SSO i Control Hub

Om du vill konfigurera SSO för flera identitetsleverantörer i din organisation, se SSO med flera IdP:er i Webex.

Om din organisations certifikatanvändning är satt till Ingen men du fortfarande får en varning rekommenderar vi att du fortsätter med uppgraderingen. Din SSO installation använder inte certifikatet idag, men du kan behöva certifikatet för framtida ändringar.

Webex-tjänst certifikat från leverantör (SP)

Du kan då och då få en e-postavisering eller se en avisering i Control Hub om att Webex enkel inloggning (SSO)(SSO)-certifikatet kommer att upphöra. Följ processen i den här artikeln för att hämta SSO metadata för molncertifikat från oss (SP) och lägg till den i din IdP; annars kommer användare inte att kunna använda Webex-tjänster.

Om du använder SAML Cisco (SP) SSO-certifikat i din Webex-organisation måste du planera för att uppdatera molncertifikatet under ett vanligt schemalagt underhållsfönster så snart som möjligt.

Alla tjänster som ingår i din prenumeration på Webex-organisationen påverkas, inklusive men inte begränsat till:

  • Webex-appen (nya inloggningar för alla plattformar: dator, mobil och webb)

  • Webex-tjänster i Control Hub , inklusivesamtal

  • Webex Meetings-webbplatser som hanteras via Control Hub

  • Cisco Jabber om det är integrerat med SSO

Innan du börjar

Var vänlig läs alla anvisningar innan du börjar. När du har ändrat certifikatet eller gått via guiden för att uppdatera certifikatet kan det hända att nya användare inte kan logga in.

Om din IdP inte stöder flera certifikat (de flesta IdP:er på marknaden stöder inte den här funktionen) rekommenderar vi att du schemalägger uppgraderingen under ett underhållsfönster där användare av Webex-appen inte påverkas. Dessa uppgraderingsuppgifter bör ta cirka 30 minuter i drift och efter validering.

1

Kontrollera om certifikatet för SAML Cisco (SP SSO upphör att gälla:

  • Du kan ha fått ett e-postmeddelande eller Ett Webex-appmeddelande från oss, men du bör kontrollera i Control Hub för att vara säker.

  • Logga in på https://admin.webex.comoch kontrollera ditt Alerts center. Det kan finnas ett meddelande om att du uppdaterar SSO tjänsteleverantör Certifikat.

  • Logga in på https://admin.webex.com, gå till Hantering > Organisationsinställningar > Enkel inloggning och klicka på Hantera SSO och IdP:er.
  • Gå till fliken Identitetsleverantör och notera status och utgångsdatum för Cisco SP-certifikatet.

Du kan också gå SSO guiden för att uppdatera certifikatet. Om du bestämmer dig för att avsluta guiden innan du slutför den kan du när som helst komma åt den igen från Hantering > Organisationsinställningar > Enkel inloggninghttps://admin.webex.com.

2

Gå till IdP och klicka på .

3

Klicka på Granska certifikat och utgångsdatum.

4

Klicka på Förnya certifikat.

5

Välj den typ av IdP som organisationen använder.

  • En IdP som stöder flera certifikat
  • En IdP som stöder ett enskilt certifikat

Om din IdP har stöd för ett enda certifikat rekommenderar vi att du väntar på att utföra dessa steg under schemalagd nertid. När Webex certifikat uppdateras går det inte att använda nya inloggnings uppgifter. befintliga inloggnings program bevaras.

6

Välj certifikattyp för förnyelse:

  • Självsignerat av Cisco – Vi rekommenderar det här valet. Låt oss signera certifikatet så att du bara behöver förnya det en gång var femte år.
  • Signerat av en offentlig certifikatutfärdare – Säkrare men du måste uppdatera metadata ofta (såvida inte din IdP-leverantör har stöd för förtroendeankare).

    Betrodda ankare är offentliga nycklar som kan verifiera en digital signaturs certifikat. Se din IdP-dokumentation för mer information.

