SSO i Control Hub

Om du vill konfigurera SSO för flera identitetsleverantörer i din organisation, se SSO med flera ID-adresser i Webex.


 

Om din organisations certifikatanvändning är inställd på Ingen men du fortfarande får en avisering rekommenderar vi att du fortsätter med uppgraderingen. Din SSO-distribution använder inte certifikatet idag, men du kan behöva certifikatet för framtida ändringar.


 

Då och då kan du få ett e-postmeddelande eller se en avisering i Control Hub om att Webex-certifikatet för enkel inloggning (SSO) kommer att upphöra. Följ processen i den här artikeln för att hämta metadata för molncertifikatet för SSO från oss (SP) och lägga till dem i din IdP igen. Annars kommer användare inte att kunna använda Webex-tjänster.

Om du använder SAML Cisco (SP) SSO-certifikatet i din Webex-organisation måste du planera att uppdatera molncertifikatet under ett regelbundet schemalagt underhållsfönster så snart som möjligt.

Alla tjänster som ingår i din prenumeration på Webex-organisationen påverkas, inklusive men inte begränsat till:

  • Webex-appen (nya inloggningar för alla plattformar: stationära datorer, mobila enheter och webben)

  • Webex-tjänster i Control Hub, inklusive samtal

  • Webex Meetings webbplatser som hanteras via Control Hub

  • Cisco Jabber om den är integrerad med SSO

Innan du börjar


 

Läs igenom alla anvisningar innan du börjar. När du har ändrat certifikatet eller gått igenom guiden för att uppdatera certifikatet kanske nya användare inte kan logga in.

Om ditt ID-P inte har stöd för flera certifikat (de flesta ID-p på marknaden har inte stöd för den här funktionen) rekommenderar vi att du schemalägger den här uppgraderingen under ett underhållsfönster där Webex-appanvändare inte påverkas. Dessa uppgraderingsuppgifter bör ta cirka 30 minuter i driftstid och validering efter vent.

1

Så här kontrollerar du om SAML Cisco (SP) SSO-certifikatet kommer att upphöra:

  • Du kan ha fått ett e-postmeddelande eller ett Webex-appmeddelande från oss, men du bör checka in i Control Hub för att vara säker.
  • Logga in påhttps://admin.webex.com och kontrollera din Varningscenter . Det kan finnas ett meddelande om uppdatering av SSO-tjänsteleverantörscertifikatet.

  • Logga in på https://admin.webex.com, gå till Hantering > Organisationsinställningar > Autentisering och klicka på Hantera SSO och ID.
  • Gå till fliken Identitetsleverantör och notera statusen för Cisco SP-certifikatet och utgångsdatum.

Du kan även gå direkt till SSO-guiden för att uppdatera certifikatet. Om du bestämmer dig för att avsluta guiden innan du har slutfört den kan du öppna den igen när som helst från Hantering > Organisationsinställningar > Autentisering inhttps://admin.webex.com .

2

Gå till IdP och klicka .

3

Klicka på Granska certifikat och utgångsdatum .

Detta tar dig till Certifikat från tjänsteleverantörer (SP). fönster.
4

Klicka på Förnya certifikatet .

5

Välj certifikattyp för förnyelsen:

  • Självsignerat av Cisco –Vi rekommenderar detta val. Låt oss signera certifikatet så att du bara behöver förnya det vart femte år.
  • Signerat av en offentlig certifikatutfärdare – Säkrare men du måste uppdatera metadata ofta (om inte din IdP-leverantör har stöd för betrodda ankare).

     

    Pålitliga ankare är offentliga nycklar som fungerar som en auktoritet för att verifiera en digital signaturs certifikat. Mer information finns i dokumentationen till din IdP.

6

Klicka på Hämta metadatafil för att hämta en kopia av uppdaterade metadata med det nya certifikatet från Webex-molnet. Låt den här skärmen vara öppen.

7

Navigera till gränssnittet för IdP för att överföra den nya Webex-metadatafilen.

  • Det här steget kan göras via en webbläsarflik, RDP (Remote Desktop Protocol) eller via specifik molnleverantörssupport, beroende på din IdP-konfiguration och om du eller en separat IdP-administratör ansvarar för detta steg.
  • Som referens, se våra guider för SSO-integrering eller kontakta din IdP-administratör för support. Om du använder Active Directory Federation Services (AD FS) kan du se hur du uppdaterar Webex-metadata i AD FS .
8

Gå tillbaka till fliken där du loggade in på Control Hub och klicka på Nästa .

9

Detta bekräftar att den nya metadatafilen har laddats upp och tolkats korrekt av din IdP. Bekräfta de förväntade resultaten i popup-fönstret och om testet lyckades klickar du på Växla till ny metadata .


 

Om du vill se SSO-inloggningsupplevelsen direkt kan du även klicka på Kopiera URL till urklipp från den här skärmen och klistra in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Detta bidrar till att ta bort all information som cachelagrats i din webbläsare och som kan ge ett falskt positivt resultat när du testar din SSO-konfiguration.

