Jednotné přihlašování v prostředí Control Hub

Pokud chcete ve své organizaci nastavit jednotné přihlašování pro více poskytovatelů identity, podívejte se na jednotné přihlašování s více Idps ve službě Webex.


 

Pokud je využití certifikátu vaší organizace nastaveno na možnost Žádné, ale stále se vám zobrazuje výstraha, doporučujeme i nadále pokračovat v upgradu. Vaše nasazení SSO dnes certifikát nepoužívá, ale certifikát můžete potřebovat pro budoucí změny.

Certifikáty poskytovatele služeb


 

Čas od času můžete obdržet e-mailové oznámení nebo se v centru Control Hub zobrazit upozornění, že platnost certifikátu jednotné přihlašování Webex ( SSO) vyprší. Pomocí postupu v tomto článku můžete od nás načíst metadata cloudového certifikátu SSO a přidat je zpět ke svému poskytovateli identity. v opačném případě uživatelé nebudou moci používat služby Webex .

Pokud používáte certifikát SAML Cisco (SP) SSO ve své organizaci Webex, musíte co nejdříve naplánovat aktualizaci cloudového certifikátu během okna pravidelné plánované údržby.

Jsou ovlivněny všechny služby, které jsou součástí vašeho předplatného Webex organizace, včetně mimo jiné:

  • Aplikace Webex (nové přihlášení pro všechny platformy: počítače, mobilní zařízení a web)

  • Služby Webex v centru Control Hub včetně služby Calling

  • Weby Webex Meetings spravované prostřednictvím prostředí Control Hub

  • Cisco Jabber , pokud je integrován s SSO

Než začnete


 

Než začnete, přečtěte si všechny pokyny. Poté, co změníte certifikát nebo projdete průvodcem k aktualizaci certifikátu, se noví uživatelé nebudou moci úspěšně přihlásit se .

Pokud váš systém Idp nepodporuje více certifikátů (většina systémů Idp na trhu tuto funkci nepodporuje), doporučujeme naplánovat tento upgrade během údržby, kdy uživatelé aplikace Webex nebudou ovlivněni. Tyto úkoly upgradu by měly trvat přibližně 30 minut v provozní době a ověření postvent.

1

Kontrola, zda platnost certifikátu SAML Cisco (SP) SSO vyprší:

  • Možná jste od nás obdrželi e-mail nebo zprávu aplikace Webex , ale pro jistotu se podívejte v prostředí Control Hub.

  • Přihlaste se khttps://admin.webex.com a zkontrolujte svou Centrum výstrah . Může se zobrazit oznámení o aktualizaci certifikátu poskytovatele služeb SSO .

  • Přihlaste se k https://admin.webex.com, přejděte na Správa > Nastavení organizace > Ověřování a klikněte na možnost Spravovat SSO a Idps.
  • Přejděte na kartu Poskytovatel identity a poznamenejte si stav certifikátu Cisco SP a datum vypršení platnosti.

Chcete-li aktualizovat certifikát, můžete také přejít přímo do průvodce SSO . Pokud se rozhodnete ukončit průvodce před jeho dokončením, můžete k němu kdykoli znovu přistoupit Management > Nastavení organizace > Ověřování inhttps://admin.webex.com .

2

Přejděte na Idp a klikněte na.

3

Klikněte na možnost Zkontrolovat certifikáty a datum vypršení platnosti.

Tím se dostanete do okna certifikátů poskytovatele služeb (SP).
4

Klikněte na možnost Obnovit certifikát.

5

Vyberte typ certifikátu pro obnovení:

  • Podepsané společností Cisco – Doporučujeme tuto možnost. Certifikát nám nechte podepsat, takže jej stačí obnovovat jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou – Bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel poskytovatele identity nepodporuje kotvy důvěry).

     

    Kotvy důvěry jsou veřejné klíče, které fungují jako autorizace k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci poskytovatele identity.

