Jednotné přihlašování v prostředí Control Hub

Pokud chcete ve své organizaci nastavit SSO pro více poskytovatelů identity, podívejte se do části SSO s více poskytovateli identity ve Webexu.

Pokud je využití certifikátu vaší organizace nastaveno na Žádné, ale stále dostáváte upozornění, doporučujeme, abyste v upgradu pokračovali. Nasazení SSO dnes certifikát nepoužívá, ale možná budete potřebovat certifikát pro budoucí změny.

Certifikát poskytovatele služeb Webex (SP)

Čas od času můžete obdržet e-mailové oznámení nebo zobrazit upozornění v Ovládacím centru, že vyprší platnost certifikátu jednotného přihlašování Webex (SSO). Podle postupu v tomto článku načtěte metadata cloudového certifikátu SSO od nás (SP) a přidejte je zpět do idP; v opačném případě nebudou uživatelé moci používat služby Webex.

Pokud používáte ve své organizaci Webex certifikát SSO SAML (SP), musíte co nejdříve naplánovat aktualizaci cloudového certifikátu během pravidelné plánované údržby.

Ovlivněny jsou všechny služby, které jsou součástí předplatného vaší organizace Webex, mimo jiné včetně:

  • Webex App (nová přihlášení pro všechny platformy: stolní, mobilní a web)

  • Služby Webex v Centru řízení , včetně volání

  • Weby schůzek Webex spravované prostřednictvím Centra řízení

  • Cisco Jabber, pokud je integrován s SSO

Než začnete

Před začátkem si prosím přečtěte všechny pokyny. Po změně certifikátu nebo procházením průvodcem pro aktualizaci certifikátu se nové uživatele pravděpodobně nebudou moci úspěšně přihlásit.

Pokud váš poskytovatel identity nepodporuje více certifikátů (většina poskytovatelů identity na trhu tuto funkci nepodporuje), doporučujeme naplánovat tento upgrade během údržby, kdy to nemá vliv na uživatele aplikace Webex. Tyto úlohy upgradu by měly trvat přibližně 30 minut v době provozu a ověření po události.

1

Chcete-li zkontrolovat, zda vyprší platnost certifikátu SSO saml Cisco (SP):

  • Možná jste od nás obdrželi e-mail nebo zprávu z aplikace Webex, ale abyste si byli jisti, měli byste se přihlásit do Control Hub.

  • Přihlaste se k https://admin.webex.comaplikaci a zkontrolujte centrum upozornění. Může existovat oznámení o aktualizaci certifikátu poskytovatele služeb SSO.

  • Přihlaste se k https://admin.webex.com, přejděte do nabídky Správa > Nastavení organizace > Jednotné přihlašování a klikněte na možnost Spravovat SSO a poskytovatele identity.
  • Přejděte na kartu Poskytovatel identity a poznamenejte si stav certifikátu Cisco SP a datum vypršení platnosti.

Můžete přejít přímo do průvodce SSO a aktualizovat certifikát také. Pokud se rozhodnete ukončit průvodce před jeho dokončením, můžete k němu kdykoli znovu přistupovat pomocí možností Správa > Nastavení organizace > Jednotné přihlašováníhttps://admin.webex.com.

2

Přejděte na poskytovatele identity a klikněte na .

3

Klikněte na možnost Zkontrolovat certifikáty a datum vypršení platnosti.

4

Klikněte na možnost Obnovit certifikát.

5

Vyberte typ IdP, který vaše organizace používá.

  • Zprostředkovatel identity podporující více certifikátů
  • Zprostředkovatel identity podporující jeden certifikát

Pokud váš IDP podporuje jeden certifikát, doporučujeme počkat na provedení těchto kroků během naplánovaných prostojů. Během aktualizace certifikátu Webex nebude přihlašování nových uživatelů krátce fungovat; stávající přihlášení budou zachována.

