SSO in Control Hub

Als u SSO wilt instellen voor meerdere identiteitsproviders in uw organisatie, raadpleegt u SSO met meerdere IdP's in Webex.


 

Als het certificaatgebruik van uw organisatie is ingesteld op Geen, maar u nog steeds een waarschuwing ontvangt, raden we u aan door te gaan met de upgrade. Uw SSO -implementatie gebruikt het certificaat momenteel niet, maar u hebt het certificaat mogelijk nodig voor toekomstige wijzigingen.


 

Van tijd tot tijd ontvangt u mogelijk een e-mailmelding of ziet u een waarschuwing in Control Hub dat het Webex -certificaat voor eenmalige aanmelding (SSO) verloopt. Volg het proces in dit artikel om de metagegevens van het SSO -cloudcertificaat van ons (de SP) op te halen en weer toe te voegen aan uw IdP. anders kunnen gebruikers Webex services niet gebruiken.

Als u het SAML Cisco (SP) SSO-certificaat in uw Webex-organisatie gebruikt, moet u plannen om het cloudcertificaat zo snel mogelijk bij te werken tijdens een reguliere geplande onderhoudsperiode.

Alle services die deel uitmaken van uw Webex organisatieabonnement worden beïnvloed, inclusief maar niet beperkt tot:

  • Webex -app (nieuwe aanmeldingen voor alle platforms: desktop, mobiel en web)

  • Webex -services in Control Hub, inclusief Bellen

  • Webex Meetings -sites beheerd via Control Hub

  • Cisco Jabber als het is geïntegreerd met SSO

Voordat u begint


 

Lees alle aanwijzingen voordat u begint. Nadat u het certificaat hebt gewijzigd of de wizard hebt doorlopen om het certificaat bij te werken, kunnen nieuwe gebruikers zich mogelijk niet aanmelden .

Als uw IdP niet meerdere certificaten ondersteunt (de meeste IdP's op de markt ondersteunen deze functie niet), raden we u aan deze upgrade te plannen tijdens een onderhoudsperiode waarin gebruikers van de Webex-app geen invloed hebben. Deze upgradetaken moeten ongeveer 30 minuten duren in operationele tijd en posteventvalidatie.

1

Controleren of het SAML Cisco (SP) SSO certificaat verloopt:

  • U hebt mogelijk een e-mail of Webex -app-bericht van ons ontvangen, maar u moet Control Hub controleren om zeker te zijn.
  • Aanmelden bijhttps://admin.webex.com en controleer uw Meldingencentrum . Er is mogelijk een melding over het bijwerken van het SSO -serviceprovidercertificaat.

  • Meld u aan bij https://admin.webex.com, ga naar Beheer > Organisatie-instellingen > Verificatie en klik op SSO en IdP's beheren.
  • Ga naar het tabblad Identiteitsprovider en noteer de status en vervaldatum van het Cisco SP-certificaat.

U kunt ook rechtstreeks naar de SSO wizard gaan om het certificaat bij te werken. Als u besluit de wizard af te sluiten voordat u deze hebt voltooid, kunt u deze op elk gewenst moment weer openen via Beheer > Organisatie-instellingen > Verificatie inhttps://admin.webex.com .

2

Ga naar de IdP en klik.

3

Klik op Certificaten en vervaldatum controleren.

Hiermee gaat u naar het venster Serviceprovider (SP) certificaten.
4

Klik op Certificaat vernieuwen.

5

Kies het certificaattype voor de verlenging:

  • Zelfondertekend door Cisco —We raden deze keuze aan. Laat ons het certificaat ondertekenen, zodat u het slechts eens in de vijf jaar hoeft te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie —Veiliger, maar u moet de metagegevens regelmatig bijwerken (tenzij uw IdP-leverancier trust anchors ondersteunt).

     

    Vertrouwde ankers zijn openbare sleutels die fungeren als autoriteit om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie.

6

Klik op Metagegevensbestand downloaden om een kopie van de bijgewerkte metagegevens met het nieuwe certificaat te downloaden van de Webex cloud. Houd dit scherm open.

7

Navigeer naar uw IdP-beheerinterface om het nieuwe Webex -metagegevensbestand te uploaden.