Resultat: Du är klar och din organisations SAML Cisco (SP) SSO-certifikat har förnyats. Du kan när som helst kontrollera certifikatstatusen under fliken Identitetsleverantör.


 

Då och då kan du få ett e-postmeddelande eller se en avisering i Control Hub om att IdP-certifikatet kommer att upphöra. Eftersom IdP-leverantörer har sin egen specifika dokumentation för certifikatförnyelse täcker vi vad som krävs i Control Hub, tillsammans med allmänna steg för att hämta uppdaterad IdP-metadata och överföra den till Control Hub för att förnya certifikatet.

1

Så här kontrollerar du om IdP SAML-certifikatet kommer att upphöra:

  • Du kan ha fått ett e-postmeddelande eller ett Webex-appmeddelande från oss, men du bör checka in i Control Hub för att vara säker.
  • Logga in påhttps://admin.webex.com och kontrollera din Varningscenter . Ett meddelande om uppdatering av IdP SAML-certifikat kan visas:

  • Logga in på https://admin.webex.com, gå till Hantering > Organisationsinställningar > Autentisering och klicka på Hantera SSO och ID.
  • Gå till fliken Identitetsleverantör och notera statusen för IDP-certifikatet (upphör eller upphör snart) och utgångsdatum.
  • Du kan även gå direkt till SSO-guiden för att uppdatera certifikatet. Om du bestämmer dig för att avsluta guiden innan du har slutfört den kan du öppna den igen när som helst från Hantering > Organisationsinställningar > Autentisering inhttps://admin.webex.com .

2

Navigera till gränssnittet för IdP för att hämta den nya metadatafilen.

  • Det här steget kan göras via en webbläsarflik, RDP (Remote Desktop Protocol) eller via specifik molnleverantörssupport, beroende på din IdP-konfiguration och om du eller en separat IdP-administratör ansvarar för detta steg.
  • Som referens, se våra guider för SSO-integrering eller kontakta din IdP-administratör för support.
3

Återgå till fliken Identitetsleverantör.

4

Gå till IdP, klickaladda upp och välj Överför Idp-metadata .

5

Dra och släpp din IDP-metadatafil i fönstret eller klicka på Välj en fil och ladda upp den på det sättet.

6

Välj Mindre säker (självsignerat) eller Säkrare (signerat av en offentlig certifikatutfärdare), beroende på hur din IdP-metadata är signerad.

7

Klicka på Testa SSO-uppdatering för att bekräfta att den nya metadatafilen har överförts och tolkats korrekt till din Control Hub-organisation. Bekräfta de förväntade resultaten i popup-fönstret och välj Lyckat test: Aktivera SSO och ID och klicka på Spara.


 

Om du vill se SSO-inloggningsupplevelsen direkt rekommenderar vi att du klickar på Kopiera URL för att urklistra på den här skärmen och klistrar in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Detta bidrar till att ta bort all information som cachelagrats i din webbläsare och som kan ge ett falskt positivt resultat när du testar din SSO-konfiguration.

Resultat: Du är klar och organisationens IdP-certifikat har nu förnyats. Du kan när som helst kontrollera certifikatstatusen under fliken Identitetsleverantör.

Du kan exportera den senaste Webex SP-metadatan när du behöver lägga till den i din IdP igen. Du ser ett meddelande när importerad IdP SAML-metadata kommer att upphöra eller har upphört att gälla.

Det här steget är användbart i vanliga scenarier för hantering av IdP SAML-certifikat, t.ex. IdP:er som har stöd för flera certifikat där exporten inte utfördes tidigare, om metadata inte importerades till IdP eftersom en IdP-administratör inte var tillgänglig eller om din IdP har stöd för möjligheten att endast uppdatera certifikatet. Det här alternativet kan hjälpa till att minimera förändringen genom att endast uppdatera certifikatet i din SSO-konfiguration och validera efter händelsen.

1

Från kundvyn inhttps://admin.webex.com , gå till Hantering > Organisationsinställningar , bläddra till Autentisering och klicka Hantera SSO och IdP:er .

2

Gå till Identitetsleverantör fliken.

3

Gå till IDP, klicka Ladda ner och välj Hämta SP-metadata.

Webex-metadatafilnamnet är idb-meta- -SP.xml .<org-ID>

4

Importera metadata till din IdP.

Följ dokumentationen till din IdP för att importera Webex SP-metadata. Du kan använda vår Guider för IdP-integrering eller se dokumentationen för din specifika IdP om den inte finns med i listan.

5

När du är klar kör du SSO-testet med hjälp av stegen i Förnya Webex-certifikat (SP) i den här artikeln.

När din IdP-miljö ändras eller om ditt IdP-certifikat löper ut kan du när som helst importera uppdaterade metadata till Webex.

Innan du börjar

Samla in dina IdP-metadata, vanligtvis som en exporterad xml-fil.

1

Från kundvyn inhttps://admin.webex.com , gå till Hantering > Organisationsinställningar , bläddra till Autentisering och klicka Hantera SSO och IdP:er .

2

Gå till Identitetsleverantör fliken.

