Si l’utilisation des certificats de votre organisation est définie sur Aucune mais que vous recevez toujours une alerte, nous vous recommandons de continuer la mise à jour. Votre déploiement SSO entreprise n’utilise pas le certificat aujourd’hui mais vous aurez besoin du certificat pour les futures modifications.

certificat Service Webex’un fournisseur d’accès (SP)


De temps en temps, vous recevrez une notification par courrier électronique ou voyez une alerte dans Control Hub vous avertissant que le certificat du authentification unique (SSO) Webex (SSO) va expirer. Suivez le processus dans cet article pour récupérer les métadonnées SSO le certificat du Cloud de nous (le SP) et les rajouter à votre IdP ; sinon, les utilisateurs ne pourront pas utiliser les services Webex.

Si vous utilisez le certificat SAML Cisco (SP) SSO dans votre organisation Webex, vous devez prévoir d’actualiser le certificat du Cloud au cours d’une fenêtre de maintenance programmée régulière le plus tôt possible.

Tous les services qui font partie de l’abonnement à votre organisation Webex sont concernés, y compris, mais sans s’y limiter :

  • Application Webex (nouvelles inscriptions pour toutes les plateformes : de bureau, mobile et Web)

  • Services Webex dans Control Hub , y compris l’appel

  • Sites Webex Meetings gérés par Control Hub

  • Cisco Jabber si elle est intégrée à l’SSO

Avant de commencer

Veuillez lire toutes les instructions avant de commencer. Après avoir changé le certificat ou passer par l’assistant pour mettre le certificat à jour, les nouveaux utilisateurs ne pourront peut-être pas se connecter avec succès.

Si votre IdP ne prend pas en charge plusieurs certificats (la plupart des IdP du marché ne supportent pas cette fonctionnalité), nous vous recommandons de programmer cette mise à jour au cours d’une fenêtre de maintenance où les utilisateurs de l’application Webex ne sont pas affectés. Ces tâches de mise à niveau doivent prendre environ 30 minutes en temps d’exploitation et en validation après l’événement.

1.

Pour vérifier si le certificat SAML Cisco (SP) SSO va expirer :

  • Vous avez peut-être reçu un courrier électronique ou un message de l’application Webex de notre part, mais vous devez vérifier que control Hub est certain.

  • Connectez-vous https://admin.webex.comà et vérifiez votre Centre d’alertes. Il peut y avoir une notification concernant la mise à jour SSO Prestataire de service’enregistrement.

  • Connectez-vous à , allez à Gestion > Paramètres de l’organisation > Authentification et notez le statut du certificat dans le tableau des certificats https://admin.webex.comSAML Cisco (expiré ouexpirant prochainement). Cliquez sur Renouveler le certificat pour continuer.

Vous pouvez également aller directement dans l SSO de mise à jour du certificat. Si vous décidez de quitter l’assistant avant d’avoir terminé toutes les applications, vous pouvez y accéder à nouveau à tout moment à partir de Gestion > Paramètres de l’organisation >'Authentification dans https://admin.webex.com.
2

Choisissez le type de certificat pour le renouvellement :

  • Auto-signé par Cisco—Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans.
  • Signé par une autorité de certification publique —Plus sécurisée mais vous devez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prend en charge leschevilles de confiance).

     

    Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
3

Cliquez sur Télécharger le fichier de métadonnées pour télécharger une copie des métadonnées mises à jour avec le nouveau certificat à partir du Cloud Webex. Garder cet écran ouvert.
4

Accédez à votre interface de gestion IdP pour charger le nouveau fichier de métadonnées Webex.

  • Cette étape peut être effectuée via un onglet de navigation, un protocole de bureau distant (RDP) ou une prise en charge spécifique du fournisseur d’accès sur le Cloud, en fonction de la configuration de votre IdP et si vous ou un administrateur IdP séparé êtes responsable de cette étape.
  • Pour référence, consultez nos guides SSO’intégration du produit ou contactez votre administrateur informatique (IdP) pour une assistance. Si sur Active Directory Federation Services (AD FS), vous pouvez voir comment mettre à jour les métadonnées Webex dans AD FS.
5

Revenir à l’onglet où vous vous êtes inscrit à Control Hub et cliquez sur Suivant.
6

Cliquez sur Test de la mise à jour SSO pour confirmer que le nouveau fichier de métadonnées a été téléchargé et interprété correctement par votre IdP. Confirmez les résultats attendus dans la fenêtre contextuelle, et si le test a réussi, cliquez sur Commuter vers les nouvelles métadonnées.


 

Pour voir l’SSO de se inscrire directement, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigateur privée. À partir de là, vous pouvez aller jusqu’à la signature avec SSO. Ceci permet de supprimer toutes les informations mises en cache dans votre navigateur Web qui peuvent fournir un résultat faux positif lors du test de SSO configuration de l’ordinateur.

