SSO v Control Hub

Ak chcete nastaviť SSO pre viacerých poskytovateľov identity vo vašej organizácii, pozrite si SSO s viacerými IdP vo Webexe.


 

Ak je používanie certifikátu vašej organizácie nastavené na Žiadne, ale stále sa vám zobrazuje upozornenie, odporúčame vám pokračovať v inovácii. Vaše nasadenie SSO dnes nepoužíva certifikát, ale možno ho budete potrebovať pre budúce zmeny.


 

Z času na čas môžete dostať e-mailové upozornenie alebo vidieť upozornenie v Control Hub, že platnosť certifikátu jednotného prihlásenia Webex (SSO) vyprší. Postupujte podľa postupu v tomto článku, aby ste od nás (SP) získali metadáta cloudového certifikátu SSO a pridali ich späť k svojmu IdP; v opačnom prípade používatelia nebudú môcť používať služby Webex.

Ak vo svojej organizácii Webex používate SAML Cisco (SP) SSO certifikát, musíte plánovať aktualizáciu cloudového certifikátu počas pravidelnej plánovanej údržby čo najskôr.

Ovplyvnené sú všetky služby, ktoré sú súčasťou vášho predplatného organizácie Webex, vrátane, ale nie výlučne:

  • Webex App (nové prihlásenia pre všetky platformy: počítač, mobil a web)

  • Služby Webex v Control Hub vrátane volania

  • Stránky Webex Meetings spravované cez Control Hub

  • Cisco Jabber, ak je integrovaný s SSO

Predtým ako začneš


 

Pred začatím si prečítajte všetky pokyny. Po zmene certifikátu alebo prechode cez sprievodcu na aktualizáciu certifikátu sa noví používatelia nemusia úspešne prihlásiť.

Ak váš IdP nepodporuje viacero certifikátov (väčšina IdP na trhu túto funkciu nepodporuje), odporúčame vám naplánovať si túto inováciu počas obdobia údržby, kde nie sú ovplyvnení používatelia Webex App. Tieto úlohy aktualizácie by mali trvať približne 30 minút v prevádzkovom čase a po overení po udalosti.

1

Ak chcete skontrolovať, či vyprší platnosť certifikátu SAML Cisco (SP) SSO:

  • Možno ste od nás dostali e-mail alebo správu z aplikácie Webex, ale mali by ste sa uistiť v Control Hub.
  • Prihláste sa do https://admin.webex.coma skontrolujte svoje Centrum upozornení. Môže sa zobraziť upozornenie na aktualizáciu certifikátu poskytovateľa služieb SSO.

  • Prihláste sa do https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie > Overeniea kliknite Správa SSO a IdP.
  • Choďte na Poskytovateľ identity a poznačte si stav certifikátu Cisco SP a dátum vypršania platnosti.

Môžete tiež prejsť priamo do sprievodcu SSO a aktualizovať certifikát. Ak sa rozhodnete ukončiť sprievodcu pred jeho dokončením, môžete k nemu kedykoľvek znova pristúpiť Zvládanie > Nastavenia organizácie > Overenie v https://admin.webex.com.

2

Prejdite na IdP a kliknite.

3

Kliknite Skontrolujte certifikáty a dátum vypršania platnosti.

Týmto sa dostanete do Certifikáty poskytovateľa služieb (SP). okno.
4

Kliknite Obnoviť certifikát.

5

Vyberte typ certifikátu na obnovenie:

  • Vlastnoručne podpísané spoločnosťou Cisco— Odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou—Bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ IdP nepodporuje dôveryhodné kotvy).

     

    Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

6

Kliknite Stiahnite si súbor metadát stiahnuť kópiu aktualizovaných metadát s novým certifikátom z cloudu Webex. Nechajte túto obrazovku otvorenú.

7

Prejdite do rozhrania správy IdP a nahrajte nový súbor metadát Webex.

