Bez obzira na to jeste li primili obavijest o certifikatu koji istječe ili želite provjeriti postojeću konfiguraciju SSO-a, značajke upravljanja jedinstvenom prijavom (SSO) u control hubu možete koristiti za upravljanje certifikatima i opće aktivnosti održavanja SSO-a. Svaka značajka upravljanja SSO-om obuhvaćena je pojedinačnim karticama u ovom članku.
Ako je korištenje certifikata vaše tvrtke ili ustanove postavljeno na Ništa, ali i dalje primate upozorenje, preporučujemo da i dalje nastavite s nadogradnjom. Vaša SSO implementacija danas ne koristi certifikat, ali možda će vam trebati certifikat za buduće promjene. |
S vremena na vrijeme možete primiti obavijest e-poštom ili u Kontrolnom centru vidjeti upozorenje da će certifikat za jedinstvenu prijavu (SSO) na Webexu isteći. Slijedite postupak u ovom članku da biste dohvatili metapodatke SSO certifikata u oblaku od nas (SP) i dodali ih natrag u svoj IDP; u suprotnom, korisnici neće moći koristiti Webex usluge. |
Ako koristite SAML Cisco (SP) SSO certifikat u svojoj Webex organizaciji, morate planirati ažurirati certifikat u oblaku tijekom redovitog zakazanog prozora održavanja što je prije moguće.
To utječe na sve servise koji su dio pretplate na web-organizaciju Webex, uključujući, ali ne ograničavajući se na:
Webex App (nove prijave za sve platforme: stolna računala, mobilni telefoni i web)
Webex usluge u Kontrolnom centru ,uključujući pozivanje
Webex web-mjesta sastanaka kojima se upravlja putem kontrolnog središta
Cisco Jabber ako je integriran sa SSO-om
Prije nego što počnete
Pročitajte sve upute prije početka. Nakon što promijenite certifikat ili prođete kroz čarobnjak da biste ažurirali certifikat, novi se korisnici možda neće moći uspješno prijaviti. |
Ako vaš IDP ne podržava više certifikata (većina IDP-ova na tržištu ne podržava ovu značajku), preporučujemo da ovu nadogradnju zakažete tijekom prozora održavanja u kojem to ne utječe na korisnike web-aplikacije Webex App. Ti bi zadaci nadogradnje trebali trajati otprilike 30 minuta u operativnom vremenu i provjeri valjanosti nakon događaja.
1 | Da biste provjerili hoće li SSO certifikat SAML Cisco (SP) isteći:
Možete otići izravno u čarobnjak za SSO da biste ažurirali certifikat. Ako odlučite izaći iz čarobnjaka prije nego što ga dovršite, možete mu ponovno pristupiti u bilo kojem trenutku iz https://admin.webex.comsustavu . |
||
2 | Odaberite vrstu certifikata za obnovu:
|
||
3 | Kliknite Preuzmi datoteku metapodataka da biste preuzeli kopiju ažuriranih metapodataka s novim certifikatom iz oblaka Webexa. Držite ovaj zaslon otvorenim. |
||
4 | Dođite do sučelja za upravljanje IdP-om da biste prenijeli novu datoteku metapodataka Webexa.
|
||
5 | Vratite se na karticu na kojoj ste se prijavili u Kontrolni centar i kliknite Dalje. |
||
6 | Kliknite Testiraj ažuriranje SSO-a da biste potvrdili da je IDP ispravno prenio i protumačio novu datoteku metapodataka. Potvrdite očekivane rezultate u skočnom prozoru, a ako je test bio uspješan, kliknite Prijeđi na nove metapodatke.
