概述
您可以使用Active Directory聯合身份驗證服務(ADFS)配置您的帳戶,以便使用單點登錄(SSO)登錄。您還可以根據使用者的ADFS配置,使用安全聲明標記語言(SAML)為使用者分配許可證、組和角色。閱讀關於單點登錄的更多資訊。
本文主要介紹:
前提
- 帶有審批過的Vanity URL的Zoom商業或教育帳戶
- ADFS伺服器許可權
- Zoom管理員或所有者許可權
在Zoom中配置
- 在https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xml
中找到並下載/查看您的ADFS XML中繼資料。
* [伺服器]:您的ADFS伺服器(adfs.example.com)
- 在Zoom管理員頁面上,點擊“單點登錄”以查看“SAML”選項卡。
-
在“SAML”選項卡選項中輸入以下資訊:
-
登錄頁面URL:https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us
- *注意:如果Zoom中的服務提供者(SP)實體ID設置為https://[vanity].zoom.us,則登錄URL的logintoRP部分應該與"...?logintoRP=https://[vanity].zoom.us"相匹配。
- 登出頁面URL: https://[SERVER]/adfs/ls/?wa=wsignout1.0
-
身份驗證提供方證書:步驟1中來自XML中繼資料的X509證書
*使用XML檔中的第一個X509證書:
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate> - 服務提供者實體ID:選擇不帶https的選項。
- 發行者:http 或 https://[SERVER]/adfs/services/trust(中繼資料中的實體ID)
- 綁定:HTTP-POST
-
安全性
- 簽署SAML請求:如要在ADFS中簽署SAML請求,請勾選此選項。
- 支持加密斷言:如果在ADFS中使用加密斷言,請勾選此選項。
-
在用戶登錄後強制執行自動註銷:如果您希望用戶在指定的時間註銷,請勾選此項。
-
登錄頁面URL:https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us
在ADFS中配置
- 登錄您的ADFS伺服器。
- 打開ADFS 2.0 MMC
-
添加信賴方信任
選擇“導入有關線上或在本地網路發佈的信賴方的資料”
聯合中繼資料地址: https://YOURVANITY.zoom.us/saml/metadata/sp
- 添加顯示名稱("Zoom"),並使用默認設置完成安裝嚮導。
-
添加兩個聲明規則:
- 類型:以聲明方式發送 LDAP 特性
- 名稱:Zoom -發送到電子郵件
- 映射
- E-Mail-Addresses > E-Mail Address
- 使用者-規則-名> UPN
- 名字 > urn:oid:2.5.4.42
- 姓氏> urn:oid:2.5.4.4
- 類型:轉換傳入聲明
- 名稱:Zoom -發送電子郵件到名稱ID
- 傳入聲明類型:E-Mail Address
- 傳出聲明類型:名稱ID
- 傳出名稱ID格式:Email
配置完成後
完成配置步驟後,Active Directory中的任何使用者都能夠根據您設置的配置進行登錄。如需進行測試,請訪問http://YOURVANITY.zoom.us,然後選擇“登錄”。
故障排除提示
無法使用穀歌流覽器或火狐流覽器登錄
如果您無法使用穀歌流覽器或火狐流覽器登錄,並且在ADFS伺服器的“事件檢視器”中看到帶有“狀態:0xc000035b”的“審計失敗”事件,則您需要關閉“擴展保護”。穀歌流覽器和火狐流覽器不支持ADFS的“擴展保護”(IE流覽器支持)。
- 啟動“Internet資訊服務(IIS)管理器”。
- 在左側面板中,導航到“網站”>“默認網站”>“ADFS”>“LS”。
- 按兩下“身份驗證”圖示。
- 右擊“Windows身份驗證”。
- 選擇“高級設置”。
- 關閉“擴展保護”。