Résultat : Vous avez terminé et le certificat SAML Cisco (SP) de votre organisation SSO est maintenant renouvelé. Vous pouvez vérifier le statut du certificat à tout moment en ouvrant le tableau du statut du certificat SAML sous Gestion des > Paramètres de l’organisation > Authentification.

certificat Fournisseur d'identité (IdP)

De temps en temps, vous recevrez un courrier électronique de notification ou voyez une alerte dans Control Hub vous avertissant que le certificat de l’IdP va expirer. Les fournisseurs IdP ayant leur propre documentation spécifique pour le renouvellement du certificat, nous couvrons ce qui est requis dans Control Hub , en même temps que les étapes génériques pour récupérer les métadonnées IdP mises à jour et les télécharger dans Control Hub pour renouveler le certificat.

1.

Pour vérifier si le certificat SAML de l’IdP va expirer :

  • Vous avez peut-être reçu un courrier électronique ou un message de l’application Webex de notre part, mais vous devez vérifier que control Hub est certain.
  • Connectez-vous https://admin.webex.comà et vérifiez votre Centre d’alertes. Il peut y avoir une notification concernant la mise à jour du certificat SAML de l’IdP :

  • Connectez-vous à , allez à Gestion > Paramètres de l’organisation > Authentification , puis notez que le statut du certificat (a expiré ou expirera prochainement) dans le tableau des certificats https://admin.webex.comSAML. Cliquez sur Renouveler le certificat pour continuer.

  • Vous pouvez également aller directement dans l SSO de mise à jour du certificat. Si vous décidez de quitter l’assistant avant d’avoir terminé toutes les applications, vous pouvez y accéder à nouveau à tout moment à partir de Gestion > Paramètres de l’organisation >'Authentification dans https://admin.webex.com.
2

Accédez à votre interface de gestion IdP pour récupérer le nouveau fichier de métadonnées.

  • Cette étape peut être effectuée via un onglet de navigation, un protocole de bureau distant (RDP) ou une prise en charge spécifique du fournisseur d’accès sur le Cloud, en fonction de la configuration de votre IdP et si vous ou un administrateur IdP séparé êtes responsable de cette étape.
  • Pour référence, consultez nos guides SSO’intégration du produit ou contactez votre administrateur informatique (IdP) pour une assistance.
3

Retournez à Gestion > Paramètres de l’organisation > Authentification dans , puis choisissez Actions https://admin.webex.com> Importer les métadonnées.
4

Faites glisser et déposez vos fichier de métadonnées IdP dans la fenêtre ou cliquez sur Choisir un fichier de métadonnées et chargez-le de cette façon.
5

Choisissez Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une AC publique), en fonction de la façon dont vos métadonnées IdP sont signées.
6

Cliquez sur Test SSO à jour pour confirmer que le nouveau fichier de métadonnées a été téléchargé et interprété correctement pour votre organisation Control Hub. Confirmez les résultats attendus dans la fenêtre contextuelle, et si le test a réussi, cliquez sur Commuter vers les nouvelles métadonnées.


 

Pour voir l’SSO de se inscrire directement, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigateur privée. À partir de là, vous pouvez aller jusqu’à la signature avec SSO. Ceci permet de supprimer toutes les informations mises en cache dans votre navigateur Web qui peuvent fournir un résultat faux positif lors du test de SSO configuration de l’ordinateur.

Résultat : Vous avez terminé et le certificat IdP de votre organisation est maintenant renouvelé. Vous pouvez vérifier le statut du certificat à tout moment en ouvrant le tableau du statut du certificat SAML sous Gestion des > Paramètres de l’organisation > Authentification.

Vous pouvez exporter les dernières métadonnées Webex SP chaque fois que vous devez les rajouter à votre IdP. Vous voyez une notification lorsque les métadonnées IdP SAML importées vont expirer ou ont expiré.

Cette étape est utile dans les scénarios de gestion des certificats SAML IdP communs, tels que les IdP qui supportent plusieurs certificats où l’exportation n’a pas été effectuée précédemment, si les métadonnées n’ont pas été importées dans l’IdP car un admin IdP n’était pas disponible, ou si votre IdP prend en charge la possibilité de mettre à jour uniquement le certificat. Cette option peut aider à minimiser la modification en mettant à jour uniquement le certificat dans la configuration de SSO’événement et la validation post-événement.

1.

À partir de l’affichage du client dans , allez à Gestion > Paramètres de l’organisation , faites défiler jusqu’à Authentification , puis choisissez https://admin.webex.com Actions > Exporter lesmétadonnées.

Le fichier de métadonnées de l’application Webex est idb-meta-<org-ID>-SP.xml.
2

Importer les métadonnées dans votre IdP.

Suivez la documentation de votre IdP pour importer les métadonnées du serveur SP Webex. Vous pouvez utiliser nos guides d’intégration IdP ou consulter la documentation pour votre IdP spécifique si non listé.
3

Lorsque vous avez terminé, exécutez le test SSO en utilisant les étapes de « Renouveler le certificat Webex (SP) » dans cet article.

Lorsque votre environnement IdP change ou si votre certificat IdP va expirer, vous pouvez importer les métadonnées mises à jour dans Webex à tout moment.

Avant de commencer

Collectez vos métadonnées IdP, généralement en tant que fichier xml exporté.

1.

