SSO en Control Hub

Si desea configurar el SSO para varios proveedores de servicios de identidad en su organización, consulte SSO con varios IdP en Webex.


 

Si el uso del certificado de su organización está configurado en Ninguno pero aún recibe una alerta, le recomendamos que continúe con la actualización. Su implementación de SSO no está utilizando el certificado hoy, pero es posible que necesite el certificado para cambios futuros.


 

De vez en cuando, puede recibir una notificación por correo electrónico o ver una alerta en Control Hub de que el certificado de inicio de sesión único (SSO ) de Webex va a caducar. Siga el proceso de este artículo para recuperar los metadatos del certificado en la nube de SSO de nosotros (el SP) y volver a agregarlos a su IdP; de lo contrario, los usuarios no podrán utilizar los servicios de Webex .

Si está utilizando el certificado de SSO de Cisco (SP) SAML en su organización de Webex, debe planificar la actualización del certificado de la nube durante una ventana de mantenimiento planificada regularmente lo antes posible.

Todos los servicios que forman parte de la suscripción de su organización de se ven afectados, entre los que se incluyen:

  • Aplicación de Webex (nuevos inicios de sesión para todas las plataformas: escritorio, móvil y web)

  • Servicios de Webex en Control Hub, incluidas las llamadas

  • El sitio de Webex Meetings es administrado por Webex Control Hub

  • Cisco Jabber si está integrado con SSO

Antes de comenzar


 

Lea todas las instrucciones antes de comenzar. Después de cambiar el certificado o pasar por el asistente para actualizar el certificado, es posible que los nuevos usuarios no puedan iniciar iniciar sesión correctamente.

Si su IdP no admite varios certificados (la mayoría de los IdP del mercado no admiten esta característica), le recomendamos que planifique esta mejora durante una ventana de mantenimiento en la que los usuarios de la aplicación Webex no se vean afectados. Estas tareas de mejora deberían demorar aproximadamente 30 minutos en el tiempo operativo y la validación posterior al evento.

1

Para comprobar si el certificado SSO de SAML Cisco (SP) va a caducar:

  • Es posible que haya recibido un correo electrónico o un mensaje de la aplicación Webex de nuestra parte, pero debe verificar en Control Hub para estar seguro.
  • Iniciar sesión enhttps://admin.webex.com y compruebe su Centro de alertas . Es posible que haya una notificación sobre la actualización del certificado de proveedor de servicios de SSO .

  • Inicie sesión en https://admin.webex.com, vaya a Administración > Configuración de la organización > Autenticación, y haz clic en Administrar SSO e IdP.
  • Vaya a la ficha Proveedor de servicios de identidad y anote el estado y la fecha de caducidad del certificado de Cisco SP.

También puede ir directamente al asistente de SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede volver a acceder a él en cualquier momento desde Gestión > Configuración de la organización > Autenticación enhttps://admin.webex.com .

2

Vaya al IdP y haga clic en.

3

Haga clic en Revisar certificados y fecha de caducidad.

Esto lo llevará a la ventana Certificados del proveedor de servicios (SP).
4

Haga clic en Renovar certificado.

5

Elija el tipo de certificado para la renovación:

  • Autofirmado por Cisco —Recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
  • Firmado por una autoridad de certificación pública —Más seguro, pero deberá actualizar con frecuencia los metadatos (a menos que su proveedor de IdP admita anclajes de confianza).

     

    Los anclajes de confianza son claves públicas que actúan como una autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte la documentación de su IdP.

6

Haga clic en Descargar archivo de metadatos para descargar una copia de los metadatos actualizados con el nuevo certificado. Mantenga esta pantalla abierta.

7

Navegue a la interfaz de administración de su IdP para cargar el nuevo archivo de metadatos de Webex .

  • Este paso puede realizarse a través de una ficha del navegador, un protocolo de escritorio remoto (RDP) o a través de un soporte específico de un proveedor de nube, según la configuración de su IdP y si usted o un administrador de IdP independiente son responsables de este paso.
  • Para referencia, consulte nuestras guías de integración de SSO o comuníquese con su administrador de IdP para obtener ayuda. Si está en los Servicios de federación de Active Directory (AD FS), puede vea cómo actualizar los metadatos de Webex en AD FS .
8

Regrese a la pestaña donde inició sesión en Control Hub y haga clic en Siguiente .

9

Haga clic en Probar actualización del SSO para confirmar que su IdP cargó e interpretó correctamente el nuevo archivo de metadatos. Confirme los resultados esperados en la ventana emergente y si la prueba tuvo éxito, haga clic en Cambiar a los nuevos metadatos.


