SSO ב-Control Hub

אם ברצונך להגדיר SSO עבור ספקי זהויות מרובים בארגון שלך, עיין ב-SSO עם ספקי זהויות מרובים ב-Webex.


 

אם השימוש באישורים של הארגון שלך מוגדר ל-None אבל אתה עדיין מקבל התראה, אנו ממליצים להמשיך בשדרוג. פריסת ה- SSO שלך אינה משתמשת באישור היום, אך ייתכן שתזדקק לאישור עבור שינויים עתידיים.


 

מעת לעת, ייתכן שתקבל הודעת דוא"ל או תראה התראה ב-Control Hub שתוקף אישור ה- Webex כניסה יחידה יחידה (SSO) עומד לפוג. עקוב אחר התהליך במאמר זה כדי לאחזר מאיתנו את המטא נתונים של אישור ענן SSO (ה-SP) ולהוסיף אותם בחזרה ל-IdP שלך; אחרת, משתמשים לא יוכלו להשתמש בשירותי Webex .

אם אתה משתמש בתעודת SAML Cisco (SP) בארגון WeBEX שלך, עליך לתכנן לעדכן את תעודת הענן במהלך חלון תחזוקה קבוע מתוזמן בהקדם האפשרי.

כל השירותים שהם חלק מהמנוי לארגון Webex שלך מושפעים, כולל אך לא מוגבל ל:

  • אפליקציית Webex (כניסות חדשות לכל הפלטפורמות: שולחן עבודה, נייד ואינטרנט)

  • שירותי Webex ב-Control Hub, כולל שיחות

  • אתרי Webex Meetings המנוהלים באמצעות Control Hub

  • Cisco Jabber אם הוא משולב עם SSO

לפני שתתחיל


 

אנא קרא את כל הכיוונים לפני שתתחיל. לאחר שתשנה את האישור או תעבור על האשף לעדכון האישור, ייתכן שמשתמשים חדשים לא יוכלו להיכנס בהצלחה.

אם ה-IdP שלך לא תומך בתעודות מרובות (רוב ספקי הזהויות בשוק לא תומכים בתכונה זו), מומלץ לתזמן שדרוג זה במהלך חלון תחזוקה שבו משתמשי יישום Webex לא מושפעים. משימות שדרוג אלה צריכות להימשך כ-30 דקות בזמן תפעולי ואימות לאחר האירוע.

1

כדי לבדוק אם תוקף אישור ה- SSO של SAML Cisco (SP) עומד לפוג:

  • ייתכן שקיבלת מאיתנו אימייל או הודעת Webex App, אבל עליך לבדוק ב-Control Hub כדי להיות בטוח.
  • היכנס אלhttps://admin.webex.com , ובדוק את שלך מרכז התראות . ייתכן שתהיה הודעה על עדכון תעודת ספק שירות SSO .

  • היכנס אל https://admin.webex.com, עבור אל ניהול > הגדרות ארגון > אימות, ולחץ על Manage SSO and IdPs.
  • עבור ללשונית ספק הזהויות ושים לב למצב אישור ספק השירות ותאריך התפוגה של Cisco SP.

אתה יכול להיכנס ישירות לאשף SSO כדי לעדכן גם את האישור. אם תחליט לצאת מהאשף לפני שתסיים אותו, תוכל לגשת אליו שוב בכל עת מ ניהול > הגדרות ארגון > אימות בhttps://admin.webex.com .

2

עבור אל ה-IdP ולחץ.

3

לחץ על תעודות סקירה ותאריך תפוגה.

פעולה זו מביאה אותך לחלון האישורים של ספק השירות (SP) של ספק השירות.
4

לחץ על חידוש תעודה.

5

בחר את סוג התעודה לחידוש:

  • חתום עצמי על ידי Cisco -אנו ממליצים על בחירה זו. תנו לנו לחתום על התעודה כך שתצטרכו לחדש אותו רק פעם בחמש שנים.
  • חתום על ידי רשות תעודות ציבורית — מאובטח יותר אבל תצטרך לעדכן את המטא נתונים לעתים קרובות (אלא אם ספק ה-IDP שלך תומך בעוגני אמון).

     

    עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור של חתימה דיגיטלית. למידע נוסף, עיין בתיעוד ה-IDP שלך.