6

Klikněte Stáhnout soubor metadat stáhnout kopii aktualizovaných metadat s novým certifikátem z cloudu Webex . Ponechte tuto obrazovku otevřenou.

7

Přejděte do rozhraní správy poskytovatele identity a nahrajte nový soubor metadat služby Webex .

8

Vraťte se na kartu, na které jste se přihlásili do centra Control Hub, a klikněte Další .

9

Tímto je potvrzeno, že nový soubor metadat byl nahrán a interpretován vaším IdP správně. Ve vyskakovacím okně potvrďte očekávané výsledky, a pokud byl test úspěšný, klikněte na tlačítko Přepnout na nová metadata .


 

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

Výsledek: Jste hotovi a certifikát SAML Cisco (SP) SSO vaší organizace je nyní obnoven. Stav certifikátu můžete kdykoli zkontrolovat na kartě Poskytovatel identity.

Certifikát poskytovatele identity (IdP).


 

Čas od času můžete obdržet e-mailové oznámení nebo se v centru Control Hub zobrazí upozornění, že platnost certifikátu Idp vyprší. Vzhledem k tomu, že dodavatelé řešení Idp mají vlastní specifickou dokumentaci pro obnovení certifikátu, zabýváme se tím, co je vyžadováno v prostředí Control Hub, společně s obecnými kroky k načtení aktualizovaných metadat Idp a jejich nahrání do prostředí Control Hub za účelem obnovení certifikátu.

1

Kontrola, zda certifikát IdP SAML vyprší:

  • Možná jste od nás obdrželi e-mail nebo zprávu aplikace Webex , ale pro jistotu se podívejte v prostředí Control Hub.
  • Přihlaste se khttps://admin.webex.com a zkontrolujte svou Centrum výstrah . Může se zobrazit oznámení o aktualizaci certifikátu IdP SAML :

  • Přihlaste se k https://admin.webex.com, přejděte na Správa > Nastavení organizace > Ověřování a klikněte na možnost Spravovat SSO a Idps.
  • Přejděte na kartu Poskytovatel identity a poznamenejte si stav certifikátu Idp (jehož platnost vypršela nebo brzy vyprší) a datum vypršení platnosti.

  • Chcete-li aktualizovat certifikát, můžete také přejít přímo do průvodce SSO . Pokud se rozhodnete ukončit průvodce před jeho dokončením, můžete k němu kdykoli znovu přistoupit Management > Nastavení organizace > Ověřování inhttps://admin.webex.com .

2

Chcete-li načíst nový soubor metadat, přejděte do rozhraní pro správu Idp.

  • Tento krok lze provést prostřednictvím karty prohlížeče, protokolu RDP (remote desktop protocol) nebo prostřednictvím konkrétní podpory poskytovatele cloudu, v závislosti na nastavení Idp a na tom, zda jste za tento krok zodpovědní vy nebo samostatný správce Idp.
  • Pro referenci naleznete v našich příručkách pro integraci SSO nebo požádejte o podporu správce IdP.
3

Vraťte se na kartu Poskytovatel identity.

4

Přejděte na Idp, klikněteuploada vyberte možnost Nahrát metadata poskytovatele identity.

5

Přetáhněte soubor metadat Idp do okna nebo klikněte na možnost Vybrat soubor a nahrajte jej tímto způsobem.

6

Vyberte možnost Méně bezpečné (podepsaný) příp Bezpečnější (podepsané veřejnou certifikační autoritou) v závislosti na tom, jak jsou podepsána metadata poskytovatele identity.

7

Klikněte Testovat aktualizaci SSO abyste potvrdili, že nový soubor metadat byl nahrán a správně interpretován vaší organizaci Control Hub. Ve vyskakovacím okně potvrďte očekávané výsledky, a pokud byl test úspěšný, vyberte možnost Úspěšný test: Aktivujte jednotné přihlašování a index Idp a klikněte na Uložit.


