Ha a szervezet tanúsítványhasználata Nincs, de továbbra is riasztást kap, javasoljuk, hogy továbbra is folytassa a frissítést. Az egyszeri bejelentkezés ma nem használja a tanúsítványt, de előfordulhat, hogy a jövőbeni módosításokhoz szüksége van a tanúsítványra.


Időről időre e-mail értesítést kaphat, vagy riasztást láthat a Control Hubban arról, hogy a Webex egyszeri bejelentkezési (SSO) tanúsítványa lejár. Kövesse az ebben a cikkben szereplő folyamatot, hogy lekérje tőlünk az egyszeri bejelentkezés felhőtanúsítványának metaadatait (az SP-t), és adja vissza az idP-hez; ellenkező esetben a felhasználók nem használhatják a Webex szolgáltatásokat.

Ha a WEBEX szervezetében használja a SAML Cisco (SP) SSO tanúsítványt, a felhőtanúsítványt a szokásos ütemezett karbantartási időszak alatt a lehető leghamarabb frissítenie kell.

A Webex-szervezet előfizetésének részét képező összes szolgáltatás érintett, beleértve, de nem kizárólagosan a következőket:

  • Webex App (új bejelentkezések minden platformra: asztali, mobil és webes)

  • Webex szolgáltatások a Control Hubban , beleértve a hívásokat is

  • A Control Hubon keresztül kezelt Webex Meetings-webhelyek

  • Cisco Jabber, ha integrálva van az SSO-val

Mielőtt elkezdené


Kérjük, olvassa el az összes utasítást, mielőtt elkezdené. A tanúsítvány módosítása vagy a varázslón keresztül a tanúsítvány frissítéséhez előfordulhat, hogy az új felhasználók nem tudnak sikeresen bejelentkezni.

Ha az idP nem támogat több tanúsítványt (a legtöbb belső menekültek a piacon nem támogatják ezt a funkciót), javasoljuk, hogy ütemezze ezt a frissítést egy karbantartási időszak alatt, ahol a Webex App felhasználóit ez nem érinti. Ezeknek a frissítési feladatoknak körülbelül 30 percet kell igénybe venniük az üzemidőben és az esemény utáni érvényesítésben.

1

Annak ellenőrzése, hogy a SAML Cisco (SP) SSO tanúsítvány lejár-e:

  • Lehet, hogy e-mailt vagy Webex App üzenetet kapott tőlünk, de biztosnak kell lennie a Control Hubban.
  • Jelentkezzen be a https://admin.webex.com, és ellenőrizze a Riasztásokközpontot . Előfordulhat, hogy értesítést kap az SSO-szolgáltató tanúsítványának frissítéséről.

  • Jelentkezzen be a https://admin.webex.com, lépjen a Felügyeleti > Szervezeti beállítások > Hitelesítés elemre, és jegyezze fel a tanúsítvány állapotát a Cisco SAML tanúsítvány táblában (lejárt vagy hamarosan lejár). A folytatáshoz kattintson a Tanúsítvány megújítása gombra.

Közvetlenül az Egyszeri bejelentkezés varázslóba is bemehet a tanúsítvány frissítéséhez. Ha úgy dönt, hogy kilép a varázslóból, mielőtt befejezi, bármikor újra elérheti azt a Management > Szervezeti beállítások > a hitelesítés a https://admin.webex.comterületen.

2

Válassza ki a megújítás tanúsítványtípusát:

  • A Cisco által aláírt önadírta– Ezt a választást ajánljuk. Hadd írjuk alá a tanúsítványt, így csak ötévente egyszer kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírt– Biztonságosabb, de gyakran frissítenie kell a metaadatokat (kivéve, ha az IdP-szállító támogatja a megbízhatósági horgonyokat).

     

    A bizalmi horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgálnak. További információért tekintse meg az IdP dokumentációját.

3

Kattintson a Metaadatfájl letöltése gombra a frissített metaadatok másolatának letöltéséhez az új tanúsítvánnyal a Webex felhőből. Tartsa nyitva ezt a képernyőt.

4

Keresse meg az IdP felügyeleti felületét az új Webex metaadatfájl feltöltéséhez.

