Ако искате да настроите SSO за множество доставчици на самоличност във вашата организация, вижте SSO с множество IdPs в Webex.

Ако използването на сертификата на вашата организация е зададено на Няма, но все още получавате сигнал, препоръчваме ви все още да продължите с надстройката. Вашето разполагане на SSO не използва сертификата днес, но може да се нуждаете от сертификата за бъдещи промени.

Сертификат за доставчик на уебекс услуги (SP)

От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че сертификатът за еднократна идентификация (SSO) на Webex ще изтече. Следвайте процеса в тази статия, за да извлечете метаданните на SSO облак сертификат от нас (SP) и да го добавите обратно към вашия IdP; в противен случай потребителите няма да могат да използват webex услуги.

Ако използвате SAML Cisco (SP) SSO сертификат във вашата Webex организация, трябва да планирате да актуализирате облачния сертификат възможно най-скоро по време на редовен период на планирана поддръжка.

Всички услуги, които са част от абонамента ви за уебекс организация, са засегнати, включително, но не само:

  • Webex App (нови входове за всички платформи: работен плот, мобилен и уеб)

  • Уебекс услуги в Контролния център ,включително Извикване

  • Сайтове на Webex Срещи, управлявани чрез контролния център

  • Cisco Jabber, ако е интегрирана със SSO

Преди да започнете

Моля, прочетете всички посоки преди началото. След като промените сертификата или преминете през съветника, за да актуализирате сертификата, новите потребители може да не могат да влизат успешно.

Ако вашият IdP не поддържа множество сертификати (повечето IdP на пазара не поддържат тази функция), препоръчваме ви да планирате това надграждане по време на период на поддръжка, в който потребителите на Webex App не са засегнати. Тези задачи за надграждане би трябвало да отнемат приблизително 30 минути от оперативно време и валидиране след събитието.

1

За да проверите дали sSO сертификатът SAML Cisco (SP) ще изтече:

  • Възможно е да сте получили имейл или Webex App съобщение от нас, но трябва да проверите в Control Hub, за да сте сигурни.

  • Влезте в Control Hubи проверете вашия център за предупреждения. Възможно е да има известие за актуализиране на Сертификата за доставчик на услуги на SSO.

  • Отидете на Управление > Сигурност > Удостоверяване.
  • Отидете в раздела Доставчик на самоличност и обърнете внимание на състоянието и датата на изтичане на сертификата на Cisco SP.

Можете да отидете директно в съветника sSO, за да актуализирате сертификата, също. Ако решите да излезете от помощника, преди да го завършите, можете да го достъпите отново по всяко време от Управление > Сигурност > Удостоверяване в Център за управление.

2

Отидете до IdP и щракнете върху .

3

Кликнете върху Преглед на сертификатите и датата на валидност.

4

Кликнете върху Подновяване на сертификата.

5

Изберете типа IdP, който вашата организация използва.

  • IdP, който поддържа множество сертификати
  • IdP, който поддържа един сертификат

Ако вашият IdP поддържа един сертификат, препоръчваме да изчакате да изпълните тези стъпки по време на планиран престой. Докато сертификатът на Webex се актуализира, влизанията на нови потребители за кратко няма да работят; съществуващите влизания се запазват.

6

Изберете типа сертификат за подновяването:

  • Самоподписано от Cisco— Препоръчваме този избор. Нека подпишем сертификата, така че трябва да го подновявате само веднъж на пет години.
  • Подписано от публичен сертифициращ орган— По-сигурно, но ще трябва често да актуализирате метаданните (освен ако вашият доставчик на IdP не поддържа доверени котви).

    Тръстовите котви са публични ключове, които действат като орган за проверка на сертификата на цифров подпис. За повече информация вижте вашата IdP документация.

    Преди да преминете към следващите стъпки, уверете се, че сте готови да подновите сертификата си и работите в рамките на периода за промени на вашата организация. Избирането на Самоподписан Cisco или Подписан от публичен сертифициращ орган незабавно създава нов сертификат. След като сертификатът се промени за един IdP, SSO спира, докато сертификатът или метаданните не бъдат качени на IdP. Ето защо е важно да се завърши процесът на подновяване.

7

Щракнете върху Изтегляне на файл с метаданни, за да изтеглите копие на актуализираните метаданни с новия сертификат от облака Webex. Дръжте този екран отворен.

8

Навигирайте до вашия интерфейс за управление на IdP, за да качите новия файл с метаданни на Webex.

  • Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез конкретна поддръжка на доставчика в облака в зависимост от настройката ви на IdP и дали вие или отделен администратор на IdP носите отговорност за тази стъпка.
  • За справка вижте нашите ръководства за интегриране на SSO или се свържете с администратора си за IdP за поддръжка. Ако на Active Directory федерация услуги (AD FS), можете да видите как да актуализирате Webex метаданни в AD FS.
9

Върнете се в раздела, откъдето сте влезли в Control Hub, и щракнете върху Напред.

10

Актуализирайте IdP с новия SP сертификат и метаданни и щракнете върху Напред.

