Ако използването на сертификата на вашата организация е настроено на Няма, но все още получавате предупреждение, препоръчваме да продължите с надстройката. Вашето SSO внедряване не използва сертификата днес, но може да ви е необходим сертификат за бъдещи промени.

Сертификати на доставчика на услуги (SP)


 

От време на време може да получавате известие по имейл или да видите предупреждение в Control Hub, че сертификатът за еднократен вход (SSO ) на Webex ще изтече. Следвайте процеса в тази статия, за да извлечете метаданните на SSO облачния сертификат от нас (SP) и да ги добавите обратно към вашия IdP; в противен случай потребителите няма да могат да използват услугите на Webex .

Ако използвате SAML Cisco (SP) SSO сертификат във вашата Webex организация, трябва да планирате да актуализирате облачния сертификат по време на редовна планирана поддръжка възможно най-скоро.

Всички услуги, които са част от абонамента ви за организация на Webex , са засегнати, включително, но не само:

  • Приложение Webex (нови влизания за всички платформи: настолен, мобилен и уеб)

  • Услуги на Webex в Control Hub, включително обаждания

  • Сайтове на Webex Meetings , управлявани чрез Control Hub

  • Cisco Jabber , ако е интегриран с SSO

Преди да започнете


 

Моля, прочетете всички указания преди да започнете. След като промените сертификата или преминете през съветника за актуализиране на сертификата, новите потребители може да не успеят да влизам успешно.

Ако вашият IdP не поддържа множество сертификати (повечето IdP на пазара не поддържат тази функция), препоръчваме ви да планирате тази надстройка по време на прозорец за поддръжка, в който потребителите на Webex App не са засегнати. Тези задачи за надграждане трябва да отнемат приблизително 30 минути по време на работа и валидиране след събитието.

1

За да проверите дали сертификатът за SAML Cisco (SP) SSO ще изтече:

  • Може да сте получили имейл или съобщение от приложението Webex от нас, но трябва да проверите в Control Hub, за да сте сигурни.

  • Влезте вhttps://admin.webex.com , и проверете своя Център за предупреждения . Възможно е да има известие за актуализиране на сертификата на доставчика на SSO услуги.

  • Влезте вhttps://admin.webex.com , отидете на Управление > Настройки на организацията > Удостоверяване , и отбележете състоянието на сертификата в таблицата за сертификати на Cisco SAML (изтекъл или изтича скоро). Щракнете върху Подновяване на сертификата да продължи.

Можете да отидете директно в съветника за SSO , за да актуализирате и сертификата. Ако решите да излезете от съветника, преди да го завършите, можете да получите достъп до него отново по всяко време от Управление > Настройки на организацията > Удостоверяване вhttps://admin.webex.com .

2

Изберете типа сертификат за подновяване:

  • Самоподписан от Cisco — Препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на всеки пет години.
  • Подписано от публичен сертифициращ орган —По-сигурно, но ще трябва често да актуализирате метаданните (освен ако вашият доставчик на IdP поддържа доверителни котви).

     

    Доверените котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте документацията на вашия IdP.

3

Щракнете върху Изтеглете файл с метаданни за да изтеглите копие на актуализираните метаданни с новия сертификат от облака на Webex . Дръжте този екран отворен.

4

Придвижете се до вашия интерфейс за управление на IdP, за да качите новия файл с метаданни на Webex .

5

Върнете се в раздела, където сте влезли в Control Hub, и щракнете Следваща .

6

Това служи за потвърждение, че новият файл с метаданни е качен и интерпретиран правилно от вашия IdP. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, щракнете Превключете към нови метаданни .


 

За да видите директно средата за влизане с SSO, можете също да щракнете върху Копиране на URL адреса в клипборда от този екран и да го поставите в поверителен прозорец на браузъра. Оттам можете да преминете през влизането с SSO. Това помага да се премахне всяка информация, кеширана във вашия интернет браузър, която може да доведе до фалшив положителен резултат при тестване на вашата конфигурация за SSO.

Резултат: Готови сте и SAML Cisco (SP) SSO сертификатът на вашата организация вече е подновен. Можете да проверите състоянието на сертификата по всяко време, като отворите таблицата за състоянието на SAML сертификат под Управление > Настройки на организацията > Удостоверяване .

Сертификат на доставчик на самоличност (IdP).


 

От време на време може да получавате известие по имейл или да видите предупреждение в Control Hub, че сертификатът за IdP ще изтече. Тъй като доставчиците на IdP имат своя собствена специфична документация за подновяване на сертификат, ние покриваме това, което се изисква в Control Hub, заедно с общи стъпки за извличане на актуализирани метаданни на IdP и качването им в Control Hub, за да подновите сертификата.

