Se você quiser configurar o SSO para vários provedores de identidade em sua organização, consulte SSO com vários IdPs no Webex.

Se o uso do certificado da sua organização estiver definido para Nenhum, mas você ainda estiver recebendo um alerta, recomendamos que continue com a atualização. A SSO implantação de sistema não está usando o certificado hoje, mas você pode precisar do certificado para alterações futuras.

serviço Webex Provedor de Serviço (SP)

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado do Webex registro único (SSO) irá expirar. Siga o processo neste artigo para recuperar os SSO em nuvem dos quais nós (o SP) e adicione-os de volta ao seu IdP; caso contrário, os usuários não poderão usar os serviços Webex.

Se estiver usando o certificado SAML Cisco (SP) SSO na sua organização Webex, você deve planejar atualizar o certificado de nuvem durante uma janela de manutenção programada regular o mais rápido possível.

Todos os serviços que fazem parte da subscrição da organização Webex são afetados, incluindo, mas não se limitam a:

  • Aplicativo Webex (novos sign-ins para todas as plataformas: desktop, celular e web)

  • Serviços Webex no Control Hub , incluindo chamada

  • Os sites Webex Meetings gerenciados pelo Control Hub

  • Cisco Jabber se ele estiver integrado com o SSO

Antes de começar

Favor ler todas as direções antes de começar. Depois de alterar o certificado ou passar pelo assistente para atualizar o certificado, os novos usuários podem não ser capazes de entrar com êxito.

Se o seu IdP não oferecer suporte a vários certificados (a maioria dos IdPs no mercado não oferece suporte a esse recurso), recomendamos que você agende essa atualização durante uma janela de manutenção em que os usuários do aplicativo Webex não sejam afetados. Essas tarefas de atualização devem levar aproximadamente 30 minutos em tempo operacional e validação pós-evento.

1

Para verificar se o certificado de SSO SAML da Cisco (SP) irá expirar:

  • Você pode ter recebido um e-mail ou uma mensagem do aplicativo Webex de nós, mas você deve verificar o Control Hub para ter certeza.

  • Entre no Control Hube verifique seu Centro de alertas. Pode haver uma notificação sobre a atualização do Certificado SSO provedor de serviços Certificado.

  • Ir para Gestão > Segurança > Autenticação.
  • Vá para a aba Provedor de identidade e observe o status e a data de validade do certificado Cisco SP.

Você também pode ir diretamente ao SSO sistema para atualizar o certificado. Se você decidir sair do assistente antes de concluí-lo, poderá acessá-lo novamente a qualquer momento em Gerenciamento > Segurança > Autenticação no Hub de controle.

2

Vá para o IdP e clique em .

3

Clique em Revisar certificados e data de validade.

4

Clique em Renovar certificado.

5

Escolha o tipo de IdP que sua organização usa.

  • Um IdP que suporta múltiplos certificados
  • Um IdP que suporta um único certificado

Se o seu IdP suporta um único certificado, recomendamos que você aguarde para executar estas etapas durante o tempo de inatividade agendado. Enquanto o certificado Webex estiver sendo atualizado, os novos logons de usuário não funcionarão brevemente; os logons existentes são preservados.

6

Escolha o tipo de certificado para a renovação:

  • Autoassinado pela Cisco—Recomendamos esta opção. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública—Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor de IdP ofereça suporte a âncoras de confiança).

    Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

    Antes de prosseguir para as próximas etapas, certifique-se de que você está pronto para renovar seu certificado e está operando dentro do período de alteração da sua organização. Selecionar Autoassinado Cisco ou Assinado por uma autoridade de certificação pública cria imediatamente um novo certificado. Depois que o certificado muda para um único IdP, o SSO para até que o certificado ou metadados sejam carregados no IdP. Portanto, é importante concluir o processo de renovação.

7

Clique em baixar arquivo de metadados para baixar uma cópia dos metadados atualizados com o novo certificado do WebEx Cloud. Mantenha esta tela aberta.

8

Navegue até a interface de gerenciamento IdP para carregar o novo arquivo de metadados Webex.

9

Retorne à aba onde você fez login no Control Hub e clique em Avançar.