 

Chcete-li přímo zobrazit prostředí přihlašování SSO, doporučujeme kliknout na možnost Kopírovat adresu URL do schránky z této obrazovky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

Výsledek: Jste hotovi a certifikát IdP vaší organizace je nyní obnoven. Stav certifikátu můžete kdykoli zkontrolovat na kartě Poskytovatel identity.

Nejnovější metadata služby Webex SP můžete v případě potřeby exportovat zpět do svého poskytovatele identity. Jakmile platnost importovaných metadat IdP SAML vyprší nebo již vypršela, zobrazí se oznámení.

Tento krok je užitečný při běžných scénářích správy certifikátů SAML , jako jsou například poskytovatelé identity podporující více certifikátů, u kterých export nebyl dříve proveden, pokud metadata nebyla doimportována do poskytovatele identity, protože nebyl k dispozici správce, nebo pokud poskytovatel podporuje schopnost aktualizovat pouze certifikát. Tato možnost může pomoci minimalizovat změny tím, že aktualizuje certifikát pouze ve vaší konfiguraci SSO a při ověření po události.

1

V zobrazení zákazníka v https://admin.webex.com přejděte na Správa > Nastavení organizace, přejděte na Ověřování a klikněte na Spravovat SSO a Idps.

2

Přejděte na kartu Poskytovatel identity.

3

Přejděte na Idp, klikněteDownloada vyberte možnost Stáhnout metadata SP.

Název souboru metadat aplikace Webex je idb-meta-<org-ID>-SP.xml.

4

Importujte metadata do svého poskytovatele identity.

Při importu metadat služby Webex SP postupujte podle dokumentace k poskytovateli identity. Můžete použít naše Příručky pro integraci poskytovatele identity (IdP). nebo nahlédněte do dokumentace k vašemu konkrétnímu IdP, pokud není uveden v seznamu.

5

Až budete hotovi, spusťte test SSO podle kroků v Obnovit certifikát Webex (SP) v tomto článku.

Když se změní vaše prostředí IdP nebo pokud vyprší platnost vašeho certifikátu IdP, můžete aktualizovaná metadata do Webex kdykoli importovat.

Než začnete

Shromážděte metadata IdP, obvykle jako exportovaný soubor xml.

1

V zobrazení zákazníka v https://admin.webex.com přejděte na Správa > Nastavení organizace, přejděte na Ověřování a klikněte na Spravovat SSO a Idps.

2

Přejděte na kartu Poskytovatel identity.

3

Přejděte na Idp, klikněteuploada vyberte možnost Nahrát metadata poskytovatele identity.

4

Přetáhněte soubor metadat IdP do okna nebo klikněte na tlačítko Vyberte soubor metadat a nahrajte jej tímto způsobem.

5

Vyberte možnost Méně bezpečné (podepsaný) příp Bezpečnější (podepsané veřejnou certifikační autoritou) v závislosti na tom, jak jsou podepsána metadata poskytovatele identity.

6

Klikněte na možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče proveďte ověření pomocí nástroje Idp přihlášením.

V prostředí Control Hub budete dostávat výstrahy před nastavením vypršení platnosti certifikátů, můžete však také proaktivně nastavit pravidla výstrah. Tato pravidla vám předem dávají vědět, že platnost certifikátů SP nebo Idp vyprší. Můžeme vám je poslat prostřednictvím e-mailu, prostoru v aplikaci Webex nebo obojího.


 

Bez ohledu na nakonfigurovaný kanál doručení se všechna upozornění vždy zobrazují v prostředí Control Hub. Další informace najdete v tématu Centrum výstrah v prostředí Control Hub.

1

V zobrazení zákazníka v https://admin.webex.com přejděte do centra upozornění.

2

Zvolte Spravovat a Všechna pravidla.

3

V seznamu Pravidla vyberte kterékoli z pravidel jednotného přihlašování, které chcete vytvořit:

  • Vypršení platnosti certifikátu SSO IDP
  • Vypršení platnosti certifikátu SSO SP
4

V části Kanál doručení zaškrtněte políčko E-mail, prostor Webex nebo obojí.

