Ha szervezetén belül több identitásszolgáltatóhoz szeretne egyszeri bejelentkezést (SSO) beállítani, tekintse meg az SSO több identitásszolgáltatóval a Webexbencímű részt.

Ha a szervezet tanúsítványhasználata Nincs, de továbbra is riasztást kap, javasoljuk, hogy továbbra is folytassa a frissítést. Az egyszeri bejelentkezés ma nem használja a tanúsítványt, de előfordulhat, hogy a jövőbeni módosításokhoz szüksége van a tanúsítványra.

Webex Szolgáltató (SP) tanúsítvány

Időről időre e-mail értesítést kaphat, vagy riasztást láthat a Control Hubban arról, hogy a Webex egyszeri bejelentkezési (SSO) tanúsítványa lejár. Kövesse az ebben a cikkben szereplő folyamatot, hogy lekérje tőlünk az egyszeri bejelentkezés felhőtanúsítványának metaadatait (az SP-t), és adja vissza az idP-hez; ellenkező esetben a felhasználók nem használhatják a Webex szolgáltatásokat.

Ha a Webex-szervezetében SAML Cisco (SP) SSO tanúsítványt használ, akkor a felhőalapú tanúsítvány frissítését a szokásos karbantartási időszak alatt, a lehető leghamarabb meg kell terveznie.

A Webex-szervezet előfizetésének részét képező összes szolgáltatás érintett, beleértve, de nem kizárólagosan a következőket:

  • Webex App (új bejelentkezések minden platformra: asztali, mobil és webes)

  • Webex szolgáltatások a Control Hubban , beleértve a hívásokat is

  • A Control Hubon keresztül kezelt Webex Meetings-webhelyek

  • Cisco Jabber, ha integrálva van az SSO-val

Mielőtt elkezdené

Kérjük, olvassa el az összes utasítást, mielőtt elkezdené. A tanúsítvány módosítása vagy a varázslón keresztül a tanúsítvány frissítéséhez előfordulhat, hogy az új felhasználók nem tudnak sikeresen bejelentkezni.

Ha az Ön identitásszolgáltatója nem támogat több tanúsítványt (a piacon lévő legtöbb identitásszolgáltató nem támogatja ezt a funkciót), azt javasoljuk, hogy ezt a frissítést egy karbantartási időszakra ütemezze, amikor a Webex alkalmazás felhasználóit nem érinti a frissítés. Ezek a frissítési feladatok körülbelül 30 percet vesznek igénybe működési idő és utólagos ellenőrzés szempontjából.

1

Annak ellenőrzése, hogy a SAML Cisco (SP) SSO tanúsítvány lejár-e:

  • Lehet, hogy e-mailt vagy Webex App üzenetet kapott tőlünk, de biztosnak kell lennie a Control Hubban.

  • Jelentkezzen be a Control Huboldalra, és ellenőrizze a Riasztási központot. Előfordulhat, hogy értesítést kap az SSO-szolgáltató tanúsítványának frissítéséről.

  • Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.
  • Lépjen az Identitásszolgáltató fülre, és jegyezze fel a Cisco SP tanúsítvány állapotát és lejárati dátumát.

Közvetlenül az Egyszeri bejelentkezés varázslóba is bemehet a tanúsítvány frissítéséhez. Ha úgy dönt, hogy kilép a varázslóból, mielőtt befejezné, bármikor újra elérheti a Kezelés menüpont alatt. > Biztonság > Hitelesítés a Control Hub-ban.

2

Lépjen az IdP-re, és kattintson a gombra.

3

Kattintson a Tanúsítványok és lejárati dátum áttekintéselehetőségre.

4

Kattintson a Tanúsítvány megújításagombra.

5

Válassza ki a szervezete által használt IdP típusát.

  • Több tanúsítványt támogató IdP
  • Egyetlen tanúsítványt támogató IdP

Ha az IdP egyetlen tanúsítványt támogat, javasoljuk, hogy várja meg ezeket a lépéseket az ütemezett állásidő alatt. A Webex-tanúsítvány frissítése közben az új felhasználói bejelentkezések rövid ideig nem fognak működni; a meglévő bejelentkezések megmaradnak.

