SSO w Control Hub

Jeśli chcesz skonfigurować logowanie SSO dla wielu dostawców tożsamości w organizacji, zapoznaj się z logowaniem SSO z wieloma dostawcami tożsamości w Webex.


 

Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Twoje wdrożenie SSO nie używa dzisiaj certyfikatu, ale może być potrzebny do przyszłych zmian.


 

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat jednokrotnego logowania ( SSO ) Webex wygaśnie. Postępuj zgodnie z procedurą opisaną w tym artykule, aby pobrać metadane certyfikatu SSO w chmurze od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex .

Jeśli używasz certyfikatu SSO SAML Cisco (SP) w organizacji Webex, musisz jak najszybciej zaplanować aktualizację certyfikatu w chmurze w ramach regularnie zaplanowanego okna konserwacji.

Dotyczy to wszystkich usług objętych subskrypcją organizacji Webex , w tym między innymi:

  • Aplikacja Webex (nowe logowania na wszystkich platformach: komputery stacjonarne, mobilne i internetowe)

  • Usługi Webex w Control Hub, w tym Połączenia

  • Witryny Webex Meetings zarządzane przez Control Hub

  • Cisco Jabber , jeśli jest zintegrowany z SSO

Przed rozpoczęciem


 

Przed rozpoczęciem należy przeczytać wszystkie wskazówki. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie się pomyślnie zalogować.

Jeśli Twój dostawca tożsamości nie obsługuje wielu certyfikatów (większość dostawców tożsamości na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tej aktualizacji w oknie konserwacji, w którym użytkownicy aplikacji Webex nie mają wpływu. Te zadania uaktualniania powinny potrwać około 30 minut w czasie operacyjnym i walidacji po zdarzeniu.

1

Aby sprawdzić, czy certyfikat SAML Cisco (SP) SSO nie wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość z aplikacji Webex , ale powinieneś sprawdzić w Control Hub, aby mieć pewność.
  • Zaloguj się dohttps://admin.webex.com i sprawdź swój Centrum alertów . Może pojawić się powiadomienie o zaktualizowaniu certyfikatu dostawcy usługi SSO .

  • Zaloguj się, aby https://admin.webex.com, przejdź do Zarządzanie > Ustawienia organizacji > Jednokrotne logowanie i kliknij opcję Zarządzaj SSO i dostawcy tożsamości.
  • Przejdź do karty Dostawca tożsamości i zanotuj stan certyfikatu Cisco SP oraz datę wygaśnięcia.

Możesz również przejść bezpośrednio do kreatora SSO , aby zaktualizować certyfikat. Jeśli zdecydujesz się opuścić kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie z Zarządzanie > Ustawienia organizacji > Logowanie pojedynczehttps://admin.webex.com.

2

Przejdź do dostawcy tożsamości i kliknij.

3

Kliknij opcję Sprawdź certyfikaty i datę ważności.

4

Kliknij Odnów certyfikat.

5

Wybierz typ dostawcy tożsamości, którego używa Twoja organizacja.

  • IdP obsługujący wiele certyfikatów
  • Identyfikator dostawcy tożsamości, który obsługuje jeden certyfikat

 

Jeśli usługa IdP obsługuje jeden certyfikat, zalecamy zaczekanie na wykonanie tych czynności podczas planowanych przestojów. Podczas aktualizowania certyfikatu Webex nowe loginy użytkownika na krótko nie będą działać; istniejące loginy są zachowane.

6

Wybierz typ certyfikatu odnowienia:

  • Z podpisem własnym Cisco — Zalecamy ten wybór. Pozwól nam podpisać certyfikat, abyś mógł go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji — Bezpieczniejsze, ale konieczne jest częste aktualizowanie metadanych (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

     

    Kotwice zaufania to klucze publiczne, które pełnią funkcję autoryzacji weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

7

Kliknij Pobierz plik metadanych aby pobrać kopię zaktualizowanych metadanych z nowym certyfikatem z chmury Webex . Nie zamykaj tego ekranu.

8

Przejdź do interfejsu zarządzania IdP, aby przesłać nowy plik metadanych Webex .

  • Ten krok można wykonać za pomocą karty przeglądarki, protokołu zdalnego pulpitu (RDP) lub za pomocą określonej obsługi dostawcy chmury, w zależności od konfiguracji dostawcy tożsamości i tego, czy Ty lub inny administrator dostawcy tożsamości są odpowiedzialni za ten krok.
  • W celach informacyjnych zobacz nasze przewodniki integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc. W przypadku korzystania z usług federacyjnych Active Directory (AD FS) można: zobacz, jak zaktualizować metadane Webex w usługach AD FS .
9

Wróć do karty, na której zalogowałeś się do Control Hub i kliknij Dalej .

10

Zaktualizuj dostawcę tożsamości za pomocą nowego certyfikatu SP i metadanych i kliknij przycisk Dalej.

  • Zaktualizowano wszystkich dostawców tożsamości
  • Jeśli potrzebujesz więcej czasu na aktualizację, zapisz odnowiony certyfikat jako opcję pomocniczą
11

Kliknij przycisk Zakończ odnowienie.


