Використовуйте функції керування SSO в Control Hub для керування сертифікатами та загальних заходів з обслуговування SSO, таких як оновлення сертифіката, термін дії якого закінчується, або перевірка існуючої конфігурації SSO. Кожна функція управління SSO описана в окремих вкладках цієї статті.
Якщо ви хочете налаштувати SSO для кількох постачальників ідентифікаційних даних у вашій організації, див Єдиний вхід із кількома IdP у Webex .
Якщо для сертифіката вашої організації встановлено значення Немає, але ви все ще отримуєте сповіщення, рекомендуємо продовжити оновлення. Розгортання SSO сьогодні не використовує сертифікат, але вам може знадобитися сертифікат для майбутніх змін. |
Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката єдиного входу (SSO) Webex закінчується. Виконайте процедуру, описану в цій статті, щоб отримати від нас метадані хмарного сертифіката SSO (SP) та додати їх до свого IdP; інакше користувачі не зможуть використовувати служби Webex. |
Якщо ви використовуєте сертифікат SSO SAML Cisco (SP) у своїй організації Webex, необхідно якнайшвидше планувати оновлення хмарного сертифіката під час звичайного запланованого періоду технічного обслуговування.
Зачіпаються всі послуги, які є частиною вашої підписки на організацію Webex, включаючи, але не обмежуючись:
Webex App (нові вхідні дані для всіх платформ: настільні, мобільні та веб-сторінки)
Послуги Webex в Control Hub, включаючи виклики
Сайти Webex Meetings управляються через Control Hub
Cisco Jabber, якщо він інтегрований з SSO
Перш ніж почати
Будь ласка, прочитайте всі вказівки перед початком. Після того, як ви зміните сертифікат або перейдете до майстра оновлення сертифіката, нові користувачі не зможуть успішно увійти в обліковий запис. |
Якщо ваш постачальник посвідчень не підтримує кілька сертифікатів (більшість IdP на ринку не підтримують цю функцію), радимо запланувати це оновлення на період обслуговування, коли це не впливає на користувачів програми Webex. Ці завдання оновлення версії мають тривати приблизно 30 хвилин під час роботи та перевірки після події.
1. | Щоб перевірити, чи закінчується термін дії сертифіката SAML Cisco (SP) SSO, виконайте наведені нижче дії.
Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра, перш ніж завершити його, ви можете отримати доступ до нього знову в будь-який час з https://admin.webex.com. в | ||
2. | Перейдіть до IdP та натисніть | ||
3. | Натисніть Переглянути сертифікати та дату закінчення терміну дії. Це призведе вас до вікна сертифікатів постачальника послуг (SP).
| ||
4. | Натисніть Поновити сертифікат. | ||
5. | Виберіть тип сертифіката для продовження:
| ||
6. | Натисніть Завантажити файл метаданих, щоб завантажити копію оновлених метаданих з новим сертифікатом з хмари Webex. Тримайте цей екран відкритим. | ||
7. | Перейдіть до інтерфейсу керування IdP, щоб завантажити новий файл метаданих Webex.
| ||
8 | Поверніться на вкладку, на якій виконано вхід до Центру керування, і натисніть кнопку Далі. | ||
9 | Це підтверджує, що новий файл метаданих було передано та правильно інтерпретовано вашим IdP. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть кнопку Перейти до нових метаданих.
Результат: Ви закінчили, і сертифікат SSO SAML Cisco (SP) вашої організації тепер поновлено. Ви можете перевірити стан сертифіката в будь-який час у меню Постачальник ідентифікаційних даних вкладка. |
Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчується. Оскільки постачальники IdP мають власну специфічну документацію для оновлення сертифіката, ми охоплюємо те, що потрібно в Control Hub, а також загальні кроки для отримання оновлених метаданих IdP та завантаження їх до Control Hub для оновлення сертифіката. |
1. | Щоб перевірити, чи закінчується термін дії сертифіката IdP SAML, виконайте наведені нижче дії.
| ||
2. | Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.
| ||
3. | Повернутися до Постачальник ідентифікаційних даних вкладка. | ||
4. | Перейдіть до IdP, натисніть <span data-id ="0"></span> і виберіть <span data-id ="1"></span>Завантажити метадані Idp | ||
5. | Перетягніть файл метаданих IdP у вікно або клацніть Виберіть файл і передайте його таким чином. | ||
6. | Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP. | ||
7. | Натисніть кнопку Test SSO Update (Перевірити оновлення SSO), щоб підтвердити, що новий файл метаданих завантажено та правильно інтерпретовано до вашої організації Control Hub. Підтвердьте очікувані результати у спливаючому вікні та, якщо перевірка пройшла успішно, виберіть Успішний тест: Активуйте SSO та IdP і клацніть Зберегти .
Результат: Ви закінчили, і сертифікат IdP вашої організації тепер поновлено. Ви можете перевірити стан сертифіката в будь-який час у меню Постачальник ідентифікаційних даних вкладка.
|
Ви можете експортувати останні метадані Webex SP, коли вам потрібно додати їх назад до вашого IdP. Ви побачите повідомлення, коли термін дії імпортованих метаданих IdP SAML закінчиться або закінчиться.
Цей крок корисний у загальних сценаріях управління сертифікатами SAML IdP, таких як IdP, які підтримують кілька сертифікатів, де експорт не виконувався раніше, якщо метадані не були імпортовані до IdP через недоступність адміністратора IdP або якщо ваш IdP підтримує можливість оновлення лише сертифіката. Ця опція може допомогти мінімізувати зміну, лише оновивши сертифікат у вашій конфігурації SSO та перевірці після події.
