Якщо для сертифіката вашої організації встановлено значення Немає, але ви все ще отримуєте сповіщення, рекомендуємо продовжити оновлення. Розгортання SSO сьогодні не використовує сертифікат, але сертифікат може знадобитися для майбутніх змін.

Сертифікат постачальника послуг Webex (SP)


Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Центрі керування про те, що термін дії сертифіката єдиного входу (SSO) Webex закінчується. Дотримуйтеся процедури, описаної в цій статті, щоб отримати метадані хмарних сертифікатів SSO від нас (SP) і додати їх назад до свого IdP; в іншому випадку користувачі не зможуть використовувати служби Webex.

Якщо ви використовуєте сертифікат SAML Cisco (SP) SSO в організації Webex, ви повинні планувати оновити сертифікат хмари під час звичайного вікна планового технічного обслуговування якомога швидше.

Це стосується всіх служб, які є частиною підписки на організацію Webex, зокрема:

  • Додаток Webex (нові реєстраційні дані для всіх платформ: стільниці, мобільні пристрої та веб-сторінки)

  • Послуги Webex у Центрі керування, включаючи виклики

  • Веб-сайти зустрічей Webex, керовані через центр керування

  • Cisco Jabber, якщо він інтегрований з SSO

Перш ніж почати

Будь ласка, прочитайте всі вказівки перед початком. Після зміни сертифіката або перегляду майстра для оновлення сертифіката нові користувачі можуть не мати можливості успішно ввійти в систему.

Якщо ваш IdP не підтримує декілька сертифікатів (більшість IDP на ринку не підтримують цю функцію), радимо запланувати це оновлення під час вікна технічного обслуговування, де користувачі додатка Webex не постраждають. Ці завдання з оновлення повинні зайняти приблизно 30 хвилин в операційному часі та після перевірки події.

1.

Щоб перевірити, чи закінчується термін дії сертифіката SAML Cisco (SP) SSO:

  • Можливо, ви отримали від нас електронний лист або повідомлення в додатку Webex, але, щоб бути впевненими, вам слід зареєструватися в Центрі керування.

  • Увійдіть у свій https://admin.webex.comобліковий запис і перевірте свій центр сповіщень. Може бути повідомлення про оновлення сертифіката постачальника послуг SSO.

  • Увійдіть доhttps://admin.webex.com, перейдіть до меню Керування > Налаштування організації > Аутентифікація та зауважте статус сертифіката в таблиці сертифікатів Cisco SAML (термін дії закінчився або скоро закінчиться). Натисніть Поновити сертифікат, щоб продовжити.

Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішили вийти з майстра перед його завершенням, ви можете отримати до нього доступ будь-коли знову з Керування > Налаштування організації > Автентифікація вhttps://admin.webex.com.
2.

Виберіть тип сертифіката для оновлення:

  • Самопідписання компанією Cisco .Рекомендуємо такий вибір. Дозвольте нам підписати сертифікат, тому вам потрібно поновлювати його лише раз на п 'ять років.
  • Підписано публічним центром сертифікації- більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IDP не підтримує прив 'язки довіри).

     

    Якорі довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, перегляньте документацію IdP.
3.

Натисніть Завантажити файл метаданих, щоб завантажити копію оновлених метаданих з новим сертифікатом з хмари Webex. Тримайте цей екран відкритим.
4.

Перейдіть до інтерфейсу керування IdP, щоб завантажити новий файл метаданих Webex.

  • Цей крок можна виконати за допомогою вкладки веб-переглядача, протоколу віддаленого робочого столу (RDP) або за допомогою спеціальної підтримки хмарних провайдерів, залежно від налаштувань IdP і того, чи несете ви або окремий адміністратор IdP відповідальність за цей крок.
  • Для довідки перегляньте наші посібники з інтеграції SSO або зверніться до адміністратора IdP для отримання підтримки. Якщо в службах федерації Active Directory (AD FS), ви можете побачити, як оновити метадані Webex в AD FS.
5.

Поверніться на вкладку, де ви ввійшли в Центр керування, і натисніть Далі.
6

Натисніть Тест оновлення SSO, щоб підтвердити, що новий файл метаданих був завантажений та інтерпретований вашим IdP правильно. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть Перейти до нових метаданих.


 

Щоб переглянути безпосередній вхід SSO, натисніть Скопіювати URL-адресу в буфер обміну з цього екрана та вставте її в приватне вікно веб-переглядача. Звідти ви можете пройти через вхід за допомогою SSO. Це допоможе видалити будь-яку інформацію, кешовану у вашому веб-переглядачі, яка може дати хибнопозитивний результат під час тестування конфігурації SSO.

Результат: Ви закінчили, і сертифікат SAML Cisco (SP) SSO вашої організації тепер поновлено. Статус сертифіката можна перевірити будь-коли, відкривши таблицю статусу сертифіката SAML в меню Керування > Налаштування організації > Автентифікація.