 

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat dostawcy tożsamości wygaśnie. Ponieważ dostawcy dostawcy dostawcy tożsamości mają własną specjalną dokumentację dotyczącą odnawiania certyfikatów, obsługujemy to, co jest wymagane w Control Hub, wraz z ogólnymi krokami mającymi na celu pobranie zaktualizowanych metadanych dostawcy tożsamości i przesłanie ich do Control Hub w celu odnowienia certyfikatu.

1

Aby sprawdzić, czy certyfikat SAML dostawcy tożsamości nie wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość z aplikacji Webex , ale powinieneś sprawdzić w Control Hub, aby mieć pewność.
  • Zaloguj się dohttps://admin.webex.com i sprawdź swój Centrum alertów . Może pojawić się powiadomienie o zaktualizowaniu certyfikatu SAML dostawcy tożsamości:

  • Zaloguj się, aby https://admin.webex.com, przejdź do Zarządzanie > Ustawienia organizacji > Jednokrotne logowanie i kliknij opcję Zarządzaj SSO i dostawcy tożsamości.
  • Przejdź do karty Dostawca tożsamości i zanotuj stan certyfikatu dostawcy tożsamości (wygasł lub wkrótce wygaśnie) oraz datę wygaśnięcia.
  • Możesz również przejść bezpośrednio do kreatora SSO , aby zaktualizować certyfikat. Jeśli zdecydujesz się opuścić kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie z Zarządzanie > Ustawienia organizacji > Logowanie pojedynczehttps://admin.webex.com.

2

Przejdź do interfejsu zarządzania dostawcy tożsamości, aby pobrać nowy plik metadanych.

  • Ten krok można wykonać za pomocą karty przeglądarki, protokołu zdalnego pulpitu (RDP) lub za pomocą określonej obsługi dostawcy chmury, w zależności od konfiguracji dostawcy tożsamości i tego, czy Ty lub inny administrator dostawcy tożsamości są odpowiedzialni za ten krok.
  • W celach informacyjnych zobacz nasze przewodniki integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc.
3

Wróć do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości, kliknijuploadi wybierz opcję Prześlij metadane Idp.

5

Przeciągnij i upuść plik metadanych dostawcy tożsamości do okna lub kliknij opcję Wybierz plik i prześlij go w ten sposób.

6

Wybierz Mniej bezpieczne (z podpisem własnym) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

7

Kliknij Testuj aktualizację SSO aby potwierdzić, że nowy plik metadanych został poprawnie przesłany i zinterpretowany w organizacji Control Hub. Potwierdź oczekiwane wyniki w wyskakującym okienku, a jeśli test zakończył się powodzeniem, wybierz Udany test: Aktywuj SSO i IdP i kliknij przycisk Zapisz.


 

Aby bezpośrednio zobaczyć doświadczenie logowania SSO, zalecamy kliknięcie opcji Kopiuj adres URL, aby pobrać go z tego ekranu i wklej go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

Wynik: To wszystko. Certyfikat dostawcy tożsamości Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie na karcie Dostawca tożsamości.

Najnowsze metadane Webex SP można wyeksportować za każdym razem, gdy trzeba je ponownie dodać do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.

Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, dla których eksportowanie nie zostało wykonane wcześniej, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości z powodu braku administratora dostawcy tożsamości lub jeśli dostawca tożsamości obsługuje możliwość aktualizacji tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując tylko certyfikat w konfiguracji SSO i sprawdzając poprawność po zdarzeniu.

1

Z widoku klienta w https://admin.webex.com, przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

2

Przejdź do karty Dostawca tożsamości.

3

Przejdź do dostawcy tożsamości, kliknijDownloadi wybierz opcję Pobierz metadane SP.

Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml.

4

Zaimportuj metadane do swojego dostawcy tożsamości.

Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane Webex SP. Możesz użyć naszego Przewodniki integracji dostawcy tożsamości lub zapoznaj się z dokumentacją konkretnego dostawcy tożsamości, jeśli nie ma go na liście.

5

Po zakończeniu uruchom test SSO , wykonując czynności opisane w Odnów certyfikat Webex (SP) w tym artykule.

W przypadku zmiany środowiska dostawcy tożsamości lub wygaśnięcia certyfikatu dostawcy tożsamości zaktualizowane metadane można w dowolnym momencie zaimportować do aplikacji Webex .

Przed rozpoczęciem

Zbierz metadane dostawcy tożsamości, zwykle w postaci wyeksportowanego pliku XML.

1

Z widoku klienta w https://admin.webex.com, przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

2

Przejdź do karty Dostawca tożsamości.

3

Przejdź do dostawcy tożsamości, kliknijuploadi wybierz opcję Prześlij metadane Idp.

4

Przeciągnij i upuść plik metadanych dostawcy tożsamości do okna lub kliknij przycisk Wybierz plik metadanych i prześlij go w ten sposób.

5

Wybierz Mniej bezpieczne (z podpisem własnym) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

6

Kliknij opcję Testuj konfigurację logowania SSO, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu dostawcy tożsamości, logując się.

