SSO i Control Hub

Hvis du vil opsætte SSO for flere identitetsudbydere i din organisation, skal du se SSO med flere IdP'er i Webex.

Hvis din organisations certifikatbrug er indstillet til Ingen, men du stadig modtager en meddelelse, anbefaler vi, at du stadig fortsætter med opgraderingen. Din SSO-udrulning bruger ikke certifikatet i dag, men du har muligvis brug for certifikatet til fremtidige ændringer.

Webex-tjenesteydelse provider (SP)-certifikat

Fra tid til anden kan du modtage en e-mailmeddelelse eller få vist en meddelelse i Control Hub om, at Webex single sign-on (SSO)-certifikatet udløber. Følg processen i denne artikel for at hente SSO cloud-certifikatmetadata fra os (SP), og føj den tilbage til din IdP; Ellers vil brugerne ikke kunne bruge Webex-tjenesteydelser.

Hvis du bruger SAML Cisco (SP) SSO-certifikatet i din Webex-organisation, skal du planlægge at opdatere cloud-certifikatet i løbet af et regelmæssigt planlagt vedligeholdelsesvindue så hurtigt som muligt.

Alle tjenester, der er en del af dit Webex-organisationsabonnement, påvirkes, herunder men ikke begrænset til:

  • Webex-appen (nye logons for alle platforme: desktop, mobil og internettet)

  • Webex-tjenester i Control Hub , inklusiveopkald

  • Webex Meetings-websteder, der styres via Control Hub

  • Cisco Jabber, hvis det er integreret med SSO

Før du begynder

Læs venligst alle vejledninger inden start. Når du ændrer certifikatet eller går igennem guiden for at opdatere certifikatet, kan nye brugere muligvis ikke logge ind.

Hvis din IdP ikke understøtter flere certifikater (de fleste IdP'er på markedet understøtter ikke denne funktion), anbefaler vi, at du planlægger denne opgradering i løbet af et vedligeholdelsesvindue, hvor Webex-appbrugere ikke påvirkes. Disse opgraderingsopgaver skal tage ca. 30 minutter i driftstid og validering efter vent.

1

Sådan kontrollerer du, om SAML Cisco (SP) SSO-certifikatet udløber:

  • Du har muligvis modtaget en e-mail eller webex-appmeddelelse fra os, men du skal kontrollere i Control Hub for at være sikker.

  • Log ind på https://admin.webex.com, og tjek dit Meddelelsescenter. Der kan være en meddelelse om opdatering af SSO Tjenesteudbyder certifikat.

  • Log ind på https://admin.webex.com, gå til Administration > Organisationsindstillinger > Enkeltlogon, og klik på Administrer SSO og IdP'er.
  • Gå til fanen Identitetsudbyder , og notér statussen for Cisco SP-certifikatet og udløbsdatoen.

Du kan også gå direkte SSO i guiden for at opdatere certifikatet. Hvis du beslutter dig for at forlade guiden, før du fuldfører den, kan du få adgang til den igen når som helst fra Administration > Organisationsindstillinger > Enkeltlogonhttps://admin.webex.com.

2

Gå til IdP'en, og klik på .

3

Klik på Gennemse certifikater og udløbsdato.

4

Klik på Forny certifikat.

5

Vælg den type IdP, som din organisation bruger.

  • En IdP, der understøtter flere certifikater
  • En IdP, der understøtter et enkelt certifikat

Hvis din IdP understøtter et enkelt certifikat, anbefaler vi, at du venter for at udføre disse trin under planlagt nedetid. Mens det Webex certifikat opdateres, vil nye brugerlogon kortvarigt ikke virke. eksisterende log ind-programmer bevares.

6

Vælg certifikattypen for fornyelsen:

  • Selvsigneret af Cisco – vi anbefaler dette valg. Lad os underskrive certifikatet, så du kun behøver at forny det én gang hvert femte år.
  • Underskrevet af en offentlig certifikatmyndighed – Mere sikker, men du skal ofte opdatere metadataene (medmindre din IdP-leverandør understøtter tillidsankre).

