Jedinstvena prijava u okruženju Control Hub

Ako želite postaviti SSO za više davatelja identiteta u svojoj organizaciji, pogledajte SSO s više IdP-ova u Webexu.

Ako je korištenje certifikata vaše tvrtke ili ustanove postavljeno na Ništa, ali i dalje primate upozorenje, preporučujemo da i dalje nastavite s nadogradnjom. Vaša SSO implementacija danas ne koristi certifikat, ali možda će vam trebati certifikat za buduće promjene.

Certifikat davatelja usluga Webex (SP)

S vremena na vrijeme možete primiti obavijest e-poštom ili u Kontrolnom centru vidjeti upozorenje da će certifikat za jedinstvenu prijavu (SSO) na Webexu isteći. Slijedite postupak u ovom članku da biste dohvatili metapodatke SSO certifikata u oblaku od nas (SP) i dodali ih natrag u svoj IDP; u suprotnom, korisnici neće moći koristiti Webex usluge.

Ako upotrebljavate SAML Cisco (SP) SSO certifikat u svojoj Webex organizaciji, morate što prije planirati ažuriranje certifikata u oblaku tijekom redovnog planiranog razdoblja održavanja.

To utječe na sve servise koji su dio pretplate na web-organizaciju Webex, uključujući, ali ne ograničavajući se na:

  • Webex App (nove prijave za sve platforme: stolna računala, mobilni telefoni i web)

  • Webex usluge u Kontrolnom centru ,uključujući pozivanje

  • Webex web-mjesta sastanaka kojima se upravlja putem kontrolnog središta

  • Cisco Jabber ako je integriran sa SSO-om

Prije nego što počnete

Pročitajte sve upute prije početka. Nakon što promijenite certifikat ili prođete kroz čarobnjak da biste ažurirali certifikat, novi se korisnici možda neće moći uspješno prijaviti.

Ako vaš IdP ne podržava više certifikata (većina IdP-ova na tržištu ne podržava ovu značajku), preporučujemo da zakažete ovu nadogradnju tijekom razdoblja održavanja u kojem to ne utječe na korisnike aplikacije Webex. Za te zadatke nadogradnje potrebno je otprilike 30 minuta u radnom vremenu i provjeru valjanosti nakon isteka.

1

Da biste provjerili hoće li SSO certifikat SAML Cisco (SP) isteći:

  • Možda ste primili poruku e-pošte ili web-aplikacije od nas, ali trebali biste provjeriti Kontrolni centar da biste bili sigurni.

  • Prijavite se u https://admin.webex.comcentar za upozorenja i provjerite. Možda postoji obavijest o ažuriranju certifikata davatelja usluga SSO-a.

  • Prijavite se u https://admin.webex.com, idite na Upravljanje > Postavke organizacije > Jedinstvena prijava i kliknite na Upravljanje SSO-om i IdP-om.
  • Otvorite karticu Davatelj identiteta i zabilježite status certifikata Cisco SP-a i datum isteka.

Možete otići izravno u čarobnjak za SSO da biste ažurirali certifikat. Ako odlučite izaći iz čarobnjaka prije nego što ga dovršite, u svakom mu trenutku možete ponovno pristupiti iz izbornika Upravljanje > Postavke organizacije > Jedinstvena prijavahttps://admin.webex.com.

2

Otvorite IdP i kliknite .

3

Kliknite na Pregledaj certifikate i datum isteka.

4

Kliknite na Obnovi certifikat.

5

Odaberite vrstu IdP-a koju upotrebljava vaša organizacija.

  • IdP koji podržava više certifikata
  • IdP koji podržava jedan certifikat

Ako vaš IDP podržava jedan certifikat, preporučujemo da pričekate da izvršite ove korake tijekom zakazanog zastoja. Dok se Webex certifikat ažurira, nove prijave korisnika nakratko neće funkcionirati; postojeće prijave će se zadržati.

6

Odaberite vrstu certifikata za obnovu:

  • Samopotpisao Cisco– preporučujemo ovaj odabir. Dopustite nam da potpišemo certifikat tako da ga trebate obnoviti samo jednom u pet godina.
  • Potpisano od strane javnog certifikacijskog tijela– sigurnije, ali morat ćete često ažurirati metapodatke (osim ako vaš pružatelj identiteta ne podržava usađene vjerodajnice).

    Sidra povjerenja javni su ključevi koji djeluju kao ovlaštenje za provjeru certifikata digitalnog potpisa. Dodatne informacije potražite u dokumentaciji o IDP-u.

