Hvis organisasjonens sertifikatbruk er satt til Ingen, men du fortsatt mottar et varsel, anbefaler vi at du fortsatt fortsetter med oppgraderingen. SSO-distribusjonen bruker ikke sertifikatet i dag, men du trenger kanskje sertifikatet for fremtidige endringer.

Sp-sertifikat (Webex Service Provider)


Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Kontrollhub om at Webex SSO-sertifikatet (Single Sign-On) utløper. Følg prosessen i denne artikkelen for å hente metadataene for SSO-skysertifikatet fra oss (SP) og legge dem tilbake i idp-en din; Hvis ikke, kan ikke brukere bruke Webex-tjenester.

Hvis du bruker SAML Cisco (SP) SSO-sertifikatet i Webex-organisasjonen, må du planlegge å oppdatere skysertifikatet under et vanlig planlagt vedlikeholdsvindu så snart som mulig.

Alle tjenester som er en del av Webex-organisasjonsabonnementet, påvirkes, inkludert, men ikke begrenset til:

  • Webex App (nye pålogginger for alle plattformer: stasjonær PC, mobil og internett)

  • Webex-tjenester i Kontrollhub , inkludertAnrop

  • Webex Meetings-områder administrert via Kontrollhub

  • Cisco Jabber hvis den er integrert med SSO

Før du starter

Vennligst les alle retninger før du begynner. Når du har endret sertifikatet eller gått gjennom veiviseren for å oppdatere sertifikatet, kan det hende at nye brukere ikke kan logge på.

Hvis din IdP ikke støtter flere sertifikater (de fleste IdPer i markedet støtter ikke denne funksjonen), anbefaler vi at du planlegger denne oppgraderingen under et vedlikeholdsvindu der Webex App-brukere ikke påvirkes. Disse oppgraderingsoppgavene bør ta omtrent 30 minutter i driftstid og validering etter hendelse.

1

Slik kontrollerer du om SSO-sertifikatet for SAML Cisco (SP) utløper:

  • Du har kanskje mottatt en e-post- eller Webex App-melding fra oss, men du bør sjekke inn Kontrollhub for å være sikker.

  • Logg på https://admin.webex.com, og kontroller varslingssenteret. Det kan være et varsel om oppdatering av SSO-tjenesteleverandørsertifikatet.

  • Logg på https://admin.webex.com, gå til Management > Organization Settings > Authentication , og noter sertifikatstatusen i Cisco SAML-sertifikattabellen (utløp eller utløper snart). Klikk Forny sertifikat for å fortsette.

Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du fullfører den, kan du få tilgang til den på nytt når som helst fra Administrasjons- > organisasjonsinnstillinger > godkjenning ihttps://admin.webex.com.
2

Velg sertifikattype for fornyelsen:

  • Selvsignert av Cisco– Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det en gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– sikrere, men du må ofte oppdatere metadataene (med mindre IdP-leverandøren støtter klareringsankere).

     

    Klareringsankere er fellesnøkler som fungerer som en instans for å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se idp-dokumentasjonen.
3

Klikk Last ned metadatafil for å laste ned en kopi av de oppdaterte metadataene med det nye sertifikatet fra Webex-skyen. Hold dette skjermbildet åpent.
4

Gå til IdP-administrasjonsgrensesnittet for å laste opp den nye Webex-metadatafilen.

  • Dette trinnet kan gjøres gjennom en nettleserfane, remote desktop protocol (RDP) eller gjennom spesifikk skyleverandørstøtte, avhengig av IdP-oppsettet ditt og om du eller en egen IdP-administrator er ansvarlig for dette trinnet.
  • Hvis du vil ha referanse, kan du se veiledningene våre for SSO-integrasjon eller kontakte IdP-administratoren din for å få hjelp. Hvis du bruker Active Directory Federation Services (AD FS), kan du se hvordan du oppdaterer Webex-metadata i AD FS.
5

Gå tilbake til kategorien der du logget på Kontrollhub , og klikk Neste.
6

Klikk test SSO-oppdatering for å bekrefte at den nye metadatafilen ble lastet opp og tolket riktig av din IdP. Bekreft de forventede resultatene i popup-vinduet, og klikk Bytt til nye metadata hvis testen var vellykket.


 

Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette bidrar til å fjerne all informasjon som er hurtigbufret i nettleseren din, noe som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

Resultat: Du er ferdig og organisasjonens SAML Cisco (SP) SSO-sertifikat er nå fornyet. Du kan kontrollere sertifikatstatusen når som helst ved å åpne tabellen over SAML-sertifikatstatus under Administrasjons- > organisasjonsinnstillinger > godkjenning .

