Jednotné přihlašování v prostředí Control Hub

Pokud chcete ve své organizaci nastavit jednotné přihlašování pro více poskytovatelů identity, podívejte se na jednotné přihlašování s více Idps ve službě Webex.


 

Pokud je využití certifikátu vaší organizace nastaveno na možnost Žádné, ale stále se vám zobrazuje výstraha, doporučujeme i nadále pokračovat v upgradu. Vaše nasazení SSO dnes certifikát nepoužívá, ale certifikát můžete potřebovat pro budoucí změny.


 

Čas od času můžete obdržet e-mailové oznámení nebo se v centru Control Hub zobrazit upozornění, že platnost certifikátu jednotné přihlašování Webex ( SSO) vyprší. Pomocí postupu v tomto článku můžete od nás načíst metadata cloudového certifikátu SSO a přidat je zpět ke svému poskytovateli identity. v opačném případě uživatelé nebudou moci používat služby Webex .

Pokud používáte certifikát SAML Cisco (SP) SSO ve své organizaci Webex, musíte co nejdříve naplánovat aktualizaci cloudového certifikátu během okna pravidelné plánované údržby.

Jsou ovlivněny všechny služby, které jsou součástí vašeho předplatného Webex organizace, včetně mimo jiné:

  • Aplikace Webex (nové přihlášení pro všechny platformy: počítače, mobilní zařízení a web)

  • Služby Webex v centru Control Hub včetně služby Calling

  • Weby Webex Meetings spravované prostřednictvím prostředí Control Hub

  • Cisco Jabber , pokud je integrován s SSO

Než začnete


 

Než začnete, přečtěte si všechny pokyny. Poté, co změníte certifikát nebo projdete průvodcem k aktualizaci certifikátu, se noví uživatelé nebudou moci úspěšně přihlásit se .

Pokud váš systém Idp nepodporuje více certifikátů (většina systémů Idp na trhu tuto funkci nepodporuje), doporučujeme naplánovat tento upgrade během údržby, kdy uživatelé aplikace Webex nebudou ovlivněni. Tyto úkoly upgradu by měly trvat přibližně 30 minut v provozní době a ověření postvent.

1

Kontrola, zda platnost certifikátu SAML Cisco (SP) SSO vyprší:

  • Možná jste od nás obdrželi e-mail nebo zprávu aplikace Webex , ale pro jistotu se podívejte v prostředí Control Hub.
  • Přihlaste se khttps://admin.webex.com a zkontrolujte svou Centrum výstrah . Může se zobrazit oznámení o aktualizaci certifikátu poskytovatele služeb SSO .

  • Přihlaste se k https://admin.webex.com, přejděte na Správa > Nastavení organizace > Ověřování a klikněte na možnost Spravovat SSO a Idps.
  • Přejděte na kartu Poskytovatel identity a poznamenejte si stav certifikátu Cisco SP a datum vypršení platnosti.

Chcete-li aktualizovat certifikát, můžete také přejít přímo do průvodce SSO . Pokud se rozhodnete ukončit průvodce před jeho dokončením, můžete k němu kdykoli znovu přistoupit Management > Nastavení organizace > Ověřování inhttps://admin.webex.com .

2

Přejděte na poskytovatele IdP a klikněte .

3

Klikněte Zkontrolujte certifikáty a datum platnosti .

Tímto budete přesměrováni na Certifikáty poskytovatele služeb (SP). okno.
4

Klikněte Obnovit certifikát .

5

Vyberte typ certifikátu pro obnovení:

  • Podepsané společností Cisco – Doporučujeme tuto možnost. Certifikát nám nechte podepsat, takže jej stačí obnovovat jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou – Bezpečnější, ale metadata budete muset často aktualizovat (pokud váš dodavatel poskytovatele identity nepodporuje kotvy důvěry).

     

    Kotvy důvěry jsou veřejné klíče, které fungují jako autorizace k ověření certifikátu digitálního podpisu. Další informace naleznete v dokumentaci poskytovatele identity.

