SSO w Control Hub

Jeśli chcesz skonfigurować logowanie SSO dla wielu dostawców tożsamości w organizacji, zapoznaj się z logowaniem SSO z wieloma dostawcami tożsamości w Webex.


 

Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Twoje wdrożenie SSO nie używa dzisiaj certyfikatu, ale może być potrzebny do przyszłych zmian.


 

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat jednokrotnego logowania ( SSO ) Webex wygaśnie. Postępuj zgodnie z procedurą opisaną w tym artykule, aby pobrać metadane certyfikatu SSO w chmurze od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex .

Jeśli używasz certyfikatu SSO SAML Cisco (SP) w organizacji Webex, musisz jak najszybciej zaplanować aktualizację certyfikatu w chmurze w ramach regularnie zaplanowanego okna konserwacji.

Dotyczy to wszystkich usług objętych subskrypcją organizacji Webex , w tym między innymi:

  • Aplikacja Webex (nowe logowania na wszystkich platformach: komputery stacjonarne, mobilne i internetowe)

  • Usługi Webex w Control Hub, w tym Połączenia

  • Witryny Webex Meetings zarządzane przez Control Hub

  • Cisco Jabber , jeśli jest zintegrowany z SSO

Przed rozpoczęciem


 

Przed rozpoczęciem należy przeczytać wszystkie wskazówki. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie się pomyślnie zalogować.

Jeśli Twój dostawca tożsamości nie obsługuje wielu certyfikatów (większość dostawców tożsamości na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tej aktualizacji w oknie konserwacji, w którym użytkownicy aplikacji Webex nie mają wpływu. Te zadania uaktualniania powinny potrwać około 30 minut w czasie operacyjnym i walidacji po zdarzeniu.

1

Aby sprawdzić, czy certyfikat SAML Cisco (SP) SSO nie wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość z aplikacji Webex , ale powinieneś sprawdzić w Control Hub, aby mieć pewność.
  • Zaloguj się dohttps://admin.webex.com i sprawdź swój Centrum alertów . Może pojawić się powiadomienie o zaktualizowaniu certyfikatu dostawcy usługi SSO .

  • Zaloguj się, aby https://admin.webex.com, przejdź do Zarządzanie > Ustawienia organizacji > Uwierzytelnianie i kliknij przycisk Zarządzaj SSO i dostawcy tożsamości.
  • Przejdź do karty Dostawca tożsamości i zanotuj stan certyfikatu Cisco SP oraz datę wygaśnięcia.

Możesz również przejść bezpośrednio do kreatora SSO , aby zaktualizować certyfikat. Jeśli zdecydujesz się zamknąć kreatora przed jego ukończeniem, możesz ponownie uzyskać do niego dostęp w dowolnym momencie od Zarządzanie > Ustawienia organizacji > Uwierzytelnianie whttps://admin.webex.com .

2

Przejdź do dostawcy tożsamości i kliknij .

3

Kliknij Przejrzyj certyfikaty i datę wygaśnięcia .

Spowoduje to przejście do Certyfikaty dostawcy usług (SP) okno.
4

Kliknij Odnów certyfikat .

5

Wybierz typ certyfikatu do odnowienia:

  • Z podpisem własnym Cisco — Zalecamy ten wybór. Pozwól nam podpisać certyfikat, abyś mógł go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji — Bezpieczniejsze, ale konieczne jest częste aktualizowanie metadanych (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

     

    Kotwice zaufania to klucze publiczne, które pełnią funkcję autoryzacji weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy tożsamości.

6

Kliknij Pobierz plik metadanych aby pobrać kopię zaktualizowanych metadanych z nowym certyfikatem z chmury Webex . Nie zamykaj tego ekranu.

7

Przejdź do interfejsu zarządzania IdP, aby przesłać nowy plik metadanych Webex .

  • Ten krok można wykonać za pomocą karty przeglądarki, protokołu zdalnego pulpitu (RDP) lub za pośrednictwem określonej obsługi dostawcy usług w chmurze, w zależności od konfiguracji dostawcy tożsamości i tego, czy za ten krok odpowiadasz Ty, czy inny administrator dostawcy tożsamości.
  • W celach informacyjnych zobacz nasze przewodniki integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc. W przypadku korzystania z usług federacyjnych Active Directory (AD FS) można: zobacz, jak zaktualizować metadane Webex w usługach AD FS .
8

Wróć do karty, na której zalogowałeś się do Control Hub i kliknij Dalej .

9

Ma to na celu potwierdzenie, że nowy plik metadanych został poprawnie przesłany i zinterpretowany przez dostawcę tożsamości. Potwierdź oczekiwane wyniki w wyskakującym okienku, a jeśli test zakończył się pomyślnie, kliknij Przełącz na nowe metadane .


 

Aby bezpośrednio wyświetlić środowisko logowania SSO, można również kliknąć na tym ekranie opcję Skopiuj adres URL do schowka i wkleić skopiowany adres w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

Wynik: To wszystko. Certyfikat SSO SAML Cisco (SP) w Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie na karcie Dostawca tożsamości.


