Si el uso del certificado de su organización está configurado en Ninguno pero aún recibe una alerta, le recomendamos que continúe con la actualización. Su implementación de SSO no está utilizando el certificado hoy, pero es posible que necesite el certificado para cambios futuros.

Certificados del proveedor de servicio (SP)


 

De vez en cuando, puede recibir una notificación por correo electrónico o ver una alerta en Control Hub de que el certificado de inicio de sesión único (SSO ) de Webex va a caducar. Siga el proceso de este artículo para recuperar los metadatos del certificado en la nube de SSO de nosotros (el SP) y volver a agregarlos a su IdP; de lo contrario, los usuarios no podrán utilizar los servicios de Webex .

Si está utilizando el certificado de SSO con SAML en su organización de , debe planear realizar una mejora de su certificado durante un período de mantenimiento planificado antes del 18 de junio de 2018.

Todos los servicios que forman parte de la suscripción de su organización de se ven afectados, entre los que se incluyen:

  • Aplicación de Webex (nuevos inicios de sesión para todas las plataformas: escritorio, móvil y web)

  • Servicios de Webex en Control Hub, incluidas las llamadas

  • El sitio de Webex Meetings es administrado por Webex Control Hub

  • Cisco Jabber si está integrado con SSO

Antes de comenzar


 

Lea todas las instrucciones antes de comenzar. Después de cambiar el certificado o pasar por el asistente para actualizar el certificado, es posible que los nuevos usuarios no puedan iniciar iniciar sesión correctamente.

Si su IdP no es compatible con varios certificados (la mayoría de los IdP del mercado no admiten esta característica), también le recomendamos que planifique esta mejora durante un período de mantenimiento en el que los usuarios de no se vean afectados. Estas tareas de actualización deberían tardar aproximadamente 30 minutos en el tiempo operativo y la validación posterior al evento.

1

Para comprobar si el certificado SSO de SAML Cisco (SP) va a caducar:

  • Es posible que haya recibido un correo electrónico o un mensaje de la aplicación Webex de nuestra parte, pero debe verificar en Control Hub para estar seguro.

  • Iniciar sesión enhttps://admin.webex.com y compruebe su Centro de alertas . Es posible que haya una notificación sobre la actualización del certificado de proveedor de servicios de SSO .

  • Iniciar sesión enhttps://admin.webex.com ir a Gestión > Configuración de la organización > Autenticación y anote el estado del certificado en la tabla de certificados de Cisco SAML (caducado o caducado pronto). Haga clic en Renovar certificado para continuar.

También puede ir directamente al asistente de SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede volver a acceder a él en cualquier momento desde Gestión > Configuración de la organización > Autenticación enhttps://admin.webex.com .

2

Elija el tipo de certificado para la renovación:

  • Autofirmado por Cisco —Recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
  • Firmado por una autoridad de certificación pública —Más seguro, pero deberá actualizar con frecuencia los metadatos (a menos que su proveedor de IdP admita anclajes de confianza).

     

    Los anclajes de confianza son claves públicas que actúan como una autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte la documentación de su IdP.

3

Haga clic en Descargar archivo de metadatos para descargar una copia de los metadatos actualizados con el nuevo certificado. Mantenga esta pantalla abierta.

4

Navegue a la interfaz de administración de su IdP para cargar el nuevo archivo de metadatos de Webex .

  • Este paso se puede realizar a través de una pestaña del navegador, el protocolo de escritorio remoto (RDP) o el soporte de un proveedor de nube específico, según la configuración de su IdP y si usted o un administrador de IdP independiente son responsables de este paso.
  • Para referencia, consulte nuestras guías de integración de SSO o comuníquese con su administrador de IdP para obtener ayuda. Si está en los Servicios de federación de Active Directory (AD FS), puede vea cómo actualizar los metadatos de Webex en AD FS .
5

Regrese a la pestaña donde inició sesión en Control Hub y haga clic en Siguiente .

6

Haga clic en Probar actualización del SSO para confirmar que su IdP cargó e interpretó correctamente el nuevo archivo de metadatos. Confirme los resultados esperados en la ventana emergente y si la prueba tuvo éxito, haga clic en Cambiar a los nuevos metadatos.


 

Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

Resultado: Ha terminado y el certificado SSO de SAML Cisco (SP) de su organización ahora está renovado. Puede comprobar el estado del certificado en cualquier momento abriendo la tabla de estado del certificado SAML en Gestión > Configuración de la organización > Autenticación .

