Cisco Cisco WebEx Meetings Server 2.6
用于最终用户和管理登录的 SAML SSO
通常配置 SAML SSO 只是用于登录最终用户站点,而非管理站点。 在集成 SAML 2.0 SSO 的 Cisco
WebEx Meetings Server 站点上,关于用户验证的行为与 SaaS WebEx 行为相同。 Cisco WebEx Meetings
WebEx Meetings Server 站点上,关于用户验证的行为与 SaaS WebEx 行为相同。 Cisco WebEx Meetings
Server 管理员(和 SaaS WebEx 管理员)可以使用 SAML SSO 登录最终用户帐户,但必须使用另外
设置的密码登录同一系统上的管理员帐户。 这确保了在 SAML SSO iDP 上发生灾难性故障时,管理
员仍能访问管理站点。 如果没有这一故障保护措施,您可能遇到这样的情况:管理站点不是由于产
品故障,而是由于 SAML SSO IdP 软件的问题无法访问。 SAML SSO IdP 软件在 Cisco WebEx Meetings
Server(或 SaaS WebEx)之外的服务器上,因此我们无法控制。
设置的密码登录同一系统上的管理员帐户。 这确保了在 SAML SSO iDP 上发生灾难性故障时,管理
员仍能访问管理站点。 如果没有这一故障保护措施,您可能遇到这样的情况:管理站点不是由于产
品故障,而是由于 SAML SSO IdP 软件的问题无法访问。 SAML SSO IdP 软件在 Cisco WebEx Meetings
Server(或 SaaS WebEx)之外的服务器上,因此我们无法控制。
云模式 WebEx 会议服务和 WebEx Meetings Server 在 SAML
2.0 单点登录方面的不同
2.0 单点登录方面的不同
云模式 Cisco WebEx 会议服务在创建用户帐户时采用唯一用户标识,而 Cisco WebEx Meetings Server
基于电子邮件地址创建用户帐户。 这对 SAML 2.0 单点登录 (SSO) 有以下重要影响:
基于电子邮件地址创建用户帐户。 这对 SAML 2.0 单点登录 (SSO) 有以下重要影响:
• SAML 断言的 NameID 字段中必须带有电子邮件地址。 如果不进行此步骤,用户验证和帐户创
建将失败,因为 Cisco WebEx Meetings Server 不允许创建没有关联电子邮件地址的用户帐户。
• 打开自动创建帐户后,云模式 Cisco WebEx 会议服务允许删除用户主要名称 (UPN) 中的电子邮
件域(例如“@cisco.com”)。 这将导致创建类似于用户标识的用户帐户。 因为 WebEx Meetings
Server 使用完整电子邮件地址来创建用户帐户,所以您无法删除 UPN 中的电子邮件域。
Server 使用完整电子邮件地址来创建用户帐户,所以您无法删除 UPN 中的电子邮件域。
实际上,您可以先部署不带有 SAML 2.0 SSO 的 Cisco WebEx Meetings Server,之后再打开 SSO。
这样做将对用户验证、自动创建帐户和自动更新帐户功能产生以下重要影响:
这样做将对用户验证、自动创建帐户和自动更新帐户功能产生以下重要影响:
AAU 关闭
自动更新帐户
(AAU) 打开
(AAU) 打开
AAC 关闭
自动创建帐户
(AAC) 打开
(AAC) 打开
用户验证行为
情景
不适用
不适用
不适用
不适用
用户使用电子
邮件地址和自
选密码进行登
录。
邮件地址和自
选密码进行登
录。
尚未打开
SSO。
已在系统中创
建用户帐户。
已在系统中创
建用户帐户。
Cisco WebEx Meetings Server 2.6 版规划指南和系统要求
142
SAML SSO 配置
用于最终用户和管理登录的 SAML SSO