Dziękujemy za opinię.
Zarządzaj integracją jednokrotnego logowania w Control Hub
Opinia?
Jeśli chcesz skonfigurować logowanie SSO dla wielu dostawców tożsamości w organizacji, zapoznaj się z logowaniem SSO z wieloma dostawcami tożsamości w usłudze Webex.
Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Wdrożenie logowania jednokrotnego nie używa certyfikatu dzisiaj, ale może być potrzebny certyfikat do przyszłych zmian.
Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Centrum sterowania, że certyfikat logowania jednokrotnego (SSO) Webex wygaśnie. Postępuj zgodnie z procesem w tym artykule, aby pobrać metadane certyfikatu chmury logowania jednokrotnego od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex.
Jeśli używasz certyfikatu SAML Cisco (SP) SSO w organizacji Webex, musisz jak najszybciej zaplanować aktualizację certyfikatu w chmurze w oknie regularnej zaplanowanej konserwacji.
Dotyczy to wszystkich usług, które są częścią subskrypcji organizacji Webex, w tym między innymi:
-
Webex App (nowe logowania dla wszystkich platform: komputery stacjonarne, urządzenia mobilne i internet)
-
Usługi Webex w ControlHub, w tym Calling
-
Witryny Webex Meetings zarządzane za pomocą Control Hub
-
Cisco Jabber, jeśli jest zintegrowany z logowaniem jednokrotnym
Przed rozpoczęciem
Przeczytaj wszystkie wskazówki przed rozpoczęciem. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie pomyślnie się zalogować.
Jeśli dostawca tożsamości nie obsługuje wielu certyfikatów (większość dostawców tożsamości na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tego uaktualnienia w oknie zaplanowanej konserwacji, gdy nie będzie to miało wpływu na użytkowników aplikacji Webex. Czas działania tych zadań uaktualniania powinien potrwać około 30 minut i po ich weryfikacji.
| 1 |
Aby sprawdzić, czy certyfikat logowania jednokrotnego SAML Cisco (SP) wygaśnie:
Możesz przejść bezpośrednio do Kreatora logowania jednokrotnego, aby zaktualizować certyfikat. Jeśli zdecydujesz się zamknąć kreatora przed jego ukończeniem, możesz uzyskać do niego ponownie w dowolnym momencie w menu https://admin.webex.com. |
| 2 |
Przejdź do dostawcy tożsamości i kliknij przycisk |
| 3 |
Kliknij Przejrzyj certyfikaty i data wygaśnięcia. |
| 4 |
Kliknij opcję Odnów certyfikat. |
| 5 |
Wybierz typ dostawcy tożsamości, którego używa Twoja organizacja.
Jeśli twój idP obsługuje jeden certyfikat, zaleca się czekać na wykonanie tych kroków podczas zaplanowanego przestoju. Podczas aktualizacji certyfikatu Webex nowe logowania użytkowników przez chwilę nie będą działać; istniejące zalogowania nie zostaną przerwane. |
| 6 |
Wybierz typ certyfikatu do odnowienia:
|
| 7 |
Kliknij opcję Pobierz plik metadanych , aby pobrać z chmury Webex kopię zaktualizowanych metadanych z nowym certyfikatem. Niech ten ekran będzie otwarty. |
| 8 |
Przejdź do interfejsu zarządzania dostawcą tożsamości, aby przesłać nowy plik metadanych Webex.
|
| 9 |
Wróć do karty, na której zalogowano się w Control Hub, i kliknij przycisk Dalej. |
| 10 |
Zaktualizuj dostawcę tożsamości o nowy certyfikat i metadane dostawcy usług, a następnie kliknij przycisk Dalej.
|
| 11 |
Kliknij Zakończ odnawianie. |
.Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w centrum sterowania, że certyfikat IdP wygaśnie. Ponieważ dostawcy dostawców tożsamości mają własną dokumentację dotyczącą odnawiania certyfikatów, zajmujemy się tym, co jest wymagane w centrumsterowania, wraz z ogólnymi krokami pobierania zaktualizowanych metadanych dostawcy tożsamości i przekazywania ich do centrum sterowania w celu odnowienia certyfikatu.
