SSO i Control Hub

Hvis du vil konfigurere SSO for flere identitetsleverandører i organisasjonen, se SSO med flere IdP-er i Webex.

Hvis organisasjonens sertifikatbruk er satt til Ingen, men du fremdeles mottar et varsel, anbefaler vi at du fremdeles fortsetter med oppgraderingen. SSO-distribusjonen din bruker ikke sertifikatet i dag, men du kan trenge sertifikatet for fremtidige endringer.

Sertifikat for Webex-tjenesteleverandør (SP)

Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Control Hub om at Webex-sertifikatet for engangspålogging (SSO) kommer til å utløpe. Følg prosessen i denne artikkelen for å hente metadataene for SSO-skysertifikatet fra oss (SP) og legge dem tilbake til din IdP. Ellers vil ikke brukere kunne bruke Webex-tjenester.

Hvis du bruker SAML Cisco (SP) SSO-sertifikatet i Webex-organisasjonen din, må du planlegge å oppdatere skysertifikatet under et vanlig planlagt vedlikeholdsvindu så snart som mulig.

Alle tjenester som er en del av Webex-organisasjonsabonnementet påvirkes, inkludert, men ikke begrenset til:

  • Webex-appen (nye pålogginger for alle plattformer: skrivebord, mobil og nett)

  • Webex-tjenester i Control Hub, inkludert Calling

  • Webex Meetings-nettsteder administrert gjennom Control Hub

  • Cisco Jabber hvis det er integrert med SSO

Før du begynner

Les alle instruksjonene før du begynner. Når du har endret sertifikatet eller gått gjennom veiviseren for å oppdatere sertifikatet, kan det hende at nye brukere ikke kan logge på.

Hvis IdP-en din ikke støtter flere sertifikater (de fleste IdP-er på markedet støtter ikke denne funksjonen), anbefaler vi at du planlegger denne oppgraderingen under et vedlikeholdsvindu der brukere av Webex-appen ikke påvirkes. Disse oppgraderingsoppgavene skal ta omtrent 30 minutter i driftstid og validering etter vent.

1

Slik sjekker du om SAML Cisco (SP) SSO-sertifikatet skal utløpe:

  • Du kan ha mottatt en e-post eller en Webex-app-melding fra oss, men du bør sjekke Control Hub for å være sikker.

  • Logg på https://admin.webex.com, og sjekk Varslingssenteret. Det kan være et varsel om oppdatering av SSO-tjenesteleverandørsertifikatet.

  • Logg på https://admin.webex.com, gå til Administrasjon > Organisasjonsinnstillinger > Engangspålogging, og klikk på Administrer SSO og IdPs.
  • Gå til fanen Identitetsleverandør og noter statusen for Cisco SP-sertifikatet og utløpsdatoen.

Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du fullfører den, kan du få tilgang til den igjen når som helst fra Administrasjon > Organisasjonsinnstillinger > Engangspålogginghttps://admin.webex.com.

2

Gå til IdP-en og klikk på .

3

Klikk på Se gjennom sertifikater og utløpsdato.

4

Klikk på Forny sertifikat.

5

Velg typen IdP som organisasjonen bruker.

  • En IdP som støtter flere sertifikater
  • En IdP som støtter ett enkelt sertifikat

Hvis IdP-en din støtter ett enkelt sertifikat, anbefaler vi at du venter med å utføre disse trinnene under planlagt nedetid. Mens Webex-sertifikatet oppdateres, vil pålogginger for nye brukere ikke fungere kort. Eksisterende pålogginger beholdes.

6

Velg sertifikattype for fornyelse:

  • Selvsignert av Cisco – Vi anbefaler dette valget. La oss signere sertifikatet slik at du bare trenger å fornye det én gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans– Sikrere, men du må oppdatere metadataene ofte (med mindre IdP-leverandøren din støtter klareringsankre).

    Klareringsankre er offentlige nøkler som fungerer som en myndighet til å bekrefte sertifikatet til en digital signatur. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for IdP.

7

Klikk på Last ned metadatafil for å laste ned en kopi av de oppdaterte metadataene med det nye sertifikatet fra Webex-skyen. Hold denne skjermen åpen.

8

Gå til IdP-administrasjonsgrensesnittet for å laste opp den nye Webex-metadatafilen.

  • Dette trinnet kan gjøres via en nettleserfane, protokoll for eksternt skrivebord (RDP) eller gjennom spesifikk skyleverandørstøtte, avhengig av IdP-oppsettet og om du eller en egen IdP-administrator er ansvarlig for dette trinnet.
  • For referanse, se våre veiledninger for SSO-integrering eller kontakt din IdP-administrator for å få støtte. Hvis du bruker Active Directory Federation Services (AD FS), kan du se hvordan du oppdaterer Webex-metadata i AD FS.
9

Gå tilbake til fanen der du logget på Control Hub, og klikk på Neste.

10

Oppdater IdP med det nye SP-sertifikatet og metadataene, og klikk på Neste.

  • Oppdatert alle IdP-er
  • Hvis du trenger mer tid til å oppdatere, kan du lagre det fornyede sertifikatet som sekundært alternativ
11

Klikk på Fullfør fornyelse.