6

Klikněte Stáhnout soubor metadat stáhnout kopii aktualizovaných metadat s novým certifikátem z cloudu Webex . Ponechte tuto obrazovku otevřenou.

7

Přejděte do rozhraní správy poskytovatele identity a nahrajte nový soubor metadat služby Webex .

8

Vraťte se na kartu, na které jste se přihlásili do centra Control Hub, a klikněte Další .

9

Tímto je potvrzeno, že nový soubor metadat byl nahrán a interpretován vaším IdP správně. Ve vyskakovacím okně potvrďte očekávané výsledky, a pokud byl test úspěšný, klikněte na tlačítko Přepnout na nová metadata .


 

Chcete-li přímo zobrazit prostředí jednotného přihlašování, můžete na této obrazovce rovněž kliknout na možnost Zkopírovat adresu URL do schránky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

Výsledek: Jste hotovi a certifikát SAML Cisco (SP) SSO vaší organizace je nyní obnoven. Stav certifikátu můžete kdykoli zkontrolovat na kartě Poskytovatel identity.


 

Čas od času můžete obdržet e-mailové oznámení nebo se v centru Control Hub zobrazit upozornění, že platnost certifikátu IdP vyprší. Protože dodavatelé poskytovatelů identity mají svou vlastní specifickou dokumentaci pro obnovení certifikátu, popisujeme, co je vyžadováno v prostředí Control Hub, a také obecné kroky k načtení aktualizovaných metadat poskytovatele služeb a jejich nahrání do prostředí Control Hub za účelem obnovení certifikátu.

1

Kontrola, zda certifikát IdP SAML vyprší:

  • Možná jste od nás obdrželi e-mail nebo zprávu aplikace Webex , ale pro jistotu se podívejte v prostředí Control Hub.
  • Přihlaste se khttps://admin.webex.com a zkontrolujte svou Centrum výstrah . Může se zobrazit oznámení o aktualizaci certifikátu IdP SAML :

  • Přihlaste se k https://admin.webex.com, přejděte na Správa > Nastavení organizace > Ověřování a klikněte na možnost Spravovat SSO a Idps.
  • Přejděte na kartu Poskytovatel identity a poznamenejte si stav certifikátu Idp (jehož platnost vypršela nebo brzy vyprší) a datum vypršení platnosti.
  • Chcete-li aktualizovat certifikát, můžete také přejít přímo do průvodce SSO . Pokud se rozhodnete ukončit průvodce před jeho dokončením, můžete k němu kdykoli znovu přistoupit Management > Nastavení organizace > Ověřování inhttps://admin.webex.com .

2

Přejděte do rozhraní správy IdP a načtěte nový soubor metadat.

  • Tento krok lze provést prostřednictvím karty prohlížeče, protokolu vzdálené plochy (RDP) nebo prostřednictvím podpory konkrétního poskytovatele cloudu, v závislosti na nastavení poskytovatele identity a na tom, zda jste za tento krok odpovědný vy nebo samostatný správce.
  • Pro referenci naleznete v našich příručkách pro integraci SSO nebo požádejte o podporu správce IdP.
3

Vraťte se na kartu Poskytovatel identity.

4

Přejděte na poskytovatele IdP a kliknětenahrát a vyberte možnost Nahrát metadata IdP .

5

Přetáhněte soubor metadat Idp do okna nebo klikněte na možnost Vybrat soubor a nahrajte jej tímto způsobem.

6

Vyberte možnost Méně bezpečné (podepsaný) příp Bezpečnější (podepsané veřejnou certifikační autoritou) v závislosti na tom, jak jsou podepsána metadata poskytovatele identity.

7

Klikněte Testovat aktualizaci SSO abyste potvrdili, že nový soubor metadat byl nahrán a správně interpretován vaší organizaci Control Hub. Ve vyskakovacím okně potvrďte očekávané výsledky, a pokud byl test úspěšný, vyberte možnost Úspěšný test: Aktivujte jednotné přihlašování a index Idp a klikněte na Uložit.


