 。
1 | |
2 |
前往 。 |
3 |
转到 身份提供者 选项卡,然后单击 激活 SSO。 |
4 |
选择 SAML 作为您的 IdP 并单击 下一步。 |
5 |
选择证书类型:
信任锚是充当验证数字签名证书的认证中心的公共密钥。有关更多信息,请参阅 IdP 文档。 |
6 |
单击下载元数据,然后单击下一步。 Webex App 元数据文件名为 idb-meta-<org-ID>-SP.xml。 |
7 |
上传您的 IdPs 元数据文件或填写配置表。 上传元数据文件时,有两种方法可以验证来自客户 IdP 的元数据:
单击下一步。 |
8 |
(可选)您可以将 Webex 用户名 或 主电子邮件地址 的 SAML 属性名称从 |
9 |
(可选)配置即时 (JIT) 设置和 SAML 映射响应。 请参阅本文中“管理您的 IdP”选项卡中的 配置即时 (JIT) 和 SAML 映射 。
|
10 |
单击 测试 SSO 设置,当打开新的浏览器选项卡时,通过登录向 IdP 进行身份验证。 在SSO连接前测试该连接。此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。 如果您收到身份验证错误,则凭据可能有问题。请检查用户名和密码并重试。 Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。 要查看 SSO 登录体验,我们建议您从此屏幕单击 将 URL 复制到剪贴板 并将其粘贴到私人浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。 |
11 |
返回到 Control Hub 浏览器标签页。
除非您选择第一个单选按钮并激活 SSO,否则 SSO 配置不会在您的组织中生效。 |
下一步
您可以设置路由规则。请参阅本文中“路由规则”选项卡中的 “添加或编辑路由规则 ” 。
您可以按照 抑制自动电子邮件 中的步骤禁用发送给组织中新 Webex 应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。
1 | |
2 |
前往 。 |
3 |
转到 身份提供者 选项卡,然后单击 激活 SSO。 |
4 |
选择 OpenID Connect 作为您的 IdP 并点击 下一步。 |
5 |
输入您的 IdP 信息。
|
6 |
选择如何添加端点。这可以自动或手动完成。
|
7 |
(可选)配置即时 (JIT) 设置。 请参阅本文中“管理您的 IdP”选项卡中的 配置即时 (JIT) 和 SAML 映射 。
|
8 |
单击 测试 SSO 设置,当打开新的浏览器选项卡时,通过登录向 IdP 进行身份验证。 在SSO连接前测试该连接。此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。 如果您收到身份验证错误,则凭据可能有问题。请检查用户名和密码并重试。 Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。 要查看 SSO 登录体验,我们建议您从此屏幕单击 将 URL 复制到剪贴板 并将其粘贴到私人浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。 |
9 |
返回到 Control Hub 浏览器标签页。
除非您选择第一个单选按钮并激活 SSO,否则 SSO 配置不会在您的组织中生效。 |
下一步
您可以设置路由规则。请参阅本文中“路由规则”选项卡中的 “添加或编辑路由规则 ” 。
您可以按照 抑制自动电子邮件 中的步骤禁用发送给组织中新 Webex 应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。
1 | |
2 |
前往 。 |
3 |
转到 身份提供者 选项卡,然后单击 激活 SSO。 |
4 |
选择 Webex 作为您的 IdP 并单击 下一步。 |
5 |
勾选 我已阅读并了解 Webex IdP 的工作原理 并点击 下一步。 |
6 |
设置路由规则。 请参阅本文中“路由规则”选项卡中的 “添加或编辑路由规则 ” 。 |
添加路由规则后,您的 IdP 就会被添加并显示在 身份提供商 选项卡下。
下一步
您可以按照 抑制自动电子邮件 中的步骤禁用发送给组织中新 Webex 应用程序用户的电子邮件。文档中还包含向组织中用户发送通信的最佳实践。
设置多个 IdP 时适用路由规则。当您配置了多个 IdP 时,路由规则可让 Webex 识别将用户发送到哪个 IdP。
设置多个 IdP 时,您可以在 SSO 配置向导中定义路由规则。如果您跳过路由规则步骤,则 Control Hub 会添加 IdP,但不会激活 IdP。您必须添加路由规则才能激活 IdP。
1 | |
2 |
前往 。 |
3 |
转到 路由规则 选项卡。 配置您的第一个 IdP 时,路由规则会自动添加并设置为 默认规则。您可以稍后选择另一个 IdP 设置为默认规则。 |
4 |
点击 添加新的路由规则。 |
5 |
输入路由规则的详细信息:
|
6 |
选择多重身份验证 (MFA) 方法:
有关为您的组织配置 MFA 的更多信息,请参阅 在 Control Hub 中启用多重身份验证集成。 |
7 |
单击添加。 |
8 |
选择新的路由规则,点击 激活。 |
如果您有多个 IdP 的路由规则,则可以更改路由规则优先级顺序。
准备工作
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。
这仅适用于 SAML 配置。
1 | |
2 |
前往 。 |
3 |
转到 身份提供者 选项卡。 |
4 |
转到 IdP,单击 要下载元数据文件,请单击
![]() |
5 |
导航至 IdP 管理界面以检索新的元数据文件。 |
6 |
返回 Control Hub 并将您的 IdP 元数据文件拖放到上传区域或单击 选择文件 上传元数据。 |
7 |
根据您的 IdP 元数据的签名方式,选择 安全性较低 (自签名) 或 安全性较高 (由公共 CA 签名),然后单击 保存。 |
8 |
配置即时 (JIT) 设置和 SAML 映射响应。 请参阅本文中“管理您的 IdP”选项卡中的 配置即时 (JIT) 和 SAML 映射 。
|
9 |
