SSO no Control Hub

Se você quiser configurar o SSO para vários provedores de identidade na sua organização, consulte SSO com vários IdPs no Webex .

Se o uso do certificado da sua organização estiver definido para Nenhum, mas você ainda estiver recebendo um alerta, recomendamos que continue com a atualização. A SSO implantação de sistema não está usando o certificado hoje, mas você pode precisar do certificado para alterações futuras.

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado do Webex registro único (SSO) irá expirar. Siga o processo neste artigo para recuperar os SSO em nuvem dos quais nós (o SP) e adicione-os de volta ao seu IdP; caso contrário, os usuários não poderão usar os serviços Webex.

Se você estiver usando o certificado SAML Cisco (SP) SSO em sua organização Webex, você deve planejar atualizar o certificado em nuvem durante uma janela de manutenção regular agendada o mais rápido possível.

Todos os serviços que fazem parte da subscrição da organização Webex são afetados, incluindo, mas não se limitam a:

  • Aplicativo Webex (novos sign-ins para todas as plataformas: desktop, celular e web)

  • Serviços Webex no Control Hub , incluindo chamada

  • Os sites Webex Meetings gerenciados pelo Control Hub

  • Cisco Jabber se ele estiver integrado com o SSO

Antes de começar

Favor ler todas as direções antes de começar. Depois de alterar o certificado ou passar pelo assistente para atualizar o certificado, os novos usuários podem não ser capazes de entrar com êxito.

Se o seu IdP não suporta vários certificados (a maioria dos IdPs no mercado não suporta esse recurso), recomendamos que você agende essa atualização durante uma janela de manutenção onde os usuários do aplicativo Webex não são afetados. Essas tarefas de atualização devem levar aproximadamente 30 minutos em tempo operacional e validação pós-ventilação.

1

Para verificar se o certificado de SSO SAML da Cisco (SP) irá expirar:

  • Você pode ter recebido um e-mail ou uma mensagem do aplicativo Webex de nós, mas você deve verificar o Control Hub para ter certeza.
  • Entre em https://admin.webex.com, e verifique seu Centro de Alertas. Pode haver uma notificação sobre a atualização do Certificado SSO provedor de serviços Certificado.

  • Inicie sessão em https://admin.webex.com, vá para Gerenciamento > Configurações da organização > Registro único , e clique em Gerenciar SSO e IdPs .
  • Vá para a guia Provedor de identidade e observe o status do certificado Cisco SP e a data de expiração.

Você também pode ir diretamente ao SSO sistema para atualizar o certificado. Se você decidir sair do assistente antes de concluí-lo, poderá acessá-lo novamente a qualquer momento de Management > Configurações da organização > Single Sign-On in https://admin.webex.com.

2

Vá para o IdP e clique .

3

Clique em Revisar certificados e data de vencimento .

4

Clique em Renovar certificado .

5

Escolha o tipo de IdP que sua organização usa.

  • Um IdP que suporta vários certificados
  • Um IdP que suporte um único certificado

Se o seu IdP suporta um único certificado, recomendamos que você aguarde para executar estas etapas durante o tempo de inatividade agendado. Enquanto o certificado Webex estiver sendo atualizado, os novos logons de usuário não funcionarão brevemente; os logons existentes são preservados.

6

Escolha o tipo de certificado para a renovação:

  • Autoassinado pela Cisco —Recomendamos essa escolha. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor IdP ofereça suporte a âncoras de confiança).

    Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

7

Clique em baixar arquivo de metadados para baixar uma cópia dos metadados atualizados com o novo certificado do WebEx Cloud. Mantenha esta tela aberta.

8

Navegue até a interface de gerenciamento IdP para carregar o novo arquivo de metadados Webex.

9

Retorne à guia em que você iniciou sessão no Control Hub e clique em Próximo .

10

Atualize o IdP com o novo certificado e metadados SP e clique em Next .

  • Atualização de todos os IdPs
  • Se precisar de mais tempo para atualizar, salve o certificado renovado como opção secundária
11

Clique em Concluir renovação .

