SSO in Control Hub

Als u SSO wilt instellen voor meerdere identiteitsproviders in uw organisatie, raadpleegt u SSO met meerdere IdP's in Webex.

Als het certificaatgebruik van uw organisatie is ingesteld op Geen, maar u nog steeds een waarschuwing ontvangt, raden we u aan om nog steeds verder te gaan met de upgrade. Uw SSO implementatie gebruikt het certificaat vandaag niet, maar u hebt het certificaat mogelijk nodig voor toekomstige wijzigingen.

webex-service providercertificaat (SP)

Mogelijk ontvangt u af en toe een e-mailmelding of ziet u een waarschuwing in Control Hub dat het Webex eenmalige aanmelding-certificaat (SSO) binnenkort verloopt. Volg het proces in dit artikel om de metagegevens voor SSO cloudcertificaten van ons op te halen (de SP) en deze weer toe te voegen aan uw IdP; anders kunnen gebruikers geen Webex-services gebruiken.

Als u het SAML Cisco (SP) SSO-certificaat in uw Webex-organisatie gebruikt, moet u plannen om het cloudcertificaat zo snel mogelijk bij te werken tijdens een regelmatig geplande onderhoudsperiode.

Dit heeft invloed op alle services die onderdeel zijn van uw Webex-organisatie-abonnement, inclusief, maar niet beperkt tot:

  • Webex-app (nieuwe aanmeldingen voor alle platforms: desktop, mobiel en web)

  • Webex-services in Control Hub , inclusiefbellen

  • Webex Meetings-sites beheerd via Control Hub

  • Cisco Jabber als deze is geïntegreerd met SSO

Voordat u begint

Lees alle aanwijzingen voor aanvang. Nadat u het certificaat hebt gewijzigd of via de wizard hebt afgegeven om het certificaat bij te werken, kunnen nieuwe gebruikers zich mogelijk niet aanmelden.

Als uw IdP niet meerdere certificaten ondersteunt (de meeste IdP's op de markt ondersteunen deze functie niet), raden we u aan deze upgrade te plannen tijdens een onderhoudsperiode waarin dit niet wordt beïnvloed voor gebruikers van de Webex-app. Deze upgradetaken moeten ongeveer 30 minuten in operationele tijd en nacontrole in beslag nemen.

1

Controleren of het SAML Cisco (SP) SSO verloopt:

  • U hebt mogelijk van ons een e-mail of bericht over de Webex-app ontvangen, maar u moet control hub controleren om zeker te zijn.

  • Meld u aan https://admin.webex.combij en controleer uw Waarschuwingencentrum. Er is mogelijk een melding over het bijwerken van SSO serviceprovider certificaat.

  • Meld u aan bij https://admin.webex.com, ga naar Beheer > Organisatie-instellingen > Eenmalige aanmelding en klik op SSO en IdP's beheren.
  • Ga naar het tabblad Identiteitsprovider en noteer de status en vervaldatum van het Cisco SP-certificaat.

U kunt ook rechtstreeks naar de wizard SSO gaan om het certificaat bij te werken. Als u besluit de wizard af te sluiten voordat u deze voltooit, kunt u deze op elk gewenst moment weer openen via Beheer > Organisatie-instellingen > Eenmalige aanmelding in https://admin.webex.com.

2

Ga naar de identiteitsprovider en klik op .

3

Klik op Certificaten en vervaldatum controleren.

4

Klik op Certificaat vernieuwen.

5

Kies het type IdP dat uw organisatie gebruikt.

  • Een IdP die meerdere certificaten ondersteunt
  • Een IdP die één certificaat ondersteunt

Als uw IdP een enkel certificaat ondersteunt, raden we u aan te wachten op het uitvoeren van deze stappen tijdens geplande uitvaltijd. Wanneer het Webex certificaat wordt bijgewerkt, werken nieuwe gebruikers niet meer. bestaande aanmeld modules blijven behouden.

6

Kies het certificaattype voor de verlenging:

  • Zelfondertekend door Cisco: we raden deze keuze aan. Laat ons het certificaat ondertekenen zodat u het slechts eens per vijf jaar hoeft te vernieuwen.
  • Ondertekend door een openbare certificeringsinstantie: dit is veiliger, maar u moet de metagegevens vaak bijwerken (tenzij uw IdP-leverancier vertrouwensankers ondersteunt).