5

Térjen vissza arra a lapra, ahol bejelentkezett a Control Hubba, majd kattintson a Következő gombra.

6

Kattintson az Egyszeri bejelentkezés frissítése elemre annak megerősítéséhez, hogy az új metaadatfájlt az idP megfelelően töltötte fel és értelmezte. Erősítse meg a várt eredményeket az előugró ablakban, és ha a teszt sikeres volt, kattintson a Váltás új metaadatokraelemre.


 

Az egyszeri bejelentkezés élményének közvetlen megtekintéséhez kattintson az URL másolása vágólapra ebből a képernyőről, és illessze be egy privát böngészőablakba. Innen átsétálhat az SSO-val való bejelentkezésen. Ez segít eltávolítani a webböngészőben gyorsítótárazott információkat, amelyek hamis pozitív eredményt adhatnak az egyszeri bejelentkezés konfigurációjának tesztelése során.

Eredmény: Elkészült, és a szervezet SAML Cisco (SP) egyszeri bejelentkezése megújul. A tanúsítvány állapotát bármikor ellenőrizheti, ha megnyitja az SAML tanúsítványállapot táblát a Felügyelet > Szervezeti beállítások > hitelesítés területen.


Időről időre e-mail értesítést kaphat, vagy riasztást láthat a Control Hubban arról, hogy az IdP-tanúsítvány lejár. Mivel az idP-szállítók saját dokumentációval rendelkeznek a tanúsítvány megújításához, lefedjük a Control Hubban szükségeseket,valamint a frissített IdP-metaadatok lekérésének általános lépéseit, és feltöltjük a Control Hubba a tanúsítvány megújításához.

1

Annak ellenőrzése, hogy az IdP SAML tanúsítvány lejár-e:

  • Lehet, hogy e-mailt vagy Webex App üzenetet kapott tőlünk, de biztosnak kell lennie a Control Hubban.
  • Jelentkezzen be a https://admin.webex.com, és ellenőrizze a Riasztásokközpontot . Előfordulhat, hogy értesítést kap az IdP SAML tanúsítvány frissítéséről:

  • Jelentkezzen be a https://admin.webex.com, lépjen a Felügyeleti > Szervezeti beállítások > Hitelesítéselemre, és jegyezze fel a tanúsítvány állapotát (lejárt vagy hamarosan lejáró) az SAML tanúsítvány táblában. A folytatáshoz kattintson a Tanúsítvány megújítása gombra.
  • Közvetlenül az Egyszeri bejelentkezés varázslóba is bemehet a tanúsítvány frissítéséhez. Ha úgy dönt, hogy kilép a varázslóból, mielőtt befejezi, bármikor újra elérheti azt a Management > Szervezeti beállítások > a hitelesítés a https://admin.webex.comterületen.

2

Keresse meg az IdP felügyeleti felületét az új metaadatfájl lekéréséhez.

  • Ezt a lépést böngészőlapon, távoli asztali protokollon (RDP) vagy adott felhőszolgáltatói támogatáson keresztül teheti meg, attól függően, hogy az IdP beállítása és az, hogy Ön vagy egy külön IdP-rendszergazda felelős-e ezért a lépésért.
  • További referenciákért tekintse meg az egyszeri bejelentkezés integrációs útmutatóit, vagy forduljon az IdP rendszergazdájához támogatásért.
3

Térjen vissza a Felügyeleti > Szervezeti beállítások > Hitelesítés a https://admin.webex.comterületen, majd válassza a Metaadatok importálása műveletek > parancsot.

4

Húzza és dobja az IdP metaadatfájlt az ablakba, vagy kattintson a Metaadatfájl kiválasztása elemre, és így töltheti fel.

5

Válassza a Kevésbé biztonságos (önaláírt) vagy a Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt) lehetőséget az IdP metaadatainak aláírásától függően.

6

Kattintson az Egyszeri bejelentkezés frissítése elemre annak megerősítéséhez, hogy az új metaadatfájlt megfelelően töltötte-e fel és értelmezték a Control Hub szervezetébe. Erősítse meg a várt eredményeket az előugró ablakban, és ha a teszt sikeres volt, kattintson a Váltás új metaadatokraelemre.