 

Chcete-li přímo zobrazit prostředí přihlašování SSO, doporučujeme kliknout na možnost Kopírovat adresu URL do schránky z této obrazovky a vložit ji do soukromého okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

Výsledek: Jste hotovi a certifikát IdP vaší organizace je nyní obnoven. Stav certifikátu můžete kdykoli zkontrolovat na kartě Poskytovatel identity.

Nejnovější metadata služby Webex SP můžete v případě potřeby exportovat zpět do svého poskytovatele identity. Jakmile platnost importovaných metadat IdP SAML vyprší nebo již vypršela, zobrazí se oznámení.

Tento krok je užitečný při běžných scénářích správy certifikátů SAML , jako jsou například poskytovatelé identity podporující více certifikátů, u kterých export nebyl dříve proveden, pokud metadata nebyla doimportována do poskytovatele identity, protože nebyl k dispozici správce, nebo pokud poskytovatel podporuje schopnost aktualizovat pouze certifikát. Tato možnost může pomoci minimalizovat změny tím, že aktualizuje certifikát pouze ve vaší konfiguraci SSO a při ověření po události.

1

Z pohledu zákazníkahttps://admin.webex.com , přejít na Management > Nastavení organizace , přejděte na Ověřování a klikněte Správa SSO a IdP .

2

Přejděte na Poskytovatel identity kartu.

3

Přejděte na Idp, klikněte na Stáhnout a vyberte možnost Stáhnout metadata SP.

Název souboru metadat Webex je idb-meta- -SP.xml .<org-ID>

4

Importujte metadata do svého poskytovatele identity.

Při importu metadat služby Webex SP postupujte podle dokumentace k poskytovateli identity. Můžete použít naše Příručky pro integraci poskytovatele identity (IdP). nebo nahlédněte do dokumentace k vašemu konkrétnímu IdP, pokud není uveden v seznamu.

5

Až budete hotovi, spusťte test SSO podle kroků v Obnovit certifikát Webex (SP) v tomto článku.

Když se změní vaše prostředí IdP nebo pokud vyprší platnost vašeho certifikátu IdP, můžete aktualizovaná metadata do Webex kdykoli importovat.

Než začnete

Shromážděte metadata IdP, obvykle jako exportovaný soubor xml.

1

Z pohledu zákazníkahttps://admin.webex.com , přejít na Management > Nastavení organizace , přejděte na Ověřování a klikněte Správa SSO a IdP .

2

Přejděte na Poskytovatel identity kartu.

3

Přejděte na poskytovatele IdP a kliknětenahrát a vyberte možnost Nahrát metadata IdP .

4

Přetáhněte soubor metadat IdP do okna nebo klikněte na tlačítko Vyberte soubor metadat a nahrajte jej tímto způsobem.

5

Vyberte možnost Méně bezpečné (podepsaný) příp Bezpečnější (podepsané veřejnou certifikační autoritou) v závislosti na tom, jak jsou podepsána metadata poskytovatele identity.

6

Klikněte Testovat nastavení SSO a když se otevře nová karta prohlížeče, přihlaste se u poskytovatele identity (IdP).

V centru Control Hub budete dostávat výstrahy před nastavením certifikátu, který vyprší, ale pravidla výstrah můžete také nastavit proaktivně. Tato pravidla vás informují předem, že platnost vašich certifikátů SP nebo IdP vyprší. Můžeme vám je zaslat e-mailem, prostorem v aplikaci Webex nebo obojím.


 

Bez ohledu na nakonfigurovaný doručovací kanál se všechna výstraha vždy zobrazí v centru Control Hub. Viz Centrum výstrah v centru Control Hub kde získáte další informace.

1

Z pohledu zákazníkahttps://admin.webex.com , přejít na Centrum výstrah .

2

Vyberte možnost Spravovat pak Všechna pravidla .

3

V seznamu Pravidla zvolte kterékoli z pravidel SSO , které chcete vytvořit:

  • Vypršení certifikátu SSO IDP
  • Vypršení certifikátu SSO SP
4

V části Doručovací kanál zaškrtněte políčko pro e-mail , Prostor Webex nebo obojí.