6

Vyberte typ certifikátu pro obnovení:

  • Podepsané společností Cisco – Tuto volbu doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsaný veřejnou certifikační autoritou – Bezpečnější, ale budete muset metadata aktualizovat často (pokud poskytovatel identity nepodporuje klíče typu „trust anchor“).

    Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.

7

Kliknutím na možnost Stáhnout soubor metadat si stáhnete kopii aktualizovaných metadat s novým certifikátem z cloudu Webex. Ponechte tuto obrazovku otevřenou.

8

Přejděte do rozhraní pro správu IdP a nahrajte nový soubor metadat Webex.

9

Vraťte se na kartu, na které jste se přihlásili k Control Hub, a klikněte na tlačítko Další.

10

Aktualizujte poskytovatele identity novým certifikátem SP a metadaty a klikněte na tlačítko Další.

  • Všichni poskytovatele identity byli aktualizováni
  • Pokud potřebujete na aktualizaci více času, uložte obnovený certifikát jako sekundární možnost.
11

Klikněte na tlačítko Dokončit obnovení.

Certifikát poskytovatele identity (IdP)

Čas od času můžete obdržet e-mailové oznámení nebo zobrazit upozornění v Ovládacím centru, že platnost certifikátu IdP vyprší. Vzhledem k tomu, že dodavatelé IdP mají vlastní konkrétní dokumentaci pro obnovení certifikátu, pokrýváme to, co je vyžadováno v Ovládacím centru, spolu s obecnými kroky k načtení aktualizovaných metadat IdP a nahrání do Control Hubu pro obnovení certifikátu.

1

Jak zkontrolovat, zda vyprší platnost certifikátu IDP SAML:

  • Možná jste od nás obdrželi e-mail nebo zprávu z aplikace Webex, ale abyste si byli jisti, měli byste se přihlásit do Control Hub.
  • Přihlaste se k https://admin.webex.comaplikaci a zkontrolujte centrum upozornění. Může existovat oznámení o aktualizaci certifikátu IDP SAML:

  • Přihlaste se k https://admin.webex.com, přejděte do nabídky Správa > Nastavení organizace > Jednotné přihlašování a klikněte na možnost Spravovat SSO a poskytovatele identity.
  • Přejděte na kartu Poskytovatel identity a poznamenejte si stav certifikátu poskytovatele identity (vypršel nebo brzy vyprší) a datum vypršení platnosti.

  • Můžete přejít přímo do průvodce SSO a aktualizovat certifikát také. Pokud se rozhodnete ukončit průvodce před jeho dokončením, můžete k němu kdykoli znovu přistupovat pomocí možností Správa > Nastavení organizace > Jednotné přihlašováníhttps://admin.webex.com.

2

Přejděte do rozhraní pro správu IdP a načtěte nový soubor metadat.

  • Tento krok může být proveden prostřednictvím karty prohlížeče, protokolu RDP (Vzdálené plochy) nebo prostřednictvím konkrétní podpory poskytovatele cloudu v závislosti na nastavení IdP a na tom, zda jste za tento krok zodpovědní vy nebo samostatný správce IdP.
  • Pro informaci se podívejte na naše příručky k integraci SSO nebo požádejte o podporu správce IdP.
3

Vraťte se na kartu Poskytovatel identity .

4

Přejděte na poskytovatele identity, klikněte na nahrát a vyberte možnost Nahrát metadata poskytovatele identity.

5

Přetáhněte soubor metadat IdP do okna nebo klikněte na tlačítko Vybrat soubor a nahrajte jej tímto způsobem.

6

V závislosti na tom, jak jsou vaše metadata IdP podepsána, zvolte Méně zabezpečená (podepsaná svým držitelem) nebo bezpečnější (podepsaná veřejnou certifikační autoritou).

7

Kliknutím na možnost Test aktualizace jednotného přihlašování potvrďte, že nový soubor metadat byl nahrán a interpretován v organizaci Control Hub správně. Ve vyskakovacím okně potvrďte očekávané výsledky, a pokud byl test úspěšný, vyberte Úspěšný test: Aktivujte SSO a poskytovatele identity a klikněte na tlačítko Uložit.

