Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Wdrożenie logowania jednokrotnego nie używa certyfikatu dzisiaj, ale może być potrzebny certyfikat do przyszłych zmian.


Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Centrumsterowania, że certyfikat logowania jednokrotnego (SSO) Webex wygaśnie. Postępuj zgodnie z procesem w tym artykule, aby pobrać metadane certyfikatu chmury logowania jednokrotnego od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex.

Jeśli używasz certyfikatu logowania jednokrotnego SAML Cisco (SP) w organizacji Webex, musisz zaplanować aktualizację certyfikatu chmury podczas regularnego zaplanowanego okna konserwacji tak szybko, jak to możliwe.

Dotyczy to wszystkich usług, które są częścią subskrypcji organizacji Webex, w tym między innymi:

  • Webex App (nowe logowania dla wszystkich platform: komputery stacjonarne, urządzenia mobilne i internet)

  • Usługi Webex w ControlHub, w tym Calling

  • Witryny Webex Meetings zarządzane za pomocą Control Hub

  • Cisco Jabber, jeśli jest zintegrowany z logowaniem jednokrotnym

Przed rozpoczęciem


Przeczytaj wszystkie wskazówki przed rozpoczęciem. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie pomyślnie się zalogować.

Jeśli Twój IdP nie obsługuje wielu certyfikatów (większość dostawców IdP na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tego uaktualnienia w oknie konserwacji, w którym nie ma to wpływu na użytkowników aplikacji Webex. Te zadania uaktualniania powinny zająć około 30 minut w czasie operacyjnym i walidacji po zdarzeń.

1

Aby sprawdzić, czy certyfikat logowania jednokrotnego SAML Cisco (SP) wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość Webex App, ale powinieneś sprawdzić w Control Hub, aby się tego podać.
  • Zaloguj się do https://admin.webex.comprogramu i sprawdź Centrum alertów. Może zostać powiadomione o aktualizacji certyfikatu dostawcy usług logowania jednokrotnego.

  • Zaloguj się do https://admin.webex.com, przejdź do pozycji Zarządzanie > Ustawienia organizacji > Uwierzytelnianie izanotuj stan certyfikatu w tabeli Certyfikat SAML Cisco (wygasł lub wkrótce wygaśnie). Kliknij przycisk Odnów certyfikat, aby kontynuować.

Możesz przejść bezpośrednio do Kreatora logowania jednokrotnego, aby zaktualizować certyfikat. Jeśli zdecydujesz się zamknąć kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie z poziomu zarządzania > ustawieniami organizacji >uwierzytelniania whttps://admin.webex.comprogramie .

2

Wybierz typ certyfikatu do odnowienia:

  • Podpis własny firmy Cisco— zalecamy ten wybór. Pozwól nam podpisać certyfikat, więc musisz go odnawiać tylko raz na pięć lat.
  • Podpisane przez publiczny urząd certyfikacji— bezpieczniejsze, ale trzeba będzie często aktualizować metadane (chyba że dostawca dostawcy tożsamości obsługuje kotwice zaufania).

     

    Kotwice zaufania to klucze publiczne, które działają jako urząd do weryfikacji certyfikatu podpisu cyfrowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługodawcy internetowego.

3

Kliknij Pobierz plik metadanych, aby pobrać kopię zaktualizowanych metadanych z nowym certyfikatem z chmury Webex. Niech ten ekran będzie otwarty.

4

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby przesłać nowy plik metadanych Webex.

5

Wróć do karty, na której zalogowano się do centrum sterowania, i kliknij przycisk Dalej .

6

Kliknij przycisk Testuj aktualizację logowania jednokrotnego, aby potwierdzić, że nowy plik metadanych został poprawnie przesłany i zinterpretowany przez dostawcę tożsamości. Potwierdź oczekiwane wyniki w wyskakującym oknie, a jeśli test zakończył się pomyślnie, kliknij Przełącz na nowe metadane.


 

Aby bezpośrednio wyświetlić logowanie jednokrotne, możesz też kliknąć opcję Kopiuj adres URL do schowka z tego ekranu i wkleić go w prywatnym oknie przeglądarki. Stamtąd możesz przejść przez logowanie się za pomocą logowania jednokrotnego. Pomaga to usunąć wszelkie informacje buforowane w przeglądarce internetowej, które mogą dostarczyć fałszywie pozytywny wynik podczas testowania konfiguracji logowania jednokrotnego.

Wynik: Wszystko jest gotowe, a certyfikat logowania jednokrotnego SAML Cisco (SP) Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie, otwierając tabelę stanu certyfikatu SAML w obszarze Zarządzanie > Ustawienia organizacji > uwierzytelnianie.


Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w centrum sterowania, że certyfikat IdP wygaśnie. Ponieważ dostawcy dostawców tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatów, zajmujemy się tym, co jest wymagane w centrumsterowania, wraz z ogólnymi krokami pobierania zaktualizowanych metadanych dostawcy tożsamości i przekazywania ich do centrum sterowania w celu odnowienia certyfikatu.

1

Aby sprawdzić, czy certyfikat SAML usługodawcy tożsamości wygaśnie:

  • Być może otrzymałeś od nas wiadomość e-mail lub wiadomość Webex App, ale powinieneś sprawdzić w Control Hub, aby się tego podać.
  • Zaloguj się do https://admin.webex.comprogramu i sprawdź Centrum alertów. Może pojawić się powiadomienie o aktualizacji certyfikatu SAML IdP:

  • Zaloguj się do https://admin.webex.com, przejdź do pozycji Zarządzanie > Ustawienia organizacji > Uwierzytelnianie izanotuj stan certyfikatu (wygasł lub wkrótce wygasa) w tabeli Certyfikat SAML. Kliknij przycisk Odnów certyfikat, aby kontynuować.
  • Możesz przejść bezpośrednio do Kreatora logowania jednokrotnego, aby zaktualizować certyfikat. Jeśli zdecydujesz się zamknąć kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie z poziomu zarządzania > ustawieniami organizacji >uwierzytelniania whttps://admin.webex.comprogramie .

2

Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.

3

Wróć do obszaru Zarządzanie > Ustawienia organizacji > Uwierzytelnianie whttps://admin.webex.comprogramie , a następnie wybierz pozycję Akcje > importujmetadane.

4

Przeciągnij i upuść plik metadanych dostawcy tożsamości w oknie lub kliknij Wybierz plik metadanych i prześlij go w ten sposób.

5

Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

6

Kliknij przycisk Testuj aktualizację logowania jednokrotnego, aby potwierdzić, że nowy plik metadanych został poprawnie przekazany i zinterpretowany do organizacji Usługi Control Hub. Potwierdź oczekiwane wyniki w wyskakującym oknie, a jeśli test zakończył się pomyślnie, kliknij Przełącz na nowe metadane.


 

Aby bezpośrednio wyświetlić logowanie jednokrotne, możesz też kliknąć opcję Kopiuj adres URL do schowka z tego ekranu i wkleić go w prywatnym oknie przeglądarki. Stamtąd możesz przejść przez logowanie się za pomocą logowania jednokrotnego. Pomaga to usunąć wszelkie informacje buforowane w przeglądarce internetowej, które mogą dostarczyć fałszywie pozytywny wynik podczas testowania konfiguracji logowania jednokrotnego.

Wynik: Wszystko jest gotowe, a certyfikat IdP Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie, otwierając tabelę stanu certyfikatu SAML w obszarze Zarządzanie > Ustawienia organizacji > uwierzytelnianie.

Możesz wyeksportować najnowsze metadane Webex SP, gdy chcesz dodać je z powrotem do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.

Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, w których eksport nie został wcześniej przeprowadzony, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości, ponieważ administrator dostawcy tożsamości nie był dostępny, lub jeśli usługodawca tożsamości obsługuje możliwość aktualizowania tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując certyfikat tylko w konfiguracji logowania jednokrotnego i sprawdzaniu poprawności po zdarzeniu.

1

Z widoku klienta w menu https://admin.webex.comPrzejdź do pozycji Zarządzanie > Ustawienia organizacji , przewiń do pozycji Uwierzytelnianie, a następnie wybierz pozycję Akcje > Eksportujmetadane.

Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml.

2

Zaimportuj metadane do dostawcy tożsamości.

Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane dodatku SP Webex. Możesz skorzystać z naszych przewodników integracji z IdP lub zapoznać się z dokumentacją konkretnego IdP, jeśli nie ma go na liście.

3

Po zakończeniu uruchom test logowania jednokrotnego, wykonując czynności opisane w artykule "Renew Webex Certificate (SP)" w tym artykule.

Gdy środowisko dostawcy tożsamości uchyli się lub jeśli certyfikat dostawcy tożsamości wygaśnie, możesz zaimportować zaktualizowane metadane do Webex w dowolnym momencie.

Przed rozpoczęciem

Zbierz metadane dostawcy tożsamości, zazwyczaj jako wyeksportowany plik xml.

1

Z widoku klienta w https://admin.webex.commenu Przejdź do pozycji Zarządzanie > Ustawienia organizacji , przewiń do pozycji Uwierzytelnianie, a następnie wybierz pozycję Akcje > Importujmetadane.

2

Przeciągnij i upuść plik metadanych dostawcy tożsamości w oknie lub kliknij Wybierz plik metadanych i prześlij go w ten sposób.

3

Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości.

Będziesz otrzymywać alerty w centrum sterowania przed ustawieniem wygaśnięcia certyfikatów, ale możesz także proaktywnie skonfigurować reguły alertów. Te reguły z wyprzedzeniem poinformują Cię, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty elektronicznej, miejsca w aplikacji Webexlub obu.


Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty są zawsze wyświetlane w centrumsterowania. Aby uzyskać więcej informacji, zobacz Centrum alertów w centrum sterowania.

1

Z widoku klienta w https://admin.webex.comprogramie przejdź do Centrumalertów.

2

Wybierz Zarządzaj, a następnie Wszystkie reguły.

3

Z listy Reguły wybierz dowolną z reguł logowania jednokrotnego, które chcesz utworzyć:

  • Wygaśnięcie certyfikatu IDP logowania jednokrotnego
  • Wygaśnięcie certyfikatu SSO SP
4

W sekcji Kanał dostarczania zaznacz pole wyboru E-mail,przestrzeń Webexlub oba.

Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, na który powinno zostać wyświetlone powiadomienie.


 

Jeśli wybierzesz opcję przestrzeni Webex, zostaniesz automatycznie dodany do przestrzeni wewnątrz aplikacji Webex, a my dostarczymy tam powiadomienia.

5

Zapisz zmiany.

Co dalej?

Alerty o wygaśnięciu certyfikatu wysyłamy raz na 15 dni, począwszy od 60 dni przed jego wygaśnięciem. (Alertów można spodziewać się w dniach 60,45, 30 i 15). Alerty są zatrzymywane po odnowieniu certyfikatu.

Może zostać wyświetlone powiadomienie, że adres URL pojedynczego wylogowania nie jest skonfigurowany:


Zaleca się skonfigurowanie usługodawcy IdP do obsługi pojedynczego wylogowania (znanego również jako SLO). Webex obsługuje zarówno metody przekierowywania, jak i postowania, dostępne w naszych metadanych pobieranych z Control Hub. Nie wszystkie IdPs obsługują SLO; skontaktuj się z zespołem IdP w celu uzyskania pomocy. W niektórych przypadkach dla głównych dostawców dostawców tożsamości, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują SLO, dokumentujemy, jak skonfigurować integrację. Skonsultuj się ze swoim zespołem ds. tożsamości i bezpieczeństwa w sprawie specyfiki swojego dostawcy tożsamości i sposobu prawidłowej konfiguracji.

Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:

  • Istniejąca sesja IdP pozostaje ważna. Gdy następnym razem użytkownicy się zalogują, mogą nie zostać poproszeni o ponowne uwierzytelnienie przez IdP.

  • Wyświetlamy komunikat ostrzegawczy po wylogowaniu, więc wylogowanie aplikacji Webex nie odbywa się bezproblemowo.

Logowanie jednokrotne (SSO) można wyłączyć dla organizacji Webex zarządzanej w centrumsterowania. Możesz wyłączyć logowanie jednokrotne, które zmieniasz dostawców tożsamości (IdPs).


Jeśli logowanie jednokrotne zostało włączone dla Twojej organizacji, ale nie powiedzie się, możesz zaangażować partnera Cisco, który może uzyskać dostęp do Twojej organizacji Webex, aby wyłączyć je dla Ciebie.

1

Z widoku klienta w menu https://admin.webex.comPrzejdź do pozycji Zarządzanie > Ustawienia organizacji , a następnie przewiń do pozycjiUwierzytelnianie.

2

Aby wyłączyć logowanie jednokrotne, wyłącz ustawienie Logowanie jednokrotne.

Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu logowania jednokrotnego:

Jeśli wyłączysz logowanie jednokrotne, hasła będą zarządzane przez chmurę, a nie przez zintegrowaną konfigurację dostawcy tożsamości.

3

Jeśli rozumiesz wpływ wyłączenia logowania jednokrotnego i chcesz kontynuować, kliknij dezaktywuj.

W centrumsterowania zobaczysz wyłączone ustawienie logowania jednokrotnego i wszystkie listy certyfikatów SAML zostaną usunięte.

Jeśli logowanie jednokrotne jest wyłączone, użytkownicy, którzy muszą się uwierzytelnić, zobaczą pole wprowadzania hasła podczas procesu logowania.

  • Użytkownicy, którzy nie mają hasła w aplikacji Webex, muszą zresetować hasło lub wysłać wiadomość e-mail, aby ustawić hasło.

  • Istniejący uwierzytelnieni użytkownicy z prawidłowym tokenem OAuth będą nadal mieli dostęp do aplikacjiWebex.

  • Nowi użytkownicy utworzeni podczas wyłączania logowania jednokrotnego otrzymają wiadomość e-mail z prośbą o utworzenie hasła.

Co dalej?

Jeśli Użytkownik lub klient ponownie skonfiguruje logowanie jednokrotne dla organizacji klienta, konta użytkowników powrócą do korzystania z zasad haseł ustawionych przez usługodawcę tożsamości zintegrowanego z organizacją Webex.