SSO в Control Hub

Якщо ви хочете налаштувати SSO для кількох постачальників ідентифікаційних даних у вашій організації, див Єдиний вхід із кількома IdP у Webex .


 

Якщо для сертифіката вашої організації встановлено значення Немає, але ви все ще отримуєте сповіщення, рекомендуємо продовжити оновлення. Розгортання SSO сьогодні не використовує сертифікат, але вам може знадобитися сертифікат для майбутніх змін.


 

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката єдиного входу (SSO) Webex закінчується. Виконайте процедуру, описану в цій статті, щоб отримати від нас метадані хмарного сертифіката SSO (SP) та додати їх до свого IdP; інакше користувачі не зможуть використовувати служби Webex.

Якщо ви використовуєте сертифікат SSO SAML Cisco (SP) у своїй організації Webex, необхідно якнайшвидше планувати оновлення хмарного сертифіката під час звичайного запланованого періоду технічного обслуговування.

Зачіпаються всі послуги, які є частиною вашої підписки на організацію Webex, включаючи, але не обмежуючись:

  • Webex App (нові вхідні дані для всіх платформ: настільні, мобільні та веб-сторінки)

  • Послуги Webex в Control Hub, включаючи виклики

  • Сайти Webex Meetings управляються через Control Hub

  • Cisco Jabber, якщо він інтегрований з SSO

Перш ніж почати


 

Будь ласка, прочитайте всі вказівки перед початком. Після того, як ви зміните сертифікат або перейдете до майстра оновлення сертифіката, нові користувачі не зможуть успішно увійти в обліковий запис.

Якщо ваш постачальник посвідчень не підтримує кілька сертифікатів (більшість IdP на ринку не підтримують цю функцію), радимо запланувати це оновлення на період обслуговування, коли це не впливає на користувачів програми Webex. Ці завдання оновлення версії мають тривати приблизно 30 хвилин під час роботи та перевірки після події.

1.

Щоб перевірити, чи закінчується термін дії сертифіката SAML Cisco (SP) SSO, виконайте наведені нижче дії.

  • Можливо, ви отримали від нас повідомлення електронною поштою або через додаток Webex, але ви повинні перевірити Control Hub, щоб бути впевненими.
  • Увійдіть в обліковий https://admin.webex.comзапис і перевірте центр сповіщень. Може надійти сповіщення про оновлення сертифіката постачальника послуг SSO.

  • Увійти вhttps://admin.webex.com , перейдіть до Керування > Налаштування організації > Автентифікація і клацніть Керуйте SSO та IdP .
  • Перейдіть до Постачальник ідентифікаційних даних та зазначте стан сертифіката Cisco SP і дату закінчення терміну дії.

Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра, перш ніж завершити його, ви можете отримати доступ до нього знову в будь-який час з Керування > Налаштування організації > Аутентифікація вhttps://admin.webex.com.

2.

Перейдіть до IdP та натисніть.

3.

Натисніть Переглянути сертифікати та дату закінчення терміну дії.

Це призведе вас до вікна сертифікатів постачальника послуг (SP).
4.

Натисніть Поновити сертифікат.

5.

Виберіть тип сертифіката для продовження:

  • Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.
  • Підписано державним органом сертифікації - Більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує якорі довіри).

     

    Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.

6.

Натисніть Завантажити файл метаданих, щоб завантажити копію оновлених метаданих з новим сертифікатом з хмари Webex. Тримайте цей екран відкритим.

7.

Перейдіть до інтерфейсу керування IdP, щоб завантажити новий файл метаданих Webex.

  • Цей крок може бути зроблений через вкладку браузера, протокол віддаленого робочого столу (RDP) або через певну підтримку постачальника хмарних послуг, залежно від налаштувань вашого IdP, а також від того, чи несете ви або окремий адміністратор IdP відповідальність за цей крок.
  • Для довідки перегляньте наші посібники з інтеграції SSO або зв 'яжіться з адміністратором IdP для отримання підтримки. Якщо на службах федерації Active Directory (AD FS), ви можете побачити, як оновити метадані Webex в AD FS.
8

Поверніться на вкладку, на якій виконано вхід до Центру керування, і натисніть кнопку Далі.

9

Це підтверджує, що новий файл метаданих було передано та правильно інтерпретовано вашим IdP. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть кнопку Перейти до нових метаданих.


 

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

Результат: Ви закінчили, і сертифікат SSO SAML Cisco (SP) вашої організації тепер поновлено. Ви можете перевірити стан сертифіката в будь-який час у меню Постачальник ідентифікаційних даних вкладка.


 

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчується. Оскільки постачальники IdP мають власну специфічну документацію для оновлення сертифіката, ми охоплюємо те, що потрібно в Control Hub, а також загальні кроки для отримання оновлених метаданих IdP та завантаження їх до Control Hub для оновлення сертифіката.

