Jeśli chcesz skonfigurować logowanie jednokrotne (SSO) dla wielu dostawców tożsamości w swojej organizacji, zapoznaj się z artykułem Logowanie jednokrotne (SSO) z wieloma dostawcami tożsamości w usłudze Webex.

Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Wdrożenie logowania jednokrotnego nie używa certyfikatu dzisiaj, ale może być potrzebny certyfikat do przyszłych zmian.

Certyfikat Dostawcy Usług Webex (SP)

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Centrum sterowania, że certyfikat logowania jednokrotnego (SSO) Webex wygaśnie. Postępuj zgodnie z procesem w tym artykule, aby pobrać metadane certyfikatu chmury logowania jednokrotnego od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex.

Jeśli w swojej organizacji Webex używasz certyfikatu SAML Cisco (SP) SSO, musisz zaplanować aktualizację certyfikatu w chmurze podczas regularnego okna konserwacji tak szybko, jak to możliwe.

Dotyczy to wszystkich usług, które są częścią subskrypcji organizacji Webex, w tym między innymi:

  • Webex App (nowe logowania dla wszystkich platform: komputery stacjonarne, urządzenia mobilne i internet)

  • Usługi Webex w ControlHub, w tym Calling

  • Witryny Webex Meetings zarządzane za pomocą Control Hub

  • Cisco Jabber, jeśli jest zintegrowany z logowaniem jednokrotnym

Przed rozpoczęciem

Przeczytaj wszystkie wskazówki przed rozpoczęciem. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie pomyślnie się zalogować.

Jeśli Twój dostawca tożsamości nie obsługuje wielu certyfikatów (większość dostawców tożsamości dostępnych na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tej aktualizacji na czas trwania okna konserwacyjnego, w którym użytkownicy aplikacji Webex nie będą dotknięci tą aktualizacją. Zadania związane z aktualizacją powinny zająć około 30 minut, biorąc pod uwagę czas operacyjny i walidację po zdarzeniu.

1

Aby sprawdzić, czy certyfikat logowania jednokrotnego SAML Cisco (SP) wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość Webex App, ale powinieneś sprawdzić w Control Hub, aby się tego podać.

  • Zaloguj się do Control Hubi sprawdź Centrum alertów. Może zostać powiadomione o aktualizacji certyfikatu dostawcy usług logowania jednokrotnego.

  • Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.
  • Przejdź do zakładki Dostawca tożsamości i zanotuj status certyfikatu Cisco SP oraz datę wygaśnięcia.

Możesz przejść bezpośrednio do Kreatora logowania jednokrotnego, aby zaktualizować certyfikat. Jeśli zdecydujesz się opuścić kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie, korzystając z opcji Zarządzanie > Bezpieczeństwo > Uwierzytelnianie w Centrum sterowania.

2

Przejdź do IdP i kliknij .

3

Kliknij Sprawdź certyfikaty i datę ważności.

4

Kliknij Odnów certyfikat.

5

Wybierz typ dostawcy tożsamości, z którego korzysta Twoja organizacja.

  • Dostawca tożsamości obsługujący wiele certyfikatów
  • Dostawca tożsamości obsługujący pojedynczy certyfikat

Jeśli twój idP obsługuje jeden certyfikat, zaleca się czekać na wykonanie tych kroków podczas zaplanowanego przestoju. Podczas aktualizacji certyfikatu Webex nowe logowania użytkowników przez chwilę nie będą działać; istniejące logowania zostaną zachowane.

6

Wybierz typ certyfikatu do odnowienia:

  • Podpisane przez Cisco—Polecamy ten wybór. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji— bezpieczniejsze, ale będziesz musiał często aktualizować metadane (chyba że Twój dostawca IdP obsługuje zaufane punkty zaczepienia).

    Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

    Zanim przejdziesz do następnych kroków, upewnij się, że jesteś gotowy do odnowienia certyfikatu i działasz w ramach okna zmian obowiązującego w Twojej organizacji. Wybranie opcji Cisco z podpisem własnym lub Podpisany przez publiczny urząd certyfikacji powoduje natychmiastowe utworzenie nowego certyfikatu. Po zmianie certyfikatu dla pojedynczego dostawcy tożsamości, logowanie jednokrotne jest zatrzymywane do momentu przesłania certyfikatu lub metadanych do dostawcy tożsamości. Dlatego ważne jest, aby przeprowadzić proces odnowienia.

7

Kliknij Pobierz plik metadanych, aby pobrać kopię zaktualizowanych metadanych z nowym certyfikatem z chmury Webex. Niech ten ekran będzie otwarty.

8

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby przesłać nowy plik metadanych Webex.