IdP-sertifikat (Identity Provider)

Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Kontrollhub om at IdP-sertifikatet utløper. Siden IdP-leverandører har sin egen spesifikke dokumentasjon for sertifikatfornyelse, dekker vi det som kreves i Kontrollhub, sammen med generelle trinn for å hente oppdaterte IDP-metadata og laste den opp til Kontrollhub for å fornye sertifikatet.

1

Slik kontrollerer du om IDP SAML-sertifikatet utløper:

  • Du har kanskje mottatt en e-post- eller Webex App-melding fra oss, men du bør sjekke inn Kontrollhub for å være sikker.
  • Logg på https://admin.webex.com, og kontroller varslingssenteret. Det kan være et varsel om oppdatering av IDP SAML-sertifikatet:

  • Logg på https://admin.webex.com, gå til Administrasjons- > organisasjonsinnstillinger > godkjenning , ognoter sertifikatstatusen (utløp eller utløper snart) i SAML-sertifikattabellen. Klikk Forny sertifikat for å fortsette.

  • Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du fullfører den, kan du få tilgang til den på nytt når som helst fra Administrasjons- > organisasjonsinnstillinger > godkjenning ihttps://admin.webex.com.
2

Gå til IdP-administrasjonsgrensesnittet for å hente den nye metadatafilen.

  • Dette trinnet kan gjøres gjennom en nettleserfane, remote desktop protocol (RDP) eller gjennom spesifikk skyleverandørstøtte, avhengig av IdP-oppsettet ditt og om du eller en egen IdP-administrator er ansvarlig for dette trinnet.
  • Hvis du vil ha referanse, kan du se veiledningene våre for SSO-integrasjon eller kontakte IdP-administratoren din for å få hjelp.
3

Gå tilbake til Administrasjons- > organisasjonsinnstillinger > godkjenning i , og velg deretter Handlingerhttps://admin.webex.com > Importer metadata.
4

Dra og slipp IDP-metadatafilen i vinduet, eller klikk på Velg en metadatafil og last den opp på den måten.
5

Velg Mindre sikker (selvsignert) eller Sikrere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene dine er signert.
6

Klikk Test SSO-oppdatering for å bekrefte at den nye metadatafilen ble lastet opp og tolket riktig til Control Hub-organisasjonen. Bekreft de forventede resultatene i popup-vinduet, og klikk Bytt til nye metadata hvis testen var vellykket.


 

Hvis du vil se påloggingsopplevelsen for SSO direkte, kan du også klikke Kopier URL-adresse til utklippstavlen fra dette skjermbildet og lime den inn i et privat nettleservindu. Derfra kan du gå gjennom pålogging med SSO. Dette bidrar til å fjerne all informasjon som er hurtigbufret i nettleseren din, noe som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

Resultat: Du er ferdig og organisasjonens IDP-sertifikat er nå fornyet. Du kan kontrollere sertifikatstatusen når som helst ved å åpne tabellen over SAML-sertifikatstatus under Administrasjons- > organisasjonsinnstillinger > godkjenning .

Du kan eksportere de nyeste Webex SP-metadataene når du trenger å legge dem tilbake i IdP-en. Du ser et varsel når de importerte IDP SAML-metadataene utløper eller er utløpt.

Dette trinnet er nyttig i vanlige IDP SAML-sertifikatbehandlingsscenarier, for eksempel IDPer som støtter flere sertifikater der eksport ikke ble utført tidligere, hvis metadataene ikke ble importert til IdP fordi en IdP-administrator ikke var tilgjengelig, eller hvis IdP-en støtter muligheten til å oppdatere bare sertifikatet. Dette alternativet kan bidra til å minimere endringen ved bare å oppdatere sertifikatet i SSO-konfigurasjonen og valideringen etter hendelsen.

1

https://admin.webex.comtil Administrasjons- > Organisasjonsinnstillinger i kundevisningen i , rull til Godkjenning , og velg deretter Handlinger > Eksporter metadata .

Metadatafilnavnet for Webex-appen er idb-meta-<org-ID>-SP.xml.
2

Importer metadataene til din IdP.

Følg dokumentasjonen for IdP for å importere Webex SP-metadataene. Du kan bruke våre IdP-integrasjonsveiledninger eller se dokumentasjonen for din spesifikke IdP hvis den ikke er oppført.
3

Når du er ferdig, kjører du SSO-testen ved hjelp av fremgangsmåten i Fornye Webex Certificate (SP) i denne artikkelen.

Når IdP-miljøet endres, eller hvis IdP-sertifikatet utløper, kan du importere de oppdaterte metadataene til Webex når som helst.

Før du starter

Samle inn IdP-metadataene dine, vanligvis som en eksportert XML-fil.

