Utilizați caracteristicile de gestionare a SSO din Control Hub pentru gestionarea certificatelor și activități generale de întreținere SSO , cum ar fi actualizarea unui certificat care expiră sau verificarea configurației SSO existente. Fiecare caracteristică de gestionare a SSO este tratată în filele individuale din acest articol.
Dacă utilizarea certificatului de către organizația dvs. este setată la Niciuna, dar primiți în continuare o alertă, vă recomandăm să continuați să continuați cu upgrade-ul. Implementarea dvs. SSO nu utilizează certificatul astăzi, dar este posibil să aveți nevoie de certificat pentru modificări viitoare. |
Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul de conectare singură Webex ( SSO) va expira. Urmați procesul din acest articol pentru a prelua metadatele certificatului cloud SSO de la noi (SP) și a le adăuga înapoi la IdP; în caz contrar, utilizatorii nu vor putea utiliza serviciile Webex . |
Dacă utilizați certificatul SSO SAML Cisco (SP) în organizația dvs. Webex , trebuie să planificați actualizarea certificatului cloud în timpul unei ferestre de întreținere programată regulată cât mai curând posibil.
Toate serviciile care fac parte din abonamentul organizației dvs. Webex sunt afectate, inclusiv, dar fără a se limita la:
Aplicația Webex (conectări noi pentru toate platformele: desktop, mobil și web)
Servicii Webex în Control Hub, inclusiv Calling
Site-uri Webex Meetings gestionate prin Control Hub
Cisco Jabber dacă este integrat cu SSO
Înainte de a începe
Vă rugăm să citiți toate instrucțiunile înainte de a începe. După ce modificați certificatul sau parcurgeți expertul pentru a actualiza certificatul, este posibil ca noii utilizatori să nu se poată conecta cu succes. |
Dacă IdP-ul dvs. nu acceptă mai multe certificate (majoritatea IdP-urilor de pe piață nu acceptă această caracteristică), vă recomandăm să programați acest upgrade într-o fereastră de întreținere în care utilizatorii aplicației Webex nu sunt afectați. Aceste operațiuni de upgrade ar trebui să dureze aproximativ 30 de minute în timpul operațional și validarea post-eveniment.
1 | Pentru a verifica dacă certificatul SSO SAML Cisco (SP) va expira:
Puteți accesa direct expertul SSO pentru a actualiza și certificatul. Dacă decideți să părăsiți expertul înainte de a-l finaliza, îl puteți accesa din nou oricând dinhttps://admin.webex.com . în | ||
2 | Alegeți tipul de certificat pentru reînnoire:
| ||
3 | Faceți clic Descărcați fișierul cu metadate pentru a descărca o copie a metadatelor actualizate cu noul certificat din Webex . Păstrați acest ecran deschis. | ||
4 | Navigați la interfața de gestionare a IdP pentru a încărca noul fișier de metadate Webex .
| ||
5 | Reveniți la fila în care v-ați conectat la Control Hub și faceți clic În continuare . | ||
6 | Acest mesaj are rolul de a confirma faptul că noul fișier cu metadate a fost încărcat și interpretat corect de către IdP-ul dvs. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a reușit, faceți clic Comutați la metadate noi .
Rezultat: Ați terminat, iar Certificatul SSO SAML Cisco (SP) al organizației dvs. este acum reînnoit. Puteți verifica oricând starea certificatului prin deschiderea tabelului cu starea certificatului SAML din . |
Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul IdP va expira. Deoarece furnizorii de IdP au propria documentație specifică pentru reînnoirea certificatului, vom acoperi ceea ce este necesar în Control Hub, împreună cu pași generici pentru a prelua metadatele IdP actualizate și a le încărca în Control Hub pentru a reînnoi certificatul. |
1 | Pentru a verifica dacă certificatul IdP SAML va expira:
| ||
2 | Navigați la interfața de gestionare a IdP pentru a prelua noul fișier cu metadate.
| ||
3 | Reveniți lahttps://admin.webex.com , apoi alegeți . în | ||
4 | Trageți și plasați fișierul de metadate IdP în fereastră sau faceți clic Alegeți un fișier cu metadate și încărcați-l în acest fel. | ||
5 | Alegeți Mai puțin sigure (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP. | ||
6 | Faceți clic Testare actualizare SSO pentru a confirma că noul fișier cu metadate a fost încărcat și interpretat corect în organizația dvs. din Control Hub. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a reușit, faceți clic Comutați la metadate noi .
Rezultat: Ați terminat și certificatul IdP al organizației dvs. este acum reînnoit. Puteți verifica oricând starea certificatului prin deschiderea tabelului cu starea certificatului SAML din . |
Puteți exporta cele mai recente metadate Webex SP ori de câte ori trebuie să le adăugați înapoi la IdP. Veți vedea o notificare când metadatele IdP SAML importate vor expira sau vor expira.
Acest pas este util în scenariile obișnuite de gestionare a certificatelor IdP SAML , cum ar fi IdP-urile care acceptă mai multe certificate în care exportul nu a fost efectuat anterior, dacă metadatele nu au fost importate în IdP deoarece nu era disponibil un administrator IdP sau dacă IdP-ul dvs. acceptă posibilitatea de a actualiza numai certificatul. Această opțiune poate ajuta la minimizarea modificării prin actualizarea certificatului doar în configurația SSO și prin validarea post-eveniment.
