Niezależnie od tego, czy otrzymano powiadomienie o wygasającym certyfikacie, czy chcesz sprawdzić istniejącą konfigurację logowania jednokrotnego, możesz użyć funkcji zarządzania logowaniem jednokrotnym (SSO) w centrum sterowania do zarządzania certyfikatami i ogólnych działań związanych z konserwacją logowania jednokrotnego. Każda funkcja zarządzania logowaniem jednokrotnym jest omówiona na poszczególnych kartach w tym artykule.
Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Wdrożenie logowania jednokrotnego nie używa certyfikatu dzisiaj, ale może być potrzebny certyfikat do przyszłych zmian. |
Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Centrumsterowania, że certyfikat logowania jednokrotnego (SSO) Webex wygaśnie. Postępuj zgodnie z procesem w tym artykule, aby pobrać metadane certyfikatu chmury logowania jednokrotnego od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex. |
Jeśli używasz certyfikatu logowania jednokrotnego SAML Cisco (SP) w organizacji Webex, musisz zaplanować aktualizację certyfikatu chmury podczas regularnego zaplanowanego okna konserwacji tak szybko, jak to możliwe.
Dotyczy to wszystkich usług, które są częścią subskrypcji organizacji Webex, w tym między innymi:
Webex App (nowe logowania dla wszystkich platform: komputery stacjonarne, urządzenia mobilne i internet)
Usługi Webex w ControlHub, w tym Calling
Witryny Webex Meetings zarządzane za pomocą Control Hub
Cisco Jabber, jeśli jest zintegrowany z logowaniem jednokrotnym
Przed rozpoczęciem
Przeczytaj wszystkie wskazówki przed rozpoczęciem. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie pomyślnie się zalogować. |
Jeśli Twój IdP nie obsługuje wielu certyfikatów (większość dostawców IdP na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tego uaktualnienia w oknie konserwacji, w którym nie ma to wpływu na użytkowników aplikacji Webex. Te zadania uaktualniania powinny zająć około 30 minut w czasie operacyjnym i walidacji po zdarzeń.
1 | Aby sprawdzić, czy certyfikat logowania jednokrotnego SAML Cisco (SP) wygaśnie:
Możesz przejść bezpośrednio do Kreatora logowania jednokrotnego, aby zaktualizować certyfikat. Jeśli zdecydujesz się zamknąć kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie z https://admin.webex.comprogramie . |
||
2 | Wybierz typ certyfikatu do odnowienia:
|
||
3 | Kliknij Pobierz plik metadanych, aby pobrać kopię zaktualizowanych metadanych z nowym certyfikatem z chmury Webex. Niech ten ekran będzie otwarty. |
||
4 | Przejdź do interfejsu zarządzania dostawcą tożsamości, aby przesłać nowy plik metadanych Webex.
|
||
5 | Wróć do karty, na której zalogowano się do centrum sterowania, i kliknij przycisk Dalej . |
||
6 | Kliknij przycisk Testuj aktualizację logowania jednokrotnego, aby potwierdzić, że nowy plik metadanych został poprawnie przesłany i zinterpretowany przez dostawcę tożsamości. Potwierdź oczekiwane wyniki w wyskakującym oknie, a jeśli test zakończył się pomyślnie, kliknij Przełącz na nowe metadane.
Wynik: Wszystko jest gotowe, a certyfikat logowania jednokrotnego SAML Cisco (SP) Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie, otwierając tabelę stanu certyfikatu SAML w obszarze |
Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w centrum sterowania, że certyfikat IdP wygaśnie. Ponieważ dostawcy dostawców tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatów, zajmujemy się tym, co jest wymagane w centrumsterowania, wraz z ogólnymi krokami pobierania zaktualizowanych metadanych dostawcy tożsamości i przekazywania ich do centrum sterowania w celu odnowienia certyfikatu. |
1 | Aby sprawdzić, czy certyfikat SAML usługodawcy tożsamości wygaśnie:
|
||
2 | Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.
|
||
3 | Wróć do https://admin.webex.comprogramie , a następnie wybierz pozycję metadane. |
||
4 | Przeciągnij i upuść plik metadanych dostawcy tożsamości w oknie lub kliknij Wybierz plik metadanych i prześlij go w ten sposób. |
||
5 | Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. |
||
6 | Kliknij przycisk Testuj aktualizację logowania jednokrotnego, aby potwierdzić, że nowy plik metadanych został poprawnie przekazany i zinterpretowany do organizacji Usługi Control Hub. Potwierdź oczekiwane wyniki w wyskakującym oknie, a jeśli test zakończył się pomyślnie, kliknij Przełącz na nowe metadane.
Wynik: Wszystko jest gotowe, a certyfikat IdP Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie, otwierając tabelę stanu certyfikatu SAML w obszarze |
Możesz wyeksportować najnowsze metadane Webex SP, gdy chcesz dodać je z powrotem do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.
Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, w których eksport nie został wcześniej przeprowadzony, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości, ponieważ administrator dostawcy tożsamości nie był dostępny, lub jeśli usługodawca tożsamości obsługuje możliwość aktualizowania tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując certyfikat tylko w konfiguracji logowania jednokrotnego i sprawdzaniu poprawności po zdarzeniu.
