Dacă doriți să configurați SSO pentru mai mulți furnizori de identitate din organizația dvs., consultați SSO cu mai mulți IdP-uri în Webex.

Dacă utilizarea certificatului organizației este setată la Niciuna, dar primiți în continuare o alertă, vă recomandăm să continuați cu upgrade-ul. Implementarea SSO nu utilizează certificatul astăzi, dar este posibil să aveți nevoie de certificat pentru modificările viitoare.

Certificatul webex de furnizor de servicii (SP)

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul de sign-on unic Webex (SSO) va expira. Urmați procesul din acest articol pentru a regăsi metadatele certificatului cloud SSO de la noi (SP) și adăugați-le înapoi la IdP; în caz contrar, utilizatorii nu vor putea utiliza serviciile Webex.

Dacă utilizați certificatul SAML Cisco (SP) SSO în organizația dvs. Webex, trebuie să planificați actualizarea certificatului cloud cât mai curând posibil în timpul unei ferestre de întreținere programată regulată.

Toate serviciile care fac parte din abonamentul organizației Webex sunt afectate, inclusiv, dar fără a se limita la:

  • Webex App (noi conectări pentru toate platformele: desktop, mobil și web)

  • Servicii Webex în ControlHub, inclusiv apelarea

  • Site-uri Webex Meetings gestionate prin Control Hub

  • Cisco Jabber dacă este integrat cu SSO

Înainte de a începe

Vă rugăm să citiți toate instrucțiunile înainte de a începe. După ce modificați certificatul sau parcurgeți expertul pentru a actualiza certificatul, este posibil ca utilizatorii noi să nu se poată conecta cu succes.

Dacă IdP-ul dvs. nu acceptă certificate multiple (majoritatea IdP-urilor de pe piață nu acceptă această funcție), vă recomandăm să programați această actualizare într-o fereastră de întreținere în care utilizatorii aplicației Webex nu sunt afectați. Aceste sarcini de actualizare ar trebui să dureze aproximativ 30 de minute în timp operațional și validare post-eveniment.

1

Pentru a verifica dacă certificatul SAML Cisco (SP) SSO va expira:

  • Este posibil să fi primit un e-mail sau un mesaj Webex App de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.

  • Conectați-vă la Control Hubși verificați Centrul de alerte. Este posibil să existe o notificare despre actualizarea certificatului de furnizor de servicii SSO.

  • Accesați Management > Securitate > Autentificare.
  • Accesați fila Furnizor de identitate și notați starea certificatului Cisco SP și data de expirare.

Puteți intra direct în expertul SSO pentru a actualiza certificatul, de asemenea. Dacă decideți să ieșiți din expert înainte de a-l finaliza, îl puteți accesa din nou oricând din Administrare > Securitate > Autentificare în Control Hub.

2

Accesați IdP-ul și faceți clic pe .

3

Faceți clic pe Verificați certificatele și data de expirare.

4

Faceți clic pe Reînnoire certificat.

5

Alegeți tipul de IdP pe care îl utilizează organizația dvs.

  • Un IdP care acceptă mai multe certificate
  • Un IdP care acceptă un singur certificat

Dacă IDP-ul acceptă un singur certificat, vă recomandăm să așteptați să efectuați acești pași în timpul perioadelor de nefuncționare programate. În timp ce certificatul Webex este actualizat, conectările utilizatorilor noi nu vor funcționa pentru scurt timp; conectările existente sunt păstrate.

6

Alegeți tipul de certificat pentru reînnoire:

  • Autosemnat de Cisco— Recomandăm această opțiune. Permiteți-ne să semnăm certificatul, astfel încât să trebuiască să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate de certificare publică— Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

    Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru a verifica certificatul unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

    Înainte de a trece la următorii pași, asigurați-vă că sunteți gata să vă reînnoiți certificatul și că operați în cadrul perioadei de modificare a organizației dumneavoastră. Selectarea opțiunilor Cisco autosemnat sau Semnat de o autoritate de certificare publică creează imediat un certificat nou. Odată ce certificatul se modifică pentru un singur IdP, SSO se oprește până când certificatul sau metadatele sunt încărcate pe IdP. Prin urmare, este important să se finalizeze procesul de reînnoire.

7

Faceți clic pe Descărcați fișierul de metadate pentru a descărca o copie a metadatelor actualizate cu noul certificat din cloud-ul Webex. Păstrați acest ecran deschis.

8

Navigați la interfața de gestionare IdP pentru a încărca noul fișier de metadate Webex.

  • Acest pas poate fi efectuat printr-o filă de browser, un protocol desktop la distanță (RDP) sau printr-un anumit suport pentru furnizorul de cloud, în funcție de configurarea IdP și dacă dumneavoastră sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență. Dacă pe Active Directory Federation Services (AD FS), puteți vedea cum se actualizează metadatele Webex în AD FS.
9

Reveniți la fila în care v-ați conectat la Control Hub și faceți clic pe Următorul.