6

Válassza ki a megújítás tanúsítványtípusát:

  • Cisco által aláírt— Ezt a lehetőséget ajánljuk. Írjuk alá a tanúsítványt, így csak ötévente kell megújítani.
  • Nyilvános hitelesítésszolgáltató által aláírva— Biztonságosabb, de gyakran frissíteni kell a metaadatokat (kivéve, ha az IdP-szolgáltató támogatja a bizalmi horgonyokat).

    A megbízhatósági horgonyok olyan nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére szolgáló hatóságként működnek. További információt az IdP dokumentációjában talál.

    Mielőtt továbblépne a következő lépésekre, győződjön meg arról, hogy készen áll a tanúsítvány megújítására, és a szervezete változási időszakán belül működik. Az Önaláírt Cisco vagy a Nyilvános hitelesítésszolgáltató által aláírt kiválasztása azonnal új tanúsítványt hoz létre. Miután egyetlen IdP tanúsítványa megváltozik, az SSO leáll, amíg a tanúsítványt vagy a metaadatokat fel nem töltik az IdP-re. Ezért fontos a megújítási folyamat befejezése.

7

Kattintson a Metaadatfájl letöltése gombra a frissített metaadatok és az új tanúsítvány letöltéséhez a Webex felhőből. Tartsa nyitva ezt a képernyőt.

8

Keresse meg az IdP felügyeleti felületét az új Webex metaadatfájl feltöltéséhez.

9

Térjen vissza arra a lapra, ahol bejelentkezett a Control Hubba, és kattintson a Továbbgombra.

10

Frissítse az IdP-t az új SP tanúsítvánnyal és metaadatokkal, majd kattintson a Továbbgombra.

  • Az összes IdP frissítése sikeres
  • Ha a frissítéshez több idő szükséges, mentse el a megújított tanúsítványt másodlagos opcióként
11

Kattintson a Megújítás befejezésegombra.

Személyazonosság-szolgáltató (IdP) tanúsítvány

Időről időre e-mail értesítést kaphat, vagy riasztást láthat a Control Hubban arról, hogy az IdP-tanúsítvány lejár. Mivel az idP-szállítók saját dokumentációval rendelkeznek a tanúsítvány megújításához, lefedjük a Control Hubban szükségeseket,valamint a frissített IdP-metaadatok lekérésének általános lépéseit, és feltöltjük a Control Hubba a tanúsítvány megújításához.

1

Annak ellenőrzése, hogy az IdP SAML tanúsítvány lejár-e:

  • Lehet, hogy e-mailt vagy Webex App üzenetet kapott tőlünk, de biztosnak kell lennie a Control Hubban.
  • Jelentkezzen be a Control Huboldalra, és ellenőrizze a Riasztási központot. Előfordulhat, hogy értesítést kap az IdP SAML tanúsítvány frissítéséről:

  • Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.
  • Lépjen az Identitásszolgáltató fülre, és jegyezze fel az IdP-tanúsítvány állapotát (lejárt vagy hamarosan lejár) és lejárati dátumát.

  • Közvetlenül az Egyszeri bejelentkezés varázslóba is bemehet a tanúsítvány frissítéséhez. Ha úgy dönt, hogy kilép a varázslóból, mielőtt befejezné, bármikor újra elérheti a Kezelés menüpont alatt. > Biztonság > Hitelesítés a Control Hub-ban.

2

Keresse meg az IdP felügyeleti felületét az új metaadatfájl lekéréséhez.

  • Ezt a lépést böngészőlapon, távoli asztali protokollon (RDP) vagy adott felhőszolgáltatói támogatáson keresztül teheti meg, attól függően, hogy az IdP beállítása és az, hogy Ön vagy egy külön IdP-rendszergazda felelős-e ezért a lépésért.
  • További referenciákért tekintse meg az egyszeri bejelentkezés integrációs útmutatóit, vagy forduljon az IdP rendszergazdájához támogatásért.
3

Térjen vissza az Azonosságszolgáltató lapra.

4

Lépjen az IdP-re, kattintson feltölt a gombra, és válassza a Idp metaadatok feltöltéselehetőséget.