1 | Z widoku klienta w menu https://admin.webex.comPrzejdź do pozycji Uwierzytelnianie, a następnie wybierz pozycję metadane. Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml. |
2 | Zaimportuj metadane do dostawcy tożsamości. Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane dodatku SP Webex. Możesz skorzystać z naszych przewodników integracji z IdP lub zapoznać się z dokumentacją konkretnego IdP, jeśli nie ma go na liście. |
3 | Po zakończeniu uruchom test logowania jednokrotnego, wykonując czynności opisane w artykule "Renew Webex Certificate (SP)" w tym artykule. |
Gdy środowisko dostawcy tożsamości uchyli się lub jeśli certyfikat dostawcy tożsamości wygaśnie, możesz zaimportować zaktualizowane metadane do Webex w dowolnym momencie.
Przed rozpoczęciem
Zbierz metadane dostawcy tożsamości, zazwyczaj jako wyeksportowany plik xml.
1 | Z widoku klienta w https://admin.webex.commenu Przejdź do pozycji Uwierzytelnianie, a następnie wybierz pozycję metadane. |
2 | Przeciągnij i upuść plik metadanych dostawcy tożsamości w oknie lub kliknij Wybierz plik metadanych i prześlij go w ten sposób. |
3 | Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. |
Będziesz otrzymywać alerty w centrum sterowania przed ustawieniem wygaśnięcia certyfikatów, ale możesz także proaktywnie skonfigurować reguły alertów. Te reguły z wyprzedzeniem poinformują Cię, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty elektronicznej, miejsca w aplikacji Webexlub obu.
Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty są zawsze wyświetlane w centrumsterowania. Aby uzyskać więcej informacji, zobacz Centrum alertów w centrum sterowania. |
1 | Z widoku klienta w https://admin.webex.comprogramie przejdź do Centrumalertów. |
||
2 | Wybierz Zarządzaj, a następnie Wszystkie reguły. |
||
3 | Z listy Reguły wybierz dowolną z reguł logowania jednokrotnego, które chcesz utworzyć:
|
||
4 | W sekcji Kanał dostarczania zaznacz pole wyboru E-mail,przestrzeń Webexlub oba. Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, na który powinno zostać wyświetlone powiadomienie.
|
||
5 | Zapisz zmiany. |
Co dalej?
Alerty o wygaśnięciu certyfikatu wysyłamy raz na 15 dni, począwszy od 60 dni przed jego wygaśnięciem. (Alertów można spodziewać się w dniach 60,45, 30 i 15). Alerty są zatrzymywane po odnowieniu certyfikatu.
Może zostać wyświetlone powiadomienie, że adres URL pojedynczego wylogowania nie jest skonfigurowany:
Zaleca się skonfigurowanie usługodawcy IdP do obsługi pojedynczego wylogowania (znanego również jako SLO). Webex obsługuje zarówno metody przekierowywania, jak i postowania, dostępne w naszych metadanych pobieranych z Control Hub. Nie wszystkie IdPs obsługują SLO; skontaktuj się z zespołem IdP w celu uzyskania pomocy. W niektórych przypadkach dla głównych dostawców dostawców tożsamości, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują SLO, dokumentujemy, jak skonfigurować integrację. Skonsultuj się ze swoim zespołem ds. tożsamości i bezpieczeństwa w sprawie specyfiki swojego dostawcy tożsamości i sposobu prawidłowej konfiguracji. |
Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:
Istniejąca sesja IdP pozostaje ważna. Gdy następnym razem użytkownicy się zalogują, mogą nie zostać poproszeni o ponowne uwierzytelnienie przez IdP.
Wyświetlamy komunikat ostrzegawczy po wylogowaniu, więc wylogowanie aplikacji Webex nie odbywa się bezproblemowo.
Logowanie jednokrotne (SSO) można wyłączyć dla organizacji Webex zarządzanej w centrumsterowania. Możesz wyłączyć logowanie jednokrotne, które zmieniasz dostawców tożsamości (IdPs).
Jeśli logowanie jednokrotne zostało włączone dla Twojej organizacji, ale nie powiedzie się, możesz zaangażować partnera Cisco, który może uzyskać dostęp do Twojej organizacji Webex, aby wyłączyć je dla Ciebie. |
1 | Z widoku klienta w menu https://admin.webex.comPrzejdź do pozycjiUwierzytelnianie. |
2 | Aby wyłączyć logowanie jednokrotne, wyłącz ustawienie Logowanie jednokrotne. Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu logowania jednokrotnego: Jeśli wyłączysz logowanie jednokrotne, hasła będą zarządzane przez chmurę, a nie przez zintegrowaną konfigurację dostawcy tożsamości. |
3 | Jeśli rozumiesz wpływ wyłączenia logowania jednokrotnego i chcesz kontynuować, kliknij dezaktywuj. W centrumsterowania zobaczysz wyłączone ustawienie logowania jednokrotnego i wszystkie listy certyfikatów SAML zostaną usunięte. Jeśli logowanie jednokrotne jest wyłączone, użytkownicy, którzy muszą się uwierzytelnić, zobaczą pole wprowadzania hasła podczas procesu logowania.
|
Co dalej?
Jeśli Użytkownik lub klient ponownie skonfiguruje logowanie jednokrotne dla organizacji klienta, konta użytkowników powrócą do korzystania z zasad haseł ustawionych przez usługodawcę tożsamości zintegrowanego z organizacją Webex.