 

Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

Resultado: Ha terminado y el certificado SSO de SAML Cisco (SP) de su organización ahora está renovado. Puede comprobar el estado del certificado en cualquier momento en la ficha Proveedor de identidad.


 

De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en Control Hub de que el certificado IdP va a caducar. Debido a que los proveedores de IdP tienen su propia documentación específica para la renovación del certificado, cubrimos lo que se requiere en Control Hub, junto con los pasos genéricos para recuperar los metadatos de IdP actualizados y cargarlos en Control Hub para renovar el certificado.

1

Para comprobar si el certificado SAML de IdP va a caducar:

  • Es posible que haya recibido un correo electrónico o un mensaje de la aplicación Webex de nuestra parte, pero debe verificar en Control Hub para estar seguro.
  • Iniciar sesión enhttps://admin.webex.com y compruebe su Centro de alertas . Es posible que haya una notificación sobre la actualización del certificado SAML de IdP:

  • Inicie sesión en https://admin.webex.com, vaya a Administración > Configuración de la organización > Autenticación, y haz clic en Administrar SSO e IdP.
  • Vaya a la ficha Proveedor de servicios de identidad y anote el estado del certificado IdP (caducado o que caducará pronto) y la fecha de caducidad.
  • También puede ir directamente al asistente de SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede volver a acceder a él en cualquier momento desde Gestión > Configuración de la organización > Autenticación enhttps://admin.webex.com .

2

Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos.

  • Este paso puede realizarse a través de una ficha del navegador, un protocolo de escritorio remoto (RDP) o a través de un soporte específico de un proveedor de nube, según la configuración de su IdP y si usted o un administrador de IdP independiente son responsables de este paso.
  • Para referencia, consulte nuestras guías de integración de SSO o comuníquese con su administrador de IdP para obtener ayuda.
3

Vuelva a la ficha Proveedor de servicios de identidad.

4

Vaya al IdP, haga clic enuploady seleccione Cargar metadatos de IDP.

5

Arrastre y suelte el archivo de metadatos del IdP en la ventana o haga clic en Elegir un archivo y cárguelo de esa manera.

6

Elegir Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), dependiendo de cómo se firmen los metadatos de su IdP.

7

Haga clic en Probar actualización del SSO para confirmar que su IdP cargó e interpretó correctamente el nuevo archivo de metadatos. Confirme los resultados esperados en la ventana emergente y, si la prueba fue exitosa, seleccione Prueba exitosa: Active el SSO y el IdP y haga clic en Guardar.


 

Para ver la experiencia de inicio de sesión SSO directamente, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y péguela en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

Resultado: Ha terminado y el certificado IdP de su organización ahora está renovado. Puede comprobar el estado del certificado en cualquier momento en la ficha Proveedor de identidad.

Puede exportar los últimos metadatos de Webex SP siempre que necesite volver a agregarlos a su IdP. Verá un aviso cuando los metadatos SAML de IdP importados caduquen o hayan caducado.

Este paso es útil en escenarios comunes de administración de certificados de IdP SAML , como IdP que admiten varios certificados donde la exportación no se realizó antes, si los metadatos no se importaron al IdP porque un administrador de IdP no estaba disponible, o si su IdP admite el capacidad de actualizar solo el certificado. Esta opción puede ayudar a minimizar el cambio al actualizar solo el certificado en su configuración de SSO y validación posterior al evento.

1

Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Configuración de la organización), desplácese hasta Authentication (Autenticación) y haga clic en Manage SSO and IdP (Administrar SSO e IdP).

2

Vaya a la ficha Proveedor de servicios de identidad.

3

Vaya al IdP, haga clic enDownloady seleccione Descargar metadatos de SP.

El nombre de archivo de metadatos de la aplicación de Webex es idb-meta-<org-ID>-SP.xml.

4

Importe los metadatos a su IdP.

Siga la documentación de su IdP para importar los metadatos de Webex SP. Puede utilizar nuestro Guías de integración de IdP o consulte la documentación de su IdP específico si no figura en la lista.

5

Cuando haya terminado, ejecute la prueba de SSO siguiendo los pasos de Renovar el certificado de Webex (SP) en este artículo.

Cuando su entorno de IdP cambie o si su certificado de IdP caducará, puede importar los metadatos actualizados a Webex en cualquier momento.

Antes de comenzar

Reúna los metadatos de su IdP, generalmente como un archivo xml exportado.

1

Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Configuración de la organización), desplácese hasta Authentication (Autenticación) y haga clic en Manage SSO and IdP (Administrar SSO e IdP).

2

Vaya a la ficha Proveedor de servicios de identidad.

3

Vaya al IdP, haga clic enuploady seleccione Cargar metadatos de IDP.