10

Actualizați IdP-ul cu noul certificat și metadate ale SP-ului și faceți clic pe Următorul.

  • Au fost actualizate toate IdP-urile
  • Dacă aveți nevoie de mai mult timp pentru actualizare, salvați certificatul reînnoit ca opțiune secundară
11

Faceți clic pe Finalizați reînnoirea.

Certificat furnizor de identitate (IdP)

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul IdP va expira. Deoarece furnizorii IdP au propria documentație specifică pentru reînnoirea certificatului, acoperim ceea ce este necesar în Control Hub , împreună cupașii generici pentru a regăsi metadatele IdP actualizate și a le încărca în Control Hub pentru a reînnoi certificatul.

1

Pentru a verifica dacă certificatul IDP SAML va expira:

  • Este posibil să fi primit un e-mail sau un mesaj Webex App de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.
  • Conectați-vă la Control Hubși verificați Centrul de alerte. Este posibil să existe o notificare despre actualizarea certificatului IDP SAML:

  • Accesați Management > Securitate > Autentificare.
  • Accesați fila Furnizor de identitate și notați starea certificatului IdP (expirat sau expiră în curând) și data expirării.

  • Puteți intra direct în expertul SSO pentru a actualiza certificatul, de asemenea. Dacă decideți să ieșiți din expert înainte de a-l finaliza, îl puteți accesa din nou oricând din Administrare > Securitate > Autentificare în Control Hub.

2

Navigați la interfața de gestionare IdP pentru a regăsi noul fișier de metadate.

  • Acest pas poate fi efectuat printr-o filă de browser, un protocol desktop la distanță (RDP) sau printr-un anumit suport pentru furnizorul de cloud, în funcție de configurarea IdP și dacă dumneavoastră sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență.
3

Reveniți la fila Furnizor de identitate.

4

Accesați IdP-ul, faceți clic pe încărcare și selectați Încărcați metadatele Idp-ului.

5

Trageți și plasați fișierul de metadate IdP în fereastră sau faceți clic pe Alegeți un fișier și încărcați-l în acest fel.

6

Alegeți Mai puțin sigur (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

7

Faceți clic pe Testați actualizarea SSO pentru a confirma că noul fișier de metadate a fost încărcat și interpretat corect în organizația dvs. Control Hub. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a avut succes, selectați Test reușit: Activați SSO și IdP-ul și faceți clic pe Salvare.

Pentru a vedea direct experiența de conectare SSO, vă recomandăm să faceți clic pe Copiați adresa URL în clipboard din acest ecran și să o lipiți într-o fereastră privată a browserului. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

Rezultat​ : Ați terminat și certificatul IdP al organizației este acum reînnoit. Puteți verifica starea certificatului în orice moment în fila Furnizor de identitate.

Puteți exporta cele mai recente metadate Webex SP ori de câte ori trebuie să le adăugați înapoi la IdP. Veți vedea o notificare atunci când metadatele SAML IdP importate vor expira sau au expirat.

Acest pas este util în scenarii comune de gestionare a certificatelor IdP SAML, cum ar fi IPP-uri care acceptă mai multe certificate în cazul în care exportul nu a fost făcut mai devreme, dacă metadatele nu au fost importate în IdP, deoarece un administrator IdP nu a fost disponibil sau dacă IdP acceptă capacitatea de a actualiza numai certificatul. Această opțiune poate ajuta la minimizarea modificării doar prin actualizarea certificatului în configurația SSO și validarea post-eveniment.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Accesați IdP-ul, faceți clic pe Descărcați și selectați Descărcați metadatele SP-ului.

Numele fișierului de metadate al aplicației Webex este idb-meta-<org-ID>-SP.xml.

5

Importați metadatele în IdP.

Urmați documentația pentru IdP pentru a importa metadatele Webex SP. Puteți utiliza ghidurile noastre de integrare IdP sau puteți consulta documentația pentru IdP-ul dvs.

6

Când ați terminat, rulați testul SSO urmând pașii din Reînnoirea certificatului Webex (SP) din acest articol.

Când mediul IdP se modifică sau dacă certificatul IdP va expira, puteți importa metadatele actualizate în Webex în orice moment.

Înainte de a începe

Adunați metadatele IdP, de obicei ca fișier xml exportat.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Accesați IdP-ul, faceți clic pe încărcare și selectați Încărcați metadatele Idp-ului.

5

Trageți și fixați fișierul de metadate IdP în fereastră sau faceți clic pe Alegeți un fișier de metadate și încărcați-l în acest fel.

