אם ברצונך להגדיר SSO עבור ספקי זהויות מרובים בארגון שלך, עיין ב- SSO עם ספקי זהויות מרובים ב-Webex.

אם השימוש באישורים של הארגון שלך מוגדר כ"ללא" אך אתה עדיין מקבל התראה, אנו ממליצים שתמשיך בשדרוג. פריסת ה-SSO שלך אינה משתמשת באישור כיום, אך ייתכן שתזדקק לאישור עבור שינויים עתידיים.

תעודת ספק שירותי Webex (SP)

מעת לעת, ייתכן שתקבל הודעת דוא"ל או תראה התראה במרכז הבקרה שאישור הכניסה היחידה (SSO) של Webex עומד לפוג. בצע את התהליך במאמר זה כדי לאחזר את המטא-נתונים של אישור ענן SSO מאיתנו (SP) ולהוסיף אותם בחזרה ל-IdP שלך; אחרת, משתמשים לא יוכלו להשתמש בשירותי Webex.

אם אתם משתמשים בתעודת SAML Cisco (SP) SSO בארגון Webex שלכם, עליכם לתכנן לעדכן את תעודת הענן במהלך חלון תחזוקה קבוע ומתוזמן בהקדם האפשרי.

כל השירותים שהם חלק ממנוי הארגון שלך ב-Webex מושפעים, כולל אך לא רק:

  • אפליקציית Webex (כניסות חדשות לכל הפלטפורמות: שולחן עבודה, נייד ואינטרנט)

  • שירותי Webex במרכז הבקרה, כולל שיחות

  • אתרי פגישות Webex המנוהלים דרך Control Hub

  • Cisco Jabber אם הוא משולב עם SSO

לפני שתתחיל

אנא קראו את כל ההוראות לפני שמתחילים. לאחר שינוי האישור או עדכון האשף באשף האישור, ייתכן שמשתמשים חדשים לא יוכלו להיכנס בהצלחה.

אם ספק ה-IdP שלך אינו תומך במספר אישורים (רוב ספקי ה-IdP בשוק אינם תומכים בתכונה זו), אנו ממליצים לתזמן שדרוג זה במהלך חלון תחזוקה שבו משתמשי אפליקציית Webex אינם מושפעים. משימות שדרוג אלו צפויות להימשך כ-30 דקות בזמן תפעול ואימות לאחר אירוע.

1

כדי לבדוק אם אישור SAML Cisco (SP) SSO עומד לפוג:

  • ייתכן שקיבלת מאיתנו הודעת דוא"ל או הודעה באפליקציית Webex, אך עליך לבדוק במרכז הבקרה כדי להיות בטוח.

  • היכנס ל- Control Hubובדוק את מרכז ההתראותשלך. ייתכן שתהיה הודעה על עדכון אישור ספק שירותי SSO.

  • עבור אל ניהול > אבטחה > אימות.
  • עבור אל הכרטיסייה ספק זהויות ורשום את סטטוס ותאריך התפוגה של אישור Cisco SP.

ניתן גם לגשת ישירות לאשף ה-SSO כדי לעדכן את האישור. אם תחליט לצאת מהאשף לפני שתסיים אותו, תוכל לגשת אליו שוב בכל עת דרך ניהול > אבטחה > אימות ב מרכז הבקרה.

2

עבור אל ה-IdP ולחץ על .

3

לחץ על סקירת אישורים ותאריך תפוגה.

4

לחץ על חידוש אישור.

5

בחר את סוג ה-IdP שבו משתמש הארגון שלך.

  • ספק שירותי זיהוי אישי (IdP) התומך במספר אישורים
  • ספק שירותי זיהוי אישי (IdP) התומך בתעודה יחידה

אם ספק שירותי ה-IdP שלך תומך באישור יחיד, מומלץ להמתין עם ביצוע שלבים אלה במהלך זמן השבתה מתוכנן. בזמן שאישור Webex מתעדכן, כניסות של משתמשים חדשים לא יפעלו לזמן קצר; כניסות קיימות נשמרות.

6

בחר את סוג האישור לחידוש:

  • חתימה עצמית על ידי סיסקו— אנו ממליצים על אפשרות זו. תן לנו לחתום על התעודה כך שתצטרך לחדש אותה רק פעם בחמש שנים.
  • חתום על ידי רשות אישורים ציבורית— מאובטח יותר אך תצטרך לעדכן את המטא-דאטה לעתים קרובות (אלא אם כן ספק ה-IdP שלך תומך בעוגני אמון).

    עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור חתימה דיגיטלית. לקבלת מידע נוסף, עיין בתיעוד של IdP.

    לפני שתמשיכו לשלבים הבאים, ודאו שאתם מוכנים לחדש את האישור שלכם ופועלים במסגרת חלון השינויים של הארגון שלכם. בחירה באפשרות Self-signed Cisco או Signed by a public certification authority יוצרת מיד תעודה חדשה. ברגע שהאישור משתנה עבור IdP יחיד, ה-SSO מפסיק לפעול עד להעלאת האישור או המטא-דאטה ל-IdP. לכן, חשוב להשלים את תהליך החידוש.

7

לחץ על הורד קובץ מטא-נתונים כדי להוריד עותק של המטא-נתונים המעודכנים עם האישור החדש מענן Webex. השאירו את המסך הזה פתוח.

8

נווט לממשק ניהול IdP שלך כדי להעלות את קובץ המטה-נתונים החדש של Webex.

9

חזור לכרטיסייה שבה נכנסת ל-Control Hub ולחץ על הבא.

10

עדכן את ה-IdP עם אישור ה-SP והמטא-דאטה החדשים ולחץ על הבא.

  • כל ספקי הזהות עודכנו
  • אם אתה זקוק לזמן נוסף לביצוע העדכון, שמור את התעודה המחודשת כאפשרות המשנית
11

לחץ על סיום חידוש.

תעודת ספק זהויות (IdP)

מעת לעת, ייתכן שתקבל הודעת דוא"ל או שתראה התראה במרכז הבקרה שאישור ה-IdP עומד לפוג. מכיוון שלספקי IdP יש תיעוד ספציפי משלהם לחידוש אישורים, אנו מכסים את הנדרש ב-Control Hub, יחד עם שלבים כלליים לאחזור מטא-נתונים מעודכנים של IdP והעלאתם ל-Control Hub כדי לחדש את האישור.

1

כדי לבדוק אם אישור ה-SAML של IdP עומד לפוג:

  • ייתכן שקיבלת מאיתנו הודעת דוא"ל או הודעה באפליקציית Webex, אך עליך לבדוק במרכז הבקרה כדי להיות בטוח.
  • היכנס ל- Control Hubובדוק את מרכז ההתראותשלך. ייתכן שתהיה הודעה על עדכון אישור SAML של IdP:

  • עבור אל ניהול > אבטחה > אימות.
  • עבור ללשונית ספק זהויות ורשום את סטטוס אישור ה-IdP (פג תוקף או עומד לפוג בקרוב) ואת תאריך התפוגה.

  • ניתן גם לגשת ישירות לאשף ה-SSO כדי לעדכן את האישור. אם תחליט לצאת מהאשף לפני שתסיים אותו, תוכל לגשת אליו שוב בכל עת דרך ניהול > אבטחה > אימות במרכז הבקרה.

2

נווטו לממשק ניהול ה-IdP שלכם כדי לאחזר את קובץ המטא-דאטה החדש.

  • ניתן לבצע שלב זה דרך כרטיסיית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP), או דרך תמיכה ספציפית של ספק ענן, בהתאם להגדרת ה-IdP שלך ולשאלה האם אתה או מנהל IdP נפרד אחראים על שלב זה.
  • לעיון, עיינו במדריכי האינטגרציה שלנו ל-SSO או צרו קשר עם מנהל ה-IdP שלכם לקבלת תמיכה.
3

חזור ללשונית ספק זהויות.

4

עבור אל ה-IdP, לחץ על העלאה ובחר העלה מטא-נתונים של Idp.

5

גררו ושחררו את קובץ המטא-דאטה של ה-IdP שלכם לתוך החלון או לחצו על בחר קובץ והעלו אותו בדרך זו.

6

בחר פחות מאובטח (חתימה עצמית) או מאובטח יותר (חתימה על ידי רשות אישורים ציבורית), בהתאם לאופן שבו המטא-נתונים של ה-IdP שלך חתומים.

