Dacă utilizarea certificatului de către organizația dvs. este setată la Niciuna, dar primiți în continuare o alertă, vă recomandăm să continuați să continuați cu upgrade-ul. Implementarea dvs. SSO nu utilizează certificatul astăzi, dar este posibil să aveți nevoie de certificat pentru modificări viitoare.

Certificate ale furnizorului de servicii (SP)


 

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul de conectare singură Webex ( SSO) va expira. Urmați procesul din acest articol pentru a prelua metadatele certificatului cloud SSO de la noi (SP) și a le adăuga înapoi la IdP; în caz contrar, utilizatorii nu vor putea utiliza serviciile Webex .

Dacă utilizați certificatul SSO SAML Cisco (SP) în organizația dvs. Webex , trebuie să planificați actualizarea certificatului cloud în timpul unei ferestre de întreținere programată regulată cât mai curând posibil.

Toate serviciile care fac parte din abonamentul organizației dvs. Webex sunt afectate, inclusiv, dar fără a se limita la:

  • Aplicația Webex (conectări noi pentru toate platformele: desktop, mobil și web)

  • Servicii Webex în Control Hub, inclusiv Calling

  • Site-uri Webex Meetings gestionate prin Control Hub

  • Cisco Jabber dacă este integrat cu SSO

Înainte de a începe


 

Vă rugăm să citiți toate instrucțiunile înainte de a începe. După ce modificați certificatul sau parcurgeți expertul pentru a actualiza certificatul, este posibil ca noii utilizatori să nu se poată conecta cu succes.

Dacă IdP-ul dvs. nu acceptă mai multe certificate (majoritatea IdP-urilor de pe piață nu acceptă această caracteristică), vă recomandăm să programați acest upgrade într-o fereastră de întreținere în care utilizatorii aplicației Webex nu sunt afectați. Aceste operațiuni de upgrade ar trebui să dureze aproximativ 30 de minute în timpul operațional și validarea post-eveniment.

1

Pentru a verifica dacă certificatul SSO SAML Cisco (SP) va expira:

  • Este posibil să fi primit un e-mail sau un mesaj din aplicația Webex de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.

  • Conectați-vă lahttps://admin.webex.com , și verificați Centru de alerte . Este posibil să existe o notificare privind actualizarea Certificatului de furnizor de servicii SSO .

  • Conectați-vă lahttps://admin.webex.com , accesați Management > Setări organizație > Autentificare , și notați starea certificatului în tabelul Certificate Cisco SAML (a expirat sau expiră în curând). Faceți clic Reînnoiți certificatul pentru a continua.

Puteți accesa direct expertul SSO pentru a actualiza și certificatul. Dacă decideți să părăsiți expertul înainte de a-l finaliza, îl puteți accesa din nou oricând din Management > Setări organizație > Autentificare înhttps://admin.webex.com .

2

Alegeți tipul de certificat pentru reînnoire:

  • Semnat automat de Cisco —Recomandăm această alegere. Permiteți-ne să semnăm certificatul, așa că trebuie să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate publică de certificare — Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

     

    Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru verificarea certificatului unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

3

Faceți clic Descărcați fișierul cu metadate pentru a descărca o copie a metadatelor actualizate cu noul certificat din Webex . Păstrați acest ecran deschis.

4

Navigați la interfața de gestionare a IdP pentru a încărca noul fișier de metadate Webex .

5

Reveniți la fila în care v-ați conectat la Control Hub și faceți clic În continuare .

6

Acest mesaj are rolul de a confirma faptul că noul fișier cu metadate a fost încărcat și interpretat corect de către IdP-ul dvs. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a reușit, faceți clic Comutați la metadate noi .


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

Rezultat: Ați terminat, iar Certificatul SSO SAML Cisco (SP) al organizației dvs. este acum reînnoit. Puteți verifica oricând starea certificatului prin deschiderea tabelului cu starea certificatului SAML din Management > Setări organizație > Autentificare .

Certificat furnizor de identitate (IdP).


 

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul IdP va expira. Deoarece furnizorii de IdP au propria documentație specifică pentru reînnoirea certificatului, vom acoperi ceea ce este necesar în Control Hub, împreună cu pași generici pentru a prelua metadatele IdP actualizate și a le încărca în Control Hub pentru a reînnoi certificatul.

