Как изменить сертификат у своего поставщика услуг системы единого входа?

Как изменить сертификат у своего поставщика услуг системы единого входа?

Как обновить сертификат ADFS?

 

Cisco Webex не предоставляет документацию или рекомендации по поводу выполнения регулярного технического обслуживания в разрезе конкретных поставщиков системы единого входа.

Служба технической поддержки Webex выяснила, что клиентам ADFS, которым необходима эта информация, была полезной следующая статья службы поддержки Microsoft:


Примечание.
  • Cisco Webex не дает никаких гарантий в отношении точности этой информации и ее актуальности для того или иного развертывания.
  • За дополнительной помощью в разрезе конкретного развертывания следует обращаться к поставщику услуг системы единого входа.

Общее руководство по сертификатам и реализации Webex спецификации SAML 2.0

Как правило, для работы SSO между службой управления удостоверениями, которая обычно называется IDP, и порталами службы администрирования веб-сайта Webex и администрирования Webex Messenger должно быть установлено активное и действительное отношение доверия (для пакета Cisco Webex Meetings или клиентов Cisco Webex Messenger соответственно).

Процедура установления отношения выполняется с помощью SAML: утверждающая сторона SAML подписывает ответ SAML. Webex не требует, чтобы утверждение SAML содержало общедоступный сертификат для подписи, однако с целью устранения неполадок следует добавить его в ответ SAML. Webex не требует подписи утверждения. Обратите внимание, что ответ может быть и с подписью, но это не обязательное условие. Webex не унаследуют подпись сертификата из ответа на утверждение.

Далее приведены основные моменты, которые необходимо учитывать.
  • Сертификат, используемый для подписи утверждения SAML, должен быть активным и соответствовать сертификату, загруженному на странице администрирования используемой службы Webex.
  • Сертификат не должен быть подписан ЦС, поскольку отношение доверия устанавливается посредством загрузки сертификата вручную, а не путем согласования протокола, например HTTPS.
  • Для наилучшего результата сертификат, загруженный в службу администрирования Webex, должен быть файлом в формате PEM с расширением .cer и шифрованием Base64.

Рекомендации по выполнению модернизации сертификата

Cisco Webex рекомендует запланировать небольшой период простоя для выполнения этого технического обслуживания. В период между изменением сертификата на стороне IDP и изменением сертификата на портале администрирования Webex пользователи не смогут войти в систему. Это никак не отразится на организаторах и посетителях, которые уже выполнили аутентификацию, а также пользователях Jabber в рамках текущих сеансов аутентификации. Примечание. Пользователи Jabber, выполняющие вызов из Jabber в Jabber, должны выполнять аутентификацию для пользования веб-службой Webex каждые 24 часа, независимо от продолжительности сеанса аутентификации в других службах. Пользователи Jabber, которые попытаются выполнить аутентификацию в службе Webex в период технического обслуживания, получат сообщение "Недопустимое ответное сообщение (29)". Если же в этот период попытаются выполнить аутентификацию организаторы и посетители с учетной записью, использующие Webex Business Suite, они получат сообщение об ошибке "Неверный сертификат X.509 для проверки утверждения SAML(8)".

Предварительные условия
  • Подготовьте сертификаты закрытого ключа и открытого ключа к загрузке на страницу IDP и на страницу администрирования Webex.
  • У администраторов веб-сайта Webex Business Suite есть пароль от своей учетной записи администратора.
    • Администратор может настроить пароль перед началом технического обслуживания.
    • Если администратор забудет пароль после начала технического обслуживания, он утратит доступ к своей учетной записи. Восстановить доступ можно будет только при помощи другого администратора веб-сайта или службы технической поддержки Webex.
  • У администраторов Webex Messenger также есть имена пользователей и пароли, которые можно использовать для входа в систему, если в период, когда SSO не работает, вам понадобится выполнить аутентификацию.
Справочную информацию по поводу обновления сертификата в службе администрирования веб-сайта Webex см. в статье Настройка системы единого входа для веб-сайта Cisco Webex

Устранение неполадок

Если после обновления сертификата не удается выполнить аутентификацию, воспользуйтесь приведенными ниже советами.
  • Убедитесь в том, что сертификат успешно загружен на страницу IDP.
  • Убедитесь, что на портале администрирования Webex отображен правильный сертификат.
  • Убедитесь в том, что IDP предоставляет ответ SAML.
    • Служба технической поддержки Webex обычно использует встроенные средства разработчика в Chrome, Firefox и Internet Explorer, чтобы проверить, предоставляет ли IDP ответ SAML.
    • Для сбора журналов о транзакциях HTTPS, созданных в приложении или браузере, служба технической поддержки Webex обычно использует стороннее приложение Fiddler.
  • Убедитесь в том, что сертификат в ответе SAML содержит правильный сертификат.
Дополнительная помощь.

За помощью обращайтесь в службу технической поддержки Cisco Webex.

Служба технической поддержки Webex не может предоставить инструкции по настройке или внедрению SSO с учетом поставщика IDP, однако может предоставить общие рекомендации по поводу сообщений об ошибках и отладки.
 

Была ли статья полезной?

Похожие статьи
Похожие статьи стрелка вверх раскрыто