1

Gå til Administrasjons- > Organisasjonsinnstillinger i kundevisningen i https://admin.webex.com , rull til Godkjenning , og velg deretter Handlinger >Importer metadata.
2

Dra og slipp IDP-metadatafilen i vinduet, eller klikk på Velg en metadatafil og last den opp på den måten.
3

Velg Mindre sikker (selvsignert) eller Sikrere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene dine er signert.

Du vil motta varsler i Kontrollhub før sertifikatene er satt til å utløpe, men du kan også proaktivt konfigurere varslingsregler. Disse reglene gir deg beskjed på forhånd om at SP- eller IdP-sertifikatene utløper. Vi kan sende disse til deg via e-post, et område i Webex App, eller begge deler.

Uansett hvilken leveringskanal som er konfigurert, vises alle varsler alltid i Kontrollhub. Se Varslingssenter i Kontrollhub hvis du vil ha mer informasjon.

1

https://admin.webex.comtil Varslingssenter i kundevisningen i.
2

Velg Behandle og deretter Alle regler.
3

Velg en av SSO-reglene du vil opprette, fra Regler-listen:

  • Utløp av SSO IDP-sertifikat
  • Utløp av SSO SP-sertifikat
4

Merk av for E-post, Webex spaceeller begge deler under Leveringskanal .

Hvis du velger E-post, skriver du inn e-postadressen som skal motta varselet.


 

Hvis du velger alternativet Webex Space , blir du automatisk lagt til et space i Webex-appen, og vi leverer varslene der.
5

Lagre endringene.

Hva nå?

Vi sender utløpsvarsler for sertifikater én gang hver 15. (Du kan forvente varsler på dag 60, 45, 30 og 15.) Varsler stopper når du fornyer sertifikatet.

Det kan hende du ser en melding om at URL-adressen for enkeltavlogging ikke er konfigurert:

Vi anbefaler at du konfigurerer idp til å støtte single log out (også kjent som SLO). Webex støtter både omdirigerings- og innleggsmetodene, som er tilgjengelige i metadataene våre som lastes ned fra Control Hub. Ikke alle IDPer støtter SLO. Kontakt idp-teamet ditt for å få hjelp. I noen tilfeller dokumenterer vi hvordan integreringen konfigureres for de store IdP-leverandørene som AzureAD, Ping Federate, ForgeRock og Oracle. Ta kontakt med identitets- og sikkerhetsteamet ditt om detaljene i IDP og hvordan du konfigurerer riktig.

Hvis URL-adresse for enkeltavlogging ikke er konfigurert:

  • En eksisterende IDP-økt forblir gyldig. Neste gang brukere logger på, kan de ikke bli bedt om å godkjenne på nytt av IdP.

  • Vi viser en advarsel ved avlogging, slik at Webex App-avlogging ikke skjer sømløst.

Du kan deaktivere enkel pålogging (SSO) for Webex-organisasjonen som administreres i Kontrollhub. Det kan være lurt å deaktivere SSO du endrer identitetsleverandører (IDPer).

Hvis enkel pålogging er aktivert for organisasjonen, men mislykkes, kan du engasjere Cisco-partneren din som har tilgang til Webex-organisasjonen din, for å deaktivere den for deg.

1

https://admin.webex.comtil Administrasjons- > Organisasjonsinnstillingerfra kundevisningen i , og rull deretter til Godkjenning .
2

Hvis du vil deaktivere SSO, slår du av innstillingen Enkel pålogging.

Det vises et popup-vindu som advarer deg om å deaktivere SSO:

Hvis du deaktiverer SSO, administreres passord av skyen i stedet for den integrerte IdP-konfigurasjonen.
3

Hvis du forstår virkningen av å deaktivere SSO og vil fortsette, klikker du Deaktiver.

I Kontrollhubser du at SSO-innstillingen er deaktivert, og alle SAML-sertifikatoppføringer fjernes.

Hvis SSO er deaktivert, vil brukere som må godkjenne, se et passordoppføringsfelt under påloggingsprosessen.

  • Brukere som ikke har et passord i Webex App, må enten tilbakestille passordet sitt, eller du må sende e-post for at de skal kunne angi et passord.

  • Eksisterende godkjente brukere med et gyldig OAuth-token vil fortsatt ha tilgang til Webex App.

  • Nye brukere som opprettes mens SSO er deaktivert, mottar en e-postmelding der de blir bedt om å opprette et passord.

Hva nå?

Hvis du eller kunden konfigurerer SSO på nytt for kundeorganisasjonen, går brukerkontoer tilbake til å bruke passordpolicyen som er angitt av IdP-en som er integrert med Webex-organisasjonen.