Независимо дали сте получили известие за изтичащ сертификат или искате да проверите на съществуващата си Конфигурация на SSO, можете да използвате функциите за управление на еднократна идентификация (SSO) в Контролния център за управление на сертификати и общи дейности по поддръжка на SSO. Всяка функция за управление на SSO е покрита в отделните раздели в тази статия.
Ако използването на сертификата на вашата организация е зададено на Няма, но все още получавате сигнал, препоръчваме ви все още да продължите с надстройката. Вашето разполагане на SSO не използва сертификата днес, но може да се нуждаете от сертификата за бъдещи промени. |
От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че сертификатът за еднократна идентификация (SSO) на Webex ще изтече. Следвайте процеса в тази статия, за да извлечете метаданните на SSO облак сертификат от нас (SP) и да го добавите обратно към вашия IdP; в противен случай потребителите няма да могат да използват webex услуги. |
Ако използвате сертификата SAML Cisco (SP) SSO във вашата уебекс организация, трябва да планирате да актуализирате облак сертификата по време на обикновен планиран прозорец за поддръжка възможно най-скоро.
Всички услуги, които са част от абонамента ви за уебекс организация, са засегнати, включително, но не само:
Webex App (нови входове за всички платформи: работен плот, мобилен и уеб)
Уебекс услуги в Контролния център ,включително Извикване
Сайтове на Webex Срещи, управлявани чрез контролния център
Cisco Jabber, ако е интегрирана със SSO
Преди да започнете
Моля, прочетете всички посоки преди началото. След като промените сертификата или преминете през съветника, за да актуализирате сертификата, новите потребители може да не могат да влизат успешно. |
Ако вашият IdP не поддържа няколко сертификата (повечето Идентификатори на пазара не поддържат тази функция), препоръчваме да планирате това надстройване по време на прозорец за поддръжка, където потребителите на Webex App не са засегнати. Тези задачи за надграждане трябва да отнеме приблизително 30 минути в оперативно време и след събитие валидиране.
1 | За да проверите дали sSO сертификатът SAML Cisco (SP) ще изтече:
Можете да отидете директно в съветника sSO, за да актуализирате сертификата, също. Ако решите да излезете от съветника, преди да го завършите, можете да получите достъп до него отново по всяко време от https://admin.webex.com. |
||
2 | Изберете типа сертификат за подновяването:
|
||
3 | Щракнете върху Изтегляне на файл с метаданни, за да изтеглите копие на актуализираните метаданни с новия сертификат от webex облака. Дръжте този екран отворен. |
||
4 | Навигирайте до вашия интерфейс за управление на IdP, за да качите новия файл с метаданни на Webex.
|
||
5 | Върнете се в раздела, в който сте влезли в контролния център и щракнете върху Напред. |
||
6 | Щракнете върху Тест SSO Update, за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно от вашия IdP. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, щракнете върху Превключване към нови метаданни.
Резултат: Свършено е с вас и сертификатът SAML Cisco (SP) SSO на вашата организация вече се подновява. Можете да проверите състоянието на сертификата по всяко време, като отворите таблицата за състояние на СЕРТИФИКАТ SAML под Настройки . |
От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че IdP сертификатът ще изтече. Тъй като доставчиците на IdP имат собствена конкретна документация за подновяване на сертификата, покриваме необходимото в контролния център , заедно с общи стъпки за извличане на актуализирани IdP метаданни и качването му в Контролния център за подновяване на сертификата. |
1 | За да проверите дали IdP SAML сертификатът ще изтече:
|
||
2 | Навигирайте до вашия интерфейс за управление на IdP, за да извлечете новия файл с метаданни.
|
||
3 | Връщане към https://admin.webex.com . |
||
4 | Плъзнете и пуснете вашия IdP файл с метаданни в прозореца или щракнете върху Изберете файл с метаданни и го качете по този начин. |
||
5 | Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни. |
||
6 | Щракнете върху Тест SSO Update, за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно във вашата организация на контролния център. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, щракнете върху Превключване към нови метаданни.
Резултат: Свършено е с вас и IdP сертификатът на организацията ви вече се подновява. Можете да проверите състоянието на сертификата по всяко време, като отворите таблицата за състояние на СЕРТИФИКАТ SAML под Настройки . |
Можете да експортирате най-новите метаданни на Webex SP винаги, когато трябва да го добавите обратно към вашия IdP. Ще видите известие, когато импортираните метаданни на IdP SAML ще изтекат или са изтекли.
Тази стъпка е полезна в общи сценарии за управление на IdP SAML сертификат, като например IDP, които поддържат няколко сертификата, където износът не е бил направен по-рано, ако метаданните не са импортирани в IdP, защото администратор на IdP не е бил наличен, или ако вашият IdP поддържа възможността да актуализирате само сертификата. Тази опция може да помогне за свеждане до минимум на промяната само чрез актуализиране на сертификата във вашата Конфигурация на SSO и проверка след събитието.
