Hvis du vil sette opp SSO for flere identitetsleverandører i organisasjonen din, kan du se SSO med flere IdP-er i Webex.

Hvis organisasjonens sertifikatbruk er satt til Ingen, men du fortsatt mottar et varsel, anbefaler vi at du fortsetter med oppgraderingen. SSO-implementeringen din bruker ikke sertifikatet i dag, men du kan trenge sertifikatet for fremtidige endringer.

Webex-tjenesteleverandør (SP)-sertifikat

Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Control Hub om at Webex-sertifikatet for enkel pålogging (SSO) kommer til å utløpe. Følg prosessen i denne artikkelen for å hente metadataene for SSO-skysertifikatet fra oss (SP-en) og legge dem til i IdP-en din igjen. Ellers vil ikke brukerne kunne bruke Webex-tjenester.

Hvis du bruker SAML Cisco (SP) SSO-sertifikatet i Webex-organisasjonen din, må du planlegge å oppdatere skysertifikatet i løpet av et regelmessig vedlikeholdsvindu så snart som mulig.

Alle tjenester som er en del av Webex-organisasjonsabonnementet ditt er berørt, inkludert, men ikke begrenset til:

  • Webex-appen (nye pålogginger for alle plattformer: datamaskin, mobil og nett)

  • Webex-tjenester i Control Hub, inkludert anrop

  • Webex Meetings-nettsteder som administreres via Control Hub

  • Cisco Jabber hvis det er integrert med SSO

Før du begynner

Vennligst les alle instruksjonene før du begynner. Etter at du har endret sertifikatet eller gått gjennom veiviseren for å oppdatere sertifikatet, kan det hende at nye brukere ikke kan logge på.

Hvis IdP-en din ikke støtter flere sertifikater (de fleste IdP-er på markedet støtter ikke denne funksjonen), anbefaler vi at du planlegger denne oppgraderingen i løpet av et vedlikeholdsvindu der Webex-appbrukere ikke påvirkes. Disse oppgraderingsoppgavene bør ta omtrent 30 minutter i driftstid og validering etter hendelse.

1

Slik sjekker du om SAML Cisco (SP) SSO-sertifikatet kommer til å utløpe:

  • Du har kanskje mottatt en e-post eller Webex-appmelding fra oss, men du bør sjekke i Control Hub for å være sikker.

  • Logg på Kontrollsenter, og sjekk Varselsenteret. Det kan være et varsel om oppdatering av SSO-tjenesteleverandørsertifikatet.

  • Gå til Ledelse > Sikkerhet > Autentisering.
  • Gå til fanen Identitetsleverandør og noter statusen og utløpsdatoen for Cisco SP-sertifikatet.

Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du har fullført den, kan du når som helst få tilgang til den igjen fra Administrasjon > Sikkerhet > Autentisering i Kontrollhub.

2

Gå til IdP-en og klikk på .

3

Klikk på Se gjennom sertifikater og utløpsdato.

4

Klikk på Forny sertifikat.

5

Velg typen IdP som organisasjonen din bruker.

  • En IdP som støtter flere sertifikater
  • En IdP som støtter et enkelt sertifikat

Hvis IdP-en din støtter ett enkelt sertifikat, anbefaler vi at du venter med å utføre disse trinnene under planlagt nedetid. Mens Webex-sertifikatet oppdateres, vil nye brukerpålogginger i en kort periode ikke fungere. Eksisterende pålogginger bevares.

6

Velg sertifikattype for fornyelsen:

  • Selvsignert av Cisco– Vi anbefaler dette valget. La oss signere sertifikatet, slik at du bare trenger å fornye det hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– Sikrere, men du må ofte oppdatere metadataene (med mindre IdP-leverandøren din støtter tillitsankere).

    Tillitsankere er offentlige nøkler som fungerer som en autoritet for å verifisere sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se IdP-dokumentasjonen din.

