Wenn die Zertifikatsnutzung Ihrer Organisation auf „Keine“ festgelegt ist, Sie jedoch weiterhin eine Warnung erhalten, empfehlen wir Ihnen, das Upgrade dennoch durchzuführen. Ihre SSO Bereitstellung verwendet das Zertifikat heute nicht, aber möglicherweise benötigen Sie das Zertifikat für zukünftige Änderungen.

Serviceanbieter-Zertifikate


 

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder eine Warnung in Control Hub, dass das SSO -Zertifikat ( Einzelanmeldung-On ) von Webex abläuft. Befolgen Sie das Verfahren in diesem Artikel, um die SSO Cloud-Zertifikat-Metadaten von uns (dem SP) abzurufen und sie wieder Ihrem IdP hinzuzufügen. Andernfalls können Benutzer keine Webex -Dienste verwenden.

Wenn Sie das SAML SSO-Zertifikat in Ihrer Organisation verwenden, müssen Sie Ihr Zertifikat während eines regulären, geplanten Wartungsfensters vor dem 18. Juni 2018 aktualisieren.

Alle Dienste, die Teil des Abonnements Ihrer Organisation sind, sind betroffen, einschließlich, aber nicht beschränkt auf:

  • Webex -App (neue Anmeldungen für alle Plattformen: Desktop, Mobil und Web)

  • Webex -Dienste in Control Hub, einschließlich Anrufe

  • Webex Meetings-Site wird von Webex Control Hub verwaltet

  • Cisco Jabber , wenn SSO integriert ist

Vorbereitungen


 

Bitte lesen Sie sämtliche Anweisungen vor Beginn durch. Nach dem Ändern des Zertifikats oder dem Durchlaufen des Wizard zum Aktualisieren des Zertifikats können sich neue Benutzer möglicherweise nicht mehr anmelden.

Wenn Ihr IdP nicht mehrere Zertifikate unterstützt (die meisten IdPs auf dem Markt unterstützen diese Funktion nicht), empfehlen wir Ihnen zudem, dieses Upgrade während eines Wartungsfensters zu planen, wenn -Benutzer nicht betroffen sind. Diese Upgrade-Aufgaben sollten ca. 30 Minuten Betriebszeit und nach der Event-Validierung in Anspruch nehmen.

1

So überprüfen Sie, ob das SAML Cisco (SP) SSO Zertifikat abläuft:

  • Sie haben möglicherweise eine E-Mail oder eine Webex App-Nachricht von uns erhalten, sollten jedoch sicherheitshalber im Control Hub nachsehen.

  • Anmelden beihttps://admin.webex.com , und überprüfen Sie Ihr Alerts-Center . Möglicherweise wird eine Benachrichtigung über die Aktualisierung des SSO -Dienstanbieterzertifikats angezeigt.

  • Anmelden beihttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen > Authentifizierung , und notieren Sie den Zertifikatstatus in der Tabelle „ Cisco SAML -Zertifikate“ (abgelaufen oder demnächst abgelaufen). Klicken Sie auf Zertifikat verlängern um fortzufahren.

Sie können auch direkt zum SSO Wizard , um das Zertifikat zu aktualisieren. Wenn Sie den Wizard beenden, bevor Sie ihn abgeschlossen haben, können Sie jederzeit über Verwaltung > Organisationseinstellungen > Authentifizierung inhttps://admin.webex.com .

2

Wählen Sie den Zertifikattyp für die Verlängerung aus:

  • Selbstsigniert von Cisco – Wir empfehlen diese Auswahl. Lassen Sie das Zertifikat von uns signieren, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Vertrauensanker).

     

    Vertrauensanker sind öffentliche Schlüssel, die als Zertifizierungsstelle zum Überprüfen des Zertifikats einer digitalen Signatur fungieren. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

3

Klicken Sie auf Metadatendatei herunterladen, um eine Kopie der aktualisierten Metadaten mit dem neuen Zertifikat herunterzuladen. Lassen Sie diesen Bildschirm geöffnet.

4

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Webex -Metadatendatei hochzuladen.

5

Kehren Sie zu der Registerkarte zurück, auf der Sie sich bei Control Hub angemeldet haben, und klicken Sie auf Weiter .

