Integração do registro único no Control Hub

Se o uso de certificados da sua organização estiver definido como Nenhum, mas você ainda estiver recebendo um alerta, recomendamos que você ainda prossiga com a atualização. Sua implantação de SSO não está usando o certificado hoje, mas você pode precisar do certificado para alterações futuras.

Certificados do Provedor de Serviços (SP)

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado de logon único (SSO) Webex vai expirar. Siga o processo neste artigo para recuperar os metadados do certificado de SSO em nuvem de nós (o SP) e adicioná-los novamente ao seu IdP; caso contrário, os usuários não poderão usar os serviços Webex .

Se você estiver usando o certificado de SSO SAML Cisco (SP) na sua organização Webex , você deve planejar a atualização do certificado em nuvem durante uma janela de manutenção regular agendada o mais breve possível.

Todos os serviços que fazem parte da assinatura da sua organização Webex são afetados, incluindo, entre outros:

Aplicativo Webex (novos logins para todas as plataformas: desktop, celular e web)
Serviços Webex no Control Hub, incluindo Chamadas
Sites Webex Meetings gerenciados através do Control Hub
Cisco Jabber , se for integrado com SSO

Antes de você começar

Leia todas as instruções antes de começar. Depois de alterar o certificado ou passando pelo assistente para atualizar o certificado, novos usuários podem não ser capazes de Iniciar sessão com êxito.

Se o seu IdP não suportar vários certificados (a maioria dos IdPs no mercado não suporta este recurso), recomendamos que você agende esta atualização durante uma janela de manutenção em que os usuários do aplicativo Webex não são afetados. Essas tarefas de atualização devem levar aproximadamente 30 minutos em tempo operacional e validação pós-evento.

Para verificar se o certificado de SSO SAML da Cisco (SP) vai expirar:

Você pode ter recebido um e-mail ou mensagem do aplicativo Webex , mas verifique no Control Hub para ter certeza.
Iniciar sessão emhttps://admin.webex.com , e verifique sua Central de alertas . Pode haver uma notificação sobre a atualização do certificado do provedor de serviços SSO.
Iniciar sessão emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização > Autenticação e anote o status do certificado na tabela de certificados Cisco SAML (expirado ou expirando em breve). Clique Renovar certificado prosseguir.

Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de terminá-lo, poderá acessá-lo novamente a qualquer momento em Gerenciamento > Configurações da organização > Autenticação emhttps://admin.webex.com .

Escolha o tipo de certificado para a renovação:

Autoassinado pela Cisco —Recomendamos esta escolha. Deixe-nos assinar o certificado para que você só precise renová-lo uma vez a cada cinco anos.
Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu provedor IdP ofereça suporte a âncoras de confiança).

As âncoras de confiança são chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

Clique Baixar arquivo de metadados para baixar uma cópia dos metadados atualizados com o novo certificado do Webex Cloud. Mantenha esta tela aberta.

Navegue até a interface de gerenciamento IdP para carregar o novo arquivo de metadados Webex .

Esta etapa pode ser executada por meio de uma guia do navegador, protocolo de desktop remoto (RDP) ou por meio de suporte específico do provedor de nuvem, dependendo da configuração da sua IdP e se você ou um administrador IdP separado é responsável por esta etapa.
Para referência, veja nossos guias de integração de SSO ou entre em contato com o administrador IdP para obter suporte. Se nos serviços de Federação do Active Directory (AD FS), você puder veja como atualizar os metadados Webex no AD FS .

Retorne para a guia em que você iniciou sessão no Control Hub e clique em Próximo .

Isso é para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente pelo seu IdP. Confirme os resultados esperados na janela pop-up e, se o teste foi bem-sucedido, clique em Alternar para novos metadados .

Para ver diretamente a experiência de início de sessão do SSO, você também pode clicar em Copiar URL para a área de transferência nesta tela e colá-la em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

Resultado: Você terminou, e o certificado de SSO SAML da Cisco (SP) da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento abrindo a tabela de status do certificado SAML em Gerenciamento > Configurações da organização > Autenticação .