5

Húzd az IdP metaadatfájlt az ablakba, vagy kattints a Fájl kiválasztása gombra, és töltsd fel úgy.

6

Válassza a Kevésbé biztonságos (önaláírt) vagy a Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt) lehetőséget az IdP metaadatainak aláírásától függően.

7

Kattintson az SSO frissítés tesztelése gombra annak megerősítéséhez, hogy az új metaadatfájl feltöltésre és helyesen értelmezésre került a Control Hub szervezetében. Erősítse meg a várt eredményeket a felugró ablakban, és ha a teszt sikeres volt, válassza a Sikeres teszt lehetőséget: Aktiválja az SSO-t és az IdP-t, majd kattintson a Mentésgombra.

Az egyszeri bejelentkezési folyamat közvetlen megtekintéséhez javasoljuk, hogy kattintson a URL másolása a vágólapra gombra ezen a képernyőn, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

Eredmény: Elkészült, és a szervezet IdP-tanúsítványa megújul. A tanúsítvány állapotát bármikor ellenőrizheti az Azonosítószolgáltató lapon.

A legújabb Webex SP metaadatokat bármikor exportálhatja, amikor vissza kell adnia az IdP-hez. Értesítést fog látni, ha az importált IdP SAML metaadatok lejárnak vagy lejárnak.

Ez a lépés hasznos a gyakori IdP SAML-tanúsítványkezelési forgatókönyvekben, például olyan azonosítókban, amelyek több olyan tanúsítványt támogatnak, ahol az exportálás korábban nem történt meg, ha a metaadatokat nem importálták az idP-be, mert nem volt elérhető idP-rendszergazda, vagy ha az azonosító csak a tanúsítvány frissítését támogatja. Ez a beállítás segíthet minimalizálni a módosítást, ha csak frissíti a tanúsítványt az egyszeri bejelentkezés konfigurációjában és az esemény utáni érvényesítésben.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-hez, kattintson Letöltés a gombra, és válassza a SP metaadatok letöltéselehetőséget.

A Webex alkalmazás metaadat-fájljának neve idb-meta-<org-ID>-SP.xml.

5

Importálja a metaadatokat az idP-be.

A Webex SP metaadatainak importálásához kövesse az IdP dokumentációját. Használhatja az IdP integrációs útmutatóinkat, vagy megtekintheti az adott IdP dokumentációját, ha nem szerepel a listában.

6

Ha elkészült, futtassa az SSO tesztet a cikkben található Webex tanúsítvány (SP) megújítása című részben leírt lépések szerint.

Amikor az IdP-környezet megváltozik, vagy ha az IdP-tanúsítvány lejár, bármikor importálhatja a frissített metaadatokat a Webexbe.

Mielőtt elkezdené

Gyűjtsd össze az IdP metaadatait, általában exportált XML-fájlként.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-re, kattintson feltölt a gombra, és válassza a Idp metaadatok feltöltéselehetőséget.

5

Húzza és dobja az IdP metaadatfájlt az ablakba, vagy kattintson a Metaadatfájl kiválasztása elemre, és így töltheti fel.

6

Válassza a Kevésbé biztonságos (önaláírt) vagy a Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt) lehetőséget az IdP metaadatainak aláírásától függően.

7

Kattintson a SSO beállítás teszteléselehetőségre, és amikor megnyílik egy új böngészőlap, hitelesítse magát az IdP-vel bejelentkezéssel.

A tanúsítványok lejárta előtt riasztásokat fog kapni a Control Hubban, de proaktívan is beállíthatja a riasztási szabályokat. Ezek a szabályok előzetesen tudatják Ön számára, hogy az SP- vagy idP-tanúsítványok lejárnak. Ezeket e-mailben, a Webex alkalmazásban szóközön vagy mindkettőn keresztül küldhetjükel Önnek.

A konfigurált kézbesítési csatornától függetlenül az összes riasztás mindig megjelenik a Control Hubterületen. További információért lásd a Riasztások központot a Control Hubban.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Riasztási központba.

3

Válassza a Manage then All rules parancsot.