    Før du går videre til de neste trinnene, må du sørge for at du er klar til å fornye sertifikatet ditt og at du opererer innenfor organisasjonens endringsvindu. Hvis du velger Selvsignert Cisco eller Signert av en offentlig sertifiseringsinstans, opprettes det umiddelbart et nytt sertifikat. Når sertifikatet endres for en enkelt IdP, stopper SSO inntil sertifikatet eller metadataene er lastet opp på IdP-en. Derfor er det viktig å fullføre fornyelsesprosessen.

7

Klikk på Last ned metadatafil for å laste ned en kopi av de oppdaterte metadataene med det nye sertifikatet fra Webex-skyen. Hold denne skjermen åpen.

8

Naviger til IdP-administrasjonsgrensesnittet ditt for å laste opp den nye Webex-metadatafilen.

  • Dette trinnet kan gjøres via en nettleserfane, RDP (Remote Desktop Protocol) eller gjennom spesifikk skyleverandørstøtte, avhengig av IdP-oppsettet ditt og om du eller en separat IdP-administrator er ansvarlig for dette trinnet.
  • For referanse, se våre SSO-integrasjonsveiledninger eller kontakt IdP-administratoren din for støtte. Hvis du er på Active Directory Federation Services (AD FS), kan du se hvordan du oppdaterer Webex-metadata i AD FS.
9

Gå tilbake til fanen der du logget på Control Hub, og klikk på Neste.

10

Oppdater IdP-en med det nye SP-sertifikatet og metadataene, og klikk på Neste.

  • Oppdaterte alle IdP-ene
  • Hvis du trenger mer tid til å oppdatere, lagrer du det fornyede sertifikatet som et sekundært alternativ
11

Klikk på Fullfør fornyelse.

Sertifikat for identitetsleverandør (IdP)

Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Control Hub om at IdP-sertifikatet kommer til å utløpe. Fordi IdP-leverandører har sin egen spesifikke dokumentasjon for sertifikatfornyelse, dekker vi hva som kreves i Control Hub, sammen med generelle trinn for å hente oppdaterte IdP-metadata og laste dem opp til Control Hub for å fornye sertifikatet.

1

Slik sjekker du om IdP SAML-sertifikatet kommer til å utløpe:

  • Du har kanskje mottatt en e-post eller Webex-appmelding fra oss, men du bør sjekke i Control Hub for å være sikker.
  • Logg på Kontrollsenter, og sjekk Varselsenteret. Det kan være et varsel om oppdatering av IdP SAML-sertifikatet:

  • Gå til Ledelse > Sikkerhet > Autentisering.
  • Gå til fanen Identitetsleverandør og noter statusen til IdP-sertifikatet (utløpt eller utløper snart) og utløpsdatoen.

  • Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du har fullført den, kan du når som helst få tilgang til den igjen fra Administrasjon > Sikkerhet > Autentisering i Kontrollhub.

2

Naviger til IdP-administrasjonsgrensesnittet ditt for å hente den nye metadatafilen.

  • Dette trinnet kan gjøres via en nettleserfane, RDP (Remote Desktop Protocol) eller gjennom spesifikk skyleverandørstøtte, avhengig av IdP-oppsettet ditt og om du eller en separat IdP-administrator er ansvarlig for dette trinnet.
  • For referanse, se våre SSO-integrasjonsveiledninger eller kontakt IdP-administratoren din for støtte.
3

Gå tilbake til fanen Identitetsleverandør.

4

Gå til IdP-en, klikk på laste opp og velg Last opp Idp-metadata.

5

Dra og slipp IdP-metadatafilen din inn i vinduet, eller klikk på Velg en fil og last den opp på den måten.

6

Velg Mindre sikker (selvsignert) eller Mer sikker (signert av en offentlig CA), avhengig av hvordan IdP-metadataene dine er signert.

7

Klikk på Test SSO-oppdatering for å bekrefte at den nye metadatafilen ble lastet opp og tolket riktig til Control Hub-organisasjonen din. Bekreft de forventede resultatene i popup-vinduet, og hvis testen var vellykket, velg Vellykket test: Aktiver SSO og IdP-en og klikk på Lagre.