    Vertrouwensankers zijn openbare sleutels die optreden als bevoegdheid om het certificaat van een digitale handtekening te verifiëren. Raadpleeg de IdP-documentatie voor meer informatie.

7

Klik op bestand met metagegevens downloaden om een kopie van de bijgewerkte metagegevens te downloaden met het nieuwe certificaat vanuit de WebEx Cloud. Dit scherm open houden.

8

Ga naar uw IdP-beheerinterface om het nieuwe Webex-metagegevensbestand te uploaden.

  • Deze stap kan worden uitgevoerd via een browsertabblad, extern-bureaubladprotocol (RDP), of via specifieke ondersteuning van cloudproviders, afhankelijk van uw IdP-instellingen en of u of een afzonderlijke IdP-beheerder verantwoordelijk bent voor deze stap.
  • Zie voor meer informatie onze handleidingen SSO integratie of neem contact op met uw IdP-beheerder voor ondersteuning. Als in Active Directory Federation Services (AD FS) wordt weergegeven, kunt u zien hoe u de Webex-metagegevens in AD FS kuntbijwerken.
9

Ga terug naar het tabblad waar u zich hebt aangemeld bij Control Hub en klik op Volgende.

10

Werk de identiteitsprovider bij met het nieuwe SP-certificaat en de metagegevens en klik op Volgende.

  • Alle IdP's zijn bijgewerkt
  • Als u meer tijd nodig hebt om bij te werken, slaat u het hernieuwde certificaat op als secundaire optie
11

Klik op Verlenging voltooien.

identiteitsprovider (IdP)-certificaat

Mogelijk ontvangt u af en toe een e-mailmelding of ziet u een waarschuwing in Control Hub dat het IdP-certificaat vervalt. Omdat IdP-leveranciers hun eigen specifieke documentatie voor het vernieuwen van certificaten hebben, behandelen we wat er is vereist in Control Hub, samen met algemene stappen om bijgewerkte IdP-metagegevens op te halen en te uploaden naar Control Hub om het certificaat te vernieuwen.

1

Controleren of het IdP SAML-certificaat verloopt:

  • U hebt mogelijk van ons een e-mail of bericht over de Webex-app ontvangen, maar u moet control hub controleren om zeker te zijn.
  • Meld u aan https://admin.webex.combij en controleer uw Waarschuwingencentrum. Mogelijk wordt er een melding over het bijwerken van het IdP SAML-certificaat ontvangen:

  • Meld u aan bij https://admin.webex.com, ga naar Beheer > Organisatie-instellingen > Eenmalige aanmelding en klik op SSO en IdP's beheren.
  • Ga naar het tabblad Identiteitsprovider en noteer de status van het IdP-certificaat (verlopen of verloopt binnenkort) en de vervaldatum.

  • U kunt ook rechtstreeks naar de wizard SSO gaan om het certificaat bij te werken. Als u besluit de wizard af te sluiten voordat u deze voltooit, kunt u deze op elk gewenst moment weer openen via Beheer > Organisatie-instellingen > Eenmalige aanmelding in https://admin.webex.com.

2

Navigeer naar de beheerinterface van uw IdP om het nieuwe metadatabestand op te halen.

  • Deze stap kan worden uitgevoerd via een browsertabblad, extern-bureaubladprotocol (RDP), of via specifieke ondersteuning van cloudproviders, afhankelijk van uw IdP-instellingen en of u of een afzonderlijke IdP-beheerder verantwoordelijk bent voor deze stap.
  • Zie voor meer informatie onze handleidingen SSO integratie of neem contact op met uw IdP-beheerder voor ondersteuning.
3

Keer terug naar het tabblad Identiteitsprovider .

4

Ga naar de identiteitsprovider, klik op upload en selecteer Metagegevens van identiteitsprovider uploaden.

5

Sleep uw metagegevensbestand van de identiteitsprovider naar het venster of klik op Een bestand kiezen en upload het zo.

6

Kies Minder veilig (zelf-ondertekend) of Veiliger (ondertekend door een openbare ca. ), afhankelijk van hoe uw IdP-metagegevens zijn ondertekend.

7

Klik op SSO-update testen om te bevestigen dat het nieuwe metagegevensbestand is geüpload en correct wordt geïnterpreteerd in uw Control Hub-organisatie. Bevestig de verwachte resultaten in het pop-upvenster en als de test is geslaagd, selecteert u Geslaagde test: Activeer SSO en de IdP en klik op Opslaan.

