Если в настройках использования сертификата организации выставлено "Нет", но предупреждение все равно появляется, рекомендуем продолжить обновление. Ваше развертывание SSO не использует сертификат в данный момент, но он может понадобиться вам для внесения изменений в будущем.

Сертификат поставщика услуг Webex Provider (SP)


 

На вашу электронную почту или в Webex Control Hub могут периодически приходить уведомления об истечении срока действия сертификата системы единого входа (SSO) для Webex. Выполните процедуру, описанную в этой статье, чтобы получить метаданные сертификата SSO в облаке от нашей службы (SP) и вернуть их в ваш IdP. В противном случае пользователи не смогут использовать службы Webex.

Если в вашей организации Webex используется сертификат SAML Cisco (SP), необходимо как можно скорее обновить сертификат в облаке во время обычного запланированного технического обслуживания.

Модернизация повлияет на все службы, связанные с подпиской вашей организации Webex, включая приведенные ниже.

  • Приложение Webex (новые сеансы для всех платформ: настольные компьютеры, мобильные телефоны и веб-версии)

  • Службы Webex в Control Hub, включая Calling

  • Веб-сайты Webex Meetings под управлением Control Hub

  • Cisco Jabber (при интеграции с SSO)

Перед началом работы


 

Прежде чем начать, прочтите все указания. После изменения сертификата или использования мастера для обновления сертификата новые пользователи, возможно, не смогут успешно выполнить вход.

Если поставщик удостоверений не поддерживает использование нескольких сертификатов (эту функцию не поддерживает большинство поставщиков удостоверений на рынке), рекомендуется провести это обновление во время технического обслуживания, которое не влияет на работу пользователей Webex. Обновление обычно занимает около 30 минут на установку и проверку после event-совещания.

1.

Чтобы проверить, истекает ли срок действия сертификата SSO Cisco (SP), необходимо сделать следующее:

  • Возможно, вы получили от нас сообщение на электронную почту или в приложении Webex. Чтобы проверить это, зайдите в Control Hub.

  • Войдите в https://admin.webex.com и откройте Центр предупреждений. Возможно, там будет уведомление об обновлении сертификата SSO.

  • Войдите в https://admin.webex.com, выберите Управление > Настройки организации > Аутентификация и обратите внимание на состояние сертификата в таблице сертификатов Cisco SAML (срок действия истек или скоро истекает). Щелкните Обновить сертификат, чтобы продолжить.

Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до завершения его работы, вы сможете снова открыть его в любое время во вкладке Управление > Настройки организации > Аутентификация в https://admin.webex.com.

2.

Выберите тип сертификата для возобновления.

  • Самоподписанный сертификат Cisco – рекомендуем выбрать этот тип сертификата. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Сертификат, подписанный центром сертификации, – более безопасный вариант, но вам придется чаще обновлять метаданные (за исключением случаев, когда ваш поставщик удостоверений поддерживает точки доверия).

     

    Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

3.

Щелкните Скачать файл метаданных, чтобы скачать копию обновленных метаданных с новым сертификатом из облака Webex. Не закрывайте этот экран.

4.

Перейдите к интерфейсу управления поставщиком удостоверений, чтобы загрузить новый файл метаданных Webex.

5

Вернитесь на вкладку, где был выполнен вход в Control Hub, и щелкните Далее.

6

Чтобы убедиться в том, что новый файл метаданных был загружен и правильно истолкован поставщиком удостоверений, щелкните Тестирование обновления SSO. Подтвердите ожидаемые результаты во всплывающем окне. Если тестирование было проведено успешно, щелкните Переключиться на новые метаданные.


 

Для непосредственного наблюдения за процессом входа в SSO также можно щелкнуть Скопировать URL-адрес в буфер обмена на этом экране и вставить его в окно своего браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

Результаты: Вы завершили процедуру. Сертификат SAML Cisco (SP) SSO вашей организации обновлен. Проверить состояние сертификата можно в любое время, открыв таблицу состояния сертификатов: Управление > Настройки организации > Аутентификация.

Сертификат поставщика удостоверений (IdP)


 

На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.

1.

Чтобы проверить, истекает ли срок действия сертификата SSO Webex, необходимо сделать следующее:

  • Возможно, вы получили от нас сообщение на электронную почту или в приложении Webex. Чтобы проверить это, зайдите в Control Hub.
  • Войдите в https://admin.webex.com и откройте Центр предупреждений. Возможно, там будет уведомление об обновлении сертификата IdP SAML.

  • Войдите в https://admin.webex.com, перейдите к Управление > Настройки организации > Аутентификация и обратите внимание на состояние сертификата в таблице сертификатов SAML. Щелкните Обновить сертификат, чтобы продолжить.

  • Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до завершения его работы, вы сможете снова открыть его в любое время во вкладке Управление > Настройки организации > Аутентификация в https://admin.webex.com.

2.

Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP.

  • Это можно сделать во вкладке браузера, с помощью протокола удаленного рабочего стола (RDP) или конкретного облачного провайдера, в зависимости от настройки IdP и того, кто отвечает за этот шаг – вы или отдельный администратор IdP.
  • Для справки см. наши руководства по интеграции SSO или обратитесь за поддержкой к администратору IdP.
3.

Вернитесь в раздел Управление > Настройки организации > Аутентификация в https://admin.webex.com и выберите Действия > Импорт метаданных.

4.

Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его.

5

Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP.

6

Чтобы убедиться в том, что новый файл метаданных был загружен и правильно истолкован для вашей организации в Control Hub, щелкните Тестирование обновления SSO. Подтвердите ожидаемые результаты во всплывающем окне. Если тестирование было проведено успешно, щелкните Переключиться на новые метаданные.


