SSO in Control Hub

Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex.


 

Se l'utilizzo del certificato della tua organizzazione è impostato su Nessuno ma stai ancora ricevendo un avviso, ti consigliamo di procedere ancora con l'aggiornamento. La distribuzione SSO non utilizza il certificato oggi, ma potrebbe essere necessario il certificato per le modifiche future.

Certificati provider di servizi (SP)


 

Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato Single-Sign-On (SSO ) Webex sta per scadere. Seguire la procedura in questo articolo per recuperare i metadati del certificato cloud SSO da noi (SP) e aggiungerli nuovamente al IdP; in caso contrario, gli utenti non potranno utilizzare i servizi Webex .

Se si utilizza il certificato SSO SAML Cisco (SP) nell'organizzazione Webex, è necessario pianificare di aggiornare il certificato cloud durante una normale finestra di manutenzione pianificata il prima possibile.

Sono interessati tutti i servizi che fanno parte dell'abbonamento alla propria organizzazione Webex , inclusi, a titolo esemplificativo:

  • App Webex (nuovi accessi per tutte le piattaforme: desktop, mobili e Web)

  • Servizi Webex in Control Hub, incluso Calling

  • Il sito Webex Meetings sito è gestito da Webex Control Hub

  • Cisco Jabber se è integrato con SSO

Operazioni preliminari


 

Leggere tutte le istruzioni prima di iniziare. Dopo aver modificato il certificato o aver eseguito la procedura guidata per aggiornare il certificato, i nuovi utenti potrebbero non essere in grado di accedere correttamente.

Se il tuo IdP non supporta più certificati (la maggior parte degli IdP sul mercato non supporta questa funzione), ti consigliamo di pianificare questo aggiornamento durante una finestra di manutenzione in cui gli utenti dell'app Webex non sono interessati. Queste attività di aggiornamento richiedono circa 30 minuti in tempo operativo e convalida post-evento.

1

Per verificare la scadenza del certificato SAML Cisco (SP) SSO :

  • È possibile che tu abbia ricevuto un'e-mail o un messaggio dell'app Webex da noi, ma per essere certo devi controllare Control Hub.

  • Accedere ahttps://admin.webex.com , e selezionare Centro avvisi . È possibile che venga visualizzata una notifica relativa all'aggiornamento del certificato del provider di servizi SSO .

  • Accedi a https://admin.webex.com, vai a Gestione > Impostazioni organizzazione > Autenticazione e fai clic su Gestisci SSO e IdP.
  • Andare alla scheda Identity provider e annotare lo stato del certificato Cisco SP e la data di scadenza.

Puoi anche accedere direttamente alla procedura guidata SSO per aggiornare il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi nuovamente in qualsiasi momento da Gestione > Impostazioni organizzazione > Autenticazione inhttps://admin.webex.com .

2

Andare a IdP e fare clic .

3

Fare clic su Rivedere i certificati e la data di scadenza .

Viene visualizzato il file Certificati di provider di servizi (SP). finestra.
4

Fare clic su Rinnova certificato .

5

Scegli il tipo di certificato per il rinnovo:

  • Autofirmato da Cisco —Si consiglia questa scelta. Consente di firmare il certificato in modo che sia necessario rinnovarlo solo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica —Più sicuro, ma dovrai aggiornare frequentemente i metadati (a meno che il fornitore IdP non supporti i trust anchor).

     

    I trust anchor sono chiavi pubbliche che fungono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

6

Fare clic su Scarica il file di metadati per scaricare una copia dei metadati aggiornati con il nuovo certificato dal cloud Webex . Tenere aperta questa schermata.

7

Passare all'interfaccia di gestione IdP per caricare il nuovo file di metadati Webex .

  • Questo passaggio può essere eseguito tramite una scheda del browser, un protocollo desktop remoto (RDP) o un supporto di provider cloud specifico, a seconda dell'impostazione IdP e se l'utente o un amministratore IdP separato è responsabile di questo passaggio.
  • Per riferimento, vedi le nostre guide all'integrazione SSO o contatta l'amministratore IdP per supporto. Se su Active Directory Federation Services (AD FS), è possibile vedere come aggiornare i metadati Webex in AD FS .
8

Tornare alla scheda in cui hai eseguito l'accesso a Control Hub e fare clic Avanti .

9

Il nuovo file di metadati è stato caricato e interpretato correttamente dal tuo IdP. Confermare i risultati previsti nella finestra popup e, se il test ha esito positivo, fare clic su Passa ai nuovi metadati .