Chcete-li přímo zobrazit prostředí jednotného přihlašování, doporučujeme kliknout na možnost Zkopírovat adresu URL do schránky na této obrazovce a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

Výsledek: Jste hotovi a certifikát IdP vaší organizace je nyní obnoven. Stav certifikátu můžete kdykoli zkontrolovat na kartě Poskytovatel identity .

Nejnovější metadata Webex SP můžete exportovat, kdykoli je budete potřebovat přidat zpět do idpu. Oznámení se zobrazí, když platnost importovaných metadat IDP SAML vyprší nebo vypršela jeho platnost.

Tento krok je užitečný v běžných scénářích správy certifikátů IDP SAML, jako jsou idP, které podporují více certifikátů, kde export nebyl proveden dříve, pokud metadata nebyla importována do IdP, protože správce IDP nebyl k dispozici, nebo pokud váš IdP podporuje možnost aktualizovat pouze certifikát. Tato možnost může pomoci minimalizovat změnu pouze aktualizací certifikátu v konfiguraci SSO a ověřením po události.

1

V zobrazení zákazníka v https://admin.webex.com přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

2

Přejděte na kartu Poskytovatel identity .

3

Přejděte na poskytovatele identity, klikněte na Stáhnout a vyberte Stáhnout metadata SP.

Název souboru metadat aplikace Webex je idb-meta--SP.xml.

4

Importujte metadata do idpu.

Chcete-li importovat metadata Webex SP, postupujte podle dokumentace k idpu. Pokud nejste uvedeni, můžete použít naše průvodce integrací IdP nebo si prostudovat dokumentaci k vašemu konkrétnímu IdP.

5

Po dokončení spusťte test SSO podle pokynů v tomto článku Obnovit certifikát Webex (SP) .

Když se prostředí IdP změní nebo vyprší platnost certifikátu IdP, můžete aktualizovaná metadata kdykoli importovat do Webexu.

Než začnete

Shromážděte metadata IdP, obvykle jako exportovaný soubor XML.

1

V zobrazení zákazníka v https://admin.webex.com přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

2

Přejděte na kartu Poskytovatel identity .

3

Přejděte na poskytovatele identity, klikněte na nahrát a vyberte možnost Nahrát metadata poskytovatele identity.

4

Přetáhněte soubor metadat IdP do okna nebo klikněte na Vybrat soubor metadat a nahrajte ho tímto způsobem.

5

V závislosti na tom, jak jsou vaše metadata IdP podepsána, zvolte Méně zabezpečená (podepsaná svým držitelem) nebo bezpečnější (podepsaná veřejnou certifikační autoritou).

6

Klikněte na možnost Otestovat nastavení jednotného přihlašování a po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Před vypršením platnosti certifikátů obdržíte v Ovládacím centru výstrahy, ale můžete také proaktivně nastavit pravidla upozornění. Tato pravidla vás předem inzují, že platnost certifikátů SP nebo IdP vyprší. Můžeme vám je poslat e-mailem, mezerou v aplikaci Webexnebo obojím.

Bez ohledu na nakonfigurovaný kanál doručení se všechny výstrahy vždy zobrazí v Ovládacím centru. Další informace najdete v centru upozornění v Centru ovládacích prvku.

1

Přihlaste se k Centru řízení.

2

Přejděte do Centra výstrah.

3

Zvolte Spravovat a pak Všechna pravidla .

4

V seznamu Pravidel vyberte některá z pravidel SSO, která chcete vytvořit:

  • Platnost certifikátu IDP SSO
  • Vypršení platnosti certifikátu SP SSO
5

V části Kanál doručení zaškrtněte políčko e-mail, prostor Webex neboobojí.

Pokud zvolíte E-mail, zadejte e-mailovou adresu, která by měla oznámení obdržet.

