Если вы хотите настроить SSO для нескольких поставщиков удостоверений в вашей организации, см. SSO с несколькими поставщиками удостоверений в Webex.

Если в настройках использования сертификата организации выставлено "Нет", но предупреждение все равно появляется, рекомендуем продолжить обновление. Ваше развертывание SSO не использует сертификат в данный момент, но он может понадобиться вам для внесения изменений в будущем.

Сертификат поставщика услуг Webex Provider (SP)

На вашу электронную почту или в Webex Control Hub могут периодически приходить уведомления об истечении срока действия сертификата системы единого входа (SSO) для Webex. Выполните процедуру, описанную в этой статье, чтобы получить метаданные сертификата SSO в облаке от нашей службы (SP) и вернуть их в ваш IdP. В противном случае пользователи не смогут использовать службы Webex.

Если вы используете сертификат единого входа SAML Cisco (SP) в своей организации Webex, вам необходимо как можно скорее запланировать обновление облачного сертификата во время обычного запланированного периода технического обслуживания.

Модернизация повлияет на все службы, связанные с подпиской вашей организации Webex, включая приведенные ниже.

  • Приложение Webex (новые сеансы для всех платформ: настольные компьютеры, мобильные телефоны и веб-версии)

  • Службы Webex в Control Hub, включая Calling

  • Веб-сайты Webex Meetings под управлением Control Hub

  • Cisco Jabber (при интеграции с SSO)

Прежде чем начать

Прежде чем начать, прочтите все указания. После изменения сертификата или использования мастера для обновления сертификата новые пользователи, возможно, не смогут успешно выполнить вход.

Если ваш поставщик удостоверений не поддерживает несколько сертификатов (большинство поставщиков удостоверений на рынке не поддерживают эту функцию), мы рекомендуем вам запланировать это обновление во время периода технического обслуживания, когда это не повлияет на пользователей приложения Webex. Эти задачи по обновлению должны занять около 30 минут рабочего времени и проверки после события.

1

Чтобы проверить, истекает ли срок действия сертификата SSO Cisco (SP), необходимо сделать следующее:

  • Возможно, вы получили от нас сообщение на электронную почту или в приложении Webex. Чтобы проверить это, зайдите в Control Hub.

  • Войдите в Control Hubи проверьте Alerts center. Возможно, там будет уведомление об обновлении сертификата SSO.

  • Перейти к Менеджмент > Безопасность > Аутентификация.
  • Перейдите на вкладку Поставщик удостоверений и обратите внимание на статус и дату окончания срока действия сертификата Cisco SP.

Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до его завершения, вы сможете снова получить к нему доступ в любое время из Управление > Безопасность > Аутентификация в Control Hub.

2

Перейдите в IdP и нажмите .

3

Нажмите Просмотреть сертификаты и дату истечения срока действия.

4

Нажмите Обновить сертификат.

5

Выберите тип IdP, который использует ваша организация.

  • IdP, поддерживающий несколько сертификатов
  • IdP, поддерживающий один сертификат

Если ваш поставщик удостоверений поддерживает один сертификат, мы рекомендуем вам выполнить эти действия во время запланированного простоя. Пока сертификат Webex обновляется, новые пользователи в течение короткого периода времени не смогут выполнить вход; текущие сеансы будут сохранены.

6

Выберите тип сертификата для возобновления.

  • Самоподписанный Cisco— Мы рекомендуем этот выбор. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Подписано публичным центром сертификации— более безопасно, но вам придется часто обновлять метаданные (если только ваш поставщик IdP не поддерживает якоря доверия).

    Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

    Прежде чем перейти к следующим шагам, убедитесь, что вы готовы продлить свой сертификат и действуете в рамках периода изменений в вашей организации. При выборе Самоподписанного Cisco или Подписанного публичным центром сертификации немедленно создается новый сертификат. После изменения сертификата для одного IdP система единого входа останавливается до тех пор, пока сертификат или метаданные не будут загружены на IdP. Поэтому важно завершить процесс продления.

