Control Hub에서 싱글 사인온 통합 관리
조직의 인증서 사용이 없음으로 설정되어 있지만 여전히 알림을 받는 경우 계속 업그레이드를 진행하는 것이 좋습니다. 현재 SSO 배포에서 인증서를 사용하고 있지 않지만 향후 변경을 위해 인증서가 필요할 수 있습니다.
가끔 Control Hub에서 Webex 싱글 사인온(SSO) 인증서가 만료될 예정임을 알리는 알림이 표시되거나, 이메일 알림을 수신할 수도 있습니다. 이 문서에 안내된 과정을 따라 당사(SP)에서 SSO 클라우드 인증서 메타데이터를 검색하고 이를 IdP에 다시 추가하십시오. 그렇지 않으면 사용자는 Webex 서비스를 사용할 수 없습니다.
Webex 조직에서 SAML Cisco(SP) SSO 인증서를 사용하고 있는 경우, 가능한 빨리 일반적인 예약된 유지관리 기간 동안 클라우드 인증서를 업데이트하도록 계획해야 합니다.
다음을 포함하여 Webex 조직 구독의 일부인 모든 서비스는 영향을 받습니다.
-
Webex 앱(모든 플랫폼에 대한 새로운 로그인: 데스크톱, 모바일, 웹)
-
Control Hub의 Webex 서비스(통화 포함)
-
Control Hub를 통해 관리되는 Webex Meetings 사이트
-
SSO와 통합된 경우 Cisco Jabber
시작하기 전에
시작하기 전에 모든 관련 부분을 참조하십시오. 인증서를 변경하거나 마법사를 통해 인증서를 업데이트한 후 새로운 사용자가 성공적으로 로그인하지 못할 수 있습니다.
IdP가 다수의 인증서를 지원하지 않는 경우(시중의 대부분의 IdP는 이 기능을 지원하지 않음), Webex 앱 사용자에게 영향을 미치지 않는 유지관리 기간 동안 이 업그레이드를 예약할 것을 권장합니다. 해당하는 업그레이드 작업은 작동 시간 및 이벤트 후 유효성 검증에 약 30분이 소요됩니다.
1 |
SAML Cisco(SP) SSO 인증서가 만료될지를 확인하려면:
SSO 마법사로 직접 이동하여 인증서를 업데이트할 수도 있습니다. 완료하기 전에 마법사를 종료하기로 결정하는 경우, https://admin.webex.com에서 언제든지 다시 액세스할 수 있습니다. |
2 |
IdP로 이동하고 을(를) 클릭합니다. |
3 |
인증서 및 만료 날짜 확인을 클릭합니다. |
4 |
인증서 갱신을 클릭합니다. |
5 |
조직에서 사용하는 IdP의 유형을 선택하십시오.
IdP가 한 개의 인증서를 지원하는 경우, 예약된 다운타임 동안 해당 단계를 실행하도록 기다릴 것을 권장합니다. Webex 인증서가 업데이트되는 동안 새로운 사용자 로그인은 잠시 작동하지 않습니다. 기존의 로그인은 보존됩니다. |
6 |
갱신을 위한 인증서 유형을 선택합니다.
|
7 |
메타데이터 파일 다운로드를 클릭하여 Webex 클라우드에서 새로운 인증서를 사용하여 업데이트된 메타데이터의 사본을 다운로드합니다. 이 화면을 열어 두십시오. |
8 |
IdP 관리 인터페이스로 이동하여 새 Webex 메타데이터 파일을 업로드합니다.
|
9 |
Control Hub에 로그인한 탭으로 돌아가서 다음을 클릭합니다. |
10 |
새로운 SP 인증서 및 메타데이터로 IdP를 업데이트하고 다음을 클릭합니다.
|
11 |
갱신 마침을 클릭합니다. |
가끔 Control Hub에서 IdP 인증서가 만료될 예정임을 알리는 알림이 표시되거나, 이메일 알림을 수신할 수도 있습니다. IdP 공급업체에서 인증서 갱신에 대한 고유한 문서를 보유하고 있기 때문에, 당사는 업데이트된 IdP 메타데이터를 검색하고 이를 Control Hub에 업로드하여 인증서를 갱신하는 일반 단계와 함께 Control Hub에 필요한 사항을 다룹니다.