 

Для непосредственного наблюдения за процессом входа в SSO также можно щелкнуть Скопировать URL-адрес в буфер обмена на этом экране и вставить его в окно своего браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

Результаты: Вы завершили процедуру. Сертификат IdP вашей организации обновлен. Проверить состояние сертификата можно в любое время, открыв таблицу состояния сертификатов: Управление > Настройки организации > Аутентификация.

Вы можете экспортировать последние метаданные SP Webex, если вам понадобится вернуться к вашему поставщику удостоверений. Перед истечением срока действия импортируемых метаданных SAML IdP будет отображено уведомление.

Этот этап будет полезен в распространенных сценариях управления сертификатами IdP SAML, например, если поставщики уведомлений поддерживают несколько сертификатов, экспорт которых не был выполнен ранее, если метаданные не были импортированы в IdP из-за недоступности администратора IdP или если ваш поставщик сертификатов поддерживает возможность обновления только сертификата. Этот параметр поможет свести к минимуму изменения, обновив только сертификат в конфигурации SSO и проверки после event-совещания.

1.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите в раздел Управление > Настройки организации, прокрутите страницу до раздела Аутентификация и выберите Действия > Экспорт метаданных.

Имя файла метаданных приложения Webex: idb-meta--SP.xml.<org-ID>

2.

Импорт метаданных в ваш IdP.

Следуйте документации вашего поставщика уведомлений для импорта метаданных Webex SP. Вы можете использовать руководства по интеграции IdP или ознакомиться с документацией для конкретного IdP, если он не указан в списке.

3.

По окончании запустите тест SSO с помощью действий, описанных в параграфе Обновление сертификата Webex (SP) данной статьи.

При изменениях среды IdP или истечении срока действия сертификата IdP вы в любой момент можете импортировать обновленные метаданные в Webex.

Перед началом работы

Подберите метаданные IdP, которые представлены, как правило, в виде экспортируемого файла XML.

1.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите в раздел Управление > Настройки организации, прокрутите страницу до раздела Аутентификация и выберите Действия > Импорт метаданных.

2.

Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его.

3.

Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP.

Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.


 

Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.

1.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к разделу Центр предупреждений.

2.

Выберите Управление, затем – Все правила.

3.

В списке "Правила" выберите одно из правил SSO, которое необходимо создать.

  • Истечение срока действия сертификата IdP для системы единого входа
  • Истечение срока действия сертификата SP для системы единого входа
4.

В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex.

Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение.


 

При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления.

5

Сохраните внесенные изменения.

Дальнейшие действия

Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Вы получите предупреждения за 60, 45, 30 или 15 дней до истечения срока действия сертификата.) При обновлении сертификата предупреждения прекращаются.

Вам может прийти уведомление о том, что единый URL-адрес для входа не настроен.


 

Рекомендуется настроить IdP на поддержку единого выхода из системы (также известного как SLO). Webex поддерживает как метод перенаправления, так и метод публикации. Поддержка этих методов есть в наших метаданных, которые загружаются из Control Hub. Не все поставщики уведомлений поддерживают SLO. Обратитесь за помощью к специалистам вашего поставщика уведомлений. В некоторых случаях для основных поставщиков IdP, таких как AzureAD, Ping Federate, ForgeRock и Oracle, которые поддерживают SLO, мы предоставляем письменные инструкции по настройке интеграции. Проконсультируйтесь со специалистами по идентификации и безопасности о подробностях и правильной настройке IDP.

URL-адрес для единого выхода из системы не настроен:

  • Существующий сеанс IdP остается действительным. При следующем входе пользователей в систему IdP может не запрашивать у них повторную аутентификацию.

  • При выходе из приложения Webex отображается предупреждение, поэтому пользователи всегда смогут заметить это.

Вы можете отключить систему единого входа (SSO) для клиентской организации Webex под управлением Control Hub. При изменении поставщиков удостоверений (IdP) SSO можно отключить.


 

Если система единого входа в вашей организации работает некорректно, вы можете связаться со своим партнером Cisco, который получит доступ к вашей организации Webex, чтобы отключить данную функцию.

1.

В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню Управление > Настройки организации и прокрутите страницу до раздела Аутентификация.

2.

Чтобы отключить систему единого входа, выключите параметр Единый вход.

Появится всплывающее окно с предупреждением об отключении системы единого входа.

После отключения системы единого входа управление паролями будет осуществляться в облаке, а не в конфигурации встроенного поставщика удостоверений.

3.

Если вы понимаете последствия отключения системы единого входа и хотите продолжить, щелкните Деактивировать.

В Control Hub параметр "Единый вход" будет отключен, а все списки сертификатов SAML удалены.

После отключения системы единого входа пользователи, которым необходимо пройти аутентификацию, будут видеть поле ввода пароля в процессе входа в систему.

  • Пользователи, у которых нет пароля в приложении Webex, должны сбросить пароль, или же вы должны отправить им сообщение по электронной почте для установки пароля.

  • У аутентифицированных пользователей с действительным маркером OAuth по-прежнему будет доступ к приложению Webex.

  • Новые пользователи, зарегистрированные уже после отключения системы единого входа, получают электронное сообщение с запросом на создание пароля.

Дальнейшие действия

При повторной настройке системы единого входа для клиентской организации для учетных записей пользователей будет снова использоваться политика паролей, настроенная поставщиком удостоверений, который интегрирован в организацию Webex.

Если у вас возникнут проблемы с входом в систему SSO входа, вы можете использовать Возможность самостоятельного восстановления SSO , чтобы получить доступ к вашей организации Webex , управляемой в Control Hub. Параметр самовосстановления позволяет обновить или отключить SSO в Control Hub.