单击 测试 SSO 设置,当打开新的浏览器选项卡时,通过登录向 IdP 进行身份验证。 在SSO连接前测试该连接。此步骤就像试运行,在下一步启用 SSO 之前不会影响您的组织设置。 如果您收到身份验证错误,则凭据可能有问题。请检查用户名和密码并重试。 Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。 要查看 SSO 登录体验,我们建议您从此屏幕单击 将 URL 复制到剪贴板 并将其粘贴到私人浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。 |
10 |
单击保存。 |
准备工作
建议您在更新 SP 证书时更新组织中的所有 IdP。
这仅适用于 SAML 配置。
1 | |
2 |
前往 。 |
3 |
转到 身份提供者 选项卡。 |
4 |
转到 IdP 并点击 |
5 |
单击 查看证书和到期日期。 这将带您进入 服务提供商(SP)证书 窗口。
|
6 |
单击 更新证书。 |
7 |
选择您组织中的 IdP 类型:
|
8 |
选择续订的证书类型:
信任锚是充当验证数字签名证书的认证中心的公共密钥。有关更多信息,请参阅 IdP 文档。 |
9 |
单击 下载元数据 或 下载证书 从 Webex 云下载更新的元数据文件或证书的副本。 |
10 |
导航到您的 IdP 管理界面以上传新的 Webex 元数据文件或证书。 此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。 有关更多信息, 请参阅我们的 SSO 集成指南 或联系您的 IdP 管理员寻求支持。如果您使用的是 Active Directory 联合身份验证服务 (AD FS),您可以 查看如何在 AD FS 中更新 Webex 元数据 |
11 |
返回Control Hub界面,点击 下一步。 |
12 |
选择 成功更新所有 IdP 并点击 下一步。 这会将 SP 元数据文件或证书上传到您组织中的所有 IdP。 |
13 |
点击 完成续订。 |
准备工作
1 | |
2 |
前往 。 |
3 |
转到 身份提供者 选项卡。 |
4 |
转到 IdP 并点击 |
5 |
选择 测试 IdP。 |
6 |
单击 测试 SSO 设置,当打开新的浏览器选项卡时,通过登录向 IdP 进行身份验证。 如果您收到身份验证错误,则凭据可能有问题。请检查用户名和密码并重试。 Webex 应用程序错误往往意味着 SSO 设置有问题。在此情况下,请再检查一遍操作步骤,特别是将 Control Hub 元数据复制粘贴到 IdP 设置中的步骤。 要查看 SSO 登录体验,我们建议您从此屏幕单击 将 URL 复制到剪贴板 并将其粘贴到私人浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。 |
7 |
返回到 Control Hub 浏览器标签页。
除非您选择第一个单选按钮并激活 SSO,否则 SSO 配置在组织中不起作用。 |
准备工作
确保满足以下前提条件:
-
SSO配置了 。
-
这些域已经过验证。
-
域名已被声明并开启。此功能可确保您域中的用户每次通过您的 IdP 进行身份验证时都会创建并更新一次。
-
如果启用了 DirSync 或 Azure AD,则 SAML JIT 创建或更新将不起作用。
-
“阻止用户档案更新”已启用。允许 SAML 更新映射,因为此配置控制用户编辑属性的能力。仍支持由管理员控制的创建和更新方法。
1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2 |
前往 。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3 |
转到 身份提供者 选项卡。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4 |
转到 IdP 并点击 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5 |
选择 编辑 SAML 映射。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6 |
配置 即时(JIT)设置。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7 |
配置 SAML 映射所需属性。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8 |
配置 链接属性。 这对于用户来说应该是唯一的。它用于查找用户,以便 Webex 可以更新所有个人资料属性,包括用户的电子邮件。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
9 |
配置 配置文件属性。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
10 |
配置 扩展属性。 将这些属性映射到 Active Directory Azure 或目录中的扩展属性,跟踪代码。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
11 |
配置 组属性。
如果用户 A 与 SAML JIT 配置不支持从组中删除用户或任何删除用户的操作。
有关用于搜索的 SAML 声明属性Webex Meetings,请参阅 https://help.webex.com/article/WBX67566。 |
在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。
无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。请参阅 Control Hub 中的警报中心了解更多信息。
1 | |
2 |
前往 警报中心。 |
3 |
选择管理,然后选择所有规则。 |
4 |
从“规则”列表中,选择要创建的任何 SSO 规则:
|
5 |
在传递通道部分,选中电子邮件、Webex 空间或者二者结合的对话框。 如果选择电子邮件,则输入接收通知的电子邮件地址。 如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。 |
6 |
保存更改。 |
下一步
从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。(您可能会在第 60、45、30 和 15 天收到警报。)当您更新证书时,警报将停止。
如果您在 SSO 登录时遇到问题,您可以使用 SSO 自我恢复选项 来访问在 Control Hub 中管理的 Webex 组织。自我恢复选项允许您在 Control Hub 中更新或禁用 SSO。