    Tillidsankre er offentlige nøgler, der fungerer som en myndighed til at bekræfte en digital underskrifts certifikat. Få yderligere oplysninger i din IdP-dokumentation.

    Før du fortsætter til de næste trin, skal du sørge for, at du er klar til at forny dit certifikat og fungerer i vinduet til ændring af din organisation. Hvis du vælger Selvsigneret Cisco eller Signeret af en offentlig certifikatmyndighed , oprettes der øjeblikkeligt et nyt certifikat. Når certifikatet ændres for en enkelt IdP, stopper SSO, indtil certifikatet eller metadataene overføres på IdP'en. Det er derfor vigtigt at fuldføre fornyelsesprocessen.

7

Klik på download metadata-fil for at downloade en kopi af de opdaterede metadata med det nye certifikat fra WebEx Cloud. Hold denne skærm åben.

8

Naviger til din IdP-administrationsgrænseflade for at overføre den nye Webex-metadatafil.

9

Vend tilbage til fanen, hvor du loggede ind på Control Hub, og klik på Næste.

10

Opdater IdP'en med det nye SP-certifikat og metadata, og klik på Næste.

  • Alle IdP'erne blev opdateret
  • Hvis du har brug for mere tid til at opdatere, kan du gemme det fornyede certifikat som den sekundære mulighed
11

Klik på Afslut fornyelse.

Identitetsudbyder (IdP)-certifikat

Fra tid til anden kan du modtage en e-mailmeddelelse eller få vist en meddelelse i Control Hub om, at IdP-certifikatet udløber. Da IdP-leverandører har deres egne specifikke dokumentation for certifikatfornyelse, dækker vi, hvad der kræves i Control Hub, sammen med generiske trin til at hente opdaterede IdP-metadata og overføre dem til Control Hub for at forny certifikatet.

1

Sådan kontrollerer du, om IdP SAML-certifikatet udløber:

  • Du har muligvis modtaget en e-mail eller webex-appmeddelelse fra os, men du skal kontrollere i Control Hub for at være sikker.
  • Log ind på https://admin.webex.com, og tjek dit Meddelelsescenter. Der kan være en meddelelse om opdatering af IdP SAML-certifikatet:

  • Log ind på https://admin.webex.com, gå til Administration > Organisationsindstillinger > Enkeltlogon, og klik på Administrer SSO og IdP'er.
  • Gå til fanen Identitetsudbyder , og notér IdP-certifikatstatus (udløbet eller udløber snart) og udløbsdatoen.

  • Du kan også gå direkte SSO i guiden for at opdatere certifikatet. Hvis du beslutter dig for at forlade guiden, før du fuldfører den, kan du få adgang til den igen når som helst fra Administration > Organisationsindstillinger > Enkeltlogonhttps://admin.webex.com.

2

Naviger til din IdP administrationsgrænseflade for at hente den nye metadatafil.

  • Dette trin kan udføres via en browserfane, RDP (Remote Desktop Protocol) eller via specifik support fra cloud-udbyderen, afhængigt af din IdP-opsætning, og om du eller en separat IdP-administrator er ansvarlig for dette trin.
  • Du kan få flere oplysninger i vores SSO integrationsvejledninger eller kontakte din IdP-administrator for support.
3

Vend tilbage til fanen Identitetsudbyder .

4

Gå til IdP'en, klik på overfør , og vælg Overfør IdP-metadata.

5

Træk og slip din IdP-metadatafil i vinduet, eller klik på Vælg en fil , og overfør den på den måde.

6

Vælg Mindre sikker (selvunderskreven) eller mere sikker (underskrevet af en offentlig CA), afhængigt af hvordan dine IdP-metadata underskrives.

7

Klik på Test SSO-opdatering for at bekræfte, at den nye metadatafil blev overført og fortolket korrekt til din Control Hub-organisation. Bekræft de forventede resultater i pop op-vinduet, og hvis testen var vellykket, skal du vælge Vellykket test: Aktivér SSO og IdP'en, og klik på Gem.

