Dziękujemy za opinię.
Zarządzaj integracją logowania jednokrotnego w Control Hub
Opinia?
Jeśli chcesz skonfigurować logowanie jednokrotne (SSO) dla wielu dostawców tożsamości w swojej organizacji, zapoznaj się z artykułem Logowanie jednokrotne (SSO) z wieloma dostawcami tożsamości w usłudze Webex.
Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Wdrożenie logowania jednokrotnego nie używa certyfikatu dzisiaj, ale może być potrzebny certyfikat do przyszłych zmian.
Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Centrum sterowania, że certyfikat logowania jednokrotnego (SSO) Webex wygaśnie. Postępuj zgodnie z procesem w tym artykule, aby pobrać metadane certyfikatu chmury logowania jednokrotnego od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex.
Jeśli w swojej organizacji Webex używasz certyfikatu SAML Cisco (SP) SSO, musisz zaplanować aktualizację certyfikatu w chmurze podczas regularnego okna konserwacji tak szybko, jak to możliwe.
Dotyczy to wszystkich usług, które są częścią subskrypcji organizacji Webex, w tym między innymi:
-
Webex App (nowe logowania dla wszystkich platform: komputery stacjonarne, urządzenia mobilne i internet)
-
Usługi Webex w ControlHub, w tym Calling
-
Witryny Webex Meetings zarządzane za pomocą Control Hub
-
Cisco Jabber, jeśli jest zintegrowany z logowaniem jednokrotnym
Przed rozpoczęciem
Przeczytaj wszystkie wskazówki przed rozpoczęciem. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie pomyślnie się zalogować.
Jeśli Twój dostawca tożsamości nie obsługuje wielu certyfikatów (większość dostawców tożsamości dostępnych na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tej aktualizacji na czas trwania okna konserwacyjnego, w którym użytkownicy aplikacji Webex nie będą dotknięci tą aktualizacją. Zadania związane z aktualizacją powinny zająć około 30 minut, biorąc pod uwagę czas operacyjny i walidację po zdarzeniu.
| 1 |
Aby sprawdzić, czy certyfikat logowania jednokrotnego SAML Cisco (SP) wygaśnie:
Możesz przejść bezpośrednio do Kreatora logowania jednokrotnego, aby zaktualizować certyfikat. Jeśli zdecydujesz się opuścić kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie, korzystając z opcji w Centrum sterowania. |
| 2 |
Przejdź do IdP i kliknij |
| 3 |
Kliknij Sprawdź certyfikaty i datę ważności. |
| 4 |
Kliknij Odnów certyfikat. |
| 5 |
Wybierz typ dostawcy tożsamości, z którego korzysta Twoja organizacja.
Jeśli twój idP obsługuje jeden certyfikat, zaleca się czekać na wykonanie tych kroków podczas zaplanowanego przestoju. Podczas aktualizacji certyfikatu Webex nowe logowania użytkowników przez chwilę nie będą działać; istniejące logowania zostaną zachowane. |
| 6 |
Wybierz typ certyfikatu do odnowienia:
|
| 7 |
Kliknij Pobierz plik metadanych, aby pobrać kopię zaktualizowanych metadanych z nowym certyfikatem z chmury Webex. Niech ten ekran będzie otwarty. |
| 8 |
Przejdź do interfejsu zarządzania dostawcą tożsamości, aby przesłać nowy plik metadanych Webex.
|
| 9 |
Wróć do zakładki, na której zalogowałeś się do Control Hub i kliknij Dalej. |
| 10 |
Zaktualizuj dostawcę tożsamości, dodając nowy certyfikat SP i metadane, a następnie kliknij przycisk Dalej.
|
| 11 |
Kliknij Zakończ odnawianie. |
.Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w centrum sterowania, że certyfikat IdP wygaśnie. Ponieważ dostawcy dostawców tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatów, zajmujemy się tym, co jest wymagane w centrumsterowania, wraz z ogólnymi krokami pobierania zaktualizowanych metadanych dostawcy tożsamości i przekazywania ich do centrum sterowania w celu odnowienia certyfikatu.
