SSO in Control Hub

Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex.

Se l'utilizzo dei certificati della propria organizzazione è impostato su Nessuno, ma si riceve ancora un avviso, si consiglia di continuare con l'aggiornamento. La SSO di distribuzione del certificato non utilizza il certificato oggi, ma potrebbe essere necessario il certificato per modifiche future.

certificato servizio Webex provider di servizi (SP)

Ogni tanto, si potrebbe ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato Webex Single Sign-On (SSO) scadrà. Seguire il processo in questo articolo per recuperare i metadati del certificato cloud SSO noi (SP) e aggiungerli nuovamente all'IdP; altrimenti, gli utenti non potranno utilizzare i servizi Webex.

Se si utilizza il certificato SSO Cisco (SP) SAML nella propria organizzazione Webex, è necessario pianificare di aggiornare il certificato cloud durante una normale finestra di manutenzione pianificata non appena possibile.

Tutti i servizi che fanno parte dell'abbonamento all'organizzazione Webex sono interessati, inclusi, ma non solo:

  • App Webex (nuovi accesso per tutte le piattaforme: desktop, mobile e Web)

  • Servizi Webex in ControlHub, inclusa la chiamata

  • Siti Webex Meetings gestiti attraverso Control Hub

  • Cisco Jabber se integrato con SSO

Operazioni preliminari

Leggere tutte le indicazioni prima di iniziare. Dopo aver modificato il certificato o aver completato la procedura guidata per l'aggiornamento del certificato, i nuovi utenti potrebbero non essere in grado di accedere correttamente.

Se il tuo IdP non supporta più certificati (la maggior parte degli IdP sul mercato non supporta questa funzione), ti consigliamo di pianificare questo aggiornamento durante una finestra di manutenzione in cui gli utenti dell'app Webex non sono interessati. Queste attività di aggiornamento devono richiedere circa 30 minuti di tempo operativo e convalida post-evento.

1

Per verificare se il certificato di verifica sp (SP) SAML Cisco SSO scadrà:

  • È possibile che sia stato ricevuto un messaggio e-mail o un messaggio dell'app Webex ma è necessario controllare Control Hub per verificarci.

  • Accedere a https://admin.webex.come selezionare il centro avvisi. Potrebbe essere presente una notifica sull'aggiornamento del SSO provider di servizi registrazione.

  • Accedi a https://admin.webex.com, vai a Gestione > Impostazioni organizzazione > Single Sign-On e fai clic su Gestisci SSO e IdP.
  • Vai alla scheda Provider identità e prendi nota dello stato del certificato Cisco SP e della data di scadenza.

È possibile passare direttamente alla procedura guidata SSO per aggiornare anche il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi nuovamente in qualsiasi momento da Gestione > Impostazioni organizzazione > Single Sign-On in https://admin.webex.com.

2

Andare all'IdP e fare clic su .

3

Fare clic su Rivedi certificati e data di scadenza.

4

Fare clic su Rinnova certificato.

5

Scegli il tipo di IdP utilizzato dalla tua organizzazione.

  • Un IdP che supporta più certificati
  • Un IdP che supporta un singolo certificato

Se l'IdP supporta un singolo certificato, si consiglia di attendere l'esecuzione di queste operazioni durante il tempo di inattività pianificato. Mentre il certificato Webex viene aggiornato, i nuovi accessi utente non funzioneranno brevemente. gli accessi esistenti sono conservati.

6

Scegliere il tipo di certificato per il rinnovo:

  • Autofirmato da Cisco: si consiglia di scegliere questa opzione. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica: più sicuro ma dovrai aggiornare i metadati più frequentemente (a meno che il tuo fornitore IdP non supporti i trust anchor).

    Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

    Prima di continuare con i passaggi successivi, assicurati di essere pronto a rinnovare il tuo certificato e che stai operando all'interno della finestra di modifica della tua organizzazione. Se si seleziona Cisco autofirmato o Firmato da un'autorità di certificazione pubblica , viene creato immediatamente un nuovo certificato. Una volta modificato il certificato per un singolo IdP, il SSO si interrompe fino a quando il certificato o i metadati non vengono caricati sull'IdP. È pertanto importante completare il processo di rinnovo.

7

Fare clic su Scarica file di metadati per scaricare una copia dei metadati aggiornati con il nuovo certificato da WebEx Cloud. Mantieni questa schermata aperta.

8

Passare all'interfaccia di gestione IdP per caricare il nuovo file di metadati Webex.

  • Questa operazione può essere effettuata attraverso una scheda del browser, il protocollo del desktop remoto (RDP) o attraverso il supporto specifico del provider di cloud, in base all'impostazione IdP e all'eventuale responsabilità di questa operazione da parte dell'utente o di un amministratore IdP separato.
  • Per informazioni di riferimento, consultare le SSO sull'integrazione dei team o contattare l'amministratore IdP per supporto. Se il Active Directory Federation Services (AD FS), è possibile vedere come aggiornare i metadati Webex in AD FS.
9

Torna alla scheda in cui è stato eseguito l'accesso a Control Hub e fai clic su Avanti.