  • Deze stap kan worden uitgevoerd via een browsertabblad, RDP (Remote Desktop Protocol) of via specifieke ondersteuning voor cloudproviders, afhankelijk van uw IdP-instelling en of u of een afzonderlijke IdP-beheerder verantwoordelijk zijn voor deze stap.
  • Ter referentie, zie onze SSO integratiehandleidingen of neem contact op met uw IdP-beheerder voor ondersteuning. Als u zich in Active Directory Federation Services (AD FS) bevindt, kunt u: zie hoe u Webex metagegevens bijwerkt in AD FS .
8

Ga terug naar het tabblad waarop u zich hebt aangemeld bij Control Hub en klik op Volgende .

9

Dit is om te bevestigen dat het nieuwe metagegevensbestand is geüpload en correct wordt geïnterpreteerd door uw IdP. Bevestig de verwachte resultaten in het pop-upvenster en als de test is geslaagd, klikt u op Overschakelen naar nieuwe metagegevens .


 

Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, kunt u ook klikken op URL naar klembord kopiëren vanuit dit scherm en deze in het venster van een privébrowser plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie.

Resultaat: U bent klaar en het SAML Cisco (SP) SSO -certificaat van uw organisatie is nu vernieuwd. U kunt de certificaatstatus op elk gewenst moment controleren op het tabblad Identiteitsprovider.


 

Van tijd tot tijd ontvangt u mogelijk een e-mailmelding of ziet u een melding in Control Hub dat het IdP-certificaat verloopt. Omdat IdP-leveranciers hun eigen specifieke documentatie hebben voor certificaatvernieuwing, behandelen we wat er nodig is in Control Hub, samen met algemene stappen om bijgewerkte IdP-metagegevens op te halen en te uploaden naar Control Hub om het certificaat te vernieuwen.

1

Controleren of het IdP SAML -certificaat verloopt:

  • U hebt mogelijk een e-mail of Webex -app-bericht van ons ontvangen, maar u moet Control Hub controleren om zeker te zijn.
  • Aanmelden bijhttps://admin.webex.com en controleer uw Meldingencentrum . Er is mogelijk een melding over het bijwerken van het IdP SAML -certificaat:

  • Meld u aan bij https://admin.webex.com, ga naar Beheer > Organisatie-instellingen > Verificatie en klik op SSO en IdP's beheren.
  • Ga naar het tabblad Identiteitsprovider en noteer de status van het IdP-certificaat (verlopen of verlopen binnenkort) en de vervaldatum.
  • U kunt ook rechtstreeks naar de SSO wizard gaan om het certificaat bij te werken. Als u besluit de wizard af te sluiten voordat u deze hebt voltooid, kunt u deze op elk gewenst moment weer openen via Beheer > Organisatie-instellingen > Verificatie inhttps://admin.webex.com .

2

Navigeer naar uw IdP-beheerinterface om het nieuwe metagegevensbestand op te halen.

  • Deze stap kan worden uitgevoerd via een browsertabblad, RDP (Remote Desktop Protocol) of via specifieke ondersteuning voor cloudproviders, afhankelijk van uw IdP-instelling en of u of een afzonderlijke IdP-beheerder verantwoordelijk zijn voor deze stap.
  • Ter referentie, zie onze SSO integratiehandleidingen of neem contact op met uw IdP-beheerder voor ondersteuning.
3

Ga terug naar het tabblad Identiteitsprovider.

4

Ga naar de IdP, klik opuploaden selecteer Idp-metagegevens uploaden.

5

Sleep uw IdP-metagegevensbestand naar het venster of klik op Een bestand kiezen en upload het op die manier.

6

Kiezen Minder veilig (zelfondertekend) of Veiliger (ondertekend door een openbare CA), afhankelijk van hoe uw IdP-metagegevens zijn ondertekend.

7

Klik op SSO -update testen om te bevestigen dat het nieuwe metagegevensbestand is geüpload en correct is geïnterpreteerd naar uw Control Hub-organisatie. Bevestig de verwachte resultaten in het pop-upvenster en als de test geslaagd is, selecteert u Geslaagde test: Activeer SSO en de IdP en klik op Opslaan.