    Innan du fortsätter till nästa steg ska du se till att du är redo att förnya ditt certifikat och fungerar i dina organisationers ändringsfönster. Om du väljer Självsignerad Cisco eller Signerat av en offentlig certifikatutfärdare skapas ett nytt certifikat omedelbart. När certifikatet ändras för en enskild IdP STOPPAS SSO tills certifikatet eller metadata har överförts till IdP. Därför är det viktigt att slutföra förnyelseprocessen.

7

Klicka på Hämta metadatafil om du vill ladda ner en kopia av de uppdaterade metadata med det nya certifikatet från WebEx Cloud. Ha den här skärmen öppen.

8

Navigera till ditt IdP-hanteringsgränssnitt för att ladda upp den nya Webex-metadatafilen.

  • Detta steg kan göras via en webbläsarflik, fjärrskrivbordsprotokoll (RDP) eller via specifik molnleverantörssupport, beroende på din IdP-konfiguration och om du eller en separat IdP-administratör är ansvarig för detta steg.
  • Du kan få mer information SSO dina integreringsguider eller kontakta din IdP-administratör för support. Om du Active Directory Webex-metadata i AD FS (Federation Services) kan du se hur du uppdaterar Webex-metadata i AD FS.
9

Gå tillbaka till fliken där du loggade in på Control Hub och klicka på Nästa.

10

Uppdatera IdP med det nya SP-certifikatet och metadata och klicka på Nästa.

  • Alla IdP:er har uppdaterats
  • Om du behöver mer tid för att uppdatera så sparar du det förnyade certifikatet som sekundärt alternativ
11

Klicka på Slutför förnyelse.

identitetsleverantör (IdP)-certifikat

Från och med nu kan du få en e-postavisering eller få en varning i Control Hub om att IdP-certifikatet kommer att upphöra. Eftersom IdP-leverantörer har sin egen specifika dokumentation för certifikatförnyelse täcker vi det som krävs i Control Hub tillsammans med allmänna steg för att hämta uppdaterade IdP-metadata och överföra dem till Control Hub för att förnya certifikatet.

1

För att kontrollera om IdP SAML-certifikatet kommer att upphöra:

  • Du kan ha fått ett e-postmeddelande eller Ett Webex-appmeddelande från oss, men du bör kontrollera i Control Hub för att vara säker.
  • Logga in på https://admin.webex.comoch kontrollera ditt Alerts center. Det kan finnas ett meddelande om att du uppdaterar IdP SAML-certifikatet:

  • Logga in på https://admin.webex.com, gå till Hantering > Organisationsinställningar > Enkel inloggning och klicka på Hantera SSO och IdP:er.
  • Gå till fliken Identitetsleverantör och notera IdP-certifikatets status (upphör eller upphör snart) och utgångsdatum.

  • Du kan också gå SSO guiden för att uppdatera certifikatet. Om du bestämmer dig för att avsluta guiden innan du slutför den kan du när som helst komma åt den igen från Hantering > Organisationsinställningar > Enkel inloggninghttps://admin.webex.com.

2

Navigera till ditt IdP-hanteringsgränssnitt för att hämta den nya metadatafilen.

  • Detta steg kan göras via en webbläsarflik, fjärrskrivbordsprotokoll (RDP) eller via specifik molnleverantörssupport, beroende på din IdP-konfiguration och om du eller en separat IdP-administratör är ansvarig för detta steg.
  • Du kan få mer information SSO dina integreringsguider eller kontakta din IdP-administratör för support.
3

Återgå till fliken Identitetsleverantör .

4

Gå till IdP, klicka på ladda upp och välj Överför Idp-metadata.

5

Dra och släpp din IdP-metadatafil i fönstret eller klicka på Välj en fil och ladda upp den på det sättet.

6

Välj Mindre säker (själv signerad) eller Mer säker (signerad av en allmän CA), beroende på hur dina IdP-metadata signeras.

