SSO в Control Hub

Ако искате да настроите SSO за множество доставчици на самоличност във вашата организация, вижте SSO с множество IdP в Webex.

Ако използването на сертификата на вашата организация е зададено на Няма, но все още получавате сигнал, препоръчваме ви все още да продължите с надстройката. Вашето разполагане на SSO не използва сертификата днес, но може да се нуждаете от сертификата за бъдещи промени.

Сертификат за доставчик на уебекс услуги (SP)

От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че сертификатът за еднократна идентификация (SSO) на Webex ще изтече. Следвайте процеса в тази статия, за да извлечете метаданните на SSO облак сертификат от нас (SP) и да го добавите обратно към вашия IdP; в противен случай потребителите няма да могат да използват webex услуги.

Ако използвате SSO сертификата на SAML Cisco (SP) във вашата организация в Webex, трябва да планирате да актуализирате сертификата в облака по време на редовен прозорец за планирана поддръжка възможно най-скоро.

Всички услуги, които са част от абонамента ви за уебекс организация, са засегнати, включително, но не само:

  • Webex App (нови входове за всички платформи: работен плот, мобилен и уеб)

  • Уебекс услуги в Контролния център ,включително Извикване

  • Сайтове на Webex Срещи, управлявани чрез контролния център

  • Cisco Jabber, ако е интегрирана със SSO

Преди да започнете

Моля, прочетете всички посоки преди началото. След като промените сертификата или преминете през съветника, за да актуализирате сертификата, новите потребители може да не могат да влизат успешно.

Ако вашият IdP не поддържа множество сертификати (повечето IdP на пазара не поддържат тази функция), препоръчваме да планирате това надстройване по време на прозорец за поддръжка, където потребителите на приложението Webex не са засегнати. Тези задачи за надстройване трябва да отнемат приблизително 30 минути в работно време и валидиране след събитието.

1

За да проверите дали sSO сертификатът SAML Cisco (SP) ще изтече:

  • Възможно е да сте получили имейл или Webex App съобщение от нас, но трябва да проверите в Control Hub, за да сте сигурни.

  • Влезте в https://admin.webex.com, и проверете вашия център за предупреждения. Възможно е да има известие за актуализиране на Сертификата за доставчик на услуги на SSO.

  • Влезте в https://admin.webex.com, отидете на Управление > Настройки на организацията > Еднократна идентификация и щракнете върху Управление на SSO и IdP.
  • Отидете в раздела Доставчик на самоличност и запишете състоянието на сертификата на Cisco SP и датата на изтичане.

Можете да отидете директно в съветника sSO, за да актуализирате сертификата, също. Ако решите да излезете от съветника, преди да го завършите, можете да получите отново достъп до него по всяко време от Управление > Настройки на организацията > Еднократна идентификация в https://admin.webex.com.

2

Отидете на IdP и щракнете върху .

3

Щракнете върху Преглед на сертификати и дати на изтичане.

4

Щракнете върху Подновяване на сертификата.

5

Изберете типа IdP, който вашата организация използва.

  • IdP, който поддържа множество сертификати
  • IdP, който поддържа един сертификат

Ако вашият IdP поддържа един сертификат, препоръчваме да изчакате да изпълните тези стъпки по време на планиран престой. Докато сертификатът на Webex се актуализира, за кратко новите потребителски влизания няма да работят; съществуващите влизания се запазват.

6

Изберете типа сертификат за подновяването:

  • Самоподписан от Cisco – препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на пет години.
  • Подписан от публичен сертифициращ орган – По-сигурен, но ще трябва често да актуализирате метаданните (освен ако вашият доставчик на IdP не поддържа надеждни котви).

    Тръстовите котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте вашата IdP документация.

    Преди да преминете към следващите стъпки, се уверете, че сте готови да подновите сертификата си и работите в рамките на прозореца за промяна на организацията си. Избирането на Самоподписан Cisco или Подписан от публичен сертифициращ орган незабавно създава нов сертификат. След като сертификатът се промени за един IdP, SSO спира, докато сертификатът или метаданните не бъдат качени на IdP. Поради това е важно да се завърши процесът на подновяване.

7

Щракнете върху Изтегляне на файл с метаданни , за да изтеглите копие на актуализираните метаданни с новия сертификат от облака на Webex. Дръжте този екран отворен.

8

Навигирайте до вашия интерфейс за управление на IdP, за да качите новия файл с метаданни на Webex.

  • Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез конкретна поддръжка на доставчика в облака в зависимост от настройката ви на IdP и дали вие или отделен администратор на IdP носите отговорност за тази стъпка.
  • За справка вижте нашите ръководства за интегриране на SSO или се свържете с администратора си за IdP за поддръжка. Ако на Active Directory федерация услуги (AD FS), можете да видите как да актуализирате Webex метаданни в AD FS.
9

Върнете се в раздела, където сте влезли в Control Hub и щракнете върху Напред.

10

Актуализирайте IdP с новия сертификат и метаданни на SP и щракнете върху Напред.