1

Pentru a verifica dacă certificatul IdP SAML va expira:

  • Este posibil să fi primit un e-mail sau un mesaj din aplicația Webex de la noi, dar ar trebui să verificați în Control Hub pentru a fi sigur.
  • Conectați-vă lahttps://admin.webex.com , și verificați Centru de alerte . Este posibil să existe o notificare despre actualizarea certificatului IdP SAML :

  • Conectați-vă lahttps://admin.webex.com , accesați Management > Setări organizație > Autentificare și notați starea certificatului (expirat sau care expiră în curând) în tabelul Certificat SAML . Faceți clic Reînnoiți certificatul pentru a continua.

  • Puteți accesa direct expertul SSO pentru a actualiza și certificatul. Dacă decideți să părăsiți expertul înainte de a-l finaliza, îl puteți accesa din nou oricând din Management > Setări organizație > Autentificare înhttps://admin.webex.com .

2

Navigați la interfața de gestionare a IdP pentru a prelua noul fișier cu metadate.

  • Acest pas poate fi efectuat printr-o filă de browser, protocol desktop la distanță (RDP) sau printr-un anumit furnizor de servicii cloud, în funcție de configurația IdP și dacă dvs. sau un administrator IdP separat sunteți responsabil pentru acest pas.
  • Pentru referință, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență.
3

Reveniți la Management > Setări organizație > Autentificare înhttps://admin.webex.com , apoi alegeți Acțiuni > Import metadate .

4

Trageți și plasați fișierul de metadate IdP în fereastră sau faceți clic Alegeți un fișier cu metadate și încărcați-l în acest fel.

5

Alegeți Mai puțin sigure (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

6

Faceți clic Testare actualizare SSO pentru a confirma că noul fișier cu metadate a fost încărcat și interpretat corect în organizația dvs. din Control Hub. Confirmați rezultatele așteptate în fereastra pop-up și, dacă testul a reușit, faceți clic Comutați la metadate noi .


 

Pentru a vedea direct experiența de conectare SSO, puteți, de asemenea, să faceți clic pe Copiați URL-ul în clipboard de pe acest ecran și lipiți într-o fereastră de browser privată. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

Rezultat: Ați terminat și certificatul IdP al organizației dvs. este acum reînnoit. Puteți verifica oricând starea certificatului prin deschiderea tabelului cu starea certificatului SAML din Management > Setări organizație > Autentificare .

Puteți exporta cele mai recente metadate Webex SP ori de câte ori trebuie să le adăugați înapoi la IdP. Veți vedea o notificare când metadatele IdP SAML importate vor expira sau vor expira.

Acest pas este util în scenariile obișnuite de gestionare a certificatelor IdP SAML , cum ar fi IdP-urile care acceptă mai multe certificate în care exportul nu a fost efectuat anterior, dacă metadatele nu au fost importate în IdP deoarece nu era disponibil un administrator IdP sau dacă IdP-ul dvs. acceptă posibilitatea de a actualiza numai certificatul. Această opțiune poate ajuta la minimizarea modificării prin actualizarea certificatului doar în configurația SSO și prin validarea post-eveniment.

1

Din vizualizarea clientului înhttps://admin.webex.com , accesați Management > Setări organizație , derulați la Autentificare , apoi alegeți Acțiuni > Export metadate .

Numele fișierului cu metadate Webex este idb-meta- -SP.xml .<org-ID>

2

Importați metadatele în IdP.

Urmați documentația pentru IdP-ul dvs. pentru a importa metadatele Webex SP. Puteți utiliza sistemul nostru Ghiduri de integrare IdP sau consultați documentația pentru specificul dvs. IdP, dacă nu este listat.

3

Când ați terminat, rulați testul SSO utilizând pașii din Reînnoire certificat Webex (SP) în acest articol.

Când mediul dvs. IdP se modifică sau dacă certificatul dvs. IdP va expira, puteți importa oricând metadatele actualizate în Webex .

Înainte de a începe

Adunați-vă metadatele IdP, de obicei ca fișier XML exportat.

1

Din vizualizarea clientului înhttps://admin.webex.com , accesați Management > Setări organizație , derulați la Autentificare , apoi alegeți Acțiuni > Import metadate .

2

Trageți și plasați fișierul de metadate IdP în fereastră sau faceți clic Alegeți un fișier cu metadate și încărcați-l în acest fel.

3

Alegeți Mai puțin sigure (autosemnat) sau Mai sigur (semnat de un CA public), în funcție de modul în care sunt semnate metadatele IdP.

Veți primi alerte în Control Hub înainte ca certificatele să expire, dar puteți și să configurați proactiv reguli de alertă. Aceste reguli vă anunță în prealabil că certificatele dvs. SP sau IdP vor expira. Vă putem trimite aceste informații prin e-mail, printr-un spațiu din aplicația Webex sau prin ambele.


