Используйте функции управления SSO в Control Hub для управления сертификатами и общих действий по обслуживанию системы SSO , таких как обновление устаревшего сертификата или проверка существующей конфигурации системы SSO . В этой статье каждая функция управления SSO рассматривается на отдельных вкладках.
Если в настройках использования сертификата организации выставлено "Нет", но предупреждение все равно появляется, рекомендуем продолжить обновление. Ваше развертывание SSO не использует сертификат в данный момент, но он может понадобиться вам для внесения изменений в будущем. |
На вашу электронную почту или в Webex Control Hub могут периодически приходить уведомления об истечении срока действия сертификата системы единого входа (SSO) для Webex. Выполните процедуру, описанную в этой статье, чтобы получить метаданные сертификата SSO в облаке от нашей службы (SP) и вернуть их в ваш IdP. В противном случае пользователи не смогут использовать службы Webex. |
Если в вашей организации Webex используется сертификат SAML Cisco (SP), необходимо как можно скорее обновить сертификат в облаке во время обычного запланированного технического обслуживания.
Модернизация повлияет на все службы, связанные с подпиской вашей организации Webex, включая приведенные ниже.
Приложение Webex (новые сеансы для всех платформ: настольные компьютеры, мобильные телефоны и веб-версии)
Службы Webex в Control Hub, включая Calling
Веб-сайты Webex Meetings под управлением Control Hub
Cisco Jabber (при интеграции с SSO)
Перед началом работы
Прежде чем начать, прочтите все указания. После изменения сертификата или использования мастера для обновления сертификата новые пользователи, возможно, не смогут успешно выполнить вход. |
Если поставщик удостоверений не поддерживает использование нескольких сертификатов (эту функцию не поддерживает большинство поставщиков удостоверений на рынке), рекомендуется провести это обновление во время технического обслуживания, которое не влияет на работу пользователей Webex. Обновление обычно занимает около 30 минут на установку и проверку после event-совещания.
1. | Чтобы проверить, истекает ли срок действия сертификата SSO Cisco (SP), необходимо сделать следующее:
Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до завершения его работы, вы сможете снова открыть его в любое время во вкладке https://admin.webex.com. в | ||
2. | Выберите тип сертификата для возобновления.
| ||
3. | Щелкните Скачать файл метаданных, чтобы скачать копию обновленных метаданных с новым сертификатом из облака Webex. Не закрывайте этот экран. | ||
4. | Перейдите к интерфейсу управления поставщиком удостоверений, чтобы загрузить новый файл метаданных Webex.
| ||
5 | Вернитесь на вкладку, где был выполнен вход в Control Hub, и щелкните Далее. | ||
6 | Чтобы убедиться в том, что новый файл метаданных был загружен и правильно истолкован поставщиком удостоверений, щелкните Тестирование обновления SSO. Подтвердите ожидаемые результаты во всплывающем окне. Если тестирование было проведено успешно, щелкните Переключиться на новые метаданные.
Результаты: Вы завершили процедуру. Сертификат SAML Cisco (SP) SSO вашей организации обновлен. Проверить состояние сертификата можно в любое время, открыв таблицу состояния сертификатов: . |
На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата. |
1. | Чтобы проверить, истекает ли срок действия сертификата SSO Webex, необходимо сделать следующее:
| ||
2. | Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP.
| ||
3. | Вернитесь в раздел https://admin.webex.com и выберите . в | ||
4. | Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его. | ||
5 | Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP. | ||
6 | Чтобы убедиться в том, что новый файл метаданных был загружен и правильно истолкован для вашей организации в Control Hub, щелкните Тестирование обновления SSO. Подтвердите ожидаемые результаты во всплывающем окне. Если тестирование было проведено успешно, щелкните Переключиться на новые метаданные.
Результаты: Вы завершили процедуру. Сертификат IdP вашей организации обновлен. Проверить состояние сертификата можно в любое время, открыв таблицу состояния сертификатов: . |
Вы можете экспортировать последние метаданные SP Webex, если вам понадобится вернуться к вашему поставщику удостоверений. Перед истечением срока действия импортируемых метаданных SAML IdP будет отображено уведомление.
Этот этап будет полезен в распространенных сценариях управления сертификатами IdP SAML, например, если поставщики уведомлений поддерживают несколько сертификатов, экспорт которых не был выполнен ранее, если метаданные не были импортированы в IdP из-за недоступности администратора IdP или если ваш поставщик сертификатов поддерживает возможность обновления только сертификата. Этот параметр поможет свести к минимуму изменения, обновив только сертификат в конфигурации SSO и проверки после event-совещания.
