SSO en Control Hub

Si desea configurar el SSO para varios proveedores de identidad en su organización, consulte SSO con varios IdP en Webex.

Si el uso de certificados de su organización está establecido en Ninguno, pero aún está recibiendo una alerta, le recomendamos que continúe con la mejora. Su SSO actual no utiliza el certificado, pero es posible que necesite el certificado para cambios futuros.

servicio de Webex del proveedor de servicios (SP)

De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado inicio de sesión único (SSO) de Webex caducará. Siga el proceso que se describe en este artículo para recuperar los metadatos de SSO certificado en la nube de nuestra parte (el SP) y volver a agregarlos a su IdP; de lo contrario, los usuarios no podrán utilizar los servicios de Webex.

Si está utilizando el certificado de SSO de Cisco (SP) de SAML en su organización de Webex, debe planificar la actualización del certificado en la nube durante un período de mantenimiento planificado lo antes posible.

Todos los servicios que forman parte de la suscripción de su organización de Webex se ven afectados, entre los que se incluyen:

  • Aplicación de Webex (nuevos inicios de sesión para todas las plataformas: escritorio, móvil y web)

  • Servicios de Webex en Control Hub , incluidas las llamadas

  • Sitios de Webex Meetings administrados a través de Control Hub

  • Cisco Jabber si está integrado con SSO

Antes de comenzar

Lea todas las instrucciones antes de comenzar. Después de cambiar el certificado o pasar por el asistente para actualizar el certificado, es posible que los usuarios nuevos no puedan iniciar sesión con éxito.

Si su IdP no admite varios certificados (la mayoría de los IdP del mercado no admiten esta característica), le recomendamos que planifique esta mejora durante un período de mantenimiento en el que los usuarios de la Aplicación de Webex no se vean afectados. Estas tareas de mejora deberían demorar aproximadamente 30 minutos en tiempo operativo y en la validación posterior al evento.

1

Para comprobar si el certificado de SSO de Cisco (SP) SAML va a caducar:

  • Es posible que haya recibido de nosotros un correo electrónico o un mensaje de la aplicación Webex, pero debe revisar el Concentrador de control para estar seguro.

  • Inicie sesión en https://admin.webex.comy compruebe su Centro de alertas. Es posible que haya una notificación sobre la actualización del certificado SSO Proveedor de servicios cliente.

  • Inicie sesión en https://admin.webex.com, vaya a Administración > Configuración de la organización > Inicio de sesión único y haga clic en Administrar SSO e IdP.
  • Vaya a la ficha Fuente de identidad y anote el estado y la fecha de caducidad del certificado de Cisco SP.

También puede ir directamente al asistente SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede acceder de nuevo en cualquier momento desde Administración > Configuración de la organización > Inicio de sesión único en https://admin.webex.com.

2

Vaya al IdP y haga clic en .

3

Haga clic en Revisar certificados y fecha de caducidad.

4

Haga clic en Renovar certificado.

5

Elija el tipo de IdP que utiliza su organización.

  • Un IdP que admite varios certificados
  • Un IdP que admite un solo certificado

Si su IdP es compatible con un único certificado, le recomendamos que espere para realizar estos pasos durante el tiempo de inactividad planificado. Mientras se actualiza el certificado Webex, no funcionarán los nuevos inicios de sesión del usuario; se conservan los inicios de sesión existentes.

6

Elija el tipo de certificado para la renovación:

  • Firmado automáticamente por Cisco: recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
  • Firmado por una autoridad de certificación pública: más seguro, pero deberá actualizar los metadatos con frecuencia (a menos que el proveedor de IdP admita los anclajes de confianza).

    Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP.

7

Haga clic en Descargar archivo de metadatos para descargar una copia de los metadatos actualizados con el nuevo certificado desde la nube de WebEx. Mantenga esta pantalla abierta.

8

Diríjase a su interfaz de administración de IdP para cargar el nuevo archivo de metadatos de Webex.

  • Este paso se puede realizar a través de una ficha de explorador, el protocolo de escritorio remoto (RDP) o a través del soporte para proveedores específicos de la nube, según la configuración de IdP y si usted o un administrador de IdP son responsables por este paso.
  • Para obtener más información, consulte nuestras guías SSO integración de contactos o comuníquese con su administrador de IdP para obtener soporte. Si en Active Directory Federation Services (AD FS), puede ver cómo actualizar los metadatos de Webex en AD FS.
9

Vuelva a la ficha donde inició sesión en Control Hub y haga clic en Siguiente.

10

Actualice el IdP con el nuevo certificado de SP y los metadatos, y haga clic en Siguiente.

  • Se han actualizados todos los IdP
  • Si necesita más tiempo para actualizar, guarde el certificado renovado como opción secundaria
11

Haga clic en Finalizar renovación.