4

A Szabályok listában válassza ki a létrehozni kívánt egyszeri bejelentkezés szabályait:

  • SSO IDP tanúsítvány lejárata
  • SSO SP tanúsítvány lejárata
5

A Kézbesítési csatorna szakaszban jelölje be az E-mail, Webex területvagy mindkettő jelölőnégyzetet.

Ha az E-mail lehetőséget választja, adja meg azt az e-mail-címet, amely megkapja az értesítést.

Ha a Webex hely opciót választja, a rendszer automatikusan hozzáadja a Webex alkalmazáson belüli térhez, és ott kézbesítjük az értesítéseket.

6

Mentse a módosításokat.

Mi a következő lépés

A tanúsítvány lejárati figyelmeztetéseit 15 naponta egyszer küldjük el, 60 nappal a lejárat előtt. (A 60., 45., 30. és 15. napon várhatóak riasztások.) A riasztások a tanúsítvány megújításakor leállnak.

Előfordulhat, hogy megjelenik egy értesítés, amely szerint az egyszeri kijelentkezési URL nincs konfigurálva:

Javasoljuk, hogy konfigurálja az azonosítót az egyszeri kijelentkezés (más néven SLO) támogatására. A Webex támogatja mind az átirányítási, mind a post módszereket, amelyek a Control Hubból letöltött metaadatainkban érhetők el. Nem minden belső menekültek támogatják az SLO-t; kérjük, forduljon az IdP csapatához segítségért. Időnként a nagyobb IdP-szállítók, mint például az AzureAD, a Ping Federate, a ForgeRock és az Oracle esetében, amelyek támogatják az SLO-t, dokumentáljuk az integráció konfigurálását. Konzultáljon az identitásával & Biztonsági csapattal az IDP részleteiről és a megfelelő konfigurálásáról.

Ha az egyszeri kijelentkezési URL nincs konfigurálva:

  • Egy meglévő idp-munkamenet továbbra is érvényes. A következő alkalommal, amikor a felhasználók bejelentkeznek, előfordulhat, hogy az IdP nem kéri őket újrahitelesítésre.

  • A kijelentkezésnél figyelmeztető üzenetet jelenítünk meg, így a Webex App kijelentkezése nem történik zökkenőmentesen.

Letilthatja az egyszeri bejelentkezést (SSO) a Control Hubban kezelt Webex-szervezet számára. Érdemes lehet letiltani az egyszeri bejelentkezést, ha identitásszolgáltatót (IdP) vált.

Ha az egyszeri bejelentkezés engedélyezve van a szervezet számára, de nem sikerül, akkor bevonhatja Cisco partnerét, aki hozzáférhet a Webex szervezetéhez, hogy tiltsa le az Ön számára.

1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Kattintson a SSO deaktiválásalehetőségre.

Megjelenik egy felugró ablak, amely figyelmeztet az egyszeri bejelentkezés letiltásáról:

SSO inaktiválása

Ha letiltja az egyszeri bejelentkezést, a jelszavakat a felhő kezeli az integrált IdP-konfiguráció helyett.

5

Ha megérti az egyszeri bejelentkezés letiltásának hatását, és folytatni szeretné, kattintson a Deaktiválásgombra.

Az SSO inaktiválódik, és az összes SAML tanúsítványlista eltávolításra kerül.

Ha az egyszeri bejelentkezés le van tiltva, a hitelesítést igénylő felhasználók jelszóbeviteli mezőt látnak a bejelentkezési folyamat során.

  • Azoknak a felhasználóknak, akiknek nincs jelszavuk a Webex alkalmazásban, vagy vissza kell állítaniuk a jelszavukat, vagy e-mailt kell küldeniük nekik a jelszó beállításához.

  • Az érvényes OAuth-jogkivonattal rendelkező meglévő hitelesített felhasználók továbbra is hozzáférhetnek a WebexApphoz.

  • Az egyszeri bejelentkezés letiltott új felhasználói e-mailt kapnak, amelyben jelszót kérnek tőlük.

Mi a következő lépés

Ha Ön vagy az ügyfél újrakonfigurálja az egyszeri bejelentkezést az ügyfél szervezeténél, a felhasználói fiókok visszaállnak a Webex szervezettel integrált IdP által beállított jelszószabályzat használatára.