Hvis du vil se SSO-loginoplevelsen direkte, anbefaler vi, at du klikker på Kopiér URL-adresse til udklipsholder fra denne skærm og indsætter den i et privat browservindue. Derfra kan du gennemgå loginprocessen med SSO. Dette bidrager til at fjerne eventuelle oplysninger gemt i din webbrowser, som kan give et falsk positivt resultat, når du tester din SSO-konfiguration.

Resultat: Du er færdig, og din organisations IdP-certifikat er nu fornyet. Du kan kontrollere certifikatstatus når som helst under fanen Identitetsudbyder .

Du kan eksportere de seneste Webex SP-metadata, når du har brug for at tilføje dem tilbage til din IdP. Du får vist en meddelelse, når den importerede IdP SAML-metadata udløber eller er udløbet.

Dette trin er nyttigt i almindelige IdP SAML certifikatadministration-scenarier, såsom IDP'er, der understøtter flere certifikater, hvor eksport ikke blev udført tidligere, hvis metadataene ikke blev importeret til IdP, fordi en IdP-administrator ikke var tilgængelig, eller hvis din IdP understøtter muligheden for kun at opdatere certifikatet. Denne valgmulighed kan hjælpe med at minimere ændringen ved kun at opdatere certifikatet i SSO konfiguration og validering efter begivenheden.

1

Fra kundevisningen i https://admin.webex.com skal du gå til Administration > Organisationsindstillinger, rulle ned til Enkeltlogon og klikke på Administrer SSO og IdP'er.

2

Gå til fanen Identitetsudbyder .

3

Gå til IdP'en, klik på Download , og vælg Download SP-metadata.

Webex-appens metadatafilnavn er idb-meta-<org-ID>-SP.xml.

4

Importer metadataene til din IdP.

Følg dokumentationen for din IdP for at importere Webex SP-metadata. Du kan bruge vores IdP-integrationsvejledninger eller rådføre dig med dokumentationen for din specifikke IdP, hvis den ikke er angivet.

5

Når du er færdig, skal du køre SSO-testen ved hjælp af trinnene i Forny Webex-certifikat (SP) i denne artikel.

Når dit IdP-miljø ændres, eller hvis dit IdP-certifikat udløber, kan du importere de opdaterede metadata til Webex til enhver tid.

Før du begynder

Indsamd din IdP-metadata, typisk som en eksporteret xml-fil.

1

Fra kundevisningen i https://admin.webex.com skal du gå til Administration > Organisationsindstillinger, rulle ned til Enkeltlogon og klikke på Administrer SSO og IdP'er.

2

Gå til fanen Identitetsudbyder .

3

Gå til IdP'en, klik på overfør , og vælg Overfør IdP-metadata.

4

Træk og slip din IdP metadata-fil i vinduet, eller klik på Vælg en metadata-fil, og overfør den på den måde.

5

Vælg Mindre sikker (selvunderskreven) eller mere sikker (underskrevet af en offentlig CA), afhængigt af hvordan dine IdP-metadata underskrives.

6

Klik på Test SSO-opsætning, og når der åbnes en ny browserfane, skal du godkende med IdP'en ved at logge ind.

Du vil modtage varsler i Control Hub, før certifikaterne udløber, men du kan også proaktivt opsætte regler for påmindelser. Disse regler giver dig besked på forhånd om, at dine SP- eller IdP-certifikater udløber. Vi kan sende disse til dig via e-mail, et rum i Webex-appeneller begge dele.

Uanset den leverede kanal, der er konfigureret, vises alle varsler altid i Control Hub. Se Alerts Center i Control Hub for yderligere oplysninger.

1

Log ind på Control Hub.

2

Gå til Alarmcenter.

3

Vælg Administrer og derefter Alle regler .