For å se SSO-påloggingsopplevelsen direkte, anbefaler vi at du klikker på Kopier URL til utklippstavlen fra denne skjermen og limer den inn i et privat nettleservindu. Derfra kan du gå gjennom påloggingen med SSO. Dette bidrar til å fjerne all informasjon som er lagret i nettleseren din og som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

Resultat: Du er ferdig, og organisasjonens IdP-sertifikat er nå fornyet. Du kan sjekke sertifikatstatusen når som helst under fanen Identitetsleverandør.

Du kan eksportere de nyeste Webex SP-metadataene når du trenger å legge dem til i IdP-en din igjen. Du får se et varsel når de importerte IdP SAML-metadataene utløper eller har utløpt.

Dette trinnet er nyttig i vanlige scenarier for administrasjon av IdP SAML-sertifikater, for eksempel IdP-er som støtter flere sertifikater der eksport ikke ble utført tidligere, hvis metadataene ikke ble importert til IdP-en fordi en IdP-administrator ikke var tilgjengelig, eller hvis IdP-en din støtter muligheten til å bare oppdatere sertifikatet. Dette alternativet kan bidra til å minimere endringen ved kun å oppdatere sertifikatet i SSO-konfigurasjonen og valideringen etter hendelsen.

1

Logg inn på Kontrollhub.

2

Gå til Ledelse > Sikkerhet > Autentisering.

3

Gå til fanen Identitetsleverandør.

4

Gå til IdP-en, klikk på Last ned og velg Last ned SP-metadata.

Filnavnet for Webex-appens metadata er idb-meta-<org-ID>-SP.xml.

5

Importer metadataene til IdP-en din.

Følg dokumentasjonen for IdP-en din for å importere Webex SP-metadataene. Du kan bruke våre IdP-integrasjonsveiledninger eller se i dokumentasjonen for din spesifikke IdP hvis den ikke er oppført.

6

Når du er ferdig, kjører du SSO-testen ved å følge trinnene i Forny Webex-sertifikat (SP) i denne artikkelen.

Når IdP-miljøet ditt endres, eller hvis IdP-sertifikatet ditt er i ferd med å utløpe, kan du importere de oppdaterte metadataene til Webex når som helst.

Før du begynner

Samle inn IdP-metadataene dine, vanligvis som en eksportert XML-fil.

1

Logg inn på Kontrollhub.

2

Gå til Ledelse > Sikkerhet > Autentisering.

3

Gå til fanen Identitetsleverandør.

4

Gå til IdP-en, klikk på laste opp og velg Last opp Idp-metadata.

5

Dra og slipp IdP-metadatafilen din inn i vinduet, eller klikk på Velg en metadatafil og last den opp på den måten.

6

Velg Mindre sikker (selvsignert) eller Mer sikker (signert av en offentlig CA), avhengig av hvordan IdP-metadataene dine er signert.

7

Klikk på Test SSO-oppsett, og når en ny nettleserfane åpnes, autentiser med IdP-en ved å logge på.

Du vil motta varsler i Control Hub før sertifikater utløper, men du kan også proaktivt konfigurere varslingsregler. Disse reglene gir deg beskjed på forhånd om at SP- eller IdP-sertifikatene dine kommer til å utløpe. Vi kan sende disse til deg via e-post, et område i Webex-appen eller begge deler.

Uavhengig av hvilken leveringskanal som er konfigurert, vises alle varsler alltid i Control Hub. Se Varslingssenter i Kontrollhub for mer informasjon.

1

Logg inn på Kontrollhub.

2

Gå til Varslingssenter.

3

Velg Administrer og deretter Alle regler.

