SSO no Control Hub

Se você quiser configurar o SSO para vários provedores de identidade na sua organização, consulte SSO com vários IdPs no Webex .


 

Se o uso de certificados da sua organização estiver definido como Nenhum, mas você ainda estiver recebendo um alerta, recomendamos que você ainda prossiga com a atualização. Sua implantação de SSO não está usando o certificado hoje, mas você pode precisar do certificado para alterações futuras.


 

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado de logon único (SSO) Webex vai expirar. Siga o processo neste artigo para recuperar os metadados do certificado de SSO em nuvem de nós (o SP) e adicioná-los novamente ao seu IdP; caso contrário, os usuários não poderão usar os serviços Webex .

Se você estiver usando o certificado SAML Cisco (SP) SSO em sua organização Webex, você deve planejar atualizar o certificado em nuvem durante uma janela de manutenção regular agendada o mais rápido possível.

Todos os serviços que fazem parte da assinatura da sua organização Webex são afetados, incluindo, entre outros:

  • Aplicativo Webex (novos logins para todas as plataformas: desktop, celular e web)

  • Serviços Webex no Control Hub, incluindo Chamadas

  • Sites Webex Meetings gerenciados através do Control Hub

  • Cisco Jabber , se for integrado com SSO

Antes de você começar


 

Leia todas as instruções antes de começar. Depois de alterar o certificado ou passando pelo assistente para atualizar o certificado, novos usuários podem não ser capazes de Iniciar sessão com êxito.

Se o seu IdP não suporta vários certificados (a maioria dos IdPs no mercado não suporta esse recurso), recomendamos que você agende essa atualização durante uma janela de manutenção onde os usuários do aplicativo Webex não são afetados. Essas tarefas de atualização devem levar aproximadamente 30 minutos em tempo operacional e validação pós-ventilação.

1

Para verificar se o certificado de SSO SAML da Cisco (SP) vai expirar:

  • Você pode ter recebido um e-mail ou mensagem do aplicativo Webex , mas verifique no Control Hub para ter certeza.
  • Iniciar sessão emhttps://admin.webex.com , e verifique sua Central de alertas . Pode haver uma notificação sobre a atualização do certificado do provedor de serviços SSO.

  • Inicie sessão em https://admin.webex.com, vá para Management > Configurações da organização > Autenticação , e clique em Gerenciar SSO e IdPs .
  • Vá para a guia Provedor de identidade e observe o status do certificado Cisco SP e a data de expiração.

Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de terminá-lo, poderá acessá-lo novamente a qualquer momento em Gerenciamento > Configurações da organização > Autenticação emhttps://admin.webex.com .

2

Vá para o IdP e clique em .

3

Clique Revisar certificados e data de validade .

Isso o levará ao Certificados de provedor de serviços (SP) janela.
4

Clique Renovar certificado .

5

Escolha o tipo de certificado para a renovação:

  • Autoassinado pela Cisco —Recomendamos esta escolha. Deixe-nos assinar o certificado para que você só precise renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu provedor IdP ofereça suporte a âncoras de confiança).

     

    As âncoras de confiança são chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

6

Clique Baixar arquivo de metadados para baixar uma cópia dos metadados atualizados com o novo certificado do Webex Cloud. Mantenha esta tela aberta.

7

Navegue até a interface de gerenciamento IdP para carregar o novo arquivo de metadados Webex .

  • Esta etapa pode ser executada por meio de uma guia do navegador, protocolo de desktop remoto (RDP) ou por meio de suporte específico do provedor de nuvem, dependendo da configuração da sua IdP e se você ou um administrador IdP separado é responsável por esta etapa.
  • Para referência, veja nossos guias de integração de SSO ou entre em contato com o administrador IdP para obter suporte. Se nos serviços de Federação do Active Directory (AD FS), você puder veja como atualizar os metadados Webex no AD FS .
8

Retorne para a guia em que você iniciou sessão no Control Hub e clique em Próximo .

9

Isso é para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente pelo seu IdP. Confirme os resultados esperados na janela pop-up e, se o teste foi bem-sucedido, clique em Alternar para novos metadados .


