SSO v Control Hub

Ak chcete nastaviť jednotné prihlásenie pre viacerých poskytovateľov identity vo vašej organizácii, pozrite si článok Jedno prihlásenie s viacerými IdP vo Webexe.

Ak je používanie certifikátu vašej organizácie nastavené na Žiadne, ale stále sa vám zobrazuje upozornenie, odporúčame vám pokračovať v inovácii. Vaše nasadenie SSO dnes nepoužíva certifikát, ale možno ho budete potrebovať pre budúce zmeny.

Certifikát Webex Service Provider (SP).

Z času na čas môžete dostať e-mailové upozornenie alebo vidieť upozornenie v Control Hub, že platnosť certifikátu jednotného prihlásenia Webex (SSO) vyprší. Postupujte podľa postupu v tomto článku, aby ste od nás (SP) získali metadáta cloudového certifikátu SSO a pridali ich späť k svojmu IdP; v opačnom prípade používatelia nebudú môcť používať služby Webex.

Ak vo svojej organizácii Webex používate certifikát SSO SAML Cisco (SP), musíte čo najskôr plánovať aktualizáciu cloudového certifikátu počas pravidelnej plánovanej údržby.

Ovplyvnené sú všetky služby, ktoré sú súčasťou vášho predplatného organizácie Webex, vrátane, ale nie výlučne:

  • Webex App (nové prihlásenia pre všetky platformy: počítač, mobil a web)

  • Služby Webex v Control Hub vrátane volania

  • Stránky Webex Meetings spravované cez Control Hub

  • Cisco Jabber, ak je integrovaný s SSO

Skôr ako začnete

Pred začatím si prečítajte všetky pokyny. Po zmene certifikátu alebo prechode cez sprievodcu na aktualizáciu certifikátu sa noví používatelia nemusia úspešne prihlásiť.

Ak váš poskytovateľ identity nepodporuje viaceré certifikáty (väčšina poskytovateľov identity na trhu túto funkciu nepodporuje), odporúčame vám naplánovať si túto aktualizáciu počas obdobia údržby, v ktorom nie sú ovplyvnení používatelia aplikácie Webex. Tieto úlohy aktualizácie by mali trvať približne 30 minút v prevádzkovom čase a po overení po udalosti.

1

Ak chcete skontrolovať, či vyprší platnosť certifikátu SAML Cisco (SP) SSO:

  • Možno ste od nás dostali e-mail alebo správu z aplikácie Webex, ale mali by ste sa uistiť v Control Hub.

  • Prihláste sa do služby https://admin.webex.com a skontrolujte svoje Centrum upozornení. Môže sa zobraziť upozornenie na aktualizáciu certifikátu poskytovateľa služieb SSO.

  • Prihláste sa do služby https://admin.webex.com, prejdite do časti Správa > Nastavenia organizácie > Jednotné prihlásenie a kliknite na položku Spravovať jednotné prihlásenie a poskytovateľov identity.
  • Prejdite na kartu Poskytovateľ identity a poznačte si stav certifikátu Cisco SP a dátum vypršania platnosti.

Môžete tiež prejsť priamo do sprievodcu SSO a aktualizovať certifikát. Ak sa rozhodnete ukončiť sprievodcu skôr, ako ho dokončíte, môžete k nemu kedykoľvek znova pristupovať v časti Správa > Nastavenia organizácie > Jednotné prihlásenie v .https://admin.webex.com

2

Prejdite na IdP a kliknite na .

3

Kliknite na položku Skontrolovať certifikáty a dátum vypršania platnosti.

4

Kliknite na položku Obnoviť certifikát.

5

Vyberte typ poskytovateľa identity, ktorý vaša organizácia používa.

  • IdP, ktorý podporuje viacero certifikátov
  • IdP, ktorý podporuje jeden certifikát

Ak váš poskytovateľ identity podporuje jeden certifikát, odporúčame vám počkať s vykonaním týchto krokov počas plánovaného výpadku. Počas aktualizácie certifikátu Webex nebudú prihlásenia nových používateľov krátkodobo fungovať; existujúce prihlásenia sa zachovajú.

6

Vyberte typ certifikátu na obnovenie:

  • Samopodpísaný spoločnosťou Cisco – odporúčame túto voľbu. Nechajte nás podpísať certifikát, takže ho stačí obnoviť raz za päť rokov.
  • Podpísané verejnou certifikačnou autoritou – je bezpečnejšie, ale budete musieť často aktualizovať metadáta (pokiaľ váš dodávateľ poskytovateľa identity nepodporuje ukotvenia dôveryhodnosti).