  • Актуализирахте всички IdP
  • Ако се нуждаете от още време за актуализиране, запишете подновения сертификат като втора опция
11

Щракнете върху Завършване на подновяването.

Сертификат за доставчик на самоличност (IdP)

От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че IdP сертификатът ще изтече. Тъй като доставчиците на IdP имат собствена конкретна документация за подновяване на сертификата, покриваме необходимото в контролния център , заедно с общи стъпки за извличане на актуализирани IdP метаданни и качването му в Контролния център за подновяване на сертификата.

1

За да проверите дали IdP SAML сертификатът ще изтече:

  • Възможно е да сте получили имейл или Webex App съобщение от нас, но трябва да проверите в Control Hub, за да сте сигурни.
  • Влезте в https://admin.webex.com, и проверете вашия център за предупреждения. Възможно е да има известие за актуализиране на сертификата IdP SAML:

  • Влезте в https://admin.webex.com, отидете на Управление > Настройки на организацията > Еднократна идентификация и щракнете върху Управление на SSO и IdP.
  • Отидете в раздела Доставчик на самоличност и запишете състоянието на сертификата на IdP (с изтекъл срок или скоро изтича) и датата на изтичане.

  • Можете да отидете директно в съветника sSO, за да актуализирате сертификата, също. Ако решите да излезете от съветника, преди да го завършите, можете да получите отново достъп до него по всяко време от Управление > Настройки на организацията > Еднократна идентификация в https://admin.webex.com.

2

Навигирайте до вашия интерфейс за управление на IdP, за да извлечете новия файл с метаданни.

  • Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез конкретна поддръжка на доставчика в облака в зависимост от настройката ви на IdP и дали вие или отделен администратор на IdP носите отговорност за тази стъпка.
  • За справка вижте нашите ръководства за интегриране на SSO или се свържете с администратора си за IdP за поддръжка.
3

Върнете се в раздела Доставчик на самоличност .

4

Отидете в IdP, щракнете и изберете качване Качване на метаданни за Idp.

5

Плъзнете и пуснете своя файл с метаданни на IdP в прозореца или щракнете върху Избор на файл и го качете по този начин.

6

Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни.

7

Щракнете върху Тестване на актуализацията на SSO , за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно във вашата организация Control Hub. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, изберете Успешен тест: Активирайте SSO и IdP и щракнете върху Запиши.

За да видите директно средата за влизане с SSO, препоръчваме да щракнете върху Копиране на URL адреса в клипборда от този екран и да го поставите в частен прозорец на браузъра. Оттам можете да преминете през влизането с SSO. Това помага да се премахне всяка информация, кеширана във вашия интернет браузър, която може да доведе до фалшив положителен резултат при тестване на вашата конфигурация за SSO.

Резултат: Свършено е с вас и IdP сертификатът на организацията ви вече се подновява. Можете да проверите състоянието на сертификата по всяко време под раздела Доставчик на самоличност .

Можете да експортирате най-новите метаданни на Webex SP винаги, когато трябва да го добавите обратно към вашия IdP. Ще видите известие, когато импортираните метаданни на IdP SAML ще изтекат или са изтекли.

Тази стъпка е полезна в общи сценарии за управление на IdP SAML сертификат, като например IDP, които поддържат няколко сертификата, където износът не е бил направен по-рано, ако метаданните не са импортирани в IdP, защото администратор на IdP не е бил наличен, или ако вашият IdP поддържа възможността да актуализирате само сертификата. Тази опция може да помогне за свеждане до минимум на промяната само чрез актуализиране на сертификата във вашата Конфигурация на SSO и проверка след събитието.

1

От изгледа на клиента в https://admin.webex.com отидете на Управление > Настройки на организацията, превъртете до Еднократна идентификация и щракнете върху Управление на SSO и IdP.

2

Отидете в раздела Доставчик на самоличност .

3

Отидете в IdP, щракнете и изберете Изтегляне Изтегляне на метаданни за SP.

Името на файла с метаданни на приложението Webex е idb-meta-<org-ID>-SP.xml.

4

Импортирайте метаданните във вашия IdP.

Следвайте документацията за вашия IdP, за да импортирате метаданните на Webex SP. Можете да използвате нашите IdP интеграционни ръководства или да се консултирате с документацията за вашия конкретен IdP, ако не е в списъка.

5

Когато приключите, изпълнете теста за SSO, като използвате стъпките в Подновяване на сертификата за Webex (SP) в тази статия.

Когато вашата IdP среда се промени или ако вашият IdP сертификат ще изтече, можете да импортирате актуализираните метаданни в Webex по всяко време.

Преди да започнете

Съберете вашите IdP метаданни, обикновено като експортиран XML файл.

1

От изгледа на клиента в https://admin.webex.com отидете на Управление > Настройки на организацията, превъртете до Еднократна идентификация и щракнете върху Управление на SSO и IdP.

2

Отидете в раздела Доставчик на самоличност .