Proveedor de servicios de identidad de la aplicación de certificados (IdP)

De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado idP caducará. Como los proveedores de IdP tienen su propia documentación específica para la renovación de certificados, cubrimos lo que se requiere en Control Hub , junto con pasos genéricos para recuperar metadatos del IdP actualizados y cargarlos en Control Hub para renovar el certificado.

1

Para comprobar si el certificado SAML del IdP caducará:

  • Es posible que haya recibido de nosotros un correo electrónico o un mensaje de la aplicación Webex, pero debe revisar el Concentrador de control para estar seguro.
  • Inicie sesión en https://admin.webex.comy compruebe su Centro de alertas. Puede haber una notificación sobre la actualización del certificado SAML de IdP:

  • Inicie sesión en https://admin.webex.com, vaya a Administración > Configuración de la organización > Inicio de sesión único y haga clic en Administrar SSO e IdP.
  • Vaya a la ficha Fuente de identidad y anote el estado del certificado del IdP (caducó o caducará pronto) y la fecha de caducidad.

  • También puede ir directamente al asistente SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede acceder de nuevo en cualquier momento desde Administración > Configuración de la organización > Inicio de sesión único en https://admin.webex.com.

2

Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos.

  • Este paso se puede realizar a través de una ficha de explorador, el protocolo de escritorio remoto (RDP) o a través del soporte para proveedores específicos de la nube, según la configuración de IdP y si usted o un administrador de IdP son responsables por este paso.
  • Para obtener más información, consulte nuestras guías SSO integración de contactos o comuníquese con su administrador de IdP para obtener soporte.
3

Regrese a la ficha Fuente de identidad .

4

Vaya al IdP, haga clic en upload y seleccione Cargar metadatos del Idp.

5

Arrastre y suelte su archivo de metadatos del IdP en la ventana o haga clic en Elegir un archivo y cárguelo de esa manera.

6

Elija Menos seguro (firma propia) o Más seguro (firmado por una CA pública), según la forma en que se firmen sus metadatos del IdP.

7

Haga clic en Probar actualización del SSO para confirmar que el nuevo archivo de metadatos se cargó e interpretó correctamente en su organización de Control Hub. Confirme los resultados esperados en la ventana emergente y, si la prueba fue exitosa, seleccione Prueba exitosa: Active el SSO y el IdP y haga clic en Guardar.

Para ver la experiencia de inicio de sesión de SSO directamente, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y que lo pegue en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

Resultado: Usted ha finalizado y el certificado IdP de su organización ahora es renovado. Puede comprobar el estado del certificado en cualquier momento en la ficha Fuente de identidad .

Puede exportar los metadatos más recientes de Webex SP cada vez que necesite volver a agregarlos a su IdP. Usted verá un aviso cuando los metadatos de IdP SAML importados van a caducar o han caducado.

Este paso es útil en situaciones comunes de IdP SAML administración de certificados, como Los IdP que admiten varios certificados en los que no se hizo la exportación antes, si los metadatos no se importaron al IdP porque no estaba disponible un administrador de IdP, o si su IdP admite la capacidad de actualizar solo el certificado. Esta opción puede ayudar a minimizar el cambio actualizando solo el certificado en su configuración de SSO y la validación posterior al evento.

1

Desde la vista del cliente en https://admin.webex.com, diríjase a Administración > Configuración de la organización, desplácese hasta Inicio de sesión único y haga clic en Administrar SSO e IdP.

2

Vaya a la ficha Fuente de identidad .

3

Vaya al IdP, haga clic en Descargar y seleccione Descargar metadatos del SP.

El nombre del archivo de metadatos de la aplicación Webex es idb-meta--SP.xml.

4

Importe los metadatos de en su IdP.

Siga la documentación de su IdP para importar los metadatos de SP de Webex. Puede utilizar nuestras guías de integración de IdP o consultar la documentación para su IdP específico, si no está listado.

5

Cuando haya terminado, ejecute la prueba de SSO siguiendo los pasos de Renovar certificado de Webex (SP) de este artículo.

Cuando cambie su entorno de IdP o si su certificado IdP caducará, puede importar los metadatos actualizados a Webex en cualquier momento.

Antes de comenzar

Reúna sus metadatos del IdP, generalmente como un archivo xml exportado.

1

Desde la vista del cliente en https://admin.webex.com, diríjase a Administración > Configuración de la organización, desplácese hasta Inicio de sesión único y haga clic en Administrar SSO e IdP.

2

Vaya a la ficha Fuente de identidad .

3

Vaya al IdP, haga clic en upload y seleccione Cargar metadatos del Idp.