7

Klicka på Testa SSO-uppdatering för att bekräfta att den nya metadatafilen har laddats upp och tolkats korrekt i din Control Hub-organisation. Bekräfta de förväntade resultaten i popup-fönstret och om testet lyckades väljer du Lyckat test: Aktivera SSO och IdP och klicka på Spara.

För att se SSO-inloggningsupplevelsen direkt rekommenderar vi att du klickar på Kopiera URL till urklipp från den här skärmen och klistrar in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Detta bidrar till att ta bort all information som cachelagrats i din webbläsare och som kan ge ett falskt positivt resultat när du testar din SSO-konfiguration.

Resultat: Du är klar och din organisations IdP-certifikat är nu återkallat. Du kan när som helst kontrollera certifikatstatusen på fliken Identitetsleverantör .

Du kan exportera de senaste Webex SP-metadatana när du behöver lägga till dem i din IdP igen. Du kommer att se ett meddelande när de importerade IdP SAML-metadatana upphör gälla eller har upphört att gälla.

Det här steget är användbart vid vanliga IdP SAML-certifikathantering-scenarier, till exempel IdPs som stöder flera certifikat där export inte gjordes tidigare, om metadata inte importerades till IdP på grund av att en IdP-administratör inte var tillgänglig eller om din IdP har stöd för möjligheten att uppdatera endast certifikatet. Det här alternativet kan hjälpa till att minimera ändringen genom att endast uppdatera certifikatet i SSO konfiguration och validering efter händelsen.

1

Från kundvyn i https://admin.webex.com går du till Hantering > Organisationsinställningar, bläddrar till Enkel inloggning och klickar på Hantera SSO och IdP:er.

2

Gå till fliken Identitetsleverantör .

3

Gå till IdP, klicka på Hämta och välj Hämta SP-metadata.

Webex-appens metadatafil är idb-meta-<org-ID>-SP.xml.

4

Importera metadata till din IdP.

Följ dokumentationen till din IdP för att importera Webex SP-metadata. Du kan använda våra IdP-integreringsguider eller se dokumentationen för din specifika IdP om de inte finns listade.

5

När du är klar kör du SSO-testet med hjälp av stegen i Förnya Webex-certifikat (SP) i den här artikeln.

När din IdP-miljö ändras eller om ditt IdP-certifikat upphör att gälla kan du när som helst importera de uppdaterade metadatana till Webex.

Innan du börjar

Samla in dina IdP-metadata, vanligtvis som en exporterad XML-fil.

1

Från kundvyn i https://admin.webex.com går du till Hantering > Organisationsinställningar, bläddrar till Enkel inloggning och klickar på Hantera SSO och IdP:er.

2

Gå till fliken Identitetsleverantör .

3

Gå till IdP, klicka på ladda upp och välj Överför Idp-metadata.

4

Dra och släpp din IdP-metadatafil i fönstret eller klicka på Välj en metadatafil och överför den på det sättet.

5

Välj Mindre säker (själv signerad) eller Mer säker (signerad av en allmän CA), beroende på hur dina IdP-metadata signeras.

6

Klicka på Testa SSO-konfiguration och när en ny webbläsarflik öppnas autentiserar du med IdP:n genom att logga in.

Du får aviseringar i Control Hub innan certifikaten är inställda på att upphöra, men du kan även proaktivt konfigurera aviseringsregler. Dessa regler låter dig i förväg veta att dina SP- eller IdP-certifikat kommer att upphöra. Vi kan skicka dessa till dig via e-post, ett utrymme i Webex-appeneller både och.

Oavsett vilken leveranskanal som är konfigurerad visas alla aviseringar alltid i ControlHub. Se Alerts Center i Control Hub för mer information.

1

Logga in på Control Hub.

2

Gå till Aviseringscentret.

3

Välj Hantera och sedan Alla regler .