6

לחץ הורד קובץ מטא נתונים כדי להוריד עותק של המטא נתונים המעודכנים עם האישור החדש מהענן של Webex . השאר את המסך הזה פתוח.

7

נווט אל ממשק ניהול ה-IDP שלך כדי להעלות את קובץ המטא-נתונים החדש של Webex .

  • שלב זה עשוי להתבצע באמצעות לשונית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP), או באמצעות תמיכה ספציפית של ספק ענן, בהתאם להגדרת IdP שלך והאם אתה או מנהל מערכת IdP נפרד אחראים לשלב זה.
  • לעיון, עיין במדריכי שילוב SSO שלנו או פנה למנהל ה-IDP שלך לקבלת תמיכה. אם בשירותי הפדרציה של נוכחות פעילה (AD FS), אתה יכול ראה כיצד לעדכן Webex Metadata ב-AD FS .
8

חזור לכרטיסייה שבה נכנסת ל-Control Hub ולחץ הבא .

9

אנו מאשרים כי קובץ המטה-נתונים החדש הועלה ופוענח כראוי על-ידי ה-IdP שלך. אשר את התוצאות הצפויות בחלון המוקפץ, ואם הבדיקה הצליחה, לחץ עבור למטא נתונים חדשים .


 

כדי לנסות בעצמך את חוויית הכניסה עם SSO, אתה יכול גם ללחוץ על העתקת URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

תוצאה: סיימת ואישור SAML Cisco (SP) SSO של הארגון שלך מחודש כעת. באפשרותך לבדוק את מצב התעודה בכל עת תחת הלשונית ספק הזהויות .


 

מעת לעת, ייתכן שתקבל הודעת דוא"ל או שתראה התראה ב-Control Hub שתוקפה של תעודת IdP עומד לפוג. מכיוון שלספקי IdP יש תיעוד ספציפי משלהם לחידוש תעודות, אנו מכסים את מה שנדרש ב-Control Hub, יחד עם שלבים גנריים כדי לאחזר מטה-נתונים מעודכנים של IdP ולהעלות אותו ל-Control Hub כדי לחדש את האישור.

1

כדי לבדוק אם תוקף אישור SAML של IdP עומד לפוג:

  • ייתכן שקיבלת מאיתנו אימייל או הודעת Webex App, אבל עליך לבדוק ב-Control Hub כדי להיות בטוח.
  • היכנס אלhttps://admin.webex.com , ובדוק את שלך מרכז התראות . ייתכן שתהיה הודעה על עדכון אישור SAML של IdP:

  • היכנס אל https://admin.webex.com, עבור אל ניהול > הגדרות ארגון > אימות, ולחץ על Manage SSO and IdPs.
  • עבור ללשונית ספק הזהויות ושים לב לסטטוס אישור IdP (פג או פג בקרוב) ותאריך התפוגה.
  • אתה יכול להיכנס ישירות לאשף SSO כדי לעדכן גם את האישור. אם תחליט לצאת מהאשף לפני שתסיים אותו, תוכל לגשת אליו שוב בכל עת מ ניהול > הגדרות ארגון > אימות בhttps://admin.webex.com .

2

נווט לממשק הניהול של IdP כדי לאחזר את קובץ המטה-נתונים החדש.

  • שלב זה עשוי להתבצע באמצעות לשונית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP), או באמצעות תמיכה ספציפית של ספק ענן, בהתאם להגדרת IdP שלך והאם אתה או מנהל מערכת IdP נפרד אחראים לשלב זה.
  • לעיון, עיין במדריכי שילוב SSO שלנו או פנה למנהל ה-IDP שלך לקבלת תמיכה.
3

חזור ללשונית ספק הזהויות.

4

עבור אל ה-IdP, לחץuploadובחר מטה-נתונים של העלה נתונים של Idp.

5

גרור ושחרר את קובץ המטה-נתונים של IdP לתוך החלון או לחץ על בחר קובץ והעלה אותו כך.

6

בחר פחות בטוח (חתום בעצמו) או בטוח יותר (חתום על ידי CA ציבורי), בהתאם לאופן החתימה של המטא נתונים של IdP שלך.