1 | От изгледа на клиента в https://admin.webex.com, отидете на превъртете до Удостоверяване , след което изберете Действия > Експортиране на метаданни . Метаданните на Webex App филенаме е idb-meta-<org-ID>-SP.xml. |
2 | Импортирайте метаданните във вашия IdP. Следвайте документацията за вашия IdP, за да импортирате метаданните на Webex SP. Можете да използвате нашите IdP интеграционни ръководства или да се консултирате с документацията за вашия конкретен IdP, ако не е в списъка. |
3 | Когато приключите, изпълнете теста SSO с помощта на стъпките в "Подновяване на Webex сертификат (SP)" в тази статия. |
Когато вашата IdP среда се промени или ако вашият IdP сертификат ще изтече, можете да импортирате актуализираните метаданни в Webex по всяко време.
Преди да започнете
Съберете вашите IdP метаданни, обикновено като експортиран XML файл.
1 | От изгледа на клиента в https://admin.webex.com, отидете на превъртете до Удостоверяване , след което изберете Действия > Импортиране на метаданни . |
2 | Плъзнете и пуснете вашия IdP файл с метаданни в прозореца или щракнете върху Изберете файл с метаданни и го качете по този начин. |
3 | Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни. |
Ще получавате предупреждения в контролния център, преди сертификатите да са настроени да изтичат, но можете също така проактивно да настроите правила за предупреждение. Тези правила ви уведомят предварително, че вашите SP или IdP сертификати ще изтекат. Можем да ви изпратим тези чрез имейл, пространство в Webex App, или и двете.
Независимо от конфигурирания канал за доставка, всички предупреждения винаги се появяват в центъра за управление. Вижте Център за предупреждения в контролния център за повече информация. |
1 | От изгледа на клиента в https://admin.webex.com, отидете в Център за предупреждения. |
||
2 | Изберете Управление след това Всички правила. |
||
3 | От списъка Правила изберете някое от sSO правилата, които бихте искали да създадете:
|
||
4 | В секцията Канал за доставка поставете отметка в квадратчето за Имейл, Webex пространство или идвете. Ако изберете Имейл, въведете имейл адреса, който трябва да получи известието.
|
||
5 | Запазете промените си. |
Какво да направите след това
Изпращаме сигнали за изтичане на сертификата веднъж на всеки 15 дни, като започнем 60 дни преди изтичането на срока на годност. (Можете да очаквате сигнали на ден 60, 45, 30 и 15.) Предупрежденията спират, когато подновявате сертификата.
Може да видите известие, че единният URL адрес за излизане не е конфигуриран:
Препоръчваме ви да конфигурирате вашия IdP да поддържа Single Log Out (известен също като SLO). Webex поддържа както методите за пренасочване, така и за публикуване, налични в нашите метаданни, които се изтеглят от Control Hub. Не всички ИДД поддържат SLO; моля, свържете се с вашия IdP екип за съдействие. В някои случаи, за основните доставчици на IdP като AzureAD, Ping Federate, ForgeRock и Oracle, които наистина поддържат SLO, ние документираме как да конфигурирате интеграцията. Моля, консултирайте се с вашия екип Identity & Security относно спецификата на вашия IDP и как да конфигурирате правилно. |
Ако единичен url адрес за излизане не е конфигуриран:
Съществуваща IdP сесия остава валидна. Следващия път, когато потребителите влизат, може да не бъдат помолени да удостоверяват отново от IdP.
Показваме предупредително съобщение при излизане, така че излизането на Webex App не се случва безпроблемно.
Можете да забраните еднократна идентификация (SSO) за вашата уебекс организация, управлявана в контролния център. Може да искате да забраните SSO, които променяте доставчиците на самоличност (IDPs).
Ако еднократната идентификация е била активирана за вашата организация, но е неуспешна, можете да ангажирате партньора си в Cisco, който има достъп до вашата Уебекс организация, за да ви я забрани. |
1 | От изгледа на клиента в https://admin.webex.com, отидете на превъртете до Удостоверяване . |
2 | За да изключите SSO, превключвайте настройката за еднократна идентификация. Появява се изскачащ прозорец, който ви предупреждава за деактивирането на SSO: Ако забраните SSO, паролите се управляват от облака вместо интегрираната ви конфигурация на IdP. |
3 | Ако разбирате въздействието на деактивирането на SSO и искате да продължите, щракнете върху Дезактивиране. В контролния центърще видите настройката на SSO, превключвана и всички обяви за SAML сертификати се премахват. Ако SSO е забранен, потребителите, които трябва да удостоверят, ще видят поле за въвеждане на парола по време на процеса на влизане.
|
Какво да направите след това
Ако вие или клиентът преконфигурирате SSO за организацията на клиентите, потребителските акаунти ще се върнат към използването на правилата за парола, която е зададена от IdP, който е интегриран с уебекс организацията.