6

Klicken Sie auf SSO-Aktualisierung testen, um zu bestätigen, dass die neue Metadatendatei von Ihrem Identitätsanbieter (IdP) korrekt hochgeladen und erkannt wurde. Bestätigen Sie die erwarteten Ergebnisse im Popup-Fenster und klicken Sie, falls der Test erfolgreich war, auf Zu neuen Metadaten wechseln.


 

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

Ergebnis: Sie sind fertig, und das SAML Cisco (SP) SSO -Zertifikat Ihrer Organisation ist jetzt verlängert. Sie können den Zertifikatstatus jederzeit überprüfen, indem Sie die SAML -Zertifikatstatustabelle unter öffnen Verwaltung > Organisationseinstellungen > Authentifizierung .

Identitätsanbieter-Zertifikat (IdP)


 

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder eine Warnung in Control Hub, dass das IdP-Zertifikat abläuft. Da IdP-Anbieter ihre eigene spezifische Dokumentation für die Zertifikatsverlängerung haben, behandeln wir die Anforderungen in Control Hub zusammen mit allgemeinen Schritten zum Abrufen aktualisierter IdP-Metadaten und zum Hochladen in Control Hub, um das Zertifikat zu erneuern.

1

So überprüfen Sie, ob das IdP SAML Zertifikat abläuft:

  • Sie haben möglicherweise eine E-Mail oder eine Webex App-Nachricht von uns erhalten, sollten jedoch sicherheitshalber im Control Hub nachsehen.
  • Anmelden beihttps://admin.webex.com , und überprüfen Sie Ihr Alerts-Center . Möglicherweise wird eine Benachrichtigung über die Aktualisierung des IdP SAML Zertifikats angezeigt:

  • Anmelden beihttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen > Authentifizierung , und notieren Sie den Zertifikatstatus (abgelaufen oder demnächst) in der Tabelle SAML -Zertifikate. Klicken Sie auf Zertifikat verlängern um fortzufahren.

  • Sie können auch direkt zum SSO Wizard , um das Zertifikat zu aktualisieren. Wenn Sie den Wizard beenden, bevor Sie ihn abgeschlossen haben, können Sie jederzeit über Verwaltung > Organisationseinstellungen > Authentifizierung inhttps://admin.webex.com .

2

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Metadatendatei abzurufen.

  • Dieser Schritt kann je nach IdP-Einrichtung und je nachdem, ob Sie oder ein separater IdP-Administrator für diesen Schritt verantwortlich sind, über eine Browser-Registerkarte, Remote Desktop Protocol (RDP) oder über die Unterstützung eines bestimmten Cloud-Anbieters ausgeführt werden.
  • Als Referenz: Weitere Informationen finden Sie in unseren SSO Integrationsleitfäden oder wenden Sie sich an Ihren IdP-Administrator, um Unterstützung zu erhalten.
3

Zurück zu Verwaltung > Organisationseinstellungen > Authentifizierung inhttps://admin.webex.com , und wählen Sie dann Aktionen > Metadaten importieren .

4

Ziehen Sie Ihre IdP-Metadatendatei per Drag-and-Drop in das Fenster oder klicken Sie auf Metadatendatei auswählen und laden Sie es auf diese Weise hoch.

5

Auswählen Weniger sicher (selbst signiert) oder Mehr Sicherheit (von einer öffentlichen Zertifizierungsstelle signiert), je nachdem, wie Ihre IdP-Metadaten signiert sind.

6

Klicken Sie auf SSO-Aktualisierung testen, um zu bestätigen, dass die neue Metadatendatei von Ihrem Identitätsanbieter (IdP) korrekt hochgeladen und erkannt wurde. Bestätigen Sie die erwarteten Ergebnisse im Popup-Fenster und klicken Sie, falls der Test erfolgreich war, auf Zu neuen Metadaten wechseln.


 

Um die SSO-Anmeldung direkt anzuzeigen, können Sie auch auf URL in die Zwischenablage kopieren von diesem Bildschirm aus klicken und in ein privates Browserfenster einfügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

Ergebnis: Sie sind fertig und das IdP-Zertifikat Ihrer Organisation ist jetzt verlängert. Sie können den Zertifikatstatus jederzeit überprüfen, indem Sie die SAML -Zertifikatstatustabelle unter öffnen Verwaltung > Organisationseinstellungen > Authentifizierung .