7

לחץ בדוק את עדכון SSO כדי לאשר שקובץ המטא נתונים החדש הועלה ופורש כהלכה לארגון Control Hub שלך. אשר את התוצאות הצפויות בחלון המוקפץ, ואם הבדיקה הצליחה, בחר בדיקה מוצלחת: הפעל את SSO ואת ה-IdP ולחץ על שמור.


 

כדי לראות ישירות את חוויית הכניסה של SSO, מומלץ ללחוץ על העתק URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

תוצאה: סיימת ואישור ה-IDP של הארגון שלך מחודש כעת. באפשרותך לבדוק את מצב התעודה בכל עת תחת הלשונית ספק הזהויות .

אתה יכול לייצא את המטא נתונים העדכניים ביותר של Webex SP בכל פעם שאתה צריך להוסיף אותם בחזרה ל-IdP שלך. תראה הודעה כאשר המטא נתונים המיובאים של IdP SAML עומדים לפוג או שפג תוקפם.

שלב זה שימושי בתרחישים נפוצים של ניהול תעודות IdP SAML , כגון IdPs התומכים במספר אישורים שבהם הייצוא לא בוצע קודם לכן, אם המטא נתונים לא יובאו ל-IdP מכיוון שמנהל IdP לא היה זמין, או אם IdP שלך תומך ב-IdP יכולת לעדכן רק את התעודה. אפשרות זו יכולה לעזור למזער את השינוי רק על ידי עדכון האישור בתצורת ה- SSO שלך ואימות לאחר אירוע.

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

עבור אל ה-IdP, לחץDownloadובחר מטה-נתונים של SP הורד.

שם הקובץ של מטה-נתונים של יישום Webex הוא idb-meta-<org-ID>-SP.xml.

4

ייבא את המטא נתונים ל-IDP שלך.

עקוב אחר התיעוד עבור IdP שלך כדי לייבא את המטא נתונים של Webex SP. אתה יכול להשתמש שלנו מדריכי אינטגרציה של IdP או עיין בתיעוד עבור IdP הספציפי שלך אם אינו רשום.

5

כשתסיים, הפעל את בדיקת SSO באמצעות השלבים ב חידוש אישור Webex (SP) במאמר זה.

כאשר סביבת ה-IdP שלך משתנה או אם תוקף אישור ה-IDP שלך עומד לפוג, אתה יכול לייבא את המטא נתונים המעודכנים ל- Webex בכל עת.

לפני שתתחיל

אסוף את המטא נתונים של IdP שלך, בדרך כלל כקובץ XML מיוצא.

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

עבור אל ה-IdP, לחץuploadובחר מטה-נתונים של העלה נתונים של Idp.

4

גרור ושחרר את קובץ המטא נתונים של IdP לחלון או לחץ בחר קובץ מטא נתונים ולהעלות את זה ככה.

5

בחר פחות בטוח (חתום בעצמו) או בטוח יותר (חתום על ידי CA ציבורי), בהתאם לאופן החתימה של המטא נתונים של IdP שלך.

6

לחץ על הגדרת SSO, וכאשר לשונית דפדפן חדשה תיפתח, בצע אימות מול ה-IdP על-ידי כניסה.

תקבל התראות ב-Control Hub לפני שתוקפן פג האישורים, אבל תוכל גם להגדיר באופן יזום את כללי ההתראה. כללים אלה מאפשרים לך לדעת מראש שפג תוקפו של תעודות SP או ה-IdP שלך. אנחנו יכולים לשלוח לך אותם בדוא"ל, מרחב ביישום Webex, או בשניהם.


 

ללא קשר לערוץ המשלוח המוגדר, כל ההתראות תמיד מופיעות ב-Control Hub. למידע נוסף, ראה מרכז ההתראות ב-Control Hub .

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל מרכז ההתראות.

2

בחר נהל ולאחר מכן כל הכללים.

3

מרשימת הכללים, בחר אחד מכללי SSO שברצונך ליצור:

  • פג התוקף של תעודת SSO IDP
  • תפוגה של תעודת SSO SP
4

בקטע ערוץ המסירה, סמן את התיבה עבור דוא"ל, מרחב Webex, או את שניהם.

