SSO în Control Hub

Dacă doriți să configurați SSO pentru mai mulți furnizori de identitate din organizația dvs., consultați SSO cu mai mulți IdP în Webex.

Dacă utilizarea certificatului organizației este setată la Niciuna, dar primiți în continuare o alertă, vă recomandăm să continuați cu upgrade-ul. Implementarea SSO nu utilizează certificatul astăzi, dar este posibil să aveți nevoie de certificat pentru modificările viitoare.

Certificatul webex de furnizor de servicii (SP)

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul de sign-on unic Webex (SSO) va expira. Urmați procesul din acest articol pentru a regăsi metadatele certificatului cloud SSO de la noi (SP) și adăugați-le înapoi la IdP; în caz contrar, utilizatorii nu vor putea utiliza serviciile Webex.

Dacă utilizați certificatul SSO SAML Cisco (SP) în organizația dvs. Webex, trebuie să planificați actualizarea certificatului din cloud în timpul unei perioade regulate de întreținere programată, cât mai curând posibil.

Toate serviciile care fac parte din abonamentul organizației Webex sunt afectate, inclusiv, dar fără a se limita la:

  • Webex App (noi conectări pentru toate platformele: desktop, mobil și web)

  • Servicii Webex în ControlHub, inclusiv apelarea

  • Site-uri Webex Meetings gestionate prin Control Hub

  • Cisco Jabber dacă este integrat cu SSO

Înainte de a începe

Vă rugăm să citiți toate instrucțiunile înainte de a începe. După ce modificați certificatul sau parcurgeți expertul pentru a actualiza certificatul, este posibil ca utilizatorii noi să nu se poată conecta cu succes.

Dacă IdP-ul dvs. nu acceptă mai multe certificate (majoritatea IdP-urilor de pe piață nu acceptă această funcție), vă recomandăm să programați acest upgrade în timpul unei perioade de întreținere, în care utilizatorii Aplicației Webex nu sunt afectați. Aceste sarcini de upgrade trebuie să dureze aproximativ 30 de minute în timpul operațional și validarea după eveniment.

1

Pentru a verifica dacă certificatul SAML Cisco (SP) SSO va expira:

  • Este posibil să fi primit un e-mail sau un mesaj Webex App de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.

  • Conectați-vă la https://admin.webex.comși verificați centrul de alerte. Este posibil să existe o notificare despre actualizarea certificatului de furnizor de servicii SSO.

  • Conectați-vă la https://admin.webex.com, accesați Gestionare > Setări organizație > Conectare unică și faceți clic pe Gestionați SSO și IdP.
  • Accesați fila Furnizor de identitate și notați starea certificatului Cisco SP și data expirării.

Puteți intra direct în expertul SSO pentru a actualiza certificatul, de asemenea. Dacă decideți să părăsiți expertul înainte de a-l finaliza, îl puteți accesa din nou în orice moment din Gestionare > Setări organizație > Conectare unicăhttps://admin.webex.com.

2

Accesați IdP-ul și faceți clic pe .

3

Faceți clic pe Revizuiți certificatele și data expirării.

4

Faceți clic pe Reînnoire certificat.

5

Alegeți tipul de IdP utilizat de organizația dvs.

  • Un IdP care acceptă mai multe certificate
  • Un IdP care acceptă un singur certificat

Dacă IDP-ul acceptă un singur certificat, vă recomandăm să așteptați să efectuați acești pași în timpul perioadelor de nefuncționare programate. În timp ce certificatul Webex este în curs de actualizare, conectările utilizatorilor noi nu vor funcționa pentru scurt timp; conectările existente sunt păstrate.

6

Alegeți tipul de certificat pentru reînnoire:

  • Autosemnat de Cisco—Vă recomandăm această opțiune. Permiteți-ne să semnăm certificatul, astfel încât să trebuiască să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate de certificare publică—Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

    Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru a verifica certificatul unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

    Înainte de a trece la pașii următori, asigurați-vă că sunteți gata să reînnoiți certificatul și că operați în fereastra de modificare a organizației dvs. Dacă selectați Cisco autosemnat sau Semnat de o autoritate de certificare publică , se creează imediat un certificat nou. După ce certificatul se modifică pentru un singur IdP, SSO se oprește până când certificatul sau metadatele sunt încărcate în IdP. Prin urmare, este important să se finalizeze procesul de reînnoire.

7

Faceți clic pe Descărcați fișierul cu metadate pentru a descărca o copie a metadatelor actualizate cu noul certificat din cloud-ul Webex. Păstrați acest ecran deschis.

8

Navigați la interfața de gestionare IdP pentru a încărca noul fișier de metadate Webex.

  • Acest pas poate fi efectuat printr-o filă de browser, un protocol desktop la distanță (RDP) sau printr-un anumit suport pentru furnizorul de cloud, în funcție de configurarea IdP și dacă dumneavoastră sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență. Dacă pe Active Directory Federation Services (AD FS), puteți vedea cum se actualizează metadatele Webex în AD FS.
9

Reveniți la fila în care v-ați conectat la Control Hub și faceți clic pe Înainte.