7

לחץ על בדיקת עדכון SSO כדי לאשר שקובץ המטה-נתונים החדש הועלה ופורש כהלכה לארגון Control Hub שלך. אשר את התוצאות הצפויות בחלון הקופץ, ואם הבדיקה הצליחה, בחר בדיקה מוצלחת: הפעל את SSO ואת ה-IdP ולחץ על שמור.

כדי לראות את חוויית הכניסה באמצעות SSO ישירות, מומלץ ללחוץ על העתק כתובת URL ללוח ממסך זה ולהדביק אותה בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

תוצאה: סיימת ותעודת ה-IdP של הארגון שלך חודשה. ניתן לבדוק את סטטוס האישור בכל עת תחת הכרטיסייה ספק זהויות.

באפשרותך לייצא את המטא-נתונים העדכניים ביותר של Webex SP בכל פעם שתצטרך להוסיף אותם בחזרה ל-IdP שלך. תראה הודעה כאשר מטא-נתוני SAML של IdP שיובאו עומדים לפוג או פג תוקפם.

שלב זה שימושי בתרחישי ניהול אישורי SAML נפוצים של IdP, כגון IdPs התומכים במספר אישורים שבהם הייצוא לא בוצע קודם לכן, אם המטא-דאטה לא יובא ל-IdP מכיוון שלא היה מנהל IdP זמין, או אם ה-IdP שלך תומך ביכולת לעדכן רק את האישור. אפשרות זו יכולה לסייע במזעור השינוי על ידי עדכון האישור רק בתצורת ה-SSO שלך ואימות לאחר האירוע.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

עבור אל ה-IdP, לחץ על הורד ובחר הורד מטא-נתונים של SP.

שם קובץ המטא-דאטה של אפליקציית Webex הוא idb-meta-<org-ID>-SP.xml.

5

ייבא את המטא-דאטה ל-IdP שלך.

עקוב אחר התיעוד עבור ה-IdP שלך כדי לייבא את המטא-נתונים של Webex SP. באפשרותך להשתמש במדריכי האינטגרציה של IdP שלנו או לעיין בתיעוד עבור ה-IdP הספציפי שלך אם אינו מופיע ברשימה.

6

לאחר שתסיים, הפעל את בדיקת ה-SSO באמצעות השלבים המופיעים ב- חידוש אישור Webex (SP) במאמר זה.

כאשר סביבת ה-IdP שלך משתנה או אם אישור ה-IdP שלך עומד לפוג, תוכל לייבא את המטא-נתונים המעודכנים ל-Webex בכל עת.

לפני שתתחיל

אסוף את המטא-דאטה של ה-IdP שלך, בדרך כלל כקובץ XML מיוצא.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

עבור אל ה-IdP, לחץ על העלאה ובחר העלה מטא-נתונים של Idp.

5

גררו ושחררו את קובץ המטא-דאטה של ה-IdP שלכם לתוך החלון או לחצו על בחר קובץ מטא-דאטה והעלו אותו בדרך זו.

6

בחר פחות מאובטח (חתימה עצמית) או מאובטח יותר (חתימה על ידי רשות אישורים ציבורית), בהתאם לאופן שבו המטא-נתונים של ה-IdP שלך חתומים.

7

לחץ על בדוק הגדרת SSO, וכאשר כרטיסייה חדשה בדפדפן נפתחת, אימות עם ה-IdP על ידי כניסה.

תקבל התראות ב-Control Hub לפני שאישורים יפוגו, אך תוכל גם להגדיר כללי התראות באופן יזום. כללים אלה מודיעים לך מראש שתוקף אישורי ה-SP או ה-IdP שלך עומד לפוג. נוכל לשלוח לך את אלה באמצעות דוא"ל, שטח באפליקציית Webex, או שניהם.

ללא קשר לערוץ המסירה שתצורתו נקבעה, כל ההתראות תמיד מופיעות במרכז הבקרה. ראה מרכז התראות ב-Control Hub לקבלת מידע נוסף.

1

היכנס למרכז הבקרה.

2

עבור אל מרכז ההתראות.

3

בחר נהל לאחר מכן כל הכללים.

4

מרשימת הכללים, בחר כל אחד מכללי ה-SSO שברצונך ליצור:

  • פקיעת אישור SSO IDP
  • תוקף תעודת SSO SP
5

במקטע ערוץ מסירה, סמן את התיבה עבור דוא"ל, מרחב Webexאו שניהם.

