Si recibió una notificación acerca de que un certificado está caducando o desea comprobar su configuración de SSO existente, puede utilizar las características de administración del inicio de sesión único (SSO) en Control Hub para las actividades de mantenimiento de administración de certificados y de SSO en general. Cada SSO administración de pantallas se cubre en las fichas individuales de este artículo.
Si el uso de certificados de su organización está establecido en Ninguno, pero aún está recibiendo una alerta, le recomendamos que continúe con la mejora. Su SSO actual no utiliza el certificado, pero es posible que necesite el certificado para cambios futuros. |
De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado inicio de sesión único (SSO) de Webex caducará. Siga el proceso que se describe en este artículo para recuperar los metadatos de SSO certificado en la nube de nuestra parte (el SP) y volver a agregarlos a su IdP; de lo contrario, los usuarios no podrán utilizar los servicios de Webex. |
Si está utilizando el certificado de SSO de Cisco (SP) SAML en su organización de Webex, debe planificar actualizar el certificado en la nube durante un período de mantenimiento regular programado lo antes posible.
Todos los servicios que forman parte de la suscripción de su organización de Webex se ven afectados, entre los que se incluyen:
Aplicación de Webex (nuevos inicios de sesión para todas las plataformas: escritorio, móvil y web)
Servicios de Webex en Control Hub , incluidas las llamadas
Sitios de Webex Meetings administrados a través de Control Hub
Cisco Jabber si está integrado con SSO
Antes de comenzar
Lea todas las instrucciones antes de comenzar. Después de cambiar el certificado o pasar por el asistente para actualizar el certificado, es posible que los usuarios nuevos no puedan iniciar sesión con éxito. |
Si su IdP no es compatible con varios certificados (la mayoría de los IdP del mercado no admiten esta característica), le recomendamos que plantee esta mejora durante un período de mantenimiento en el que los usuarios de la aplicación de Webex no se ven afectados. Estas tareas de mejora deberían tomar aproximadamente 30 minutos en tiempo operativo y en validación posterior al evento.
1 | Para comprobar si el certificado de SSO de Cisco (SP) SAML va a caducar:
También puede ir directamente al asistente SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede acceder de nuevo en cualquier momento desde Administración > Configuración de la organización > https://admin.webex.com. autenticación en |
||
2 | Elija el tipo de certificado para la renovación:
|
||
3 | Haga clic en Descargar archivo de metadatos para descargar una copia de los metadatos actualizados con el nuevo certificado de la nube de Webex. Mantenga esta pantalla abierta. |
||
4 | Diríjase a su interfaz de administración de IdP para cargar el nuevo archivo de metadatos de Webex.
|
||
5 | Regrese a la ficha en la que hizo clic en Control Hub y haga clic en Siguiente. |
||
6 | Haga clic en Probar actualización del SSO para confirmar que su IdP cargó e interpretó correctamente el nuevo archivo de metadatos. Confirme los resultados esperados en la ventana emergente y si la prueba tuvo éxito, haga clic en Cambiar a los nuevos metadatos.
Resultado: Ha terminado y el certificado de saml de Cisco (SP) para SAML de su SSO ahora es renovado. Puede comprobar el estado del certificado en cualquier momento si abre la tabla de estado del certificado SAML en Management > Organization Settings (Configuraciones de la . |
De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado idP caducará. Como los proveedores de IdP tienen su propia documentación específica para la renovación de certificados, cubrimos lo que se requiere en Control Hub , junto con pasos genéricos para recuperar metadatos del IdP actualizados y cargarlos en Control Hub para renovar el certificado. |
1 | Para comprobar si el certificado SAML del IdP caducará:
|
||
2 | Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos.
|
||
3 | Regrese a Administración y > de la organización > en Autenticación de pantalla en y, a continuación, https://admin.webex.com . |
||
4 | Arrastre y suelte su archivo de metadatos del IdP en la ventana o haga clic en Elegir un archivo de metadatos y cárquelo de esa manera. |
||
5 | Elija Menos seguro (firma propia) o Más seguro (firmado por una CA pública), según la forma en que se firmen sus metadatos del IdP. |
||
6 | Haga clic en SSO actualización para confirmar que el nuevo archivo de metadatos se cargó e interpretó correctamente en su organización de Control Hub. Confirme los resultados esperados en la ventana emergente y si la prueba tuvo éxito, haga clic en Cambiar a los nuevos metadatos.
Resultado: Usted ha finalizado y el certificado IdP de su organización ahora es renovado. Puede comprobar el estado del certificado en cualquier momento si abre la tabla de estado del certificado SAML en Management > Organization Settings (Configuraciones de la . |
Puede exportar los metadatos más recientes de Webex SP cada vez que necesite volver a agregarlos a su IdP. Usted verá un aviso cuando los metadatos de IdP SAML importados van a caducar o han caducado.
Este paso es útil en situaciones comunes de IdP SAML administración de certificados, como Los IdP que admiten varios certificados en los que no se hizo la exportación antes, si los metadatos no se importaron al IdP porque no estaba disponible un administrador de IdP, o si su IdP admite la capacidad de actualizar solo el certificado. Esta opción puede ayudar a minimizar el cambio actualizando solo el certificado en su configuración de SSO y la validación posterior al evento.
