为Jabber客户端启用SAML SSO配置示例

简介

本文档介绍如何针对安全断言标记语言(SAML)单点登录(SSO)配置Cisco Jabber客户端和基础设施服务器。

先决条件

必须为Jabber用户调配基础设施服务器，如Cisco Unified Communications Manager (CUCM) IM and Presence、Cisco Unity Connection (UCXN)和CUCM，并且必须配置基本Jabber客户端配置。

要求

Cisco 建议您了解以下主题：

• CUCM IM and Presence版本10.5(1)或更高版本
• UCXN 10.5(1)版或更高版本
• CUCM 10.5(1)或更高版本
• 思科Jabber客户端10.5版

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

网络图

1. 在所有服务器上部署证书，以便证书可以通过Web浏览器进行验证；否则，用户会收到有关无效证书的警告消息。有关证书验证的详细信息，请参阅证书验证。
   
   
2. 确保客户端中的SAML SSO服务发现。客户端使用标准服务发现以在客户端启用SAML SSO。  使用以下配置参数启用服务发现：ServicesDomain、VoiceServicesDomain和ServiceDiscoveryExcludedServices。
   
   有关如何启用服务发现的更多信息，请参阅客户端如何查找服务。
   
   
3. 要启用Jabber对电话服务使用SSO，请参阅统一通信管理器10.5版SAML SSO配置示例。
   
   
4. 请参阅统一通信管理器10.5版SAML SSO配置示例以启用Jabber对IM功能使用SSO。
   
   
5. 要启用Jabber对语音邮件的SSO使用，请参阅Unity Connection版本10.5 SAML SSO配置示例。
   
   
6. 请参阅使用Kerberos身份验证的SAML SSO设置配置示例以配置客户端计算机以便自动登录（仅限Windows版Jabber）
   
   
7. 在CUCM和IMP上启用SSO后，默认情况下，所有Jabber用户使用SSO登录。管理员可以逐个用户进行更改，以便某些用户不使用SSO，而是使用其Jabber用户名和密码登录。要禁用Jabber用户的SSO，请将SSO_Enabled参数的值设置为FALSE。
   
   如果您将Jabber配置为不向用户询问其邮件地址，则用户第一次登录Jabber可能是非SSO。在某些部署中，ServicesDomainSsoEmailPrompt参数必须设置为ON。这可以确保Jabber拥有执行首次SSO登录所需的信息。如果用户之前已登录到Jabber，则不需要此提示，因为所需信息可用。

验证

当Windows版Jabber启动时，它应自动登录，而不提示输入任何凭证或输入。 对于其他Jabber客户端，系统只会提示您输入一次凭证。

故障排除

如果您遇到问题，请收集Jabber问题报告并联系思科技术支持中心(TAC)。