Use os recursos de gerenciamento de SSO no Control Hub para gerenciamento de certificados e atividades de manutenção de SSO geral, como atualizar um certificado que expira ou verificar sua configuração de SSO existente. Cada recurso de gerenciamento de SSO é abordado nas guias individuais deste artigo.
Se o uso de certificados da sua organização estiver definido como Nenhum, mas você ainda estiver recebendo um alerta, recomendamos que você ainda prossiga com a atualização. Sua implantação de SSO não está usando o certificado hoje, mas você pode precisar do certificado para alterações futuras. |
De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado de logon único (SSO) Webex vai expirar. Siga o processo neste artigo para recuperar os metadados do certificado de SSO em nuvem de nós (o SP) e adicioná-los novamente ao seu IdP; caso contrário, os usuários não poderão usar os serviços Webex . |
Se você estiver usando o certificado de SSO SAML Cisco (SP) na sua organização Webex , você deve planejar a atualização do certificado em nuvem durante uma janela de manutenção regular agendada o mais breve possível.
Todos os serviços que fazem parte da assinatura da sua organização Webex são afetados, incluindo, entre outros:
Aplicativo Webex (novos logins para todas as plataformas: desktop, celular e web)
Serviços Webex no Control Hub, incluindo Chamadas
Sites Webex Meetings gerenciados através do Control Hub
Cisco Jabber , se for integrado com SSO
Antes de você começar
Leia todas as instruções antes de começar. Depois de alterar o certificado ou passando pelo assistente para atualizar o certificado, novos usuários podem não ser capazes de Iniciar sessão com êxito. |
Se o seu IdP não suportar vários certificados (a maioria dos IdPs no mercado não suporta este recurso), recomendamos que você agende esta atualização durante uma janela de manutenção em que os usuários do aplicativo Webex não são afetados. Essas tarefas de atualização devem levar aproximadamente 30 minutos em tempo operacional e validação pós-evento.
1 | Para verificar se o certificado de SSO SAML da Cisco (SP) vai expirar:
Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de terminá-lo, poderá acessá-lo novamente a qualquer momento emhttps://admin.webex.com . em | ||
2 | Escolha o tipo de certificado para a renovação:
| ||
3 | Clique Baixar arquivo de metadados para baixar uma cópia dos metadados atualizados com o novo certificado do Webex Cloud. Mantenha esta tela aberta. | ||
4 | Navegue até a interface de gerenciamento IdP para carregar o novo arquivo de metadados Webex .
| ||
5 | Retorne para a guia em que você iniciou sessão no Control Hub e clique em Próximo . | ||
6 | Isso é para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente pelo seu IdP. Confirme os resultados esperados na janela pop-up e, se o teste foi bem-sucedido, clique em Alternar para novos metadados .
Resultado: Você terminou, e o certificado de SSO SAML da Cisco (SP) da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento abrindo a tabela de status do certificado SAML em . |
Ocasionalmente, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado IdP irá expirar. Como os fornecedores de IdP têm sua própria documentação específica para a renovação do certificado, abordamos o que é necessário no Control Hub, juntamente com as etapas genéricas para recuperar metadados IdP atualizados e carregá-los no Control Hub para renovar o certificado. |
1 | Para verificar se o certificado IdP SAML vai expirar:
| ||
2 | Navegue até a interface de gerenciamento IdP para recuperar o novo arquivo de metadados.
| ||
3 | Voltar parahttps://admin.webex.com e, em seguida, escolha . em | ||
4 | Arraste e solte o arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregá-lo dessa forma. | ||
5 | Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados. | ||
6 | Clique Testar atualização de SSO para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente na organização do Control Hub. Confirme os resultados esperados na janela pop-up e, se o teste foi bem-sucedido, clique em Alternar para novos metadados .
Resultado: Você terminou, e o certificado de IdP da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento abrindo a tabela de status do certificado SAML em . |
Você pode exportar os metadados mais recentes do Webex SP sempre que precisar adicioná-los de volta ao seu IdP. Você verá um aviso quando os metadados IdP SAML importados expirarem ou tiverem expirado.
Esta etapa é útil em cenários comuns de gerenciamento de certificados IdP SAML, como IdPs que oferecem suporte a vários certificados em que a exportação não foi feita anteriormente, se os metadados não foram importados para o IdP porque um administrador IdP não estava disponível ou se o IdP suporta o capacidade de atualizar apenas o certificado. Essa opção pode ajudar a minimizar a alteração atualizando apenas o certificado na configuração de SSO e na validação pós-evento.