 

Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat dostawcy tożsamości wygaśnie. Ponieważ dostawcy dostawcy tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatu, omówimy wymagania w Control Hub, wraz z ogólnymi krokami, aby pobrać zaktualizowane metadane dostawcy tożsamości i przesłać je do Control Hub w celu odnowienia certyfikatu.

1

Aby sprawdzić, czy certyfikat SAML dostawcy tożsamości nie wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość z aplikacji Webex , ale powinieneś sprawdzić w Control Hub, aby mieć pewność.
  • Zaloguj się dohttps://admin.webex.com i sprawdź swój Centrum alertów . Może pojawić się powiadomienie o zaktualizowaniu certyfikatu SAML dostawcy tożsamości:

  • Zaloguj się, aby https://admin.webex.com, przejdź do Zarządzanie > Ustawienia organizacji > Uwierzytelnianie i kliknij przycisk Zarządzaj SSO i dostawcy tożsamości.
  • Przejdź do karty Dostawca tożsamości i zanotuj stan certyfikatu dostawcy tożsamości (wygasł lub wkrótce wygaśnie) oraz datę wygaśnięcia.
  • Możesz również przejść bezpośrednio do kreatora SSO , aby zaktualizować certyfikat. Jeśli zdecydujesz się zamknąć kreatora przed jego ukończeniem, możesz ponownie uzyskać do niego dostęp w dowolnym momencie od Zarządzanie > Ustawienia organizacji > Uwierzytelnianie whttps://admin.webex.com .

2

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.

  • Ten krok można wykonać za pomocą karty przeglądarki, protokołu zdalnego pulpitu (RDP) lub za pośrednictwem określonej obsługi dostawcy usług w chmurze, w zależności od konfiguracji dostawcy tożsamości i tego, czy za ten krok odpowiadasz Ty, czy inny administrator dostawcy tożsamości.
  • W celach informacyjnych zobacz nasze przewodniki integracji SSO lub skontaktuj się z administratorem dostawcy tożsamości, aby uzyskać pomoc.
3

Wróć do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości, kliknijprześlij i wybierz Prześlij metadane dostawcy tożsamości .

5

Przeciągnij i upuść plik metadanych dostawcy tożsamości do okna lub kliknij opcję Wybierz plik i prześlij go w ten sposób.

6

Wybierz Mniej bezpieczne (z podpisem własnym) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

7

Kliknij Testuj aktualizację SSO aby potwierdzić, że nowy plik metadanych został poprawnie przesłany i zinterpretowany w organizacji Control Hub. Potwierdź oczekiwane wyniki w wyskakującym okienku, a jeśli test zakończył się powodzeniem, wybierz Udany test: Aktywuj SSO i IdP i kliknij przycisk Zapisz.


 

Aby bezpośrednio zobaczyć doświadczenie logowania SSO, zalecamy kliknięcie opcji Kopiuj adres URL, aby pobrać go z tego ekranu i wklej go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO.

Wynik: To wszystko. Certyfikat dostawcy tożsamości Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie na karcie Dostawca tożsamości.

Najnowsze metadane Webex SP można wyeksportować za każdym razem, gdy trzeba je ponownie dodać do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.

Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, dla których eksportowanie nie zostało wykonane wcześniej, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości z powodu braku administratora dostawcy tożsamości lub jeśli dostawca tożsamości obsługuje możliwość aktualizacji tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując tylko certyfikat w konfiguracji SSO i sprawdzając poprawność po zdarzeniu.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości, kliknij Pobierz i wybierz Pobierz metadane SP.

Nazwa pliku metadanych Webex to idb-meta- -SP.xml .<org-ID>

4

Zaimportuj metadane do swojego dostawcy tożsamości.

Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane Webex SP. Możesz użyć naszego Przewodniki integracji dostawcy tożsamości lub zapoznaj się z dokumentacją konkretnego dostawcy tożsamości, jeśli nie ma go na liście.

5

Po zakończeniu uruchom test SSO , wykonując czynności opisane w Odnów certyfikat Webex (SP) w tym artykule.

W przypadku zmiany środowiska dostawcy tożsamości lub wygaśnięcia certyfikatu dostawcy tożsamości zaktualizowane metadane można w dowolnym momencie zaimportować do aplikacji Webex .

Przed rozpoczęciem

Zbierz metadane dostawcy tożsamości, zwykle w postaci wyeksportowanego pliku XML.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości, kliknijprześlij i wybierz Prześlij metadane dostawcy tożsamości .

4

Przeciągnij i upuść plik metadanych dostawcy tożsamości do okna lub kliknij przycisk Wybierz plik metadanych i prześlij go w ten sposób.

5

Wybierz Mniej bezpieczne (z podpisem własnym) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

6

Kliknij Przetestuj konfigurację SSO , a po otwarciu nowej karty przeglądarki uwierzytelnij się za pomocą dostawcy tożsamości, logując się.