Сертифікат постачальника ідентифікаційних даних (IdP)

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчується. Оскільки постачальники IDP мають власну спеціальну документацію для поновлення сертифіката, ми покриваємо те, що потрібно в Центрі керування, разом із загальними кроками для отримання оновлених метаданих IdP і завантаження їх до Центру керування, щоб поновити сертифікат.

1.

Щоб перевірити, чи закінчується термін дії сертифіката IdP SAML, виконайте наведені нижче дії.

  • Можливо, ви отримали від нас електронний лист або повідомлення в додатку Webex, але, щоб бути впевненими, вам слід зареєструватися в Центрі керування.
  • Увійдіть у свій https://admin.webex.comобліковий запис і перевірте свій центр сповіщень. Може бути сповіщення про оновлення сертифіката IdP SAML:

  • Увійдіть доhttps://admin.webex.com, перейдіть до Керування > Налаштування організації > Аутентифікація та зауважте статус сертифіката (закінчився або скоро закінчиться) в таблиці Сертифікат SAML. Натисніть Поновити сертифікат, щоб продовжити.

  • Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішили вийти з майстра перед його завершенням, ви можете отримати до нього доступ будь-коли знову з Керування > Налаштування організації > Автентифікація вhttps://admin.webex.com.
2.

Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.

  • Цей крок можна виконати за допомогою вкладки веб-переглядача, протоколу віддаленого робочого столу (RDP) або за допомогою спеціальної підтримки хмарних провайдерів, залежно від налаштувань IdP і того, чи несете ви або окремий адміністратор IdP відповідальність за цей крок.
  • Для довідки перегляньте наші посібники з інтеграції SSO або зверніться до адміністратора IdP для отримання підтримки.
3.

Поверніться до розділу " Керування" > "Налаштування організації" > "Аутентифікація"https://admin.webex.com, а потім виберіть " Дії" > "Імпорт метаданих".
4.

Перетягніть файл метаданих IdP у вікно або натисніть Виберіть файл метаданих і завантажте його таким чином.
5.

Виберіть Менш безпечний (самостійно підписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.
6

Натисніть Тест оновлення SSO, щоб підтвердити, що новий файл метаданих завантажено та інтерпретовано правильно для вашої організації Control Hub. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть Перейти до нових метаданих.


 

Щоб переглянути безпосередній вхід SSO, натисніть Скопіювати URL-адресу в буфер обміну з цього екрана та вставте її в приватне вікно веб-переглядача. Звідти ви можете пройти через вхід за допомогою SSO. Це допоможе видалити будь-яку інформацію, кешовану у вашому веб-переглядачі, яка може дати хибнопозитивний результат під час тестування конфігурації SSO.

Результат: Ви закінчили, і сертифікат IDP вашої організації тепер поновлено. Статус сертифіката можна перевірити будь-коли, відкривши таблицю статусу сертифіката SAML в меню Керування > Налаштування організації > Автентифікація.

Ви можете експортувати останні метадані Webex SP кожного разу, коли вам потрібно додати їх назад до свого IdP. Ви побачите сповіщення, коли термін дії імпортованих метаданих IdP SAML закінчиться або закінчиться.

Цей крок корисний у поширених сценаріях керування сертифікатами IDP SAML, таких як IDP, які підтримують декілька сертифікатів, де експорт не був виконаний раніше, якщо метадані не були імпортовані в IdP, оскільки адміністратор IdP був недоступний, або якщо ваш IdP підтримує можливість оновлення лише сертифіката. Ця опція може допомогти мінімізувати зміни, лише оновлюючи сертифікат у вашій конфігурації SSO та перевірці після події.

1.

У розділі "Перегляд клієнта" перейдіть до розділу https://admin.webex.com" Керування" > "Налаштування організації", перейдіть до розділу "Аутентифікація", а потім виберіть " Дії" > "Експортувати метадані".

Ім 'я файлу метаданих програми Webex - idb-meta-<org-ID>-SP.xml.
2.

Імпортуйте метадані в свій IdP.

Щоб імпортувати метадані Webex SP, дотримуйтеся документації для свого IdP. Ви можете скористатися нашими посібниками з інтеграції IdP або ознайомитися з документацією для вашого конкретного IdP, якщо його немає в списку.
3.

Після завершення запустіть тест SSO, виконавши дії, наведені в розділі "Оновлення сертифіката Webex (SP)" цієї статті.

Коли середовище IdP змінюється або термін дії сертифіката IdP закінчується, оновлені метадані можна імпортувати в Webex у будь-який час.

Перш ніж почати

Зберіть свої метадані IdP, як правило, у вигляді експортованого файлу xml.

1.