Pokud zvolíte možnost E-mail, zadejte e-mailovou adresu, která by měla obdržet oznámení.


 

Pokud zvolíte možnost prostoru Webex, budete automaticky přidáni do prostoru uvnitř aplikace Webex a tam doručujeme oznámení.

5

Uložte si změny.

Co dělat dál

Upozornění na vypršení platnosti certifikátu zasíláme jednou za 15 dní, počínaje 60 dny před vypršením platnosti. (Upozornění můžete očekávat 60., 45., 30. a 15. den.) Upozornění se zastaví, když obnovíte certifikát.

Může se stát, že adresa URL pro jednorázové odhlášení není nakonfigurována:


 

Doporučujeme nakonfigurovat svého IdP pro podporu jednotného odhlášení (označované také jako SLO). Webex podporuje metodu přesměrování a odesílání, které jsou k dispozici v našich metadatech, která se stahují z centra Control Hub. Ne všichni IdP podporují SLO; obraťte se na svůj tým IdP a získejte pomoc. Někdy u hlavních dodavatelů Idp, jako jsou AzureAD, Ping Federate, Rock a Oracle, kteří podporují SLO, dokumentujeme, jak konfigurovat integraci. Specifika vašeho poskytovatele identity a zabezpečení zjistíte, jak je správně nakonfigurovat.

Pokud adresa URL pro jednorázové odhlášení není nakonfigurována:

  • Stávající relace IdP zůstává platná. Při příštím přihlásit se uživatelé nemusí být poskytovatelem identity požádáni o opětovné ověření.

  • Při odhlášení zobrazíme zprávy upozornění , takže odhlásit se aplikace Webex neproběhne hladce.

Pro svou organizaci Webex spravovanou v centru Control Hub můžete zakázat jednotné přihlašování (SSO ). Pokud měníte poskytovatele identity (Idps), můžete jednotné přihlašování zakázat.


 

Pokud bylo jednotné přihlašování pro vaši organizaci povoleno, ale nedaří se, můžete se obrátit na svého partnera Cisco , který má přístup k vaší organizaci Webex , aby je zakázal.

1

V zobrazení zákazníka v https://admin.webex.com přejděte na Správa > Nastavení organizace, přejděte na Ověřování a klikněte na Spravovat SSO a Idps.

2

Přejděte na kartu Poskytovatel identity.

3

Klikněte na možnost Deaktivovat jednotné přihlašování.

Zobrazí se automaticky otevírané okno s varováním před zakázáním SSO:

Deaktivovat SSO

Pokud zakážete SSO, hesla budou spravována cloudem, ne vaší konfigurací integrovaného poskytovatele identity.

4

Pokud rozumíte dopadům zakázání SSO a chcete pokračovat, klikněte Deaktivovat .

Jednotné přihlašování je deaktivováno a všechny seznamy certifikátů SAML jsou odstraněny.

Pokud je jednotné přihlašování zakázáno, uživatelům, kteří musí provést ověření, se během procesu přihlašování zobrazí pole pro zadání hesla.

  • Uživatelé, kteří v aplikaci Webex nemají heslo, musí buď resetovat své heslo, nebo jim musíte poslat e-mail s nastavením hesla.

  • Stávající ověření uživatelé s platným tokenem OAuth budou mít i nadále přístup k aplikaci Webex .

  • Noví uživatelé vytvoření při zakázaném SSO obdrží e-mail s žádostí o vytvoření hesla.

Co dělat dál

Pokud vy nebo zákazník překonfigurujete jednotné přihlašování pro organizaci zákazníka, uživatelské účty se vrátí k zásadám hesla nastaveným nástrojem Idp integrovaným s organizací Webex.

Pokud narazíte na problémy s přihlašováním k SSO, můžete použít možnost vlastního obnovení SSO a získat přístup ke své organizaci Webex spravované v prostředí Control Hub. Možnost vlastního obnovení umožňuje aktualizovat nebo zakázat jednotné přihlašování v prostředí Control Hub.