Gestione dell'integrazione Single Sign-On in Control Hub

Se l'utilizzo dei certificati della propria organizzazione è impostato su Nessuno, ma si riceve ancora un avviso, si consiglia di continuare con l'aggiornamento. La SSO di distribuzione del certificato non utilizza il certificato oggi, ma potrebbe essere necessario il certificato per modifiche future.

certificato servizio Webex provider di servizi (SP)

Ogni tanto, si potrebbe ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato Webex Single Sign-On (SSO) scadrà. Seguire il processo in questo articolo per recuperare i metadati del certificato cloud SSO noi (SP) e aggiungerli nuovamente all'IdP; altrimenti, gli utenti non potranno utilizzare i servizi Webex.

Se si sta utilizzando il certificato SSO SAML Cisco (SP) nella propria organizzazione Webex, è necessario pianificare l'aggiornamento del certificato cloud durante una normale finestra di manutenzione pianificata il prima possibile.

Tutti i servizi che fanno parte dell'abbonamento all'organizzazione Webex sono interessati, inclusi, ma non solo:

App Webex (nuovi accesso per tutte le piattaforme: desktop, mobile e Web)
Servizi Webex in ControlHub, inclusa la chiamata
Siti Webex Meetings gestiti attraverso Control Hub
Cisco Jabber se integrato con SSO

Operazioni preliminari

Leggere tutte le indicazioni prima di iniziare. Dopo aver modificato il certificato o aver completato la procedura guidata per l'aggiornamento del certificato, i nuovi utenti potrebbero non essere in grado di accedere correttamente.

Se l'IdP non supporta più certificati (la maggior parte degli IdP sul mercato non supporta questa funzione), si consiglia di pianificare questo aggiornamento durante un periodo di manutenzione in cui gli utenti dell'app Webex non sono interessati. Queste attività di aggiornamento devono richiedere circa 30 minuti in tempo operativo e convalida post-evento.

Per verificare se il certificato di verifica sp (SP) SAML Cisco SSO scadrà:

È possibile che sia stato ricevuto un messaggio e-mail o un messaggio dell'app Webex ma è necessario controllare Control Hub per verificarci.
Accedere a https://admin.webex.come selezionare il centro avvisi. Potrebbe essere presente una notifica sull'aggiornamento del SSO provider di servizi registrazione.
Accedere a , andare a Gestione > Impostazioni organizzazione > Autenticazione e annotare lo stato del certificato nella tabella dei certificati https://admin.webex.com SAML Cisco (scaduto o in scadenza). Fare clic su Rinnova certificato per continuare.

È possibile passare direttamente alla procedura guidata SSO per aggiornare anche il certificato. Se si decide di uscire dal programma di installazione prima di completarlo, è possibile accedere nuovamente in qualsiasi momento da Gestione > impostazioni organizzazione > autenticazione in https://admin.webex.com.

Scegliere il tipo di certificato per il rinnovo:

Autofirmato daCisco: questa scelta è consigliata. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.

Firmata da un'autorità di certificazione pubblica: più sicura, ma occorre aggiornare frequentemente i metadati (a meno che il fornitore idP non supporti glitrust anchor).

Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

Fare clic su Scarica file metadati per scaricare una copia dei metadati aggiornati con il nuovo certificato dal cloud Webex. Mantieni questa schermata aperta.

Passare all'interfaccia di gestione IdP per caricare il nuovo file di metadati Webex.

Questa operazione può essere effettuata attraverso una scheda del browser, il protocollo del desktop remoto (RDP) o attraverso il supporto specifico del provider di cloud, in base all'impostazione IdP e all'eventuale responsabilità di questa operazione da parte dell'utente o di un amministratore IdP separato.
Per informazioni di riferimento, consultare le SSO sull'integrazione dei team o contattare l'amministratore IdP per supporto. Se il Active Directory Federation Services (AD FS), è possibile vedere come aggiornare i metadati Webex in AD FS.

Tornare alla scheda in cui è stato eseguito l'accesso a Control Hub e fare clic su Next(Avanti).

Fare clic su SSO aggiornamento per confermare che il nuovo file di metadati sia stato caricato e interpretato correttamente dall'IdP. Confermare i risultati previsti nella finestra popup e se il test è stato eseguito correttamente, fare clic su Switch to new metadata (Passa ai nuovimetadati).

