SSO в Control Hub

Ако искате да настройвам SSO за множество доставчици на идентичност във вашата организация, вижте SSO с множество IdP в Webex .


 

Ако използването на сертификата на вашата организация е настроено на Няма, но все още получавате предупреждение, препоръчваме да продължите с надстройката. Вашето SSO внедряване не използва сертификата днес, но може да ви е необходим сертификат за бъдещи промени.


 

От време на време може да получавате известие по имейл или да видите предупреждение в Control Hub, че сертификатът за еднократен вход (SSO ) на Webex ще изтече. Следвайте процеса в тази статия, за да извлечете метаданните на SSO облачния сертификат от нас (SP) и да ги добавите обратно към вашия IdP; в противен случай потребителите няма да могат да използват услугите на Webex .

Ако използвате SAML Cisco (SP) SSO сертификат във вашата Webex организация, трябва да планирате да актуализирате облачния сертификат по време на редовна планирана поддръжка възможно най-скоро.

Всички услуги, които са част от абонамента ви за организация на Webex , са засегнати, включително, но не само:

  • Приложение Webex (нови влизания за всички платформи: настолен, мобилен и уеб)

  • Услуги на Webex в Control Hub, включително обаждания

  • Сайтове на Webex Meetings , управлявани чрез Control Hub

  • Cisco Jabber , ако е интегриран с SSO

Преди да започнете


 

Моля, прочетете всички указания преди да започнете. След като промените сертификата или преминете през съветника за актуализиране на сертификата, новите потребители може да не успеят да влизам успешно.

Ако вашият IdP не поддържа множество сертификати (повечето IdP на пазара не поддържат тази функция), препоръчваме ви да планирате тази надстройка по време на прозорец за поддръжка, в който потребителите на Webex App не са засегнати. Тези задачи за надграждане трябва да отнемат приблизително 30 минути по време на работа и валидиране след събитие.

1

За да проверите дали сертификатът за SAML Cisco (SP) SSO ще изтече:

  • Може да сте получили имейл или съобщение от приложението Webex от нас, но трябва да проверите в Control Hub, за да сте сигурни.
  • Влезте вhttps://admin.webex.com , и проверете своя Център за предупреждения . Възможно е да има известие за актуализиране на сертификата на доставчика на SSO услуги.

  • Влезте вhttps://admin.webex.com , отидете на Управление > Настройки на организацията > Единичен вход и щракнете Управлявайте SSO и IdPs .
  • Отидете до Доставчик на идентичност раздел и отбележете статуса и датата на изтичане на сертификата на Cisco SP.

Можете да отидете директно в съветника за SSO , за да актуализирате и сертификата. Ако решите да излезете от съветника, преди да го завършите, можете да получите достъп до него отново по всяко време от Управление > Настройки на организацията > Единичен вход вhttps://admin.webex.com .

2

Отидете до IdP и щракнете.

3

Щракнете върху Прегледайте сертификатите и датата на изтичане .

4

Щракнете върху Подновяване на сертификата .

5

Изберете вида на IdP, който вашата организация използва.

  • IdP, който поддържа множество сертификати
  • IdP, който поддържа един сертификат

 

Ако вашият IdP поддържа един сертификат, препоръчваме ви да изчакате, за да изпълните тези стъпки по време на планиран престой. Докато сертификатът Webex се актуализира, влизането на нови потребители за кратко няма да работи; съществуващите входове се запазват.

6

Изберете типа сертификат за подновяване:

  • Самоподписан от Cisco — Препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на всеки пет години.
  • Подписано от публичен сертифициращ орган —По-сигурно, но ще трябва често да актуализирате метаданните (освен ако вашият доставчик на IdP поддържа доверителни котви).

     

    Доверените котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте документацията на вашия IdP.

7

Щракнете върху Изтеглете файл с метаданни за да изтеглите копие на актуализираните метаданни с новия сертификат от облака на Webex . Дръжте този екран отворен.

8

Придвижете се до вашия интерфейс за управление на IdP, за да качите новия файл с метаданни на Webex .

9

Върнете се в раздела, където сте влезли в Control Hub, и щракнете Следваща .

10

Актуализирайте IdP с новия SP сертификат и метаданни и щракнете Следваща .

  • Актуализирахте всички IdP
  • Ако се нуждаете от още време за актуализиране, запишете подновения сертификат като втора опция
11

Щракнете върху Завършете подновяването .


 

От време на време може да получавате известие по имейл или да видите предупреждение в Control Hub, че сертификатът на IdP ще изтече. Тъй като доставчиците на IdP имат своя собствена специфична документация за подновяване на сертификат, ние покриваме това, което се изисква в Control Hub, заедно с общи стъпки за извличане на актуализирани метаданни на IdP и качването им в Control Hub, за да подновите сертификата.

