概述
您可以使用Active Directory联合身份验证服务(ADFS)配置您的账户,以便使用单点登录(SSO)登录。您还可以根据用户的ADFS配置,使用安全声明标记语言(SAML)为用户分配许可证、组和角色。阅读关于单点登录的更多信息。
本文主要介绍:
前提
- 带有审批过的Vanity URL的Zoom商业或教育账户
- ADFS服务器权限
- Zoom管理员或所有者权限
在Zoom中配置
-
在https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xml
中找到并下载/查看您的ADFS XML元数据。* [服务器]:您的ADFS服务器(adfs.example.com)
-
在Zoom管理员页面上,点击“单点登录”以查看“SAML”选项卡。
-
在“SAML”选项卡选项中输入以下信息:
-
登录页面URL:https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us
- *注意:如果Zoom中的服务提供商(SP)实体ID设置为https://[vanity].zoom.us,则登录URL的logintoRP部分应该与"...?logintoRP=https://[vanity].zoom.us"相匹配。
- 登出页面URL:https://[SERVER]/adfs/ls/?wa=wsignout1.0
-
身份验证提供方证书:步骤1中来自XML元数据的X509证书
*使用XML文件中的第一个X509证书:
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate> - 服务提供商实体ID:选择不带https的选项。
- 发行者:http 或 https://[SERVER]/adfs/services/trust(元数据中的实体ID)
- 绑定:HTTP-POST
-
安全性
- 签署SAML请求:如要在ADFS中签署SAML请求,请勾选此选项。
- 支持加密断言:如果在ADFS中使用加密断言,请勾选此选项。
-
在用户登录后强制执行自动注销:如果您希望用户在指定的时间注销,请勾选此项。
-
登录页面URL:https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us
在ADFS中配置
-
登录您的ADFS服务器。
-
打开ADFS 2.0 MMC
-
添加信赖方信任
选择“导入有关在线或在本地网络发布的信赖方的数据”
联合元数据地址: https://YOURVANITY.zoom.us/saml/metadata/sp
-
添加显示名称("Zoom"),并使用默认设置完成安装向导。
-
添加两个声明规则:
- 类型:以声明方式发送 LDAP 特性
- 名称:Zoom -发送到电子邮件
- 映射
- E-Mail-Addresses > E-Mail Address
- 用户-规则-名> UPN
- 名字 > urn:oid:2.5.4.42
- 姓氏> urn:oid:2.5.4.4
- 类型:转换传入声明
- 名称:Zoom -发送电子邮件到名称ID
- 传入声明类型:E-Mail Address
- 传出声明类型:名称ID
- 传出名称ID格式:Email
配置完成后
完成配置步骤后,Active Directory中的任何用户都能够根据您设置的配置进行登录。如需进行测试,请访问http://YOURVANITY.zoom.us,然后选择“登录”。
故障排除提示
无法使用谷歌浏览器或火狐浏览器登录
如果您无法使用谷歌浏览器或火狐浏览器登录,并且在ADFS服务器的“事件查看器”中看到带有“状态:0xc000035b”的“审计失败”事件,则您需要关闭“扩展保护”。谷歌浏览器和火狐浏览器不支持ADFS的“扩展保护”(IE浏览器支持)。
-
启动“Internet信息服务(IIS)管理器”。
-
在左侧面板中,导航到“网站”>“默认网站”>“ADFS”>“LS”。
-
双击“身份验证”图标。
- 右击“Windows身份验证”。
-
选择“高级设置”。
-
关闭“扩展保护”。