 

Indiferent de canalul de livrare configurat, toate alertele vor apărea întotdeauna în Control Hub. Vedeți Centru de alerte în Control Hub pentru mai multe informații.

1

Din vizualizarea clientului înhttps://admin.webex.com , accesați Centru de alerte .

2

Alegeți Gestionați apoi Toate regulile .

3

Din lista Reguli, alegeți oricare dintre regulile SSO pe care doriți să le creați:

  • Expirare certificat SSO IDP
  • Expirare certificat SSO SP
4

În secțiunea Canal de livrare, bifați caseta pentru E-mail , Spațiu Webex , sau ambele.

Dacă alegeți E- E-mail, introduceți adresa de e-adresă de e-mail care trebuie să primească notificarea.


 

Dacă alegeți opțiunea spațiu Webex , veți fi adăugat automat într-un spațiu din interiorul aplicației Webex și noi livrăm notificările acolo.

5

Salvați modificările.

Ce este de făcut în continuare

Trimitem alerte de expirare a certificatului o dată la 15 zile, începând cu 60 de zile înainte de expirare. (Vă puteți aștepta la alerte în zilele 60, 45, 30 și 15.) Alertele se opresc când reînnoiți certificatul.

Este posibil să vedeți o notificare că URL unică de deconectare nu este configurată:


 

Vă recomandăm să vă configurați IdP pentru a accepta Deconectarea unică (cunoscută și ca SLO). Webex acceptă atât metodele de redirecționare, cât și metodele de postare, disponibile în metadatele noastre care sunt descărcate din Control Hub. Nu toți IdP-urile acceptă SLO; vă rugăm să contactați echipa IdP pentru asistență. În unele cazuri, pentru furnizorii majori de IdP precum AzureAD, Ping Federate, ForgeRock și Oracle, care acceptă SLO, documentăm modul de configurare a integrării . Vă rugăm să consultați echipa de Identitate și securitate cu privire la specificul IDP-ului dvs. și la modul de configurare corectă.

URL-ul de deconectare unică nu este configurat.

  • O sesiune IdP existentă rămâne valabilă. Data viitoare când utilizatorii se conectează, nu li se poate cere să se autentifice din nou de către IdP.

  • Afișăm un mesaj de avertizare la deconectare, astfel încât deconectarea din aplicația Webex să nu aibă loc fără probleme.

Puteți dezactiva conectare singură (SSO) pentru organizația dvs. Webex gestionată în Control Hub. Poate doriți să dezactivați SSO dacă schimbați furnizorii de identitate (IdP).


 

Dacă conectare singură a fost activată pentru organizația dvs., dar nu reușește, puteți contacta partenerul Cisco care vă poate accesa organizația Webex pentru a o dezactiva în locul dvs.

1

Din vizualizarea clientului în , accesați Management > Setări organizație , apoi derulați la Autentificare .https://admin.webex.com

2

Pentru a dezactiva SSO , dezactivați Conectare unică setare.

Apare o fereastră po-pup -up care vă avertizează cu privire la dezactivarea SSO:

Dacă dezactivați SSO, parolele sunt gestionate de cloud în loc de configurația dvs. IdP integrată.

3

Dacă înțelegeți impactul dezactivării SSO și doriți să continuați, faceți clic Dezactivați .

În Control Hub, veți vedea setarea SSO dezactivată și toate listele de certificate SAML sunt eliminate.

Dacă SSO este dezactivat, utilizatorii care trebuie să se autentifice vor vedea un câmp de introducere a parolei în timpul procesului de conectare.

  • Utilizatorii care nu au o parolă în aplicația Webex trebuie fie să își resetați parola, fie trebuie să trimiteți un e-mail pentru ca aceștia să seteze o parolă.

  • Utilizatorii existenți autentificați cu un token OAuth valid vor avea acces în continuare la aplicația Webex .

  • Utilizatorii noi creați în timp ce SSO este dezactivat primesc un e-mail în care le cere să creeze o parolă.

Ce este de făcut în continuare

Dacă dvs. sau clientul reconfigurați SSO pentru organizația client, conturile de utilizator vor reveni la utilizarea politicii de parole care este setată de IdP care este integrat cu organizația Webex .

Dacă întâmpinați probleme la conectarea la SSO , puteți utiliza funcția Opțiune de recuperare automată SSO pentru a obține acces la organizația dvs. Webex gestionată în Control Hub. Opțiunea de recuperare automată vă permite să actualizați sau să dezactivați SSO în Control Hub.