SSO в Control Hub

Щоб налаштувати SSO для кількох постачальників посвідчень у своїй організації, див. розділ SSO з кількома IdP у Webex.

Якщо для використання сертифікатів вашої організації встановлено значення Немає, але ви все ще отримуєте сповіщення, рекомендовано продовжити оновлення версії. Ваше розгортання SSO не використовує сертифікат сьогодні, однак сертифікат може знадобитися для майбутніх змін.

Сертифікат постачальника послуг Webex (SP)

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про закінчення терміну дії сертифіката єдиного входу (SSO) Webex. Виконайте процес у цій статті, щоб отримати метадані сертифіката хмари SSO від нас (SP) і знову додати їх до свого IdP. В іншому разі користувачі не зможуть використовувати служби Webex.

Якщо ви використовуєте сертифікат єдиного входу в систему SAML Cisco (SP) У своїй організації Webex, ви повинні якнайшвидше оновити сертифікат хмари під час регулярного запланованого періоду технічного обслуговування.

Поширюється на всі служби, які є частиною підписки вашої організації Webex, включно з:

  • Програма Webex (нові входи до системи для всіх платформ: настільний, мобільний і веб)

  • Служби Webex у Control Hub, зокрема Calling

  • Вебсайти Webex Meetings, керовані через Control Hub

  • Cisco Jabber, якщо інтегровано з SSO

Перед початком

Прочитайте всі напрямки перед початком. Можливо, після зміни сертифіката або ознайомлення з майстром оновлення сертифіката нові користувачі не зможуть успішно ввійти.

Якщо ваш IdP не підтримує кілька сертифікатів (більшість IdP на ринку не підтримують цю функцію), ми рекомендуємо запланувати це оновлення під час періоду технічного обслуговування, де користувачі програми Webex не зазнають впливу. Ці завдання оновлення мають тривати приблизно 30 хвилин робочого часу та перевірки після події.

1

Щоб перевірити, чи закінчується термін дії сертифіката єдиного входу Cisco (SP) SAML:

  • Можливо, ви отримали від нас повідомлення електронної пошти або програми Webex, але перевірте це в Control Hub.

  • Увійдіть у https://admin.webex.com й перевірте свій центр оповіщень. Може бути сповіщення про оновлення сертифіката постачальника послуг SSO.

  • Увійдіть у https://admin.webex.com, перейдіть до розділу Керування > Налаштування організації > Єдиний вхід і клацніть Керування SSO й IdP.
  • Перейдіть на вкладку Постачальник ідентифікаційних даних і зверніть увагу на стан сертифіката Cisco SP й дату завершення терміну дії.

Ви також можете перейти безпосередньо в майстрі єдиного входу, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра перед його завершенням, ви можете будь-коли отримати до нього доступ у меню Керування > Налаштування організації > Єдиний вхідhttps://admin.webex.com.

2

Перейдіть до IdP і клацніть .

3

Клацніть Переглянути сертифікати й дату завершення терміну дії.

4

Клацніть Поновити сертифікат.

5

Виберіть тип IdP, який використовує ваша організація.

  • Постачальник ідентифікації, який підтримує кілька сертифікатів
  • Постачальник ідентифікації, який підтримує один сертифікат

Якщо ваш IdP підтримує один сертифікат, рекомендовано дочекатися виконання цих кроків під час запланованого простою. Поки триває оновлення сертифіката Webex, вхід нових користувачів на короткий період часу не працюватиме. Наявні входи до системи зберігаються.

6

Виберіть тип сертифіката для подовження:

  • Самопідписаний Cisco — ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано загальнодоступним центром сертифікації. Більш безпечний, але вам доведеться часто оновлювати метадані (якщо ваш постачальник IdP не підтримує прив’язки довіри).

    Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.

    Перш ніж перейти до наступних кроків, переконайтеся, що ви готові поновити сертифікат і працюєте в межах вікна зміни вашої організації. Якщо вибрати самопідписаний Cisco або підписаний загальнодоступним центром сертифікації , буде негайно створено новий сертифікат. Після зміни сертифіката для одного IdP SSO зупиняється, доки сертифікат або метадані не будуть передані до IdP. Тому важливо завершити процес оновлення.

7

Клацніть Завантажити файл метаданих , щоб завантажити копію оновлених метаданих із новим сертифікатом із хмари Webex. Залиште цей екран відкритим.

8

Перейдіть до інтерфейсу керування IdP, щоб передати новий файл метаданих Webex.

  • Цей крок можна виконати за допомогою вкладки браузера, протоколу віддаленого робочого стола (RDP) або підтримки певного постачальника хмарних послуг залежно від налаштування вашого IdP і від того, чи відповідаєте ви або окремий адміністратор IdP за цей крок.
  • Довідкову інформацію див. в посібниках з інтеграції SSO або зверніться до адміністратора IdP за підтримкою. Якщо в службах федерації Active Directory (AD FS), можна дізнатися, як оновити метадані Webex в AD FS.
9

Поверніться на вкладку, де ви ввійшли в Control Hub, і натисніть Далі.