1 | Din vizualizarea clientului înhttps://admin.webex.com , accesați , derulați la Autentificare , apoi alegeți . Numele fișierului cu metadate Webex este idb-meta- -SP.xml .<org-ID> |
2 | Importați metadatele în IdP. Urmați documentația pentru IdP-ul dvs. pentru a importa metadatele Webex SP. Puteți utiliza sistemul nostru Ghiduri de integrare IdP sau consultați documentația pentru specificul dvs. IdP, dacă nu este listat. |
3 | Când ați terminat, rulați testul SSO utilizând pașii din |
Când mediul dvs. IdP se modifică sau dacă certificatul dvs. IdP va expira, puteți importa oricând metadatele actualizate în Webex .
Înainte de a începe
Adunați-vă metadatele IdP, de obicei ca fișier XML exportat.
1 | Din vizualizarea clientului înhttps://admin.webex.com , accesați , derulați la Autentificare , apoi alegeți . |
2 | Trageți și plasați fișierul de metadate IdP în fereastră sau faceți clic Alegeți un fișier cu metadate și încărcați-l în acest fel. |
3 | Alegeți Mai puțin sigure (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP. |
Veți primi alerte în Control Hub înainte ca certificatele să expire, dar puteți și să configurați proactiv reguli de alertă. Aceste reguli vă anunță în prealabil că certificatele dvs. SP sau IdP vor expira. Vă putem trimite aceste informații prin e-mail, printr-un spațiu din aplicația Webex sau prin ambele.
Indiferent de canalul de livrare configurat, toate alertele vor apărea întotdeauna în Control Hub. Vedeți Centru de alerte în Control Hub pentru mai multe informații. |
1 | Din vizualizarea clientului înhttps://admin.webex.com , accesați Centru de alerte . | ||
2 | Alegeți Gestionați apoi Toate regulile . | ||
3 | Din lista Reguli, alegeți oricare dintre regulile SSO pe care doriți să le creați:
| ||
4 | În secțiunea Canal de livrare, bifați caseta pentru E-mail , Spațiu Webex , sau ambele. Dacă alegeți E- E-mail, introduceți adresa de e-adresă de e-mail care trebuie să primească notificarea.
| ||
5 | Salvați modificările. |
Ce este de făcut în continuare
Trimitem alerte de expirare a certificatului o dată la 15 zile, începând cu 60 de zile înainte de expirare. (Vă puteți aștepta la alerte în zilele 60, 45, 30 și 15.) Alertele se opresc când reînnoiți certificatul.
Este posibil să vedeți o notificare că URL unică de deconectare nu este configurată:
Vă recomandăm să vă configurați IdP pentru a accepta Deconectarea unică (cunoscută și ca SLO). Webex acceptă atât metodele de redirecționare, cât și metodele de postare, disponibile în metadatele noastre care sunt descărcate din Control Hub. Nu toți IdP-urile acceptă SLO; vă rugăm să contactați echipa IdP pentru asistență. În unele cazuri, pentru furnizorii majori de IdP precum AzureAD, Ping Federate, ForgeRock și Oracle, care acceptă SLO, documentăm modul de configurare a integrării . Vă rugăm să consultați echipa de Identitate și securitate cu privire la specificul IDP-ului dvs. și la modul de configurare corectă. |
URL-ul de deconectare unică nu este configurat.
O sesiune IdP existentă rămâne valabilă. Data viitoare când utilizatorii se conectează, nu li se poate cere să se autentifice din nou de către IdP.
Afișăm un mesaj de avertizare la deconectare, astfel încât deconectarea din aplicația Webex să nu aibă loc fără probleme.
Puteți dezactiva conectare singură (SSO) pentru organizația dvs. Webex gestionată în Control Hub. Poate doriți să dezactivați SSO dacă schimbați furnizorii de identitate (IdP).
Dacă conectare singură a fost activată pentru organizația dvs., dar nu reușește, puteți contacta partenerul Cisco care vă poate accesa organizația Webex pentru a o dezactiva în locul dvs. |
1 | Din vizualizarea clientului în , accesați Management > Setări organizație , apoi derulați la Autentificare .https://admin.webex.com |
2 | Pentru a dezactiva SSO , dezactivați Conectare unică setare. Apare o fereastră po-pup -up care vă avertizează cu privire la dezactivarea SSO: Dacă dezactivați SSO, parolele sunt gestionate de cloud în loc de configurația dvs. IdP integrată. |
3 | Dacă înțelegeți impactul dezactivării SSO și doriți să continuați, faceți clic Dezactivați . În Control Hub, veți vedea setarea SSO dezactivată și toate listele de certificate SAML sunt eliminate. Dacă SSO este dezactivat, utilizatorii care trebuie să se autentifice vor vedea un câmp de introducere a parolei în timpul procesului de conectare.
|
Ce este de făcut în continuare
Dacă dvs. sau clientul reconfigurați SSO pentru organizația client, conturile de utilizator vor reveni la utilizarea politicii de parole care este setată de IdP care este integrat cu organizația Webex .
Dacă întâmpinați probleme la conectarea la SSO , puteți utiliza funcția Opțiune de recuperare automată SSO pentru a obține acces la organizația dvs. Webex gestionată în Control Hub. Opțiunea de recuperare automată vă permite să actualizați sau să dezactivați SSO în Control Hub.