 

Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, raden we u aan vanuit dit scherm op URL naar klembord kopiëren te klikken en deze in een privébrowservenster te plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie.

Resultaat: U bent klaar en het IdP-certificaat van uw organisatie is nu vernieuwd. U kunt de certificaatstatus op elk gewenst moment controleren op het tabblad Identiteitsprovider.

U kunt de nieuwste Webex SP-metagegevens exporteren wanneer u deze weer aan uw IdP wilt toevoegen. U ziet een melding wanneer de geïmporteerde IdP SAML -metagegevens verlopen of zijn verlopen.

Deze stap is handig in algemene scenario's voor IdP SAML -certificaatbeheer, zoals IdP's die meerdere certificaten ondersteunen waarbij de export niet eerder is uitgevoerd, als de metagegevens niet in de IdP zijn geïmporteerd omdat er geen IdP-beheerder beschikbaar is, of als uw IdP de mogelijkheid om alleen het certificaat bij te werken. Met deze optie kunt u de wijziging minimaliseren door alleen het certificaat bij te werken in uw SSO -configuratie en validatie na de gebeurtenis.

1

Ga vanuit de klantweergave in https://admin.webex.com naar Beheer > Organisatie-instellingen, blader naar Verificatie en klik op SSO en IdP's beheren.

2

Ga naar het tabblad Identiteitsprovider.

3

Ga naar de IdP, klik opDownloaden selecteer SP-metagegevens downloaden.

De bestandsnaam van de metagegevens van de Webex-app is idb-meta-SP.xml<org-ID>.

4

Importeer de metagegevens in uw IdP.

Volg de documentatie voor uw IdP om de Webex SP-metagegevens te importeren. U kunt onze Handleidingen voor IdP-integratie of raadpleeg de documentatie voor uw specifieke IdP als deze niet wordt vermeld.

5

Wanneer u klaar bent, voert u de SSO -test uit met behulp van de stappen in Webex certificaat (SP) vernieuwen in dit artikel.

Wanneer uw IdP-omgeving verandert of als uw IdP-certificaat verloopt, kunt u de bijgewerkte metagegevens op elk gewenst moment importeren in Webex .

Voordat u begint

Verzamel uw IdP-metagegevens, meestal als een geëxporteerd xml-bestand.

1

Ga vanuit de klantweergave in https://admin.webex.com naar Beheer > Organisatie-instellingen, blader naar Verificatie en klik op SSO en IdP's beheren.

2

Ga naar het tabblad Identiteitsprovider.

3

Ga naar de IdP, klik opuploaden selecteer Idp-metagegevens uploaden.

4

Sleep uw IdP-metagegevensbestand naar het venster of klik op Een metagegevensbestand kiezen en upload het op die manier.

5

Kiezen Minder veilig (zelfondertekend) of Veiliger (ondertekend door een openbare CA), afhankelijk van hoe uw IdP-metagegevens zijn ondertekend.

6

Klik op SSO-instellingen testen en wanneer een nieuw browsertabblad wordt geopend, verifieert u zich met de IdP door u aan te melden.

U ontvangt waarschuwingen in Control Hub voordat certificaten verlopen, maar u kunt ook proactief waarschuwingsregels instellen. Deze regels laten u vooraf weten dat uw SP- of IdP-certificaten verlopen. We kunnen deze naar u verzenden via e-mail, een ruimte in de Webex-app of beide.


 

Ongeacht het geconfigureerde leveringskanaal worden alle waarschuwingen altijd weergegeven in Control Hub. Zie Waarschuwingencentrum in Control Hub voor meer informatie.

1

Ga vanuit de klantweergave in https://admin.webex.com naar Waarschuwingencentrum.

2

Kies Beheren en vervolgens Alle regels.

3

Kies in de lijst Regels een van de SSO-regels die u wilt maken:

  • Vervaldatum SSO-IDP-certificaat
  • Vervaldatum SSO SP-certificaat
4

Schakel in het gedeelte Leveringskanaal het selectievakje E-mail, Webex-ruimte of beide in.

Als u E-mail kiest, voert u het e-mailadres in dat de melding moet ontvangen.


