SSO u Control Hubu

Ako želite postaviti SSO za više pružatelja identiteta u svojoj organizaciji, pogledajte SSO s više IdP-a u Webex .


 

Ako je upotreba certifikata vaše organizacije postavljena na Ništa, ali još uvijek primate upozorenje, preporučujemo da i dalje nastavite s nadogradnjom. Vaša SSO implementacija ne koristi certifikat danas, ali će vam možda trebati certifikat za buduće promjene.


 

S vremena na vrijeme možete primiti obavijest e-poštom ili vidjeti upozorenje u Control Hubu da će certifikat za jedinstvena prijava za Webex ( SSO) isteći. Slijedite postupak u ovom članku kako biste od nas (SP) dohvatili metapodatke SSO certifikata u oblaku i vratili ih svom IdP-u; u suprotnom, korisnici neće moći koristiti usluge Webex .

Ako koristite SAML Cisco (SP) SSO certifikat u svojoj Webex organizaciji, morate planirati ažurirati certifikat u oblaku tijekom redovnog planiranog perioda održavanja što je prije moguće.

Utječe na sve usluge koje su dio vaše pretplate organizacije Webex , uključujući, ali ne ograničavajući se na:

  • Webex aplikacija (nove prijave za sve platforme: desktop, mobilni i web)

  • Webex usluge u Control Hubu, uključujući pozivanje

  • Webex Meetings web-mjesta kojima se upravlja putem Control Huba

  • Cisco Jabber ako je integriran sa SSO -om

Prije početka


 

Molimo pročitajte sve upute prije početka. Nakon što promijenite certifikat ili prođete kroz čarobnjak za ažuriranje certifikata, novi korisnici se možda neće moći uspješno prijaviti se .

Ako vaš IdP ne podržava više certifikata (većina IdP-a na tržištu ne podržava ovu značajku), preporučujemo da zakažete ovu nadogradnju tijekom razdoblja održavanja u kojem to ne utječe na korisnike aplikacije Webex . Ovi zadaci nadogradnje trebali bi trajati otprilike 30 minuta u operativnom vremenu i validaciji nakon događaja.

1

Da biste provjerili hoće li SAML Cisco (SP) SSO certifikat isteći:

  • Možda ste od nas primili e-poruku ili poruku iz aplikacije Webex , ali trebate provjeriti u Control Hubu da biste bili sigurni.
  • Prijavite se nahttps://admin.webex.com , i provjerite svoje Centar za upozorenja . Možda postoji obavijest o ažuriranju certifikata davatelja SSO usluga.

  • Prijavite se nahttps://admin.webex.com , idite na Upravljanje > Postavke organizacije > Autentifikacija , i kliknite Upravljajte SSO -om i IdP-ima .
  • Idite na Pružatelj identiteta karticu i zabilježite status Cisco SP certifikata i datum isteka.

Možete ići izravno u čarobnjak za SSO i ažurirati certifikat. Ako odlučite izaći iz čarobnjaka prije nego što ga dovršite, možete mu ponovno pristupiti u bilo kojem trenutku Upravljanje > Postavke organizacije > Autentifikacija uhttps://admin.webex.com .

2

Idite na IdP i kliknite.

3

Kliknite Pregledajte certifikate i datum isteka .

Ovo vas vodi do Certifikati davatelja usluga (SP). prozoru.
4

Kliknite Obnovite certifikat .

5

Odaberite vrstu certifikata za obnovu:

  • Samopotpisao Cisco — Preporučamo ovaj izbor. Dopustite nam da potpišemo certifikat tako da ga trebate obnavljati samo jednom svakih pet godina.
  • Potpisano od strane javnog certifikacijskog tijela —Sigurnije, ali ćete morati često ažurirati metapodatke (osim ako vaš dobavljač IdP-a podržava sidra povjerenja).

     

    Sidra povjerenja su javni ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Za više informacija pogledajte dokumentaciju vašeg IdP-a.

6

Kliknite Preuzmite datoteku metapodataka za preuzimanje kopije ažuriranih metapodataka s novim certifikatom iz Webex oblaka. Ostavite ovaj zaslon otvorenim.