6

Alegeți Mai puțin sigur (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

7

Faceți clic pe Testați configurarea SSOși, când se deschide o nouă filă de browser, autentificați-vă cu IdP-ul conectându-vă.

Veți primi alerte în Control Hub înainte ca certificatele să expire, dar puteți, de asemenea, să configurați proactiv reguli de alertă. Aceste reguli vă anunță în prealabil că certificatele SP sau IdP vor expira. Vă putem trimite acestea prin e-mail, un spațiu în Webex Appsau ambele.

Indiferent de canalul de livrare configurat, toate alertele apar întotdeauna în Control Hub. Consultați Centrul de avertizări din Control Hub pentru mai multe informații.

1

Conectați-vă la Control Hub.

2

Accesați Centrul de alerte.

3

Alegeți Gestionare, apoi Toate regulile.

4

Din lista Reguli, alegeți oricare dintre regulile SSO pe care doriți să le creați:

  • Expirarea certificatului IDP SSO
  • EXPIRAREA certificatului SSO SP
5

În secțiunea Canal de livrare, bifați caseta pentru E-mail, spațiu Webex sauambele.

Dacă alegeți E-mail, introduceți adresa de e-mail care ar trebui să primească notificarea.

Dacă alegeți opțiunea spațiu Webex, sunteți adăugat automat într-un spațiu din interiorul aplicației Webex și livrăm notificările acolo.

6

Salvați modificările.

Ce trebuie să faceți în continuare

Trimitem alerte de expirare a certificatului o dată la 15 zile, începând cu 60 de zile înainte de expirare. (Vă puteți aștepta la alerte în zilele 60, 45, 30 și 15.) Alertele se opresc la reînnoirea certificatului.

Este posibil să vedeți o notificare care indică faptul că adresa URL unică de deconectare nu este configurată:

Vă recomandăm să configurați IdP-ul pentru a accepta Deconectare unică (cunoscut și ca SLO). Webex acceptă atât metodele de redirecționare, cât și cele de postare, disponibile în metadatele noastre descărcate din Control Hub. Nu toate IPP-urile acceptă SLO; vă rugăm să contactați echipa IdP pentru asistență. Uneori, pentru principalii furnizori de IdP, cum ar fi AzureAD, Ping Federate, ForgeRock și Oracle, care acceptă SLO, documentăm cum se configurează integrarea. Consultați-vă identitatea & Echipa de securitate cu privire la specificul IDP-ului dvs. și la modul de configurare corectă a acestuia.

Dacă nu este configurată o singură adresă URL de deconectare:

  • O sesiune IdP existentă rămâne valabilă. Data viitoare când utilizatorii se conectează, este posibil să nu li se ceară să reautenticeze de către IdP.

  • Afișăm un mesaj de avertizare la deconectare, astfel încât deconectarea la Webex App să nu se întâmple fără probleme.

Puteți dezactiva sign-on-ul unic (SSO) pentru organizația Webex gestionată în Control Hub. Este recomandat să dezactivați SSO dacă schimbați furnizorii de identitate (IdP).

Dacă conectarea unică a fost activată pentru organizația dvs., dar nu reușește, puteți angaja partenerul Cisco care vă poate accesa organizația Webex pentru a o dezactiva pentru dvs.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Faceți clic pe Dezactivați SSO.

Apare o fereastră pop-up care vă avertizează cu privire la dezactivarea SSO:

Dezactivați SSO

Dacă dezactivați SSO, parolele sunt gestionate de cloud în loc de configurația IdP integrată.

5

Dacă înțelegeți impactul dezactivării SSO și doriți să continuați, faceți clic pe Dezactivare.

SSO este dezactivat și toate listările de certificate SAML sunt eliminate.

Dacă SSO este dezactivat, utilizatorii care trebuie să se autentifice vor vedea un câmp de introducere a parolei în timpul procesului de conectare.

  • Utilizatorii care nu au o parolă în aplicația Webex trebuie fie să își reseteze parola, fie să le trimiteți un e-mail pentru a le seta o parolă.

  • Utilizatorii autentificați existenți cu un OAuth Token valid vor continua să aibă acces la Webex App.

  • Utilizatorii noi creați în timp ce SSO este dezactivat primesc un e-mail prin care li se solicită să creeze o parolă.

Ce trebuie să faceți în continuare

Dacă dumneavoastră sau clientul reconfigurați SSO pentru organizația clientului, conturile de utilizator revin la utilizarea politicii de parolă setate de IdP-ul integrat cu organizația Webex.

Dacă întâmpinați probleme cu conectarea SSO, puteți utiliza opțiunea de recuperare automată SSO pentru a obține acces la organizația Webex gestionată în Control Hub. Opțiunea de auto-recuperare vă permite să actualizați sau să dezactivați SSO în Control Hub.