Pokud zvolíte e-mail, zadejte e-mailová adresa , na kterou chcete oznámení přijmout.


 

Pokud zvolíte možnost Prostor Webex , jste automaticky přidáni do prostoru v aplikaci Webex a my doručujeme oznámení tam.

5

Uložte si změny.

Co dělat dál

Upozornění na vypršení certifikátu zasíláme každých 15 dnů, počínaje 60 dny před vypršením. (Výstrahy můžete očekávat 60., 45., 30. a 15. den.) Při obnovení certifikátu se zastaví výstrahy.

Může se stát, že adresa URL pro jednorázové odhlášení není nakonfigurována:


 

Doporučujeme nakonfigurovat svého IdP pro podporu jednotného odhlášení (označované také jako SLO). Webex podporuje metodu přesměrování a odesílání, které jsou k dispozici v našich metadatech, která se stahují z centra Control Hub. Ne všichni IdP podporují SLO; obraťte se na svůj tým IdP a získejte pomoc. Někdy u hlavních dodavatelů Idp, jako jsou AzureAD, Ping Federate, Rock a Oracle, kteří podporují SLO, dokumentujeme, jak konfigurovat integraci. Specifika vašeho poskytovatele identity a zabezpečení zjistíte, jak je správně nakonfigurovat.

Pokud adresa URL pro jednorázové odhlášení není nakonfigurována:

  • Stávající relace IdP zůstává platná. Při příštím přihlásit se uživatelé nemusí být poskytovatelem identity požádáni o opětovné ověření.

  • Při odhlášení zobrazíme zprávy upozornění , takže odhlásit se aplikace Webex neproběhne hladce.

Pro svou organizaci Webex spravovanou v centru Control Hub můžete zakázat jednotné přihlašování (SSO ). Pokud měníte poskytovatele identity (Idps), můžete jednotné přihlašování zakázat.


 

Pokud bylo jednotné přihlašování pro vaši organizaci povoleno, ale nedaří se, můžete se obrátit na svého partnera Cisco , který má přístup k vaší organizaci Webex , aby je zakázal.

1

Z pohledu zákazníkahttps://admin.webex.com , přejít na Management > Nastavení organizace , přejděte na Ověřování a klikněte Správa SSO a IdP .

2

Přejděte na Poskytovatel identity kartu.

3

Klikněte Deaktivovat SSO .

Zobrazí se automaticky otevírané okno s varováním před zakázáním SSO:

Deaktivovat SSO

Pokud zakážete SSO, hesla budou spravována cloudem, ne vaší konfigurací integrovaného poskytovatele identity.

4

Pokud rozumíte dopadům zakázání SSO a chcete pokračovat, klikněte Deaktivovat .

Jednotné přihlašování je deaktivováno a všechny seznamy certifikátů SAML jsou odstraněny.

Pokud je jednotné přihlašování zakázáno, uživatelům, kteří musí provést ověření, se během procesu přihlašování zobrazí pole pro zadání hesla.

  • Uživatelé, kteří v aplikaci Webex nemají heslo, musí buď resetovat své heslo, nebo jim musíte poslat e-mail s nastavením hesla.

  • Stávající ověření uživatelé s platným tokenem OAuth budou mít i nadále přístup k aplikaci Webex .

  • Noví uživatelé vytvoření při zakázaném SSO obdrží e-mail s žádostí o vytvoření hesla.

Co dělat dál

Pokud vy nebo zákazník překonfigurujete jednotné přihlašování pro organizaci zákazníka, uživatelské účty se vrátí k zásadám hesla nastaveným nástrojem Idp integrovaným s organizací Webex.

Pokud narazíte na problémy s přihlášením SSO , můžete použít Možnost automatického obnovení SSO a získáte přístup do své organizace Webex spravované v centru Control Hub. Možnost vlastní obnovení vám umožňuje aktualizovat nebo zakázat SSO v nástroji Control Hub.