    Prije nego što prijeđete na sljedeće korake, provjerite jeste li spremni obnoviti svoj certifikat i djelujete u sklopu prozora za promjenu organizacije. Odabirom opcije Samopotpisani Cisco ili Potpisano od strane javnog certifikacijskog tijela odmah će se izraditi novi certifikat. Nakon što se certifikat promijeni za jednog IdP, SSO se zaustavlja dok se certifikat ili metapodaci ne prenesu na IdP. Stoga je važno dovršiti postupak produljenja.

7

Kliknite na Preuzmi datoteku metapodataka da biste preuzeli kopiju ažuriranih metapodataka s novim certifikatom iz Webex oblaka. Držite ovaj zaslon otvorenim.

8

Dođite do sučelja za upravljanje IdP-om da biste prenijeli novu datoteku metapodataka Webexa.

  • Taj se korak može provesti putem kartice preglednika, protokola udaljene radne površine (RDP) ili putem određene podrške davatelja usluga u oblaku, ovisno o postavljanju IDP-a i o tome jeste li vi ili zasebni administrator IDP-a odgovorni za ovaj korak.
  • Za referencu pogledajte naše vodiče za integraciju SSO-a ili se za podršku obratite administratoru IDP-a. Ako se radi o servisima Active Directory Federation Services (AD FS), možete vidjeti kako ažurirati Webex metapodatke u AD FS- u.
9

Vratite se na karticu u koju ste se prijavili u Control Hub i kliknite na Dalje.

10

Ažurirajte IdP-a s novim SP certifikatom i metapodacima te kliknite na Dalje.

  • ažurirani su svi IdP-ovi
  • Ako vam je potrebno više vremena za ažuriranje, spremite obnovljeni certifikat kao sekundarnu opciju
11

Kliknite na Završi obnovu.

Certifikat davatelja identiteta (IdP)

S vremena na vrijeme možete primiti obavijest e-poštom ili vidjeti upozorenje u Kontrolnom centru da će IDP certifikat isteći. Budući da dobavljači IDP-a imaju vlastitu specifičnu dokumentaciju za obnovu certifikata, pokrivamo ono što je potrebno u controlhubu , zajedno s generičkim koracima za dohvaćanje ažuriranih IDP metapodataka i prijenos u Control Hub radi obnove certifikata.

1

Da biste provjerili hoće li IdP SAML certifikat isteći:

  • Možda ste primili poruku e-pošte ili web-aplikacije od nas, ali trebali biste provjeriti Kontrolni centar da biste bili sigurni.
  • Prijavite se u https://admin.webex.comcentar za upozorenja i provjerite. Možda postoji obavijest o ažuriranju IdP SAML certifikata:

  • Prijavite se u https://admin.webex.com, idite na Upravljanje > Postavke organizacije > Jedinstvena prijava i kliknite na Upravljanje SSO-om i IdP-om.
  • Otvorite karticu Davatelja identiteta i zabilježite status IdP certifikata (istekao ili uskoro istječe) i datum isteka.

  • Možete otići izravno u čarobnjak za SSO da biste ažurirali certifikat. Ako odlučite izaći iz čarobnjaka prije nego što ga dovršite, u svakom mu trenutku možete ponovno pristupiti iz izbornika Upravljanje > Postavke organizacije > Jedinstvena prijavahttps://admin.webex.com.

2

Dođite do sučelja za upravljanje IDP-om da biste dohvatili novu datoteku metapodataka.

  • Taj se korak može provesti putem kartice preglednika, protokola udaljene radne površine (RDP) ili putem određene podrške davatelja usluga u oblaku, ovisno o postavljanju IDP-a i o tome jeste li vi ili zasebni administrator IDP-a odgovorni za ovaj korak.
  • Za referencu pogledajte naše vodiče za integraciju SSO-a ili se za podršku obratite administratoru IDP-a.
3

Vratite se na karticu Davatelj identiteta .

4

Otvorite IdP, kliknite prenositi i odaberite Prenesi metapodatke pružatelja identiteta.

5

Povucite i ispustite datoteku IdP metapodataka u prozor ili kliknite na Odaberi datoteku i prenesite je na taj način.

6

Odaberite Manje sigurno (samopotpisano) ili Sigurnije (potpisao javni CA), ovisno o tome kako su vaši IdP metapodaci potpisani.

