SSO in Control Hub

Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex.


 

Se l'utilizzo del certificato della tua organizzazione è impostato su Nessuno ma stai ancora ricevendo un avviso, ti consigliamo di procedere ancora con l'aggiornamento. La distribuzione SSO non utilizza il certificato oggi, ma potrebbe essere necessario il certificato per le modifiche future.


 

Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato Single-Sign-On (SSO ) Webex sta per scadere. Seguire la procedura in questo articolo per recuperare i metadati del certificato cloud SSO da noi (SP) e aggiungerli nuovamente al IdP; in caso contrario, gli utenti non potranno utilizzare i servizi Webex .

Se si utilizza il certificato SSO SAML Cisco (SP) nell'organizzazione Webex, è necessario pianificare di aggiornare il certificato cloud durante una normale finestra di manutenzione pianificata il prima possibile.

Sono interessati tutti i servizi che fanno parte dell'abbonamento alla propria organizzazione Webex , inclusi, a titolo esemplificativo:

  • App Webex (nuovi accessi per tutte le piattaforme: desktop, mobili e Web)

  • Servizi Webex in Control Hub, incluso Calling

  • Il sito Webex Meetings sito è gestito da Webex Control Hub

  • Cisco Jabber se è integrato con SSO

Operazioni preliminari


 

Leggere tutte le istruzioni prima di iniziare. Dopo aver modificato il certificato o aver eseguito la procedura guidata per aggiornare il certificato, i nuovi utenti potrebbero non essere in grado di accedere correttamente.

Se il tuo IdP non supporta più certificati (la maggior parte degli IdP sul mercato non supporta questa funzione), ti consigliamo di pianificare questo aggiornamento durante una finestra di manutenzione in cui gli utenti dell'app Webex non sono interessati. Queste attività di aggiornamento richiedono circa 30 minuti in tempo operativo e convalida post-evento.

1

Per verificare la scadenza del certificato SAML Cisco (SP) SSO :

  • È possibile che tu abbia ricevuto un'e-mail o un messaggio dell'app Webex da noi, ma per essere certo devi controllare Control Hub.
  • Accedere ahttps://admin.webex.com , e selezionare Centro avvisi . È possibile che venga visualizzata una notifica relativa all'aggiornamento del certificato del provider di servizi SSO .

  • Accedi a https://admin.webex.com, vai a Gestione > Impostazioni organizzazione > Single Sign-On e fai clic su Gestisci SSO e IdP.
  • Andare alla scheda Identity provider e annotare lo stato del certificato Cisco SP e la data di scadenza.

Puoi anche accedere direttamente alla procedura guidata SSO per aggiornare il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi di nuovo in qualsiasi momento da Gestione > Impostazioni organizzazione > Accesso Single Sign-Onhttps://admin.webex.com.

2

Vai all'IdP e fai clic su.

3

Fare clic su Rivedi certificati e data di scadenza.

4

Fare clic su Rinnova certificato.

5

Scegliere il tipo di IdP utilizzato dall'organizzazione.

  • Un IdP che supporta più certificati
  • Un IdP che supporta un singolo certificato

 

Se il proprio IdP supporta un singolo certificato, si consiglia di attendere per eseguire queste operazioni durante l'inattività pianificata. Mentre il certificato Webex è in corso di aggiornamento, i nuovi accessi utente per breve tempo non funzionano; gli accessi esistenti vengono conservati.

6

Scegliere il tipo di certificato per il rinnovo:

  • Autofirmato da Cisco —Si consiglia questa scelta. Consente di firmare il certificato in modo che sia necessario rinnovarlo solo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica —Più sicuro, ma dovrai aggiornare frequentemente i metadati (a meno che il fornitore IdP non supporti i trust anchor).

     

    I trust anchor sono chiavi pubbliche che fungono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

7

Fare clic su Scarica il file di metadati per scaricare una copia dei metadati aggiornati con il nuovo certificato dal cloud Webex . Tenere aperta questa schermata.

8

Passare all'interfaccia di gestione IdP per caricare il nuovo file di metadati Webex .

  • Questa operazione può essere eseguita tramite una scheda del browser, un protocollo desktop remoto (RDP) o attraverso supporto di provider cloud specifico, a seconda dell'impostazione dell'IdP e se l'utente o un amministratore IdP separato sono responsabili di questa operazione.
  • Per riferimento, vedi le nostre guide all'integrazione SSO o contatta l'amministratore IdP per supporto. Se su Active Directory Federation Services (AD FS), è possibile vedere come aggiornare i metadati Webex in AD FS .
9

Tornare alla scheda in cui hai eseguito l'accesso a Control Hub e fare clic Avanti .

10

Aggiornare l'IdP con il nuovo certificato SP e i metadati e fare clic su Avanti.

