Якщо ви хочете налаштувати єдиний вхід (SSO) для кількох постачальників ідентифікаційних даних у вашій організації, див. статтю Єдиний вхід (SSO) з кількома постачальниками ідентифікаційних даних у Webex.

Якщо використання сертифіката вашою організацією встановлено на «Немає», але ви все ще отримуєте сповіщення, радимо вам все одно продовжити оновлення. Ваше розгортання SSO сьогодні не використовує сертифікат, але він може знадобитися вам для майбутніх змін.

Сертифікат постачальника послуг Webex (SP)

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Центрі керування про те, що термін дії сертифіката єдиного входу (SSO) Webex закінчується. Виконайте процедуру, описану в цій статті, щоб отримати метадані хмарного сертифіката SSO від нас (постачальника послуг) та додати їх назад до вашого постачальника ідентифікаційних даних; інакше користувачі не зможуть користуватися сервісами Webex.

Якщо ви використовуєте сертифікат єдиного входу SAML Cisco (SP) у своїй організації Webex, вам слід якомога швидше запланувати оновлення хмарного сертифіката під час регулярного планового періоду технічного обслуговування.

Це стосується всіх сервісів, що входять до вашої передплати на Webex для організації, зокрема, але не обмежується:

  • Додаток Webex (нові входи для всіх платформ): настільних комп’ютерів, мобільних пристроїв та веб-сайтів)

  • Сервіси Webex у Control Hub, зокрема Calling

  • Сайти Webex Meetings, якими керують через Control Hub

  • Cisco Jabber, якщо він інтегрований з єдиним вхідним входом (SSO).

Перш ніж почати

Будь ласка, прочитайте всі інструкції перед початком. Після зміни сертифіката або використання майстра оновлення сертифіката нові користувачі можуть не мати змоги успішно ввійти.

Якщо ваш постачальник ідентифікаційних даних не підтримує кілька сертифікатів (більшість постачальників ідентифікаційних даних на ринку не підтримують цю функцію), радимо запланувати це оновлення на період технічного обслуговування, коли це не вплине на користувачів програми Webex. Ці завдання оновлення мають тривати приблизно 30 хвилин з точки зору оперативного часу та перевірки після події.

1

Щоб перевірити, чи закінчується термін дії сертифіката єдиного входу SAML Cisco (SP):

  • Можливо, ви отримали від нас електронний лист або повідомлення в додатку Webex, але вам слід перевірити це в Центрі керування.

  • Увійдіть у Центр керуваннята перевірте свій центр сповіщень. Може з’явитися сповіщення про оновлення сертифіката постачальника послуг єдиного входу.

  • Перейти до Управління > Безпека > Аутентифікація.
  • Перейдіть на вкладку Постачальник ідентифікаційних даних та зверніть увагу на стан і термін дії сертифіката Cisco SP.

Ви також можете перейти безпосередньо до майстра єдиного входу, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра до його завершення, ви можете отримати до нього доступ знову будь-коли з Керування > Безпека > Аутентифікація в Центрі керування.

2

Перейдіть до постачальника ідентифікаційних даних і натисніть .

3

Натисніть Переглянути сертифікати та термін їх дії.

4

Натисніть Поновити сертифікат.

5

Виберіть тип постачальника ідентифікаційних даних, який використовує ваша організація.

  • Постачальник ідентифікаційних даних, який підтримує кілька сертифікатів
  • Постачальник ідентифікаційних даних, який підтримує один сертифікат

Якщо ваш постачальник ідентифікаційних даних підтримує один сертифікат, радимо почекати з виконанням цих кроків під час запланованого простою. Під час оновлення сертифіката Webex нові входи користувачів тимчасово не працюватимуть; існуючі входи зберігаються.

6

Виберіть тип сертифіката для поновлення:

  • Самопідписано Cisco— Ми рекомендуємо цей варіант. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано публічним центром сертифікації— Безпечніше, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує довірчі якорі).

    Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.