9

Wróć do zakładki, na której zalogowałeś się do Control Hub i kliknij Dalej.

10

Zaktualizuj dostawcę tożsamości, dodając nowy certyfikat SP i metadane, a następnie kliknij przycisk Dalej.

  • Zaktualizowano wszystkich dostawców tożsamości
  • Jeśli potrzebujesz więcej czasu na aktualizację, zapisz odnowiony certyfikat jako opcję pomocniczą
11

Kliknij Zakończ odnawianie.

Certyfikat dostawcy tożsamości (IdP)

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w centrum sterowania, że certyfikat IdP wygaśnie. Ponieważ dostawcy dostawców tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatów, zajmujemy się tym, co jest wymagane w centrumsterowania, wraz z ogólnymi krokami pobierania zaktualizowanych metadanych dostawcy tożsamości i przekazywania ich do centrum sterowania w celu odnowienia certyfikatu.

1

Aby sprawdzić, czy certyfikat SAML usługodawcy tożsamości wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość Webex App, ale powinieneś sprawdzić w Control Hub, aby się tego podać.
  • Zaloguj się do Control Hubi sprawdź Centrum alertów. Może pojawić się powiadomienie o aktualizacji certyfikatu SAML IdP:

  • Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.
  • Przejdź do zakładki Dostawca tożsamości i zapisz status certyfikatu IdP (wygasł lub wkrótce wygaśnie) oraz datę wygaśnięcia.

  • Możesz przejść bezpośrednio do Kreatora logowania jednokrotnego, aby zaktualizować certyfikat. Jeśli zdecydujesz się opuścić kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie, korzystając z opcji Zarządzanie > Bezpieczeństwo > Uwierzytelnianie w Control Hub.

2

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.

3

Wróć do zakładki Dostawca tożsamości.

4

Przejdź do IdP, kliknij przesłać i wybierz Prześlij metadane IdP.

5

Przeciągnij i upuść plik metadanych IdP w oknie lub kliknij Wybierz plik i prześlij go w ten sposób.

6

Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

7

Kliknij Testuj aktualizację SSO, aby potwierdzić, że nowy plik metadanych został przesłany i poprawnie zinterpretowany w organizacji Control Hub. Potwierdź oczekiwane wyniki w oknie pop-up i jeśli test zakończył się powodzeniem, wybierz opcję Test zakończony powodzeniem: Aktywuj SSO i IdP i kliknij Zapisz.

Aby zobaczyć bezpośrednio działanie logowania jednokrotnego, zalecamy kliknięcie opcji Kopiuj adres URL do schowka na tym ekranie i wklejenie go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

Wynik: Wszystko jest gotowe, a certyfikat IdP Twojej organizacji został odnowiony. Status certyfikatu możesz sprawdzić w dowolnym momencie na karcie Dostawca tożsamości.

Możesz wyeksportować najnowsze metadane Webex SP, gdy chcesz dodać je z powrotem do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.

Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, w których eksport nie został wcześniej przeprowadzony, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości, ponieważ administrator dostawcy tożsamości nie był dostępny, lub jeśli usługodawca tożsamości obsługuje możliwość aktualizowania tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując certyfikat tylko w konfiguracji logowania jednokrotnego i sprawdzaniu poprawności po zdarzeniu.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP, kliknij Pobierz i wybierz Pobierz metadane SP.

Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml.

5

Zaimportuj metadane do dostawcy tożsamości.

Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane dodatku SP Webex. Możesz skorzystać z naszych przewodników integracji z IdP lub zapoznać się z dokumentacją konkretnego IdP, jeśli nie ma go na liście.

6

Po zakończeniu uruchom test SSO, wykonując czynności opisane w sekcji Odnawianie certyfikatu Webex (SP) w tym artykule.

Gdy środowisko dostawcy tożsamości uchyli się lub jeśli certyfikat dostawcy tożsamości wygaśnie, możesz zaimportować zaktualizowane metadane do Webex w dowolnym momencie.

Przed rozpoczęciem

Zbierz metadane dostawcy tożsamości, zazwyczaj jako wyeksportowany plik xml.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP, kliknij przesłać i wybierz Prześlij metadane IdP.

5

Przeciągnij i upuść plik metadanych dostawcy tożsamości w oknie lub kliknij Wybierz plik metadanych i prześlij go w ten sposób.

6

Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

7

Kliknij Testuj konfigurację SSOi po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się.

Będziesz otrzymywać alerty w centrum sterowania przed ustawieniem wygaśnięcia certyfikatów, ale możesz także proaktywnie skonfigurować reguły alertów. Te reguły z wyprzedzeniem poinformują Cię, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty elektronicznej, miejsca w aplikacji Webexlub obu.

Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty są zawsze wyświetlane w centrumsterowania. Aby uzyskać więcej informacji, zobacz Centrum alertów w centrum sterowania.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Centrum alertów.

3

Wybierz Zarządzaj, a następnie Wszystkie reguły.

4

Z listy Reguły wybierz dowolną z reguł logowania jednokrotnego, które chcesz utworzyć:

  • Wygaśnięcie certyfikatu IDP logowania jednokrotnego
  • Wygaśnięcie certyfikatu SSO SP
5

W sekcji Kanał dostarczania zaznacz pole wyboru E-mail, przestrzeń Webexlub oba.

Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, na który powinno zostać wyświetlone powiadomienie.

Jeśli wybierzesz opcję przestrzeni Webex, zostaniesz automatycznie dodany do przestrzeni wewnątrz aplikacji Webex, a my dostarczymy tam powiadomienia.

6

Zapisz zmiany.

Co dalej?

Alerty o wygaśnięciu certyfikatu wysyłamy raz na 15 dni, począwszy od 60 dni przed jego wygaśnięciem. (Możesz spodziewać się alertów 60., 45., 30. i 15. dnia.) Alerty ustają po odnowieniu certyfikatu.

Może zostać wyświetlony komunikat informujący, że adres URL pojedynczego wylogowania nie jest skonfigurowany:

Zaleca się skonfigurowanie usługodawcy IdP do obsługi pojedynczego wylogowania (znanego również jako SLO). Webex obsługuje zarówno metody przekierowywania, jak i postowania, dostępne w naszych metadanych pobieranych z Control Hub. Nie wszystkie IdPs obsługują SLO; skontaktuj się z zespołem IdP w celu uzyskania pomocy. Czasami w przypadku głównych dostawców IdP, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują SLO, dokumentujemy sposób konfigurowania integracji. Skonsultuj swoją tożsamość & Zespół ds. bezpieczeństwa o szczegółach Twojego dostawcy tożsamości (IDP) i jego prawidłowej konfiguracji.

Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:

  • Istniejąca sesja IdP pozostaje ważna. Gdy następnym razem użytkownicy się zalogują, mogą nie zostać poproszeni o ponowne uwierzytelnienie przez IdP.

  • Wyświetlamy komunikat ostrzegawczy po wylogowaniu, więc wylogowanie aplikacji Webex nie odbywa się bezproblemowo.

Logowanie jednokrotne (SSO) można wyłączyć dla organizacji Webex zarządzanej w centrumsterowania. Jeśli zmieniasz dostawcę tożsamości (IdP), możesz chcieć wyłączyć funkcję SSO.

Jeśli logowanie jednokrotne zostało włączone dla Twojej organizacji, ale nie powiedzie się, możesz zaangażować partnera Cisco, który może uzyskać dostęp do Twojej organizacji Webex, aby wyłączyć je dla Ciebie.

1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Kliknij Dezaktywuj SSO.

Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu logowania jednokrotnego:

Dezaktywuj SSO

Jeśli wyłączysz logowanie jednokrotne, hasła będą zarządzane przez chmurę, a nie przez zintegrowaną konfigurację dostawcy tożsamości.

5

Jeśli rozumiesz wpływ wyłączenia logowania jednokrotnego i chcesz kontynuować, kliknij dezaktywuj.

Funkcja SSO zostaje wyłączona, a wszystkie listy certyfikatów SAML zostają usunięte.

Jeśli funkcja SSO jest wyłączona, użytkownicy, którzy muszą się uwierzytelnić, zobaczą pole do wpisania hasła podczas logowania.

  • Użytkownicy, którzy nie mają hasła w aplikacji Webex, muszą je zresetować lub wysłać do nich wiadomość e-mail w celu ustawienia hasła.

  • Istniejący uwierzytelnieni użytkownicy z prawidłowym tokenem OAuth będą nadal mieli dostęp do aplikacjiWebex.

  • Nowi użytkownicy utworzeni podczas wyłączania logowania jednokrotnego otrzymają wiadomość e-mail z prośbą o utworzenie hasła.

Co dalej?

Jeśli Ty lub klient zmienicie konfigurację logowania jednokrotnego dla organizacji klienta, konta użytkowników ponownie będą korzystać z zasad dotyczących haseł ustawionych przez dostawcę tożsamości zintegrowanego z organizacją WebEx.

Jeśli wystąpią problemy z logowaniem SSO, możesz skorzystać z opcji samodzielnego odzyskiwania SSO, aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja samodzielnego odzyskiwania umożliwia aktualizację lub wyłączenie logowania jednokrotnego (SSO) w Control Hub.