Rezultat: Gotovi ste i SSO certifikat tvrtke ili ustanove SAML Cisco (SP) sada je obnovljen. Status certifikata možete provjeriti u bilo kojem trenutku otvaranjem tablice stanja SAML certifikata u . |
S vremena na vrijeme možete primiti obavijest e-poštom ili vidjeti upozorenje u Kontrolnom centru da će IDP certifikat isteći. Budući da dobavljači IDP-a imaju vlastitu specifičnu dokumentaciju za obnovu certifikata, pokrivamo ono što je potrebno u controlhubu , zajedno s generičkim koracima za dohvaćanje ažuriranih IDP metapodataka i prijenos u Control Hub radi obnove certifikata. |
1 | Da biste provjerili hoće li IdP SAML certifikat isteći:
|
||
2 | Dođite do sučelja za upravljanje IDP-om da biste dohvatili novu datoteku metapodataka.
|
||
3 | Vratite se u https://admin.webex.comsustavu , a zatim odaberite . u |
||
4 | Povucite i ispustite datoteku IDP metapodataka u prozor ili kliknite Odaberite datoteku metapodataka i prenesite je na taj način. |
||
5 | Odaberite Manje sigurno (samopotpisano) ili Sigurnije (potpisao javni CA), ovisno o tome kako su vaši IdP metapodaci potpisani. |
||
6 | Kliknite Testiraj ažuriranje SSO-a da biste potvrdili da je nova datoteka metapodataka ispravno prenesena i interpretirana u tvrtku ili ustanovu kontrolnog centra. Potvrdite očekivane rezultate u skočnom prozoru, a ako je test bio uspješan, kliknite Prijeđi na nove metapodatke.
Rezultat: Gotovi ste i IDP certifikat vaše tvrtke ili ustanove sada je obnovljen. Status certifikata možete provjeriti u bilo kojem trenutku otvaranjem tablice stanja SAML certifikata u . |
Najnovije Webex SP metapodatke možete izvesti kad god ih trebate vratiti u IDP. Vidjet ćete obavijest kada uvezeni IdP SAML metapodaci isteknu ili su istekli.
Ovaj je korak koristan u uobičajenim scenarijima upravljanja IDP SAML certifikatima, kao što su IDP-ovi koji podržavaju više certifikata u kojima izvoz nije obavljen ranije, ako metapodaci nisu uvezeni u IdP jer administrator IDP-a nije bio dostupan ili ako vaš IDP podržava mogućnost ažuriranja samo certifikata. Ova mogućnost može pomoći minimizirati promjenu samo ažuriranjem certifikata u konfiguraciji SSO-a i provjerom valjanosti nakon događaja.
1 | U prikazu klijenta u https://admin.webex.comodjeljku , pomaknite se do odjeljka Provjera autentičnosti, a zatim odaberite . Naziv datoteke metapodataka web-aplikacije je idb-meta-<org-ID>-SP.xml. |
2 | Uvezite metapodatke u IDP. Slijedite dokumentaciju za IDP da biste uvezli metapodatke Webex SP-a. Možete koristiti naše vodiče za integraciju idP-a ili pregledati dokumentaciju za svoj određeni IDP ako nije naveden. |
3 | Kada završite, pokrenite SSO test pomoću koraka u odjeljku "Obnovi webex certifikat (SP)" u ovom članku. |
Kada se IDP okruženje promijeni ili ako IDP certifikat istječe, ažurirane metapodatke možete uvesti u Webex u bilo kojem trenutku.
Prije nego što počnete
Prikupite IDP metapodatke, obično kao izvezenu XML datoteku.
1 | U prikazu klijenta u https://admin.webex.comodjeljku , pomaknite se do odjeljka Provjera autentičnosti, a zatim odaberite . |
2 | Povucite i ispustite datoteku IDP metapodataka u prozor ili kliknite Odaberite datoteku metapodataka i prenesite je na taj način. |
3 | Odaberite Manje sigurno (samopotpisano) ili Sigurnije (potpisao javni CA), ovisno o tome kako su vaši IdP metapodaci potpisani. |
Primit ćete upozorenja u kontrolnom središtu prije nego što certifikati isteknu, ali možete i proaktivno postaviti pravila upozorenja. Ta pravila unaprijed vas obavijestite da će vaši SP ili IDP certifikati isteći. Možemo vam ih poslati putem e-pošte, prostora u webexaplikaciji ili oboje.