Certificado de proveedor de identidad (IdP)


 

De vez en cuando, puede recibir una notificación por correo electrónico o ver una alerta en Control Hub de que el certificado de IdP va a caducar. Debido a que los proveedores de IdP tienen su propia documentación específica para la renovación de certificados, cubrimos lo que se requiere en Control Hub, junto con los pasos genéricos para recuperar los metadatos de IdP actualizados y cargarlos en Control Hub para renovar el certificado.

1

Para comprobar si el certificado SAML de IdP va a caducar:

  • Es posible que haya recibido un correo electrónico o un mensaje de la aplicación Webex de nuestra parte, pero debe verificar en Control Hub para estar seguro.
  • Iniciar sesión enhttps://admin.webex.com y compruebe su Centro de alertas . Es posible que haya una notificación sobre la actualización del certificado SAML de IdP:

  • Iniciar sesión enhttps://admin.webex.com ir a Gestión > Configuración de la organización > Autenticación y observe el estado del certificado (caducado o caducado pronto) en la tabla de certificados SAML . Haga clic en Renovar certificado para continuar.

  • También puede ir directamente al asistente de SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede volver a acceder a él en cualquier momento desde Gestión > Configuración de la organización > Autenticación enhttps://admin.webex.com .

2

Navegue a la interfaz de administración de su IdP para recuperar el nuevo archivo de metadatos.

  • Este paso se puede realizar a través de una pestaña del navegador, el protocolo de escritorio remoto (RDP) o el soporte de un proveedor de nube específico, según la configuración de su IdP y si usted o un administrador de IdP independiente son responsables de este paso.
  • Para referencia, consulte nuestras guías de integración de SSO o comuníquese con su administrador de IdP para obtener ayuda.
3

Volver a Gestión > Configuración de la organización > Autenticación enhttps://admin.webex.com y luego elija Acciones > Importar metadatos .

4

Arrastre y suelte su archivo de metadatos IdP en la ventana o haga clic en Elija un archivo de metadatos y cárguelo de esa manera.

5

Elegir Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), dependiendo de cómo se firmen los metadatos de su IdP.

6

Haga clic en Probar actualización del SSO para confirmar que su IdP cargó e interpretó correctamente el nuevo archivo de metadatos. Confirme los resultados esperados en la ventana emergente y si la prueba tuvo éxito, haga clic en Cambiar a los nuevos metadatos.


 

Para ver la experiencia de inicio de sesión de SSO directamente, también puede hacer clic en Copiar URL al portapapeles desde esta pantalla y pegarlo en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

Resultado: Ha terminado y el certificado IdP de su organización ahora está renovado. Puede comprobar el estado del certificado en cualquier momento abriendo la tabla de estado del certificado SAML en Gestión > Configuración de la organización > Autenticación .

Puede exportar los últimos metadatos de Webex SP siempre que necesite volver a agregarlos a su IdP. Verá un aviso cuando los metadatos SAML de IdP importados caduquen o hayan caducado.

Este paso es útil en escenarios comunes de administración de certificados de IdP SAML , como IdP que admiten varios certificados donde la exportación no se realizó antes, si los metadatos no se importaron al IdP porque un administrador de IdP no estaba disponible, o si su IdP admite el capacidad de actualizar solo el certificado. Esta opción puede ayudar a minimizar el cambio al actualizar solo el certificado en su configuración de SSO y validación posterior al evento.

1

Desde la vista del cliente enhttps://admin.webex.com ir a Gestión > Configuración de la organización , desplácese hasta Autenticación y luego elija Acciones > Exportar metadatos .

El nombre del archivo de metadatos de Webex es idb-meta- -SP.xml .<org-ID>

2

Importe los metadatos a su IdP.

Siga la documentación de su IdP para importar los metadatos de Webex SP. Puede utilizar nuestro Guías de integración de IdP o consulte la documentación de su IdP específico si no figura en la lista.

3

Cuando haya terminado, ejecute la prueba de SSO siguiendo los pasos de Renovar el certificado de Webex (SP) en este artículo.

Cuando su entorno de IdP cambie o si su certificado de IdP caducará, puede importar los metadatos actualizados a Webex en cualquier momento.

Antes de comenzar

Reúna los metadatos de su IdP, generalmente como un archivo xml exportado.

1

Desde la vista del cliente enhttps://admin.webex.com ir a Gestión > Configuración de la organización , desplácese hasta Autenticación y luego elija Acciones > Importar metadatos .

2

Arrastre y suelte su archivo de metadatos IdP en la ventana o haga clic en Elija un archivo de metadatos y cárguelo de esa manera.