10

Atualize o IdP com o novo certificado SP e metadados e clique em Avançar.

  • Atualização de todos os IdPs
  • Se precisar de mais tempo para atualizar, salve o certificado renovado como opção secundária
11

Clique em Concluir renovação.

Fornecedor da identidade (IdP)

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado IdP irá expirar. Como os fornecedores IdP possuem sua própria documentação específica para renovação de certificados, cobrimos o que é necessário no Control Hub, juntamente com passos genéricos para recuperar metadados IdP atualizados e carregue-os no Control Hub para renovar o certificado.

1

Para verificar se o certificado IdP SAML vai expirar:

  • Você pode ter recebido um e-mail ou uma mensagem do aplicativo Webex de nós, mas você deve verificar o Control Hub para ter certeza.
  • Entre no Control Hube verifique seu Centro de alertas. Pode haver uma notificação sobre a atualização do certificado SAML do IdP:

  • Ir para Gestão > Segurança > Autenticação.
  • Vá para a aba Provedor de identidade e observe o status do certificado IdP (expirado ou expirando em breve) e a data de expiração.

  • Você também pode ir diretamente ao SSO sistema para atualizar o certificado. Se você decidir sair do assistente antes de concluí-lo, poderá acessá-lo novamente a qualquer momento em Gerenciamento > Segurança > Autenticação no Control Hub.

2

Navegue até a interface de gerenciamento do IdP para recuperar o novo arquivo de metadados.

  • Esta etapa pode ser feita através de uma guia do navegador, protocolo de desktop remoto (RDP) ou através do suporte específico do provedor de nuvem, dependendo da configuração do IdP e se você ou um administrador IdP separado são responsáveis por essa etapa.
  • Para referência, consulte nossos guias de SSO de integração ou entre em contato com o administrador do IdP para suporte.
3

Retorne para a aba Provedor de identidade.

4

Vá para o IdP, clique em carregar e selecione Carregar metadados do IdP.

5

Arraste e solte seu arquivo de metadados IdP na janela ou clique em Escolha um arquivo e carregue-o dessa forma.

6

Escolha Menos seguro (auto assinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

7

Clique em Testar atualização de SSO para confirmar se o novo arquivo de metadados foi carregado e interpretado corretamente na sua organização do Control Hub. Confirme os resultados esperados na janela pop-up e, se o teste foi bem-sucedido, selecione Teste bem-sucedido: Ative o SSO e o IdP e clique em Salvar.

Para ver a experiência de login do SSO diretamente, recomendamos que você clique em Copiar URL para a área de transferência nesta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

Resultado: Você terminou e o certificado IdP da sua organização agora está renovado. Você pode verificar o status do certificado a qualquer momento na aba Provedor de identidade.

Você pode exportar os metadados SP Webex mais recentes sempre que precisar adicioná-los de volta ao seu IdP. Você verá um aviso quando os metadados SAML importados expirarem ou expirarem.

Esta etapa é útil em cenários comuns de IdP SAML gerenciamento de certificados, como IdPs que suportam vários certificados em que a exportação não foi feita antes, se os metadados não foram importados para o IdP porque um administrador IdP não estava disponível ou se o IdP suporta a capacidade de atualizar apenas o certificado. Esta opção pode ajudar a minimizar a alteração atualizando apenas o certificado na sua configuração SSO e validação pós-evento.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP, clique em Baixar e selecione Baixar metadados SP.

O nome do arquivo de metadados do aplicativo Webex é idb-meta-<org-ID>-SP.xml.

5

Importe os metadados para o seu IdP.

Siga a documentação do seu IdP para importar os metadados SP Webex. Você pode usar nossos guias de integração IdP ou consultar a documentação do seu IdP específico, se não estiver listado.

6

Quando terminar, execute o teste SSO usando as etapas em Renovar certificado Webex (SP) neste artigo.

Quando o ambiente IdP for atualizado ou se o certificado IdP expirar, você poderá importar os metadados atualizados para o Webex a qualquer momento.

Antes de começar

Reúna seus metadados IdP, normalmente como um arquivo xml exportado.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP, clique em carregar e selecione Carregar metadados do IdP.

5

Arraste e solte o seu arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregue-o dessa forma.