10

Aggiorna l'IdP con il nuovo certificato SP e i metadati e fai clic su Avanti.

  • Tutti gli IdP aggiornati correttamente
  • Se hai bisogno di più tempo per l'aggiornamento, salva il certificato rinnovato come opzione secondaria
11

Fai clic su Termina rinnovo.

provider di identità (IdP)

Ogni tanto, si potrebbe ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP scadrà. Poiché i fornitori di IdP dispongono della propria documentazione specifica per il rinnovo del certificato, vengono descritti i requisiti di Control Hub e le operazioni generiche per recuperare i metadati IdP aggiornati e caricarlo in Control Hub per rinnovare il certificato.

1

Per verificare se il certificato SAML IdP scadrà:

  • È possibile che sia stato ricevuto un messaggio e-mail o un messaggio dell'app Webex ma è necessario controllare Control Hub per verificarci.
  • Accedere a https://admin.webex.come selezionare il centro avvisi. Potrebbe essere presente una notifica sull'aggiornamento del certificato SAML IdP:

  • Accedi a https://admin.webex.com, vai a Gestione > Impostazioni organizzazione > Single Sign-On e fai clic su Gestisci SSO e IdP.
  • Vai alla scheda Provider identità e prendi nota dello stato del certificato IdP (scaduto o in scadenza) e della data di scadenza.

  • È possibile passare direttamente alla procedura guidata SSO per aggiornare anche il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi nuovamente in qualsiasi momento da Gestione > Impostazioni organizzazione > Single Sign-On in https://admin.webex.com.

2

Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.

  • Questa operazione può essere effettuata attraverso una scheda del browser, il protocollo del desktop remoto (RDP) o attraverso il supporto specifico del provider di cloud, in base all'impostazione IdP e all'eventuale responsabilità di questa operazione da parte dell'utente o di un amministratore IdP separato.
  • Per informazioni di riferimento, consultare le SSO sull'integrazione dei team o contattare l'amministratore IdP per supporto.
3

Tornare alla scheda Provider identità .

4

Vai all'IdP, fai clic su upload e seleziona Carica metadati Idp.

5

Trascina la selezione del file di metadati IdP nella finestra o fai clic su Scegli un file e caricalo in questo modo.

6

Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da una CA pubblica), a seconda della modalità di firma dei metadati IdP.

7

Fai clic su Test aggiornamento SSO per confermare che il nuovo file di metadati è stato caricato e interpretato correttamente nella tua organizzazione Control Hub. Confermare i risultati previsti nella finestra popup e, se il test viene eseguito correttamente, selezionare Test superato: Attiva SSO e IdP e fai clic su Salva.

Per visualizzare direttamente l'esperienza di accesso SSO, si consiglia di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

Risultato: Il certificato IdP della propria organizzazione è stato rinnovato. Puoi controllare lo stato del certificato in qualsiasi momento nella scheda Provider identità .

È possibile esportare gli ultimi metadati Webex SP ogni volta che occorre aggiungerli nuovamente all'IdP. Viene visualizzato un avviso quando i metadati SAML IdP importati scadono o sono scaduti.

Questa operazione è utile nei comuni scenari di gestione certificati SAML IdP, ad esempio IdP che supportano più certificati in cui l'esportazione non è stata effettuata in precedenza, se i metadati non sono stati importati nell'IdP poiché non era disponibile un amministratore IdP o se l'IdP supporta la possibilità di aggiornare solo il certificato. Questa opzione consente di ridurre al minimo la modifica aggiornando solo il certificato nella configurazione SSO e la convalida post-evento.

1

Dalla vista cliente in https://admin.webex.com, vai a Gestione > Impostazioni organizzazione, scorri fino a Single Sign-On e fai clic su Gestisci SSO e IdP.

2

Vai alla scheda Provider identità .

3

Vai all'IdP, fai clic su Scarica e seleziona Scarica metadati SP.

Il nome file dei metadati dell'app Webex è idb-meta-<org-ID>-SP.xml.

4

Importare i metadati nell'IdP.

Seguire la documentazione dell'IdP per importare i metadati SP Webex. È possibile utilizzare le guide all'integrazione IdP o consultare la documentazione per il proprio IdP specifico, se non riportato in elenco.

5

Al termine, eseguire il test SSO utilizzando la procedura riportata in Rinnova certificato Webex (SP) in questo articolo.

Se l'ambiente IdP cambia o se il certificato IdP scadrà, è possibile importare i metadati aggiornati in Webex in qualsiasi momento.

Operazioni preliminari

Raccogliere i metadati IdP, solitamente come file xml esportato.

1

Dalla vista cliente in https://admin.webex.com, vai a Gestione > Impostazioni organizzazione, scorri fino a Single Sign-On e fai clic su Gestisci SSO e IdP.

2

Vai alla scheda Provider identità .