1.

Щоб перевірити, чи закінчується термін дії сертифіката IdP SAML, виконайте наведені нижче дії.

  • Можливо, ви отримали від нас повідомлення електронною поштою або через додаток Webex, але ви повинні перевірити Control Hub, щоб бути впевненими.
  • Увійдіть в обліковий https://admin.webex.comзапис і перевірте центр сповіщень. Може з 'явитися повідомлення про оновлення сертифіката IdP SAML:

  • Увійти вhttps://admin.webex.com , перейдіть до Керування > Налаштування організації > Автентифікація і клацніть Керуйте SSO та IdP .
  • Перейдіть до Постачальник ідентифікаційних даних та зазначте стан сертифіката IdP (термін дії закінчився або скоро завершиться) і дату закінчення терміну дії.
  • Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра, перш ніж завершити його, ви можете отримати доступ до нього знову в будь-який час з Керування > Налаштування організації > Аутентифікація вhttps://admin.webex.com.

2.

Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.

  • Цей крок може бути зроблений через вкладку браузера, протокол віддаленого робочого столу (RDP) або через певну підтримку постачальника хмарних послуг, залежно від налаштувань вашого IdP, а також від того, чи несете ви або окремий адміністратор IdP відповідальність за цей крок.
  • Для довідки перегляньте наші посібники з інтеграції SSO або зв 'яжіться з адміністратором IdP для отримання підтримки.
3.

Повернутися до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP, натисніть <span data-id ="0"></span> і виберіть <span data-id ="1"></span>Завантажити метадані Idpзавантажити.

5.

Перетягніть файл метаданих IdP у вікно або клацніть Виберіть файл і передайте його таким чином.

6.

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.

7.

Натисніть кнопку Test SSO Update (Перевірити оновлення SSO), щоб підтвердити, що новий файл метаданих завантажено та правильно інтерпретовано до вашої організації Control Hub. Підтвердьте очікувані результати у спливаючому вікні та, якщо перевірка пройшла успішно, виберіть Успішний тест: Активуйте SSO та IdP і клацніть Зберегти .


 

Щоб безпосередньо переглянути можливості входу в систему SSO, радимо клацнути Скопіювати URL-адресу до буфера обміну з цього екрана й вставте його у приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

Результат: Ви закінчили, і сертифікат IdP вашої організації тепер поновлено. Ви можете перевірити стан сертифіката в будь-який час у меню Постачальник ідентифікаційних даних вкладка.

Ви можете експортувати останні метадані Webex SP, коли вам потрібно додати їх назад до вашого IdP. Ви побачите повідомлення, коли термін дії імпортованих метаданих IdP SAML закінчиться або закінчиться.

Цей крок корисний у загальних сценаріях управління сертифікатами SAML IdP, таких як IdP, які підтримують кілька сертифікатів, де експорт не виконувався раніше, якщо метадані не були імпортовані до IdP через недоступність адміністратора IdP або якщо ваш IdP підтримує можливість оновлення лише сертифіката. Ця опція може допомогти мінімізувати зміну, лише оновивши сертифікат у вашій конфігурації SSO та перевірці після події.

1.

У вікні клієнта https://admin.webex.comперейдіть до Керування > Налаштування організації, перейдіть до автентифікації та натисніть Керування SSO та IdP.

2.

Перейдіть на вкладку Постачальник ідентифікаційних даних.

3.

Перейдіть до IdP, клацнітьЗавантажте і виберіть Завантажити метадані SP .

Назва файлу метаданих Webex - idb-meta--SP.xml.<org-ID>

4.

Імпортуйте метадані до свого IdP.

Дотримуйтесь документації для вашого IdP, щоб імпортувати метадані Webex SP. Ви можете скористатися нашими посібниками з інтеграції IdP або ознайомитися з документацією для вашого конкретного IdP, якщо вона не вказана.

5.

Коли ви закінчите, запустіть тест SSO, використовуючи кроки в Renew Webex Certificate (SP) в цій статті.

Коли ваше середовище IdP змінюється або термін дії вашого сертифіката IdP закінчується, ви можете імпортувати оновлені метадані в Webex у будь-який час.

Перш ніж почати

Зберіть свої метадані IdP, як правило, у вигляді експортованого xml-файлу.

1.

У вікні клієнта https://admin.webex.comперейдіть до Керування > Налаштування організації, перейдіть до автентифікації та натисніть Керування SSO та IdP.

2.

Перейдіть на вкладку Постачальник ідентифікаційних даних.

3.

Перейдіть до IdP, натисніть <span data-id ="0"></span> і виберіть <span data-id ="1"></span>Завантажити метадані Idpзавантажити.

4.

Перетягніть файл метаданих IdP у вікно або натисніть Вибрати файл метаданих і завантажте його таким чином.

5.

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.

6.