    Перш ніж переходити до наступних кроків, переконайтеся, що ви готові поновити свій сертифікат і працюєте в межах періоду змін вашої організації. Вибір Самопідписаний Cisco або Підписано публічним центром сертифікації негайно створює новий сертифікат. Після зміни сертифіката для одного постачальника ідентифікаційних даних (IdP), єдиний вхід (SSO) припиняється, доки сертифікат або метадані не будуть завантажені на IdP. Тому важливо завершити процес оновлення.

7

Натисніть Завантажити файл метаданих, щоб завантажити копію оновлених метаданих з новим сертифікатом із хмари Webex. Тримайте цей екран відкритим.

8

Перейдіть до інтерфейсу керування постачальником ідентифікаційних даних, щоб завантажити новий файл метаданих Webex.

  • Цей крок можна виконати через вкладку браузера, протокол віддаленого робочого столу (RDP) або через підтримку конкретного постачальника хмарних послуг, залежно від налаштувань вашого постачальника ідентифікаційних даних та від того, чи відповідаєте за цей крок ви, чи окремий адміністратор постачальника ідентифікаційних даних.
  • Для довідки див. наші посібники з інтеграції SSO або зверніться до адміністратора вашого постачальника ідентифікаційних даних за підтримкою. Якщо ви користуєтеся службами федерації Active Directory (AD FS), ви можете дізнатися, як оновити метадані Webex в AD FS.
9

Поверніться на вкладку, з якої ви ввійшли в Control Hub, і натисніть «Далі» .

10

Оновіть постачальника ідентифікаційних даних новим сертифікатом і метаданими постачальника послуг і натисніть Далі.

  • Усі IdP оновлено
  • Якщо вам потрібно більше часу для оновлення, збережіть оновлений сертифікат як додатковий параметр
11

Натисніть Завершити поновлення.

Сертифікат постачальника ідентифікаційних даних (IdP)

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Центрі керування про те, що термін дії сертифіката IdP закінчується. Оскільки постачальники IdP мають власну специфічну документацію для поновлення сертифікатів, ми розглядаємо вимоги Control Hub, а також загальні кроки для отримання оновлених метаданих IdP та завантаження їх до Control Hub для поновлення сертифіката.

1

Щоб перевірити, чи закінчується термін дії сертифіката SAML IdP:

  • Можливо, ви отримали від нас електронний лист або повідомлення в додатку Webex, але вам слід перевірити це в Центрі керування.
  • Увійдіть у Центр керуваннята перевірте свій центр сповіщень. Може з’явитися сповіщення про оновлення сертифіката SAML IdP:

  • Перейти до Управління > Безпека > Аутентифікація.
  • Перейдіть на вкладку Постачальник ідентифікаційних даних та зверніть увагу на статус сертифіката IdP (термін дії минув або скоро закінчиться) та дату закінчення терміну дії.

  • Ви також можете перейти безпосередньо до майстра єдиного входу, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра до його завершення, ви можете отримати до нього доступ знову будь-коли з Керування > Безпека > Аутентифікація в Центрі керування.

2

Перейдіть до інтерфейсу керування постачальником ідентифікаційних даних, щоб отримати новий файл метаданих.

  • Цей крок можна виконати через вкладку браузера, протокол віддаленого робочого столу (RDP) або через підтримку конкретного постачальника хмарних послуг, залежно від налаштувань вашого постачальника ідентифікаційних даних та від того, чи відповідаєте за цей крок ви, чи окремий адміністратор постачальника ідентифікаційних даних.
  • Для довідки див. наші посібники з інтеграції SSO або зверніться до адміністратора вашого постачальника ідентифікаційних даних за підтримкою.
3

Поверніться на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних, натисніть Завантажити та виберіть Завантажити метадані постачальника ідентифікаційних даних.

5

Перетягніть файл метаданих постачальника ідентифікаційних даних у вікно або натисніть Вибрати файл та завантажте його таким чином.

6

Виберіть Менш безпечний (самостійно підписаний) або Більш безпечний (підписаний публічним центром сертифікації), залежно від того, як підписані метадані вашого постачальника ідентифікаційних даних.