אם תבחרו באפשרות דוא"ל, הזינו את כתובת הדוא"ל שתקבל את ההתראה.

אם תבחר באפשרות מרחב Webex, תתווסף אוטומטית למרחב בתוך אפליקציית Webex ואנחנו נספק לשם את ההתראות.

6

שמור את השינויים.

מה הלאה?

אנו שולחים התראות על תפוגת תעודה אחת ל-15 ימים, החל מ-60 ימים לפני תפוגתה. (ניתן לצפות להתראות ביום 60, 45, 30 ו-15.) ההתראות נפסקות עם חידוש האישור.

ייתכן שתראו הודעה שכתובת URL יחידה להתנתקות לא הוגדרה:

אנו ממליצים שתגדיר את ה-IdP שלך כך שיתמוך ביציאה יחידה (המכונה גם SLO). Webex תומך הן בשיטות ניתוב מחדש והן בשיטות פרסום, הזמינות במטה-נתונים שלנו שמורדים מ-Control Hub. לא כל ספקי שירותי ה-IdP תומכים ב-SLO; אנא צרו קשר עם צוות ספקי שירותי ה-IdP שלכם לקבלת סיוע. לפעמים, עבור ספקי IdP גדולים כמו AzureAD, Ping Federate, ForgeRock ו-Oracle, שתומכים ב-SLO, אנו מתעדים כיצד להגדיר את האינטגרציה. התייעץ עם הזהות שלך & צוות האבטחה על הפרטים הספציפיים של ה-IDP שלך וכיצד להגדיר אותו כראוי.

אם כתובת URL יחידה ליציאה לא מוגדרת:

  • סשן IdP קיים נשאר בתוקף. בפעם הבאה שמשתמשים ייכנסו, ייתכן שה-IdP לא יתבקש מהם לאמת מחדש.

  • אנו מציגים הודעת אזהרה בעת יציאה, כך שהיציאה מאפליקציית Webex לא תתבצע בצורה חלקה.

באפשרותך להשבית כניסה יחידה (SSO) עבור ארגון Webex שלך המנוהל במרכז הבקרה. ייתכן שתרצו להשבית SSO אם אתם משנים ספקי זהויות (IdPs).

אם כניסה יחידה הופעלה עבור הארגון שלך אך היא נכשלת, באפשרותך לפנות לשותף Cisco שלך שיכול לגשת לארגון Webex שלך כדי להשבית אותה עבורך.

1

היכנס למרכז הבקרה.

2

עבור אל ניהול > אבטחה > אימות.

3

עבור אל הכרטיסייה ספק זהויות.

4

לחץ על בטל SSO.

יופיע חלון קופץ המזהיר אותך מפני השבתת SSO:

השבת את SSO

אם תשביתו את ה-SSO, הסיסמאות ינוהלו על ידי הענן במקום על ידי תצורת ה-IdP המשולבת שלכם.

5

אם אתם מבינים את ההשפעה של השבתת SSO וברצונכם להמשיך, לחצו על בטל.

SSO מושבת וכל רישומי אישורי SAML מוסרים.

אם SSO מושבת, משתמשים שצריכים לאמת יראו שדה להזנת סיסמה במהלך תהליך הכניסה.

  • משתמשים שאין להם סיסמה באפליקציית Webex חייבים לאפס את הסיסמה שלהם או לשלוח להם אימייל כדי שיגדירו סיסמה.

  • משתמשים מאומתים קיימים עם אסימון OAuth תקף ימשיכו לקבל גישה לאפליקציית Webex.

  • משתמשים חדשים שנוצרים כאשר SSO מושבת מקבלים אימייל המבקש מהם ליצור סיסמה.

מה הלאה?

אם אתה או הלקוח מגדירים מחדש SSO עבור ארגון הלקוח, חשבונות משתמשים יחזרו להשתמש במדיניות הסיסמאות שנקבעה על ידי ה-IdP המשולב עם ארגון Webex.

אם נתקלת בבעיות עם הכניסה שלך ל-SSO, תוכל להשתמש באפשרות שחזור עצמי של SSO כדי לקבל גישה לארגון Webex שלך המנוהל ב-Control Hub. אפשרות השחזור העצמי מאפשרת לך לעדכן או להשבית SSO ב-Control Hub.