3

Gå till IdP, klickaladda upp och välj Överför Idp-metadata .

4

Dra och släpp din IdP-metadatafil i fönstret eller klicka Välj en metadatafil och ladda upp det på det sättet.

5

Välj Mindre säker (självsignerat) eller Säkrare (signerat av en offentlig certifikatutfärdare), beroende på hur din IdP-metadata är signerad.

6

Klicka på Testa SSO-konfigurationen , och när en ny webbläsarflik öppnas ska du autentisera med IdP genom att logga in.

Du får aviseringar i Control Hub innan certifikaten är inställda på att löpa ut, men du kan även proaktivt ställa in varningsregler. Dessa regler informerar dig i förväg om att dina SP- eller IdP-certifikat kommer att förfalla. Vi kan skicka dessa till dig via e-post, ett utrymme i Webex-appen eller bådadera.


 

Oavsett vilken leveranskanal som har konfigurerats visas alla aviseringar alltid i Control Hub. Se Varningscenter i Control Hub för mer information.

1

Från kundvyn inhttps://admin.webex.com , gå till Varningscenter .

2

Välj Hantera sedan Alla regler .

3

I listan över regler väljer du en av SSO-reglerna som du vill skapa:

  • SSO IDP-certifikat löper ut
  • SSO SP-certifikat går ut
4

I avsnittet Leveranskanal markerar du rutan för E-post , Webex-utrymme , eller både och.

Om du väljer E-post anger du den e-postadress som ska få meddelandet.


 

Om du väljer alternativet Webex-utrymme läggs du automatiskt till i ett utrymme i Webex-appen och vi levererar aviseringarna där.

5

Spara dina ändringar.

Nästa steg

Vi skickar aviseringar om certifikats utgång var 15:e dag, med början 60 dagar innan utgången. (Du kan förvänta dig aviseringar dag 60, 45, 30 och 15.) Aviseringarna stoppas när du förnyar certifikatet.

Du kan se ett meddelande om att URL:en för enkel utloggning inte är konfigurerad:


 

Vi rekommenderar att du konfigurerar din IdP för att stödja enkel utloggning (kallas även SLO). Webex har stöd för både omdirigering och inläggsmetoder, tillgängliga i vår metadata som hämtas från Control Hub. Alla IdP har inte stöd för SLO. kontakta ditt IdP-team för att få hjälp. Ibland, för de stora IDP-leverantörerna som AzureAD, Ping Federate, ForgeRock och Oracle, som stöder SLO, vi dokumenterar hur du konfigurerar integreringen. Rådfråga ditt identitets- och säkerhetsteam om specifikationerna för din IDP och hur du konfigurerar den på rätt sätt.

Om URL för enkel utloggning inte har konfigurerats:

  • En befintlig IdP-session är fortfarande giltig. Nästa gång användare loggar in kanske de inte blir ombedda att autentisera sig på nytt av IdP.

  • Vi visar ett varningsmeddelande vid utloggning, så att utloggning från Webex-appen inte sker smidigt.

Du kan inaktivera enkel inloggning (SSO) för din Webex-organisation som hanteras i Control Hub. Du kanske vill inaktivera SSO om du ändrar identitetsleverantörer (IDPs).


 

Om enkel inloggning har aktiverats för din organisation men inte fungerar kan du kontakta din Cisco -partner som har åtkomst till din Webex-organisation för att inaktivera den åt dig.

1

Från kundvyn inhttps://admin.webex.com , gå till Hantering > Organisationsinställningar , bläddra till Autentisering och klicka Hantera SSO och IdP:er .

2

Gå till Identitetsleverantör fliken.

3

Klicka på Inaktivera SSO .

Ett popup-fönster visas som varnar dig om att inaktivera SSO:

Inaktivera SSO

Om du inaktiverar SSO hanteras lösenorden av molnet istället för din integrerade IdP-konfiguration.

4

Om du förstår konsekvenserna av att inaktivera SSO och vill fortsätta klickar du på Inaktivera .

SSO inaktiveras och alla SAML-certifikatlistor tas bort.

Om SSO är inaktiverat kommer användare som måste autentisera att se ett lösenordsfält under inloggningsprocessen.

  • Användare som inte har ett lösenord i Webex-appen måste antingen återställa sitt lösenord eller så måste du skicka ett e-postmeddelande för att ställa in ett lösenord.

  • Befintliga autentiserade användare med en giltig OAuth-token har fortsatt åtkomst till Webex-appen.

  • Nya användare som skapas när SSO är inaktiverat får ett e-postmeddelande där de uppmanas att skapa ett lösenord.

Nästa steg

Om du eller kunden konfigurerar om SSO för kundorganisationen går användarkonton tillbaka till att använda lösenordspolicyn som anges av IDP som är integrerat med Webex-organisationen.

Om du stöter på problem med din SSO-inloggning kan du använda Alternativ för självåterställning av SSO för att få åtkomst till din Webex-organisation som hanteras i Control Hub. Med alternativet för självåterställning kan du uppdatera eller inaktivera SSO i Control Hub.