    Dôveryhodné kotvy sú verejné kľúče, ktoré fungujú ako autorita na overenie certifikátu digitálneho podpisu. Ďalšie informácie nájdete v dokumentácii vášho poskytovateľa identity.

7

Kliknutím na položku Prevziať súbor metadát prevezmete kópiu aktualizovaných metadát s novým certifikátom z cloudu Webex. Nechajte túto obrazovku otvorenú.

8

Prejdite do rozhrania správy IdP a nahrajte nový súbor metadát Webex.

  • Tento krok možno vykonať prostredníctvom karty prehliadača, protokolu vzdialenej pracovnej plochy (RDP) alebo prostredníctvom podpory konkrétneho poskytovateľa cloudu, v závislosti od vášho nastavenia poskytovateľa identity a toho, či ste za tento krok zodpovedný vy alebo samostatný správca poskytovateľa identity.
  • Referenciu nájdete v našich sprievodcoch integráciou jednotného prihlásenia alebo požiadajte o podporu svojho správcu IdP. Ak používate službu Active Directory Federation Services (AD FS), môžete si pozrieť, ako aktualizovať metadáta Webex v službe AD FS.
9

Vráťte sa na kartu, na ktorej ste sa prihlásili do centra Control Hub, a kliknite na tlačidlo Ďalej.

10

Aktualizujte IdP pomocou nového certifikátu SP a metadát a kliknite na tlačidlo Ďalej.

  • Aktualizovali sa všetci IdP
  • Ak potrebujete viac času na aktualizáciu, uložte si obnovený certifikát ako sekundárnu možnosť
11

Kliknite na tlačidlo Dokončiť obnovenie.

Certifikát poskytovateľa identity (IdP).

Z času na čas môžete dostať e-mailové upozornenie alebo vidieť upozornenie v Control Hub, že platnosť certifikátu IdP vyprší. Keďže dodávatelia IdP majú svoju vlastnú špecifickú dokumentáciu na obnovenie certifikátu, pokrývame to, čo sa vyžaduje v Control Hub, spolu so všeobecnými krokmi na získanie aktualizovaných metadát IdP a ich nahranie do Control Hub na obnovenie certifikátu.

1

Ak chcete skontrolovať, či vyprší platnosť certifikátu IdP SAML:

  • Možno ste od nás dostali e-mail alebo správu z aplikácie Webex, ale mali by ste sa uistiť v Control Hub.
  • Prihláste sa do služby https://admin.webex.com a skontrolujte svoje Centrum upozornení. Môže sa zobraziť upozornenie na aktualizáciu certifikátu IdP SAML:

  • Prihláste sa do služby https://admin.webex.com, prejdite do časti Správa > Nastavenia organizácie > Jednotné prihlásenie a kliknite na položku Spravovať jednotné prihlásenie a poskytovateľov identity.
  • Prejdite na kartu Poskytovateľ identity a poznamenajte si stav certifikátu IdP (platnosť vypršala alebo čoskoro vyprší) a dátum vypršania platnosti.

  • Môžete tiež prejsť priamo do sprievodcu SSO a aktualizovať certifikát. Ak sa rozhodnete ukončiť sprievodcu skôr, ako ho dokončíte, môžete k nemu kedykoľvek znova pristupovať v časti Správa > Nastavenia organizácie > Jednotné prihlásenie v .https://admin.webex.com

2

Prejdite do rozhrania správy IdP a získajte nový súbor metadát.

  • Tento krok možno vykonať prostredníctvom karty prehliadača, protokolu vzdialenej pracovnej plochy (RDP) alebo prostredníctvom podpory konkrétneho poskytovateľa cloudu, v závislosti od vášho nastavenia poskytovateľa identity a toho, či ste za tento krok zodpovedný vy alebo samostatný správca poskytovateľa identity.
  • Referenciu nájdete v našich sprievodcoch integráciou jednotného prihlásenia alebo požiadajte o podporu svojho správcu IdP.
3

Vráťte sa na kartu Poskytovateľ identity .

4

Prejdite na IdP, kliknite na nahrať a vyberte možnosť Odovzdať metadáta IdP.

5

Presuňte súbor metadát IdP do okna alebo kliknite na položku Vybrať súbor a odovzdajte ho týmto spôsobom.

6

Vyberte možnosť Menej bezpečné (podpísané vlastným podpisom) alebo Bezpečnejšie (podpísané verejnou certifikačnou autoritou) v závislosti od toho, ako sú podpísané vaše metadáta poskytovateľa identity.

7

Kliknutím na položku Testovať aktualizáciu SSO potvrďte, že nový súbor metadát bol odovzdaný a správne interpretovaný do vašej organizácie Control Hub. Vo vyskakovacom okne potvrďte očakávané výsledky a ak bol test úspešný, vyberte možnosť Úspešný test: Aktivujte jednotné prihlásenie a IdP a kliknite na tlačidlo Uložiť.