4

Från regellistan väljer du de regler SSO du vill skapa:

  • SSO ut IDP-certifikat
  • SSO SP-certifikat upphör
5

I avsnittet Leveranskanal markerar du rutan för E-post, Webex-utrymmeeller både och.

Om du väljer E-post anger du e-postadressen som ska ta emot meddelandet.

Om du väljer alternativet Webex-utrymme läggs du automatiskt till i ett utrymme i Webex-appen och vi levererar aviseringarna där.

6

Spara dina ändringar.

Nästa steg

Vi skickar varningsmeddelanden om utgående certifikat en gång var 15:e dag, startar 60 dagar före utgången. (Du kan förvänta dig aviseringar på dag 60, 45, 30 och 15.) Aviseringar slutar när du förnyar certifikatet.

Du kan se ett meddelande om att URL:en för enkel utloggning inte är konfigurerad:

Vi rekommenderar att du konfigurerar din IdP så att den stödjer enkel utloggning (även kallat SLO). Webex har stöd för både omdirigering och efter metoder som finns tillgängliga i våra metadata som hämtas från Control Hub. Inte alla IdPs har stöd för SLO. Kontakta ditt IdP-team för hjälp. Ibland dokumenterar vi för de största IdP-leverantörerna som AzureAD, Ping Federate, ForgeRock och Oracle, som stöder SLO, hur integreringen konfigureras. Rådgör med ditt identitets- och säkerhetsteam om detaljerna för din IDP och hur du konfigurerar den på rätt sätt.

Om URL för enkel utloggning inte har konfigurerats:

  • En befintlig IdP-session förblir giltig. Nästa gång användare loggar in kanske de inte ombeds att återauktorera av IdP.

  • Vi visar ett varningsmeddelande vid utloggning så utloggning från Webex-appen sker inte sömlöst.

Du kan inaktivera enkel inloggning (SSO) (SSO) för din Webex-organisation som hanteras i Control Hub . Du kanske vill inaktivera SSO om du ändrar identitetsleverantörer (IdP:er).

Om enkel inloggning (SSO) har aktiverats för din organisation men misslyckas, kan du kontakta din Cisco-partner som har åtkomst till din Webex-organisation för att inaktivera den åt dig.

1

Från kundvyn i https://admin.webex.com går du till Hantering > Organisationsinställningar, bläddrar till Enkel inloggning och klickar på Hantera SSO och IdP:er.

2

Gå till fliken Identitetsleverantör .

3

Klicka på Inaktivera SSO.

Ett popup-fönster visas som varnar dig om att inaktivera SSO:

Inaktivera SSO

Om du inaktiverar SSO hanteras lösenord av molnet istället för din integrerade IdP-konfiguration.

4

Om du förstår effekten av att inaktivera SSO vill fortsätta klickar du på Inaktivera.

SSO är inaktiverat och alla SAML-certifikatlistor tas bort.

Om SSO är inaktiverat kommer användare som måste autentisera att se ett lösenordsfält under inloggningsprocessen.

  • Användare som inte har ett lösenord i Webex-appen måste antingen återställa sitt lösenord eller så måste du skicka ett e-postmeddelande så att de kan ställa in ett lösenord.

  • Befintliga autentiserade användare med en giltig OAuth Token kommer även fortsättningsvis att ha åtkomst till Webex-appen.

  • Nya användare som skapas när SSO inaktiveras får ett e-postmeddelande som ber dem skapa ett lösenord.

Nästa steg

Om du eller kunden konfigurerar om SSO för kundorganisationen går användarkonton tillbaka till den lösenordspolicy som anges av den IdP som är integrerad med Webex-organisationen.

Om du stöter på problem med din SSO-inloggning kan du använda alternativet SSO-självåterställning för att få åtkomst till din Webex-organisation som hanteras i Control Hub. Med alternativet för självåterställning kan du uppdatera eller inaktivera SSO i Control Hub.