7

Kliknite na Testiraj ažuriranje jedinstvene prijave kako biste potvrdili prijenos datoteke s metapodacima i njihovu pravilnu interpretaciju u vašoj organizaciji Kontrolnog čvorišta. Potvrdite očekivane rezultate u skočnom prozoru i ako je test bio uspješan, odaberite Uspješan test: Aktivirajte jedinstvenu prijavu i davatelja identiteta pa kliknite Spremi.

Želite li izravno vidjeti iskustvo prijave za SSO, preporučujemo da kliknete na Kopiraj URL u međuspremnik s ovog zaslona i zalijepite ga u privatni prozor preglednika. Odatle možete proći kroz prijavu pomoću SSO-a. Tako ćete lakše ukloniti sve informacije spremljene u predmemoriju vašeg web-preglednika koje bi mogle dati lažno pozitivan rezultat prilikom testiranja vaše konfiguracije SSO-a.

Rezultat: Gotovi ste i IDP certifikat vaše tvrtke ili ustanove sada je obnovljen. Status certifikata u svakom trenutku možete provjeriti u kartici Davatelj identiteta .

Najnovije Webex SP metapodatke možete izvesti kad god ih trebate vratiti u IDP. Vidjet ćete obavijest kada uvezeni IdP SAML metapodaci isteknu ili su istekli.

Ovaj je korak koristan u uobičajenim scenarijima upravljanja IDP SAML certifikatima, kao što su IDP-ovi koji podržavaju više certifikata u kojima izvoz nije obavljen ranije, ako metapodaci nisu uvezeni u IdP jer administrator IDP-a nije bio dostupan ili ako vaš IDP podržava mogućnost ažuriranja samo certifikata. Ova mogućnost može pomoći minimizirati promjenu samo ažuriranjem certifikata u konfiguraciji SSO-a i provjerom valjanosti nakon događaja.

1

U prikazu korisnika u https://admin.webex.com, idite na Upravljanje > Postavke organizacije, pomaknite se do Jedinstvene prijave i kliknite na Upravljanje SSO-om i IdP-om.

2

Otvorite karticu Davatelj identiteta .

3

Otvorite IdP, kliknite Preuzmi i odaberite Preuzmi metapodatke pružatelja usluga.

Naziv datoteke metapodataka aplikacije Webex je idb-meta-<org-ID>-SP.xml.

4

Uvezite metapodatke u IDP.

Slijedite dokumentaciju za IDP da biste uvezli metapodatke Webex SP-a. Možete koristiti naše vodiče za integraciju idP-a ili pregledati dokumentaciju za svoj određeni IDP ako nije naveden.

5

Kada završite, pokrenite test jedinstvene prijave pomoću koraka u Obnovi Webex certifikat (SP) u ovom članku.

Kada se IDP okruženje promijeni ili ako IDP certifikat istječe, ažurirane metapodatke možete uvesti u Webex u bilo kojem trenutku.

Prije nego što počnete

Prikupite IDP metapodatke, obično kao izvezenu XML datoteku.

1

U prikazu korisnika u https://admin.webex.com, idite na Upravljanje > Postavke organizacije, pomaknite se do Jedinstvene prijave i kliknite na Upravljanje SSO-om i IdP-om.

2

Otvorite karticu Davatelj identiteta .

3

Otvorite IdP, kliknite prenositi i odaberite Prenesi metapodatke pružatelja identiteta.

4

Povucite i ispustite datoteku IDP metapodataka u prozor ili kliknite Odaberite datoteku metapodataka i prenesite je na taj način.

5

Odaberite Manje sigurno (samopotpisano) ili Sigurnije (potpisao javni CA), ovisno o tome kako su vaši IdP metapodaci potpisani.

6

Kliknite na Testiraj postavljanje jedinstvene prijave, a kada se otvori nova kartica preglednika, potvrdite autentičnost s IdP-om prijavom.

Primit ćete upozorenja u kontrolnom središtu prije nego što certifikati isteknu, ali možete i proaktivno postaviti pravila upozorenja. Ta pravila unaprijed vas obavijestite da će vaši SP ili IDP certifikati isteći. Možemo vam ih poslati putem e-pošte, prostora u webexaplikaciji ili oboje.

Bez obzira na konfigurirani kanal isporuke, sva upozorenja uvijek se pojavljuju u Control Hubu. Dodatne informacije potražite u centru za upozorenja u kontrolnom središtu.

1

Prijavite se u Kontrolno središte.

2

Otvorite Centar za upozorenja.