| 1 |
Aby sprawdzić, czy certyfikat SAML usługodawcy tożsamości wygaśnie:
|
| 2 |
Przejdź do interfejsu zarządzania dostawcą tożsamości, aby pobrać nowy plik metadanych.
|
| 3 |
Wróć na kartę Dostawca tożsamości . |
| 4 |
Przejdź do dostawcy tożsamości, kliknij pozycję |
| 5 |
Przeciągnij i upuść plik metadanych IdP do okna lub kliknij opcję Wybierz plik i prześlij go w ten sposób. |
| 6 |
Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. |
| 7 |
Kliknij Testuj aktualizację jednokrotnego logowania , aby potwierdzić, że nowy plik metadanych został poprawnie przesłany i zinterpretowany w organizacji Control Hub. Potwierdź oczekiwane wyniki w oknie podręcznym, a jeśli test zakończył się pomyślnie, wybierz opcję Udany test: Aktywuj logowanie SSO i dostawcę tożsamości , a następnie kliknij przycisk Zapisz. Aby bezpośrednio wyświetlić środowisko logowania SSO, zalecamy kliknięcie na tym ekranie opcji Skopiuj adres URL do schowka i wklejenie go w oknie przeglądarki w trybie prywatnym. W tym oknie można przejść przez proces logowania SSO. Pomaga to usunąć z pamięci podręcznej przeglądarki internetowej informacje, które mogą dawać wyniki fałszywie dodatnie podczas testowania konfiguracji logowania SSO. Wynik: Wszystko jest gotowe, a certyfikat IdP Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie na karcie Dostawca tożsamości .
|
i wybierz pozycję Możesz wyeksportować najnowsze metadane Webex SP, gdy chcesz dodać je z powrotem do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.
Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, w których eksport nie został wcześniej przeprowadzony, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości, ponieważ administrator dostawcy tożsamości nie był dostępny, lub jeśli usługodawca tożsamości obsługuje możliwość aktualizowania tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując certyfikat tylko w konfiguracji logowania jednokrotnego i sprawdzaniu poprawności po zdarzeniu.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno opcje , przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj jednokrotnym logowaniem (SSO) i dostawcami tożsamości. |
| 2 |
Przejdź do karty Dostawca tożsamości . |
| 3 |
Przejdź do dostawcy tożsamości, kliknij pozycję Nazwa pliku metadanych aplikacji Webex to idb-meta--SP.xml. |
| 4 |
Zaimportuj metadane do dostawcy tożsamości. Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane dodatku SP Webex. Możesz skorzystać z naszych przewodników integracji z IdP lub zapoznać się z dokumentacją konkretnego IdP, jeśli nie ma go na liście. |
| 5 |
Po zakończeniu uruchom test SSO, wykonując czynności opisane w |
i wybierz opcję Gdy środowisko dostawcy tożsamości uchyli się lub jeśli certyfikat dostawcy tożsamości wygaśnie, możesz zaimportować zaktualizowane metadane do Webex w dowolnym momencie.
Przed rozpoczęciem
Zbierz metadane dostawcy tożsamości, zazwyczaj jako wyeksportowany plik xml.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno opcje , przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj jednokrotnym logowaniem (SSO) i dostawcami tożsamości. |
| 2 |
Przejdź do karty Dostawca tożsamości . |
| 3 |
Przejdź do dostawcy tożsamości, kliknij pozycję |
| 4 |
Przeciągnij i upuść plik metadanych dostawcy tożsamości w oknie lub kliknij Wybierz plik metadanych i prześlij go w ten sposób. |
| 5 |
Wybierz opcję Mniej bezpieczne (podpis własny) lub Bezpieczniejsze (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. |
| 6 |
Kliknij opcję Testuj konfigurację jednokrotnego logowania, a po otwarciu nowej karty przeglądarki uwierzytelnij się przy użyciu dostawcy tożsamości, logując się. |
Będziesz otrzymywać alerty w centrum sterowania przed ustawieniem wygaśnięcia certyfikatów, ale możesz także proaktywnie skonfigurować reguły alertów. Te reguły z wyprzedzeniem poinformują Cię, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty elektronicznej, miejsca w aplikacji Webexlub obu.