10

Оновіть IdP за допомогою нового сертифіката й метаданих SP і натисніть Далі.

  • Усі IdP оновлено
  • Якщо вам потрібно більше часу для оновлення, збережіть оновлений сертифікат як додатковий параметр
11

Клацніть Завершити поновлення.

Сертифікат постачальника ідентифікаційних даних (IdP)

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчиться. Оскільки постачальники IdP мають власну специфічну документацію для подовження сертифіката, ми охоплюємо вимоги Control Hub разом із загальними кроками для отримання оновлених метаданих IdP і передавання їх у Control Hub для подовження сертифіката.

1

Щоб перевірити, чи закінчується термін дії сертифіката IdP SAML:

  • Можливо, ви отримали від нас повідомлення електронної пошти або програми Webex, але перевірте це в Control Hub.
  • Увійдіть у https://admin.webex.com й перевірте свій центр оповіщень. Може бути сповіщення про оновлення сертифіката IdP SAML:

  • Увійдіть у https://admin.webex.com, перейдіть до розділу Керування > Налаштування організації > Єдиний вхід і клацніть Керування SSO й IdP.
  • Перейдіть на вкладку Постачальник посвідчень і зверніть увагу на стан сертифіката IdP (термін дії завершився або скоро закінчиться) і дату завершення терміну дії.

  • Ви також можете перейти безпосередньо в майстрі єдиного входу, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра перед його завершенням, ви можете будь-коли отримати до нього доступ у меню Керування > Налаштування організації > Єдиний вхідhttps://admin.webex.com.

2

Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.

  • Цей крок можна виконати за допомогою вкладки браузера, протоколу віддаленого робочого стола (RDP) або підтримки певного постачальника хмарних послуг залежно від налаштування вашого IdP і від того, чи відповідаєте ви або окремий адміністратор IdP за цей крок.
  • Довідкову інформацію див. в посібниках з інтеграції SSO або зверніться до адміністратора IdP за підтримкою.
3

Поверніться на вкладку Постачальник посвідчень .

4

Перейдіть до IdP, клацніть Завантажити і виберіть Передати метадані Idp.

5

Перетягніть файл метаданих IdP у вікно або клацніть Вибрати файл і передайте його таким чином.

6

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС) залежно від способу підписання метаданих вашого IdP.

7

Клацніть Перевірка оновлення системи єдиного входу , щоб переконатися, що новий файл метаданих було передано та правильно інтерпретовано в організацію Control Hub. Підтвердьте очікувані результати у спливаючому вікні й якщо тест пройшов успішно, виберіть Успішний тест: Активуйте SSO й IdP і клацніть Зберегти.

Щоб безпосередньо переглядати можливості входу в систему за допомогою єдиного входу, рекомендуємо клацнути Копіювати URL-адресу для буфера обміну з цього екрана й вставити її в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

Результат. Усе готово, і сертифікат IdP вашої організації тепер подовжено. Ви можете будь-коли перевірити стан сертифіката на вкладці Постачальник посвідчень .

Можна експортувати останні метадані Webex SP, коли потрібно додати їх назад до IdP. Ви побачите повідомлення, коли термін дії імпортованих метаданих IdP SAML закінчиться або завершився.

Цей крок корисний у загальних сценаріях керування сертифікатами IdP SAML, наприклад IdP, які підтримують кілька сертифікатів, експорт яких не виконувався раніше, якщо метадані не імпортовано до IdP, оскільки адміністратор IdP був недоступний, або якщо ваш IdP підтримує можливість оновлювати лише сертифікат. Цей параметр може допомогти згорнути зміну лише шляхом оновлення сертифіката в конфігурації SSO та перевірки після події.

1

З подання клієнта в https://admin.webex.com перейдіть до Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

2

Перейдіть на вкладку Постачальник посвідчень .

3

Перейдіть до IdP, клацніть Завантаження і виберіть Завантажити метадані SP.

Ім’я файлу метаданих програми Webex — idb-meta-<org-ID>-SP.xml.

4

Імпортуйте метадані до свого IdP.

Виконайте вказівки документації для свого IdP, щоб імпортувати метадані Webex SP. Ви можете використовувати наші посібники з інтеграції IdP або звернутися до документації для певного IdP, якщо його немає в списку.

5

Коли ви завершите, запустіть тест SSO, використовуючи кроки в Поновити сертифікат Webex (SP) в цій статті.

Коли середовище IdP змінюється або термін дії сертифіката IdP закінчується, можна в будь-який час імпортувати оновлені метадані до Webex.

Перед початком

Зберіть метадані свого IdP, зазвичай як експортований файл xml.