  • Актуализирахте всички IdP
  • Ако се нуждаете от още време за актуализиране, запишете подновения сертификат като втора опция
11

Кликнете върху „Завършване на подновяването“.

Сертификат за доставчик на самоличност (IdP)

От време на време може да получите известие по имейл или да видите предупреждение в контролния център, че IdP сертификатът ще изтече. Тъй като доставчиците на IdP имат собствена конкретна документация за подновяване на сертификата, покриваме необходимото в контролния център , заедно с общи стъпки за извличане на актуализирани IdP метаданни и качването му в Контролния център за подновяване на сертификата.

1

За да проверите дали IdP SAML сертификатът ще изтече:

  • Възможно е да сте получили имейл или Webex App съобщение от нас, но трябва да проверите в Control Hub, за да сте сигурни.
  • Влезте в Control Hubи проверете вашия център за предупреждения. Възможно е да има известие за актуализиране на сертификата IdP SAML:

  • Отидете на Управление > Сигурност > Удостоверяване.
  • Отидете в раздела Доставчик на самоличност и обърнете внимание на състоянието на сертификата на IdP (изтекъл или изтича скоро) и датата на изтичане.

  • Можете да отидете директно в съветника sSO, за да актуализирате сертификата, също. Ако решите да излезете от помощника, преди да го завършите, можете да го достъпите отново по всяко време от Управление > Сигурност > Удостоверяване в Control Hub.

2

Навигирайте до вашия интерфейс за управление на IdP, за да извлечете новия файл с метаданни.

  • Тази стъпка може да се извърши чрез раздел на браузъра, протокол за отдалечен работен плот (RDP) или чрез конкретна поддръжка на доставчика в облака в зависимост от настройката ви на IdP и дали вие или отделен администратор на IdP носите отговорност за тази стъпка.
  • За справка вижте нашите ръководства за интегриране на SSO или се свържете с администратора си за IdP за поддръжка.
3

Върнете се към раздела Доставчик на самоличност.

4

Отидете на IdP, щракнете върху качване и изберете Качване на метаданни на Idp.

5

Плъзнете и пуснете файла с метаданни на IdP в прозореца или щракнете върху Изберете файл и го качете по този начин.

6

Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни.

7

Щракнете върху Тест на актуализацията на SSO, за да потвърдите, че новият файл с метаданни е качен и интерпретиран правилно във вашата организация в Control Hub. Потвърдете очакваните резултати в изскачащия прозорец и ако тестът е бил успешен, изберете Успешен тест: Активирайте SSO и IdP и щракнете върху Запазване.

За да видите директно процеса на влизане чрез SSO, препоръчваме ви да кликнете върху Копиране на URL адрес в клипборда от този екран и да го поставите в частен прозорец на браузъра. Оттам можете да преминете през влизането с SSO. Това помага да се премахне всяка информация, кеширана във вашия интернет браузър, която може да доведе до фалшив положителен резултат при тестване на вашата конфигурация за SSO.

Резултат: Свършено е с вас и IdP сертификатът на организацията ви вече се подновява. Можете да проверите състоянието на сертификата по всяко време в раздела Доставчик на самоличност.

Можете да експортирате най-новите метаданни на Webex SP винаги, когато трябва да го добавите обратно към вашия IdP. Ще видите известие, когато импортираните метаданни на IdP SAML ще изтекат или са изтекли.

Тази стъпка е полезна в общи сценарии за управление на IdP SAML сертификат, като например IDP, които поддържат няколко сертификата, където износът не е бил направен по-рано, ако метаданните не са импортирани в IdP, защото администратор на IdP не е бил наличен, или ако вашият IdP поддържа възможността да актуализирате само сертификата. Тази опция може да помогне за свеждане до минимум на промяната само чрез актуализиране на сертификата във вашата Конфигурация на SSO и проверка след събитието.

1

Влезте в контролния хъб.

2

Отидете на Управление > Сигурност > Удостоверяване.

3

Отидете на раздела Доставчик на самоличност.

4

Отидете на IdP, щракнете върху Изтегляне и изберете Изтегляне на SP метаданни.

Името на файла с метаданни на приложението Webex е idb-meta-<org-ID>-SP.xml.

5

Импортирайте метаданните във вашия IdP.

Следвайте документацията за вашия IdP, за да импортирате метаданните на Webex SP. Можете да използвате нашите IdP интеграционни ръководства или да се консултирате с документацията за вашия конкретен IdP, ако не е в списъка.

6

Когато приключите, изпълнете SSO теста, като използвате стъпките в Подновяване на Webex сертификат (SP) в тази статия.

Когато вашата IdP среда се промени или ако вашият IdP сертификат ще изтече, можете да импортирате актуализираните метаданни в Webex по всяко време.

Преди да започнете

Съберете вашите IdP метаданни, обикновено като експортиран XML файл.

1

Влезте в контролния хъб.

2

Отидете на Управление > Сигурност > Удостоверяване.

3

Отидете на раздела Доставчик на самоличност.

