Управление на интеграцията с еднократна идентификация в контролния център

Ако използването на сертификата на вашата организация е зададено на Няма, но все още получавате сигнал, препоръчваме ви все още да продължите с надстройката. Вашето разполагане на SSO не използва сертификата днес, но може да се нуждаете от сертификата за бъдещи промени.

Сертификат за доставчик на уебекс услуги (SP)

От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че сертификатът за еднократна идентификация (SSO) на Webex ще изтече. Следвайте процеса в тази статия, за да извлечете метаданните на SSO облак сертификат от нас (SP) и да го добавите обратно към вашия IdP; в противен случай потребителите няма да могат да използват webex услуги.

Ако използвате сертификата SAML Cisco (SP) SSO във вашата уебекс организация, трябва да планирате да актуализирате облак сертификата по време на обикновен планиран прозорец за поддръжка възможно най-скоро.

Всички услуги, които са част от абонамента ви за уебекс организация, са засегнати, включително, но не само:

Webex App (нови входове за всички платформи: работен плот, мобилен и уеб)
Уебекс услуги в Контролния център ,включително Извикване
Сайтове на Webex Срещи, управлявани чрез контролния център
Cisco Jabber, ако е интегрирана със SSO

Преди да започнете

Моля, прочетете всички посоки преди началото. След като промените сертификата или преминете през съветника, за да актуализирате сертификата, новите потребители може да не могат да влизат успешно.

Ако вашият IdP не поддържа няколко сертификата (повечето Идентификатори на пазара не поддържат тази функция), препоръчваме да планирате това надстройване по време на прозорец за поддръжка, където потребителите на Webex App не са засегнати. Тези задачи за надграждане трябва да отнеме приблизително 30 минути в оперативно време и след събитие валидиране.

За да проверите дали sSO сертификатът SAML Cisco (SP) ще изтече:

Възможно е да сте получили имейл или Webex App съобщение от нас, но трябва да проверите в Control Hub, за да сте сигурни.
Влезте в https://admin.webex.com, и проверете вашия център за предупреждения. Възможно е да има известие за актуализиране на Сертификата за доставчик на услуги на SSO.
Влезте в , отидете на Настройки https://admin.webex.comза управление > организация > удостоверяване и отбележете състоянието на сертификата в таблицата Сертификат Cisco SAML (изтекъл или изтичащ скоро). Щракнете върху Подновяване на сертификата, за да продължите.

Можете да отидете директно в съветника sSO, за да актуализирате сертификата, също. Ако решите да излезете от съветника, преди да го завършите, можете да получите достъп до него отново по всяко време от Настройки за управление > организация > удостоверяване в https://admin.webex.com.

Изберете типа сертификат за подновяването:

Самоподписан от Cisco— Препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на пет години.

Подписан от орган за публичен сертификат— По-сигурен, но ще трябва често да актуализирате метаданните (освен ако доставчикът ви на IdP поддържа котви за доверие).

Тръстовите котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте вашата IdP документация.

Щракнете върху Изтегляне на файл с метаданни, за да изтеглите копие на актуализираните метаданни с новия сертификат от webex облака. Дръжте този екран отворен.

Навигирайте до вашия интерфейс за управление на IdP, за да качите новия файл с метаданни на Webex.

Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез конкретна поддръжка на доставчика в облака в зависимост от настройката ви на IdP и дали вие или отделен администратор на IdP носите отговорност за тази стъпка.
За справка вижте нашите ръководства за интегриране на SSO или се свържете с администратора си за IdP за поддръжка. Ако на Active Directory федерация услуги (AD FS), можете да видите как да актуализирате Webex метаданни в AD FS.

Върнете се в раздела, в който сте влезли в контролния център и щракнете върху Напред.

Щракнете върху Тест SSO Update, за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно от вашия IdP. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, щракнете върху Превключване към нови метаданни.

За да видите директно опита за влизане в SSO, можете също да щракнете върху Копиране на URL адрес в клипборда от този екран и да го поставите в частен прозорец на браузъра. Оттам можете да минете през влизане със SSO. Това помага да премахнете всяка информация, кеширан във вашия уеб браузър, която би могла да осигури фалшив положителен резултат при тестване на вашата Конфигурация на SSO.