7

Натисніть «Тестове оновлення SSO», щоб підтвердити, що новий файл метаданих було завантажено та правильно інтерпретовано вашою організацією Control Hub. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, виберіть Успішний тест: Активуйте SSO та постачальника ідентифікаційних даних і натисніть Зберегти.

Щоб безпосередньо переглянути вхід за допомогою єдиного входу (SSO), рекомендуємо натиснути «Копіювати URL-адресу в буфер обміну » на цьому екрані та вставити її в анонімне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

Результат: Ви закінчили, і сертифікат IdP вашої організації тепер поновлено. Ви можете перевірити стан сертифіката будь-коли на вкладці Постачальник ідентифікації.

Ви можете експортувати найновіші метадані Webex SP, коли вам потрібно буде додати їх назад до свого постачальника ідентифікаційних даних. Ви побачите сповіщення, коли термін дії імпортованих метаданих SAML постачальника ідентифікаційних даних закінчиться або вже закінчився.

Цей крок корисний у поширених сценаріях керування сертифікатами SAML для постачальників ідентифікаційних даних, таких як постачальники ідентифікаційних даних, які підтримують кілька сертифікатів, експорт яких не було виконано раніше, якщо метадані не були імпортовані до постачальника ідентифікаційних даних через відсутність адміністратора постачальника ідентифікаційних даних або якщо ваш постачальник ідентифікаційних даних підтримує можливість оновлення лише сертифіката. Цей параметр може допомогти мінімізувати зміни, оновлюючи сертифікат лише у вашій конфігурації SSO та перевіряючи його після події.

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних, натисніть Завантаження та виберіть Завантажити метадані постачальника послуг.

Ім’я файлу метаданих застосунку Webex — idb-meta-<org-ID>-SP.xml.

5

Імпортуйте метадані до свого постачальника ідентифікаційних даних.

Дотримуйтесь інструкцій у документації для вашого постачальника ідентифікаційних даних, щоб імпортувати метадані Webex SP. Ви можете скористатися нашими посібниками з інтеграції постачальників ідентифікаційних даних або звернутися до документації для вашого конкретного постачальника ідентифікаційних даних, якщо його немає в списку.

6

Після завершення запустіть тест SSO, виконавши кроки, описані в розділі Поновлення сертифіката Webex (SP) цієї статті.

Коли ваше середовище IdP зміниться або якщо термін дії вашого сертифіката IdP закінчиться, ви можете будь-коли імпортувати оновлені метадані до Webex.

Перш ніж почати

Зберіть метадані вашого постачальника ідентифікаційних даних, зазвичай у вигляді експортованого XML-файлу.

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних, натисніть Завантажити та виберіть Завантажити метадані постачальника ідентифікаційних даних.

5

Перетягніть файл метаданих постачальника ідентифікаційних даних у вікно або натисніть Вибрати файл метаданих та завантажте його таким чином.

6

Виберіть Менш безпечний (самостійно підписаний) або Більш безпечний (підписаний публічним центром сертифікації), залежно від того, як підписані метадані вашого постачальника ідентифікаційних даних.

7

Натисніть Перевірити налаштування єдиного входу, і коли відкриється нова вкладка браузера, пройдіть автентифікацію за допомогою постачальника ідентифікаційних даних, увійшовши в систему.

Ви отримуватимете сповіщення в Центрі керування перед закінченням терміну дії сертифікатів, але ви також можете заздалегідь налаштувати правила сповіщень. Ці правила заздалегідь повідомляють вам про закінчення терміну дії ваших сертифікатів SP або IdP. Ми можемо надіслати їх вам електронною поштою, у певному місці в застосунку Webex або в обох випадках.

Незалежно від налаштованого каналу доставки, всі сповіщення завжди відображаються в Центрі керування. Див. Центр сповіщень у Центрі керування для отримання додаткової інформації.

1

Увійдіть у Центркерування.

2

Перейдіть до центру сповіщень.

3

Виберіть Керування, а потім Усі правила.