 

Az egyszeri bejelentkezés élményének közvetlen megtekintéséhez kattintson az URL másolása vágólapra ebből a képernyőről, és illessze be egy privát böngészőablakba. Innen átsétálhat az SSO-val való bejelentkezésen. Ez segít eltávolítani a webböngészőben gyorsítótárazott információkat, amelyek hamis pozitív eredményt adhatnak az egyszeri bejelentkezés konfigurációjának tesztelése során.

Eredmény: Elkészült, és a szervezet IdP-tanúsítványa megújul. A tanúsítvány állapotát bármikor ellenőrizheti, ha megnyitja az SAML tanúsítványállapot táblát a Felügyelet > Szervezeti beállítások > hitelesítés területen.

A legújabb Webex SP metaadatokat bármikor exportálhatja, amikor vissza kell adnia az IdP-hez. Értesítést fog látni, ha az importált IdP SAML metaadatok lejárnak vagy lejárnak.

Ez a lépés hasznos a gyakori IdP SAML-tanúsítványkezelési forgatókönyvekben, például olyan azonosítókban, amelyek több olyan tanúsítványt támogatnak, ahol az exportálás korábban nem történt meg, ha a metaadatokat nem importálták az idP-be, mert nem volt elérhető idP-rendszergazda, vagy ha az azonosító csak a tanúsítvány frissítését támogatja. Ez a beállítás segíthet minimalizálni a módosítást, ha csak frissíti a tanúsítványt az egyszeri bejelentkezés konfigurációjában és az esemény utáni érvényesítésben.

1

A vevői nézetből lépjen a https://admin.webex.comFelügyeleti > Szervezeti beállítások elemre, görgessen a Hitelesítéselemre, majd válassza a Metaadatok exportálása műveletek > parancsot.

A Webex App metaadatfájl neve idb-meta-<org-ID>-SP.xml.

2

Importálja a metaadatokat az idP-be.

A Webex SP metaadatainak importálásához kövesse az IdP dokumentációját. Használhatja az IdP integrációs útmutatóinkat, vagy megtekintheti az adott IdP dokumentációját, ha nem szerepel a listában.

3

Ha elkészült, futtassa az egyszeri bejelentkezés tesztjét a jelen cikkben található "Webex tanúsítvány (SP)" lépéseivel.

Amikor az IdP-környezet megváltozik, vagy ha az IdP-tanúsítvány lejár, bármikor importálhatja a frissített metaadatokat a Webexbe.

Mielőtt elkezdené

Gyűjtsd össze az IdP metaadatait, általában exportált XML-fájlként.

1

A vevői nézetből lépjen a https://admin.webex.comFelügyeleti > Szervezeti beállítások elemre, görgessen a Hitelesítéselemre, majd válassza a Metaadatok importálása műveletek > parancsot.

2

Húzza és dobja az IdP metaadatfájlt az ablakba, vagy kattintson a Metaadatfájl kiválasztása elemre, és így töltheti fel.

3

Válassza a Kevésbé biztonságos (önaláírt) vagy a Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt) lehetőséget az IdP metaadatainak aláírásától függően.

A tanúsítványok lejárta előtt riasztásokat fog kapni a Control Hubban, de proaktívan is beállíthatja a riasztási szabályokat. Ezek a szabályok előzetesen tudatják Ön számára, hogy az SP- vagy idP-tanúsítványok lejárnak. Ezeket e-mailben, a Webex alkalmazásban szóközön vagy mindkettőn keresztül küldhetjükel Önnek.


A konfigurált kézbesítési csatornától függetlenül az összes riasztás mindig megjelenik a Control Hubterületen. További információért lásd a Riasztások központot a Control Hubban.

1

A vevői nézetből https://admin.webex.comlépjen a Riasztások központelemre.

2

Válassza a Manage then All rulesparancsot.

3

A Szabályok listában válassza ki a létrehozni kívánt egyszeri bejelentkezés szabályait:

  • SSO IDP tanúsítvány lejárata
  • SSO SP tanúsítvány lejárata
4

A Kézbesítési csatorna szakaszban jelölje be az E-mail, Webex területvagy mindkettő jelölőnégyzetet.

Ha az E-mail lehetőséget választja, adja meg azt az e-mail-címet, amely megkapja az értesítést.


