Благодарим вас за обратную связь.
Управление интеграцией системы единого входа в Control Hub
Отправить обратную связь?
Чтобы настроить SSO для нескольких поставщиков удостоверений в вашей организации, см. статью SSO с несколькими IdP в Webex.
Если в настройках использования сертификата организации выставлено "Нет", но предупреждение все равно появляется, рекомендуем продолжить обновление. Ваше развертывание SSO не использует сертификат в данный момент, но он может понадобиться вам для внесения изменений в будущем.
На вашу электронную почту или в Webex Control Hub могут периодически приходить уведомления об истечении срока действия сертификата системы единого входа (SSO) для Webex. Выполните процедуру, описанную в этой статье, чтобы получить метаданные сертификата SSO в облаке от нашей службы (SP) и вернуть их в ваш IdP. В противном случае пользователи не смогут использовать службы Webex.
Если в организации Webex используется сертификат SAML Cisco (SP) SSO, необходимо как можно скорее обновить сертификат в облаке во время обычного запланированного технического обслуживания.
Модернизация повлияет на все службы, связанные с подпиской вашей организации Webex, включая приведенные ниже.
-
Приложение Webex (новые сеансы для всех платформ: настольные компьютеры, мобильные телефоны и веб-версии)
-
Службы Webex в Control Hub, включая Calling
-
Веб-сайты Webex Meetings под управлением Control Hub
-
Cisco Jabber (при интеграции с SSO)
Прежде чем начать
Прежде чем начать, прочтите все указания. После изменения сертификата или использования мастера для обновления сертификата новые пользователи, возможно, не смогут успешно выполнить вход.
Если поставщик удостоверений не поддерживает использование нескольких сертификатов (эта функция не поддерживается большинством поставщиков удостоверений на рынке), рекомендуется запланировать эту модернизацию во время технического обслуживания, которое не повлияет на пользователей приложения Webex. Выполнение этих задач модернизации должно занять приблизительно 30 минут в рабочее время и после event-совещания.
| 1 |
Чтобы проверить, истекает ли срок действия сертификата SSO Cisco (SP), необходимо сделать следующее:
Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите закрыть мастер до его завершения, вы сможете снова открыть его в любой момент в меню в https://admin.webex.com. |
| 2 |
Перейдите к поставщику удостоверений и щелкните |
| 3 |
Щелкните Проверка сертификатов и даты истечения срока действия. |
| 4 |
Щелкните Обновить сертификат. |
| 5 |
Выберите тип поставщика удостоверений, который используется вашей организацией.
Если ваш поставщик удостоверений поддерживает один сертификат, мы рекомендуем вам выполнить эти действия во время запланированного простоя. Пока сертификат Webex обновляется, новые пользователи в течение короткого периода времени не смогут выполнить вход; текущие сеансы будут сохранены. |
| 6 |
Выберите тип сертификата для возобновления.
|
| 7 |
Щелкните Скачать файл метаданных, чтобы скачать копию обновленных метаданных с новым сертификатом из облака Webex. Не закрывайте этот экран. |
| 8 |
Перейдите к интерфейсу управления поставщиком удостоверений, чтобы загрузить новый файл метаданных Webex.
|
| 9 |
Вернитесь на вкладку, где был выполнен вход в Control Hub, и щелкните Далее. |
| 10 |
Обновите idP, добавив новый сертификат и метаданные SP, и щелкните Далее.
|
| 11 |
Щелкните Завершить обновление. |
.На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.
| 1 |
Чтобы проверить, истекает ли срок действия сертификата SSO Webex, необходимо сделать следующее:
|
| 2 |
Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP.
|
| 3 |
Вернитесь на вкладку Поставщик удостоверений . |
| 4 |
Перейдите к поставщику удостоверений, щелкните |
| 5 |
Перетащите файл метаданных IdP в окно или щелкните Выбрать файл и загрузите его таким образом. |
| 6 |
Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP. |
| 7 |
Щелкните Тестирование обновления SSO , чтобы подтвердить, что новый файл метаданных был загружен и правильно истолкован для вашей организации Control Hub. Подтвердите ожидаемые результаты во всплывающем окне. Если тест прошел успешно, выберите Тест прошел успешно: Активируйте SSO и idP и щелкните Сохранить. Для просмотра процесса входа с помощью системы единого входа рекомендуется щелкнуть Копировать URL в буфер обмена на этом экране и вставить его в личное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. Результат. Вы завершили процедуру. Сертификат IdP вашей организации обновлен. Проверить состояние сертификата можно в любое время на вкладке Поставщик удостоверений .
|
и выберите Вы можете экспортировать последние метаданные SP Webex, если вам понадобится вернуться к вашему поставщику удостоверений. Перед истечением срока действия импортируемых метаданных SAML IdP будет отображено уведомление.