10

Actualizați IdP cu noul certificat SP și metadate și faceți clic pe Înainte.

  • Au fost actualizate toate IdP-urile
  • Dacă aveți nevoie de mai mult timp pentru actualizare, salvați certificatul reînnoit ca opțiune secundară
11

Faceți clic pe Finalizați reînnoirea.

Certificat furnizor de identitate (IdP)

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul IdP va expira. Deoarece furnizorii IdP au propria documentație specifică pentru reînnoirea certificatului, acoperim ceea ce este necesar în Control Hub , împreună cupașii generici pentru a regăsi metadatele IdP actualizate și a le încărca în Control Hub pentru a reînnoi certificatul.

1

Pentru a verifica dacă certificatul IDP SAML va expira:

  • Este posibil să fi primit un e-mail sau un mesaj Webex App de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.
  • Conectați-vă la https://admin.webex.comși verificați centrul de alerte. Este posibil să existe o notificare despre actualizarea certificatului IDP SAML:

  • Conectați-vă la https://admin.webex.com, accesați Gestionare > Setări organizație > Conectare unică și faceți clic pe Gestionați SSO și IdP.
  • Accesați fila Furnizor de identitate și notați starea certificatului IdP (a expirat sau expiră în curând) și data expirării.

  • Puteți intra direct în expertul SSO pentru a actualiza certificatul, de asemenea. Dacă decideți să părăsiți expertul înainte de a-l finaliza, îl puteți accesa din nou în orice moment din Gestionare > Setări organizație > Conectare unicăhttps://admin.webex.com.

2

Navigați la interfața de gestionare IdP pentru a regăsi noul fișier de metadate.

  • Acest pas poate fi efectuat printr-o filă de browser, un protocol desktop la distanță (RDP) sau printr-un anumit suport pentru furnizorul de cloud, în funcție de configurarea IdP și dacă dumneavoastră sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență.
3

Reveniți la fila Furnizor de identitate .

4

Accesați IdP, faceți clic pe încărcare și selectați Încărcare metadate Idp.

5

Glisați și fixați fișierul dvs. cu metadate IdP în fereastră sau faceți clic pe Alegeți un fișier și încărcați-l în acest fel.

6

Alegeți Mai puțin sigur (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

7

Faceți clic pe Testați actualizarea SSO pentru a confirma faptul că noul fișier cu metadate a fost încărcat și interpretat corect în organizația dvs. Control Hub. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a reușit, selectați Test reușit: Activați SSO și IdP și faceți clic pe Salvare.

Pentru a vedea direct experiența de conectare SSO, vă recomandăm să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și să îl lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

Rezultat: Ați terminat și certificatul IdP al organizației este acum reînnoit. Puteți verifica oricând starea certificatului în fila Furnizor de identitate .

Puteți exporta cele mai recente metadate Webex SP ori de câte ori trebuie să le adăugați înapoi la IdP. Veți vedea o notificare atunci când metadatele SAML IdP importate vor expira sau au expirat.

Acest pas este util în scenarii comune de gestionare a certificatelor IdP SAML, cum ar fi IPP-uri care acceptă mai multe certificate în cazul în care exportul nu a fost făcut mai devreme, dacă metadatele nu au fost importate în IdP, deoarece un administrator IdP nu a fost disponibil sau dacă IdP acceptă capacitatea de a actualiza numai certificatul. Această opțiune poate ajuta la minimizarea modificării doar prin actualizarea certificatului în configurația SSO și validarea post-eveniment.

1

Din fereastra de vizualizare a clientului disponibilă în https://admin.webex.com, accesați Gestionare > Setări organizație, defilați la Conectare unică și faceți clic pe Gestionați SSO și IdP.

2

Accesați fila Furnizor de identitate .

3

Accesați IdP, faceți clic pe Descărcare și selectați Descărcați metadatele SP.

Numele fișierului cu metadate al aplicației Webex este idb-meta-<org-ID>-SP.xml.

4

Importați metadatele în IdP.

Urmați documentația pentru IdP pentru a importa metadatele Webex SP. Puteți utiliza ghidurile noastre de integrare IdP sau puteți consulta documentația pentru IdP-ul dvs.

5

Când ați terminat, rulați testul SSO utilizând pașii din Reînnoire certificat Webex (SP) din acest articol.

Când mediul IdP se modifică sau dacă certificatul IdP va expira, puteți importa metadatele actualizate în Webex în orice moment.

Înainte de a începe

Adunați metadatele IdP, de obicei ca fișier xml exportat.

1

Din fereastra de vizualizare a clientului disponibilă în https://admin.webex.com, accesați Gestionare > Setări organizație, defilați la Conectare unică și faceți clic pe Gestionați SSO și IdP.

2

Accesați fila Furnizor de identitate .

3

Accesați IdP, faceți clic pe încărcare și selectați Încărcare metadate Idp.

4

Trageți și fixați fișierul de metadate IdP în fereastră sau faceți clic pe Alegeți un fișier de metadate și încărcați-l în acest fel.