  • Tutti gli IdP aggiornati correttamente
  • Se hai bisogno di più tempo per l'aggiornamento, salva il certificato rinnovato come opzione secondaria
11

Fare clic su Termina rinnovo.


 

Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP sta per scadere. Poiché i fornitori di IdP dispongono di una propria documentazione specifica per il rinnovo del certificato, vengono descritti i requisiti in Control Hub, insieme alla procedura generica per recuperare i metadati IdP aggiornati e caricarli in Control Hub per rinnovare il certificato.

1

Per verificare la scadenza del certificato IdP SAML :

  • È possibile che tu abbia ricevuto un'e-mail o un messaggio dell'app Webex da noi, ma per essere certo devi controllare Control Hub.
  • Accedere ahttps://admin.webex.com , e selezionare Centro avvisi . È possibile che venga visualizzata una notifica relativa all'aggiornamento del certificato IdP SAML :

  • Accedi a https://admin.webex.com, vai a Gestione > Impostazioni organizzazione > Single Sign-On e fai clic su Gestisci SSO e IdP.
  • Andare alla scheda Provider identità e annotare lo stato del certificato IdP (scaduto o in scadenza a breve) e la data di scadenza.
  • Puoi anche accedere direttamente alla procedura guidata SSO per aggiornare il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi di nuovo in qualsiasi momento da Gestione > Impostazioni organizzazione > Accesso Single Sign-Onhttps://admin.webex.com.

2

Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.

  • Questa operazione può essere eseguita tramite una scheda del browser, un protocollo desktop remoto (RDP) o attraverso supporto di provider cloud specifico, a seconda dell'impostazione dell'IdP e se l'utente o un amministratore IdP separato sono responsabili di questa operazione.
  • Per riferimento, vedi le nostre guide all'integrazione SSO o contatta l'amministratore IdP per supporto.
3

Tornare alla scheda Provider identità.

4

Vai all'IdP, fai clic suuploade selezionare Carica metadati Idp.

5

Trascina la selezione del file di metadati IdP nella finestra o fai clic su Scegli un file e caricalo in quel modo.

6

Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP.

7

Fare clic su Verificare l'aggiornamento SSO per verificare che il nuovo file di metadati sia stato caricato e interpretato correttamente nell'organizzazione di Control Hub. Confermare i risultati attesi nella finestra popup e, se il test ha avuto esito positivo, selezionare Test riuscito: Attiva SSO e IdP e fai clic su Salva.


 

Per visualizzare direttamente l'esperienza di accesso SSO, si consiglia di fare clic su Copia URL negli Appunti da questa schermata e incollarlo in una finestra privata del browser. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

Risultato: Hai terminato e il certificato IdP della tua organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento nella scheda Provider identità.

È possibile esportare gli ultimi metadati di Webex SP ogni volta che è necessario aggiungerli nuovamente al proprio IdP. Viene visualizzato un avviso quando i metadati IdP SAML importati scadranno o saranno scaduti.

Questo passaggio è utile in scenari di gestione dei certificati SAML IdP comuni, ad esempio IdP che supportano più certificati in cui l'esportazione non è stata eseguita in precedenza, se i metadati non sono stati importati nel IdP perché non era disponibile un amministrazione IdP o se il proprio IdP supporta il protocollo IdP. la possibilità di aggiornare solo il certificato. Questa opzione consente di ridurre al minimo la modifica aggiornando solo il certificato nella configurazione SSO e nella convalida post-evento.

1

Dalla vista cliente in https://admin.webex.com, andare a Gestione > Impostazioni organizzazione, scorrere fino a Single Sign-On e fare clic su Gestisci SSO e IdP.

2

Andare alla scheda Provider identità.

3

Vai all'IdP, fai clic suDownloade selezionare Scarica metadati SP.

Il nome file dei metadati dell'app Webex è idb-meta-<org-ID>-SP.xml.

4

Importa i metadati nel tuo IdP.

Seguire la documentazione per l'IdP per importare i metadati di Webex SP. È possibile utilizzare il nostro Guide all'integrazione IdP o consultare la documentazione per il proprio IdP specifico, se non in elenco.

5

Al termine, eseguire il test SSO utilizzando la procedura in Rinnova certificato Webex (SP) in questo articolo.

Quando l'ambiente IdP cambia o se il certificato IdP sta per scadere, è possibile importare i metadati aggiornati in Webex in qualsiasi momento.

Operazioni preliminari

Raccogliere i metadati IdP, in genere come file xml esportato.

1

Dalla vista cliente in https://admin.webex.com, andare a Gestione > Impostazioni organizzazione, scorrere fino a Single Sign-On e fare clic su Gestisci SSO e IdP.

2

Andare alla scheda Provider identità.

3

Vai all'IdP, fai clic suuploade selezionare Carica metadati Idp.