Sie können die neuesten Webex SP-Metadaten jederzeit exportieren, um sie wieder Ihrem IdP hinzuzufügen. Sie erhalten einen Hinweis, wenn die importierten IdP SAML Metadaten ablaufen oder abgelaufen sind.

Dieser Schritt ist nützlich in gängigen IdP- SAML -Zertifikatsverwaltungsszenarien, z. B. bei IdPs, die mehrere Zertifikate unterstützen und bei denen zuvor kein Export durchgeführt wurde, wenn die Metadaten nicht in den IdP importiert wurden, weil ein IdP-Administrator nicht verfügbar war, oder wenn Ihr IdP dies unterstützt Möglichkeit, nur das Zertifikat zu aktualisieren. Mit dieser Option können Sie die Änderung minimieren, da nur das Zertifikat in Ihrer SSO -Konfiguration und nach der Event-Validierung aktualisiert wird.

1

Aus der Kundenansicht inhttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen , blättern Sie zu Authentifizierung , und wählen Sie dann Aktionen > Metadaten exportieren .

Der Name der Webex Metadatendatei lautet idb-meta- -SP.xml .<org-ID>

2

Importieren Sie die Metadaten in Ihren IdP.

Befolgen Sie die Dokumentation für Ihren IdP, um die Webex SP-Metadaten zu importieren. Nutzen Sie unsere Leitfäden für die IdP-Integration oder schlagen Sie in der Dokumentation für Ihren spezifischen IdP nach, falls nicht aufgeführt.

3

Wenn Sie fertig sind, führen Sie den SSO -Test anhand der Schritte in Webex Zertifikat (SP) erneuern in diesem Artikel beschrieben.

Wenn sich Ihre IdP-Umgebung ändert oder Ihr IdP-Zertifikat abläuft, können Sie die aktualisierten Metadaten jederzeit in Webex importieren.

Vorbereitungen

Sammeln Sie Ihre IdP-Metadaten, in der Regel als exportierte XML-Datei.

1

Aus der Kundenansicht inhttps://admin.webex.com , gehen Sie zu Verwaltung > Organisationseinstellungen , blättern Sie zu Authentifizierung , und wählen Sie dann Aktionen > Metadaten importieren .

2

Ziehen Sie Ihre IdP-Metadatendatei per Drag-and-Drop in das Fenster oder klicken Sie auf Metadatendatei auswählen und laden Sie es auf diese Weise hoch.

3

Auswählen Weniger sicher (selbst signiert) oder Mehr Sicherheit (von einer öffentlichen Zertifizierungsstelle signiert), je nachdem, wie Ihre IdP-Metadaten signiert sind.

Bevor Zertifikate ablaufen, erhalten Sie Warnungen in Control Hub, aber Sie können auch proaktiv Warnungsregeln einrichten. Diese Regeln informieren Sie im Voraus, dass Ihre SP- oder IdP-Zertifikate ablaufen werden. Wir können Ihnen diese per E-Mail, einen Bereich in der Webex -App oder beides zusenden.


 

Unabhängig vom konfigurierten Bereitstellungskanal werden alle Warnungen immer in Control Hub angezeigt. Siehe Alerts-Center in Control Hub um weitere Informationen zu erhalten.

1

Aus der Kundenansicht inhttps://admin.webex.com , gehen Sie zu Alerts-Center .

2

Auswählen Verwalten dann Alle Regeln .

3

Wählen Sie in der Liste Regeln eine der SSO Regeln aus, die Sie erstellen möchten:

  • SSO-IdP-Zertifikat läuft ab
  • SSO-IdP-Zertifikat läuft ab
4

Aktivieren Sie im Abschnitt Bereitstellungskanal das Kontrollkästchen für E-Mail , Webex Bereich , oder beides.

Wenn Sie E-Mail auswählen, geben Sie die E-Mail-Adresse ein, die die Benachrichtigung erhalten soll.


 

Wenn Sie die Option Webex -Bereich auswählen, werden Sie automatisch zu einem Bereich innerhalb der Webex -App hinzugefügt, und wir übermitteln die Benachrichtigungen dorthin.

5

Speichern Sie Ihre Änderungen.