Per visualizzare direttamente SSO'accesso utente, è possibile fare clic su Copia URL negli Appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, è possibile accedere direttamente SSO. Ciò consente di rimuovere eventuali informazioni memorizzate nella cache del browser Web in grado di fornire un falso risultato positivo durante il test della SSO verifica.

Risultato: Il certificato di licenza SAML Cisco (SP SSO) della propria organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento aprendo la tabella di stato del certificato SAML in Gestione > organizzazione > autenticazione .

provider di identità (IdP)

Ogni tanto, si potrebbe ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP scadrà. Poiché i fornitori di IdP dispongono della propria documentazione specifica per il rinnovo del certificato, vengono descritti i requisiti di Control Hub e le operazioni generiche per recuperare i metadati IdP aggiornati e caricarlo in Control Hub per rinnovare il certificato.

Per verificare se il certificato SAML IdP scadrà:

È possibile che sia stato ricevuto un messaggio e-mail o un messaggio dell'app Webex ma è necessario controllare Control Hub per verificarci.
Accedere a https://admin.webex.come selezionare il centro avvisi. Potrebbe essere presente una notifica sull'aggiornamento del certificato SAML IdP:
Accedere a , andare a Gestione > Impostazioni organizzazione > Autenticazione e annotare lo stato del certificato (scaduto o in scadenza a breve) nella https://admin.webex.com tabella Dei certificatiSAML. Fare clic su Rinnova certificato per continuare.
È possibile passare direttamente alla procedura guidata SSO per aggiornare anche il certificato. Se si decide di uscire dal programma di installazione prima di completarlo, è possibile accedere nuovamente in qualsiasi momento da Gestione > impostazioni organizzazione > autenticazione in https://admin.webex.com.

Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.

Questa operazione può essere effettuata attraverso una scheda del browser, il protocollo del desktop remoto (RDP) o attraverso il supporto specifico del provider di cloud, in base all'impostazione IdP e all'eventuale responsabilità di questa operazione da parte dell'utente o di un amministratore IdP separato.
Per informazioni di riferimento, consultare le SSO sull'integrazione dei team o contattare l'amministratore IdP per supporto.

Tornare a Gestione >'organizzazione > autenticazione in e scegliere https://admin.webex.comAzioni > Importa metadati.

Trascinare la file di metadati IdP nella finestra o fare clic su Scegli un file di metadati e caricarlo in questo modo.

Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da una CA pubblica), a seconda della modalità di firma dei metadati IdP.

Fare clic su SSO aggiornamento per verificare che il nuovo file di metadati sia stato caricato e interpretato correttamente all'organizzazione Control Hub. Confermare i risultati previsti nella finestra popup e se il test è stato eseguito correttamente, fare clic su Switch to new metadata (Passa ai nuovimetadati).

Risultato: Il certificato IdP della propria organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento aprendo la tabella di stato del certificato SAML in Gestione > organizzazione > autenticazione .

È possibile esportare gli ultimi metadati Webex SP ogni volta che occorre aggiungerli nuovamente all'IdP. Viene visualizzato un avviso quando i metadati SAML IdP importati scadono o sono scaduti.

Questa operazione è utile nei comuni scenari di gestione certificati SAML IdP, ad esempio IdP che supportano più certificati in cui l'esportazione non è stata effettuata in precedenza, se i metadati non sono stati importati nell'IdP poiché non era disponibile un amministratore IdP o se l'IdP supporta la possibilità di aggiornare solo il certificato. Questa opzione consente di ridurre al minimo la modifica aggiornando solo il certificato nella configurazione SSO e la convalida post-evento.

1	Dalla vista del cliente in , andare a Gestione > Organizzazione , scorrere fino ad Autenticazione , quindi scegliere Azioni https://admin.webex.com > Esporta metadati. Il nome file dei metadati dell'app Webex èidb-meta-<org-ID>-SP.xml.
2	Importare i metadati nell'IdP. Seguire la documentazione dell'IdP per importare i metadati SP Webex. È possibile utilizzare le guide all'integrazione IdP o consultare la documentazione per il proprio IdP specifico, se non riportato in elenco.
3	Al termine, eseguire il test SSO utilizzando la procedura "Rinnovo del certificato Webex (SP)" in questo articolo.

Se l'ambiente IdP cambia o se il certificato IdP scadrà, è possibile importare i metadati aggiornati in Webex in qualsiasi momento.

Operazioni preliminari

Raccogliere i metadati IdP, solitamente come file xml esportato.