3

Elegir Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), dependiendo de cómo se firmen los metadatos de su IdP.

Recibirá alertas en Control Hub antes de que los certificados caduquen, pero también puede configurar reglas de alerta de manera proactiva. Estas reglas le permiten saber de antemano que sus certificados de SP o IdP caducarán. Podemos enviarle estos por correo electrónico, un espacio en la aplicación Webex o ambos.


 

Independientemente del canal de entrega configurado, todas las alertas siempre aparecerán en Control Hub. Ver Centro de alertas en Control Hub para más información.

1

Desde la vista del cliente enhttps://admin.webex.com ir a Centro de alertas .

2

Elegir Administrar entonces Todas las reglas .

3

De la lista Reglas, elija cualquiera de las reglas de SSO que le gustaría crear:

  • Caducó el certificado SSO IdP
  • Caducó el certificado SSO IdP
4

En la sección Canal de entrega, marque la casilla para correo electrónico , Espacio de Webex , o ambos.

Si elige correo electrónico, ingrese la dirección de dirección de correo electrónico que debe recibir la notificación.


 

Si elige la opción de espacio de Webex , se le agregará automáticamente a un espacio dentro de la aplicación de Webex y le enviaremos las notificaciones allí.

5

Guarde los cambios.

Qué hacer a continuación

Enviamos alertas de caducidad de certificados una vez cada 15 días, comenzando 60 días antes de la caducidad. (Puede esperar alertas los días 60, 45, 30 y 15.) Las alertas se detienen cuando renueva el certificado.

Es posible que vea un aviso de que la URL de cierre de sesión único no está configurada:


 

Le recomendamos que configure su IdP para que admita el cierre de sesión único (también conocido como SLO). Webex admite los métodos de redireccionamiento y publicación, disponibles en nuestros metadatos que se descargan de Control Hub. No todos los IdP admiten SLO; Comuníquese con su equipo de IdP para obtener ayuda. En algunos casos, para los principales proveedores de IdP como AzureAD, Ping Federate, ForgeRock y Oracle, que sí admiten SLO, documentamos cómo configurar la integración . Consulte a su equipo de Identidad y seguridad sobre los detalles de su IDP y cómo configurarlo correctamente.

La URL de desconexión única no está configurada.

  • Una sesión de IdP existente sigue siendo válida. La próxima vez que los usuarios inicien iniciar sesión, es posible que el IdP no les pida que vuelvan a autenticarse.

  • Mostramos un mensaje de advertencia al cerrar sesión, por lo que el cierre de sesión de la aplicación Webex no ocurre sin problemas.

Puede deshabilitar el inicio de sesión único (SSO) para su organización de Webex administrada en Control Hub. Es posible que desee deshabilitar el SSO si está cambiando de proveedor de identidad (IdP).


 

Si el inicio de sesión único se ha habilitado para su organización, pero falla, puede contratar a su socio de Cisco que puede acceder a su organización de Webex para que lo deshabilite.

1

Desde la vista del cliente en ir a Gestión > Configuración de la organización y luego desplácese hasta Autenticación .https://admin.webex.com

2

Para desactivar el SSO , desactive el Inicio de sesión único ajuste.

Aparece una ventana emergente que le advierte sobre la desactivación del SSO:

Si deshabilita el SSO, las contraseñas son administradas por la nube en lugar de su configuración de IdP integrada.

3

Si comprende el impacto de deshabilitar SSO y desea continuar, haga clic en Desactivar .

En Control Hub, verá que la configuración de SSO está desactivada y se eliminan todas las listas de certificados SAML .

Si SSO está deshabilitado, los usuarios que tengan que autenticarse verán un campo de entrada de contraseña durante el proceso de inicio de sesión.

  • Los usuarios que no tienen una contraseña en la aplicación de Webex deben restablecer su contraseña o deben enviar un correo electrónico para que establezcan una contraseña.

  • Los usuarios autenticados existentes con un token de OAuth válido seguirán teniendo acceso a la aplicación de Webex .

  • Los nuevos usuarios creados mientras el SSO está deshabilitado reciben un correo electrónico en el que se les solicita que creen una contraseña.

Qué hacer a continuación

Si usted o el cliente reconfiguran el SSO para la organización del cliente, las cuentas de usuario volverán a utilizar la política de contraseñas establecida por el IdP que está integrado con la organización de Webex .

Si tiene problemas con su inicio de sesión SSO , puede utilizar el Opción de recuperación automática de SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de recuperación automática le permite actualizar o deshabilitar el SSO en Control Hub.