1

За да проверите дали IdP SAML сертификатът ще изтече:

  • Може да сте получили имейл или съобщение от приложението Webex от нас, но трябва да проверите в Control Hub, за да сте сигурни.
  • Влезте вhttps://admin.webex.com , и проверете своя Център за предупреждения . Възможно е да има известие за актуализиране на IdP SAML сертификат:

  • Влезте вhttps://admin.webex.com , отидете на Управление > Настройки на организацията > Единичен вход и щракнете Управлявайте SSO и IdPs .
  • Отидете до Доставчик на идентичност раздел и отбележете състоянието на сертификата на IdP (изтекъл или изтича скоро) и датата на изтичане.
  • Можете да отидете директно в съветника за SSO , за да актуализирате и сертификата. Ако решите да излезете от съветника, преди да го завършите, можете да получите достъп до него отново по всяко време от Управление > Настройки на организацията > Единичен вход вhttps://admin.webex.com .

2

Придвижете се до вашия интерфейс за управление на IdP, за да извлечете новия файл с метаданни.

  • Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез специфична поддръжка на доставчик на облак, в зависимост от настройката на вашия IdP и дали вие или отделен администратор на IdP сте отговорни за тази стъпка.
  • за справка, вижте нашите ръководства за интеграция на SSO или се свържете с вашия администратор на IdP за поддръжка.
3

Върнете се към Доставчик на идентичност раздел.

4

Отидете до IdP, щракнетеuploadи изберете Качете метаданни на Idp .

5

Плъзнете и пуснете файла с метаданни на IdP в прозореца или щракнете Изберете файл и го качете по този начин.

6

Изберете По-малко сигурен (самоподписан) или По-сигурно (подписан от публичен CA), в зависимост от това как са подписани метаданните на вашия IdP.

7

Щракнете върху Тествайте SSO актуализация за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно във вашата организация Control Hub. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, изберете Успешен тест: Активирайте SSO и IdP и щракнете Запазете .


 

За да видите директното изживяване при влизане в SSO , препоръчваме да щракнете Копирайте URL в клипборда от този екран и го поставете в частен прозорец на браузъра. Оттам можете да преминете през влизането с SSO. Това помага да се премахне всяка информация, кеширана във вашия интернет браузър, която може да доведе до фалшив положителен резултат при тестване на вашата конфигурация за SSO.

Резултат: Приключихте и сертификатът за IdP на вашата организация вече е подновен. Можете да проверите състоянието на сертификата по всяко време под Доставчик на идентичност раздел.

Можете да експортирате най-новите метаданни на Webex SP, когато трябва да ги добавите обратно към вашия IdP. Ще видите известие, когато импортираните IdP SAML метаданни ще изтекат или са изтекли.

Тази стъпка е полезна в общи сценарии за управление на SAML сертификати на IdP, като например IdP, които поддържат множество сертификати, при които експортирането не е извършено по-рано, ако метаданните не са били импортирани в IdP, защото администратор на IdP не е бил наличен, или ако вашият IdP поддържа възможност за актуализиране само на сертификата. Тази опция може да помогне за минимизиране на промяната само чрез актуализиране на сертификата във вашата SSO конфигурация и валидиране след събитие.

1

От изглед на клиента вhttps://admin.webex.com , отидете на Управление > Настройки на организацията , превъртете до Единичен вход и щракнете Управлявайте SSO и IdPs .

2

Отидете до Доставчик на идентичност раздел.

3

Отидете до IdP, щракнетеDownloadи изберете Изтеглете метаданни на SP .

Името на файла с метаданни на приложението Webex е idb-meta-<org-ID> -SP.xml .

4

Импортирайте метаданните във вашия IdP.

Следвайте документацията за вашия IdP, за да импортирате метаданните на Webex SP. Можете да използвате нашите Ръководства за интеграция на IdP или направете справка с документацията за вашия конкретен IdP, ако не е в списъка.

5

Когато приключите, изпълнете SSO теста, като използвате стъпките в Подновяване на сертификат за Webex (SP) в тази статия.

Когато вашата IdP среда се промени или ако вашият IdP сертификат ще изтече, можете да импортирате актуализираните метаданни в Webex по всяко време.

Преди да започнете

Съберете метаданните на вашия IdP, обикновено като експортиран xml файл.

1

От изглед на клиента вhttps://admin.webex.com , отидете на Управление > Настройки на организацията , превъртете до Единичен вход и щракнете Управлявайте SSO и IdPs .

2

Отидете до Доставчик на идентичност раздел.

3

Отидете до IdP, щракнетеuploadи изберете Качете метаданни на Idp .

4

Плъзнете и пуснете файла с метаданни на IdP в прозореца или щракнете Изберете файл с метаданни и го качете по този начин.