1

За да проверите дали IdP SAML сертификатът ще изтече:

  • Може да сте получили имейл или съобщение от приложението Webex от нас, но трябва да проверите в Control Hub, за да сте сигурни.
  • Влезте вhttps://admin.webex.com , и проверете своя Център за предупреждения . Възможно е да има известие за актуализиране на IdP SAML сертификат:

  • Влезте вhttps://admin.webex.com , отидете на Управление > Настройки на организацията > Удостоверяване , и отбележете състоянието на сертификата (изтекъл или изтича скоро) в таблицата SAML сертификати. Щракнете върху Подновяване на сертификата да продължи.

  • Можете да отидете директно в съветника за SSO , за да актуализирате и сертификата. Ако решите да излезете от съветника, преди да го завършите, можете да получите достъп до него отново по всяко време от Управление > Настройки на организацията > Удостоверяване вhttps://admin.webex.com .

2

Придвижете се до вашия интерфейс за управление на IdP, за да извлечете новия файл с метаданни.

  • Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез специфична поддръжка на доставчик на облак, в зависимост от настройката на вашия IdP и дали вие или отделен администратор на IdP сте отговорни за тази стъпка.
  • за справка, вижте нашите ръководства за интеграция на SSO или се свържете с вашия администратор на IdP за поддръжка.
3

Върнете се към Управление > Настройки на организацията > Удостоверяване вhttps://admin.webex.com , и след това изберете Действия > Импортиране на метаданни .

4

Плъзнете и пуснете файла с метаданни на IdP в прозореца или щракнете Изберете файл с метаданни и го качете по този начин.

5

Изберете По-малко сигурен (самоподписан) или По-сигурно (подписан от публичен CA), в зависимост от това как са подписани метаданните на вашия IdP.

6

Щракнете върху Тествайте SSO актуализация за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно във вашата организация Control Hub. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, щракнете Превключете към нови метаданни .


 

За да видите директно средата за влизане с SSO, можете също да щракнете върху Копиране на URL адреса в клипборда от този екран и да го поставите в поверителен прозорец на браузъра. Оттам можете да преминете през влизането с SSO. Това помага да се премахне всяка информация, кеширана във вашия интернет браузър, която може да доведе до фалшив положителен резултат при тестване на вашата конфигурация за SSO.

Резултат: Приключихте и сертификатът за IdP на вашата организация вече е подновен. Можете да проверите състоянието на сертификата по всяко време, като отворите таблицата за състоянието на SAML сертификат под Управление > Настройки на организацията > Удостоверяване .

Можете да експортирате най-новите метаданни на Webex SP, когато трябва да ги добавите обратно към вашия IdP. Ще видите известие, когато импортираните IdP SAML метаданни ще изтекат или са изтекли.

Тази стъпка е полезна в общи сценарии за управление на SAML сертификати на IdP, като например IdP, които поддържат множество сертификати, при които експортирането не е извършено по-рано, ако метаданните не са били импортирани в IdP, защото администратор на IdP не е бил наличен, или ако вашият IdP поддържа възможност за актуализиране само на сертификата. Тази опция може да помогне за минимизиране на промяната само чрез актуализиране на сертификата във вашата SSO конфигурация и валидиране след събитие.

1

От изглед на клиента вhttps://admin.webex.com , отидете на Управление > Настройки на организацията , превъртете до Удостоверяване , и след това изберете Действия > Експортиране на метаданни .

Името на файла с метаданни на Webex е idb-meta- -SP.xml .<org-ID>

2

Импортирайте метаданните във вашия IdP.

Следвайте документацията за вашия IdP, за да импортирате метаданните на Webex SP. Можете да използвате нашите Ръководства за интеграция на IdP или направете справка с документацията за вашия конкретен IdP, ако не е в списъка.

3

Когато приключите, изпълнете SSO теста, като използвате стъпките в Подновяване на сертификат за Webex (SP) в тази статия.

Когато вашата IdP среда се промени или ако вашият IdP сертификат ще изтече, можете да импортирате актуализираните метаданни в Webex по всяко време.

Преди да започнете

Съберете метаданните на вашия IdP, обикновено като експортиран xml файл.

1

От изглед на клиента вhttps://admin.webex.com , отидете на Управление > Настройки на организацията , превъртете до Удостоверяване , и след това изберете Действия > Импортиране на метаданни .

2

Плъзнете и пуснете файла с метаданни на IdP в прозореца или щракнете Изберете файл с метаданни и го качете по този начин.

