Si desea configurar SSO para varios proveedores de identidad en su organización, consulte SSO con varios IdP en Webex.

Si el uso de certificados de su organización está establecido en Ninguno, pero aún está recibiendo una alerta, le recomendamos que continúe con la mejora. Su SSO actual no utiliza el certificado, pero es posible que necesite el certificado para cambios futuros.

servicio de Webex del proveedor de servicios (SP)

De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado inicio de sesión único (SSO) de Webex caducará. Siga el proceso que se describe en este artículo para recuperar los metadatos de SSO certificado en la nube de nuestra parte (el SP) y volver a agregarlos a su IdP; de lo contrario, los usuarios no podrán utilizar los servicios de Webex.

Si utiliza el certificado SSO de SAML Cisco (SP) en su organización de Webex, debe planificar actualizar el certificado en la nube durante una ventana de mantenimiento programada regular lo antes posible.

Todos los servicios que forman parte de la suscripción de su organización de Webex se ven afectados, entre los que se incluyen:

  • Aplicación de Webex (nuevos inicios de sesión para todas las plataformas: escritorio, móvil y web)

  • Servicios de Webex en Control Hub , incluidas las llamadas

  • Sitios de Webex Meetings administrados a través de Control Hub

  • Cisco Jabber si está integrado con SSO

Antes de comenzar

Lea todas las instrucciones antes de comenzar. Después de cambiar el certificado o pasar por el asistente para actualizar el certificado, es posible que los usuarios nuevos no puedan iniciar sesión con éxito.

Si su IdP no admite varios certificados (la mayoría de los IdP del mercado no admiten esta función), le recomendamos que programe esta actualización durante una ventana de mantenimiento en la que los usuarios de la aplicación Webex no se vean afectados. Estas tareas de actualización deberían tomar aproximadamente 30 minutos en tiempo operativo y validación posterior al evento.

1

Para comprobar si el certificado de SSO de Cisco (SP) SAML va a caducar:

  • Es posible que haya recibido de nosotros un correo electrónico o un mensaje de la aplicación Webex, pero debe revisar el Concentrador de control para estar seguro.

  • Inicie sesión en Control Huby consulte su Centro de alertas. Es posible que haya una notificación sobre la actualización del certificado SSO Proveedor de servicios cliente.

  • Ir a Gestión > Seguridad > Autenticación.
  • Vaya a la pestaña Proveedor de identidad y anote el estado y la fecha de vencimiento del certificado de Cisco SP.

También puede ir directamente al asistente SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede acceder a él nuevamente en cualquier momento desde Administración > Seguridad > Autenticación en Centro de control.

2

Vaya al IdP y haga clic en .

3

Haga clic en Revisar certificados y fecha de vencimiento.

4

Haga clic en Renovar certificado.

5

Elija el tipo de IdP que utiliza su organización.

  • Un IdP que admite varios certificados
  • Un IdP que admite un único certificado

Si su IdP es compatible con un único certificado, le recomendamos que espere para realizar estos pasos durante el tiempo de inactividad planificado. Mientras se actualiza el certificado Webex, no funcionarán los nuevos inicios de sesión del usuario; se conservan los inicios de sesión existentes.

6

Elija el tipo de certificado para la renovación:

  • Autofirmado por Cisco—Recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
  • Firmado por una autoridad de certificación pública—Más seguro, pero necesitará actualizar los metadatos con frecuencia (a menos que su proveedor de IdP admita anclajes de confianza).

    Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte su documentación de IdP.

    Antes de continuar con los siguientes pasos, asegúrese de estar listo para renovar su certificado y de estar operando dentro de la ventana de cambio de su organización. Al seleccionar Autofirmado de Cisco o Firmado por una autoridad de certificación pública se crea inmediatamente un nuevo certificado. Una vez que el certificado cambia para un solo IdP, el SSO se detiene hasta que el certificado o los metadatos se carguen en el IdP. Por lo tanto, es importante completar el proceso de renovación.

7

Haga clic en Descargar archivo de metadatos para descargar una copia de los metadatos actualizados con el nuevo certificado desde la nube de WebEx. Mantenga esta pantalla abierta.

8

Diríjase a su interfaz de administración de IdP para cargar el nuevo archivo de metadatos de Webex.

  • Este paso se puede realizar a través de una ficha de explorador, el protocolo de escritorio remoto (RDP) o a través del soporte para proveedores específicos de la nube, según la configuración de IdP y si usted o un administrador de IdP son responsables por este paso.
  • Para obtener más información, consulte nuestras guías SSO integración de contactos o comuníquese con su administrador de IdP para obtener soporte. Si en Active Directory Federation Services (AD FS), puede ver cómo actualizar los metadatos de Webex en AD FS.
9

Regrese a la pestaña donde inició sesión en Control Hub y haga clic en Siguiente.