Nächste Schritte

Wir senden Warnungen zum Ablauf von Zertifikaten einmal alle 15 Tage, beginnend 60 Tage vor Ablauf. (Mit Warnungen können Sie an Tag 60, 45, 30 und 15 rechnen.) Warnungen werden beendet, wenn Sie das Zertifikat erneuern.

Möglicherweise wird ein Hinweis angezeigt, dass die URL für die Einzelabmeldung nicht konfiguriert ist:


 

Wir empfehlen Ihnen, Ihren IdP so zu konfigurieren, dass er die einmalige Abmeldung (auch bekannt als SLO) unterstützt. Webex unterstützt sowohl die Weiterleitungs- als auch die Post-Methode, die in unseren Metadaten verfügbar sind, die von Control Hub heruntergeladen werden. Nicht alle IdPs unterstützen SLO. Wenden Sie sich an Ihr IdP-Team, um Unterstützung zu erhalten. In einigen Fällen, für die großen IdP-Anbieter wie AzureAD, Ping Federate, ForgeRock und Oracle, die SLO unterstützen, wir dokumentieren, wie die Integration zu konfigurieren ist . Wenden Sie sich an Ihr Identitäts- und Sicherheitsteam, um Einzelheiten zu Ihrem IDP und zur ordnungsgemäßen Konfiguration zu erfahren.

URL für Einzelabmeldung ist nicht konfiguriert.

  • Eine bestehende IdP-Sitzung bleibt gültig. Wenn sich Benutzer das nächste Mal anmelden, werden sie möglicherweise nicht vom IdP zu einer erneuten Authentifizierung aufgefordert.

  • Beim Abmelden wird eine Warnmeldung angezeigt, sodass die Abmeldung von der Webex App nicht nahtlos erfolgt.

Sie können die Einzelanmeldung (SSO) für Ihre Webex -Organisation deaktivieren, die in Control Hub verwaltet wird. Möglicherweise möchten Sie SSO deaktivieren, wenn Sie die Identitätsanbieter (IdPs) wechseln.


 

Wenn die Einzelanmeldung für Ihre Organisation aktiviert wurde, aber fehlschlägt, können Sie Ihren Cisco -Partner beauftragen, der auf Ihre Webex -Organisation zugreifen kann, um sie für Sie zu deaktivieren.

1

Aus der Kundenansicht in , gehen Sie zu Verwaltung > Organisationseinstellungen und blättern Sie zu Authentifizierung .https://admin.webex.com

2

Um SSO zu deaktivieren, deaktivieren Sie das Einmaliges Anmelden Einstellung.

Ein Popup-Fenster wird angezeigt, das Sie vor der Deaktivierung von SSO warnt:

Wenn Sie SSO deaktivieren, werden Passwörter von der Cloud anstatt von Ihrer integrierten IdP-Konfiguration verwaltet.

3

Wenn Sie die Auswirkungen der Deaktivierung von SSO und fortfahren möchten, klicken Sie auf Deaktivieren .

In Control Hub wird die SSO -Einstellung deaktiviert und alle SAML -Zertifikatslisten werden entfernt.

Wenn SSO deaktiviert ist, wird Benutzern, die sich authentifizieren müssen, während des Anmeldevorgangs ein Passworteingabefeld angezeigt.

  • Benutzer, die in der Webex App kein Passwort haben, müssen entweder ihr Passwort zurücksetzen oder Sie müssen eine E-Mail senden, damit sie ein Passwort festlegen können.

  • Vorhandene authentifizierte Benutzer mit einem gültigen OAuth-Token haben weiterhin Zugriff auf die Webex App.

  • Neue Benutzer, die erstellt werden, während SSO deaktiviert ist, erhalten eine E-Mail mit der Aufforderung, ein Passwort zu erstellen.

Nächste Schritte

Wenn Sie oder der Kunde SSO für die Kundenorganisation neu konfigurieren, verwenden die Benutzerkonten wieder die Passwortrichtlinie, die vom IdP festgelegt wurde, der in die Webex Organisation integriert ist.

Wenn Sie Probleme mit Ihrer SSO Anmeldung haben, können Sie die Option für SSO -Wiederherstellung um Zugriff auf Ihre in Control Hub verwaltete Webex Organisation zu erhalten. Mit der Option für die automatische Wiederherstellung können Sie SSO in Control Hub aktualisieren oder deaktivieren.