6

Escolha Menos seguro (auto assinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

7

Clique em Testar configuração de SSOe, quando uma nova guia do navegador abrir, autentique-se com o IdP fazendo login.

Você receberá alertas no Control Hub antes que os certificados sejam definidos para expirar, mas você também pode configurar proativamente regras de alerta. Estas regras permitem que você saiba com antecedência que os seus certificados SP ou IdP vão expirar. Podemos enviá-los por e-mail, um espaço no aplicativoWebex, ou ambos.

Independentemente do canal de entrega configurado, todos os alertas sempre aparecem no ControlHub. Consulte o Centro de alertas no Control Hub para obter mais informações.

1

Inicie sessão no Control Hub.

2

Vá para Central de alertas.

3

Escolha Gerenciar, então Todas as regras.

4

Na lista Regras, escolha qualquer uma SSO regras específicas que você gostaria de criar:

  • SSO IDP expirou
  • SSO SP expirado
5

Na seção Canal de entrega, marque a caixa para E-mail, espaçoWebex, ou ambos.

Se você escolher E-mail, insira o endereço de e-mail que deve receber a notificação.

Se você escolher a opção do espaço Webex, você será automaticamente adicionado a um espaço dentro do aplicativo Webex e entregaremos as notificações lá.

6

Salve suas alterações.

O que fazer em seguida

Enviamos alertas de expiração do certificado uma vez a cada 15 dias, iniciando 60 dias antes de expirar. (Você pode esperar alertas nos dias 60, 45, 30 e 15.) Os alertas param quando você renova o certificado.

Você pode ver um aviso de que o URL de logout único não está configurado:

Recomendamos que você configure o IdP para suportar o Single Log Out (também conhecido como SLO). O Webex suporta os métodos de redirecionamento e pós, disponíveis em nossos metadados baixados do Control Hub. Nem todos os IdPs suportam SLO; entre em contato com a equipe IdP para assistência. Às vezes, para os principais fornecedores de IdP, como AzureAD, Ping Federate, ForgeRock e Oracle, que oferecem suporte a SLO, documentamos como configurar a integração. Consulte sua Identidade & Equipe de segurança sobre os detalhes do seu IDP e como configurá-lo corretamente.

Se a URL de logout única não estiver configurada:

  • Uma sessão IdP existente permanece válida. Na próxima vez que os usuários se inscreverem, talvez não sejam solicitados a reautticar pelo IdP.

  • Exibimos uma mensagem de aviso ao sair, para que o logout do aplicativo Webex não ocorra de forma simples.

Você pode desabilitar registro único (SSO) para sua organização Webex gerenciada no Control Hub. Talvez você queira desabilitar o SSO se estiver mudando de provedor de identidade (IdPs).

Se registro único tiver sido habilitado para sua organização, mas estiver falhando, você pode envolver seu parceiro Cisco, que pode acessar sua organização Webex para desativá-la para você.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Clique em Desativar SSO.

Uma janela pop-up é exibida que avisa sobre a desativação SSO:

Desativar SSO

Se você desativar SSO acesso, as senhas serão gerenciadas pela nuvem em vez da configuração IdP integrada.

5

Se você entender o impacto de desabilitar SSO e quiser continuar, clique em Desativar.

O SSO é desativado e todas as listagens de certificados SAML são removidas.

Se o SSO estiver desabilitado, os usuários que precisarem se autenticar verão um campo de entrada de senha durante o processo de login.

  • Usuários que não têm uma senha no aplicativo Webex devem redefini-la ou você deve enviar um e-mail para que eles definam uma senha.

  • Os usuários existentes autenticados com um Token OAuth válido continuarão a ter acesso ao aplicativoWebex.

  • Novos usuários criados enquanto os SSO são desabilitados recebem um e-mail pedindo a eles para criar uma senha.

O que fazer em seguida

Se você ou o cliente reconfigurar o SSO para a organização do cliente, as contas de usuário voltarão a usar a política de senha definida pelo IdP integrado à organização Webex.

Caso tenha problemas com seu login SSO, você pode usar a opção Auto-recuperação SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de autorecuperação permite que você atualize ou desabilite o SSO no Control Hub.