Резултат: Свършено е с вас и сертификатът SAML Cisco (SP) SSO на вашата организация вече се подновява. Можете да проверите състоянието на сертификата по всяко време, като отворите таблицата за състояние на СЕРТИФИКАТ SAML под Настройки за управление > организация > удостоверяване .

Сертификат за доставчик на самоличност (IdP)

От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че IdP сертификатът ще изтече. Тъй като доставчиците на IdP имат собствена конкретна документация за подновяване на сертификата, покриваме необходимото в контролния център , заедно с общи стъпки за извличане на актуализирани IdP метаданни и качването му в Контролния център за подновяване на сертификата.

За да проверите дали IdP SAML сертификатът ще изтече:

Възможно е да сте получили имейл или Webex App съобщение от нас, но трябва да проверите в Control Hub, за да сте сигурни.
Влезте в https://admin.webex.com, и проверете вашия център за предупреждения. Възможно е да има известие за актуализиране на сертификата IdP SAML:
Влезте в , отидете на https://admin.webex.comНастройки за управление > организация > удостоверяване , и отбележете състоянието на сертификата (изтекъл или изтичащ скоро) в таблицата СЕРТИФИКАТ SAML. Щракнете върху Подновяване на сертификата, за да продължите.
Можете да отидете директно в съветника sSO, за да актуализирате сертификата, също. Ако решите да излезете от съветника, преди да го завършите, можете да получите достъп до него отново по всяко време от Настройки за управление > организация > удостоверяване в https://admin.webex.com.

Навигирайте до вашия интерфейс за управление на IdP, за да извлечете новия файл с метаданни.

Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез конкретна поддръжка на доставчика в облака в зависимост от настройката ви на IdP и дали вие или отделен администратор на IdP носите отговорност за тази стъпка.
За справка вижте нашите ръководства за интегриране на SSO или се свържете с администратора си за IdP за поддръжка.

Връщане към Настройки за управление > организация > удостоверяване в , след което изберете Действия > Импортиране на https://admin.webex.com метаданни .

Плъзнете и пуснете вашия IdP файл с метаданни в прозореца или щракнете върху Изберете файл с метаданни и го качете по този начин.

Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни.

Щракнете върху Тест SSO Update, за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно във вашата организация на контролния център. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, щракнете върху Превключване към нови метаданни.

Резултат: Свършено е с вас и IdP сертификатът на организацията ви вече се подновява. Можете да проверите състоянието на сертификата по всяко време, като отворите таблицата за състояние на СЕРТИФИКАТ SAML под Настройки за управление > организация > удостоверяване .

Можете да експортирате най-новите метаданни на Webex SP винаги, когато трябва да го добавите обратно към вашия IdP. Ще видите известие, когато импортираните метаданни на IdP SAML ще изтекат или са изтекли.

Тази стъпка е полезна в общи сценарии за управление на IdP SAML сертификат, като например IDP, които поддържат няколко сертификата, където износът не е бил направен по-рано, ако метаданните не са импортирани в IdP, защото администратор на IdP не е бил наличен, или ако вашият IdP поддържа възможността да актуализирате само сертификата. Тази опция може да помогне за свеждане до минимум на промяната само чрез актуализиране на сертификата във вашата Конфигурация на SSO и проверка след събитието.

1	От изгледа на клиента в https://admin.webex.com, отидете на Настройки за управление > организация ,превъртете до Удостоверяване , след което изберете Действия > Експортиране на метаданни. Метаданните на Webex App филенаме е idb-meta-<org-ID>-SP.xml.
2	Импортирайте метаданните във вашия IdP. Следвайте документацията за вашия IdP, за да импортирате метаданните на Webex SP. Можете да използвате нашите IdP интеграционни ръководства или да се консултирате с документацията за вашия конкретен IdP, ако не е в списъка.
3	Когато приключите, изпълнете теста SSO с помощта на стъпките в "Подновяване на Webex сертификат (SP)" в тази статия.

Когато вашата IdP среда се промени или ако вашият IdP сертификат ще изтече, можете да импортирате актуализираните метаданни в Webex по всяко време.

Преди да започнете

Съберете вашите IdP метаданни, обикновено като експортиран XML файл.

1	От изгледа на клиента в https://admin.webex.com, отидете на Настройки за управление > организация ,превъртете до Удостоверяване , след което изберете Действия > Импортиране на метаданни .
2	Плъзнете и пуснете вашия IdP файл с метаданни в прозореца или щракнете върху Изберете файл с метаданни и го качете по този начин.
3	Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни.

