Незалежно від того, чи отримали ви сповіщення про закінчення терміну дії сертифіката, чи хочете перевірити наявну конфігурацію SSO, ви можете використовувати функції керування єдиним входом (SSO) в Control Hub для керування сертифікатами та загальних заходів з обслуговування SSO. Кожна функція управління SSO охоплюється окремими вкладками в цій статті.
Якщо для сертифіката вашої організації встановлено значення Немає, але ви все ще отримуєте сповіщення, рекомендуємо продовжити оновлення. Розгортання SSO сьогодні не використовує сертифікат, але сертифікат може знадобитися для майбутніх змін. |
Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Центрі керування про те, що термін дії сертифіката єдиного входу (SSO) Webex закінчується. Дотримуйтеся процедури, описаної в цій статті, щоб отримати метадані хмарних сертифікатів SSO від нас (SP) і додати їх назад до свого IdP; в іншому випадку користувачі не зможуть використовувати служби Webex. |
Якщо ви використовуєте сертифікат SAML Cisco (SP) SSO в організації Webex, ви повинні планувати оновити сертифікат хмари під час звичайного вікна планового технічного обслуговування якомога швидше.
Це стосується всіх служб, які є частиною підписки на організацію Webex, зокрема:
Додаток Webex (нові реєстраційні дані для всіх платформ: стільниці, мобільні пристрої та веб-сторінки)
Послуги Webex у Центрі керування, включаючи виклики
Веб-сайти зустрічей Webex, керовані через центр керування
Cisco Jabber, якщо він інтегрований з SSO
Перш ніж почати
Будь ласка, прочитайте всі вказівки перед початком. Після зміни сертифіката або перегляду майстра для оновлення сертифіката нові користувачі можуть не мати можливості успішно ввійти в систему. |
Якщо ваш IdP не підтримує декілька сертифікатів (більшість IDP на ринку не підтримують цю функцію), радимо запланувати це оновлення під час вікна технічного обслуговування, де користувачі додатка Webex не постраждають. Ці завдання з оновлення повинні зайняти приблизно 30 хвилин в операційному часі та після перевірки події.
1. | Щоб перевірити, чи закінчується термін дії сертифіката SAML Cisco (SP) SSO:
Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішили вийти з майстра перед його завершенням, ви можете отримати до нього доступ будь-коли знову з https://admin.webex.com. в |
||
2. | Виберіть тип сертифіката для оновлення:
|
||
3. | Натисніть Завантажити файл метаданих, щоб завантажити копію оновлених метаданих з новим сертифікатом з хмари Webex. Тримайте цей екран відкритим. |
||
4. | Перейдіть до інтерфейсу керування IdP, щоб завантажити новий файл метаданих Webex.
|
||
5. | Поверніться на вкладку, де ви ввійшли в Центр керування, і натисніть Далі. |
||
6 | Натисніть Тест оновлення SSO, щоб підтвердити, що новий файл метаданих був завантажений та інтерпретований вашим IdP правильно. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть Перейти до нових метаданих.
Результат: Ви закінчили, і сертифікат SAML Cisco (SP) SSO вашої організації тепер поновлено. Статус сертифіката можна перевірити будь-коли, відкривши таблицю статусу сертифіката SAML в меню . |
Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчується. Оскільки постачальники IDP мають власну спеціальну документацію для поновлення сертифіката, ми покриваємо те, що потрібно в Центрі керування, разом із загальними кроками для отримання оновлених метаданих IdP і завантаження їх до Центру керування, щоб поновити сертифікат. |
1. | Щоб перевірити, чи закінчується термін дії сертифіката IdP SAML, виконайте наведені нижче дії.
|
||
2. | Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.
|
||
3. | Поверніться до розділу "https://admin.webex.com, а потім виберіть . Аутентифікація" |
||
4. | Перетягніть файл метаданих IdP у вікно або натисніть Виберіть файл метаданих і завантажте його таким чином. |
||
5. | Виберіть Менш безпечний (самостійно підписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP. |
||
6 | Натисніть Тест оновлення SSO, щоб підтвердити, що новий файл метаданих завантажено та інтерпретовано правильно для вашої організації Control Hub. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть Перейти до нових метаданих.
Результат: Ви закінчили, і сертифікат IDP вашої організації тепер поновлено. Статус сертифіката можна перевірити будь-коли, відкривши таблицю статусу сертифіката SAML в меню . |
Ви можете експортувати останні метадані Webex SP кожного разу, коли вам потрібно додати їх назад до свого IdP. Ви побачите сповіщення, коли термін дії імпортованих метаданих IdP SAML закінчиться або закінчиться.
Цей крок корисний у поширених сценаріях керування сертифікатами IDP SAML, таких як IDP, які підтримують декілька сертифікатів, де експорт не був виконаний раніше, якщо метадані не були імпортовані в IdP, оскільки адміністратор IdP був недоступний, або якщо ваш IdP підтримує можливість оновлення лише сертифіката. Ця опція може допомогти мінімізувати зміни, лише оновлюючи сертифікат у вашій конфігурації SSO та перевірці після події.