אם תבחרו בדוא"ל, הזן את כתובת הדוא"ל שאמורה לקבל את ההתראה.


 

אם תבחר באפשרות המרחב של Webex, תווסף באופן אוטומטי למרחב בתוך יישום Webex ואנו מספקים את ההתראות שם.

5

שמור את השינויים.

מה הלאה?

אנו שולחים התראות על תפוגת התעודות פעם ב-15 יום, החל מ-60 יום לפני התפוגה. (ניתן לצפות להתראות ביום 60, 45, 30 ו-15). ההתראות נפסקות בעת חידוש התעודה.

ייתכן שתראה הודעה ש-URL של ההתנתקות היחידה אינו מוגדר:


 

אנו ממליצים שתגדיר את ה-IDP שלך כך שתומך ביציאה יחידה (הידוע גם בשם SLO). Webex תומך הן בשיטות ההפניה מחדש והן בשיטות הפרסום, הזמינות במטא נתונים שלנו המורידים מ-Control Hub. לא כל IdPs תומכים ב-SLO; אנא צור קשר עם צוות ה-IDP שלך לקבלת סיוע. לפעמים, עבור ספקי IdP גדולים כמו AzureAD, Ping Federate, ForgeRock, ו-Oracle, התומכים ב-SLO, אנו מתעדים כיצד להגדיר את השילוב. התייעץ עם צוות הזהות והאבטחה שלך בפרטי ה-IDP שלך וכיצד להגדיר אותו כראוי.

אם כתובת ה-URL של התנתקות יחידה לא מוגדרת:

  • הפעלת IdP קיימת נשארת בתוקף. בפעם הבאה שמשתמשים להיכנס, ייתכן שהם לא יתבקשו לאמת מחדש על ידי ה-IDP.

  • אנו מציגים הודעת אזהרה בעת לצאת, כך Webex לא מתרחש בצורה חלקה.

אתה יכול להשבית כניסה יחידה יחידה (SSO) עבור ארגון ה- Webex שלך המנוהל ב-Control Hub. ייתכן שתרצה להשבית SSO אם אתה משנה ספקי זהויות (ספקי זהויות).


 

אם כניסה יחידה הופעלה עבור הארגון שלך אך נכשלת, תוכל להתקשר עם שותף Cisco שלך שיכול לגשת לארגון Webex שלך כדי להשבית אותו עבורך.

1

מתצוגת הלקוח ב-https://admin.webex.com, עבור אל ניהול > הגדרות ארגון, גלול לאימות ולחץ על ניהול SSO ו-IdPs.

2

עבור ללשונית ספק הזהויות .

3

לחץ על השבת את SSO.

מופיע חלון קופץ שמזהיר אותך על השבתת SSO:

השבת את SSO

אם תשבית את SSO, הסיסמאות מנוהלות על ידי הענן במקום תצורת IdP המשולבת שלך.

4

אם אתה מבין את ההשפעה של השבתת SSO וברצונך להמשיך, לחץ השבת .

SSO מושבת וכל רישומי האישורים של SAML מוסרים.

אם SSO מושבת, משתמשים שיצטרכו לאמת יראו שדה כניסה לסיסמה במהלך הכניסה.

  • משתמשים שאין להם סיסמה ביישום Webex חייבים לאפס את הסיסמה שלהם או לשלוח הודעת דוא"ל כדי להגדיר סיסמה.

  • משתמשים מאומתים קיימים עם אסימון OAuth חוקי ימשיכו לקבל גישה לאפליקציית Webex .

  • משתמשים חדשים שנוצרו בזמן SSO מושבת מקבלים אימייל המבקש מהם ליצור סיסמה.

מה הלאה?

אם אתה או הלקוח נקבעו מחדש את התצורה של SSO עבור ארגון הלקוח, חשבונות משתמשים חוזרים להשתמש במדיניות הסיסמה שהוגדרה על-ידי ה-IdP המשולבת עם ארגון Webex.

אם תיתקל בבעיות עם כניסת SSO שלך, תוכל להשתמש באפשרות ההתאוששות העצמית של sso כדי לקבל גישה לארגון Webex שלך המנוהל ב-Control Hub. אפשרות ההתאוששות העצמית מאפשרת לך לעדכן או להשבית את SSO ב-Control Hub.