7

Idite na sučelje za upravljanje IdP-om da biste prenijeli novu Webex datoteku metapodataka.

8

Vratite se na karticu na kojoj ste se prijavili u Control Hub i kliknite Dalje .

9

Time ćete potvrditi prijenos datoteke s metapodacima i njihovu pravilnu interpretaciju od strane vašeg IdP-a. Potvrdite očekivane rezultate u skočnom prozoru, a ako je test bio uspješan, kliknite Prijeđite na nove metapodatke .


 

Želite li izravno vidjeti kako izgleda SSO prijava, možete kliknuti i Kopiraj URL u međuspremnik na ovom zaslonu i zalijepiti ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Tako ćete lakše ukloniti sve informacije spremljene u predmemoriju vašeg web-preglednika koje bi mogle dati lažno pozitivan rezultat prilikom testiranja vaše konfiguracije SSO-a.

rezultat: Završili ste i SAML Cisco (SP) SSO certifikat vaše organizacije sada je obnovljen. Status certifikata možete provjeriti u bilo kojem trenutku pod Pružatelj identiteta tab.


 

S vremena na vrijeme možete primiti obavijest e-poštom ili vidjeti upozorenje u Control Hubu da će IdP certifikat isteći. Budući da dobavljači IdP-a imaju vlastitu specifičnu dokumentaciju za obnovu certifikata, pokrivamo ono što je potrebno u Control Hubu, zajedno s generičkim koracima za dohvaćanje ažuriranih metapodataka IdP-a i njihovo učitavanje u Control Hub radi obnavljanja certifikata.

1

Da biste provjerili hoće li IdP SAML certifikat isteći:

  • Možda ste od nas primili e-poruku ili poruku iz aplikacije Webex , ali trebate provjeriti u Control Hubu da biste bili sigurni.
  • Prijavite se nahttps://admin.webex.com , i provjerite svoje Centar za upozorenja . Može doći do obavijesti o ažuriranju IdP SAML certifikata:

  • Prijavite se nahttps://admin.webex.com , idite na Upravljanje > Postavke organizacije > Autentifikacija , i kliknite Upravljajte SSO -om i IdP-ima .
  • Idite na Pružatelj identiteta karticu i zabilježite status certifikata IdP-a (istekao ili uskoro ističe) i datum isteka.
  • Možete ići izravno u čarobnjak za SSO i ažurirati certifikat. Ako odlučite izaći iz čarobnjaka prije nego što ga dovršite, možete mu ponovno pristupiti u bilo kojem trenutku Upravljanje > Postavke organizacije > Autentifikacija uhttps://admin.webex.com .

2

Idite na sučelje za upravljanje IdP-om da biste dohvatili novu datoteku metapodataka.

  • Ovaj se korak može obaviti putem kartice preglednika, protokola udaljene radne površine (RDP) ili putem posebne podrške davatelja usluga u oblaku, ovisno o postavkama vašeg IdP-a i jeste li vi ili zasebni administrator IdP-a odgovorni za ovaj korak.
  • za referencu, pogledajte naše vodiče za SSO integraciju ili se obratite svom IdP administratoru za podršku.
3

Vratite se na Pružatelj identiteta tab.

4

Idite na IdP, klikniteuploadi odaberite Prenesite Idp metapodatke .

5

Povucite i ispustite datoteku metapodataka IdP-a u prozor ili kliknite Odaberite datoteku i prenesite ga na taj način.

6

Odaberite Manje siguran (samopotpisan) ili Sigurnije (potpisano od strane javnog CA), ovisno o tome kako su metapodaci vašeg IdP-a potpisani.

7

Kliknite Testirajte SSO ažuriranje kako biste potvrdili da je nova datoteka metapodataka prenesena i ispravno protumačena u vašu organizaciju Control Hub. Potvrdite očekivane rezultate u skočnom prozoru, a ako je test bio uspješan, odaberite Uspješan test: Aktivirajte SSO i IdP i kliknite Spremi .