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado IdP irá expirar. Como os fornecedores IdP possuem sua própria documentação específica para renovação de certificados, cobrimos o que é necessário no Control Hub, juntamente com passos genéricos para recuperar metadados IdP atualizados e carregue-os no Control Hub para renovar o certificado.

1

Para verificar se o certificado IdP SAML vai expirar:

  • Você pode ter recebido um e-mail ou uma mensagem do aplicativo Webex de nós, mas você deve verificar o Control Hub para ter certeza.
  • Entre em https://admin.webex.com, e verifique seu Centro de Alertas. Pode haver uma notificação sobre a atualização do certificado SAML do IdP:

  • Inicie sessão em https://admin.webex.com, vá para Gerenciamento > Configurações da organização > Registro único , e clique em Gerenciar SSO e IdPs .
  • Vá para a guia Provedor de identidade e observe o status do certificado IdP (expirado ou expirando em breve) e a data de expiração.
  • Você também pode ir diretamente ao SSO sistema para atualizar o certificado. Se você decidir sair do assistente antes de concluí-lo, poderá acessá-lo novamente a qualquer momento de Management > Configurações da organização > Single Sign-On in https://admin.webex.com.

2

Navegue até a interface de gerenciamento do IdP para recuperar o novo arquivo de metadados.

  • Esta etapa pode ser feita através de uma guia do navegador, protocolo de desktop remoto (RDP) ou através do suporte específico do provedor de nuvem, dependendo da configuração do IdP e se você ou um administrador IdP separado são responsáveis por essa etapa.
  • Para referência, consulte nossos guias de SSO de integração ou entre em contato com o administrador do IdP para suporte.
3

Retorne à guia Provedor de identidade .

4

Vá para o IdP, clique em carregar e selecione Carregar metadados de Idp .

5

Arraste e solte o arquivo de metadados do IdP na janela ou clique em Escolher um arquivo e carregue-o dessa forma.

6

Escolha Menos seguro (auto assinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

7

Clique em Testar atualização de SSO para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente na organização do Control Hub. Confirme os resultados esperados na janela pop-up e, se o teste tiver sido bem-sucedido, selecione Teste bem-sucedido: Ative o SSO e o IdP e clique em Salvar .

Para ver diretamente a experiência de início de sessão do SSO, recomendamos que você clique em Copiar URL para a área de transferência desta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

Resultado: Você terminou e o certificado IdP da sua organização agora está renovado. Você pode verificar o status do certificado a qualquer momento na guia Provedor de identidade .

Você pode exportar os metadados SP Webex mais recentes sempre que precisar adicioná-los de volta ao seu IdP. Você verá um aviso quando os metadados SAML importados expirarem ou expirarem.

Esta etapa é útil em cenários comuns de IdP SAML gerenciamento de certificados, como IdPs que suportam vários certificados em que a exportação não foi feita antes, se os metadados não foram importados para o IdP porque um administrador IdP não estava disponível ou se o IdP suporta a capacidade de atualizar apenas o certificado. Esta opção pode ajudar a minimizar a alteração atualizando apenas o certificado na sua configuração SSO e validação pós-evento.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Registro único e clique em Gerenciar SSO e IdPs .

2

Vá para a guia Provedor de identidade .

3

Vá para o IdP, clique em Baixar e selecione Baixar metadados SP .

O nome do arquivo de metadados do aplicativo Webex é idb-meta--SP.xml .

4

Importe os metadados para o seu IdP.

Siga a documentação do seu IdP para importar os metadados SP Webex. Você pode usar nossos guias de integração IdP ou consultar a documentação do seu IdP específico, se não estiver listado.

5

Quando terminar, execute o teste de SSO usando as etapas em Renovar certificado Webex (SP) neste artigo.

Quando o ambiente IdP for atualizado ou se o certificado IdP expirar, você poderá importar os metadados atualizados para o Webex a qualquer momento.

Antes de começar

Reúna seus metadados IdP, normalmente como um arquivo xml exportado.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Registro único e clique em Gerenciar SSO e IdPs .

2

Vá para a guia Provedor de identidade .

3

Vá para o IdP, clique em carregar e selecione Carregar metadados de Idp .

4

Arraste e solte o seu arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregue-o dessa forma.