Bez obzira na konfigurirani kanal isporuke, sva upozorenja uvijek se pojavljuju u Control Hubu. Dodatne informacije potražite u centru za upozorenja u kontrolnom središtu. |
1 | Iz prikaza klijenta u https://admin.webex.comsustavu idite u centar za upozorenja. |
||
2 | Odaberite Upravljanje , a zatim Sva pravila . |
||
3 | Na popisu Pravila odaberite bilo koje od SSO pravila koja želite stvoriti:
|
||
4 | U odjeljku Kanal isporuke potvrdite okvir E-pošta, Webex prostorili oboje. Ako odaberete E-pošta, unesite adresu e-pošte koja bi trebala primiti obavijest.
|
||
5 | Spremite promjene. |
Što učiniti sljedeće
Upozorenja o isteku certifikata šaljemo jednom svakih 15 dana, počevši od 60 dana prije isteka. (Možete očekivati upozorenja 60., 45., 30. i 15.) Upozorenja se zaustavljaju kada obnovite certifikat.
Možda ćete primijetiti obavijest da jedan URL za odjavu nije konfiguriran:
Preporučujemo da konfigurirate IDP tako da podržava Single Log Out (poznat i kao SLO). Webex podržava i metode preusmjeravanja i objavljivanja, dostupne u našim metapodacima koji se preuzimaju iz Control Huba. Ne podržavaju svi IDP-ovi SLO; za pomoć se obratite svom IdP timu. U nekim slučajevima, za glavne dobavljače IDP-a kao što su AzureAD, Ping Federate, ForgeRock i Oracle, koji podržavaju SLO, dokumentiramo kako konfigurirati integraciju. Posavjetujte se s timom za identitet i sigurnost o specifičnostima IDP-a i načinu pravilnog konfiguriranja. |
Ako url za jednu odjavu nije konfiguriran:
Postojeća IDP sesija ostaje valjana. Sljedeći put kada se korisnici prijave, od njih se možda neće tražiti da ponovno provjere IdP.
Prilikom odjave prikazujemo poruku upozorenja da se odjava web-aplikacije ne bi dogodila besprijekorno.
Možete onemogućiti jedinstvenu prijavu (SSO) za svoju Webex organizaciju kojom se upravlja u Control Hubu. Možda želite onemogućiti SSO, mijenjate davatelje identiteta (IDP-ove).
Ako je za vašu tvrtku ili ustanovu omogućena jedinstvena prijava, ali ne uspijeva, možete angažirati svog Cisco partnera koji može pristupiti vašoj webex organizaciji da bi je onemogućio u vašem obliku. |
1 | Iz prikaza klijenta u https://admin.webex.comsustavu , a zatim se pomaknite na Provjera autentičnosti. |
2 | Da biste isključili SSO, isključite postavku Jedinstvena prijava. Pojavit će se skočni prozor koji vas upozorava na onemogućavanje SSO-a: Ako onemogućite SSO, lozinkama upravlja oblak umjesto integrirane konfiguracije IDP-a. |
3 | Ako razumijete utjecaj onemogućavanja SSO-a i želite nastaviti, kliknite Deaktiviraj. U kontrolnomsredištu vidjet ćete da je postavka SSO-a isključena i da su svi unosi SAML certifikata uklonjeni. Ako je SSO onemogućen, korisnici koji moraju provjeriti autentičnost vidjet će polje za unos lozinke tijekom postupka prijave.
|
Što učiniti sljedeće
Ako vi ili klijent ponovno konfigurirate SSO za korisničku organizaciju, korisnički računi vratit će se na korištenje pravila lozinke koja postavlja IdP koji je integriran s organizacijom Webexa.