4

Trascinare il file di metadati IdP nella finestra o fare clic su Scegliere un file di metadati e caricarlo in questo modo.

5

Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP.

6

Fai clic su Verifica impostazione SSO e quando si apre una nuova scheda del browser, esegui l'autenticazione con l'IdP eseguendo l'accesso.

Riceverai avvisi in Control Hub prima che i certificati scadano, ma puoi anche impostare in modo proattivo le regole degli avvisi. Queste regole consentono di sapere in anticipo che i certificati SP o IdP scadranno. Possiamo inviarle via e-mail, uno spazio nell'app Webex o entrambi.


 

Indipendentemente dal canale di consegna configurato, tutti gli avvisi vengono sempre visualizzati in Control Hub. Per ulteriori informazioni, vedi Centro avvisi in Control Hub.

1

Accedere a Control Hub.

2

Andare al centro avvisi.

3

Scegliere Gestisci quindi Tutte le regole.

4

Dall'elenco delle regole, scegliere una delle regole SSO che si desidera creare:

  • Scadenza certificato IDP SSO
  • Scadenza certificato SSO SP
5

Nella sezione Canale di consegna, selezionare la casella E-mail, spazio Webex o entrambi.

Se si sceglie E-mail, immettere l'indirizzo e-mail che deve ricevere la notifica.


 

Se scegli l'opzione di spazio Webex, verrai automaticamente aggiunto a uno spazio all'interno dell'app Webex e le notifiche verranno visualizzate qui.

6

Salva le modifiche.

Operazioni successive

Inviamo avvisi di scadenza certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (Sono previsti avvisi per i giorni 60, 45, 30 e 15). Gli avvisi vengono interrotti quando si rinnova il certificato.

Si potrebbe notare che l'URL di disconnessione singola non è configurato:


 

È consigliabile configurare il servizio IdP per il supporto della disconnessione singola (noto anche come SLO). Webex supporta entrambi i metodi di reindirizzamento e post, disponibili nei metadati scaricati da Control Hub. Non tutti gli IdP supportano SLO; contatta il team IdP per assistenza. A volte, per i principali fornitori di IdP come AzureAD, Ping Federate, ForgeRock e Oracle, che supportano SLO, documentiamo come configurare l'integrazione. Consultare il team identità e sicurezza per informazioni specifiche sull'IDP e su come configurarlo correttamente.

Se l'URL di disconnessione singola non è configurato:

  • Una sessione IdP esistente rimane valida. La volta successiva che gli utenti eseguono l' accedere, l'IdP potrebbe non dover eseguire nuovamente l'autenticazione.

  • Viene visualizzato un messaggio di avviso disconnettere, pertanto la disconnessione dell'app Webex non viene eseguita correttamente.

È possibile disabilitare il Single-Sign-On (SSO) per l'organizzazione Webex gestita in Control Hub. Puoi disabilitare la funzionalità SSO se stai modificando i provider di identità (IdP).


 

Se il Single-Sign-On è stato abilitato per la propria organizzazione ma non riesce, è possibile contattare il partner Cisco che può accedere alla propria organizzazione Webex per disabilitarlo.

1

Dalla vista cliente in https://admin.webex.com, andare a Gestione > Impostazioni organizzazione, scorrere fino a Single Sign-On e fare clic su Gestisci SSO e IdP.

2

Andare alla scheda Provider identità.

3

Fare clic su Disattiva SSO.

Viene visualizzata una finestra popup che avvisa dell'utente della disabilitazione della funzionalità SSO:

Disattiva SSO

Se disabiliti SSO, le password vengono gestite dal cloud anziché dalla configurazione IdP integrata.

4

Se si comprende l'impatto della disabilitazione SSO e si desidera procedere, fare clic su Disattiva .

SSO è disattivato e tutte le liste di certificati SAML sono rimosse.

Se SSO è disabilitato, gli utenti che devono eseguire l'autenticazione visualizzeranno un campo di immissione password durante il processo di accesso.

  • Gli utenti che non dispongono di una password nell'app Webex devono reimpostare la password oppure è necessario inviare un messaggio e-mail per l'impostazione della password.

  • Gli utenti autenticati esistenti con un token OAuth valido continueranno ad avere accesso Webex .

  • I nuovi utenti creati con SSO disabilitato ricevono un messaggio e-mail in cui viene richiesto di creare una password.

Operazioni successive

Se l'utente o il cliente riconfigura SSO per l'organizzazione del cliente, gli account utente tornano a utilizzare i criteri per la password impostati dall'IdP integrato con l'organizzazione Webex.

Se si verificano problemi con l'accesso SSO, è possibile utilizzare l'opzione di recupero automatico SSO per ottenere l'accesso alla propria organizzazione Webex gestita in Control Hub. L'opzione di auto-ripristino consente di aggiornare o disabilitare SSO in Control Hub.