SSO im Control Hub

Wenn Sie SSO für mehrere Identitätsanbieter in Ihrer Organisation einrichten möchten, lesen Sie SSO mit mehreren IdPs in Webex.

Wenn die Zertifikatsverwendung Ihres Unternehmens auf Keine eingestellt ist, Sie aber immer noch eine Warnung erhalten, empfehlen wir Ihnen, mit dem Upgrade fortzufahren. Ihre SSO verwendet das Zertifikat heute nicht, aber Möglicherweise benötigen Sie das Zertifikat für zukünftige Änderungen.

Webex-Dienst(SP)-Zertifikat des Anbieters

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder sehen eine Warnung in Control Hub, dass das Webex einmaliges Anmelden (SSO)-Zertifikat abläuft. Befolgen Sie den Prozess in diesem Artikel, um die SSO Cloud-Zertifikat-Metadaten von uns (der SP) abzurufen und sie wieder zu Ihrem IdP hinzuzufügen; andernfalls können die Benutzer keine Webex-Dienste nutzen.

Wenn Sie das SAML Cisco (SP) SSO-Zertifikat in Ihrer Webex-Organisation verwenden, müssen Sie das Cloud-Zertifikat so bald wie möglich während eines regulären geplanten Wartungsfensters aktualisieren.

Alle Dienste, die Teil Ihres Webex Organization-Abonnements sind, sind betroffen, einschließlich, aber nicht beschränkt auf:

  • Webex-App (neue Anmeldungen für alle Plattformen: Desktop, Handy und Web)

  • Webex-Dienste in Control Hub , einschließlichAnrufe

  • Über Control Hub verwaltete Webex Meetings-Sites

  • Cisco Jabber, falls dieses in Cisco Jabber integriert SSO

Vorbereitungen

Bitte lesen Sie sämtliche Anweisungen vor Beginn durch. Nachdem Sie das Zertifikat geändert oder den Assistenten zum Aktualisieren des Zertifikats durch verwendet haben, können sich neue Benutzer möglicherweise nicht mehr erfolgreich anmelden.

Wenn Ihr IdP nicht mehrere Zertifikate unterstützt (die meisten IdPs auf dem Markt unterstützen diese Funktion nicht), empfehlen wir Ihnen, dieses Upgrade während eines Wartungsfensters zu planen, in dem Webex-App-Benutzer nicht betroffen sind. Diese Upgrade-Aufgaben sollten ca. 30 Minuten Betriebszeit und Validierung nach dem Upgrade in Anspruch nehmen.

1

So überprüfen Sie, ob das SAML Cisco (SP)SSO zertifikat abläuft:

  • Sie haben möglicherweise eine E-Mail oder eine Webex App-Nachricht von uns erhalten, aber Sie sollten sich in Control Hub sicher sein.

  • Melden Sie sich bei https://admin.webex.coman und überprüfen Sie Ihr Warnhinweise-Center. Möglicherweise wird eine Benachrichtigung über eine Aktualisierung des SSO Dienstleister erhalten.

  • Melden Sie sich bei https://admin.webex.com an, gehen Sie zu Verwaltung > Organisationseinstellungen > Single Sign-On und klicken Sie auf SSO und IdPs verwalten.
  • Gehen Sie zur Registerkarte Identitätsanbieter , und notieren Sie sich den Cisco SP-Zertifikatstatus und das Ablaufdatum.

Sie können auch direkt in SSO Assistenten gehen, um das Zertifikat zu aktualisieren. Wenn Sie den Assistenten beenden möchten, bevor Sie ihn abschließen, können Sie jederzeit unter Verwaltung > Organisationseinstellungen > Einmaliges Anmelden in https://admin.webex.com erneut darauf zugreifen.

2

Wechseln Sie zum IdP und klicken Sie auf .

3

Klicken Sie auf Zertifikate und Ablaufdatum prüfen.

4

Klicken Sie auf Zertifikat erneuern.

5

Wählen Sie den IdP-Typ aus, den Ihre Organisation verwendet.

  • Ein Identitätsanbieter (IdP), der mehrere Zertifikate unterstützt
  • Ein Identitätsanbieter (IdP), der ein einzelnes Zertifikat unterstützt

Wenn Ihr Identitätsanbieter (IdP) ein einzelnes Zertifikat unterstützt, empfehlen wir, dass Sie diese Schritte während einer geplanten Ausfallzeit ausführen. Während das WebEx Zertifikat aktualisiert wird, funktionieren neue Benutzereingaben kurzerhand nicht. Bestehende anmelden sind erhalten.