 

Per visualizzare direttamente l'esperienza di accesso SSO, puoi anche fare clic su Copia URL negli appunti da questa schermata e incollare in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

Risultato: Al termine, il certificato SSO SAML Cisco (SP) della tua organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento nella scheda Provider identità.

Certificato del provider di identità (IdP).


 

Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP sta per scadere. Poiché i fornitori IdP dispongono della documentazione specifica per il rinnovo del certificato, viene descritto ciò che è richiesto in Control Hub, insieme a passaggi generici per recuperare i metadati IdP aggiornati e caricarli in Control Hub per rinnovare il certificato.

1

Per verificare la scadenza del certificato IdP SAML :

  • È possibile che tu abbia ricevuto un'e-mail o un messaggio dell'app Webex da noi, ma per essere certo devi controllare Control Hub.
  • Accedere ahttps://admin.webex.com , e selezionare Centro avvisi . È possibile che venga visualizzata una notifica relativa all'aggiornamento del certificato IdP SAML :

  • Accedi a https://admin.webex.com, vai a Gestione > Impostazioni organizzazione > Autenticazione e fai clic su Gestisci SSO e IdP.
  • Andare alla scheda Provider identità e annotare lo stato del certificato IdP (scaduto o in scadenza a breve) e la data di scadenza.

  • Puoi anche accedere direttamente alla procedura guidata SSO per aggiornare il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi nuovamente in qualsiasi momento da Gestione > Impostazioni organizzazione > Autenticazione inhttps://admin.webex.com .

2

Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.

  • Questo passaggio può essere eseguito tramite una scheda del browser, un protocollo desktop remoto (RDP) o un supporto di provider cloud specifico, a seconda dell'impostazione IdP e se l'utente o un amministratore IdP separato è responsabile di questo passaggio.
  • Per riferimento, vedi le nostre guide all'integrazione SSO o contatta l'amministratore IdP per supporto.
3

Tornare alla scheda Provider identità.

4

Andare a IdP, fare clicupload e selezionare Carica metadati Idp .

5

Trascina la selezione del file di metadati IdP nella finestra o fai clic su Scegli un file e caricalo in quel modo.

6

Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP.

7

Fare clic su Verificare l'aggiornamento SSO per verificare che il nuovo file di metadati sia stato caricato e interpretato correttamente nell'organizzazione di Control Hub. Confermare i risultati attesi nella finestra popup e, se il test ha avuto esito positivo, selezionare Test riuscito: Attiva SSO e IdP e fai clic su Salva.


 

Per visualizzare direttamente l'esperienza di accesso SSO, si consiglia di fare clic su Copia URL negli Appunti da questa schermata e incollarlo in una finestra privata del browser. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

Risultato: Hai terminato e il certificato IdP della tua organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento nella scheda Provider identità.

È possibile esportare gli ultimi metadati di Webex SP ogni volta che è necessario aggiungerli nuovamente al proprio IdP. Viene visualizzato un avviso quando i metadati IdP SAML importati scadranno o saranno scaduti.

Questo passaggio è utile in scenari di gestione dei certificati SAML IdP comuni, ad esempio IdP che supportano più certificati in cui l'esportazione non è stata eseguita in precedenza, se i metadati non sono stati importati nel IdP perché non era disponibile un amministrazione IdP o se il proprio IdP supporta il protocollo IdP. la possibilità di aggiornare solo il certificato. Questa opzione consente di ridurre al minimo la modifica aggiornando solo il certificato nella configurazione SSO e nella convalida post-evento.

1

Dalla vista cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP .

2

Andare a Provider di identità scheda.

3

Vai all'IdP, fai clic su Scarica e seleziona Scarica metadati SP.

Il nome del file di metadati Webex è idb-meta- -SP.xml .<org-ID>

4

Importa i metadati nel tuo IdP.

Seguire la documentazione per l'IdP per importare i metadati di Webex SP. È possibile utilizzare il nostro Guide all'integrazione IdP o consultare la documentazione per il proprio IdP specifico, se non in elenco.

5

Al termine, eseguire il test SSO utilizzando la procedura in Rinnova certificato Webex (SP) in questo articolo.

Quando l'ambiente IdP cambia o se il certificato IdP sta per scadere, è possibile importare i metadati aggiornati in Webex in qualsiasi momento.

Operazioni preliminari

Raccogliere i metadati IdP, in genere come file xml esportato.

1

Dalla vista cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP .

2

Andare a Provider di identità scheda.

3

Andare a IdP, fare clicupload e selezionare Carica metadati Idp .