3

Отидете в IdP, щракнете и изберете качване Качване на метаданни за Idp.

4

Плъзнете и пуснете вашия IdP файл с метаданни в прозореца или щракнете върху Изберете файл с метаданни и го качете по този начин.

5

Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни.

6

Щракнете върху Тестване на настройката на еднократната идентификация и когато се отвори нов раздел на браузъра, се удостоверете с IdP, като влезете.

Ще получавате предупреждения в контролния център, преди сертификатите да са настроени да изтичат, но можете също така проактивно да настроите правила за предупреждение. Тези правила ви уведомят предварително, че вашите SP или IdP сертификати ще изтекат. Можем да ви изпратим тези чрез имейл, пространство в Webex App, или и двете.

Независимо от конфигурирания канал за доставка, всички предупреждения винаги се появяват в центъра за управление. Вижте Център за предупреждения в контролния център за повече информация.

1

Влезте в контролния хъб.

2

Отидете в центъра за предупреждения.

3

Изберете Управление след това Всички правила.

4

От списъка Правила изберете някое от sSO правилата, които бихте искали да създадете:

  • Изтичане на срока на валидност на Сертификата за ИДП на SSO
  • Изтичане на срока на валидност на SSO SP сертификата
5

В секцията Канал за доставка поставете отметка в квадратчето за Имейл, Webex пространство или идвете.

Ако изберете Имейл, въведете имейл адреса, който трябва да получи известието.

Ако изберете опцията webex пространство, автоматично се добавяте към пространство вътре в Webex App и ние доставяме известията там.

6

Запазете промените си.

Какво да направите след това

Изпращаме сигнали за изтичане на сертификата веднъж на всеки 15 дни, като започнем 60 дни преди изтичането на срока на годност. (Можете да очаквате предупреждения на ден 60, 45, 30 и 15.) Предупрежденията спират, когато подновявате сертификата.

Може да видите бележка, че URL адресът за еднократно излизане не е конфигуриран:

Препоръчваме ви да конфигурирате вашия IdP да поддържа Single Log Out (известен също като SLO). Webex поддържа както методите за пренасочване, така и за публикуване, налични в нашите метаданни, които се изтеглят от Control Hub. Не всички ИДД поддържат SLO; моля, свържете се с вашия IdP екип за съдействие. Понякога за основните доставчици на IdP като Azure AD, Ping Federate, ForgeRock и Oracle, които поддържат SLO, документираме как да конфигурираме интеграцията. Консултирайте се с вашия екип за самоличност и защита относно спецификата на вашия IDP и как да го конфигурирате правилно.

Ако URL адресът за еднократно излизане не е конфигуриран:

  • Съществуваща IdP сесия остава валидна. Следващия път, когато потребителите влизат, може да не бъдат помолени да удостоверяват отново от IdP.

  • Показваме предупредително съобщение при излизане, така че излизането на Webex App не се случва безпроблемно.

Можете да забраните еднократна идентификация (SSO) за вашата уебекс организация, управлявана в контролния център. Може да искате да деактивирате еднократната идентификация, ако променяте доставчиците на самоличност (IdP).

Ако еднократната идентификация е била активирана за вашата организация, но е неуспешна, можете да ангажирате партньора си в Cisco, който има достъп до вашата Уебекс организация, за да ви я забрани.

1

От изгледа на клиента в https://admin.webex.com отидете на Управление > Настройки на организацията, превъртете до Еднократна идентификация и щракнете върху Управление на SSO и IdP.

2

Отидете в раздела Доставчик на самоличност .

3

Щракнете върху Деактивиране на еднократната идентификация.

Появява се изскачащ прозорец, който ви предупреждава за деактивирането на SSO:

Деактивиране на еднократната идентификация

Ако забраните SSO, паролите се управляват от облака вместо интегрираната ви конфигурация на IdP.

4

Ако разбирате въздействието на деактивирането на SSO и искате да продължите, щракнете върху Дезактивиране.

SSO е деактивирана и всички списъци със SAML сертификати са премахнати.

Ако SSO е деактивирана, потребителите, които трябва да се удостоверят, ще виждат поле за въвеждане на парола по време на процеса на влизане.

  • Потребителите, които нямат парола в приложението Webex, трябва или да нулирате паролата си, или да изпратите имейл, за да им зададете парола.

  • Съществуващите удостоверени потребители с валиден OAuth Token ще продължат да имат достъп до Webex App.

  • Новите потребители, създадени, докато SSO е деактивиран, получават имейл с молба да създадат парола.

Какво да направите след това

Ако вие или клиентът преконфигурирате SSO за клиентската организация, потребителските акаунти се връщат към използването на правилата за пароли, които се задават от IdP, който е интегриран с организацията Webex.

Ако срещнете проблеми с влизането си в SSO, можете да използвате опцията за самовъзстановяване на SSO , за да получите достъп до вашата организация на Webex, управлявана в Control Hub. Опцията за самостоятелно възстановяване ви позволява да актуализирате или деактивирате SSO в Control Hub.