1. | У вікні клієнта https://admin.webex.comперейдіть до , перейдіть до автентифікації та натисніть Керування SSO та IdP. |
2. | Перейдіть на вкладку Постачальник ідентифікаційних даних. |
3. | Перейдіть до IdP, клацніть Назва файлу метаданих Webex - idb-meta--SP.xml.<org-ID> |
4. | Імпортуйте метадані до свого IdP. Дотримуйтесь документації для вашого IdP, щоб імпортувати метадані Webex SP. Ви можете скористатися нашими посібниками з інтеграції IdP або ознайомитися з документацією для вашого конкретного IdP, якщо вона не вказана. |
5. | Коли ви закінчите, запустіть тест SSO, використовуючи кроки в |
Коли ваше середовище IdP змінюється або термін дії вашого сертифіката IdP закінчується, ви можете імпортувати оновлені метадані в Webex у будь-який час.
Перш ніж почати
Зберіть свої метадані IdP, як правило, у вигляді експортованого xml-файлу.
1. | У вікні клієнта https://admin.webex.comперейдіть до , перейдіть до автентифікації та натисніть Керування SSO та IdP. |
2. | Перейдіть на вкладку Постачальник ідентифікаційних даних. |
3. | Перейдіть до IdP, натисніть <span data-id ="0"></span> і виберіть <span data-id ="1"></span>Завантажити метадані Idp |
4. | Перетягніть файл метаданих IdP у вікно або натисніть Вибрати файл метаданих і завантажте його таким чином. |
5. | Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP. |
6. | Натисніть Перевірити налаштування SSO, а коли відкриється нова вкладка браузера, аутентифікуйтеся з IdP, увійшовши в обліковий запис. |
Ви отримаєте сповіщення в Control Hub до закінчення терміну дії сертифікатів, але ви також можете проактивно налаштувати правила сповіщень. Ці правила заздалегідь повідомляють вам, що термін дії ваших сертифікатів SP або IdP закінчується. Ми можемо надіслати їх вам електронною поштою, в додатку Webex або в обох випадках.
Незалежно від налаштованого каналу доставки всі сповіщення завжди відображатимуться в Центрі керування. Див. Центр сповіщень у Центрі керування для отримання додаткової інформації. |
1. | У вікні клієнта https://admin.webex.comперейдіть до Центру сповіщень. | ||
2. | Виберіть Керувати всіма правилами. | ||
3. | У списку правил виберіть будь-яке з правил єдиного облікового запису, яке потрібно створити:
| ||
4. | У розділі Канал доставки встановіть прапорець для електронної пошти, простору Webex або обох. Якщо ви вибрали Електронна пошта, введіть адресу електронної пошти, на яку має надходити сповіщення.
| ||
5. | Збережіть зміни. |
Що далі
Ми надсилаємо сповіщення про закінчення терміну дії сертифіката раз на 15 днів, починаючи з 60 днів до закінчення терміну дії. (Ви можете очікувати попередження на день 60, 45, 30 та 15.) Сповіщення зупиняються, коли ви поновлюєте сертифікат.
Може з’явитися повідомлення про те, що URL-адресу єдиного виходу не налаштовано:
Ми рекомендуємо налаштувати ваш IdP для підтримки Single Logout (також відомий як SLO). Webex підтримує як методи перенаправлення, так і методи публікації, доступні в наших метаданих, які завантажуються з Control Hub. Не всі IdP підтримують SLO; будь ласка, зв 'яжіться зі своєю командою IdP для отримання допомоги. Іноді для основних постачальників IdP, як-от AzureAD, Ping Federate, ForgeRock і Oracle, які підтримують SLO, ми документуємо, як налаштувати інтеграцію . Зверніться до вашої команди з ідентифікації та безпеки щодо особливостей вашого IDP та того, як його правильно налаштувати. |
Якщо URL-адресу єдиного виходу не налаштовано:
Існуюча сесія IdP залишається чинною. Наступного разу, коли користувачі ввійдуть в обліковий запис, IdP може не попросити їх пройти повторну автентифікацію.
Ми відображаємо попереджувальне повідомлення при виході, тому вихід з Webex App не відбувається без проблем.
Ви можете вимкнути єдиний вхід (SSO) для організації Webex, керованої в Control Hub. Ви можете вимкнути SSO, якщо ви змінюєте постачальників посвідчень (IdP).
Якщо для вашої організації ввімкнено єдиний вхід, але він зазнав невдачі, ви можете залучити партнера Cisco, який може отримати доступ до вашої організації Webex, щоб вимкнути його для вас. |
1. | У вікні клієнта https://admin.webex.comперейдіть до , перейдіть до автентифікації та натисніть Керування SSO та IdP. |
2. | Перейдіть на вкладку Постачальник ідентифікаційних даних. |
3. | Натисніть Деактивувати SSO. З 'явиться спливаюче вікно, яке попереджає вас про вимкнення SSO: Якщо ви вимкнете SSO, паролі керуватимуться хмарою, а не інтегрованою конфігурацією IdP. |
4. | Якщо ви розумієте наслідки відключення SSO і хочете продовжити, натисніть Деактивувати. SSO деактивовано, а всі списки сертифікатів SAML видалено. Якщо SSO вимкнено, користувачі, які мають пройти автентифікацію, бачитимуть поле введення пароля під час процесу входу.
|
Що далі
Якщо ви або клієнт повторно налаштуєте SSO для організації клієнта, облікові записи користувачів знову будуть використовувати політику паролів, установлену IdP, інтегрованою з організацією Webex.
Якщо ви зіткнулися з проблемами з входом в систему SSO, ви можете скористатися опцією самовідновлення SSO, щоб отримати доступ до організації Webex, керованої в Control Hub. Опція самовідновлення дозволяє оновити або вимкнути SSO в Control Hub.