4

Trascinare il file di metadati IdP nella finestra o fare clic su Scegliere un file di metadati e caricarlo in questo modo.

5

Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP.

6

Fare clic su Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso.

Si riceverà un avviso in Control Hub prima dell'impostazione della scadenza dei certificati, ma è anche possibile impostare proattivamente regole di avviso. Queste regole consentono di sapere in anticipo che i certificati SP o IdP stanno per scadere. Possiamo inviarti questi dati tramite e-mail, uno spazio nell'app Webex o entrambi.


 

Indipendentemente dal canale di recapito configurato, tutti gli avvisi verranno sempre visualizzati in Control Hub. Vedere Centro avvisi in Control Hub per ulteriori informazioni.

1

Dalla vista cliente inhttps://admin.webex.com , andare a Centro avvisi .

2

Scegliere Gestisci quindi Tutte le regole .

3

Dall'elenco Regole, scegliere una delle regole SSO che si desidera creare:

  • Certificato IdP SSO scaduto
  • Certificato IdP SSO scaduto
4

Nella sezione Canale di recapito, selezionare la casella per e-mail , Spazio Webex , o entrambi.

Se scegli e-mail, inserisci l' indirizzo e-mail che deve ricevere la notifica.


 

Se scegli lo spazio Webex , viene automaticamente aggiunto a uno spazio all'interno dell'app Webex e le notifiche vengono inviate lì.

5

Salva le modifiche.

Operazioni successive

Inviamo avvisi di scadenza del certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (È possibile ricevere avvisi i giorni 60, 45, 30 e 15). Gli avvisi si interrompono quando si rinnova il certificato.

Si potrebbe notare che l'URL di disconnessione singola non è configurato:


 

È consigliabile configurare il servizio IdP per il supporto della disconnessione singola (noto anche come SLO). Webex supporta entrambi i metodi di reindirizzamento e post, disponibili nei metadati scaricati da Control Hub. Non tutti gli IdP supportano SLO; contatta il team IdP per assistenza. A volte, per i principali fornitori di IdP come AzureAD, Ping Federate, ForgeRock e Oracle, che supportano SLO, documentiamo come configurare l'integrazione. Consultare il team identità e sicurezza per informazioni specifiche sull'IDP e su come configurarlo correttamente.

Se l'URL di disconnessione singola non è configurato:

  • Una sessione IdP esistente rimane valida. La volta successiva che gli utenti eseguono l' accedere, l'IdP potrebbe non dover eseguire nuovamente l'autenticazione.

  • Viene visualizzato un messaggio di avviso disconnettere, pertanto la disconnessione dell'app Webex non viene eseguita correttamente.

È possibile disabilitare il Single-Sign-On (SSO) per l'organizzazione Webex gestita in Control Hub. Puoi disabilitare la funzionalità SSO se stai modificando i provider di identità (IdP).


 

Se il Single-Sign-On è stato abilitato per la propria organizzazione ma non riesce, è possibile contattare il partner Cisco che può accedere alla propria organizzazione Webex per disabilitarlo.

1

Dalla vista cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP .

2

Andare a Provider di identità scheda.

3

Fare clic su Disattiva SSO .

Viene visualizzata una finestra popup che avvisa dell'utente della disabilitazione della funzionalità SSO:

Disattiva SSO

Se disabiliti SSO, le password vengono gestite dal cloud anziché dalla configurazione IdP integrata.

4

Se si comprende l'impatto della disabilitazione SSO e si desidera procedere, fare clic su Disattiva .

SSO è disattivato e tutte le liste di certificati SAML sono rimosse.

Se SSO è disabilitato, gli utenti che devono eseguire l'autenticazione visualizzeranno un campo di immissione password durante il processo di accesso.

  • Gli utenti che non dispongono di una password nell'app Webex devono reimpostare la password oppure è necessario inviare un messaggio e-mail per l'impostazione della password.

  • Gli utenti autenticati esistenti con un token OAuth valido continueranno ad avere accesso Webex .

  • I nuovi utenti creati con SSO disabilitato ricevono un messaggio e-mail in cui viene richiesto di creare una password.

Operazioni successive

Se l'utente o il cliente riconfigura SSO per l'organizzazione del cliente, gli account utente tornano a utilizzare i criteri per la password impostati dall'IdP integrato con l'organizzazione Webex.

In caso di problemi con l'accesso SSO , è possibile utilizzare il file Opzione di ripristino automatico SSO per ottenere accesso all'organizzazione Webex gestita in Control Hub. L'opzione di ripristino automatico consente di aggiornare o disabilitare SSO in Control Hub.