  • Tento krok možno vykonať prostredníctvom karty prehliadača, protokolu vzdialenej pracovnej plochy (RDP) alebo prostredníctvom podpory konkrétneho poskytovateľa cloudu, v závislosti od vášho nastavenia poskytovateľa identity a toho, či ste za tento krok zodpovedný vy alebo samostatný správca poskytovateľa identity.
  • pre referenciu pozrite si našich sprievodcov integráciou SSO alebo požiadajte o podporu svojho správcu IdP. Ak používate službu Active Directory Federation Services (AD FS), môžete Pozrite si, ako aktualizovať Webex Metadata v AD FS.
8

Vráťte sa na kartu, kde ste sa prihlásili do Control Hub, a kliknite Ďalšie.

9

Kliknite Otestujte aktualizáciu SSO aby ste potvrdili, že nový súbor metadát bol nahraný a správne interpretovaný vaším IdP. Vo vyskakovacom okne potvrďte očakávané výsledky a ak bol test úspešný, kliknite Prepnúť na nové metadáta.


 

Ak chcete priamo zobraziť prostredie prihlásenia jedným prihlásením, môžete tiež kliknúť Skopírujte adresu URL do schránky z tejto obrazovky a vložte ho do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Pomáha to odstrániť všetky informácie uložené vo vašom webovom prehliadači, ktoré by mohli poskytnúť falošne pozitívny výsledok pri testovaní konfigurácie SSO.

Výsledok: Hotovo a certifikát SSO SAML Cisco (SP) vašej organizácie je teraz obnovený. Stav certifikátu môžete kedykoľvek skontrolovať pod Poskytovateľ identity tab.


 

Z času na čas môžete dostať e-mailové upozornenie alebo vidieť upozornenie v Control Hub, že platnosť certifikátu IdP vyprší. Keďže dodávatelia IdP majú svoju vlastnú špecifickú dokumentáciu na obnovenie certifikátu, pokrývame to, čo sa vyžaduje v Control Hub, spolu so všeobecnými krokmi na získanie aktualizovaných metadát IdP a ich nahranie do Control Hub na obnovenie certifikátu.

1

Ak chcete skontrolovať, či vyprší platnosť certifikátu IdP SAML:

  • Možno ste od nás dostali e-mail alebo správu z aplikácie Webex, ale mali by ste sa uistiť v Control Hub.
  • Prihláste sa do https://admin.webex.coma skontrolujte svoje Centrum upozornení. Môže sa zobraziť upozornenie na aktualizáciu certifikátu IdP SAML:

  • Prihláste sa do https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie > Overeniea kliknite Správa SSO a IdP.
  • Choďte na Poskytovateľ identity a poznačte si stav certifikátu IdP (platnosť vypršala alebo čoskoro vyprší) a dátum vypršania platnosti.
  • Môžete tiež prejsť priamo do sprievodcu SSO a aktualizovať certifikát. Ak sa rozhodnete ukončiť sprievodcu pred jeho dokončením, môžete k nemu kedykoľvek znova pristúpiť Zvládanie > Nastavenia organizácie > Overenie v https://admin.webex.com.

2

Prejdite do rozhrania správy IdP a získajte nový súbor metadát.

  • Tento krok možno vykonať prostredníctvom karty prehliadača, protokolu vzdialenej pracovnej plochy (RDP) alebo prostredníctvom podpory konkrétneho poskytovateľa cloudu, v závislosti od vášho nastavenia poskytovateľa identity a toho, či ste za tento krok zodpovedný vy alebo samostatný správca poskytovateľa identity.
  • pre referenciu pozrite si našich sprievodcov integráciou SSO alebo požiadajte o podporu svojho správcu IdP.
3

Vráťte sa do Poskytovateľ identity tab.

4

Prejdite na IdP, klikniteuploada vyberte Nahrajte metadáta Idp.

5

Presuňte súbor metadát IdP do okna alebo kliknite Vyberte súbor a nahrajte to týmto spôsobom.

6

Vyberte si Menej bezpečné (samopodpísaný) príp Bezpečnejšie (podpísané verejnou CA), v závislosti od toho, ako sú podpísané vaše metadáta IdP.

7

Kliknite Otestujte aktualizáciu SSO aby ste potvrdili, že nový súbor metadát bol odovzdaný a správne interpretovaný do vašej organizácie Control Hub. Vo vyskakovacom okne potvrďte očakávané výsledky a ak bol test úspešný, vyberte Úspešný test: Aktivujte SSO a IdP a kliknite Uložiť.