Als u de SSO-aanmeldingservaring rechtstreeks wilt bekijken, raden we u aan om vanuit dit scherm op URL naar klembord kopiëren te klikken en deze in het venster van een privébrowser te plakken. Vanaf daar kunt u het aanmelden met SSO doorlopen. Dit helpt om alle informatie in de cache van uw webbrowser te verwijderen die een vals-positief resultaat zou kunnen opleveren bij het testen van uw SSO-configuratie.

Resultaat: U bent klaar en het IdP-certificaat van uw organisatie is nu vernieuwd. U kunt de certificaatstatus op elk moment controleren op het tabblad Identiteitsprovider .

U kunt de nieuwste Webex SP-metagegevens exporteren wanneer u deze weer aan uw IdP wilt toevoegen. U ziet een melding wanneer de geïmporteerde IdP SAML-metagegevens vervallen of verlopen.

Deze stap is handig in algemene IdP SAML-certificaatbeheer-scenario's, zoals IdP's die meerdere certificaten ondersteunen waarbij exporteren niet eerder is uitgevoerd, als de metagegevens niet in de IdP zijn geïmporteerd omdat een IdP-beheerder niet beschikbaar is, of als uw IdP de mogelijkheid ondersteunt om alleen het certificaat bij te werken. Deze optie kan de wijziging helpen minimaliseren door alleen het certificaat in uw configuratie SSO en validatie na de gebeurtenis bij te werken.

1

Ga vanuit de klantweergave in https://admin.webex.com naar Beheer > Organisatie-instellingen, blader naar Eenmalige aanmelding en klik op SSO en IdP's beheren.

2

Ga naar het tabblad Identiteitsprovider .

3

Ga naar de identiteitsprovider, klik op Downloaden en selecteer SP-metagegevens downloaden.

De bestandsnaam van de metagegevens van de Webex-app is idb-meta--SP.xml.

4

Importeer de metagegevens in uw IdP.

Volg de documentatie voor uw IdP om de Webex SP-metagegevens te importeren. U kunt onze IdP-integratiehandleidingen gebruiken of de documentatie voor uw specifieke IdP raadplegen indien deze niet wordt vermeld.

5

Wanneer u klaar bent, voert u de SSO-test uit met de stappen in Webex-certificaat vernieuwen (SP) in dit artikel.

Wanneer uw IdP-omgeving wordt gewijzigd of als uw IdP-certificaat verloopt, kunt u de bijgewerkte metagegevens op elk moment importeren in Webex.

Voordat u begint

Verzamel uw IdP-metagegevens, meestal als een geëxporteerd xml-bestand.

1

Ga vanuit de klantweergave in https://admin.webex.com naar Beheer > Organisatie-instellingen, blader naar Eenmalige aanmelding en klik op SSO en IdP's beheren.

2

Ga naar het tabblad Identiteitsprovider .

3

Ga naar de identiteitsprovider, klik op upload en selecteer Metagegevens van identiteitsprovider uploaden.

4

Sleep uw bestand en Bestand met metagegevens van identiteitsprovider het venster of klik op Een metagegevensbestand kiezen en upload het op die manier.

5

Kies Minder veilig (zelf-ondertekend) of Veiliger (ondertekend door een openbare ca. ), afhankelijk van hoe uw IdP-metagegevens zijn ondertekend.

6

Klik op SSO-instelling testen en als er een nieuw browsertabblad wordt geopend, verifieert u zich met de identiteitsprovider door u aan te melden.

U ontvangt meldingen in Control Hub voordat uw certificaten verlopen, maar u kunt ook proactief waarschuwingsregels instellen. Deze regels laten u vooraf weten dat uw SP- of IdP-certificaten zullen vervallen. We kunnen deze naar u verzenden via e-mail, een ruimte in de Webex-appof beide.

Ongeacht het geconfigureerde leveringskanaal, worden alle waarschuwingen altijd weergegeven in Control Hub. Zie Waarschuwingen center in Control Hub voor meer informatie.

1

Meld u aan Control Hub.

2

Ga naar het Waarschuwingencentrum.

3

Kies Beheren en vervolgens Alle regels .

4

Kies in de lijst Regels een van de SSO die u wilt maken:

  • SSO IDP-certificaat verloopt
  • SSO SP-certificaat verloopt
5

In het gedeelte Leveringskanaal, selectievakje voor E-mail, Webex-ruimte, of beide.

