简介
本文档介绍如何配置用于安全断言标记语言(SAML)单点登录(SSO)的Cisco Jabber客户端和基础设施服务器。
先决条件
必须为Jabber用户调配基础设施服务器,如Cisco Unified Communications Manager(CUCM)IM and Presence、Cisco Unity Connection(UCXN)和CUCM,并且必须部署基本Jabber客户端配置。
要求
Cisco 建议您了解以下主题:
- CUCM IM and Presence版本10.5(1)或更高版本
- UCXN 10.5(1)版或更高版本
- CUCM 10.5(1)或更高版本
- 思科Jabber客户端10.5版
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
网络图
- 在所有服务器上部署证书,以便通过Web浏览器验证证书;否则,用户会收到有关无效证书的警告消息。有关证书验证的详细信息,请参阅证书验证。
- 确保客户端中的SAML SSO的服务发现。客户端使用标准服务发现以在客户端中启用SAML SSO。 使用以下配置参数启用服务发现:ServicesDomain、VoiceServicesDomain和ServiceDiscoveryExcludedServices。
有关如何启用服务发现的更多信息,请参阅客户端如何查找服务。
- 要启用Jabber对电话服务使用SSO,请参阅统一通信管理器10.5版SAML SSO配置示例。
- 请参阅统一通信管理器10.5版SAML SSO配置示例,以启用Jabber对IM功能使用SSO。
- 要启用Jabber对语音邮件使用SSO,请参阅Unity Connection版本10.5 SAML SSO配置示例。
- 请参阅使用Kerberos身份验证的SAML SSO设置配置示例,以配置客户端计算机以进行自动登录(仅限Windows版Jabber)
- 在CUCM和IMP上启用SSO后,默认情况下,所有Jabber用户使用SSO登录。管理员可以逐个用户更改此设置,以便某些用户不使用SSO,而是使用其Jabber用户名和密码登录。要为Jabber用户禁用SSO,请将SSO_Enabled参数的值设置为FALSE。
如果您已经将Jabber配置为不要求用户输入其电子邮件地址,则用户第一次登录Jabber时可能使用非SSO。在某些部署中,ServicesDomainSsoEmailPrompt参数必须设置为ON。这可以确保Jabber拥有执行首次SSO登录所需的信息。如果用户之前已登录Jabber,则不需要此提示,因为所需信息可用。
验证
启动Windows版Jabber时,它应自动登录,而不提示输入任何凭据或输入。对于其他Jabber客户端,系统只会提示您输入凭据一次。
故障排除
如果遇到问题,请收集Jabber问题报告并联系思科技术支持中心(TAC)。