 

Ak chcete priamo zobraziť prihlásenie jedným prihlásením, odporúčame vám kliknúť Skopírujte adresu URL do schránky z tejto obrazovky a vložte ho do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Pomáha to odstrániť všetky informácie uložené vo vašom webovom prehliadači, ktoré by mohli poskytnúť falošne pozitívny výsledok pri testovaní konfigurácie SSO.

Výsledok: Hotovo a certifikát IdP vašej organizácie je teraz obnovený. Stav certifikátu môžete kedykoľvek skontrolovať pod Poskytovateľ identity tab.

Najnovšie metadáta Webex SP môžete exportovať vždy, keď ich potrebujete pridať späť do svojho IdP. Keď platnosť importovaných metadát SAML IdP vyprší alebo už vypršala, zobrazí sa upozornenie.

Tento krok je užitočný v bežných scenároch správy certifikátov IdP SAML, ako sú IdP, ktorí podporujú viacero certifikátov, kde sa export neuskutočnil skôr, ak metadáta neboli importované do IdP, pretože správca IdP nebol dostupný, alebo ak váš IdP podporuje možnosť aktualizovať iba certifikát. Táto možnosť môže pomôcť minimalizovať zmenu tak, že certifikát aktualizujete iba vo vašej konfigurácii SSO a overení po udalosti.

1

Z pohľadu zákazníka v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie, prejdite na Overenie a kliknite Správa SSO a IdP.

2

Choďte na Poskytovateľ identity tab.

3

Prejdite na IdP, klikniteDownloada vyberte Stiahnite si metadáta SP.

Názov súboru metadát aplikácie Webex je idb-meta-<org-ID>-SP.xml.

4

Importujte metadáta do svojho poskytovateľa identity.

Pri importovaní metadát Webex SP postupujte podľa dokumentácie pre vášho poskytovateľa identity. Môžete použiť náš Sprievodcovia integráciou IdP alebo si pozrite dokumentáciu vášho konkrétneho IdP, ak nie je uvedená.

5

Keď skončíte, spustite test SSO pomocou krokov v Obnoviť certifikát Webex (SP) v tomto článku.

Keď sa zmení vaše prostredie IdP alebo ak váš certifikát IdP vyprší, aktualizované metadáta môžete do Webexu kedykoľvek importovať.

Predtým ako začneš

Zhromaždite svoje metadáta IdP, zvyčajne ako exportovaný súbor xml.

1

Z pohľadu zákazníka v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie, prejdite na Overenie a kliknite Správa SSO a IdP.

2

Choďte na Poskytovateľ identity tab.

3

Prejdite na IdP, klikniteuploada vyberte Nahrajte metadáta Idp.

4

Presuňte súbor metadát IdP do okna alebo kliknite Vyberte súbor metadát a nahrajte to týmto spôsobom.

5

Vyberte si Menej bezpečné (samopodpísaný) príp Bezpečnejšie (podpísané verejnou CA), v závislosti od toho, ako sú podpísané vaše metadáta IdP.

6

Kliknite Otestujte nastavenie jednotného prihláseniaa keď sa otvorí nová karta prehliadača, overte identitu poskytovateľa identity prihlásením.

Pred nastavením platnosti certifikátov budete dostávať upozornenia v Control Hub, ale môžete tiež proaktívne nastaviť pravidlá upozornení. Tieto pravidlá vás vopred informujú o tom, že platnosť vašich certifikátov SP alebo IdP vyprší. Môžeme vám ich poslať e-mailom, priestorom v aplikácii Webex alebo oboma spôsobmi.


 

Bez ohľadu na nakonfigurovaný kanál doručovania sa všetky upozornenia vždy zobrazia v Control Hub. Pozri Centrum upozornení v Control Hub Pre viac informácií.

1

Z pohľadu zákazníka v https://admin.webex.com, ísť do Centrum upozornení.

2

Vyberte si Spravovať potom Všetky pravidlá.

3

Zo zoznamu pravidiel vyberte ktorékoľvek z pravidiel SSO, ktoré chcete vytvoriť:

  • SSO IDP certifikát vyprší
  • Platnosť certifikátu SSO SP vyprší
4

V časti Kanál doručenia začiarknite políčko pre Email, Priestor Webex, alebo obaja.