Als u kiest voor E-mail, voert u het e-mailadres in dat de melding moet ontvangen.

Als u voor de optie Webex-ruimte kiest, wordt u automatisch toegevoegd aan een ruimte binnen de Webex-app en leveren wij daar meldingen.

6

Sla uw wijzigingen op.

De volgende stap

We verzenden meldingen voor het verlopen van het certificaat eenmaal per 15 dagen, vanaf 60 dagen vóór de vervaldatum. (U kunt waarschuwingen verwachten op dag 60, 45, 30 en 15.) Waarschuwingen stoppen wanneer u het certificaat vernieuwt.

Mogelijk ziet u een melding dat de URL voor eenmalige afmelding niet is geconfigureerd:

We raden u aan uw IdP te configureren om eenmalig afmelden (ook bekend als SLO) te ondersteunen. Webex ondersteunt zowel omleidingsmethoden als postmethoden, beschikbaar in onze metagegevens die zijn gedownload van Control Hub. Niet alle IdP's ondersteunen SLO; Neem contact op met uw IdP-team voor hulp. Soms wordt voor de belangrijkste IdP-leveranciers zoals AzureAD, Ping Federate, ForgeRock en Oracle, die wel ondersteuning bieden voor SLO, documenteren we hoe de integratie moet worden geconfigureerd. Raadpleeg uw Identity & Security-team over de details van uw IDP en hoe u deze correct kunt configureren.

Als de URL voor eenmalige afmelding niet is geconfigureerd:

  • Een bestaande IdP-sessie blijft geldig. De volgende keer dat gebruikers zich aanmelden, wordt ze mogelijk niet gevraagd om opnieuw teauthenticeren door de IdP.

  • Er wordt een waarschuwingsbericht weergegeven bij het aanmelden, zodat de Webex-app zich niet naadloos hoeft af te melden.

U kunt een eenmalige aanmelding (SSO) uitschakelen voor uw Webex-organisatie die wordt beheerd in Control Hub . U kunt SSO uitschakelen als u identiteitsproviders (IdP's) wijzigt.

Als eenmalige aanmelding is ingeschakeld voor uw organisatie, maar mislukt, kunt u contact maken met uw Cisco-partner die toegang heeft tot uw Webex-organisatie om deze voor u uit te schakelen.

1

Ga vanuit de klantweergave in https://admin.webex.com naar Beheer > Organisatie-instellingen, blader naar Eenmalige aanmelding en klik op SSO en IdP's beheren.

2

Ga naar het tabblad Identiteitsprovider .

3

Klik op SSO deactiveren.

Er wordt een pop-upvenster weergegeven waar u wordt gewaarschuwd over het uitschakelen van SSO:

SSO deactiveren

Als u dit SSO, worden wachtwoorden beheerd door de cloud in plaats van uw geïntegreerde IdP-configuratie.

4

Als u de gevolgen van het uitschakelen van uw SSO en u wilt doorgaan, klikt u op Deactiveren.

SSO is gedeactiveerd en alle lijsten met SAML-certificaten zijn verwijderd.

Als SSO is uitgeschakeld, zien gebruikers die zich moeten verifiëren een wachtwoordinvoerveld tijdens het aanmeldingsproces.

  • Gebruikers die geen wachtwoord hebben in de Webex-app, moeten hun wachtwoord opnieuw instellen of u moet een e-mail voor hen verzenden om een wachtwoord in te stellen.

  • Bestaande geverifieerde gebruikers met een geldig OAuth-token hebben nog steeds toegang tot de Webex-app.

  • Nieuwe gebruikers die zijn gemaakt SSO een e-mail waarin hen wordt gevraagd een wachtwoord te maken.

De volgende stap

Als u of de klant SSO opnieuw configureert voor de klantorganisatie, gaan gebruikersaccounts terug naar het gebruik van het wachtwoordbeleid dat is ingesteld door de IdP die is geïntegreerd met de Webex-organisatie.

Als u problemen ondervindt met uw SSO-aanmelding, kunt u de SSO-optie voor zelfherstel gebruiken om toegang te krijgen tot uw Webex-organisatie die in Control Hub wordt beheerd. Met de optie voor zelfherstel kunt u SSO in Control Hub bijwerken of uitschakelen.