Niezależnie od skonfigurowanego kanału dostarczania wszystkie alerty są zawsze wyświetlane w centrumsterowania. Aby uzyskać więcej informacji, zobacz Centrum alertów w centrum sterowania.
| 1 |
Zaloguj się do centrum sterowania. |
| 2 |
Przejdź do Centrum alertów. |
| 3 |
Wybierz Zarządzaj, a następnie Wszystkie reguły. |
| 4 |
Z listy Reguły wybierz dowolną z reguł logowania jednokrotnego, które chcesz utworzyć:
|
| 5 |
W sekcji Kanał dostarczania zaznacz pole wyboru E-mail, przestrzeń Webexlub oba. Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, na który powinno zostać wyświetlone powiadomienie. Jeśli wybierzesz opcję przestrzeni Webex, zostaniesz automatycznie dodany do przestrzeni wewnątrz aplikacji Webex, a my dostarczymy tam powiadomienia. |
| 6 |
Zapisz zmiany. |
Co dalej?
Alerty o wygaśnięciu certyfikatu wysyłamy raz na 15 dni, począwszy od 60 dni przed jego wygaśnięciem. (Alerty można oczekiwać w dniach 60., 45., 30. i 15.) Alerty zatrzymują się po odnowieniu certyfikatu.
Może zostać wyświetlone powiadomienie, że adres URL pojedynczego wylogowania nie jest skonfigurowany:
Zaleca się skonfigurowanie usługodawcy IdP do obsługi pojedynczego wylogowania (znanego również jako SLO). Webex obsługuje zarówno metody przekierowywania, jak i postowania, dostępne w naszych metadanych pobieranych z Control Hub. Nie wszystkie IdPs obsługują SLO; skontaktuj się z zespołem IdP w celu uzyskania pomocy. Czasami w przypadku głównych dostawców tożsamości, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują protokół SLO, dokumentujemy sposób skonfigurowania integracji. Skontaktuj się z zespołem ds. tożsamości i bezpieczeństwa, aby uzyskać szczegółowe informacje o swoim dostawcy tożsamości i sposobie jego prawidłowej konfiguracji.
Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:
-
Istniejąca sesja IdP pozostaje ważna. Gdy następnym razem użytkownicy się zalogują, mogą nie zostać poproszeni o ponowne uwierzytelnienie przez IdP.
-
Wyświetlamy komunikat ostrzegawczy po wylogowaniu, więc wylogowanie aplikacji Webex nie odbywa się bezproblemowo.
Logowanie jednokrotne (SSO) można wyłączyć dla organizacji Webex zarządzanej w centrumsterowania. W przypadku zmiany dostawców tożsamości (IdPs) można wyłączyć jednokrotne logowanie.
Jeśli logowanie jednokrotne zostało włączone dla Twojej organizacji, ale nie powiedzie się, możesz zaangażować partnera Cisco, który może uzyskać dostęp do Twojej organizacji Webex, aby wyłączyć je dla Ciebie.
| 1 |
W widoku klienta na stronie https://admin.webex.com wybierz kolejno opcje , przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj jednokrotnym logowaniem (SSO) i dostawcami tożsamości. |
| 2 |
Przejdź do karty Dostawca tożsamości . |
| 3 |
Kliknij opcję Dezaktywuj logowanie SSO. Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu logowania jednokrotnego:
Jeśli wyłączysz logowanie jednokrotne, hasła będą zarządzane przez chmurę, a nie przez zintegrowaną konfigurację dostawcy tożsamości. |
| 4 |
Jeśli rozumiesz wpływ wyłączenia logowania jednokrotnego i chcesz kontynuować, kliknij dezaktywuj. Logowanie SSO jest wyłączone i wszystkie listy certyfikatów SAML są usuwane. Jeśli logowanie SSO jest wyłączone, użytkownicy wymagający uwierzytelnienia zobaczą pole wprowadzania hasła podczas procesu logowania.
|
Co dalej?
Jeśli Ty lub klient ponownie skonfigurujesz logowanie SSO w organizacji klienta, konta użytkowników powrócą do korzystania z zasad haseł ustawionych przez dostawcę tożsamości zintegrowanego z organizacją Webex.
Jeśli wystąpią problemy z logowaniem SSO, możesz użyć opcji automatycznego odzyskiwania SSO , aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja samoodzyskiwania umożliwia aktualizację lub wyłączenie jednokrotnego logowania (SSO) w Control Hub.