4

Fra listen Regler skal du vælge de SSO regler, som du vil oprette:

  • SSO IDP-certifikat udløber
  • SSO SP-certifikat udløber
5

I afsnittet Leveringskanal skal du markere feltet for E-mail, Webex-rumeller begge dele.

Hvis du vælger E-mail, skal du indtaste e-mailadressen, der skal modtage underretningen.

Hvis du vælger valgmuligheden Webex-rum, bliver du automatisk tilføjet til et rum i Webex-appen, og vi leverer underretningerne der.

6

Gem dine ændringer.

Hvad er næste trin?

Vi sender certifikatudløbsvarsler en gang hver 15. dag, fra og med 60 dage før udløb. (Du kan forvente varsler på dag 60, 45, 30 og 15) Varsler stopper, når du fornyer certifikatet.

Du kan se en meddelelse om, at URL-adressen til enkelt log af ikke er konfigureret:

Vi anbefaler, at du konfigurerer din IdP til at understøtte Single Log Out (også kendt som SLO). Webex understøtter både omdirigerings- og postmetoden, der er tilgængelige i vores metadata, som downloades fra Control Hub. Ikke alle identitetsudbydere understøtter SLO; kontakt venligst dit IdP-team for assistance. Nogle gange dokumenterer vi, hvordan integrationen konfigureres for de store IdP-leverandører som AzureAD, Ping Federate, ForgeRock og Oracle, der understøtter SLO. Kontakt dit identitets- og sikkerhedsteam om specifikationerne for din IDP, og hvordan du konfigurerer den korrekt.

Hvis URL-adressen til enkelt log af ikke er konfigureret:

  • En eksisterende IdP-session forbliver gyldig. Næste gang brugere logger ind, bliver de muligvis ikke bedt om at give et igen af IdP'en.

  • Vi viser en advarsel ved log ud, så Webex App log ud ikke sker problemfrit.

Du kan deaktivere disse single sign-on (SSO) for din Webex-organisation, der administreres i Control Hub. Du kan deaktivere SSO, hvis du ændrer identitetsudbydere (IdP'er).

Hvis single sign-on er aktiveret for din organisation, men ikke er det, kan du engagere din Cisco-partner, som har adgang til din Webex-organisation, for at deaktivere den for dig.

1

Fra kundevisningen i https://admin.webex.com skal du gå til Administration > Organisationsindstillinger, rulle ned til Enkeltlogon og klikke på Administrer SSO og IdP'er.

2

Gå til fanen Identitetsudbyder .

3

Klik på Deaktiver SSO.

Der vises et pop op-vindue, der advarer dig om at deaktivere SSO:

Deaktiver SSO

Hvis du deaktiverer SSO, administreres adgangskoder af -skyen i stedet for din integrerede IdP-konfiguration.

4

Hvis du forstår indvirkningen af deaktivering af SSO og ønsker at fortsætte, klik på Deaktiver.

SSO er deaktiveret, og alle SAML-certifikatlister fjernes.

Hvis SSO er deaktiveret, vil brugere, der skal godkende, se et adgangskodeindtastningsfelt under loginprocessen.

  • Brugere, der ikke har en adgangskode i Webex-appen, skal enten nulstille deres adgangskode, eller du skal sende en e-mail, så de kan indstille en adgangskode.

  • Eksisterende godkendte brugere med et gyldigt OAuth-token vil fortsat have adgang til Webex-appen.

  • Nye brugere, der er oprettet SSO deaktiveret, modtager en e-mail, hvor de bliver bedt om at oprette en adgangskode.

Hvad er næste trin?

Hvis du eller kunden omkonfigurerer SSO for kundeorganisationen, går brugerkonti tilbage til at bruge adgangskodepolitikken, der er indstillet af den IdP, der er integreret med Webex-organisationen.

Hvis du støder på problemer med dit SSO-login, kan du bruge valgmuligheden SSO-selvgendannelse til at få adgang til din Webex-organisation, der administreres i Control Hub. Valgmuligheden Selvgendannelse giver dig mulighed for at opdatere eller deaktivere SSO i Control Hub.