 

Da biste izravno vidjeli doživljaj prijave na SSO , preporučujemo da kliknete Kopirajte URL u međuspremnik s ovog zaslona i zalijepite ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Tako ćete lakše ukloniti sve informacije spremljene u predmemoriju vašeg web-preglednika koje bi mogle dati lažno pozitivan rezultat prilikom testiranja vaše konfiguracije SSO-a.

rezultat: Završili ste i IdP certifikat vaše organizacije sada je obnovljen. Status certifikata možete provjeriti u bilo kojem trenutku pod Pružatelj identiteta tab.

Možete izvesti najnovije Webex SP metapodatke kad god ih trebate dodati natrag svom IdP-u. Vidjet ćete obavijest kada će uvezeni IdP SAML metapodaci isteći ili su istekli.

Ovaj korak je koristan u uobičajenim scenarijima upravljanja SAML certifikatima IdP-a, kao što su IdP-ovi koji podržavaju više certifikata gdje izvoz nije izvršen ranije, ako metapodaci nisu uvezeni u IdP jer administrator IdP-a nije bio dostupan ili ako vaš IdP podržava mogućnost ažuriranja samo certifikata. Ova opcija može pomoći minimizirati promjenu samo ažuriranjem certifikata u vašoj SSO konfiguraciji i provjerom valjanosti nakon događaja.

1

Iz pogleda kupaca uhttps://admin.webex.com , idite na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija i kliknite Upravljajte SSO -om i IdP-ima .

2

Idite na Pružatelj identiteta tab.

3

Idite na IdP, klikniteDownloadi odaberite Preuzmite SP metapodatke .

Naziv datoteke metapodataka Webex aplikacije je idb-meta-<org-ID> -SP.xml .

4

Uvezite metapodatke u svoj IdP.

Slijedite dokumentaciju za svog IdP-a za uvoz Webex SP metapodataka. Možete koristiti naše Vodiči za integraciju IdP-a ili pogledajte dokumentaciju za vašeg IdP-a ako nije na popisu.

5

Kada završite, pokrenite SSO test pomoću koraka u Obnovite Webex certifikat (SP) u ovom članku.

Kada se vaše IdP okruženje promijeni ili ako će vaš IdP certifikat isteći, ažurirane metapodatke možete uvesti u Webex u bilo kojem trenutku.

Prije početka

Prikupite svoje metapodatke IdP-a, obično kao izvezenu xml datoteku.

1

Iz pogleda kupaca uhttps://admin.webex.com , idite na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija i kliknite Upravljajte SSO -om i IdP-ima .

2

Idite na Pružatelj identiteta tab.

3

Idite na IdP, klikniteuploadi odaberite Prenesite Idp metapodatke .

4

Povucite i ispustite datoteku metapodataka IdP-a u prozor ili kliknite Odaberite datoteku s metapodacima i prenesite ga na taj način.

5

Odaberite Manje siguran (samopotpisan) ili Sigurnije (potpisano od strane javnog CA), ovisno o tome kako su metapodaci vašeg IdP-a potpisani.

6

Kliknite Testirajte SSO postavljanje , a kada se otvori nova kartica preglednika, autentificirajte se s IdP-om prijavom.

Primit ćete upozorenja u Control Hubu prije nego se certifikati postave da isteknu, ali također možete proaktivno postaviti pravila upozorenja. Ova pravila vas unaprijed obavještavaju da će vaši SP ili IdP certifikati isteći. Možemo vam ih poslati putem e-pošte, prostora u aplikaciji Webex ili oboje.


 

Bez obzira na konfiguriran kanal isporuke, sva upozorenja uvijek se pojavljuju u Control Hubu. vidi Centar za upozorenja u Control Hubu za više informacija.

1

Iz pogleda kupaca uhttps://admin.webex.com , idite na Centar za upozorenja .

2

Odaberite Upravljaj onda Sva pravila .

3

S popisa pravila odaberite bilo koje od SSO pravila koje želite izraditi:

  • Istek SSO IDP certifikata
  • Istek SSO SP certifikata
4

U odjeljku Kanal isporuke označite okvir za e-pošta , Webex prostor , ili oboje.