Ak chcete priamo zobraziť prihlásenie jedným prihlásením, odporúčame vám kliknúť na položku Kopírovať adresu URL do schránky na tejto obrazovke a prilepiť ju do súkromného okna prehliadača. Odtiaľ môžete prejsť cez prihlásenie pomocou SSO. Pomáha to odstrániť všetky informácie uložené vo vašom webovom prehliadači, ktoré by mohli poskytnúť falošne pozitívny výsledok pri testovaní konfigurácie SSO.

výsledok: Hotovo a certifikát IdP vašej organizácie je teraz obnovený. Stav certifikátu môžete kedykoľvek skontrolovať na karte Poskytovateľ identity .

Najnovšie metadáta Webex SP môžete exportovať vždy, keď ich potrebujete pridať späť do svojho IdP. Keď platnosť importovaných metadát SAML IdP vyprší alebo už vypršala, zobrazí sa upozornenie.

Tento krok je užitočný v bežných scenároch správy certifikátov IdP SAML, ako sú IdP, ktorí podporujú viacero certifikátov, kde sa export neuskutočnil skôr, ak metadáta neboli importované do IdP, pretože správca IdP nebol dostupný, alebo ak váš IdP podporuje možnosť aktualizovať iba certifikát. Táto možnosť môže pomôcť minimalizovať zmenu tak, že certifikát aktualizujete iba vo vašej konfigurácii SSO a overení po udalosti.

1

V zobrazení zákazníka v https://admin.webex.com prejdite na položku Správa > Nastavenia organizácie, posuňte sa na položku Jednotné prihlásenie a kliknite na položku Spravovať jednotné prihlásenie a IdP 8}.

2

Prejdite na kartu Poskytovateľ identity .

3

Prejdite na IdP, kliknite na položku Stiahnuť a vyberte možnosť Prevziať metadáta SP.

Názov súboru metadát aplikácie Webex je idb-meta--SP.xml.

4

Importujte metadáta do svojho poskytovateľa identity.

Pri importovaní metadát Webex SP postupujte podľa dokumentácie pre vášho poskytovateľa identity. Môžete použiť našich sprievodcov integráciou poskytovateľa identity alebo si môžete prečítať dokumentáciu pre svojho konkrétneho poskytovateľa identity, ak nie je uvedený.

5

Po dokončení spustite test jednotného prihlásenia podľa krokov v časti Obnovenie certifikátu Webex (SP) v tomto článku.

Keď sa zmení vaše prostredie IdP alebo ak sa skončí platnosť vášho certifikátu IdP, môžete aktualizované metadáta do Webexu kedykoľvek importovať.

Skôr ako začnete

Zhromaždite svoje metadáta IdP, zvyčajne ako exportovaný súbor xml.

1

V zobrazení zákazníka v https://admin.webex.com prejdite na položku Správa > Nastavenia organizácie, posuňte sa na položku Jednotné prihlásenie a kliknite na položku Spravovať jednotné prihlásenie a IdP 8}.

2

Prejdite na kartu Poskytovateľ identity .

3

Prejdite na IdP, kliknite na nahrať a vyberte možnosť Odovzdať metadáta IdP.

4

Presuňte súbor metadát IdP do okna alebo kliknite na položku Vybrať súbor metadát a odovzdajte ho týmto spôsobom.

5

Vyberte možnosť Menej bezpečné (podpísané vlastným podpisom) alebo Bezpečnejšie (podpísané verejnou certifikačnou autoritou) v závislosti od toho, ako sú podpísané vaše metadáta poskytovateľa identity.

6

Kliknite na položku Testovať nastavenie jednotného prihlásenia a keď sa otvorí nová karta prehliadača, prihlásením overte identitu poskytovateľa identity.

Pred nastavením platnosti certifikátov budete dostávať upozornenia v Control Hub, ale môžete tiež proaktívne nastaviť pravidlá upozornení. Tieto pravidlá vás vopred informujú o tom, že platnosť vašich certifikátov SP alebo IdP vyprší. Môžeme vám ich poslať e-mailom, priestorom v aplikácii Webex alebo oboma spôsobmi.

Bez ohľadu na nakonfigurovaný kanál doručovania sa všetky upozornenia vždy zobrazia v Control Hub. Viac informácií nájdete v časti Centrum upozornení v Control Hub .

1

Prihláste sa do Control Hub.

2

Prejdite do Centra upozornení.

3

Vyberte položku Spravovať a potom položku Všetky pravidlá.

