Благодарим вас за обратную связь.
Управление интеграцией системы единого входа в Control Hub
Отправить обратную связь?
Если вы хотите настроить единый вход (SSO) для нескольких поставщиков идентификации в вашей организации, обратитесь к Единый вход с несколькими поставщиками идентификации в Webex.
Если в настройках использования сертификата организации выставлено "Нет", но предупреждение все равно появляется, рекомендуем продолжить обновление. Ваше развертывание SSO не использует сертификат в данный момент, но он может понадобиться вам для внесения изменений в будущем.
На вашу электронную почту или в Webex Control Hub могут периодически приходить уведомления об истечении срока действия сертификата системы единого входа (SSO) для Webex. Выполните процедуру, описанную в этой статье, чтобы получить метаданные сертификата SSO в облаке от нашей службы (SP) и вернуть их в ваш IdP. В противном случае пользователи не смогут использовать службы Webex.
Если в вашей организации Webex используется сертификат SAML Cisco (SP) SSO, необходимо как можно скорее запланировать обновление облачного сертификата во время планового технического обслуживания.
Модернизация повлияет на все службы, связанные с подпиской вашей организации Webex, включая приведенные ниже.
-
Приложение Webex (новые сеансы для всех платформ: настольные компьютеры, мобильные телефоны и веб-версии)
-
Службы Webex в Control Hub, включая Calling
-
Веб-сайты Webex Meetings под управлением Control Hub
-
Cisco Jabber (при интеграции с SSO)
Прежде чем начать
Прежде чем начать, прочтите все указания. После изменения сертификата или использования мастера для обновления сертификата новые пользователи, возможно, не смогут успешно выполнить вход.
Если ваш поставщик идентификации (IdP) не поддерживает несколько сертификатов (большинство IdP на рынке не поддерживают эту функцию), мы рекомендуем запланировать это обновление на период технического обслуживания, когда это не затронет пользователей Webex App. Выполнение этих задач по обновлению должно занять приблизительно 30 минут как по операционному времени, так и по времени проверки после завершения работ.
| 1 |
Чтобы проверить, истекает ли срок действия сертификата SSO Cisco (SP), необходимо сделать следующее:
Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до его завершения, вы сможете снова получить к нему доступ в любое время через в Центре управления. |
| 2 |
Перейдите в IdP и нажмите |
| 3 |
Нажмите Просмотреть сертификаты и срок действия. Это переведет вас на страницу сертификатов поставщика услуг ( СП ). Вы можете нажать Если ваша организация использует двойные сертификаты, у вас также есть возможность заменить дополнительный сертификат основным или удалить существующий дополнительный сертификат. |
| 4 |
Нажмите Обновить сертификат. |
| 5 |
Выберите тип поставщика идентификации (IdP), который использует ваша организация.
Если ваш поставщик удостоверений поддерживает один сертификат, мы рекомендуем вам выполнить эти действия во время запланированного простоя. Пока сертификат Webex обновляется, новые пользователи в течение короткого периода времени не смогут выполнить вход; текущие сеансы будут сохранены. |
| 6 |
Выберите тип сертификата для возобновления.
|
| 7 |
Чтобы подтвердить, что вы хотите заменить текущий сертификат выбранным, установите флажок Нажав кнопку «Заменить сертификат», я заменю текущий сертификат выбранным, а затем нажмите кнопку Заменить сертификат. |
| 8 |
На странице Обновление сертификатов поставщика услуг (СП) ] нажмите Загрузить метаданные или Загрузить сертификат для загрузки копии обновленного файла метаданных или сертификата из облака Webex. |
| 9 |
Перейдите к интерфейсу управления поставщиком удостоверений, чтобы загрузить новый файл метаданных Webex.
|
| 10 |
Вернитесь к интерфейсу Центра управления. На странице Обновление сертификатов поставщика услуг (СП) установите флажок Я уже обновил метаданные для всех поставщиков идентификации, а затем нажмите Далее. |
| 11 |
Нажмите кнопку Договорились. |
.
, чтобы загрузить метаданные или сертификат поставщика услуг. На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.
| 1 |
Чтобы проверить, истекает ли срок действия сертификата SSO Webex, необходимо сделать следующее:
|
| 2 |
Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP.
|
| 3 |
Вернуться на вкладку Поставщик идентификации |
| 4 |
Перейдите к поставщику идентификации (IdP), нажмите |
| 5 |
Перетащите файл метаданных поставщика идентификации (IdP) в окно или нажмите Выберите файл и загрузите его таким образом. |
| 6 |
Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP. |
| 7 |
Нажмите Проверить обновление SSO, чтобы убедиться, что новый файл метаданных был загружен и правильно интерпретирован в вашей организации Control Hub. Подтвердите ожидаемые результаты во всплывающем окне, и если тест пройден успешно, выберите Успешный тест: Активируйте SSO и IdP и нажмите Сохранить. Чтобы увидеть процесс входа через единый вход (SSO) напрямую, рекомендуем нажать Скопировать URL в буфер обмена на этом экране и вставить его в окно браузера в режиме инкогнито. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO. Результат: Вы завершили процедуру. Сертификат IdP вашей организации обновлен. Проверить статус сертификата можно в любое время на вкладке Поставщик удостоверений.
|
и выберите Вы можете экспортировать последние метаданные SP Webex, если вам понадобится вернуться к вашему поставщику удостоверений. Перед истечением срока действия импортируемых метаданных SAML IdP будет отображено уведомление.