6

Wählen Sie den Zertifikattyp für die Verlängerung aus:

  • Selbstsigniert von Cisco – Diese Auswahl wird empfohlen. Unterzeichnen Sie das Zertifikat, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Anchors für Vertrauensstellung).

    Vertrauensanker sind öffentliche Schlüssel, die als Berechtigung fungieren, das Zertifikat einer digitalen Signatur zu überprüfen. Weitere Informationen finden Sie in Ihrer IdP-Dokumentation.

7

Klicken Sie auf Metadatendatei herunterladen , um eine Kopie der aktualisierten Metadaten mit dem neuen Zertifikat aus der WebEx zu laden. Lassen Sie diesen Bildschirm geöffnet.

8

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Webex-Metadatendatei hochzuladen.

  • Dieser Schritt kann über eine Browser-Registerkarte, ein Remote-Desktop-Protokoll (RDP) oder über einen bestimmten Cloud-Anbieter-Support erfolgen. Dies hängt von Ihrer IdP-Einrichtung ab und ob Sie oder ein separater IdP-Administrator für diesen Schritt verantwortlich sind.
  • Weitere Informationen finden Sie in unseren SSO Integrationshandbüchern, oder wenden Sie sich an Ihren IdP-Administrator, um Unterstützung zu erhalten. Wenn Sie Active Directory Federation Services (AD FS) verwenden, können Sie sehen, wie Sie Webex-Metadaten in AD FSaktualisieren.
9

Kehren Sie zu der Registerkarte zurück, in der Sie sich bei Control Hub angemeldet haben, und klicken Sie auf Weiter.

10

Aktualisieren Sie den IdP mit dem neuen SP-Zertifikat und den Metadaten, und klicken Sie auf Weiter.

  • Alle IdPs aktualisiert
  • Wenn Sie mehr Zeit für die Aktualisierung brauchen, speichern Sie das erneuerte Zertifikat als sekundäre Option.
11

Klicken Sie auf Erneuerung abschließen.

Identitätsanbieter (IdP)-Zertifikat

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder sehen eine Warnung in Control Hub, dass das IdP-Zertifikat abläuft. Da IdP-Anbieter über ihre eigene spezifische Dokumentation für die Zertifikatserneuerung verfügen, decken wir die in Control Hub erforderlichen Informationen zusammen mit allgemeinen Schritten zum Abrufen aktualisierter IdP-Metadaten und laden sie auf Control Hub hoch, um das Zertifikat zu erneuern.

1

So überprüfen Sie, ob das IdP SAML-Zertifikat abläuft:

  • Sie haben möglicherweise eine E-Mail oder eine Webex App-Nachricht von uns erhalten, aber Sie sollten sich in Control Hub sicher sein.
  • Melden Sie sich bei https://admin.webex.coman und überprüfen Sie Ihr Warnhinweise-Center. Möglicherweise wird eine Benachrichtigung über die Aktualisierung des IdP SAML-Zertifikats angezeigt:

  • Melden Sie sich bei https://admin.webex.com an, gehen Sie zu Verwaltung > Organisationseinstellungen > Single Sign-On und klicken Sie auf SSO und IdPs verwalten.
  • Gehen Sie zur Registerkarte Identitätsanbieter , und notieren Sie sich den IdP-Zertifikatstatus (abgelaufen oder bald abläuft) und das Ablaufdatum.

  • Sie können auch direkt in SSO Assistenten gehen, um das Zertifikat zu aktualisieren. Wenn Sie den Assistenten beenden möchten, bevor Sie ihn abschließen, können Sie jederzeit unter Verwaltung > Organisationseinstellungen > Einmaliges Anmelden in https://admin.webex.com erneut darauf zugreifen.

2

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Metadatendatei abzurufen.

  • Dieser Schritt kann über eine Browser-Registerkarte, ein Remote-Desktop-Protokoll (RDP) oder über einen bestimmten Cloud-Anbieter-Support erfolgen. Dies hängt von Ihrer IdP-Einrichtung ab und ob Sie oder ein separater IdP-Administrator für diesen Schritt verantwortlich sind.
  • Weitere Informationen finden Sie in unseren SSO Integrationshandbüchern, oder wenden Sie sich an Ihren IdP-Administrator, um Unterstützung zu erhalten.
3

Kehren Sie zur Registerkarte Identitätsanbieter zurück.

4

Gehen Sie zum IdP, klicken Sie auf hochladen und wählen Sie IdP-Metadaten hochladen aus.

5

Ziehen Sie Ihre IdP-Metadatendatei per Drag-and-Drop in das Fenster oder klicken Sie auf Datei auswählen und laden Sie sie so hoch.

6

Wählen Sie Weniger sicher (selbstsignierte) oder Sicherer (signiert durch eine öffentliche Zertifizierungsstelle) aus, je nachdem, wie Ihre IdP-Metadaten signiert sind.