4

Zo zoznamu pravidiel vyberte ktorékoľvek z pravidiel SSO, ktoré chcete vytvoriť:

  • Platnosť certifikátu SSO IDP vypršala
  • Platnosť certifikátu SSO SP vyprší
5

V sekcii Doručovací kanál začiarknite políčko pri možnosti E-mail, Priestor Webex alebo oboje.

Ak vyberiete možnosť E-mail, zadajte e-mailovú adresu, na ktorú chcete dostávať upozornenia.

Ak si vyberiete možnosť Webex space, budete automaticky pridaný do priestoru v rámci aplikácie Webex a my doručíme upozornenia tam.

6

Uložte zmeny.

Čo robiť ďalej

Upozornenia na vypršanie platnosti certifikátu posielame raz za 15 dní, počnúc 60 dňami pred vypršaním platnosti. (Výstrahy môžete očakávať na 60., 45., 30. a 15. deň.) Výstrahy sa zastavia, keď obnovíte certifikát.

Môžete vidieť upozornenie, že jediná adresa URL na odhlásenie nie je nakonfigurovaná:

Odporúčame, aby ste si nakonfigurovali svojho IdP na podporu Single Log Out (známe aj ako SLO). Webex podporuje metódy presmerovania aj odosielania, ktoré sú k dispozícii v našich metadátach, ktoré sú stiahnuté z Control Hub. Nie všetci IdP podporujú SLO; požiadajte o pomoc svoj tím IdP. Niekedy pre hlavných dodávateľov IdP, ako sú AzureAD, Ping Federate, ForgeRock a Oracle, ktorí podporujú SLO, dokumentujeme, ako nakonfigurovať integráciu. Poraďte sa so svojím tímom pre identitu a bezpečnosť o špecifikách vášho IDP a o tom, ako ho správne nakonfigurovať.

Ak nie je nakonfigurovaná jedna adresa URL na odhlásenie:

  • Existujúca relácia IdP zostáva v platnosti. Keď sa používatelia nabudúce prihlásia, IdP ich nemusí požiadať o opätovnú autentifikáciu.

  • Pri odhlásení zobrazujeme varovnú správu, takže odhlásenie z aplikácie Webex neprebehne hladko.

Môžete zakázať jednotné prihlásenie (SSO) pre vašu organizáciu Webex spravovanú v Control Hub. Ak meníte poskytovateľa identity (IdP), možno budete chcieť zakázať jednotné prihlásenie.

Ak bolo pre vašu organizáciu povolené jednotné prihlásenie, ale zlyháva, môžete zapojiť svojho partnera Cisco, ktorý má prístup k vašej organizácii Webex, aby vám ho zakázal.

1

V zobrazení zákazníka v https://admin.webex.com prejdite na položku Správa > Nastavenia organizácie, posuňte sa na položku Jednotné prihlásenie a kliknite na položku Spravovať jednotné prihlásenie a IdP 8}.

2

Prejdite na kartu Poskytovateľ identity .

3

Kliknite na položku Deaktivovať jednotné prihlásenie.

Zobrazí sa kontextové okno, ktoré vás upozorní na zakázanie SSO:

Deaktivujte jednotné prihlásenie

Ak zakážete jednotné prihlásenie, heslá bude spravovať cloud namiesto vašej integrovanej konfigurácie poskytovateľa identity.

4

Ak chápete vplyv zakázania jednotného prihlásenia a chcete pokračovať, kliknite na tlačidlo Deaktivovať.

SSO je deaktivované a všetky výpisy certifikátov SAML sú odstránené.

Ak je jednotné prihlásenie zakázané, používateľom, ktorí sa musia overiť, sa počas procesu prihlásenia zobrazí pole na zadanie hesla.

  • Používatelia, ktorí nemajú heslo v aplikácii Webex, si musia heslo obnoviť alebo im musíte poslať e-mail, aby si heslo nastavili.

  • Existujúci overení používatelia s platným tokenom OAuth budú mať naďalej prístup k aplikácii Webex.

  • Noví používatelia vytvorení pri zakázanom SSO dostanú e-mail so žiadosťou o vytvorenie hesla.

Čo robiť ďalej

Ak vy alebo zákazník prekonfigurujete jednotné prihlásenie pre organizáciu zákazníka, používateľské účty sa vrátia k používaniu politiky hesiel, ktorú nastavil IdP, ktorý je integrovaný s organizáciou Webex.

Ak narazíte na problémy s prihlásením na jednotné prihlásenie, môžete použiť možnosť samoobnovenia jednotného prihlásenia , aby ste získali prístup k svojej organizácii Webex spravovanej v Control Hub. Možnosť samoobnovenia vám umožňuje aktualizovať alebo zakázať jednotné prihlásenie v Control Hub.