Этот этап будет полезен в распространенных сценариях управления сертификатами IdP SAML, например, если поставщики уведомлений поддерживают несколько сертификатов, экспорт которых не был выполнен ранее, если метаданные не были импортированы в IdP из-за недоступности администратора IdP или если ваш поставщик сертификатов поддерживает возможность обновления только сертификата. Этот параметр поможет свести к минимуму изменения, обновив только сертификат в конфигурации SSO и проверки после event-совещания.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации. |
| 4 |
Перейдите к поставщику идентификации (IdP), нажмите Имя файла метаданных приложения Webex: idb-meta-<org-ID>-SP.xml. |
| 5 |
Импорт метаданных в ваш IdP. Следуйте документации вашего поставщика уведомлений для импорта метаданных Webex SP. Вы можете использовать руководства по интеграции IdP или ознакомиться с документацией для конкретного IdP, если он не указан в списке. |
| 6 |
После завершения запустите тест SSO, используя шаги, описанные в |
и выберите При изменениях среды IdP или истечении срока действия сертификата IdP вы в любой момент можете импортировать обновленные метаданные в Webex.
Прежде чем начать
Подберите метаданные IdP, которые представлены, как правило, в виде экспортируемого файла XML.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации. |
| 4 |
Перейдите к поставщику идентификации (IdP), нажмите |
| 5 |
Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его. |
| 6 |
Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP. |
| 7 |
Нажмите Проверить настройку SSO, и когда откроется новая вкладка браузера, выполните аутентификацию у поставщика идентификации, войдя в систему. |
Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.
Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.
| 1 | |
| 2 |
Перейти в Центр оповещений. |
| 3 |
Выберите Управление, затем – Все правила. |
| 4 |
В списке "Правила" выберите одно из правил SSO, которое необходимо создать.
|
| 5 |
В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex. Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение. При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления. |
| 6 |
Сохраните внесенные изменения. |
Дальнейшие действия
Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Вы можете ожидать оповещений на 60, 45, 30 и 15 день.) Оповещения прекращаются при продлении сертификата.
Возможно, вы увидите уведомление о том, что единый URL-адрес для выхода из системы не настроен:
Рекомендуется настроить IdP на поддержку единого выхода из системы (также известного как SLO). Webex поддерживает как метод перенаправления, так и метод публикации. Поддержка этих методов есть в наших метаданных, которые загружаются из Control Hub. Не все поставщики уведомлений поддерживают SLO. Обратитесь за помощью к специалистам вашего поставщика уведомлений. Иногда для крупных поставщиков идентификационных данных, таких как AzureAD, Ping Federate, ForgeRock и Oracle, которые поддерживают SLO, мы документируем, как настроить интеграцию. Проверьте свою личность. & Команда безопасности предоставит вам подробную информацию о вашем поставщике идентификации (IDP) и о том, как правильно его настроить.
Если не настроен единый URL-адрес для выхода из системы:
-
Существующий сеанс IdP остается действительным. При следующем входе пользователей в систему IdP может не запрашивать у них повторную аутентификацию.
-
При выходе из приложения Webex отображается предупреждение, поэтому пользователи всегда смогут заметить это.
Вы можете отключить систему единого входа (SSO) для клиентской организации Webex под управлением Control Hub. Возможно, вам потребуется отключить единый вход (SSO), если вы меняете поставщика идентификационных данных (IdP).
Если система единого входа в вашей организации работает некорректно, вы можете связаться со своим партнером Cisco, который получит доступ к вашей организации Webex, чтобы отключить данную функцию.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейдите на вкладку Поставщик идентификации. |
| 4 |
Нажмите Деактивировать SSO. Появится всплывающее окно с предупреждением об отключении системы единого входа.
После отключения системы единого входа управление паролями будет осуществляться в облаке, а не в конфигурации встроенного поставщика удостоверений. |
| 5 |
Если вы понимаете последствия отключения системы единого входа и хотите продолжить, щелкните Деактивировать. Система единого входа (SSO) деактивирована, и все списки сертификатов SAML удалены. Если функция единого входа (SSO) отключена, пользователям, которым необходимо пройти аутентификацию, во время входа в систему будет отображаться поле для ввода пароля.
|
Дальнейшие действия
Если вы или клиент перенастроите единый вход (SSO) для организации клиента, учетные записи пользователей вернутся к использованию политики паролей, установленной поставщиком идентификации (IdP), интегрированным с организацией Webex.
Если у вас возникли проблемы со входом через SSO, вы можете использовать опцию самовосстановления SSO, чтобы получить доступ к вашей организации Webex, управляемой в Control Hub. Функция самовосстановления позволяет обновить или отключить SSO в Control Hub.