IdP-sertifikat (identitetsleverandør)

Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Control Hub om at IdP-sertifikatet kommer til å utløpe. Fordi IdP-leverandører har sin egen spesifikke dokumentasjon for sertifikatfornyelse, dekker vi det som kreves i Control Hub, sammen med generiske trinn for å hente oppdaterte IdP-metadata og laste dem opp til Control Hub for å fornye sertifikatet.

1

Slik sjekker du om IdP SAML-sertifikatet skal utløpe:

  • Du kan ha mottatt en e-post eller en Webex-app-melding fra oss, men du bør sjekke Control Hub for å være sikker.
  • Logg på https://admin.webex.com, og sjekk Varslingssenteret. Det kan være et varsel om oppdatering av IdP SAML-sertifikatet:

  • Logg på https://admin.webex.com, gå til Administrasjon > Organisasjonsinnstillinger > Engangspålogging, og klikk på Administrer SSO og IdPs.
  • Gå til fanen Identitetsleverandør og noter statusen til IdP-sertifikatet (utløpt eller utløper snart) og utløpsdatoen.

  • Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du fullfører den, kan du få tilgang til den igjen når som helst fra Administrasjon > Organisasjonsinnstillinger > Engangspålogginghttps://admin.webex.com.

2

Gå til IdP-administrasjonsgrensesnittet for å hente den nye metadatafilen.

  • Dette trinnet kan gjøres via en nettleserfane, protokoll for eksternt skrivebord (RDP) eller gjennom spesifikk skyleverandørstøtte, avhengig av IdP-oppsettet og om du eller en egen IdP-administrator er ansvarlig for dette trinnet.
  • For referanse, se våre veiledninger for SSO-integrering eller kontakt din IdP-administrator for å få støtte.
3

Gå tilbake til fanen Identitetsleverandør .

4

Gå til IdP-en, klikk last opp og velg Last opp Idp-metadata.

5

Dra og slipp IdP-metadatafilen i vinduet, eller klikk på Velg en fil og last den opp på den måten.

6

Velg Mindre sikker (selvsignert) eller Sikrere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene dine er signert.

7

Klikk på Test SSO-oppdatering for å bekrefte at den nye metadatafilen ble lastet opp og tolket riktig til Control Hub-organisasjonen. Bekreft de forventede resultatene i popup-vinduet, og hvis testen var vellykket, velger du Vellykket test: Aktiver SSO og IdP og klikk på Lagre.

For å se SSO-påloggingsopplevelsen direkte, anbefaler vi at du klikker på Kopier URL til utklippstavle fra dette skjermbildet og limer den inn i et privat nettleservindu. Derfra kan du gå gjennom å logge på med SSO. Dette bidrar til å fjerne all informasjon som er bufret i nettleseren din som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

Resultat: Du er ferdig, og organisasjonens IdP-sertifikat er nå fornyet. Du kan sjekke sertifikatstatusen når som helst under fanen Identitetsleverandør .

Du kan eksportere de nyeste Webex SP-metadataene når du trenger å legge dem tilbake til IdP-en din. Du vil se en melding når de importerte IdP SAML-metadataene utløper eller har utløpt.

Dette trinnet er nyttig i vanlige scenarier for IdP SAML-sertifikatadministrasjon, for eksempel IdP-er som støtter flere sertifikater der eksport ikke ble utført tidligere, hvis metadataene ikke ble importert til IdP fordi en IdP-administrator ikke var tilgjengelig, eller hvis IdP-en din støtter muligheten til å oppdatere bare sertifikatet. Dette alternativet kan bidra til å minimere endringen ved bare å oppdatere sertifikatet i SSO-konfigurasjonen og valideringen etter hendelsen.

1

Fra kundevisningen i https://admin.webex.com går du til Administrasjon > Organisasjonsinnstillinger, blar til Engangspålogging og klikker på Administrer SSO og IdPs.

2

Gå til fanen Identitetsleverandør .

3

Gå til IdP-en, klikk Last ned og velg Last ned SP-metadata.

Webex-appens metadatafilnavn er idb-meta--SP.xml.

4

Importer metadataene til din IdP.

Følg dokumentasjonen for din IdP for å importere Webex SP-metadataene. Du kan bruke våre IdP-integrasjonsveiledninger eller se dokumentasjonen for din spesifikke IdP hvis den ikke er oppført.

5

Når du er ferdig, kjører du SSO-testen ved å bruke trinnene i Forny Webex-sertifikat (SP) i denne artikkelen.

Når IdP-miljøet endres, eller hvis IdP-sertifikatet ditt utløper, kan du når som helst importere de oppdaterte metadataene til Webex.

Før du begynner

Samle inn IdP-metadataene dine, vanligvis som en eksportert XML-fil.

1

Fra kundevisningen i https://admin.webex.com går du til Administrasjon > Organisasjonsinnstillinger, blar til Engangspålogging og klikker på Administrer SSO og IdPs.

2

Gå til fanen Identitetsleverandør .