Certificado do provedor de identidade (IdP)

Ocasionalmente, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado IdP irá expirar. Como os fornecedores de IdP têm sua própria documentação específica para a renovação do certificado, abordamos o que é necessário no Control Hub, juntamente com as etapas genéricas para recuperar metadados IdP atualizados e carregá-los no Control Hub para renovar o certificado.

Para verificar se o certificado IdP SAML vai expirar:

Você pode ter recebido um e-mail ou mensagem do aplicativo Webex , mas verifique no Control Hub para ter certeza.
Iniciar sessão emhttps://admin.webex.com , e verifique sua Central de alertas . Pode haver uma notificação sobre a atualização do certificado IdP SAML:
Iniciar sessão emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização > Autenticação e anote o status do certificado (expirado ou expirando em breve) na tabela de certificados SAML. Clique Renovar certificado prosseguir.
Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de terminá-lo, poderá acessá-lo novamente a qualquer momento em Gerenciamento > Configurações da organização > Autenticação emhttps://admin.webex.com .

Navegue até a interface de gerenciamento IdP para recuperar o novo arquivo de metadados.

Esta etapa pode ser executada por meio de uma guia do navegador, protocolo de desktop remoto (RDP) ou por meio de suporte específico do provedor de nuvem, dependendo da configuração da sua IdP e se você ou um administrador IdP separado é responsável por esta etapa.
Para referência, veja nossos guias de integração de SSO ou entre em contato com o administrador IdP para obter suporte.

Voltar para Gerenciamento > Configurações da organização > Autenticação emhttps://admin.webex.com e, em seguida, escolha Ações > Importar metadados .

Arraste e solte o arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregá-lo dessa forma.

Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

Clique Testar atualização de SSO para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente na organização do Control Hub. Confirme os resultados esperados na janela pop-up e, se o teste foi bem-sucedido, clique em Alternar para novos metadados .

Resultado: Você terminou, e o certificado de IdP da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento abrindo a tabela de status do certificado SAML em Gerenciamento > Configurações da organização > Autenticação .

Você pode exportar os metadados mais recentes do Webex SP sempre que precisar adicioná-los de volta ao seu IdP. Você verá um aviso quando os metadados IdP SAML importados expirarem ou tiverem expirado.

Esta etapa é útil em cenários comuns de gerenciamento de certificados IdP SAML, como IdPs que oferecem suporte a vários certificados em que a exportação não foi feita anteriormente, se os metadados não foram importados para o IdP porque um administrador IdP não estava disponível ou se o IdP suporta o capacidade de atualizar apenas o certificado. Essa opção pode ajudar a minimizar a alteração atualizando apenas o certificado na configuração de SSO e na validação pós-evento.

1	A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e, em seguida, escolha Ações > Exportar metadados . O nome do arquivo de metadados Webex é idb-meta- -SP.xml .<org-ID>
2	Importe os metadados para seu IdP. Siga a documentação do seu IdP para importar os metadados do Webex SP. Você pode usar nossos Guias de integração do IdP ou consulte a documentação do seu IdP específico, se não estiver listado.
3	Quando terminar, execute o teste de SSO usando as etapas em Renovar o certificado Webex (SP) neste artigo.

Quando o ambiente IdP mudar ou se o seu certificado IdP for expirar, você poderá importar os metadados atualizados para o Webex a qualquer momento.

Antes de você começar

Reúna os metadados IdP, normalmente como um arquivo xml exportado.

1	A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e, em seguida, escolha Ações > Importar metadados .
2	Arraste e solte o arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregá-lo dessa forma.
3	Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

Você receberá alertas no Control Hub antes que os certificados sejam configurados para expirar, mas também será possível configurar de alerta de forma proativa. Essas regras informam de antemão que seus certificados SP ou IdP vão expirar. Podemos enviá-los a você por e-mail, por um espaço no aplicativo Webex ou por ambos.