10

Actualice el IdP con el nuevo certificado SP y metadatos y haga clic en Siguiente.

  • Se han actualizados todos los IdP
  • Si necesita más tiempo para actualizar, guarde el certificado renovado como opción secundaria
11

Haga clic en Finalizar renovación.

Proveedor de servicios de identidad de la aplicación de certificados (IdP)

De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado idP caducará. Como los proveedores de IdP tienen su propia documentación específica para la renovación de certificados, cubrimos lo que se requiere en Control Hub , junto con pasos genéricos para recuperar metadatos del IdP actualizados y cargarlos en Control Hub para renovar el certificado.

1

Para comprobar si el certificado SAML del IdP caducará:

  • Es posible que haya recibido de nosotros un correo electrónico o un mensaje de la aplicación Webex, pero debe revisar el Concentrador de control para estar seguro.
  • Inicie sesión en Control Huby consulte su Centro de alertas. Puede haber una notificación sobre la actualización del certificado SAML de IdP:

  • Ir a Gestión > Seguridad > Autenticación.
  • Vaya a la pestaña Proveedor de identidad y anote el estado del certificado IdP (vencido o próximo a vencer) y la fecha de vencimiento.

  • También puede ir directamente al asistente SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede acceder a él nuevamente en cualquier momento desde Administración > Seguridad > Autenticación en Control Hub.

2

Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos.

  • Este paso se puede realizar a través de una ficha de explorador, el protocolo de escritorio remoto (RDP) o a través del soporte para proveedores específicos de la nube, según la configuración de IdP y si usted o un administrador de IdP son responsables por este paso.
  • Para obtener más información, consulte nuestras guías SSO integración de contactos o comuníquese con su administrador de IdP para obtener soporte.
3

Regrese a la pestaña Proveedor de identidad.

4

Vaya al IdP, haga clic en upload y seleccione Cargar metadatos del IdP.

5

Arrastre y suelte su archivo de metadatos de IdP en la ventana o haga clic en Elegir un archivo y cárguelo de esa manera.

6

Elija Menos seguro (firma propia) o Más seguro (firmado por una CA pública), según la forma en que se firmen sus metadatos del IdP.

7

Haga clic en Probar actualización de SSO para confirmar que el nuevo archivo de metadatos se cargó e interpretó correctamente en su organización de Control Hub. Confirme los resultados esperados en la ventana emergente y, si la prueba fue exitosa, seleccione Prueba exitosa: Active SSO y el IdP y haga clic en Guardar.

Para ver la experiencia de inicio de sesión SSO directamente, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y la pegue en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

Resultado: Usted ha finalizado y el certificado IdP de su organización ahora es renovado. Puede comprobar el estado del certificado en cualquier momento en la pestaña Proveedor de identidad.

Puede exportar los metadatos más recientes de Webex SP cada vez que necesite volver a agregarlos a su IdP. Usted verá un aviso cuando los metadatos de IdP SAML importados van a caducar o han caducado.

Este paso es útil en situaciones comunes de IdP SAML administración de certificados, como Los IdP que admiten varios certificados en los que no se hizo la exportación antes, si los metadatos no se importaron al IdP porque no estaba disponible un administrador de IdP, o si su IdP admite la capacidad de actualizar solo el certificado. Esta opción puede ayudar a minimizar el cambio actualizando solo el certificado en su configuración de SSO y la validación posterior al evento.

1

Inicie sesión en el Control Hub.

2

Ir a Gestión > Seguridad > Autenticación.

3

Vaya a la pestaña Proveedor de identidad.

4

Vaya al IdP, haga clic en Descargar y seleccione Descargar metadatos de SP.

El nombre del archivo de metadatos de la aplicación Webex es idb-meta-<org-ID>-SP.xml.

5

Importe los metadatos de en su IdP.

Siga la documentación de su IdP para importar los metadatos de SP de Webex. Puede utilizar nuestras guías de integración de IdP o consultar la documentación para su IdP específico, si no está listado.

6

Cuando haya terminado, ejecute la prueba de SSO siguiendo los pasos que se indican en Renovar certificado de Webex (SP) en este artículo.

Cuando cambie su entorno de IdP o si su certificado IdP caducará, puede importar los metadatos actualizados a Webex en cualquier momento.

Antes de comenzar

Reúna sus metadatos del IdP, generalmente como un archivo xml exportado.

1

Inicie sesión en el Control Hub.

2

Ir a Gestión > Seguridad > Autenticación.

3

Vaya a la pestaña Proveedor de identidad.

4

Vaya al IdP, haga clic en upload y seleccione Cargar metadatos del IdP.