У розділі "Перегляд клієнта" перейдіть до розділу https://admin.webex.com" Керування" > "Налаштування організації", перейдіть до розділу "Аутентифікація", а потім виберіть " Дії" > "Імпорт метаданих".
2.

Перетягніть файл метаданих IdP у вікно або натисніть Виберіть файл метаданих і завантажте його таким чином.
3.

Виберіть Менш безпечний (самостійно підписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.

Ви отримуватимете сповіщення в Центрі керування, перш ніж термін дії сертифікатів закінчиться, але ви також можете проактивно налаштувати правила сповіщень. Ці правила заздалегідь повідомляють, що термін дії сертифікатів SP або IdP закінчується. Ми можемо надіслати їх вам електронною поштою, у додатку Webex або в обох випадках.

Незалежно від налаштованого каналу доставки, всі сповіщення завжди з 'являються в Control Hub. Докладнішу інформацію див. у розділі Центр сповіщень у Центрі керування.

1.

З перегляду клієнта вhttps://admin.webex.com, перейдіть до центру сповіщень.
2.

Виберіть Manage (Керувати), а потім All rules (Всі правила).
3.

У списку Rules (Правила) виберіть будь-яке з правил SSO, які ви хочете створити:

  • Закінчення терміну дії сертифіката SSO IDP
  • Закінчення терміну дії сертифіката SSO SP
4.

У розділі "Канал доставки" встановіть прапорець поруч із пунктом "Електронна пошта", "Простір Webex" або обома пунктами.

Якщо вибрано Email (Електронна пошта), введіть адресу електронної пошти, на яку має надійти сповіщення.


 

Якщо вибрати варіант "Простір Webex", ви автоматично додасте простір всередині додатка Webex, і ми надсилатимемо сповіщення.
5.

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката раз на 15 днів, починаючи з 60 днів до закінчення терміну дії. (Ви можете очікувати сповіщень на 60, 45, 30 та 15-й день.) Сповіщення зупиняються, коли ви поновлюєте сертифікат.

Можливо, ви побачите повідомлення про те, що єдина URL-адреса виходу не налаштована:

Рекомендуємо налаштувати свій IdP для підтримки одного виходу з системи (також відомого як SLO). Webex підтримує як методи перенаправлення, так і метод Post, доступні в наших метаданих, які завантажуються з Control Hub. Не всі IDP підтримують SLO; будь ласка, зв 'яжіться з вашою командою IDP для отримання допомоги. У деяких випадках для основних постачальників IDP, таких як AzureAD, Ping Federate, ForgeRock і Oracle, які підтримують SLO, ми документуємо, як налаштувати інтеграцію. Будь ласка, проконсультуйтеся з вашою командою ідентифікації та безпеки про особливості вашого IDP та про те, як правильно налаштувати.

Якщо окрема URL-адреса виходу не налаштована:

  • Існуючий сеанс IdP залишається дійсним. Під час наступного входу користувачів не може отримати запит на повторну аутентифікацію від IdP.

  • Ми відображаємо попереджувальне повідомлення під час виходу, тому вихід із додатка Webex не відбувається безперешкодно.

Ви можете вимкнути єдиний вхід (SSO) для вашої організації Webex, керованої в Control Hub. Можливо, потрібно вимкнути SSO, якщо ви змінюєте постачальників ідентифікаційних даних (IDP).

Якщо для вашої організації ввімкнено єдиний вхід, але це не вдається, ви можете залучити свого партнера Cisco, який може отримати доступ до вашої організації Webex, щоб вимкнути його для вас.

1.

У розділі "Перегляд клієнта" перейдіть до розділу https://admin.webex.com" Керування" > "Налаштування організації", а потім перейдіть до розділу "Автентифікація".
2.

Щоб вимкнути SSO, вимкніть налаштування єдиного входу.

З 'явиться спливаюче вікно, яке попереджатиме про вимкнення SSO:

Якщо вимкнути SSO, паролі керуватимуться хмарою замість вбудованої конфігурації IdP.
3.

Якщо ви розумієте вплив вимкнення SSO і хочете продовжити, натисніть Деактивувати.

У Control Hub ви побачите, що налаштування SSO вимкнено, а всі списки сертифікатів SAML видалено.

Якщо SSO вимкнено, користувачі, які повинні автентифікуватися, побачать поле введення пароля під час процесу входу.

  • Користувачі, які не мають пароля в додатку Webex, повинні або скинути свій пароль, або надіслати електронний лист для встановлення пароля.

  • Існуючі автентифіковані користувачі з дійсним OAuth-токеном продовжуватимуть мати доступ до додатка Webex.

  • Нові користувачі, створені під час вимкнення SSO, отримують електронний лист з проханням створити пароль.

Що далі

Якщо ви або клієнт переналаштуєте SSO для організації клієнта, облікові записи користувачів повернуться до використання політики паролів, встановленої IdP, яка інтегрована з організацією Webex.