1 |
IdP SAML 인증서가 만료될지를 확인하려면:
|
2 |
IdP 관리 인터페이스로 이동하여 새 메타데이터 파일을 검색합니다.
|
3 |
ID 공급자 탭으로 돌아갑니다. |
4 |
IdP로 이동하고 을(를) 클릭한 후 Idp 메타데이터 업로드를 선택합니다. |
5 |
IdP 메타데이터 파일을 창으로 드래그하고 드롭하거나, 파일 선택 을 클릭하고 이렇게 업로드합니다. |
6 |
IdP 메타데이터가 서명된 방식에 따라 낮은 보안(셀프 서명) 또는 높은 보안(공용 CA로 서명)을 선택합니다. |
7 |
SSO 업데이트 테스트 를 클릭하여 새로운 메타데이터 파일이 Control Hub 조직에 올바르게 업로드되고 해석되었는지 확인합니다. 팝업 창에서 예상되는 결과를 확인하고 테스트에 성공하면 테스트 성공: SSO 및 IdP를 활성화 하고 저장을 클릭합니다. SSO 로그인 환경을 직접 확인하려면 이 화면에서 클립보드에 URL을 복사 를 클릭하고 비공개 브라우저 창에 붙여넣을 것을 권장합니다. 여기서 SSO로 로그인하는 과정을 진행할 수 있습니다. 이렇게 하면 SSO 구성을 테스트할 때 가양성 결과를 제공할 수 있는 웹 브라우저에 캐시된 모든 정보를 제거하는 데 도움이 됩니다. 결과: 작업이 완료되었으며 이제 조직의 IdP 인증서가 갱신되었습니다. ID 공급자 탭 아래에서 언제든지 인증서 상태를 확인할 수 있습니다.
|
IdP에 다시 추가해야 할 때마다 최신 Webex SP 메타데이터를 내보낼 수 있습니다. 가져온 IdP SAML 메타데이터가 만료 예정이거나 만료되면 알림이 표시됩니다.
이 단계는 IdP 관리자를 사용할 수 없어서 메타데이터를 IdP로 가져오지 않은 경우 또는 IdP가 인증서만 업데이트하는 기능을 지원하는 경우, 이전에 내보내기가 수행되지 않은 여러 인증서를 지원하는 IdP 같은 일반 IdP SAML 인증서 관리 시나리오에서 유용합니다. 이 옵션은 SSO 구성 및 이벤트 후 유효성 검사에서 인증서만 업데이트하여 변경을 최소화하는 데 도움이 됩니다.
1 |
https://admin.webex.com의 고객 보기에서 으로 이동하고 싱글 사인온 으로 스크롤한 후 SSO 및 IdP 관리를 클릭합니다. |
2 |
ID 공급자 탭으로 이동합니다. |
3 |
IdP로 이동하고 을(를) 클릭한 후 SP 메타데이터 다운로드를 선택합니다. Webex 앱 메타데이터 파일명은 idb-meta--SP.xml입니다. |
4 |
메타데이터를 IdP로 가져옵니다. Webex SP 메타데이터를 가져오려면 IdP에 대한 설명서를 따르십시오. IdP 통합 안내서를 사용하거나, 목록에 없는 경우 특정 IdP에 대한 설명서를 참조할 수 있습니다. |
5 |
마친 후에는 이 문서의 |
IdP 환경이 변경되는 경우 또는 IdP 인증서가 만료 예정인 경우, 업데이트된 메타데이터를 언제든지 Webex로 가져올 수 있습니다.
시작하기 전에
일반적으로 내보낸 xml 파일로 IdP 메타데이터를 수집합니다.
1 |
https://admin.webex.com의 고객 보기에서 으로 이동하고 싱글 사인온 으로 스크롤한 후 SSO 및 IdP 관리를 클릭합니다. |
2 |
ID 공급자 탭으로 이동합니다. |
3 |
IdP로 이동하고 을(를) 클릭한 후 Idp 메타데이터 업로드를 선택합니다. |
4 |
IdP 메타데이터 파일을 창으로 끌어다 놓거나 메타데이터 파일 선택을 클릭하여 업로드합니다. |
5 |
IdP 메타데이터가 서명된 방식에 따라 낮은 보안(셀프 서명) 또는 높은 보안(공용 CA로 서명)을 선택합니다. |
6 |
SSO 설정 테스트를 클릭하고 새로운 브라우저 탭이 열리면 로그인하여 IdP로 인증합니다. |
인증서가 만료 설정되기 전에 Control Hub에서 경고를 수신하게 되지만, 경고 규칙을 사전에 설정할 수도 있습니다. 이러한 규칙은 SP 또는 IdP 인증서가 만료 예정임을 미리 알려줍니다. 이메일, Webex 앱의 스페이스 또는 둘 다를 통해 이를 보낼 수 있습니다.
