Utilizzare le funzioni di gestione SSO in Control Hub per la gestione dei certificati e attività di manutenzione SSO generali, ad esempio l'aggiornamento di un certificato in scadenza o il controllo della configurazione SSO esistente. Ogni funzione di gestione SSO è trattata nelle singole schede in questo articolo.
Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex.
Se l'utilizzo del certificato della tua organizzazione è impostato su Nessuno ma stai ancora ricevendo un avviso, ti consigliamo di procedere ancora con l'aggiornamento. La distribuzione SSO non utilizza il certificato oggi, ma potrebbe essere necessario il certificato per le modifiche future. |
Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato Single-Sign-On (SSO ) Webex sta per scadere. Seguire la procedura in questo articolo per recuperare i metadati del certificato cloud SSO da noi (SP) e aggiungerli nuovamente al IdP; in caso contrario, gli utenti non potranno utilizzare i servizi Webex . |
Se si utilizza il certificato SSO SAML Cisco (SP) nell'organizzazione Webex, è necessario pianificare di aggiornare il certificato cloud durante una normale finestra di manutenzione pianificata il prima possibile.
Sono interessati tutti i servizi che fanno parte dell'abbonamento alla propria organizzazione Webex , inclusi, a titolo esemplificativo:
App Webex (nuovi accessi per tutte le piattaforme: desktop, mobili e Web)
Servizi Webex in Control Hub, incluso Calling
Il sito Webex Meetings sito è gestito da Webex Control Hub
Cisco Jabber se è integrato con SSO
Operazioni preliminari
Leggere tutte le istruzioni prima di iniziare. Dopo aver modificato il certificato o aver eseguito la procedura guidata per aggiornare il certificato, i nuovi utenti potrebbero non essere in grado di accedere correttamente. |
Se il tuo IdP non supporta più certificati (la maggior parte degli IdP sul mercato non supporta questa funzione), ti consigliamo di pianificare questo aggiornamento durante una finestra di manutenzione in cui gli utenti dell'app Webex non sono interessati. Queste attività di aggiornamento richiedono circa 30 minuti in tempo operativo e convalida post-evento.
1 | Per verificare la scadenza del certificato SAML Cisco (SP) SSO :
Puoi anche accedere direttamente alla procedura guidata SSO per aggiornare il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi nuovamente in qualsiasi momento dahttps://admin.webex.com . in | ||
2 | Andare a IdP e fare clic | ||
3 | Fare clic su Rivedere i certificati e la data di scadenza . Viene visualizzato il file Certificati di provider di servizi (SP). finestra.
| ||
4 | Fare clic su Rinnova certificato . | ||
5 | Scegli il tipo di certificato per il rinnovo:
| ||
6 | Fare clic su Scarica il file di metadati per scaricare una copia dei metadati aggiornati con il nuovo certificato dal cloud Webex . Tenere aperta questa schermata. | ||
7 | Passare all'interfaccia di gestione IdP per caricare il nuovo file di metadati Webex .
| ||
8 | Tornare alla scheda in cui hai eseguito l'accesso a Control Hub e fare clic Avanti . | ||
9 | Il nuovo file di metadati è stato caricato e interpretato correttamente dal tuo IdP. Confermare i risultati previsti nella finestra popup e, se il test ha esito positivo, fare clic su Passa ai nuovi metadati .
Risultato: Al termine, il certificato SSO SAML Cisco (SP) della tua organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento nella scheda Provider identità. |
Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP sta per scadere. Poiché i fornitori IdP dispongono della documentazione specifica per il rinnovo del certificato, viene descritto ciò che è richiesto in Control Hub, insieme a passaggi generici per recuperare i metadati IdP aggiornati e caricarli in Control Hub per rinnovare il certificato. |
1 | Per verificare la scadenza del certificato IdP SAML :
| ||
2 | Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.
| ||
3 | Tornare alla scheda Provider identità. | ||
4 | Andare a IdP, fare clic | ||
5 | Trascina la selezione del file di metadati IdP nella finestra o fai clic su Scegli un file e caricalo in quel modo. | ||
6 | Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP. | ||
7 | Fare clic su Verificare l'aggiornamento SSO per verificare che il nuovo file di metadati sia stato caricato e interpretato correttamente nell'organizzazione di Control Hub. Confermare i risultati attesi nella finestra popup e, se il test ha avuto esito positivo, selezionare Test riuscito: Attiva SSO e IdP e fai clic su Salva.
Risultato: Hai terminato e il certificato IdP della tua organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento nella scheda Provider identità.
|
È possibile esportare gli ultimi metadati di Webex SP ogni volta che è necessario aggiungerli nuovamente al proprio IdP. Viene visualizzato un avviso quando i metadati IdP SAML importati scadranno o saranno scaduti.
Questo passaggio è utile in scenari di gestione dei certificati SAML IdP comuni, ad esempio IdP che supportano più certificati in cui l'esportazione non è stata eseguita in precedenza, se i metadati non sono stati importati nel IdP perché non era disponibile un amministrazione IdP o se il proprio IdP supporta il protocollo IdP. la possibilità di aggiornare solo il certificato. Questa opzione consente di ridurre al minimo la modifica aggiornando solo il certificato nella configurazione SSO e nella convalida post-evento.