5

Alegeți Mai puțin sigur (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

6

Faceți clic pe Testați configurarea SSO și, atunci când se deschide o filă nouă de browser, autentificați-vă la IdP conectându-vă.

Veți primi alerte în Control Hub înainte ca certificatele să expire, dar puteți, de asemenea, să configurați proactiv reguli de alertă. Aceste reguli vă anunță în prealabil că certificatele SP sau IdP vor expira. Vă putem trimite acestea prin e-mail, un spațiu în Webex Appsau ambele.

Indiferent de canalul de livrare configurat, toate alertele apar întotdeauna în Control Hub. Consultați Centrul de avertizări din Control Hub pentru mai multe informații.

1

Conectați-vă la Control Hub.

2

Accesați Centrul de alerte.

3

Alegeți Gestionare, apoi Toate regulile.

4

Din lista Reguli, alegeți oricare dintre regulile SSO pe care doriți să le creați:

  • Expirarea certificatului IDP SSO
  • EXPIRAREA certificatului SSO SP
5

În secțiunea Canal de livrare, bifați caseta pentru E-mail, spațiu Webex sauambele.

Dacă alegeți E-mail, introduceți adresa de e-mail care ar trebui să primească notificarea.

Dacă alegeți opțiunea spațiu Webex, sunteți adăugat automat într-un spațiu din interiorul aplicației Webex și livrăm notificările acolo.

6

Salvați modificările.

Ce trebuie să faceți în continuare

Trimitem alerte de expirare a certificatului o dată la 15 zile, începând cu 60 de zile înainte de expirare. (Puteți aștepta alerte în zilele 60, 45, 30 și 15.) Alertele se opresc atunci când reînnoiți certificatul.

Este posibil să vedeți o notificare că URL-ul de deconectare unică nu este configurat:

Vă recomandăm să configurați IdP-ul pentru a accepta Deconectare unică (cunoscut și ca SLO). Webex acceptă atât metodele de redirecționare, cât și cele de postare, disponibile în metadatele noastre descărcate din Control Hub. Nu toate IPP-urile acceptă SLO; vă rugăm să contactați echipa IdP pentru asistență. Uneori, pentru marii furnizori IdP, cum ar fi AzureAD, Ping Federate, ForgeRock și Oracle, care acceptă SLO, documentăm modul de configurare a integrării. Consultați echipa dvs. de identitate și securitate cu privire la specificul IDP-ului dvs. și la modul de configurare corespunzător.

Dacă nu este configurat URL-ul de deconectare unică:

  • O sesiune IdP existentă rămâne valabilă. Data viitoare când utilizatorii se conectează, este posibil să nu li se ceară să reautenticeze de către IdP.

  • Afișăm un mesaj de avertizare la deconectare, astfel încât deconectarea la Webex App să nu se întâmple fără probleme.

Puteți dezactiva sign-on-ul unic (SSO) pentru organizația Webex gestionată în Control Hub. Ați putea dori să dezactivați SSO dacă schimbați furnizorii de identitate (IdP).

Dacă conectarea unică a fost activată pentru organizația dvs., dar nu reușește, puteți angaja partenerul Cisco care vă poate accesa organizația Webex pentru a o dezactiva pentru dvs.

1

Din fereastra de vizualizare a clientului disponibilă în https://admin.webex.com, accesați Gestionare > Setări organizație, defilați la Conectare unică și faceți clic pe Gestionați SSO și IdP.

2

Accesați fila Furnizor de identitate .

3

Faceți clic pe Dezactivare SSO.

Apare o fereastră pop-up care vă avertizează cu privire la dezactivarea SSO:

Dezactivați SSO

Dacă dezactivați SSO, parolele sunt gestionate de cloud în loc de configurația IdP integrată.

4

Dacă înțelegeți impactul dezactivării SSO și doriți să continuați, faceți clic pe Dezactivare.

SSO este dezactivată și toate listele cu certificate SAML sunt eliminate.

Dacă SSO este dezactivată, utilizatorii care trebuie să se autentifice vor vedea un câmp de introducere a parolei în timpul procesului de conectare.

  • Utilizatorii care nu au o parolă în Aplicația Webex trebuie fie să își reseteze parola, fie să le trimiteți un e-mail pentru a seta o parolă.

  • Utilizatorii autentificați existenți cu un OAuth Token valid vor continua să aibă acces la Webex App.

  • Utilizatorii noi creați în timp ce SSO este dezactivat primesc un e-mail prin care li se solicită să creeze o parolă.

Ce trebuie să faceți în continuare

Dacă dvs. sau clientul reconfigurați SSO pentru organizația client, conturile de utilizator revin la utilizarea politicii privind parolele setate de IdP care este integrat cu organizația Webex.

Dacă întâmpinați probleme cu conectarea SSO, puteți utiliza opțiunea de autorecuperare SSO pentru a obține acces la organizația dvs. Webex gestionată în Control Hub. Opțiunea de autorecuperare vă permite să actualizați sau să dezactivați SSO în Control Hub.