1	Dalla vista del cliente in , andare a Gestione > Organizzazione , scorrere fino ad Autenticazione , quindi scegliere Azioni https://admin.webex.com > Importa metadati.
2	Trascinare la file di metadati IdP nella finestra o fare clic su Scegli un file di metadati e caricarlo in questo modo.
3	Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da una CA pubblica), a seconda della modalità di firma dei metadati IdP.

Si riceveranno avvisi in Control Hub prima che i certificati scadano, ma è possibile anche impostare in modo proattivo le regole di avviso. Queste regole consentono di intuire in anticipo che i certificati SP o IdP stanno per scadere. È possibile inviarle all'utente tramite e-mail, uno spazio nell'app Webexo entrambi.

Indipendentemente dal canale di consegna configurato, tutti gli avvisi vengono sempre visualizzati in Control Hub. Per ulteriori informazioni, vedere Centro avvisi in Control Hub.

Dalla vista del cliente in https://admin.webex.com, andare a Avvisi center.

Scegliere Gestisci quindi Tutte le regole.

Dall'elenco Regole, scegliere una SSO delle regole che si desidera creare:

SSO scadenza del certificato IDP
SSO scadenza del certificato SP

Nella sezione Canale di consegna, selezionare la casella E-mail, Spazio Webex oentrambi.

Se si sceglie E-mail, inserire l'indirizzo e-mail a cui inviare la notifica.

Se si sceglie l'opzione dello spazio Webex, si viene aggiunti automaticamente a uno spazio all'interno dell'app Webex e vengono consegnate le notifiche in questo punto.

Salva le modifiche.

Operazione successivi

Vengono inviati avvisi di scadenza del certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (Sono previsti avvisi per il giorno 60, 45, 30 e 15). Gli avvisi si interrompino quando si rinnova il certificato.

È possibile che venga visualizzato un avviso che l'URL per disconnessione singola non è configurato:

Si consiglia di configurare l'IdP per supportare la disconnessione singola (anche nota come SLO). Webex supporta entrambi i metodi di reindirizzamento e post, disponibili nei metadati scaricati da Control Hub. Non tutti gli IdP supportano l'SLO; contattare il team IdP per assistenza. In alcuni casi, per i principali fornitori di IdP, come AzureAD, Ping Federate, ForgeRock e Oracle, che supportano SLO, documentare come configurare l'integrazione. Consultare il team di identità e sicurezza sulle specifiche dell'IDP e su come eseguire correttamente la configurazione.

Se l'URL per la disconnessione singola non è configurato:

Una sessione IdP esistente rimane valida. Al successivo accesso, è possibile che agli utenti non venga richiesto di eseguire nuovamente l'autenticazione dall'IdP.
Viene visualizzato un messaggio di avviso alla disconnessione, pertanto la disconnessione dell'app Webex non si verifica facilmente.

È possibile disabilitare Single Sign-On (SSO) per l'organizzazione Webex gestita in Control Hub . Si consiglia di disabilitare la SSO si stanno modificando i provider di identità (IdP).

Se Single Sign-On è stato abilitato per la propria organizzazione ma non funziona, è possibile coinvolgere il partner Cisco che può accedere all'organizzazione Webex per disabilitarla.

1	Dalla vista del cliente in https://admin.webex.com, andare a Gestione > organizzazione , quindi scorrere fino a Autenticazione .
2	Per disattivare SSO la registrazione, disattivare l'impostazione Single Sign-On. Viene visualizzata una finestra popup che avvisa dell'utente sulla disabilitazione SSO: Se si disabilita SSO, le password vengono gestite dal cloud anziché dalla configurazione IdP integrata.
3	Se si comprende l'impatto della disabilitazione SSO e si desidera continuare, fare clic su Disattiva. In Control Hub, viene visualizzata l'SSO di attivazione/disattivazione e tutti gli elenchidi certificati SAML vengono rimossi. Se SSO password è disabilitata, gli utenti che devono autenticarsi visualizzano un campo di inserimento della password durante il processo di accesso. Gli utenti che non dispongono di una password nell'app Webex devono reimpostare la password o è necessario inviare un messaggio e-mail per consentire loro di impostare una password. Gli utenti autenticati esistenti con un token OAuth valido continueranno ad avere accesso all'app Webex. I nuovi utenti creati mentre SSO utente sono disabilitati, ricevono un messaggio e-mail che richiede di creare una password.

Operazione successivi

Se si riconfigura l SSO per l'organizzazione del cliente, gli account utente tornano a utilizzare i criteri per le password impostati dall'IdP integrato con l'organizzazione Webex.