4

Arrastre y suelte su archivo de metadatos del IdP en la ventana o haga clic en Elegir un archivo de metadatos y cárquelo de esa manera.

5

Elija Menos seguro (firma propia) o Más seguro (firmado por una CA pública), según la forma en que se firmen sus metadatos del IdP.

6

Haga clic en Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.

Recibirá alertas en control Hub antes de que los certificados estén configurados para caducar, pero también puede configurar reglas de alertas en forma dinámica. Estas reglas le permiten saber de antemano que sus certificados SP o IdP caducarán. Podemos enviarles estos mensajes por correo electrónico, por un espacio en la aplicaciónWebex, o por ambos.

Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en el Concentrador de control. Consulte El Centro de alertas en Control Hub para obtener más información.

1

Inicie sesión en el Control Hub.

2

Vaya al Centro de alertas.

3

Elija Administrar y, a continuación, Todas las reglas.

4

En la lista Reglas, elija cualquiera de las SSO de perfil que desea crear:

  • SSO vencimiento del certificado IDP
  • SSO certificado SP caducado
5

En la sección Canal de entrega, marque la casilla correspondiente a Correo electrónico, espacio de Webex, o ambos.

Si elige Correo electrónico, introduzca la dirección de correo electrónico que debería recibir la notificación.

Si elige la opción del espacio de Webex, se lo agregará automáticamente a un espacio dentro de la aplicación de Webex y entregamos las notificaciones allí.

6

Guarde los cambios.

Qué hacer a continuación

Enviamos alertas de caducidad de certificados una vez cada 15 días, desde 60 días antes de la caducidad. (Puede esperar alertas los días 60, 45, 30 y 15). Las alertas se detienen cuando renueva el certificado.

Es posible que vea un aviso de que la URL de desconexión única no está configurada:

Le recomendamos que configure su IdP para que sea compatible con el Cierre de sesión único (también conocido como SLO). Webex es compatible con los métodos de redirección y publicación, disponibles en nuestros metadatos que se descargan desde Control Hub. No todos los IdP son compatibles con SLO; comuníquese con su equipo de IdP para obtener ayuda. En ocasiones, para los principales proveedores de IdP, como AzureAD, Ping Federate, ForgeRock y Oracle, que admiten SLO, documentamos cómo configurar la integración. Consulte a su equipo de Identidad y Seguridad sobre los detalles de su IDP y cómo configurarlo correctamente.

Si la URL de desconexión única no está configurada:

  • Una sesión de IdP existente sigue siendo válida. La próxima vez que los usuarios inicien sesión, es posible que el IdP no les pida que vuelvan a autenticarse.

  • Mostremos un mensaje de advertencia al cerrar sesión, para que el cierre de sesión de la aplicación de Webex no se lleva a cabo sin problemas.

Puede deshabilitar el inicio de sesión único (SSO) para su organización de Webex administrada en control Hub. Es posible que quiera deshabilitar el SSO si está cambiando la fuente de identidad (IdP).

Si inicio de sesión único se habilitó para su organización pero falla, puede comprometer a su socio de Cisco que puede acceder a su organización de Webex para deshabilitarla por usted.

1

Desde la vista del cliente en https://admin.webex.com, diríjase a Administración > Configuración de la organización, desplácese hasta Inicio de sesión único y haga clic en Administrar SSO e IdP.

2

Vaya a la ficha Fuente de identidad .

3

Haga clic en Desactivar SSO.

Aparecerá una ventana emergente que le advertirá sobre la deshabilitación del SSO:

Desactivar SSO

Si deshabilita la SSO, las contraseñas son administradas por la nube en lugar de su configuración integrada de IdP.

4

Si comprende el impacto de deshabilitar la SSO y desea continuar, haga clic en Desactivar.

Se desactiva el SSO y se eliminan todos los listados de certificados SAML.

Si el SSO está deshabilitado, los usuarios que tengan que autenticarse verán un campo de entrada de contraseña durante el proceso de inicio de sesión.

  • Los usuarios que no tengan una contraseña en la aplicación de Webex deben restablecer su contraseña o usted debe enviar un correo electrónico para que establezcan una contraseña.

  • Los usuarios existentes autenticados con un token de autenticación O válido seguirán teniendo acceso a la aplicación web de Webex.

  • Los usuarios nuevos creados SSO se desactivan reciben un correo electrónico en el que se les solicita que creen una contraseña.

Qué hacer a continuación

Si usted o el cliente vuelven a configurar el SSO para la organización del cliente, las cuentas de usuario vuelven a utilizar la política de contraseñas establecida por el IdP que está integrado con la organización de Webex.

Si tiene problemas con su inicio de sesión SSO, puede utilizar la opción de recuperación automática de SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de recuperación automática le permite actualizar o deshabilitar el SSO en Control Hub.