4

Отидете на IdP, щракнете върху качване и изберете Качване на метаданни на Idp.

5

Плъзнете и пуснете вашия IdP файл с метаданни в прозореца или щракнете върху Изберете файл с метаданни и го качете по този начин.

6

Изберете По-малко защитени (самоподписани) или По-сигурни (подписани от публичен CA), в зависимост от начина на подписване на вашите IdP метаданни.

7

Щракнете върху Тест на настройката на SSOи когато се отвори нов раздел в браузъра, удостоверете се с IdP, като влезете.

Ще получавате предупреждения в контролния център, преди сертификатите да са настроени да изтичат, но можете също така проактивно да настроите правила за предупреждение. Тези правила ви уведомят предварително, че вашите SP или IdP сертификати ще изтекат. Можем да ви изпратим тези чрез имейл, пространство в Webex App, или и двете.

Независимо от конфигурирания канал за доставка, всички предупреждения винаги се появяват в центъра за управление. Вижте Център за предупреждения в контролния център за повече информация.

1

Влезте в контролния хъб.

2

Отидете на Център за предупреждения.

3

Изберете Управление след това Всички правила.

4

От списъка Правила изберете някое от sSO правилата, които бихте искали да създадете:

  • Изтичане на срока на валидност на Сертификата за ИДП на SSO
  • Изтичане на срока на валидност на SSO SP сертификата
5

В секцията Канал за доставка поставете отметка в квадратчето за Имейл, Webex пространство или идвете.

Ако изберете Имейл, въведете имейл адреса, който трябва да получи известието.

Ако изберете опцията webex пространство, автоматично се добавяте към пространство вътре в Webex App и ние доставяме известията там.

6

Запазете промените си.

Какво да направите след това

Изпращаме сигнали за изтичане на сертификата веднъж на всеки 15 дни, като започнем 60 дни преди изтичането на срока на годност. (Можете да очаквате известия на 60-ия, 45-ия, 30-ия и 15-ия ден.) Известията спират, когато подновите сертификата.

Може да видите известие, че единният URL адрес за излизане не е конфигуриран:

Препоръчваме ви да конфигурирате вашия IdP да поддържа Single Log Out (известен също като SLO). Webex поддържа както методите за пренасочване, така и за публикуване, налични в нашите метаданни, които се изтеглят от Control Hub. Не всички ИДД поддържат SLO; моля, свържете се с вашия IdP екип за съдействие. Понякога, за основните доставчици на IdP като AzureAD, Ping Federate, ForgeRock и Oracle, които поддържат SLO, документираме как да конфигурираме интеграцията. Консултирайте се с вашата самоличност & Екипът по сигурността ще обсъди спецификите на вашия IDP и как да го конфигурирате правилно.

Ако не е конфигуриран единичен URL адрес за излизане:

  • Съществуваща IdP сесия остава валидна. Следващия път, когато потребителите влизат, може да не бъдат помолени да удостоверяват отново от IdP.

  • Показваме предупредително съобщение при излизане, така че излизането на Webex App не се случва безпроблемно.

Можете да забраните еднократна идентификация (SSO) за вашата уебекс организация, управлявана в контролния център. Може да искате да деактивирате SSO, ако сменяте доставчици на самоличност (IdP).

Ако еднократната идентификация е била активирана за вашата организация, но е неуспешна, можете да ангажирате партньора си в Cisco, който има достъп до вашата Уебекс организация, за да ви я забрани.

1

Влезте в контролния хъб.

2

Отидете на Управление > Сигурност > Удостоверяване.

3

Отидете на раздела Доставчик на самоличност.

4

Кликнете върху Деактивиране на SSO.

Появява се изскачащ прозорец, който ви предупреждава за деактивирането на SSO:

Деактивиране на еднократната идентификация

Ако забраните SSO, паролите се управляват от облака вместо интегрираната ви конфигурация на IdP.

5

Ако разбирате въздействието на деактивирането на SSO и искате да продължите, щракнете върху Дезактивиране.

Единичният вход (SSO) е деактивиран и всички списъци със SAML сертификати са премахнати.

Ако SSO е деактивирано, потребителите, които трябва да се удостоверят, ще видят поле за въвеждане на парола по време на процеса на влизане.

  • Потребителите, които нямат парола в приложението Webex, трябва или да я нулират, или да им изпратите имейл, за да зададат парола.

  • Съществуващите удостоверени потребители с валиден OAuth Token ще продължат да имат достъп до Webex App.

  • Новите потребители, създадени, докато SSO е деактивиран, получават имейл с молба да създадат парола.

Какво да направите след това

Ако вие или клиентът преконфигурирате SSO за организацията на клиента, потребителските акаунти ще се върнат към използването на политиката за пароли, зададена от IdP, интегриран с организацията на Webex.

Ако срещнете проблеми с входа си в SSO, можете да използвате опцията за самостоятелно възстановяване на SSO, за да получите достъп до вашата Webex организация, управлявана в Control Hub. Опцията за самостоятелно възстановяване ви позволява да актуализирате или деактивирате SSO в Control Hub.