3

Odaberite Upravljanje , a zatim Sva pravila .

4

Na popisu Pravila odaberite bilo koje od SSO pravila koja želite stvoriti:

  • Istek SSO IDP certifikata
  • Istek SSO SP certifikata
5

U odjeljku Kanal isporuke potvrdite okvir E-pošta, Webex prostorili oboje.

Ako odaberete E-pošta, unesite adresu e-pošte koja bi trebala primiti obavijest.

Ako odaberete mogućnost prostora na Webexu, automatski se dodajete u prostor unutar web-aplikacije Webex i tamo dostavljamo obavijesti.

6

Spremite promjene.

Što učiniti sljedeće

Upozorenja o isteku certifikata šaljemo jednom svakih 15 dana, počevši od 60 dana prije isteka. (Upozorenja možete očekivati 60., 45., 30. i 15. dan) Upozorenja se zaustavljaju nakon obnove certifikata.

Možda ćete vidjeti obavijest da URL pojedinačne odjave nije konfiguriran:

Preporučujemo da konfigurirate IDP tako da podržava Single Log Out (poznat i kao SLO). Webex podržava i metode preusmjeravanja i objavljivanja, dostupne u našim metapodacima koji se preuzimaju iz Control Huba. Ne podržavaju svi IDP-ovi SLO; za pomoć se obratite svom IdP timu. Ponekad za velike dobavljače identiteta kao što su AzureAD, Ping Federate, ForgeRock i Oracle koji podržavaju SLO, dokumentiramo kako konfigurirati integraciju. Posavjetujte se sa svojim timom za identitet i sigurnost o specifičnostima svog IDP-a i kako ga pravilno konfigurirati.

Ako jednostruki URL odjave nije konfiguriran:

  • Postojeća IDP sesija ostaje valjana. Sljedeći put kada se korisnici prijave, od njih se možda neće tražiti da ponovno provjere IdP.

  • Prilikom odjave prikazujemo poruku upozorenja da se odjava web-aplikacije ne bi dogodila besprijekorno.

Možete onemogućiti jedinstvenu prijavu (SSO) za svoju Webex organizaciju kojom se upravlja u Control Hubu. Možda ćete poželjeti onemogućiti SSO ako mijenjate davatelje identiteta (IdP-ove).

Ako je za vašu tvrtku ili ustanovu omogućena jedinstvena prijava, ali ne uspijeva, možete angažirati svog Cisco partnera koji može pristupiti vašoj webex organizaciji da bi je onemogućio u vašem obliku.

1

U prikazu korisnika u https://admin.webex.com, idite na Upravljanje > Postavke organizacije, pomaknite se do Jedinstvene prijave i kliknite na Upravljanje SSO-om i IdP-om.

2

Otvorite karticu Davatelj identiteta .

3

Kliknite na Deaktiviraj jedinstvenu prijavu.

Pojavit će se skočni prozor koji vas upozorava na onemogućavanje SSO-a:

Deaktiviraj SSO

Ako onemogućite SSO, lozinkama upravlja oblak umjesto integrirane konfiguracije IDP-a.

4

Ako razumijete utjecaj onemogućavanja SSO-a i želite nastaviti, kliknite Deaktiviraj.

SSO je deaktiviran, a svi popisi SAML certifikata se uklanjaju.

Ako je SSO onemogućen, korisnici koji moraju provjeriti autentičnost vidjet će polje za unos lozinke tijekom postupka prijave.

  • Korisnici koji nemaju lozinku u aplikaciji Webex moraju ponovno postaviti lozinku ili morate poslati poruku e-pošte kako bi postavili lozinku.

  • Postojeći provjereni korisnici s valjanim OAuth Tokenom i dalje će imati pristup Webex aplikaciji.

  • Novi korisnici stvoreni dok je SSO onemogućen primaju poruku e-pošte u kojoj se od njih traži da stvore lozinku.

Što učiniti sljedeće

Ako vi ili korisnik ponovno konfigurirate SSO za korisničku organizaciju, korisnički računi vraćaju se upotrebom pravila za lozinke koja postavlja IdP i koji je integriran s Webexovom organizacijom.

Ako naiđete na probleme s prijavom za SSO, možete upotrijebiti opciju samooporavka za SSO kako biste dobili pristup svojoj Webex organizaciji kojom se upravlja u okruženju Control Hub. Opcija samooporavka omogućuje vam ažuriranje ili onemogućavanje jedinstvene prijave u okruženju Control Hub.