 

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

Resultado: Você terminou, e o certificado de SSO SAML da Cisco (SP) da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento na guia Provedor de identidade .


 

Ocasionalmente, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado IdP irá expirar. Como os fornecedores de IdP têm sua própria documentação específica para a renovação do certificado, abordamos o que é necessário no Control Hub, juntamente com as etapas genéricas para recuperar metadados IdP atualizados e carregá-los no Control Hub para renovar o certificado.

1

Para verificar se o certificado IdP SAML vai expirar:

  • Você pode ter recebido um e-mail ou mensagem do aplicativo Webex , mas verifique no Control Hub para ter certeza.
  • Iniciar sessão emhttps://admin.webex.com , e verifique sua Central de alertas . Pode haver uma notificação sobre a atualização do certificado IdP SAML:

  • Inicie sessão em https://admin.webex.com, vá para Management > Configurações da organização > Autenticação , e clique em Gerenciar SSO e IdPs .
  • Vá para a guia Provedor de identidade e observe o status do certificado IdP (expirado ou expirando em breve) e a data de expiração.
  • Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de terminá-lo, poderá acessá-lo novamente a qualquer momento em Gerenciamento > Configurações da organização > Autenticação emhttps://admin.webex.com .

2

Navegue até a interface de gerenciamento IdP para recuperar o novo arquivo de metadados.

  • Esta etapa pode ser executada por meio de uma guia do navegador, protocolo de desktop remoto (RDP) ou por meio de suporte específico do provedor de nuvem, dependendo da configuração da sua IdP e se você ou um administrador IdP separado é responsável por esta etapa.
  • Para referência, veja nossos guias de integração de SSO ou entre em contato com o administrador IdP para obter suporte.
3

Retorne à guia Provedor de identidade .

4

Vá para o IdP, clique emcarregar e selecione Carregar metadados Idp .

5

Arraste e solte o arquivo de metadados do IdP na janela ou clique em Escolher um arquivo e carregue-o dessa forma.

6

Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

7

Clique Testar atualização de SSO para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente na organização do Control Hub. Confirme os resultados esperados na janela pop-up e, se o teste tiver sido bem-sucedido, selecione Teste bem-sucedido: Ative o SSO e o IdP e clique em Salvar .


 

Para ver diretamente a experiência de início de sessão do SSO, recomendamos que você clique em Copiar URL para a área de transferência desta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

Resultado: Você terminou, e o certificado de IdP da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento na guia Provedor de identidade .

Você pode exportar os metadados mais recentes do Webex SP sempre que precisar adicioná-los de volta ao seu IdP. Você verá um aviso quando os metadados IdP SAML importados expirarem ou tiverem expirado.

Esta etapa é útil em cenários comuns de gerenciamento de certificados IdP SAML, como IdPs que oferecem suporte a vários certificados em que a exportação não foi feita anteriormente, se os metadados não foram importados para o IdP porque um administrador IdP não estava disponível ou se o IdP suporta o capacidade de atualizar apenas o certificado. Essa opção pode ajudar a minimizar a alteração atualizando apenas o certificado na configuração de SSO e na validação pós-evento.

1

A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

2

Ir para Provedor de identidade guia.

3

Vá para o IdP, clique Baixe e selecione Baixar metadados SP .

O nome do arquivo de metadados Webex é idb-meta- -SP.xml .<org-ID>

4

Importe os metadados para seu IdP.

Siga a documentação do seu IdP para importar os metadados do Webex SP. Você pode usar nossos Guias de integração do IdP ou consulte a documentação do seu IdP específico, se não estiver listado.

5

Quando terminar, execute o teste de SSO usando as etapas em Renovar o certificado Webex (SP) neste artigo.

Quando o ambiente IdP mudar ou se o seu certificado IdP for expirar, você poderá importar os metadados atualizados para o Webex a qualquer momento.

Antes de você começar

Reúna os metadados IdP, normalmente como um arquivo xml exportado.

1

A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

2

Ir para Provedor de identidade guia.

3

Vá para o IdP, clique emcarregar e selecione Carregar metadados Idp .

4

Arraste e solte o arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregá-lo dessa forma.