5

Изберете По-малко сигурен (самоподписан) или По-сигурно (подписан от публичен CA), в зависимост от това как са подписани метаданните на вашия IdP.

6

Щракнете върху Тествайте настройката на SSO , и когато се отвори нов раздел на браузъра, удостоверете се с IdP, като влезете.

Ще получавате сигнали в Control Hub, преди сертификатите да изтекат, но можете също така проактивно да настройвам правила за предупреждение. Тези правила ви уведомяват предварително, че вашите SP или IdP сертификати ще изтекат. Можем да ви ги изпратим чрез имейл, място в приложението Webex или и двете.


 

Независимо от конфигурирания канал за доставка, всички сигнали винаги се появяват в Control Hub. Виж Център за предупреждения в Control Hub за повече информация.

1

Влезте в Контролен център .

2

Отидете на Център за предупреждения .

3

Изберете Управлявайте тогава Всички правила .

4

От списъка с правила изберете някое от правилата за SSO , които искате да създадете:

  • Срок на валидност на сертификата за SSO IDP
  • Срок на валидност на сертификата за SSO SP
5

В секцията Канал за доставка поставете отметка в квадратчето за Имейл , Webex пространство , или и двете.

Ако изберете Имейл, въведете имейл адрес , който трябва да получи известието.


 

Ако изберете опцията за Webex пространство, вие автоматично се добавяте към пространство вътре в приложението Webex и ние доставяме известията там.

6

Запазете промените си.

Какво да направите след това

Изпращаме сигнали за изтичане на сертификата веднъж на всеки 15 дни, започвайки 60 дни преди изтичане. (Можете да очаквате сигнали на ден 60, 45, 30 и 15.) Сигналите спират, когато подновите сертификата.

Може да видите известие, че единичният URL за излизане не е конфигуриран:


 

Препоръчваме ви да конфигурирате вашия IdP да поддържа единичен изход (известен също като SLO). Webex поддържа както методите за пренасочване, така и методите за публикуване, налични в нашите метаданни, които се изтеглят от Control Hub. Не всички IdP поддържат SLO; моля, свържете се с вашия екип на IdP за съдействие. Понякога за големите доставчици на IdP като AzureAD, Ping Federate, ForgeRock и Oracle, които поддържат SLO, ние документираме как да конфигурирате интеграцията . Консултирайте се с вашия екип за самоличност и сигурност относно спецификите на вашия IDP и как да го конфигурирате правилно.

Ако URL адресът за еднократно излизане не е конфигуриран:

  • Съществуваща сесия на IdP остава валидна. Следващият път, когато потребителите влизам, може да не бъдат помолени да се удостоверят повторно от IdP.

  • Показваме предупредително съобщение при излизам, така че излизането от приложението Webex не става безпроблемно.

Можете да деактивирате еднократен вход (SSO) за вашата организация Webex , управлявана в Control Hub. Може да искате да деактивирате SSO , ако сменяте доставчици на идентичност (IdP).


 

Ако еднократен вход е активирано за вашата организация, но е неуспешно, можете да ангажирате вашия партньор на Cisco , който има достъп до вашата Webex организация, за да го деактивира вместо вас.

1

От изглед на клиента вhttps://admin.webex.com , отидете на Управление > Настройки на организацията , превъртете до Единичен вход и щракнете Управлявайте SSO и IdPs .

2

Отидете до Доставчик на идентичност раздел.

3

Щракнете върху Деактивиране на SSO .

Появява се изскачащ прозорец , който ви предупреждава за деактивиране на SSO:

Деактивиране на еднократната идентификация

Ако деактивирате SSO, паролите се управляват от облака вместо от вашата интегрирана конфигурация на IdP.

4

Ако разбирате ефекта от деактивирането на SSO и искате да продължите, щракнете Деактивирайте .

SSO е деактивиран и всички списъци с SAML сертификати се премахват.

Ако SSO е деактивиран, потребителите, които трябва да се удостоверят, ще видят поле за въвеждане на парола по време на процеса на влизане.

  • Потребителите, които нямат парола в приложението Webex , трябва или да нулират паролата си, или да им изпратите имейл, за да зададат парола.

  • Съществуващите удостоверени потребители с валиден токен OAuth ще продължат да имат достъп до приложението Webex .

  • Нови потребители, създадени, докато SSO е деактивиран, получават имейл с молба да създадат парола.

Какво да направите след това

Ако вие или клиентът преконфигурирате SSO за организацията на клиента, потребителските акаунти се връщат към използването на политиката за пароли, която е зададена от IdP, който е интегриран с организацията Webex .

Ако срещнете проблеми с вашето SSO влизане, можете да използвате Опция за самостоятелно възстановяване на SSO за да получите достъп до вашата организация Webex , управлявана в Control Hub. Опцията за самостоятелно възстановяване ви позволява да актуализирате или деактивирате SSO в Control Hub.