Як змінити сертифікат у постачальника послуг єдиного входу?
Як змінити сертифікат у постачальника послуг єдиного входу?
Як оновити сертифікат ADFS?
Cisco Webex не надає документації чи вказівок щодо виконання регулярного технічного обслуговування для окремих постачальників системи єдиного входу.
Webex Технічна служба підтримки виявила, що клієнти ADFS, яким потрібна ця інформація, знайшли корисною наступну статтю служби підтримки Microsoft:
Примітка:
- Cisco Webex не гарантує точність цієї інформації або її відповідність для вашого конкретного розгортання.
- Щоб отримати додаткову допомогу, зверніться до свого постачальника системи єдиного входу.
Загальні вказівки щодо сертифікатів та впровадження Webex специфікації SAML 2.0:
Загалом, щоб SSO працював, ви повинні мати поточні та дійсні довірчі відносини між Службою керування ідентифікацією, яку зазвичай називають IDP, і порталами адміністрування сайту Webex або Webex Messenger. (Для клієнтів Cisco Webex Meetings Suite або Cisco Webex Messenger відповідно)
Це досягається в SAML, якщо сторона, яка стверджує, SAML підписує відповідь SAML. Webex не вимагає, щоб твердження SAML містило публічний сертифікат підпису, однак для усунення несправностей рекомендовано включати це у відповідь SAML. Webex вимагає підписання твердження. Зверніть увагу, що відповідь також може бути підписана, але це не обов’язково, і Webex не успадкує підпис сертифіката з відповіді на твердження.
Основні моменти, які слід пам’ятати:
- Сертифікат, який використовується для підписання підтвердження SAML, має бути актуальним і відповідати сертифікату, завантаженому на сторінку адміністрування служби Webex, яку ви використовуєте.
- Сертифікат не повинен бути підписаний ЦС, оскільки довірчі відносини встановлюються шляхом завантаження сертифіката вручну, а не через узгодження протоколу, як-от HTTPS.
- Сертифікат, завантажений до Адміністрації Webex, має бути у файлі .cer із кодуванням base-64 у форматі PEM для досягнення найкращих результатів.
Найкращі методи оновлення сертифіката:
Cisco Webex рекомендує запланувати невелике вікно простою для цього обслуговування. Протягом часу між зміною сертифіката на IDP і зміною сертифіката користувачі порталу адміністрування Webex не зможуть увійти. Це не вплине на хости/учасники, які вже пройшли автентифікацію, і користувачів Jabber з поточними сеансами аутентифікації. Примітка: Користувачі Jabber, які використовують дзвінки Jabber в Jabber, повинні аутентифікуватися в службі Webex кожні 24 години, незалежно від тривалості сеансу аутентифікації для інших служб. Користувачі Jabber, які намагаються пройти автентифікацію в службі Webex під час технічного обслуговування, отримають повідомлення «Недійсне повідомлення відповіді (29)», а хости та учасники Webex Business Suite з обліковими записами, які намагаються пройти автентифікацію, отримають повідомлення про помилку «Неправильний сертифікат X.509 для перевірки». SAML твердження (8)".
Передумови:
- Будь ласка, підготуйте сертифікати приватного ключа та відкритих ключів для завантаження на сторінку адміністрування IDP та Webex.
- Webex Адміністратори сайту Business Suite мають пароль для своїх облікових записів адміністратора.
- Ви можете встановити пароль перед початком обслуговування.
- Якщо ви забудете свій пароль після початку обслуговування, ви втратите доступ до входу до свого облікового запису і зможете відновити доступ лише за допомогою іншого адміністратора сайту або Webex технічної підтримки.
- Адміністратори Webex Messenger також мають імена користувачів та паролі, які можна використовувати для входу в систему, якщо вам знадобиться автентифікація, коли SSO не працює.
Вирішення проблем:
Якщо ви не можете пройти автентифікацію після оновлення нового сертифіката, спробуйте наступне:
- Переконайтеся, що сертифікат було успішно завантажено до ВПО.
- Переконайтеся, що портал адміністрування Webex відображає правильний сертифікат.
- Переконайтеся, що IDP надає відповідь SAML.
- Webex Технічна підтримка зазвичай використовує вбудовані інструменти розробника в Chrome і Firefox для перевірки того, що IDP надає SAMLResponse.
- Webex Технічна підтримка зазвичай використовує програму стороннього розробника під назвою Fiddler для збору журналів транзакцій HTTPS, які здійснюються з програми або браузера.
- Переконайтеся, що сертифікат, який міститься у відповіді SAML, містить правильний сертифікат.
Якщо вам потрібна допомога, зверніться до служби технічної підтримки Cisco Webex.
Webex Технічна підтримка не може надати інструкції постачальника IDP щодо конфігурації або впровадження SSO, однак може надати загальні вказівки щодо повідомлення про помилки та налагодження.
Чи була ця стаття корисною?