 

Ha a Webex hely opciót választja, a rendszer automatikusan hozzáadja a Webex alkalmazáson belüli térhez, és ott kézbesítjük az értesítéseket.

5

Mentse a módosításokat.

Mi a következő lépés

A tanúsítvány lejárati figyelmeztetéseit 15 naponta egyszer küldjük el, 60 nappal a lejárat előtt. (Riasztásokra a 60., 45., 30. és 15. napon számíthat.) A riasztások leállnak a tanúsítvány megújításakor.

Előfordulhat, hogy értesítést lát arról, hogy az egyetlen kijelentkezés URL-címe nincs konfigurálva:


Javasoljuk, hogy konfigurálja az azonosítót az egyszeri kijelentkezés (más néven SLO) támogatására. A Webex támogatja mind az átirányítási, mind a post módszereket, amelyek a Control Hubból letöltött metaadatainkban érhetők el. Nem minden belső menekültek támogatják az SLO-t; kérjük, forduljon az IdP csapatához segítségért. Bizonyos esetekben az olyan nagy IdP-gyártók esetében, mint az AzureAD, a Ping Federate, a ForgeRock és az Oracle, amelyek támogatják az SLO-t, dokumentáljuk az integráció konfigurálását. Kérjük, forduljon identitás- és biztonsági csapatához az IDP sajátosságairól és a megfelelő konfigurálás módjáról.

Ha nincs egyetlen kijelentkezés URL-címe:

  • Egy meglévő idp-munkamenet továbbra is érvényes. A következő alkalommal, amikor a felhasználók bejelentkeznek, előfordulhat, hogy az IdP nem kéri őket újrahitelesítésre.

  • A kijelentkezésnél figyelmeztető üzenetet jelenítünk meg, így a Webex App kijelentkezése nem történik zökkenőmentesen.

Letilthatja az egyszeri bejelentkezést (SSO) a Control Hubban kezelt Webex-szervezet számára. Előfordulhat, hogy le szeretné tiltani az identitásszolgáltatókat (idPs) megváltoztató SSO-t.


Ha az egyszeri bejelentkezés engedélyezve van a szervezet számára, de nem sikerül, akkor bevonhatja Cisco partnerét, aki hozzáférhet a Webex szervezetéhez, hogy tiltsa le az Ön számára.

1

A vevői nézetből https://admin.webex.comlépjen a Felügyeleti > Szervezeti beállítások elemre, majd görgessen a Hitelesítéslapra.

2

Az egyszeri bejelentkezés kikapcsolásához kapcsolja ki az Egyszeri bejelentkezési beállítást.

Megjelenik egy felugró ablak, amely figyelmeztet az egyszeri bejelentkezés letiltásáról:

Ha letiltja az egyszeri bejelentkezést, a jelszavakat a felhő kezeli az integrált IdP-konfiguráció helyett.

3

Ha megérti az egyszeri bejelentkezés letiltásának hatását, és folytatni szeretné, kattintson a Deaktiválásgombra.

A ControlHubban megjelenik az egyszeri bejelentkezés beállítása, amely kikapcsol, és az összes SAML-tanúsítványlistát eltávolítja.

Ha az egyszeri bejelentkezés le van tiltva, a hitelesíteniük kell a felhasználók a bejelentkezési folyamat során egy jelszóbeviteli mezőt fognak látni.

  • Azoknak a felhasználóknak, akik nem rendelkeznek jelszóval a Webex Alkalmazásban, alaphelyzetbe kell állítaniuk a jelszavukat, vagy e-mailt kell küldeniük nekik a jelszó beállításához.

  • Az érvényes OAuth-jogkivonattal rendelkező meglévő hitelesített felhasználók továbbra is hozzáférhetnek a WebexApphoz.

  • Az egyszeri bejelentkezés letiltott új felhasználói e-mailt kapnak, amelyben jelszót kérnek tőlük.

Mi a következő lépés

Ha Ön vagy az ügyfél újrakonfigurálja az ügyfélszervezet egyszeri bejelentkezését, a felhasználói fiókok visszatérnek a Webex szervezettel integrált idP által beállított jelszóházirend használatára.