Ще получавате предупреждения в контролния център, преди сертификатите да са настроени да изтичат, но можете също така проактивно да настроите правила за предупреждение. Тези правила ви уведомят предварително, че вашите SP или IdP сертификати ще изтекат. Можем да ви изпратим тези чрез имейл, пространство в Webex App, или и двете.

Независимо от конфигурирания канал за доставка, всички предупреждения винаги се появяват в центъра за управление. Вижте Център за предупреждения в контролния център за повече информация.

От изгледа на клиента в https://admin.webex.com, отидете в Център за предупреждения.

Изберете Управление след това Всички правила.

От списъка Правила изберете някое от sSO правилата, които бихте искали да създадете:

Изтичане на срока на валидност на Сертификата за ИДП на SSO
Изтичане на срока на валидност на SSO SP сертификата

В секцията Канал за доставка поставете отметка в квадратчето за Имейл, Webex пространство или идвете.

Ако изберете Имейл, въведете имейл адреса, който трябва да получи известието.

Ако изберете опцията webex пространство, автоматично се добавяте към пространство вътре в Webex App и ние доставяме известията там.

Запазете промените си.

Какво да направите след това

Изпращаме сигнали за изтичане на сертификата веднъж на всеки 15 дни, като започнем 60 дни преди изтичането на срока на годност. (Можете да очаквате сигнали на ден 60, 45, 30 и 15.) Предупрежденията спират, когато подновявате сертификата.

Може да видите известие, че единният URL адрес за излизане не е конфигуриран:

Препоръчваме ви да конфигурирате вашия IdP да поддържа Single Log Out (известен също като SLO). Webex поддържа както методите за пренасочване, така и за публикуване, налични в нашите метаданни, които се изтеглят от Control Hub. Не всички ИДД поддържат SLO; моля, свържете се с вашия IdP екип за съдействие. В някои случаи, за основните доставчици на IdP като AzureAD, Ping Federate, ForgeRock и Oracle, които наистина поддържат SLO, ние документираме как да конфигурирате интеграцията. Моля, консултирайте се с вашия екип Identity & Security относно спецификата на вашия IDP и как да конфигурирате правилно.

Ако единичен url адрес за излизане не е конфигуриран:

Съществуваща IdP сесия остава валидна. Следващия път, когато потребителите влизат, може да не бъдат помолени да удостоверяват отново от IdP.
Показваме предупредително съобщение при излизане, така че излизането на Webex App не се случва безпроблемно.

Можете да забраните еднократна идентификация (SSO) за вашата уебекс организация, управлявана в контролния център. Може да искате да забраните SSO, които променяте доставчиците на самоличност (IDPs).

Ако еднократната идентификация е била активирана за вашата организация, но е неуспешна, можете да ангажирате партньора си в Cisco, който има достъп до вашата Уебекс организация, за да ви я забрани.

1	От изгледа на клиента в https://admin.webex.com, отидете на Настройки за управление > организация и след това превъртете до Удостоверяване .
2	За да изключите SSO, превключвайте настройката за еднократна идентификация. Появява се изскачащ прозорец, който ви предупреждава за деактивирането на SSO: Ако забраните SSO, паролите се управляват от облака вместо интегрираната ви конфигурация на IdP.
3	Ако разбирате въздействието на деактивирането на SSO и искате да продължите, щракнете върху Дезактивиране. В контролния центърще видите настройката на SSO, превключвана и всички обяви за SAML сертификати се премахват. Ако SSO е забранен, потребителите, които трябва да удостоверят, ще видят поле за въвеждане на парола по време на процеса на влизане. Потребителите, които нямат парола в Webex App, трябва или да нулират паролата си, или трябва да изпратят имейл за тях, за да зададат парола. Съществуващите удостоверени потребители с валиден OAuth Token ще продължат да имат достъп до Webex App. Новите потребители, създадени, докато SSO е деактивиран, получават имейл с молба да създадат парола.

Какво да направите след това

Ако вие или клиентът преконфигурирате SSO за организацията на клиентите, потребителските акаунти ще се върнат към използването на правилата за парола, която е зададена от IdP, който е интегриран с уебекс организацията.