1. | В окне просмотра информации о клиенте в https://admin.webex.com перейдите в раздел , прокрутите страницу до раздела Аутентификация и выберите . Имя файла метаданных приложения Webex: idb-meta--SP.xml.<org-ID> |
2. | Импорт метаданных в ваш IdP. Следуйте документации вашего поставщика уведомлений для импорта метаданных Webex SP. Вы можете использовать руководства по интеграции IdP или ознакомиться с документацией для конкретного IdP, если он не указан в списке. |
3. | По окончании запустите тест SSO с помощью действий, описанных в параграфе Обновление сертификата Webex (SP) данной статьи. |
При изменениях среды IdP или истечении срока действия сертификата IdP вы в любой момент можете импортировать обновленные метаданные в Webex.
Перед началом работы
Подберите метаданные IdP, которые представлены, как правило, в виде экспортируемого файла XML.
1. | В окне просмотра информации о клиенте в https://admin.webex.com перейдите в раздел , прокрутите страницу до раздела Аутентификация и выберите . |
2. | Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его. |
3. | Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP. |
Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.
Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub. |
1. | В окне просмотра информации о клиенте в https://admin.webex.com перейдите к разделу Центр предупреждений. | ||
2. | Выберите Управление, затем – Все правила. | ||
3. | В списке "Правила" выберите одно из правил SSO, которое необходимо создать.
| ||
4. | В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex. Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение.
| ||
5 | Сохраните внесенные изменения. |
Дальнейшие действия
Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Вы получите предупреждения за 60, 45, 30 или 15 дней до истечения срока действия сертификата.) При обновлении сертификата предупреждения прекращаются.
Вам может прийти уведомление о том, что единый URL-адрес для входа не настроен.
Рекомендуется настроить IdP на поддержку единого выхода из системы (также известного как SLO). Webex поддерживает как метод перенаправления, так и метод публикации. Поддержка этих методов есть в наших метаданных, которые загружаются из Control Hub. Не все поставщики уведомлений поддерживают SLO. Обратитесь за помощью к специалистам вашего поставщика уведомлений. В некоторых случаях для основных поставщиков IdP, таких как AzureAD, Ping Federate, ForgeRock и Oracle, которые поддерживают SLO, мы предоставляем письменные инструкции по настройке интеграции. Проконсультируйтесь со специалистами по идентификации и безопасности о подробностях и правильной настройке IDP. |
URL-адрес для единого выхода из системы не настроен:
Существующий сеанс IdP остается действительным. При следующем входе пользователей в систему IdP может не запрашивать у них повторную аутентификацию.
При выходе из приложения Webex отображается предупреждение, поэтому пользователи всегда смогут заметить это.
Вы можете отключить систему единого входа (SSO) для клиентской организации Webex под управлением Control Hub. При изменении поставщиков удостоверений (IdP) SSO можно отключить.
Если система единого входа в вашей организации работает некорректно, вы можете связаться со своим партнером Cisco, который получит доступ к вашей организации Webex, чтобы отключить данную функцию. |
1. | В окне просмотра информации о клиенте на веб-сайте https://admin.webex.com перейдите к меню и прокрутите страницу до раздела Аутентификация. |
2. | Чтобы отключить систему единого входа, выключите параметр Единый вход. Появится всплывающее окно с предупреждением об отключении системы единого входа. После отключения системы единого входа управление паролями будет осуществляться в облаке, а не в конфигурации встроенного поставщика удостоверений. |
3. | Если вы понимаете последствия отключения системы единого входа и хотите продолжить, щелкните Деактивировать. В Control Hub параметр "Единый вход" будет отключен, а все списки сертификатов SAML удалены. После отключения системы единого входа пользователи, которым необходимо пройти аутентификацию, будут видеть поле ввода пароля в процессе входа в систему.
|
Дальнейшие действия
При повторной настройке системы единого входа для клиентской организации для учетных записей пользователей будет снова использоваться политика паролей, настроенная поставщиком удостоверений, который интегрирован в организацию Webex.
Если у вас возникнут проблемы с входом в систему SSO входа, вы можете использовать Возможность самостоятельного восстановления SSO , чтобы получить доступ к вашей организации Webex , управляемой в Control Hub. Параметр самовосстановления позволяет обновить или отключить SSO в Control Hub.