7

Щелкните Скачать файл метаданных, чтобы скачать копию обновленных метаданных с новым сертификатом из облака Webex. Не закрывайте этот экран.

8

Перейдите к интерфейсу управления поставщиком удостоверений, чтобы загрузить новый файл метаданных Webex.

9

Вернитесь на вкладку, на которой вы вошли в Control Hub, и нажмите Далее.

10

Обновите IdP, используя новый сертификат SP и метаданные, и нажмите Далее.

  • Все IdP обновлены
  • Если для обновления вам необходимо дополнительное время, сохраните обновленный сертификат как дополнительный вариант
11

Нажмите Завершить продление.

Сертификат поставщика удостоверений (IdP)

На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.

1

Чтобы проверить, истекает ли срок действия сертификата SSO Webex, необходимо сделать следующее:

  • Возможно, вы получили от нас сообщение на электронную почту или в приложении Webex. Чтобы проверить это, зайдите в Control Hub.
  • Войдите в Control Hubи проверьте Alerts center. Возможно, там будет уведомление об обновлении сертификата IdP SAML.

  • Перейти к Менеджмент > Безопасность > Аутентификация.
  • Перейдите на вкладку Поставщик удостоверений и обратите внимание на статус сертификата IdP (истек или скоро истечет) и дату истечения срока действия.

  • Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до его завершения, вы сможете снова получить к нему доступ в любое время из Управление > Безопасность > Аутентификация в Control Hub.

2

Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP.

  • Это можно сделать во вкладке браузера, с помощью протокола удаленного рабочего стола (RDP) или конкретного облачного провайдера, в зависимости от настройки IdP и того, кто отвечает за этот шаг – вы или отдельный администратор IdP.
  • Для справки см. наши руководства по интеграции SSO или обратитесь за поддержкой к администратору IdP.
3

Вернитесь на вкладку Поставщик удостоверений.

4

Перейдите в IdP, нажмите upload и выберите Загрузить метаданные Idp.

5

Перетащите файл метаданных IdP в окно или нажмите Выберите файл и загрузите его таким образом.

6

Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP.

7

Нажмите Тестовое обновление SSO, чтобы подтвердить, что новый файл метаданных был загружен и правильно интерпретирован в вашей организации Control Hub. Подтвердите ожидаемые результаты во всплывающем окне и, если тест прошел успешно, выберите Успешный тест: Активируйте SSO и IdP и нажмите Сохранить.

Чтобы увидеть процесс входа в систему с помощью единого входа (SSO) напрямую, мы рекомендуем вам нажать Копировать URL-адрес в буфер обмена на этом экране и вставить его в приватное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

Результат: Вы завершили процедуру. Сертификат IdP вашей организации обновлен. Вы можете проверить статус сертификата в любое время на вкладке Поставщик удостоверений.

Вы можете экспортировать последние метаданные SP Webex, если вам понадобится вернуться к вашему поставщику удостоверений. Перед истечением срока действия импортируемых метаданных SAML IdP будет отображено уведомление.

Этот этап будет полезен в распространенных сценариях управления сертификатами IdP SAML, например, если поставщики уведомлений поддерживают несколько сертификатов, экспорт которых не был выполнен ранее, если метаданные не были импортированы в IdP из-за недоступности администратора IdP или если ваш поставщик сертификатов поддерживает возможность обновления только сертификата. Этот параметр поможет свести к минимуму изменения, обновив только сертификат в конфигурации SSO и проверки после event-совещания.

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Перейдите в IdP, нажмите Скачать и выберите Загрузить метаданные SP.

Имя файла метаданных приложения Webex — idb-meta-<org-ID>-SP.xml.

5

Импорт метаданных в ваш IdP.

Следуйте документации вашего поставщика уведомлений для импорта метаданных Webex SP. Вы можете использовать руководства по интеграции IdP или ознакомиться с документацией для конкретного IdP, если он не указан в списке.

6

Закончив, запустите тест SSO, следуя инструкциям в разделе Обновление сертификата Webex (SP) в этой статье.

При изменениях среды IdP или истечении срока действия сертификата IdP вы в любой момент можете импортировать обновленные метаданные в Webex.