Натисніть Перевірити налаштування SSO, а коли відкриється нова вкладка браузера, аутентифікуйтеся з IdP, увійшовши в обліковий запис.

Ви отримаєте сповіщення в Control Hub до закінчення терміну дії сертифікатів, але ви також можете проактивно налаштувати правила сповіщень. Ці правила заздалегідь повідомляють вам, що термін дії ваших сертифікатів SP або IdP закінчується. Ми можемо надіслати їх вам електронною поштою, в додатку Webex або в обох випадках.


 

Незалежно від налаштованого каналу доставки всі сповіщення завжди відображатимуться в Центрі керування. Див. Центр сповіщень у Центрі керування для отримання додаткової інформації.

1.

У вікні клієнта https://admin.webex.comперейдіть до Центру сповіщень.

2.

Виберіть Керувати всіма правилами.

3.

У списку правил виберіть будь-яке з правил єдиного облікового запису, яке потрібно створити:

  • Закінчення терміну дії сертифікату SSO IDP
  • Термін дії сертифіката SSO SP
4.

У розділі Канал доставки встановіть прапорець для електронної пошти, простору Webex або обох.

Якщо ви вибрали Електронна пошта, введіть адресу електронної пошти, на яку має надходити сповіщення.


 

Якщо ви виберете опцію Webex space, ви автоматично додасте простір всередині додатка Webex, і ми надсилатимемо сповіщення.

5.

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката раз на 15 днів, починаючи з 60 днів до закінчення терміну дії. (Ви можете очікувати попередження на день 60, 45, 30 та 15.) Сповіщення зупиняються, коли ви поновлюєте сертифікат.

Може з’явитися повідомлення про те, що URL-адресу єдиного виходу не налаштовано:


 

Ми рекомендуємо налаштувати ваш IdP для підтримки Single Logout (також відомий як SLO). Webex підтримує як методи перенаправлення, так і методи публікації, доступні в наших метаданих, які завантажуються з Control Hub. Не всі IdP підтримують SLO; будь ласка, зв 'яжіться зі своєю командою IdP для отримання допомоги. Іноді для основних постачальників IdP, як-от AzureAD, Ping Federate, ForgeRock і Oracle, які підтримують SLO, ми документуємо, як налаштувати інтеграцію . Зверніться до вашої команди з ідентифікації та безпеки щодо особливостей вашого IDP та того, як його правильно налаштувати.

Якщо URL-адресу єдиного виходу не налаштовано:

  • Існуюча сесія IdP залишається чинною. Наступного разу, коли користувачі ввійдуть в обліковий запис, IdP може не попросити їх пройти повторну автентифікацію.

  • Ми відображаємо попереджувальне повідомлення при виході, тому вихід з Webex App не відбувається без проблем.

Ви можете вимкнути єдиний вхід (SSO) для організації Webex, керованої в Control Hub. Ви можете вимкнути SSO, якщо ви змінюєте постачальників посвідчень (IdP).


 

Якщо для вашої організації ввімкнено єдиний вхід, але він зазнав невдачі, ви можете залучити партнера Cisco, який може отримати доступ до вашої організації Webex, щоб вимкнути його для вас.

1.

У вікні клієнта https://admin.webex.comперейдіть до Керування > Налаштування організації, перейдіть до автентифікації та натисніть Керування SSO та IdP.

2.

Перейдіть на вкладку Постачальник ідентифікаційних даних.

3.

Натисніть Деактивувати SSO.

З 'явиться спливаюче вікно, яке попереджає вас про вимкнення SSO:

Деактивувати SSO

Якщо ви вимкнете SSO, паролі керуватимуться хмарою, а не інтегрованою конфігурацією IdP.

4.

Якщо ви розумієте наслідки відключення SSO і хочете продовжити, натисніть Деактивувати.

SSO деактивовано, а всі списки сертифікатів SAML видалено.

Якщо SSO вимкнено, користувачі, які мають пройти автентифікацію, бачитимуть поле введення пароля під час процесу входу.

  • Користувачі, які не мають пароля в програмі Webex, повинні скинути пароль або надіслати їм електронного листа, щоб установити пароль.

  • Існуючі автентифіковані користувачі з дійсним OAuth-токеном продовжуватимуть мати доступ до Webex App.

  • Нові користувачі, створені під час вимкнення SSO, отримують електронний лист з проханням створити пароль.

Що далі

Якщо ви або клієнт повторно налаштуєте SSO для організації клієнта, облікові записи користувачів знову будуть використовувати політику паролів, установлену IdP, інтегрованою з організацією Webex.

Якщо ви зіткнулися з проблемами з входом в систему SSO, ви можете скористатися опцією самовідновлення SSO, щоб отримати доступ до організації Webex, керованої в Control Hub. Опція самовідновлення дозволяє оновити або вимкнути SSO в Control Hub.