1. | У розділі "Перегляд клієнта" перейдіть до розділу https://admin.webex.com" , перейдіть до розділу "Аутентифікація", а потім виберіть . Ім 'я файлу метаданих програми Webex - idb-meta-<org-ID>-SP.xml. |
2. | Імпортуйте метадані в свій IdP. Щоб імпортувати метадані Webex SP, дотримуйтеся документації для свого IdP. Ви можете скористатися нашими посібниками з інтеграції IdP або ознайомитися з документацією для вашого конкретного IdP, якщо його немає в списку. |
3. | Після завершення запустіть тест SSO, виконавши дії, наведені в розділі "Оновлення сертифіката Webex (SP)" цієї статті. |
Коли середовище IdP змінюється або термін дії сертифіката IdP закінчується, оновлені метадані можна імпортувати в Webex у будь-який час.
Перш ніж почати
Зберіть свої метадані IdP, як правило, у вигляді експортованого файлу xml.
1. | У розділі "Перегляд клієнта" перейдіть до розділу https://admin.webex.com" , перейдіть до розділу "Аутентифікація", а потім виберіть . |
2. | Перетягніть файл метаданих IdP у вікно або натисніть Виберіть файл метаданих і завантажте його таким чином. |
3. | Виберіть Менш безпечний (самостійно підписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP. |
Ви отримуватимете сповіщення в Центрі керування, перш ніж термін дії сертифікатів закінчиться, але ви також можете проактивно налаштувати правила сповіщень. Ці правила заздалегідь повідомляють, що термін дії сертифікатів SP або IdP закінчується. Ми можемо надіслати їх вам електронною поштою, у додатку Webex або в обох випадках.
Незалежно від налаштованого каналу доставки, всі сповіщення завжди з 'являються в Control Hub. Докладнішу інформацію див. у розділі Центр сповіщень у Центрі керування. |
1. | З перегляду клієнта вhttps://admin.webex.com, перейдіть до центру сповіщень. |
||
2. | Виберіть Manage (Керувати), а потім All rules (Всі правила). |
||
3. | У списку Rules (Правила) виберіть будь-яке з правил SSO, які ви хочете створити:
|
||
4. | У розділі "Канал доставки" встановіть прапорець поруч із пунктом "Електронна пошта", "Простір Webex" або обома пунктами. Якщо вибрано Email (Електронна пошта), введіть адресу електронної пошти, на яку має надійти сповіщення.
|
||
5. | Збережіть зміни. |
Що далі
Ми надсилаємо сповіщення про закінчення терміну дії сертифіката раз на 15 днів, починаючи з 60 днів до закінчення терміну дії. (Ви можете очікувати сповіщень на 60, 45, 30 та 15-й день.) Сповіщення зупиняються, коли ви поновлюєте сертифікат.
Можливо, ви побачите повідомлення про те, що єдина URL-адреса виходу не налаштована:
Рекомендуємо налаштувати свій IdP для підтримки одного виходу з системи (також відомого як SLO). Webex підтримує як методи перенаправлення, так і метод Post, доступні в наших метаданих, які завантажуються з Control Hub. Не всі IDP підтримують SLO; будь ласка, зв 'яжіться з вашою командою IDP для отримання допомоги. У деяких випадках для основних постачальників IDP, таких як AzureAD, Ping Federate, ForgeRock і Oracle, які підтримують SLO, ми документуємо, як налаштувати інтеграцію. Будь ласка, проконсультуйтеся з вашою командою ідентифікації та безпеки про особливості вашого IDP та про те, як правильно налаштувати. |
Якщо окрема URL-адреса виходу не налаштована:
Існуючий сеанс IdP залишається дійсним. Під час наступного входу користувачів не може отримати запит на повторну аутентифікацію від IdP.
Ми відображаємо попереджувальне повідомлення під час виходу, тому вихід із додатка Webex не відбувається безперешкодно.
Ви можете вимкнути єдиний вхід (SSO) для вашої організації Webex, керованої в Control Hub. Можливо, потрібно вимкнути SSO, якщо ви змінюєте постачальників ідентифікаційних даних (IDP).
Якщо для вашої організації ввімкнено єдиний вхід, але це не вдається, ви можете залучити свого партнера Cisco, який може отримати доступ до вашої організації Webex, щоб вимкнути його для вас. |
1. | У розділі "Перегляд клієнта" перейдіть до розділу https://admin.webex.com" , а потім перейдіть до розділу "Автентифікація". |
2. | Щоб вимкнути SSO, вимкніть налаштування єдиного входу. З 'явиться спливаюче вікно, яке попереджатиме про вимкнення SSO: Якщо вимкнути SSO, паролі керуватимуться хмарою замість вбудованої конфігурації IdP. |
3. | Якщо ви розумієте вплив вимкнення SSO і хочете продовжити, натисніть Деактивувати. У Control Hub ви побачите, що налаштування SSO вимкнено, а всі списки сертифікатів SAML видалено. Якщо SSO вимкнено, користувачі, які повинні автентифікуватися, побачать поле введення пароля під час процесу входу.
|
Що далі
Якщо ви або клієнт переналаштуєте SSO для організації клієнта, облікові записи користувачів повернуться до використання політики паролів, встановленої IdP, яка інтегрована з організацією Webex.