Прежде чем начать

Подберите метаданные IdP, которые представлены, как правило, в виде экспортируемого файла XML.

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Перейдите в IdP, нажмите upload и выберите Загрузить метаданные IdP.

5

Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его.

6

Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP.

7

Нажмите Проверить настройку единого входаи, когда откроется новая вкладка браузера, выполните аутентификацию с помощью IdP, войдя в систему.

Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.

Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.

1

Войдите в Control Hub.

2

Перейдите в Центр оповещений.

3

Выберите Управление, затем – Все правила.

4

В списке "Правила" выберите одно из правил SSO, которое необходимо создать.

  • Истечение срока действия сертификата IdP для системы единого входа
  • Истечение срока действия сертификата SP для системы единого входа
5

В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex.

Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение.

При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления.

6

Сохраните внесенные изменения.

Дальнейшие действия

Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Ожидаемые оповещения приходят на 60-й, 45-й, 30-й и 15-й день.) Оповещения прекращаются после обновления сертификата.

Вы можете увидеть уведомление о том, что единый URL-адрес выхода из системы не настроен:

Рекомендуется настроить IdP на поддержку единого выхода из системы (также известного как SLO). Webex поддерживает как метод перенаправления, так и метод публикации. Поддержка этих методов есть в наших метаданных, которые загружаются из Control Hub. Не все поставщики уведомлений поддерживают SLO. Обратитесь за помощью к специалистам вашего поставщика уведомлений. Иногда для основных поставщиков IdP, таких как AzureAD, Ping Federate, ForgeRock и Oracle, которые поддерживают SLO, мы документируем, как настроить интеграцию. Проверьте свою личность & Команда безопасности об особенностях вашего IDP и о том, как его правильно настроить.

Если единый URL-адрес выхода не настроен:

  • Существующий сеанс IdP остается действительным. При следующем входе пользователей в систему IdP может не запрашивать у них повторную аутентификацию.

  • При выходе из приложения Webex отображается предупреждение, поэтому пользователи всегда смогут заметить это.

Вы можете отключить систему единого входа (SSO) для клиентской организации Webex под управлением Control Hub. Возможно, вам захочется отключить SSO, если вы меняете поставщиков удостоверений (IdP).

Если система единого входа в вашей организации работает некорректно, вы можете связаться со своим партнером Cisco, который получит доступ к вашей организации Webex, чтобы отключить данную функцию.

1

Войдите в Control Hub.

2

Перейти к Менеджмент > Безопасность > Аутентификация.

3

Перейдите на вкладку Поставщик удостоверений.

4

Нажмите Деактивировать SSO.

Появится всплывающее окно с предупреждением об отключении системы единого входа.

Деактивировать SSO

После отключения системы единого входа управление паролями будет осуществляться в облаке, а не в конфигурации встроенного поставщика удостоверений.

5

Если вы понимаете последствия отключения системы единого входа и хотите продолжить, щелкните Деактивировать.

Система единого входа деактивирована, и все списки сертификатов SAML удалены.

Если система единого входа отключена, пользователи, которым необходимо пройти аутентификацию, увидят поле для ввода пароля во время процесса входа в систему.

  • Пользователи, у которых нет пароля в приложении Webex, должны либо сбросить свой пароль, либо вы должны отправить им электронное письмо для установки пароля.

  • У аутентифицированных пользователей с действительным маркером OAuth по-прежнему будет доступ к приложению Webex.

  • Новые пользователи, зарегистрированные уже после отключения системы единого входа, получают электронное сообщение с запросом на создание пароля.

Дальнейшие действия

Если вы или клиент перенастраиваете систему единого входа для организации клиента, учетные записи пользователей возвращаются к использованию политики паролей, установленной поставщиком удостоверений, интегрированным с организацией Webex.

Если у вас возникли проблемы с входом в систему единого входа, вы можете воспользоваться функцией самостоятельного восстановления системы единого входа, чтобы получить доступ к своей организации Webex, управляемой в Control Hub. Функция самовосстановления позволяет обновить или отключить SSO в Control Hub.