4

Зі списку Правила виберіть будь-яке з правил єдиного входу, яке ви хочете створити:

  • Термін дії сертифіката SSO IDP
  • Термін дії сертифіката SSO SP
5

У розділі «Канал доставки» встановіть прапорець Електронна пошта, Простір Webexабо обидва.

Якщо ви оберете опцію «Електронна пошта», введіть адресу електронної пошти, на яку має надходити сповіщення.

Якщо ви оберете опцію простору Webex, вас буде автоматично додано до простору в додатку Webex, і ми надсилатимемо туди сповіщення.

6

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката раз на 15 днів, починаючи за 60 днів до закінчення терміну дії. (Ви можете очікувати сповіщення на 60, 45, 30 та 15 день.) Сповіщення припиняються після поновлення сертифіката.

Ви можете побачити повідомлення про те, що єдину URL-адресу для виходу не налаштовано:

Ми рекомендуємо налаштувати вашого постачальника ідентифікаційних даних для підтримки єдиного виходу з системи (також відомого як SLO). Webex підтримує методи перенаправлення та публікації, доступні в наших метаданих, завантажених з Control Hub. Не всі постачальники ідентифікаційних даних підтримують SLO; зверніться за допомогою до команди постачальників ідентифікаційних даних. Іноді для основних постачальників IdP, таких як AzureAD, Ping Federate, ForgeRock та Oracle, які підтримують SLO, ми документуємо, як налаштувати інтеграцію. Зверніться до своєї ідентифікації & Команда безпеки про особливості вашого постачальника ідентифікаційних даних та про те, як його правильно налаштувати.

Якщо єдину URL-адресу для виходу не налаштовано:

  • Існуючий сеанс IdP залишається дійсним. Під час наступного входу користувачів постачальник ідентифікаційних даних може не просити їх повторно пройти автентифікацію.

  • Ми відображаємо попередження під час виходу, тому вихід із застосунку Webex не відбувається безперешкодно.

Ви можете вимкнути єдиний вхід (SSO) для вашої організації Webex, якою керує Control Hub. Можливо, вам варто вимкнути єдиний вхід (SSO), якщо ви змінюєте постачальників ідентифікаційних даних (IdP).

Якщо єдиний вхід у вашій організації ввімкнено, але він не працює, ви можете звернутися до свого партнера Cisco, який має доступ до вашої організації Webex, щоб вимкнути його для вас.

1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Натисніть Деактивувати SSO.

З’явиться спливаюче вікно з попередженням про вимкнення єдиного входу:

Деактивувати SSO

Якщо вимкнути єдиний вхід (SSO), паролями керуватиме хмара, а не ваша інтегрована конфігурація постачальника ідентифікаційних даних (IdP).

5

Якщо ви розумієте наслідки вимкнення єдиного входу та хочете продовжити, натисніть Деактивувати.

SSO деактивовано, а всі списки сертифікатів SAML видалено.

Якщо єдиний вхід вимкнено, користувачі, які мають пройти автентифікацію, бачитимуть поле для введення пароля під час процесу входу.

  • Користувачі, які не мають пароля в застосунку Webex, повинні або скинути свій пароль, або ви повинні надіслати їм електронного листа для встановлення пароля.

  • Існуючі автентифіковані користувачі з дійсним токеном OAuth продовжуватимуть мати доступ до застосунку Webex.

  • Нові користувачі, створені під час вимкнення єдиного входу, отримають електронний лист із проханням створити пароль.

Що далі

Якщо ви або клієнт переналаштуєте єдиний вхід (SSO) для організації клієнта, облікові записи користувачів знову використовуватимуть політику паролів, встановлену постачальником ідентифікаційних даних, інтегрованим з організацією Webex.

Якщо у вас виникли проблеми з входом в систему єдиного входу (SSO), ви можете скористатися опцією самостійного відновлення SSO, щоб отримати доступ до своєї організації Webex, якою керує Control Hub. Опція самостійного відновлення дозволяє оновлювати або вимикати єдиний вхід у Центрі керування.