Będziesz otrzymywać alerty w Control Hub przed wygaśnięciem certyfikatów, ale możesz również proaktywnie skonfigurować reguły alertów. Te reguły informują z wyprzedzeniem o wygaśnięciu certyfikatów dostawcy usług lub dostawcy tożsamości. Możemy wysłać je do Ciebie za pośrednictwem poczty e-mail, obszaru w aplikacji Webex lub obu.


 

Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty będą zawsze wyświetlane w Control Hub. Zobacz Centrum alertów w Control Hub aby uzyskać więcej informacji.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Centrum alertów .

2

Wybierz Zarządzaj wtedy Wszystkie reguły .

3

Z listy Reguły wybierz dowolne reguły SSO , które chcesz utworzyć:

  • Wygaśnięcie certyfikatu SSO IDP
  • Wygaśnięcie certyfikatu SP SSO
4

W sekcji Kanał dostarczania zaznacz pole wyboru e-mail , Webex lub oba.

Jeśli wybierzesz opcję e-mail, wprowadź adres e-mail, na który powinno zostać wysłane powiadomienie.


 

Jeśli wybierzesz opcję obszaru Webex , zostaniesz automatycznie dodany do obszaru w aplikacji Webex , a my dostarczymy tam powiadomienia.

5

Zapisz zmiany.

Co zrobić dalej

Alerty o wygaśnięciu certyfikatu są wysyłane co 15 dni, począwszy od 60 dni przed wygaśnięciem certyfikatu. (Alertów można spodziewać się w 60, 45, 30 i 15 dniu). Alerty są wyłączane po odnowieniu certyfikatu.

Można zauważyć, że adres URL pojedynczego wylogowania nie jest skonfigurowany:


 

Zalecamy skonfigurowanie dostawcy tożsamości do obsługi wylogowania pojedynczego (znanego również jako SLO). Webex obsługuje zarówno metody przekierowania, jak i publikowania, dostępne w naszych metadanych pobranych z Control Hub. Nie wszyscy dostawcy tożsamości obsługują SLO; Aby uzyskać pomoc, skontaktuj się z zespołem dostawcy tożsamości. Czasami dla głównych dostawców IdP, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują SLO, dokumentujemy, jak skonfigurować integrację. Skonsultuj się z zespołem ds. tożsamości i bezpieczeństwa w zakresie specyfiki swojego IDP i sposobu poprawnej jego konfiguracji.

Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:

  • Istniejąca sesja dostawcy tożsamości pozostaje ważna. Przy następnym logowaniu użytkownicy mogą nie zostać poproszeni o ponowne uwierzytelnienie przez dostawcę tożsamości.

  • Po wylogowaniu jest wyświetlany komunikat ostrzegawczy, więc wylogowanie z aplikacji Webex nie odbywa się płynnie.

Możesz wyłączyć jednokrotne logowanie (SSO) dla swojej organizacji Webex zarządzanej w Control Hub. Możesz wyłączyć jednokrotne logowanie, jeśli zmieniasz dostawców tożsamości (dostawcy tożsamości).


 

Jeśli w Twojej organizacji włączono jednokrotne logowanie, ale nie powiedzie się, możesz poprosić partnera Cisco , który ma dostęp do Twojej organizacji Webex , o wyłączenie tej funkcji.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Kliknij Dezaktywuj SSO .

Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu SSO:

Dezaktywuj SSO

Jeśli wyłączysz SSO, hasłami zarządza chmura, a nie Twoja zintegrowana konfiguracja dostawcy tożsamości.

4

Jeśli rozumiesz wpływ wyłączenia SSO i chcesz kontynuować, kliknij Dezaktywuj .

SSO jest dezaktywowane, a wszystkie listy certyfikatów SAML są usuwane.

Jeśli jednokrotne logowanie jest wyłączone, użytkownicy, którzy muszą się uwierzytelnić, zobaczą pole wprowadzania hasła podczas procesu logowania.

  • Użytkownicy, którzy nie mają hasła w aplikacji Webex, muszą zresetować swoje hasło lub wysłać do nich wiadomość e-mail, aby ustawić hasło.

  • Istniejący uwierzytelnieni użytkownicy z prawidłowym tokenem OAuth nadal będą mieli dostęp do aplikacji Webex .

  • Nowi użytkownicy utworzeni przy wyłączonym SSO otrzymają wiadomość e-mail z prośbą o utworzenie hasła.

Co zrobić dalej

Jeśli Ty lub klient ponownie skonfigurujesz SSO dla organizacji klienta, konta użytkowników wracają do korzystania z zasad haseł ustawianych przez dostawcę tożsamości zintegrowanego z organizacją Webex.

W przypadku problemów z logowaniem SSO możesz użyć przycisku Opcja samodzielnego odzyskiwania SSO aby uzyskać dostęp do organizacji Webex zarządzanej w Control Hub. Opcja samodzielnego odzyskiwania umożliwia aktualizowanie lub wyłączanie SSO w Control Hub.