4

Arrastre y suelte su archivo de metadatos IdP en la ventana o haga clic en Elija un archivo de metadatos y cárguelo de esa manera.

5

Elegir Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), dependiendo de cómo se firmen los metadatos de su IdP.

6

Haga clic en Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.

Recibirá alertas en Control Hub antes de que los certificados caduquen, pero también puede configurar las reglas de alerta de forma proactiva. Estas reglas le permiten saber de antemano que sus certificados SP o IdP van a caducar. Podemos enviárselos por correo electrónico, un espacio en la aplicación Webex o ambos.


 

Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en Control Hub. Consulte Centro de alertas en Control Hub para obtener más información.

1

En la vista del cliente en https://admin.webex.com, vaya a Alerts center (Centro de alertas).

2

Seleccione Administrar y luego Todas las reglas.

3

En la lista Reglas, elija cualquiera de las reglas de SSO que desee crear:

  • Vencimiento del certificado de IDP de SSO
  • Vencimiento del certificado de SSO SP
4

En la sección Canal de entrega, marque la casilla Correo electrónico, Espacio de Webex o ambos.

Si elige Correo electrónico, introduzca la dirección de correo electrónico que debe recibir la notificación.


 

Si elige la opción de espacio de Webex, se lo agregará automáticamente a un espacio dentro de la Aplicación de Webex y enviaremos las notificaciones allí.

5

Guarde los cambios.

Qué hacer a continuación

Enviamos alertas de caducidad de certificados una vez cada 15 días, comenzando 60 días antes de la caducidad. (Puede esperar alertas en los días 60, 45, 30 y 15). Las alertas se detienen cuando renueva el certificado.

Es posible que vea un aviso que indica que la URL de cierre de sesión único no está configurada:


 

Le recomendamos que configure su IdP para que admita el cierre de sesión único (también conocido como SLO). Webex admite los métodos de redireccionamiento y publicación, disponibles en nuestros metadatos que se descargan de Control Hub. No todos los IdP admiten SLO; Comuníquese con su equipo de IdP para obtener ayuda. En ocasiones, para los principales proveedores de IdP, como AzureAD, Ping Federate, ForgeRock y Oracle, que sí admiten SLO, documentamos cómo configurar la integración. Consulte a su equipo de Identidad y Seguridad sobre los detalles de su IDP y cómo configurarlo correctamente.

Si la URL de cierre de sesión único no está configurada:

  • Una sesión de IdP existente sigue siendo válida. La próxima vez que los usuarios inicien iniciar sesión, es posible que el IdP no les pida que vuelvan a autenticarse.

  • Mostramos un mensaje de advertencia al cerrar sesión, por lo que el cierre de sesión de la aplicación Webex no ocurre sin problemas.

Puede deshabilitar el inicio de sesión único (SSO) para su organización de Webex administrada en Control Hub. Es posible que desee deshabilitar el SSO si está cambiando los proveedores de servicios de identidad (IdP).


 

Si el inicio de sesión único se ha habilitado para su organización, pero falla, puede contratar a su socio de Cisco que puede acceder a su organización de Webex para que lo deshabilite.

1

Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Configuración de la organización), desplácese hasta Authentication (Autenticación) y haga clic en Manage SSO and IdP (Administrar SSO e IdP).

2

Vaya a la ficha Proveedor de servicios de identidad.

3

Haga clic en Desactivar inicio de sesión único.

Aparece una ventana emergente que le advierte sobre la desactivación del SSO:

Desactivar SSO

Si deshabilita el SSO, las contraseñas son administradas por la nube en lugar de su configuración de IdP integrada.

4

Si comprende el impacto de deshabilitar SSO y desea continuar, haga clic en Desactivar .

El SSO se desactiva y se eliminan todas las listas de certificados de SAML.

Si el SSO está deshabilitado, los usuarios que tengan que autenticarse verán un campo de entrada de contraseña durante el proceso de inicio de sesión.

  • Los usuarios que no tienen una contraseña en la Aplicación de Webex deben restablecer su contraseña o usted debe enviar un correo electrónico para que establezcan una contraseña.

  • Los usuarios autenticados existentes con un token de OAuth válido seguirán teniendo acceso a la aplicación de Webex .

  • Los nuevos usuarios creados mientras el SSO está deshabilitado reciben un correo electrónico en el que se les solicita que creen una contraseña.

Qué hacer a continuación

Si usted o el cliente vuelven a configurar el SSO para la organización del cliente, las cuentas de usuario vuelven a utilizar la política de contraseñas que establece el IdP integrado con la organización de Webex.

Si tiene problemas con su inicio de sesión de SSO, puede utilizar la opción de recuperación automática de SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de recuperación automática le permite actualizar o deshabilitar el SSO en Control Hub.