 

Als u de Webex-ruimteoptie kiest, wordt u automatisch toegevoegd aan een ruimte in de Webex-app en leveren we daar de meldingen.

5

Sla uw wijzigingen op.

De volgende stappen

We verzenden waarschuwingen voor het verlopen van certificaten eenmaal per 15 dagen, te beginnen 60 dagen voor het verlopen. (U kunt waarschuwingen verwachten op dag 60, 45, 30 en 15.) Waarschuwingen stoppen wanneer u het certificaat vernieuwt.

Mogelijk ziet u een melding dat de URL voor eenmalige afmelding niet is geconfigureerd:


 

We raden u aan uw IdP te configureren voor ondersteuning van Single Log Out (ook wel SLO genoemd). Webex ondersteunt zowel de omleidings- als de postmethode, die beschikbaar zijn in onze metagegevens die worden gedownload van Control Hub. Niet alle IdP's ondersteunen SLO. Neem contact op met uw IdP-team voor hulp. Soms documenteren we voor de grote IdP-leveranciers zoals AzureAD, Ping Federate, ForgeRock en Oracle, die wel SLO ondersteunen, hoe de integratie moet worden geconfigureerd. Raadpleeg uw Identity & Security-team over de specifieke kenmerken van uw IDP en hoe u deze correct kunt configureren.

Als de URL voor eenmalige afmelding niet is geconfigureerd:

  • Een bestaande IdP-sessie blijft geldig. De volgende keer dat gebruikers aanmelden, wordt ze mogelijk niet gevraagd om opnieuw te verifiëren door de IdP.

  • We geven een waarschuwingsbericht weer wanneer u afmelden, dus het afmelden van de Webex app verloopt niet naadloos.

U kunt eenmalige aanmelding (SSO) uitschakelen voor uw Webex -organisatie die wordt beheerd in Control Hub. Mogelijk wilt u SSO uitschakelen als u van identiteitsprovider (IdP's) verandert.


 

Als eenmalige aanmelding is ingeschakeld voor uw organisatie maar mislukt, kunt u uw Cisco -partner inschakelen die toegang heeft tot uw Webex -organisatie om deze voor u uit te schakelen.

1

Ga vanuit de klantweergave in https://admin.webex.com naar Beheer > Organisatie-instellingen, blader naar Verificatie en klik op SSO en IdP's beheren.

2

Ga naar het tabblad Identiteitsprovider.

3

Klik op SSO deactiveren.

Er wordt een pop-upvenster weergegeven waarin u wordt gewaarschuwd voor het uitschakelen van SSO:

SSO deactiveren

Als u SSO uitschakelt, worden wachtwoorden beheerd door de cloud in plaats van door uw geïntegreerde IdP-configuratie.

4

Als u de gevolgen van het uitschakelen van SSO begrijpt en wilt doorgaan, klikt u op Deactiveren .

SSO is gedeactiveerd en alle SAML-certificaatlijsten zijn verwijderd.

Als SSO is uitgeschakeld, zien gebruikers die zich moeten verifiëren een veld voor wachtwoordinvoer tijdens het aanmeldingsproces.

  • Gebruikers die geen wachtwoord hebben in de Webex-app moeten hun wachtwoord opnieuw instellen of u moet een e-mail voor hen verzenden om een wachtwoord in te stellen.

  • Bestaande geverifieerde gebruikers met een geldige OAuth-token blijven toegang houden tot de Webex app.

  • Nieuwe gebruikers die zijn gemaakt terwijl SSO is uitgeschakeld, ontvangen een e-mail waarin hen wordt gevraagd een wachtwoord te maken.

De volgende stappen

Als u of de klant SSO opnieuw configureert voor de klantorganisatie, gaan gebruikersaccounts terug naar het wachtwoordbeleid dat is ingesteld door de IdP die is geïntegreerd met de Webex-organisatie.

Als u problemen ondervindt met uw SSO-aanmelding, kunt u de SSO-optie voor zelfherstel gebruiken om toegang te krijgen tot uw Webex-organisatie die wordt beheerd in Control Hub. Met de optie voor zelfherstel kunt u SSO bijwerken of uitschakelen in Control Hub.