3

Vai all'IdP, fai clic su upload e seleziona Carica metadati Idp.

4

Trascinare la file di metadati IdP nella finestra o fare clic su Scegli un file di metadati e caricarlo in questo modo.

5

Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da una CA pubblica), a seconda della modalità di firma dei metadati IdP.

6

Fai clic su Prova impostazione SSO; quando si apre una nuova scheda del browser, esegui l'autenticazione con IdP mediante l'accesso.

Si riceveranno avvisi in Control Hub prima che i certificati scadano, ma è possibile anche impostare in modo proattivo le regole di avviso. Queste regole consentono di intuire in anticipo che i certificati SP o IdP stanno per scadere. È possibile inviarle all'utente tramite e-mail, uno spazio nell'app Webexo entrambi.

Indipendentemente dal canale di consegna configurato, tutti gli avvisi vengono sempre visualizzati in Control Hub. Per ulteriori informazioni, vedere Centro avvisi in Control Hub.

1

Accedere a Control Hub.

2

Vai a Centro avvisi.

3

Scegliere Gestisci quindi Tutte le regole .

4

Dall'elenco Regole, scegliere una SSO delle regole che si desidera creare:

  • SSO scadenza del certificato IDP
  • SSO scadenza del certificato SP
5

Nella sezione Canale di consegna, selezionare la casella E-mail, Spazio Webex oentrambi.

Se si sceglie E-mail, inserire l'indirizzo e-mail a cui inviare la notifica.

Se si sceglie l'opzione dello spazio Webex, si viene aggiunti automaticamente a uno spazio all'interno dell'app Webex e vengono consegnate le notifiche in questo punto.

6

Salva le modifiche.

Operazione successivi

Vengono inviati avvisi di scadenza del certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (È possibile ricevere avvisi il giorno 60, 45, 30 e 15) Gli avvisi vengono interrotti quando si rinnova il certificato.

È possibile che venga visualizzato un avviso che l'URL di disconnessione singola non è configurato:

Si consiglia di configurare l'IdP per supportare la disconnessione singola (anche nota come SLO). Webex supporta entrambi i metodi di reindirizzamento e post, disponibili nei metadati scaricati da Control Hub. Non tutti gli IdP supportano l'SLO; contattare il team IdP per assistenza. Talvolta, per i principali fornitori IdP come AzureAD, Ping Federate, ForgeRock e Oracle, che supportano SLO, documentamo come configurare l'integrazione. Consultare il team Identity & Security per conoscere le specifiche dell'IDP e come configurarlo correttamente.

Se l'URL di disconnessione singola non è configurato:

  • Una sessione IdP esistente rimane valida. Al successivo accesso, è possibile che agli utenti non venga richiesto di eseguire nuovamente l'autenticazione dall'IdP.

  • Viene visualizzato un messaggio di avviso alla disconnessione, pertanto la disconnessione dell'app Webex non si verifica facilmente.

È possibile disabilitare Single Sign-On (SSO) per l'organizzazione Webex gestita in Control Hub . Puoi disabilitare SSO se stai modificando i provider di identità (IdP).

Se Single Sign-On è stato abilitato per la propria organizzazione ma non funziona, è possibile coinvolgere il partner Cisco che può accedere all'organizzazione Webex per disabilitarla.

1

Dalla vista cliente in https://admin.webex.com, vai a Gestione > Impostazioni organizzazione, scorri fino a Single Sign-On e fai clic su Gestisci SSO e IdP.

2

Vai alla scheda Provider identità .

3

Fai clic su Disattiva SSO.

Viene visualizzata una finestra popup che avvisa dell'utente sulla disabilitazione SSO:

Disattiva SSO

Se si disabilita SSO, le password vengono gestite dal cloud anziché dalla configurazione IdP integrata.

4

Se si comprende l'impatto della disabilitazione SSO e si desidera continuare, fare clic su Disattiva.

SSO disattivato e tutti gli elenchi di certificati SAML vengono rimossi.

Se SSO è disabilitato, gli utenti che devono eseguire l'autenticazione visualizzeranno un campo di inserimento della password durante il processo di accesso.

  • Gli utenti che non dispongono di una password nell'app Webex devono reimpostare la password o devi inviare un messaggio e-mail per impostare una password.

  • Gli utenti autenticati esistenti con un token OAuth valido continueranno ad avere accesso all'app Webex.

  • I nuovi utenti creati mentre SSO utente sono disabilitati, ricevono un messaggio e-mail che richiede di creare una password.

Operazione successivi

Se l'utente o il cliente riconfigura l'SSO per l'organizzazione del cliente, gli account utente tornano a utilizzare i criteri della password impostati dall'IdP integrato con l'organizzazione Webex.

Se si verificano problemi con l'accesso SSO, puoi utilizzare l'opzione di recupero automatico SSO per ottenere l'accesso alla tua organizzazione Webex gestita in Control Hub. L'opzione di recupero automatico consente di aggiornare o disabilitare SSO in Control Hub.