Przed wygaśnięciem certyfikatów otrzymasz alerty w Control Hub, ale możesz również aktywnie skonfigurować reguły alertów. Te zasady informują z wyprzedzeniem, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty e-mail, obszaru w aplikacji Webex lub obu.


 

Niezależnie od skonfigurowanego kanału dostawy wszystkie alerty zawsze pojawiają się w Control Hub. Aby uzyskać więcej informacji, zobacz Centrum alertów w Control Hub.

1

Zaloguj się do Centrum sterowania .

2

Przejdź do centrum alertów.

3

Wybierz Zarządzaj , a następnie Wszystkie reguły.

4

Z listy reguł wybierz dowolną regułę logowania jednokrotnego, którą chcesz utworzyć:

  • Wygaśnięcie certyfikatu IDP SSO
  • Wygaśnięcie certyfikatu SSO SP
5

W sekcji Kanał dostawy zaznacz pole wyboru E-mail, obszar Webex lub oba.

Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, który powinien otrzymać powiadomienie.


 

Jeśli wybierzesz opcję obszaru Webex, zostaniesz automatycznie dodany do obszaru wewnątrz aplikacji Webex i tam dostarczymy powiadomienia.

6

Zapisz zmiany.

Co zrobić dalej

Wysyłamy alerty o wygaśnięciu certyfikatu raz na 15 dni, począwszy od 60 dni przed wygaśnięciem. (Alerty można oczekiwać w 60., 45., 30. i 15. dniu). Alerty kończą się po odnowieniu certyfikatu.

Można zauważyć, że adres URL pojedynczego wylogowania nie jest skonfigurowany:


 

Zalecamy skonfigurowanie dostawcy tożsamości do obsługi wylogowania pojedynczego (znanego również jako SLO). Webex obsługuje zarówno metody przekierowania, jak i publikowania, dostępne w naszych metadanych pobranych z Control Hub. Nie wszyscy dostawcy tożsamości obsługują SLO; Aby uzyskać pomoc, skontaktuj się z zespołem dostawcy tożsamości. Czasami dla głównych dostawców IdP, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują SLO, dokumentujemy, jak skonfigurować integrację. Skonsultuj się z zespołem ds. tożsamości i bezpieczeństwa w zakresie specyfiki swojego IDP i sposobu poprawnej jego konfiguracji.

Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:

  • Istniejąca sesja dostawcy tożsamości pozostaje ważna. Przy następnym logowaniu użytkownicy mogą nie zostać poproszeni o ponowne uwierzytelnienie przez dostawcę tożsamości.

  • Po wylogowaniu jest wyświetlany komunikat ostrzegawczy, więc wylogowanie z aplikacji Webex nie odbywa się płynnie.

Możesz wyłączyć jednokrotne logowanie (SSO) dla swojej organizacji Webex zarządzanej w Control Hub. Możesz wyłączyć jednokrotne logowanie, jeśli zmieniasz dostawców tożsamości (dostawcy tożsamości).


 

Jeśli w Twojej organizacji włączono jednokrotne logowanie, ale nie powiedzie się, możesz poprosić partnera Cisco , który ma dostęp do Twojej organizacji Webex , o wyłączenie tej funkcji.

1

Z widoku klienta w https://admin.webex.com, przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

2

Przejdź do karty Dostawca tożsamości.

3

Kliknij opcję Dezaktywuj logowanie SSO.

Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu SSO:

Dezaktywuj SSO

Jeśli wyłączysz SSO, hasłami zarządza chmura, a nie Twoja zintegrowana konfiguracja dostawcy tożsamości.

4

Jeśli rozumiesz wpływ wyłączenia SSO i chcesz kontynuować, kliknij Dezaktywuj .

SSO jest dezaktywowane, a wszystkie listy certyfikatów SAML są usuwane.

Jeśli jednokrotne logowanie jest wyłączone, użytkownicy, którzy muszą się uwierzytelnić, zobaczą pole wprowadzania hasła podczas procesu logowania.

  • Użytkownicy, którzy nie mają hasła w aplikacji Webex, muszą zresetować swoje hasło lub wysłać do nich wiadomość e-mail, aby ustawić hasło.

  • Istniejący uwierzytelnieni użytkownicy z prawidłowym tokenem OAuth nadal będą mieli dostęp do aplikacji Webex .

  • Nowi użytkownicy utworzeni przy wyłączonym SSO otrzymają wiadomość e-mail z prośbą o utworzenie hasła.

Co zrobić dalej

Jeśli Ty lub klient ponownie skonfigurujesz SSO dla organizacji klienta, konta użytkowników wracają do korzystania z zasad haseł ustawianych przez dostawcę tożsamości zintegrowanego z organizacją Webex.

Jeśli napotkasz problemy z logowaniem jednokrotnym, możesz użyć opcji samoodzyskiwania jednokrotnego, aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja automatycznego odzyskiwania umożliwia aktualizację lub wyłączanie logowania jednokrotnego w Control Hub.