1 | Desde la vista del cliente en , vaya a Administración > Configuración de la organización , desplácese hasta Autenticación y, a continuación, elija Acciones https://admin.webex.comExportar . El nombre del archivo de metadatos de la aplicación de Webex esidb-meta-<org-ID>-SP.xml. |
2 | Importe los metadatos de en su IdP. Siga la documentación de su IdP para importar los metadatos de SP de Webex. Puede utilizar nuestras guías de integración de IdP o consultar la documentación para su IdP específico, si no está listado. |
3 | Cuando haya terminado, ejecute la prueba de SSO prueba utilizando los pasos de "Renovar certificado de Webex (SP)" de este artículo. |
Cuando cambie su entorno de IdP o si su certificado IdP caducará, puede importar los metadatos actualizados a Webex en cualquier momento.
Antes de comenzar
Reúna sus metadatos del IdP, generalmente como un archivo xml exportado.
1 | Desde la vista del cliente en , vaya a Administración > Configuración de la organización , desplácese hasta Autenticación y, a continuación, elija Acciones https://admin.webex.comImportar . |
2 | Arrastre y suelte su archivo de metadatos del IdP en la ventana o haga clic en Elegir un archivo de metadatos y cárquelo de esa manera. |
3 | Elija Menos seguro (firma propia) o Más seguro (firmado por una CA pública), según la forma en que se firmen sus metadatos del IdP. |
Recibirá alertas en control Hub antes de que los certificados estén configurados para caducar, pero también puede configurar reglas de alertas en forma dinámica. Estas reglas le permiten saber de antemano que sus certificados SP o IdP caducarán. Podemos enviarles estos mensajes por correo electrónico, por un espacio en la aplicaciónWebex, o por ambos.
Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en el Concentrador de control. Consulte El Centro de alertas en Control Hub para obtener más información. |
1 | Desde la vista del cliente en https://admin.webex.com, vaya al Centro de alertas. |
||
2 | Elija Administrar y, a continuación, Todas las reglas. |
||
3 | En la lista Reglas, elija cualquiera de las SSO de perfil que desea crear:
|
||
4 | En la sección Canal de entrega, marque la casilla correspondiente a Correo electrónico, espacio deWebex, o ambos. Si elige Correo electrónico, introduzca la dirección de correo electrónico que debería recibir la notificación.
|
||
5 | Guarde los cambios. |
Qué hacer a continuación
Enviamos alertas de caducidad de certificados una vez cada 15 días, desde 60 días antes de la caducidad. (Puede esperar alertas en los días 60, 45, 30 y 15). Las alertas se detienen cuando se renueva el certificado.
Es posible que vea un aviso de que la URL de cierre de sesión único no está configurada:
Le recomendamos que configure su IdP para que sea compatible con el Cierre de sesión único (también conocido como SLO). Webex es compatible con los métodos de redirección y publicación, disponibles en nuestros metadatos que se descargan desde Control Hub. No todos los IdP son compatibles con SLO; comuníquese con su equipo de IdP para obtener ayuda. En algunos casos, para los principales proveedores de IdP como AzureAD, Ping Federate, ForgeRock y Oracle, que sí son compatibles con SLO, documentamos cómo configurar la integración. Consulte a su equipo de Identidad y seguridad para saber los detalles de su IDP y cómo configurar correctamente. |
Si la URL de cierre de sesión único no está configurada:
Una sesión de IdP existente sigue siendo válida. La próxima vez que los usuarios inicien sesión, es posible que el IdP no les pida que vuelvan a autenticarse.
Mostremos un mensaje de advertencia al cerrar sesión, para que el cierre de sesión de la aplicación de Webex no se lleva a cabo sin problemas.
Puede deshabilitar el inicio de sesión único (SSO) para su organización de Webex administrada en control Hub. Es posible que quiera deshabilitar la SSO que está cambiando los proveedores de servicios de identidad (IdP).
Si inicio de sesión único se habilitó para su organización pero falla, puede comprometer a su socio de Cisco que puede acceder a su organización de Webex para deshabilitarla por usted. |
1 | Desde la vista del cliente en , vaya a Administración > Configuración de la organización https://admin.webex.com y, a continuación, desplácese hasta Autenticación. |
2 | Para desactivar SSO, desactive la configuración de Inicio de sesión único. Aparecerá una ventana emergente que le advertirá sobre la deshabilitación de SSO: Si deshabilita la SSO, las contraseñas son administradas por la nube en lugar de su configuración integrada de IdP. |
3 | Si comprende el impacto de deshabilitar la SSO y desea continuar, haga clic en Desactivar. En el Control Hub, verá el ajuste de configuración SSO configuración y se eliminarán todos los listados de certificados SAML. Si SSO está desactivado, los usuarios que tengan que autenticarse verán un campo de entrada de contraseña durante el proceso de inicio de sesión.
|
Qué hacer a continuación
Si usted o el cliente reconfiguran SSO para la organización del cliente, las cuentas de usuario volverán a utilizar la política de contraseñas establecida por el IdP integrado con la organización de Webex.