구성된 전달 채널에 관계없이, 모든 알림이 항상 Control Hub에 나타납니다. 자세한 내용은 Control Hub의 알림 센터를 참조하십시오.
1 | |
2 |
경고 센터로 이동합니다. |
3 |
관리를 선택한 후 모든 규칙을 선택합니다. |
4 |
규칙 목록에서 생성하려는 SSO 규칙을 선택합니다.
|
5 |
전달 채널 섹션에서 이메일, Webex 스페이스 또는 둘 다에 대한 확인란을 체크합니다. 이메일을 선택하는 경우, 알림을 받을 이메일 주소를 입력합니다. Webex 스페이스 옵션을 선택하는 경우, 귀하는 Webex 앱 내부의 스페이스에 자동으로 추가되고 거기서 알림이 전달됩니다. |
6 |
변경 사항을 저장합니다. |
다음에 수행할 작업
만료 60일 전부터 시작하여 15일마다 인증서 만료 알림을 전달합니다. 인증서를 갱신할 때 경고가 중지됩니다. (60, 45, 30, 15일에 경고가 나타납니다.)
싱글 로그아웃 URL이 구성되지 않았음을 알리는 알림이 표시될 수 있습니다.
싱글 로그아웃(SLO라고도 함)을 지원하도록 IdP를 구성하는 것이 좋습니다. Webex는 Control Hub에서 다운로드한 메타데이터에서 사용할 수 있는 리디렉션 및 게시 방법을 둘 다 지원합니다. 모든 IdP가 SLO를 지원하는 것은 아니며, 도움이 필요한 경우 IdP 팀에 문의하십시오. 가끔 SLO를 지원하는 AzureAD, Ping Federate, ForgeRock 및 Oracle과 같은 주요 IdP 벤더에 대해 통합을 구성하는 방법을 문서화합니다. IDP의 사양 및 올바르게 구성하는 방법에 대해 ID 및 보안 팀에 문의하십시오.
싱글 로그아웃 url이 구성되지 않은 경우:
-
기존 IdP 세션은 계속 유효합니다. 다음번에 사용자가 로그인할 때 IdP에서 재인증을 요청하지 않을 수 있습니다.
-
로그아웃할 때 경고 메시지를 표시하므로 Webex 앱 로그아웃이 한 번에 이루어지지는 않습니다.
Control Hub에서 관리되는 Webex 조직에 대해 싱글 사인온(SSO)을 비활성화할 수 있습니다. ID 공급자(IdP)를 변경하는 경우 SSO를 비활성화할 수도 있습니다.
조직에 대해 싱글 사인온이 활성화되었지만 실패하는 경우, Webex 조직에 액세스할 수 있는 Cisco 파트너와 협력하여 비활성화할 수 있습니다.
1 |
https://admin.webex.com의 고객 보기에서 으로 이동하고 싱글 사인온 으로 스크롤한 후 SSO 및 IdP 관리를 클릭합니다. |
2 |
ID 공급자 탭으로 이동합니다. |
3 |
SSO 비활성화를 클릭합니다. SSO 비활성화에 대해 경고하는 팝업 창이 나타납니다. SSO를 비활성화하는 경우, 비밀번호는 통합된 IdP 구성이 아닌 클라우드에서 관리됩니다. |
4 |
SSO 비활성화 작업이 미치는 영향을 이해하고 있으며 진행하려는 경우, 비활성화를 클릭합니다. SSO가 비활성화되고 모든 SAML 인증서 목록이 제거됩니다. SSO가 비활성화된 경우, 인증해야 하는 사용자는 로그인 과정 중에 비밀번호 입력 필드를 보게 됩니다.
|
다음에 수행할 작업
귀하 또는 고객이 고객 조직에 대해 SSO를 다시 구성하는 경우, 사용자 계정은 Webex 조직에 통합된 IdP가 설정한 비밀번호 정책 사용으로 다시 돌아갑니다.
SSO 로그인에 문제가 발생하는 경우 SSO 셀프 복구 옵션 을 사용하여 Control Hub에서 관리되는 Webex 조직에 액세스할 수 있습니다. 셀프 복구 옵션을 사용하면 Control Hub에서 SSO를 업데이트하거나 비활성화할 수 있습니다.