为Jabber客户端启用SAML SSO配置示例

简介

本文档介绍如何配置用于安全断言标记语言(SAML)单点登录(SSO)的Cisco Jabber客户端和基础设施服务器。

先决条件

必须为Jabber用户调配基础设施服务器，如Cisco Unified Communications Manager(CUCM)IM and Presence、Cisco Unity Connection(UCXN)和CUCM，并且必须部署基本Jabber客户端配置。

要求

Cisco 建议您了解以下主题：

• CUCM IM and Presence版本10.5(1)或更高版本
• UCXN 10.5(1)版或更高版本
• CUCM 10.5(1)或更高版本
• 思科Jabber客户端10.5版

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

网络图

1. 在所有服务器上部署证书，以便通过Web浏览器验证证书；否则，用户会收到有关无效证书的警告消息。有关证书验证的详细信息，请参阅证书验证。
   
   
2. 确保客户端中的SAML SSO的服务发现。客户端使用标准服务发现以在客户端中启用SAML SSO。  使用以下配置参数启用服务发现：ServicesDomain、VoiceServicesDomain和ServiceDiscoveryExcludedServices。
   
   有关如何启用服务发现的更多信息，请参阅客户端如何查找服务。
   
   
3. 要启用Jabber对电话服务使用SSO，请参阅统一通信管理器10.5版SAML SSO配置示例。
   
   
4. 请参阅统一通信管理器10.5版SAML SSO配置示例，以启用Jabber对IM功能使用SSO。
   
   
5. 要启用Jabber对语音邮件使用SSO，请参阅Unity Connection版本10.5 SAML SSO配置示例。
   
   
6. 请参阅使用Kerberos身份验证的SAML SSO设置配置示例，以配置客户端计算机以进行自动登录（仅限Windows版Jabber）
   
   
7. 在CUCM和IMP上启用SSO后，默认情况下，所有Jabber用户使用SSO登录。管理员可以逐个用户更改此设置，以便某些用户不使用SSO，而是使用其Jabber用户名和密码登录。要为Jabber用户禁用SSO，请将SSO_Enabled参数的值设置为FALSE。
   
   如果您已经将Jabber配置为不要求用户输入其电子邮件地址，则用户第一次登录Jabber时可能使用非SSO。在某些部署中，ServicesDomainSsoEmailPrompt参数必须设置为ON。这可以确保Jabber拥有执行首次SSO登录所需的信息。如果用户之前已登录Jabber，则不需要此提示，因为所需信息可用。

验证

启动Windows版Jabber时，它应自动登录，而不提示输入任何凭据或输入。对于其他Jabber客户端，系统只会提示您输入凭据一次。

故障排除

如果遇到问题，请收集Jabber问题报告并联系思科技术支持中心(TAC)。