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . |
2 | Andare a Provider di identità scheda. |
3 | Vai all'IdP, fai clic su Il nome del file di metadati Webex è idb-meta- -SP.xml .<org-ID> |
4 | Importa i metadati nel tuo IdP. Seguire la documentazione per l'IdP per importare i metadati di Webex SP. È possibile utilizzare il nostro Guide all'integrazione IdP o consultare la documentazione per il proprio IdP specifico, se non in elenco. |
5 | Al termine, eseguire il test SSO utilizzando la procedura in |
Quando l'ambiente IdP cambia o se il certificato IdP sta per scadere, è possibile importare i metadati aggiornati in Webex in qualsiasi momento.
Operazioni preliminari
Raccogliere i metadati IdP, in genere come file xml esportato.
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . |
2 | Andare a Provider di identità scheda. |
3 | Andare a IdP, fare clic |
4 | Trascinare il file di metadati IdP nella finestra o fare clic su Scegliere un file di metadati e caricarlo in questo modo. |
5 | Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP. |
6 | Fare clic su Verificare l'impostazione SSO , e quando si apre una nuova scheda del browser, eseguire l'autenticazione con l'IdP eseguendo l'accesso. |
Si riceverà un avviso in Control Hub prima dell'impostazione della scadenza dei certificati, ma è anche possibile impostare proattivamente regole di avviso. Queste regole consentono di sapere in anticipo che i certificati SP o IdP stanno per scadere. Possiamo inviarti questi dati tramite e-mail, uno spazio nell'app Webex o entrambi.
Indipendentemente dal canale di recapito configurato, tutti gli avvisi verranno sempre visualizzati in Control Hub. Vedere Centro avvisi in Control Hub per ulteriori informazioni. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a Centro avvisi . | ||
2 | Scegliere Gestisci quindi Tutte le regole . | ||
3 | Dall'elenco Regole, scegliere una delle regole SSO che si desidera creare:
| ||
4 | Nella sezione Canale di recapito, selezionare la casella per e-mail , Spazio Webex , o entrambi. Se scegli e-mail, inserisci l' indirizzo e-mail che deve ricevere la notifica.
| ||
5 | Salva le modifiche. |
Operazioni successive
Inviamo avvisi di scadenza del certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (È possibile ricevere avvisi i giorni 60, 45, 30 e 15). Gli avvisi si interrompono quando si rinnova il certificato.
Si potrebbe notare che l'URL di disconnessione singola non è configurato:
È consigliabile configurare il servizio IdP per il supporto della disconnessione singola (noto anche come SLO). Webex supporta entrambi i metodi di reindirizzamento e post, disponibili nei metadati scaricati da Control Hub. Non tutti gli IdP supportano SLO; contatta il team IdP per assistenza. A volte, per i principali fornitori di IdP come AzureAD, Ping Federate, ForgeRock e Oracle, che supportano SLO, documentiamo come configurare l'integrazione. Consultare il team identità e sicurezza per informazioni specifiche sull'IDP e su come configurarlo correttamente. |
Se l'URL di disconnessione singola non è configurato:
Una sessione IdP esistente rimane valida. La volta successiva che gli utenti eseguono l' accedere, l'IdP potrebbe non dover eseguire nuovamente l'autenticazione.
Viene visualizzato un messaggio di avviso disconnettere, pertanto la disconnessione dell'app Webex non viene eseguita correttamente.
È possibile disabilitare il Single-Sign-On (SSO) per l'organizzazione Webex gestita in Control Hub. Puoi disabilitare la funzionalità SSO se stai modificando i provider di identità (IdP).
Se il Single-Sign-On è stato abilitato per la propria organizzazione ma non riesce, è possibile contattare il partner Cisco che può accedere alla propria organizzazione Webex per disabilitarlo. |
1 | Dalla vista cliente inhttps://admin.webex.com , andare a , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP . |
2 | Andare a Provider di identità scheda. |
3 | Fare clic su Disattiva SSO . Viene visualizzata una finestra popup che avvisa dell'utente della disabilitazione della funzionalità SSO: Se disabiliti SSO, le password vengono gestite dal cloud anziché dalla configurazione IdP integrata. |
4 | Se si comprende l'impatto della disabilitazione SSO e si desidera procedere, fare clic su Disattiva . SSO è disattivato e tutte le liste di certificati SAML sono rimosse. Se SSO è disabilitato, gli utenti che devono eseguire l'autenticazione visualizzeranno un campo di immissione password durante il processo di accesso.
|
Operazioni successive
Se l'utente o il cliente riconfigura SSO per l'organizzazione del cliente, gli account utente tornano a utilizzare i criteri per la password impostati dall'IdP integrato con l'organizzazione Webex.
In caso di problemi con l'accesso SSO , è possibile utilizzare il file Opzione di ripristino automatico SSO per ottenere accesso all'organizzazione Webex gestita in Control Hub. L'opzione di ripristino automatico consente di aggiornare o disabilitare SSO in Control Hub.