3

Изберете По-малко сигурен (самоподписан) или По-сигурно (подписан от публичен CA), в зависимост от това как са подписани метаданните на вашия IdP.

Ще получавате сигнали в Control Hub, преди сертификатите да изтекат, но можете също така проактивно да настройвам правила за предупреждение. Тези правила ви уведомяват предварително, че вашите SP или IdP сертификати ще изтекат. Можем да ви ги изпратим чрез имейл, място в приложението Webex или и двете.


 

Независимо от конфигурирания канал за доставка, всички сигнали винаги ще се показват в Control Hub. Виж Център за предупреждения в Control Hub за повече информация.

1

От изглед на клиента вhttps://admin.webex.com , отидете на Център за предупреждения .

2

Изберете Управлявайте тогава Всички правила .

3

От списъка с правила изберете някое от правилата за SSO , които искате да създадете:

  • Срок на валидност на сертификата за SSO IDP
  • Срок на валидност на сертификата за SSO SP
4

В секцията Канал за доставка поставете отметка в квадратчето за Имейл , Webex пространство , или и двете.

Ако изберете Имейл, въведете имейл адрес , който трябва да получи известието.


 

Ако изберете опцията за Webex пространство, автоматично се добавяте към пространство в приложението Webex и ние доставяме известията там.

5

Запазете промените си.

Какво да направите след това

Изпращаме сигнали за изтичане на сертификата веднъж на всеки 15 дни, започвайки 60 дни преди изтичане. (Можете да очаквате сигнали на 60, 45, 30 и 15 ден.) Сигналите спират, когато подновите сертификата.

Може да видите известие, че единичният URL за излизане не е конфигуриран:


 

Препоръчваме ви да конфигурирате вашия IdP да поддържа единичен изход (известен също като SLO). Webex поддържа както методите за пренасочване, така и методите за публикуване, налични в нашите метаданни, които се изтеглят от Control Hub. Не всички IdP поддържат SLO; моля, свържете се с вашия екип на IdP за съдействие. В някои случаи за големите доставчици на IdP като AzureAD, Ping Federate, ForgeRock и Oracle, които поддържат SLO, ние документираме как да конфигурирате интеграцията . Моля, консултирайте се с вашия екип за самоличност и сигурност относно спецификите на вашия IDP и как да конфигурирате правилно.

URL адресът за еднократно излизане не е конфигуриран.

  • Съществуваща сесия на IdP остава валидна. Следващият път, когато потребителите влизам, може да не бъдат помолени да се удостоверят повторно от IdP.

  • Показваме предупредително съобщение при излизам, така че излизането от приложението Webex не става безпроблемно.

Можете да деактивирате еднократен вход (SSO) за вашата организация Webex , управлявана в Control Hub. Може да искате да деактивирате SSO , вие сменяте доставчици на идентичност (IdPs).


 

Ако еднократен вход е активирано за вашата организация, но е неуспешно, можете да ангажирате вашия партньор на Cisco , който има достъп до вашата Webex организация, за да го деактивира вместо вас.

1

От изглед на клиента в , отидете на Управление > Настройки на организацията и след това превъртете до Удостоверяване .https://admin.webex.com

2

За да изключите SSO , изключете Единичен вход настройка.

Появява се изскачащ прозорец , който ви предупреждава за деактивиране на SSO:

Ако деактивирате SSO, паролите се управляват от облака вместо от вашата интегрирана конфигурация на IdP.

3

Ако разбирате ефекта от деактивирането на SSO и искате да продължите, щракнете Деактивирайте .

В Control Hub ще видите настройката за SSO изключена и всички списъци на SAML сертификати са премахнати.

Ако SSO е деактивиран, потребителите, които трябва да се удостоверят, ще видят поле за въвеждане на парола по време на процеса на влизане.

  • Потребителите, които нямат парола в приложението Webex , трябва или да нулират паролата си, или да им изпратите имейл, за да зададат парола.

  • Съществуващите удостоверени потребители с валиден токен OAuth ще продължат да имат достъп до приложението Webex .

  • Нови потребители, създадени, докато SSO е деактивиран, получават имейл с молба да създадат парола.

Какво да направите след това

Ако вие или клиентът преконфигурирате SSO за организацията на клиента, потребителските акаунти ще се върнат към използването на политиката за пароли, която е зададена от IdP, който е интегриран с организацията Webex .

Ако срещнете проблеми с вашето SSO влизане, можете да използвате Опция за самостоятелно възстановяване на SSO за да получите достъп до вашата организация Webex , управлявана в Control Hub. Опцията за самостоятелно възстановяване ви позволява да актуализирате или деактивирате SSO в Control Hub.