5

Escolha Menos seguro (auto assinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

6

Clique em Testar configuração de SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Você receberá alertas no Control Hub antes que os certificados sejam definidos para expirar, mas você também pode configurar proativamente regras de alerta. Estas regras permitem que você saiba com antecedência que os seus certificados SP ou IdP vão expirar. Podemos enviá-los por e-mail, um espaço no aplicativoWebex, ou ambos.

Independentemente do canal de entrega configurado, todos os alertas sempre aparecem no ControlHub. Consulte o Centro de alertas no Control Hub para obter mais informações.

1

Inicie sessão no Control Hub.

2

Vá para Centro de alertas .

3

Escolha Gerenciar, então Todas as regras.

4

Na lista Regras, escolha qualquer uma SSO regras específicas que você gostaria de criar:

  • SSO IDP expirou
  • SSO SP expirado
5

Na seção Canal de entrega, marque a caixa para E-mail, espaçoWebex, ou ambos.

Se você escolher E-mail, insira o endereço de e-mail que deve receber a notificação.

Se você escolher a opção do espaço Webex, você será automaticamente adicionado a um espaço dentro do aplicativo Webex e entregaremos as notificações lá.

6

Salve suas alterações.

O que fazer em seguida

Enviamos alertas de expiração do certificado uma vez a cada 15 dias, iniciando 60 dias antes de expirar. (Você pode esperar alertas no dia 60, 45, 30 e 15.) Os alertas serão interrompidos quando você renovar o certificado.

Você pode ver um aviso de que a URL de logoff único não está configurada:

Recomendamos que você configure o IdP para suportar o Single Log Out (também conhecido como SLO). O Webex suporta os métodos de redirecionamento e pós, disponíveis em nossos metadados baixados do Control Hub. Nem todos os IdPs suportam SLO; entre em contato com a equipe IdP para assistência. Às vezes, para os principais fornecedores de IdP como AzureAD, Ping Federate, ForgeRock e Oracle, que suportam SLO, documentamos como configurar a integração . Consulte sua equipe de Identidade e Segurança sobre as especificidades do seu IDP e como configurá-lo corretamente.

Se a URL de logoff único não estiver configurada:

  • Uma sessão IdP existente permanece válida. Na próxima vez que os usuários se inscreverem, talvez não sejam solicitados a reautticar pelo IdP.

  • Exibimos uma mensagem de aviso ao sair, para que o logout do aplicativo Webex não ocorra de forma simples.

Você pode desabilitar registro único (SSO) para sua organização Webex gerenciada no Control Hub. Você pode querer desativar o SSO se estiver alterando os provedores de identidade (IdPs).

Se registro único tiver sido habilitado para sua organização, mas estiver falhando, você pode envolver seu parceiro Cisco, que pode acessar sua organização Webex para desativá-la para você.

1

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Registro único e clique em Gerenciar SSO e IdPs .

2

Vá para a guia Provedor de identidade .

3

Clique em Desativar SSO .

Uma janela pop-up é exibida que avisa sobre a desativação SSO:

Desativar SSO

Se você desativar SSO acesso, as senhas serão gerenciadas pela nuvem em vez da configuração IdP integrada.

4

Se você entender o impacto de desabilitar SSO e quiser continuar, clique em Desativar.

O logon único está desativado e todas as listagens de certificados SAML são removidas.

Se o logon único estiver desativado, os usuários que tiverem que autenticar verão um campo de entrada de senha durante o processo de início de sessão.

  • Os usuários que não têm uma senha no aplicativo Webex devem redefinir a senha ou enviar um e-mail para que definam uma senha.

  • Os usuários existentes autenticados com um Token OAuth válido continuarão a ter acesso ao aplicativoWebex.

  • Novos usuários criados enquanto os SSO são desabilitados recebem um e-mail pedindo a eles para criar uma senha.

O que fazer em seguida

Se você ou o cliente reconfigurarem o SSO para a organização do cliente, as contas de usuário voltarão a usar a política de senha definida pelo IdP integrado à organização Webex.

Se você tiver problemas com seu logon de SSO, poderá usar a opção de autorecuperação de SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de autorecuperação permite que você atualize ou desative o SSO no Control Hub.