Ako odaberete E- e-pošta, unesite adresa e-pošte koja bi trebala primiti obavijest.


 

Ako odaberete opciju Webex prostora, automatski se dodajete u prostor unutar Webex aplikacije i tamo dostavljamo obavijesti.

5

Spremite promjene.

Što učiniti sljedeće

Upozorenja o isteku certifikata šaljemo svakih 15 dana, počevši od 60 dana prije isteka. (Možete očekivati upozorenja 60., 45., 30. i 15. dana.) Upozorenja se zaustavljaju kada obnovite certifikat.

Možda ćete vidjeti obavijest da pojedinačni URL za odjavu nije konfiguriran:


 

Preporučujemo da konfigurirate svog IdP-a da podržava jednokratnu odjavu (također poznat kao SLO). Webex podržava metode preusmjeravanja i objave, dostupne u našim metapodacima koji se preuzimaju s Control Huba. Ne podržavaju svi IdP SLO; obratite se svom IdP timu za pomoć. Ponekad, za glavne dobavljače IdP-a kao što su AzureAD, Ping Federate, ForgeRock i Oracle, koji podržavaju SLO, dokumentiramo kako konfigurirati integraciju . Posavjetujte se sa svojim timom za identitet i sigurnost o specifičnostima vašeg IDP-a i kako ga pravilno konfigurirati.

Ako url za pojedinačnu odjavu nije konfiguriran:

  • Postojeća IdP sesija ostaje važeća. Sljedeći put kada se korisnici prijaviti se, IdP od njih možda neće tražiti ponovnu autentifikaciju.

  • Prilikom odjave prikazujemo poruka upozorenja , tako da se odjaviti se iz aplikacije Webex ne događa bez problema.

Možete onemogućiti jedinstvena prijava (SSO) za svoju Webex organizaciju kojom se upravlja u Control Hubu. Možda ćete htjeti onemogućiti SSO ako mijenjate davatelje identiteta (IdP).


 

Ako je jedinstvena prijava omogućena za vašu organizaciju, ali ne uspijeva, možete angažirati svog Cisco partnera koji može pristupiti vašoj Webex organizaciji da je onemogući umjesto vas.

1

Iz pogleda kupaca uhttps://admin.webex.com , idite na Upravljanje > Postavke organizacije , pomaknite se do Autentifikacija i kliknite Upravljajte SSO -om i IdP-ima .

2

Idite na Pružatelj identiteta tab.

3

Kliknite Deaktiviraj SSO .

Pojavljuje se skočni prozor koji vas upozorava na onemogućavanje SSO a:

Deaktiviraj SSO

Ako onemogućite SSO, lozinkama upravlja oblak umjesto vaše integrirane IdP konfiguracije.

4

Ako razumijete utjecaj onemogućavanja SSO -a i želite nastaviti, kliknite Deaktiviraj .

SSO je deaktiviran i svi popisi SAML certifikata su uklonjeni.

Ako je SSO onemogućen, korisnici koji se moraju autentificirati vidjet će polje za unos lozinke tijekom procesa prijave.

  • Korisnici koji nemaju zaporku u aplikaciji Webex moraju ili poništiti svoju lozinku ili im morate poslati e-poruku da postave zaporku.

  • Postojeći provjereni korisnici s važećim OAuth tokenom i dalje će imati pristup Webex aplikaciji.

  • Novi korisnici stvoreni dok je SSO onemogućen primaju e-poruku u kojoj se od njih traži da stvore lozinku.

Što učiniti sljedeće

Ako vi ili korisnik ponovno konfigurirate SSO za organizaciju korisnika, korisnički računi se vraćaju na korištenje politike lozinke koju postavlja IdP koji je integriran s organizacijom Webex .

Ako naiđete na probleme s prijavom na SSO , možete koristiti SSO opcija samooporavka da biste dobili pristup svojoj Webex organizaciji kojom se upravlja u Control Hubu. Opcija samooporavka omogućuje ažuriranje ili onemogućavanje SSO -a u Control Hubu.