7

Klicken Sie auf SSO-Aktualisierung testen , um zu bestätigen, dass die neue Metadatendatei hochgeladen und korrekt für Ihre Control Hub-Organisation ausgewertet wurde. Bestätigen Sie die erwarteten Ergebnisse im Popup-Fenster. Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test: Aktivieren Sie SSO und den IdP und klicken Sie auf Speichern.

Um die SSO-Anmeldung direkt anzuzeigen, empfehlen wir Ihnen, auf URL in die Zwischenablage kopieren von diesem Bildschirm aus zu klicken und in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

Ergebnis: Sie sind fertig, und das IdP-Zertifikat Ihrer Organisation wurde erneuert. Sie können den Zertifikatstatus jederzeit auf der Registerkarte Identitätsanbieter überprüfen.

Sie können die neuesten Webex SP-Metadaten jederzeit exportieren, wenn Sie sie wieder zu Ihrem IdP hinzufügen müssen. Sie sehen einen Hinweis, wenn die importierten IdP SAML Metadaten ablaufen oder abgelaufen sind.

Dieser Schritt ist in allgemeinen IdP SAML Zertifikats-Management-Szenarios nützlich, wie beispielsweise IdPs, die mehrere Zertifikate unterstützen, wenn der Export nicht zuvor durchgeführt wurde, wenn die Metadaten nicht in den IdP importiert wurden, weil ein IdP-Administrator nicht verfügbar war, oder wenn Ihr IdP die Möglichkeit unterstützt, nur das Zertifikat zu aktualisieren. Diese Option kann dazu beitragen, die Änderung zu minimieren, indem sie nur das Zertifikat in SSO Konfiguration und Validierung nach dem Event aktualisiert.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

2

Gehen Sie zur Registerkarte Identitätsanbieter .

3

Wechseln Sie zum IdP, klicken Sie auf Download und wählen Sie SP-Metadaten herunterladen aus.

Der Name der Metadatendatei der Webex-App lautet idb-meta--SP.xml.

4

Importieren Sie die Metadaten in Ihren IdP.

Befolgen Sie die Dokumentation für Ihren IdP, um die Webex SP-Metadaten zu importieren. Sie können unsere IdP-Integrationshandbücher verwenden oder die Dokumentation für Ihren spezifischen IdP konsultieren, wenn diese nicht aufgeführt ist.

5

Führen Sie den SSO-Test anschließend mithilfe der Schritte unter Webex-Zertifikat erneuern (SP) in diesem Artikel aus.

Wenn sich Ihre IdP-Umgebung ändert oder Ihr IdP-Zertifikat abläuft, können Sie die aktualisierten Metadaten jederzeit in Webex importieren.

Vorbereitungen

Sammeln Sie Ihre IdP-Metadaten in der Regel als exportierte XML-Datei.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

2

Gehen Sie zur Registerkarte Identitätsanbieter .

3

Gehen Sie zum IdP, klicken Sie auf hochladen und wählen Sie IdP-Metadaten hochladen aus.

4

Ziehen Sie Ihre Datei per Drag&amp IdP-Metadatendatei Drop in das Fenster oder klicken Sie auf Metadatendatei auswählen und laden Sie sie auf diese Weise hoch.

5

Wählen Sie Weniger sicher (selbstsignierte) oder Sicherer (signiert durch eine öffentliche Zertifizierungsstelle) aus, je nachdem, wie Ihre IdP-Metadaten signiert sind.

6

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich, wenn sich eine neue Browser-Registerkarte öffnet, durch Anmeldung beim IdP.

Sie erhalten Warnungen in Control Hub, bevor die Zertifikate Ablaufen, aber Sie können auch proaktiv Warnregeln einrichten. Diese Regeln informieren Sie im Voraus, dass Ihre SP- oder IdP-Zertifikate ablaufen. Wir können ihnen diese per E-Mail, über einen Bereich in der Webex-App oder überbeides senden.

Unabhängig vom konfigurierten Bereitstellungskanal werden alle Warnungen immer in Control Hubangezeigt. Weitere Informationen finden Sie unter Warnungszentrum im Control Hub.

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Alerts Center.

3

Wählen Sie Verwalten und dann Alle Regeln aus.

4

Wählen Sie aus der Liste Regeln eine der SSO, die Sie erstellen möchten:

  • SSO des IDP-Zertifikatsablaufs
  • SSO des SP-Zertifikats abgelaufen
5

Aktivieren Sie im Abschnitt Zustellkanal das Kontrollkästchen für E-Mail, Webex-Bereichoder beides.