Pokud zvolíte možnost prostoru Webex, automaticky se přidáte do prostoru uvnitř aplikace Webex a my tam doručíme oznámení.

6

Uložte si změny.

Co dělat dál

Upozornění na vypršení platnosti certifikátu zasíláme jednou za 15 dní, počínaje 60 dny před vypršením platnosti. (Můžete očekávat výstrahy ke dni 60, 45, 30 a 15.) Výstrahy končí po obnovení certifikátu.

Může se zobrazit upozornění, že adresa URL pro jednoduché odhlášení není nakonfigurována:

Doporučujeme nakonfigurovat idp tak, aby podporoval jednotné odhlášení (označované také jako SLO). Webex podporuje metody přesměrování i příspěvků, které jsou k dispozici v našich metadatech stažených z Control Hub. Ne všechny idP podporují SLO; požádejte o pomoc svůj tým IDP. Někdy zdokumentujeme, jak konfigurovat integraci u hlavních dodavatelů poskytovatele identity, jako jsou AzureAD, Ping Federate, ForgeRock a Oracle, kteří podporují SLO. Ohledně specifik vašeho IDP a správného konfigurace se poraďte s týmem pro správu identit a zabezpečení.

Pokud není nakonfigurována adresa URL pro jednoduché odhlášení:

  • Stávající relace IdP zůstává v platnosti. Při příštím přihlášení uživatelů nemusí být idp požádáni o opětovné ověření.

  • Při odhlášení zobrazíme varovnou zprávu, aby k odhlášení z aplikace Webex nedošlo bez problémů.

Jednotné přihlašování (SSO) pro organizaci Webex spravovanou v Ovládacím centru můžete zakázat jednotné přihlašování (SSO). Pokud měníte poskytovatele identity (IdPs), můžete chtít zakázat SSO.

Pokud bylo pro vaši organizaci povoleno jednotné přihlašování, ale selhává, můžete zapojit svého partnera Cisco, který má přístup k vaší organizaci Webex, aby vám ho zakázal.

1

V zobrazení zákazníka v https://admin.webex.com přejděte do nabídky Správa > Nastavení organizace, přejděte na položku Jednotné přihlašování a klikněte na možnost Správa jednotného přihlašování a poskytovatelů identity.

2

Přejděte na kartu Poskytovatel identity .

3

Klikněte na možnost Deaktivovat SSO.

Zobrazí se vyskakovací okno, které vás upozorní na zakázání SSO:

Deaktivovat SSO

Pokud zakážete SSO, hesla jsou spravována cloudem místo integrované konfigurace IdP.

4

Pokud chápete dopad zakázání SSO a chcete pokračovat, klikněte na Deaktivovat.

Jednotné přihlašování je deaktivováno a všechny seznamy certifikátů SAML jsou odebrány.

Pokud je jednotné přihlašování zakázáno, uživatelům, kteří se musí ověřit, se během přihlašování zobrazí pole pro zadání hesla.

  • Uživatelé, kteří nemají heslo v aplikaci Webex, musí buď resetovat své heslo, nebo jim musíte zaslat e-mail a nastavit si heslo.

  • Stávající ověření uživatelé s platným tokenem OAuth budou mít i nadále přístup k aplikaci Webex.

  • Noví uživatelé, kteří jsou vytvořeni v době, kdy je jednotné přihlašování zakázáno, obdrží e-mail s žádostí o vytvoření hesla.

Co dělat dál

Pokud vy nebo zákazník překonfigurujete jednotné přihlašování (SSO) pro organizaci zákazníka, uživatelské účty se vraťte k použití zásad hesla nastavených poskytovatelem identity, který je integrován s organizací Webex.

Pokud narazíte na problémy s přihlášením SSO, můžete použít možnost vlastního obnovení SSO a získat přístup do organizace Webex spravované v centru Control Hub. Možnost vlastního obnovení umožňuje aktualizovat nebo zakázat SSO v prostředí Control Hub.