5

Arrastre y suelte su archivo de metadatos del IdP en la ventana o haga clic en Elegir un archivo de metadatos y cárquelo de esa manera.

6

Elija Menos seguro (firma propia) o Más seguro (firmado por una CA pública), según la forma en que se firmen sus metadatos del IdP.

7

Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión.

Recibirá alertas en control Hub antes de que los certificados estén configurados para caducar, pero también puede configurar reglas de alertas en forma dinámica. Estas reglas le permiten saber de antemano que sus certificados SP o IdP caducarán. Podemos enviarles estos mensajes por correo electrónico, por un espacio en la aplicaciónWebex, o por ambos.

Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en el Concentrador de control. Consulte El Centro de alertas en Control Hub para obtener más información.

1

Inicie sesión en el Control Hub.

2

Vaya a Centro de alertas.

3

Elija Administrar y, a continuación, Todas las reglas.

4

En la lista Reglas, elija cualquiera de las SSO de perfil que desea crear:

  • SSO vencimiento del certificado IDP
  • SSO certificado SP caducado
5

En la sección Canal de entrega, marque la casilla correspondiente a Correo electrónico, espacio de Webex, o ambos.

Si elige Correo electrónico, introduzca la dirección de correo electrónico que debería recibir la notificación.

Si elige la opción del espacio de Webex, se lo agregará automáticamente a un espacio dentro de la aplicación de Webex y entregamos las notificaciones allí.

6

Guarde los cambios.

Qué hacer a continuación

Enviamos alertas de caducidad de certificados una vez cada 15 días, desde 60 días antes de la caducidad. (Puede esperar alertas los días 60, 45, 30 y 15). Las alertas se detienen cuando renueva el certificado.

Es posible que vea un aviso que indica que la URL de cierre de sesión único no está configurada:

Le recomendamos que configure su IdP para que sea compatible con el Cierre de sesión único (también conocido como SLO). Webex es compatible con los métodos de redirección y publicación, disponibles en nuestros metadatos que se descargan desde Control Hub. No todos los IdP son compatibles con SLO; comuníquese con su equipo de IdP para obtener ayuda. A veces, para los principales proveedores de IdP como AzureAD, Ping Federate, ForgeRock y Oracle, que admiten SLO, documentamos cómo configurar la integración. Consulta tu Identidad & Equipo de seguridad sobre los detalles específicos de su IDP y cómo configurarlo correctamente.

Si no se configura la URL de cierre de sesión único:

  • Una sesión de IdP existente sigue siendo válida. La próxima vez que los usuarios inicien sesión, es posible que el IdP no les pida que vuelvan a autenticarse.

  • Mostremos un mensaje de advertencia al cerrar sesión, para que el cierre de sesión de la aplicación de Webex no se lleva a cabo sin problemas.

Puede deshabilitar el inicio de sesión único (SSO) para su organización de Webex administrada en control Hub. Es posible que desees deshabilitar SSO si estás cambiando de proveedor de identidad (IdP).

Si inicio de sesión único se habilitó para su organización pero falla, puede comprometer a su socio de Cisco que puede acceder a su organización de Webex para deshabilitarla por usted.

1

Inicie sesión en el Control Hub.

2

Ir a Gestión > Seguridad > Autenticación.

3

Vaya a la pestaña Proveedor de identidad.

4

Haga clic en Desactivar SSO.

Aparecerá una ventana emergente que le advertirá sobre la deshabilitación del SSO:

Desactivar SSO

Si deshabilita la SSO, las contraseñas son administradas por la nube en lugar de su configuración integrada de IdP.

5

Si comprende el impacto de deshabilitar la SSO y desea continuar, haga clic en Desactivar.

Se desactiva el SSO y se eliminan todos los listados de certificados SAML.

Si el SSO está deshabilitado, los usuarios que deben autenticarse verán un campo de ingreso de contraseña durante el proceso de inicio de sesión.

  • Los usuarios que no tengan una contraseña en la aplicación Webex deben restablecer su contraseña o debe enviarles un correo electrónico para que establezcan una contraseña.

  • Los usuarios existentes autenticados con un token de autenticación O válido seguirán teniendo acceso a la aplicación web de Webex.

  • Los usuarios nuevos creados SSO se desactivan reciben un correo electrónico en el que se les solicita que creen una contraseña.

Qué hacer a continuación

Si usted o el cliente reconfiguran SSO para la organización del cliente, las cuentas de usuario vuelven a utilizar la política de contraseñas establecida por el IdP que está integrado con la organización de Webex.

Si tiene problemas con su inicio de sesión SSO, puede usar la opción de recuperación automática de SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de recuperación automática le permite actualizar o deshabilitar SSO en Control Hub.