Этот этап будет полезен в распространенных сценариях управления сертификатами IdP SAML, например, если поставщики уведомлений поддерживают несколько сертификатов, экспорт которых не был выполнен ранее, если метаданные не были импортированы в IdP из-за недоступности администратора IdP или если ваш поставщик сертификатов поддерживает возможность обновления только сертификата. Этот параметр поможет свести к минимуму изменения, обновив только сертификат в конфигурации SSO и проверки после event-совещания.
| 1 |
В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню , прокрутите страницу до раздела Система единого входа и щелкните Управление SSO и IdP. |
| 2 |
Перейдите на вкладку Поставщик удостоверений . |
| 3 |
Перейдите к поставщику удостоверений, щелкните Имя файла метаданных приложения Webex – idb-meta-<org-ID>-SP.xml. |
| 4 |
Импорт метаданных в ваш IdP. Следуйте документации вашего поставщика уведомлений для импорта метаданных Webex SP. Вы можете использовать руководства по интеграции IdP или ознакомиться с документацией для конкретного IdP, если он не указан в списке. |
| 5 |
По завершении запустите тест SSO, выполнив действия, описанные в статье |
и выберите При изменениях среды IdP или истечении срока действия сертификата IdP вы в любой момент можете импортировать обновленные метаданные в Webex.
Прежде чем начать
Подберите метаданные IdP, которые представлены, как правило, в виде экспортируемого файла XML.
| 1 |
В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню , прокрутите страницу до раздела Система единого входа и щелкните Управление SSO и IdP. |
| 2 |
Перейдите на вкладку Поставщик удостоверений . |
| 3 |
Перейдите к поставщику удостоверений, щелкните |
| 4 |
Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его. |
| 5 |
Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP. |
| 6 |
Щелкните Test SSO setup (Тестирование настройки SSO), и когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, выполнив вход. |
Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.
Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.
| 1 | |
| 2 |
Перейдите в Центр предупреждений. |
| 3 |
Выберите Управление, затем – Все правила. |
| 4 |
В списке "Правила" выберите одно из правил SSO, которое необходимо создать.
|
| 5 |
В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex. Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение. При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления. |
| 6 |
Сохраните внесенные изменения. |
Дальнейшие действия
Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Предупреждения можно ожидать в 60, 45, 30 и 15 дней.) При обновлении сертификата предупреждения прекращаются.
Вы можете увидеть уведомление о том, что URL-адрес единого выхода не настроен.
Рекомендуется настроить IdP на поддержку единого выхода из системы (также известного как SLO). Webex поддерживает как метод перенаправления, так и метод публикации. Поддержка этих методов есть в наших метаданных, которые загружаются из Control Hub. Не все поставщики уведомлений поддерживают SLO. Обратитесь за помощью к специалистам вашего поставщика уведомлений. Иногда для основных поставщиков IdP, таких как AzureAD, Ping Federate, ForgeRock и Oracle, которые поддерживают SLO, мы предоставляем документацию о настройке интеграции. Проконсультируйтесь со своей командой по вопросам идентификации и безопасности о том, как правильно настроить IDP.
Если URL-адрес для единого выхода не настроен:
-
Существующий сеанс IdP остается действительным. При следующем входе пользователей в систему IdP может не запрашивать у них повторную аутентификацию.
-
При выходе из приложения Webex отображается предупреждение, поэтому пользователи всегда смогут заметить это.
Вы можете отключить систему единого входа (SSO) для клиентской организации Webex под управлением Control Hub. При изменении поставщиков удостоверений (IdP) может потребоваться отключить SSO.
Если система единого входа в вашей организации работает некорректно, вы можете связаться со своим партнером Cisco, который получит доступ к вашей организации Webex, чтобы отключить данную функцию.
| 1 |
В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню , прокрутите страницу до раздела Система единого входа и щелкните Управление SSO и IdP. |
| 2 |
Перейдите на вкладку Поставщик удостоверений . |
| 3 |
Щелкните Деактивировать SSO. Появится всплывающее окно с предупреждением об отключении системы единого входа.
После отключения системы единого входа управление паролями будет осуществляться в облаке, а не в конфигурации встроенного поставщика удостоверений. |
| 4 |
Если вы понимаете последствия отключения системы единого входа и хотите продолжить, щелкните Деактивировать. SSO деактивирована, и все списки сертификатов SAML удалены. Если система единого входа отключена, пользователям, которым необходимо пройти аутентификацию, во время процесса входа будет отображаться поле ввода пароля.
|
Дальнейшие действия
Если вы или клиент перенастроите SSO для клиентской организации, для учетных записей пользователей будет использоваться политика паролей, заданная поставщиком удостоверений, интегрированным в организацию Webex.
При возникновении проблем со входом в систему SSO можно воспользоваться параметром самостоятельного восстановления SSO для доступа к организации Webex, управляемой в Control Hub. Параметр самостоятельного восстановления позволяет обновить или отключить SSO в Control Hub.