Ak vyberiete možnosť E-mail, zadajte e-mailovú adresu, na ktorú chcete dostávať upozornenia.


 

Ak si vyberiete možnosť Webex space, budete automaticky pridaný do priestoru v rámci aplikácie Webex a my doručíme upozornenia tam.

5

Uložte zmeny.

Čo urobiť ďalej

Upozornenia na vypršanie platnosti certifikátu posielame raz za 15 dní, počnúc 60 dňami pred vypršaním platnosti. (Výstrahy môžete očakávať na 60., 45., 30. a 15. deň.) Upozornenia sa zastavia po obnovení certifikátu.

Môžete vidieť upozornenie, že jediná adresa URL na odhlásenie nie je nakonfigurovaná:


 

Odporúčame, aby ste si nakonfigurovali svojho IdP na podporu Single Log Out (známe aj ako SLO). Webex podporuje metódy presmerovania aj odosielania, ktoré sú k dispozícii v našich metadátach, ktoré sú stiahnuté z Control Hub. Nie všetci IdP podporujú SLO; požiadajte o pomoc svoj tím IdP. Niekedy pre veľkých poskytovateľov IdP ako AzureAD, Ping Federate, ForgeRock a Oracle, ktorí podporujú SLO, dokumentujeme, ako nakonfigurovať integráciu. Poraďte sa so svojím tímom pre identitu a bezpečnosť o špecifikách vášho IDP a o tom, ako ho správne nakonfigurovať.

Ak nie je nakonfigurovaná jedna adresa URL na odhlásenie:

  • Existujúca relácia IdP zostáva v platnosti. Keď sa používatelia nabudúce prihlásia, IdP ich nemusí požiadať o opätovnú autentifikáciu.

  • Pri odhlásení zobrazujeme varovnú správu, takže odhlásenie z aplikácie Webex neprebehne hladko.

Môžete zakázať jednotné prihlásenie (SSO) pre vašu organizáciu Webex spravovanú v Control Hub. Ak meníte poskytovateľa identity (IdP), možno budete chcieť zakázať jednotné prihlásenie.


 

Ak bolo pre vašu organizáciu povolené jednotné prihlásenie, ale zlyháva, môžete zapojiť svojho partnera Cisco, ktorý má prístup k vašej organizácii Webex, aby vám ho zakázal.

1

Z pohľadu zákazníka v https://admin.webex.com, ísť do Zvládanie > Nastavenia organizácie, prejdite na Overenie a kliknite Správa SSO a IdP.

2

Choďte na Poskytovateľ identity tab.

3

Kliknite Deaktivujte jednotné prihlásenie.

Zobrazí sa kontextové okno, ktoré vás upozorní na zakázanie SSO:

Deaktivujte jednotné prihlásenie

Ak zakážete jednotné prihlásenie, heslá bude spravovať cloud namiesto vašej integrovanej konfigurácie poskytovateľa identity.

4

Ak chápete vplyv zakázania jednotného prihlásenia a chcete pokračovať, kliknite Deaktivovať.

SSO je deaktivované a všetky výpisy certifikátov SAML sú odstránené.

Ak je jednotné prihlásenie zakázané, používateľom, ktorí sa musia overiť, sa počas procesu prihlásenia zobrazí pole na zadanie hesla.

  • Používatelia, ktorí nemajú heslo v aplikácii Webex, si musia heslo obnoviť alebo im musíte poslať e-mail, aby si heslo nastavili.

  • Existujúci overení používatelia s platným tokenom OAuth budú mať naďalej prístup k aplikácii Webex.

  • Noví používatelia vytvorení pri zakázanom SSO dostanú e-mail so žiadosťou o vytvorenie hesla.

Čo urobiť ďalej

Ak vy alebo zákazník prekonfigurujete jednotné prihlásenie pre organizáciu zákazníka, používateľské účty sa vrátia k používaniu politiky hesiel, ktorú nastavil IdP, ktorý je integrovaný s organizáciou Webex.

Ak narazíte na problémy s prihlásením SSO, môžete použiť Možnosť samoobnovenia SSO získať prístup k vašej organizácii Webex spravovanej v Control Hub. Možnosť samoobnovenia vám umožňuje aktualizovať alebo zakázať jednotné prihlásenie v Control Hub.