4

Fra Regler-listen velger du hvilken som helst av SSO-reglene du vil opprette:

  • Utløpsdato for SSO IDP-sertifikat
  • Utløpsdato for SSO SP-sertifikat
5

I delen Leveringskanal merker du av i boksen for E-post, Webex-områdeeller begge deler.

Hvis du velger E-post, skriver du inn e-postadressen som skal motta varselet.

Hvis du velger alternativet Webex-område, blir du automatisk lagt til i et område i Webex-appen, og vi leverer varslene dit.

6

Lagre endringene dine.

Hva du skal gjøre nå

Vi sender ut varsler om utløp av sertifikater én gang hver 15. dag, med start 60 dager før utløp. (Du kan forvente varsler på dag 60, 45, 30 og 15.) Varsler stopper når du fornyer sertifikatet.

Du kan se en melding om at URL-adressen for enkel utlogging ikke er konfigurert:

Vi anbefaler at du konfigurerer IdP-en din til å støtte enkeltloggutlogging (også kjent som SLO). Webex støtter både omdirigerings- og innleggsmetodene, som er tilgjengelige i metadataene våre som lastes ned fra Control Hub. Ikke alle IdP-er støtter SLO. Ta kontakt med IdP-teamet ditt for å få hjelp. Noen ganger, for de store IdP-leverandørene som AzureAD, Ping Federate, ForgeRock og Oracle, som støtter SLO, dokumenterer vi hvordan man konfigurerer integrasjonen. Rådfør deg med identiteten din & Sikkerhetsteamet om detaljene til IDP-en din og hvordan du konfigurerer den riktig.

Hvis én enkelt utloggings-URL ikke er konfigurert:

  • En eksisterende IdP-økt forblir gyldig. Neste gang brukere logger seg på, kan det hende at IdP-en ikke ber dem om å autentisere seg på nytt.

  • Vi viser en advarselsmelding ved utlogging, slik at utlogging av Webex-appen ikke skjer sømløst.

Du kan deaktivere enkel pålogging (SSO) for Webex-organisasjonen din som administreres i Control Hub. Det kan være lurt å deaktivere SSO hvis du bytter identitetsleverandører (IdP-er).

Hvis enkel pålogging er aktivert for organisasjonen din, men mislykkes, kan du be Cisco-partneren din, som har tilgang til Webex-organisasjonen din, om å deaktivere den for deg.

1

Logg inn på Kontrollhub.

2

Gå til Ledelse > Sikkerhet > Autentisering.

3

Gå til fanen Identitetsleverandør.

4

Klikk på Deaktiver SSO.

Et popup-vindu vises som advarer deg om å deaktivere SSO:

Deaktiver SSO

Hvis du deaktiverer SSO, administreres passord av skyen i stedet for den integrerte IdP-konfigurasjonen din.

5

Hvis du forstår virkningen av å deaktivere SSO og vil fortsette, klikker du på Deaktiver.

SSO er deaktivert og alle SAML-sertifikatoppføringer er fjernet.

Hvis SSO er deaktivert, vil brukere som må autentisere, se et felt for passordinntasting under påloggingsprosessen.

  • Brukere som ikke har et passord i Webex-appen, må enten tilbakestille passordet sitt, eller du må sende en e-post slik at de kan angi et passord.

  • Eksisterende autentiserte brukere med et gyldig OAuth-token vil fortsatt ha tilgang til Webex-appen.

  • Nye brukere som opprettes mens SSO er deaktivert, mottar en e-post som ber dem om å opprette et passord.

Hva du skal gjøre nå

Hvis du eller kunden konfigurerer SSO på nytt for kundeorganisasjonen, går brukerkontoer tilbake til å bruke passordpolicyen som er angitt av IdP-en som er integrert med Webex-organisasjonen.

Hvis du støter på problemer med SSO-påloggingen din, kan du bruke SSO-selvgjenopprettingsalternativet for å få tilgang til Webex-organisasjonen din som administreres i Control Hub. Med alternativet for selvgjenoppretting kan du oppdatere eller deaktivere SSO i Control Hub.