3

Gå til IdP-en, klikk last opp og velg Last opp Idp-metadata.

4

Dra og slipp IdP-metadatafilen inn i vinduet, eller klikk på Velg en metadatafil og last den opp på den måten.

5

Velg Mindre sikker (selvsignert) eller Sikrere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene dine er signert.

6

Klikk på Test SSO-oppsett, og når en ny nettleserfane åpnes, godkjenn med IdP-en ved å logge på.

Du mottar varsler i Control Hub før sertifikatene er satt til å utløpe, men du kan også konfigurere varselsregler proaktivt. Disse reglene gir deg beskjed på forhånd om at SP- eller IdP-sertifikatene dine vil utløpe. Vi kan sende disse til deg via e-post, et område i Webex-appen eller begge deler.

Uansett hvilken leveringskanal som er konfigurert, vises alle varsler alltid i Control Hub. Se Varslingssenteret i Control Hub for mer informasjon.

1

Logg på Control Hub.

2

Gå til varslingssenteret.

3

Velg Administrer og deretter Alle regler.

4

Fra Regler-listen velger du en av SSO-reglene du vil opprette:

  • Utløp av SSO IDP-sertifikat
  • Utløp av SSO SP-sertifikat
5

I delen Leveringskanal merker du av for E-post, Webex-område eller begge deler.

Hvis du velger E-post, skriver du inn e-postadressen som skal motta varselet.

Hvis du velger alternativet for Webex-område, legges du automatisk til i et område i Webex-appen, og vi leverer varslene der.

6

Lagre endringene.

Hva du skal gjøre nå

Vi sender sertifikatutløpsvarsler én gang hver 15. dag, med start 60 dager før utløpsdatoen. (Du kan forvente varsler på dag 60, 45, 30 og 15.) Varsler stopper når du fornyer sertifikatet.

Du kan se en merknad om at URL-adressen for engangsutlogging ikke er konfigurert:

Vi anbefaler at du konfigurerer din IdP til å støtte engangsutlogging (også kjent som SLO). Webex støtter både omdirigering- og postmetodene, som er tilgjengelige i metadataene våre som lastes ned fra Control Hub. Ikke alle IdP-er støtter SLO. Ta kontakt med ditt IdP-team for å få hjelp. Noen ganger, for store IdP-leverandører som AzureAD, Ping Federate, ForgeRock og Oracle, som støtter SLO, dokumenterer vi hvordan du konfigurerer integreringen. Rådfør deg med identitets- og sikkerhetsteamet ditt om spesifikasjonene til din IDP og hvordan du konfigurerer den riktig.

Hvis URL-adresse for engangsutlogging ikke er konfigurert:

  • En eksisterende IdP-økt forblir gyldig. Neste gang brukere logger på, kan det hende de ikke blir bedt om å godkjenne på nytt av IdP-en.

  • Vi viser en advarsel ved avlogging, slik at avlogging av Webex-appen ikke skjer problemfritt.

Du kan deaktivere engangspålogging (SSO) for Webex-organisasjonen som administreres i Control Hub. Du vil kanskje deaktivere SSO hvis du endrer identitetsleverandører (IdPs).

Hvis engangspålogging er aktivert for organisasjonen din, men mislykkes, kan du kontakte Cisco-partneren din som har tilgang til Webex-organisasjonen din for å deaktivere den for deg.

1

Fra kundevisningen i https://admin.webex.com går du til Administrasjon > Organisasjonsinnstillinger, blar til Engangspålogging og klikker på Administrer SSO og IdPs.

2

Gå til fanen Identitetsleverandør .

3

Klikk på Deaktiver SSO.

Det vises et popup-vindu som advarer deg om å deaktivere SSO:

Deaktiver SSO

Hvis du deaktiverer SSO, administreres passord av skyen i stedet for den integrerte IdP-konfigurasjonen.

4

Hvis du forstår virkningen av å deaktivere SSO og vil fortsette, klikker du på Deaktiver.

SSO deaktiveres og alle SAML-sertifikatoppføringer fjernes.

Hvis SSO er deaktivert, vil brukere som må godkjenne, se et passordoppføringsfelt under påloggingsprosessen.

  • Brukere som ikke har et passord i Webex-appen, må enten tilbakestille passordet, eller du må sende en e-post for å angi et passord.

  • Eksisterende godkjente brukere med et gyldig OAuth-token vil fortsatt ha tilgang til Webex-appen.

  • Nye brukere som opprettes mens SSO er deaktivert, mottar en e-post som ber dem om å opprette et passord.

Hva du skal gjøre nå

Hvis du eller kunden konfigurerer SSO på nytt for kundeorganisasjonen, går brukerkontoer tilbake til å bruke passordpolicyen som er angitt av IdP-en som er integrert med Webex-organisasjonen.

Hvis du støter på problemer med SSO-påloggingen, kan du bruke alternativet SSO-selvgjenoppretting for å få tilgang til Webex-organisasjonen som administreres i Control Hub. Selvgjenopprettingsalternativet lar deg oppdatere eller deaktivere SSO i Control Hub.