5

Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

6

Clique Testar a configuração do SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Você receberá alertas no Control Hub antes que os certificados sejam configurados para expirar, mas também será possível configurar de alerta de forma proativa. Essas regras informam de antemão que seus certificados SP ou IdP vão expirar. Podemos enviá-los a você por e-mail, por um espaço no aplicativo Webex ou por ambos.


 

Independentemente do canal de entrega configurado, todos os alertas sempre aparecerão no Control Hub. Ver Central de alertas no Control Hub para obter mais informações.

1

A partir da exibição do cliente emhttps://admin.webex.com , ir para Central de alertas .

2

Escolher Gerenciar então Todas as regras .

3

Na lista Regras, escolha qualquer uma das regras de SSO que você gostaria de criar:

  • Certificado IdP de SSO expirou
  • Certificado IdP de SSO expirou
4

Na seção Canal de entrega, marque a caixa para E-mail , Espaço Webex , ou ambos.

Se você escolher E-mail, insira o endereço de email de e-mail que deve receber a notificação.


 

Se você escolher a opção de espaço Webex , você será automaticamente adicionado a um espaço dentro do aplicativo Webex e entregaremos as notificações ali.

5

Salve suas alterações.

O que fazer em seguida

Enviamos alertas de expiração do certificado uma vez a cada 15 dias, começando 60 dias antes da expiração. (Você pode esperar alertas nos dias 60, 45, 30 e 15.) Os alertas param quando você renova o certificado.

Você pode ver um aviso de que a URL de logoff único não está configurada:


 

Recomendamos que você configure seu IdP para suportar o logoff único (também conhecido como SLO). O Webex suporta os métodos de redirecionamento e de publicação, disponíveis em nossos metadados baixados do Control Hub. Nem todos os IdPs suportam SLO; entre em contato com a equipe IdP para obter assistência. Às vezes, para os principais fornecedores de IdP como AzureAD, Ping Federate, ForgeRock e Oracle, que suportam SLO, documentamos como configurar a integração . Consulte sua equipe de Identidade e Segurança sobre as especificidades do seu IDP e como configurá-lo corretamente.

Se a URL de logoff único não estiver configurada:

  • Uma sessão IdP existente permanece válida. Na próxima vez que os usuários fizerem Iniciar sessão, talvez não sejam solicitados pelo IdP para nova autenticação.

  • Exibimos uma mensagem de aviso ao finalizar a finalizar sessão para que o logoff do aplicativo Webex não aconteça sem interrupções.

Você pode desabilitar o logon único (SSO) para sua organização Webex gerenciada no Control Hub. Você pode querer desativar o SSO se estiver alterando os provedores de identidade (IdPs).


 

Se o logon único tiver sido ativado para sua organização, mas estiver falhando, você poderá envolver seu parceiro da Cisco, que pode acessar sua organização Webex , para desativá-lo para você.

1

A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

2

Ir para Provedor de identidade guia.

3

Clique Desativar SSO .

Uma janela pop-up -up é exibida avisando sobre a desabilitação do SSO:

Desativar SSO

Se você desabilitar o SSO, as senhas serão gerenciadas pela nuvem em vez de sua configuração IdP integrada.

4

Se você entender o impacto de desabilitar o SSO e quiser continuar, clique em Desativar .

O logon único está desativado e todas as listagens de certificados SAML são removidas.

Se o logon único estiver desativado, os usuários que tiverem que autenticar verão um campo de entrada de senha durante o processo de início de sessão.

  • Os usuários que não têm uma senha no aplicativo Webex devem redefinir a senha ou enviar um e-mail para que definam uma senha.

  • Os usuários autenticados existentes com um token OAuth válido continuarão tendo acesso ao aplicativo Webex .

  • Os novos usuários criados com o SSO desativado recebem um e-mail solicitando que criem uma senha.

O que fazer em seguida

Se você ou o cliente reconfigurarem o SSO para a organização do cliente, as contas de usuário voltarão a usar a política de senha definida pelo IdP integrado à organização Webex.

Se você tiver problemas com o logon do SSO, poderá usar o Opção de auto-recuperação de SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de auto-recuperação permite que você atualize ou desabilite o SSO no Control Hub.