Independentemente do canal de entrega configurado, todos os alertas sempre aparecerão no Control Hub. Ver Central de alertas no Control Hub para obter mais informações.

A partir da exibição do cliente emhttps://admin.webex.com , ir para Central de alertas .

Escolher Gerenciar então Todas as regras .

Na lista Regras, escolha qualquer uma das regras de SSO que você gostaria de criar:

Certificado IdP de SSO expirou
Certificado IdP de SSO expirou

Na seção Canal de entrega, marque a caixa para E-mail , Espaço Webex , ou ambos.

Se você escolher E-mail, insira o endereço de email de e-mail que deve receber a notificação.

Se você escolher a opção de espaço Webex , você será automaticamente adicionado a um espaço dentro do aplicativo Webex e entregaremos as notificações ali.

Salve suas alterações.

O que fazer em seguida

Enviamos alertas de expiração do certificado uma vez a cada 15 dias, começando 60 dias antes da expiração. (Você pode esperar alertas nos dias 60, 45, 30 e 15.) Os alertas param quando você renova o certificado.

Você pode ver um aviso de que a URL de logoff único não está configurada:

Recomendamos que você configure seu IdP para suportar o logoff único (também conhecido como SLO). O Webex suporta os métodos de redirecionamento e de publicação, disponíveis em nossos metadados baixados do Control Hub. Nem todos os IdPs suportam SLO; entre em contato com a equipe IdP para obter assistência. Em alguns casos, para os principais fornecedores de IdP, como AzureAD, Ping Federate, ForgeRock e Oracle, que suportam SLO, documentamos como configurar a integração . Consulte sua equipe de Identidade e segurança sobre as especificidades do seu IDP e como configurá-lo corretamente.

A URL de logoff único não está configurada.

Uma sessão IdP existente permanece válida. Na próxima vez que os usuários fizerem Iniciar sessão, talvez não sejam solicitados pelo IdP para nova autenticação.
Exibimos uma mensagem de aviso ao finalizar a finalizar sessão para que o logoff do aplicativo Webex não aconteça sem interrupções.

Você pode desabilitar o logon único (SSO) para sua organização Webex gerenciada no Control Hub. Você pode querer desabilitar o SSO que você está alterando os provedores de identidade (IdPs).

Se o logon único tiver sido ativado para sua organização, mas estiver falhando, você poderá envolver seu parceiro da Cisco, que pode acessar sua organização Webex , para desativá-lo para você.

1	A partir da exibição do cliente em , ir para Gerenciamento > Configurações da organização e role até Autenticação .https://admin.webex.com
2	Para desativar o SSO, desative a opção Logon único configuração. Uma janela pop-up -up é exibida avisando sobre a desabilitação do SSO: Se você desabilitar o SSO, as senhas serão gerenciadas pela nuvem em vez de sua configuração IdP integrada.
3	Se você entender o impacto de desabilitar o SSO e quiser continuar, clique em Desativar . No Control Hub, você verá a configuração de SSO desativada e todas as listagens de certificados SAML serão removidas. Se o SSO for desativado, os usuários que tiverem que se autenticar verão um campo de entrada de senha durante o processo de logon. Os usuários que não tiverem uma senha no aplicativo Webex devem redefinir a senha ou você deve enviar um e-mail para que eles definam uma senha. Os usuários autenticados existentes com um token OAuth válido continuarão tendo acesso ao aplicativo Webex . Os novos usuários criados com o SSO desativado recebem um e-mail solicitando que criem uma senha.

O que fazer em seguida

Se você ou o cliente reconfigurarem o SSO para a organização do cliente, as contas de usuários voltarão a usar a política de senha definida pelo IdP integrado à organização Webex .

Se você tiver problemas com o logon do SSO, poderá usar o Opção de auto-recuperação de SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de auto-recuperação permite que você atualize ou desabilite o SSO no Control Hub.