| 1 |
Aby sprawdzić, czy certyfikat SAML usługodawcy tożsamości wygaśnie:
|
| 2 |
Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.
|
| 3 |
Wróć do zakładki Dostawca tożsamości. |
| 4 |
Przejdź do IdP, kliknij |
| 5 |
Przeciągnij i upuść plik metadanych IdP w oknie lub kliknij Wybierz plik i prześlij go w ten sposób. |
| 6 |
Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. |
| 7 |
Kliknij Testuj aktualizację SSO, aby potwierdzić, że nowy plik metadanych został przesłany i poprawnie zinterpretowany w organizacji Control Hub. Potwierdź oczekiwane wyniki w oknie pop-up i jeśli test zakończył się powodzeniem, wybierz opcję Test zakończony powodzeniem: Aktywuj SSO i IdP i kliknij Zapisz. Aby zobaczyć bezpośrednio działanie logowania jednokrotnego, zalecamy kliknięcie opcji Kopiuj adres URL do schowka na tym ekranie i wklejenie go w prywatnym oknie przeglądarki. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO. Wynik: Wszystko jest gotowe, a certyfikat IdP Twojej organizacji został odnowiony. Status certyfikatu możesz sprawdzić w dowolnym momencie na karcie Dostawca tożsamości.
|
i wybierz Możesz wyeksportować najnowsze metadane Webex SP, gdy chcesz dodać je z powrotem do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.
Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, w których eksport nie został wcześniej przeprowadzony, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości, ponieważ administrator dostawcy tożsamości nie był dostępny, lub jeśli usługodawca tożsamości obsługuje możliwość aktualizowania tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując certyfikat tylko w konfiguracji logowania jednokrotnego i sprawdzaniu poprawności po zdarzeniu.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do . |
| 3 |
Przejdź do zakładki Dostawca tożsamości. |
| 4 |
Przejdź do IdP, kliknij Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml. |
| 5 |
Zaimportuj metadane do dostawcy tożsamości. Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane dodatku SP Webex. Możesz skorzystać z naszych przewodników integracji z IdP lub zapoznać się z dokumentacją konkretnego IdP, jeśli nie ma go na liście. |
| 6 |
Po zakończeniu uruchom test SSO, wykonując czynności opisane w sekcji |
i wybierz Gdy środowisko dostawcy tożsamości uchyli się lub jeśli certyfikat dostawcy tożsamości wygaśnie, możesz zaimportować zaktualizowane metadane do Webex w dowolnym momencie.
Przed rozpoczęciem
Zbierz metadane dostawcy tożsamości, zazwyczaj jako wyeksportowany plik xml.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do . |
| 3 |
Przejdź do zakładki Dostawca tożsamości. |
| 4 |
Przejdź do IdP, kliknij |
| 5 |
Przeciągnij i upuść plik metadanych dostawcy tożsamości w oknie lub kliknij Wybierz plik metadanych i prześlij go w ten sposób. |
| 6 |
Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. |
| 7 |
Kliknij Testuj konfigurację SSOi po otwarciu nowej karty przeglądarki uwierzytelnij się u dostawcy tożsamości, logując się. |
Będziesz otrzymywać alerty w centrum sterowania przed ustawieniem wygaśnięcia certyfikatów, ale możesz także proaktywnie skonfigurować reguły alertów. Te reguły z wyprzedzeniem poinformują Cię, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty elektronicznej, miejsca w aplikacji Webexlub obu.
Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty są zawsze wyświetlane w centrumsterowania. Aby uzyskać więcej informacji, zobacz Centrum alertów w centrum sterowania.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do Centrum alertów. |
| 3 |
Wybierz Zarządzaj, a następnie Wszystkie reguły. |
| 4 |
Z listy Reguły wybierz dowolną z reguł logowania jednokrotnego, które chcesz utworzyć:
|
| 5 |
W sekcji Kanał dostarczania zaznacz pole wyboru E-mail, przestrzeń Webexlub oba. Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, na który powinno zostać wyświetlone powiadomienie. Jeśli wybierzesz opcję przestrzeni Webex, zostaniesz automatycznie dodany do przestrzeni wewnątrz aplikacji Webex, a my dostarczymy tam powiadomienia. |
| 6 |
Zapisz zmiany. |
Co dalej?
Alerty o wygaśnięciu certyfikatu wysyłamy raz na 15 dni, począwszy od 60 dni przed jego wygaśnięciem. (Możesz spodziewać się alertów 60., 45., 30. i 15. dnia.) Alerty ustają po odnowieniu certyfikatu.
Może zostać wyświetlony komunikat informujący, że adres URL pojedynczego wylogowania nie jest skonfigurowany:
Zaleca się skonfigurowanie usługodawcy IdP do obsługi pojedynczego wylogowania (znanego również jako SLO). Webex obsługuje zarówno metody przekierowywania, jak i postowania, dostępne w naszych metadanych pobieranych z Control Hub. Nie wszystkie IdPs obsługują SLO; skontaktuj się z zespołem IdP w celu uzyskania pomocy. Czasami w przypadku głównych dostawców IdP, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują SLO, dokumentujemy sposób konfigurowania integracji. Skonsultuj swoją tożsamość & Zespół ds. bezpieczeństwa o szczegółach Twojego dostawcy tożsamości (IDP) i jego prawidłowej konfiguracji.
Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:
-
Istniejąca sesja IdP pozostaje ważna. Gdy następnym razem użytkownicy się zalogują, mogą nie zostać poproszeni o ponowne uwierzytelnienie przez IdP.
-
Wyświetlamy komunikat ostrzegawczy po wylogowaniu, więc wylogowanie aplikacji Webex nie odbywa się bezproblemowo.
Logowanie jednokrotne (SSO) można wyłączyć dla organizacji Webex zarządzanej w centrumsterowania. Jeśli zmieniasz dostawcę tożsamości (IdP), możesz chcieć wyłączyć funkcję SSO.
Jeśli logowanie jednokrotne zostało włączone dla Twojej organizacji, ale nie powiedzie się, możesz zaangażować partnera Cisco, który może uzyskać dostęp do Twojej organizacji Webex, aby wyłączyć je dla Ciebie.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do . |
| 3 |
Przejdź do zakładki Dostawca tożsamości. |
| 4 |
Kliknij Dezaktywuj SSO. Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu logowania jednokrotnego:
Jeśli wyłączysz logowanie jednokrotne, hasła będą zarządzane przez chmurę, a nie przez zintegrowaną konfigurację dostawcy tożsamości. |
| 5 |
Jeśli rozumiesz wpływ wyłączenia logowania jednokrotnego i chcesz kontynuować, kliknij dezaktywuj. Funkcja SSO zostaje wyłączona, a wszystkie listy certyfikatów SAML zostają usunięte. Jeśli funkcja SSO jest wyłączona, użytkownicy, którzy muszą się uwierzytelnić, zobaczą pole do wpisania hasła podczas logowania.
|
Co dalej?
Jeśli Ty lub klient zmienicie konfigurację logowania jednokrotnego dla organizacji klienta, konta użytkowników ponownie będą korzystać z zasad dotyczących haseł ustawionych przez dostawcę tożsamości zintegrowanego z organizacją WebEx.
Jeśli wystąpią problemy z logowaniem SSO, możesz skorzystać z opcji samodzielnego odzyskiwania SSO, aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja samodzielnego odzyskiwania umożliwia aktualizację lub wyłączenie logowania jednokrotnego (SSO) w Control Hub.