1

З подання клієнта в https://admin.webex.com перейдіть до Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

2

Перейдіть на вкладку Постачальник посвідчень .

3

Перейдіть до IdP, клацніть Завантажити і виберіть Передати метадані Idp.

4

Перетягніть файл метаданих свого IdP у вікно або клацніть Вибрати файл метаданих і передайте його таким чином.

5

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС) залежно від способу підписання метаданих вашого IdP.

6

Клацніть Перевірити налаштування SSO. Коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.

Ви отримаєте сповіщення в Control Hub, перш ніж термін дії сертифікатів закінчиться, але також можна упереджено налаштувати правила сповіщень. Ці правила заздалегідь повідомляють вам, що термін дії ваших сертифікатів SP або IdP закінчиться. Ми можемо надіслати їх вам електронною поштою, за простором у програмі Webex або за тим і іншим.

Незалежно від налаштованого каналу доставки, усі сповіщення завжди відображаються в Control Hub. Додаткову інформацію див. в центрі оповіщень у Control Hub .

1

Увійдіть у Центркерування.

2

Перейдіть до центру сповіщень.

3

Потім виберіть КеруватиУсіма правилами.

4

У списку правил виберіть будь-яке правило системи єдиного входу, яке потрібно створити.

  • Завершення терміну дії сертифіката SSO IDP
  • Термін дії сертифіката SSO SP завершується
5

У розділі «Канал доставки» поставте прапорець для Електронної пошти, простору Webex або того й іншого.

Якщо ви виберете Електронна пошта, введіть адресу електронної пошти, яка має отримувати сповіщення.

Якщо ви виберете параметр простору Webex, вас автоматично додадуть до простору всередині програми Webex, і ми надішлемо сповіщення там.

6

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката один раз на 15 днів, починаючи з 60 днів до завершення терміну дії. (Ви можете очікувати на сповіщення 60, 45, 30 і 15 днів.) Сповіщення зупиняються під час подовження сертифіката.

Ви можете помітити повідомлення, що URL єдиного виходу не налаштовано:

Ми рекомендуємо вам налаштувати свого IdP для підтримки єдиного виходу (також відомого як SLO). Webex підтримує як методи переспрямування, так і методи публікації, доступні в наших метаданих, які завантажуються з Control Hub. Не всі IdP підтримують SLO. Зверніться до команди IdP, щоб отримати допомогу. Іноді для великих постачальників IdP, як-от AzureAD, Ping Federate, ForgeRock та Oracle, які підтримують SLO, ми документуємо налаштування інтеграції. Зверніться до команди ідентифікації та безпеки щодо специфіки вашого IDP та способів його належним чином налаштовувати.

Якщо URL єдиного виходу не налаштовано:

  • Наявний сеанс IdP залишається допустимим. Під час наступного входу користувачів у систему IdP може не попросити їх повторно автентифікуватися.

  • Під час виходу з системи відображається попередження, тому вихід із програми Webex відбувається непросто.

Можна вимкнути єдиний вхід (SSO) для організації Webex, керованої в Control Hub. Можливо, ви захочете вимкнути SSO, якщо ви змінюєте постачальників посвідчень (IdP).

Якщо для вашої організації ввімкнено єдиний вхід, але він зазнав невдачі, ви можете залучити свого партнера Cisco, який може отримати доступ до вашої організації Webex, щоб вимкнути його для вас.

1

З подання клієнта в https://admin.webex.com перейдіть до Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

2

Перейдіть на вкладку Постачальник посвідчень .

3

Клацніть Деактивувати SSO.

З’явиться спливаюче вікно, яке попереджає вас про вимкнення SSO:

Деактивувати SSO

Якщо вимкнути SSO, керування паролями здійснюється хмарою замість інтегрованої конфігурації IdP.

4

Якщо ви розумієте вплив вимкнення SSO й хочете продовжити, клацніть Деактивувати.

SSO деактивовано, і всі списки сертифікатів SAML видалено.

Якщо SSO вимкнено, під час входу користувачі, які повинні будуть автентифікуватися, побачать поле введення пароля.

  • Користувачі, які не мають пароля в програмі Webex, повинні скинути свій пароль або надіслати їм електронного листа, щоб установити пароль.

  • Наявні автентифіковані користувачі з допустимим токеном OAuth продовжать мати доступ до програми Webex.

  • Нові користувачі, створені під час вимкнення SSO, отримують електронного листа з проханням створити пароль.

Що далі

Якщо ви або клієнт переналаштуєте SSO для організації клієнта, облікові записи користувачів поверніться до використання політики паролів, установленої IdP, інтегрованої з організацією Webex.

Якщо у вас виникли проблеми з входом до SSO, можна використовувати параметр самовідновлення SSO , щоб отримати доступ до організації Webex, керованої в Control Hub. Параметр самостійного відновлення дозволяє оновити або вимкнути SSO в Control Hub.