1 | A partir da exibição do cliente emhttps://admin.webex.com , ir para , role até Autenticação e, em seguida, escolha . O nome do arquivo de metadados Webex é idb-meta- -SP.xml .<org-ID> |
2 | Importe os metadados para seu IdP. Siga a documentação do seu IdP para importar os metadados do Webex SP. Você pode usar nossos Guias de integração do IdP ou consulte a documentação do seu IdP específico, se não estiver listado. |
3 | Quando terminar, execute o teste de SSO usando as etapas em |
Quando o ambiente IdP mudar ou se o seu certificado IdP for expirar, você poderá importar os metadados atualizados para o Webex a qualquer momento.
Antes de você começar
Reúna os metadados IdP, normalmente como um arquivo xml exportado.
1 | A partir da exibição do cliente emhttps://admin.webex.com , ir para , role até Autenticação e, em seguida, escolha . |
2 | Arraste e solte o arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregá-lo dessa forma. |
3 | Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados. |
Você receberá alertas no Control Hub antes que os certificados sejam configurados para expirar, mas também será possível configurar de alerta de forma proativa. Essas regras informam de antemão que seus certificados SP ou IdP vão expirar. Podemos enviá-los a você por e-mail, por um espaço no aplicativo Webex ou por ambos.
Independentemente do canal de entrega configurado, todos os alertas sempre aparecerão no Control Hub. Ver Central de alertas no Control Hub para obter mais informações. |
1 | A partir da exibição do cliente emhttps://admin.webex.com , ir para Central de alertas . | ||
2 | Escolher Gerenciar então Todas as regras . | ||
3 | Na lista Regras, escolha qualquer uma das regras de SSO que você gostaria de criar:
| ||
4 | Na seção Canal de entrega, marque a caixa para E-mail , Espaço Webex , ou ambos. Se você escolher E-mail, insira o endereço de email de e-mail que deve receber a notificação.
| ||
5 | Salve suas alterações. |
O que fazer em seguida
Enviamos alertas de expiração do certificado uma vez a cada 15 dias, começando 60 dias antes da expiração. (Você pode esperar alertas nos dias 60, 45, 30 e 15.) Os alertas param quando você renova o certificado.
Você pode ver um aviso de que a URL de logoff único não está configurada:
Recomendamos que você configure seu IdP para suportar o logoff único (também conhecido como SLO). O Webex suporta os métodos de redirecionamento e de publicação, disponíveis em nossos metadados baixados do Control Hub. Nem todos os IdPs suportam SLO; entre em contato com a equipe IdP para obter assistência. Em alguns casos, para os principais fornecedores de IdP, como AzureAD, Ping Federate, ForgeRock e Oracle, que suportam SLO, documentamos como configurar a integração . Consulte sua equipe de Identidade e segurança sobre as especificidades do seu IDP e como configurá-lo corretamente. |
A URL de logoff único não está configurada.
Uma sessão IdP existente permanece válida. Na próxima vez que os usuários fizerem Iniciar sessão, talvez não sejam solicitados pelo IdP para nova autenticação.
Exibimos uma mensagem de aviso ao finalizar a finalizar sessão para que o logoff do aplicativo Webex não aconteça sem interrupções.
Você pode desabilitar o logon único (SSO) para sua organização Webex gerenciada no Control Hub. Você pode querer desabilitar o SSO que você está alterando os provedores de identidade (IdPs).
Se o logon único tiver sido ativado para sua organização, mas estiver falhando, você poderá envolver seu parceiro da Cisco, que pode acessar sua organização Webex , para desativá-lo para você. |
1 | A partir da exibição do cliente em , ir para Gerenciamento > Configurações da organização e role até Autenticação .https://admin.webex.com |
2 | Para desativar o SSO, desative a opção Logon único configuração. Uma janela pop-up -up é exibida avisando sobre a desabilitação do SSO: Se você desabilitar o SSO, as senhas serão gerenciadas pela nuvem em vez de sua configuração IdP integrada. |
3 | Se você entender o impacto de desabilitar o SSO e quiser continuar, clique em Desativar . No Control Hub, você verá a configuração de SSO desativada e todas as listagens de certificados SAML serão removidas. Se o SSO for desativado, os usuários que tiverem que se autenticar verão um campo de entrada de senha durante o processo de logon.
|
O que fazer em seguida
Se você ou o cliente reconfigurarem o SSO para a organização do cliente, as contas de usuários voltarão a usar a política de senha definida pelo IdP integrado à organização Webex .
Se você tiver problemas com o logon do SSO, poderá usar o Opção de auto-recuperação de SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de auto-recuperação permite que você atualize ou desabilite o SSO no Control Hub.