À partir de l’affichage du client dans , allez à Gestion > Paramètres de l’organisation , faites défiler jusqu’à Authentification , puis choisissez https://admin.webex.com Actions > importer lesmétadonnées.
2

Faites glisser et déposez vos fichier de métadonnées IdP dans la fenêtre ou cliquez sur Choisir un fichier de métadonnées et chargez-le de cette façon.
3

Choisissez Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une AC publique), en fonction de la façon dont vos métadonnées IdP sont signées.

Vous recevrez des alertes dans Control Hub avant l’expiration des certificats, mais vous pouvez également configurer des règles d’alerte proactivement. Ces règles vous font savoir à l’avance que vos certificats SP ou IdP vont expirer. Nous pouvons vous les envoyer par courrier électronique, un espace dans l’application Webex, ou les deux.

Quel que soit le canal de distribution configuré, toutes les alertes s’affichent toujours dans Control Hub. Voir Centre d’alertes dans Control Hub pour plus d’informations.

1.

À partir de l’affichage du https://admin.webex.comclient dans , allez à Alertes center.
2

Choisissez Gérer puis Toutes les règles.
3

À partir de la liste Règles, choisissez l’une SSO que vous souhaitez créer :

  • SSO expiration du certificat IDP
  • SSO expiration du certificat SP
4

Dans la section Chaine de distribution, cochez la case Adresse électronique, espaceWebex, ou les deux.

Si vous choisissez Adresse électronique, saisissez l’adresse électronique qui doit recevoir la notification.


 

Si vous choisissez l’option de l’espace Webex, vous êtes automatiquement ajouté à un espace dans l’application Webex et nous y livrons les notifications.
5

Enregistrez vos modifications.

Ce qu’il faut faire ensuite

Nous envoyons des alertes d’expiration des certificats une fois tous les 15 jours, en commençant 60 jours avant l’expiration. (Vous pouvez vous attendre aux alertes les 60, 45, 30 et 15.) Les alertes s’arrêtent lorsque vous renouvelez le certificat.

Vous pouvez voir une notification vous notant que l’URL de connexion unique n’est pas configurée :

Nous vous recommandons de configurer votre IdP pour la prise en charge de la sortie de session unique (également appelée SLO). Webex prend en charge à la fois les méthodes de redirection et de publication, disponibles dans nos métadonnées qui sont téléchargées à partir de Control Hub. Tous les IdP ne supportent pas SLO ; veuillez contacter votre équipe IdP pour obtenir de l’aide. Dans certains cas, pour les principaux fournisseurs IdP tels qu’AzureAD, Ping Federate, ForgeRock et Oracle, qui supportent SLO, nous documentons comment configurer l’intégration. Veuillez consulter votre équipe d’identité et de sécurité sur les détails de votre IDP et sur la manière de la configurer correctement.

Si l’URL de connexion individuelle n’est pas configurée :

  • Une session IdP existante reste valide. La prochaine fois que les utilisateurs se connectent, il ne leur sera pas demandé de se réauthentifier par l’IdP.

  • Nous affichons un message d’avertissement lors de la connexion, afin que la session de l’application Webex ne se produise pas de manière transparente.

Vous pouvez désactiver l authentification unique (SSO) (SSO) pour votre organisation Webex gérée dans Control Hub . Vous pouvez désactiver cette SSO vous changez de fournisseur d’identité (IdP).

Si authentification unique (SSO) été activé pour votre organisation mais qu’il échoue, vous pouvez engager votre partenaire Cisco qui peut accéder à votre organisation Webex pour qu’il le désactive pour vous.

1.

À partir de l’affichage du client dans , allez à Gestion > Paramètres de https://admin.webex.coml’organisation , puis faites défiler jusqu’à Authentification.
2

Pour désactiver SSO, dés activer ou désactiver le paramètre 1 sso.

Une fenêtre pop-up s’affiche vous avertissant des mesures de SSO :

Si vous désactivez SSO, les mots de passe sont gérés par le Cloud au lieu de votre configuration IdP intégrée.
3

Si vous comprenez l’impact que peut avoir la désactivation SSO vous souhaitez continuer, cliquez sur Désactiver.

Dans Control Hub, vous voyez le paramètre SSO qui a été coupé et toutes les listes de certificats SAML sont supprimées.

Si SSO' est désactivé, les utilisateurs qui doivent s’authentifier voient un champ d’entrée du mot de passe au cours du processus de connexion.

  • Les utilisateurs qui n’ont pas de mot de passe dans l’application Webex doivent soit réinitialiser leur mot de passe, soit vous devez leur envoyer un courrier électronique pour qu’ils définissent un mot de passe.

  • Les utilisateurs authentifiés existants avec un jeton OAuth valide continueront d’avoir accès à l’application Webex.

  • Les nouveaux utilisateurs créés SSO sont désactivés reçoivent un courrier électronique leur demandant de créer un mot de passe.

Ce qu’il faut faire ensuite

Si vous ou le client reconfigurez les SSO pour l’organisation du client, les comptes utilisateurs utiliseront à nouveau la politique du mot de passe définie par l’IdP intégrée à l’organisation Webex.