Wenn Sie E-Mail wählen, geben Sie die E-Mail-Adresse ein, die die Benachrichtigung erhalten soll.

Wenn Sie die Option für den Webex-Bereich auswählen, werden Sie automatisch zu einem Bereich innerhalb der Webex-App hinzugefügt und wir senden die Benachrichtigungen dort.

6

Speichern Sie Ihre Änderungen.

Nächste Schritte

Wir senden alle 15 Tage ab 60 Tagen vor Ablauf eines Zertifikats eine Benachrichtigung über den Ablauf des Zertifikats. (Sie können mit Warnungen an den Tagen 60, 45, 30 und 15 rechnen.) Warnungen werden beendet, wenn Sie das Zertifikat erneuern.

Möglicherweise wird ein Hinweis angezeigt, dass die Einzelabmelde-URL nicht konfiguriert ist:

Wir empfehlen Ihnen, Ihren IdP so zu konfigurieren, dass er Single Log Out (auch als SLO bekannt) unterstützt. Webex unterstützt sowohl die Weiterleitungs- als auch die Post-Methoden, die in unseren Metadaten verfügbar sind, die von Control Hub heruntergeladen werden. SLO wird nicht von allen IdPs unterstützt; Bitte wenden Sie sich an Ihr IdP-Team, um Unterstützung zu erhalten. Manchmal dokumentieren wir für die großen IdP-Anbieter wie AzureAD, Ping Federate, ForgeRock und Oracle, die SLO unterstützen, wie die Integration konfiguriert wird. Wenden Sie sich an Ihr Identity & Security-Team, um Einzelheiten zu Ihrem IDP zu erfahren und wie Sie ihn richtig konfigurieren können.

Wenn die URL für Einzelabmeldung nicht konfiguriert ist:

  • Eine vorhandene IdP-Sitzung bleibt gültig. Wenn sich Benutzer das nächste Mal anmelden, werden sie möglicherweise nicht vom IdP erneut aufgefordert.

  • Wir zeigen eine Warnmeldung bei der Abmeldung an, sodass die Webex-App-Abmeldung nicht nahtlos erfolgt.

Sie können die einmaliges Anmelden (SSO) für Ihre in Control Hub verwaltete Webex-Organisation deaktivieren. Möglicherweise möchten Sie die SSO deaktivieren, wenn Sie die Identitätsanbieter (IdPs) ändern.

Wenn einmaliges Anmelden für Ihre Organisation aktiviert wurde, sie jedoch nicht besitzt, können Sie Ihren Cisco-Partner, der auf Ihre Webex-Organisation zugreifen kann, damit er diese für Sie deaktiviert.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Verwaltung > Organisationseinstellungen, blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

2

Gehen Sie zur Registerkarte Identitätsanbieter .

3

Klicken Sie auf SSO deaktivieren.

Ein Popup-Fenster erscheint, in dem Sie darauf hingewiesen werden, einmaliges Anmelden zu deaktivieren:

Einzelanmeldung (SSO) aktivieren

Wenn Sie SSO deaktivieren, werden Passwörter statt Ihrer integrierten IdP-Konfiguration von der Cloud verwaltet.

4

Wenn Sie die Auswirkungen der Deaktivierung von SSO verstehen und fortfahren möchten, klicken Sie auf Deaktivieren.

SSO ist deaktiviert und alle SAML-Zertifikatseinträge werden entfernt.

Wenn SSO deaktiviert ist, wird Benutzern, die sich authentifizieren müssen, während des Anmeldevorgangs ein Passwort-Eingabefeld angezeigt.

  • Benutzer, die kein Passwort in der Webex-App haben, müssen entweder ihr Passwort zurücksetzen oder Sie müssen eine E-Mail senden, damit sie ein Passwort festlegen können.

  • Bestehende authentifizierte Benutzer mit einem gültigen OAuth Token haben weiterhin Zugriff auf die Webex-App.

  • Neue Benutzer, die während der SSO sind, erhalten eine E-Mail mit der Bitte, ein Passwort zu erstellen.

Nächste Schritte

Wenn Sie oder der Kunde SSO für die Kundenorganisation neu konfigurieren, kehren die Benutzerkonten zur Verwendung der Passwortrichtlinie zurück, die vom IdP festgelegt wird, der in die Webex-Organisation integriert ist.

Wenn bei Ihrer SSO-Anmeldung Probleme auftreten, können Sie die SSO-Option zur Selbstwiederherstellung verwenden, um Zugriff auf Ihre in Control Hub verwaltete Webex-Organisation zu erhalten. Mit der Option zur Selbstwiederherstellung können Sie SSO in Control Hub aktualisieren oder deaktivieren.