Control Hub中的SSO

如果要为组织中的多个身份提供程序设置SSO,请参阅 在Webex中使用多个IdP的SSO


 

如果组织的证书使用率设置为“零”,但您仍然收到警报,我们建议您继续进行升级。 SSO 部署目前没有使用该证书,但今后的更改可能会需要该证书。


 

有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 Webex 单点登录 (SSO) 证书即将过期的警报。 请按照本文中的流程通过我们(服务商)检索 SSO 云证书元数据,并重新添加到您的 IdP,否则用户将无法使用 Webex 服务。

如果您在Webex组织中使用SAML Cisco (SP) SSO证书,则必须尽快计划在定期安排的维护时段更新云证书。

所有属于您的 Webex 组织订阅的服务都将受影响,包括但不限于:

  • Webex 应用程序(所有平台的全新登录: 桌面、移动和 Web)

  • Webex 服务(在 Control Hub 中),包括呼叫

  • Webex Meetings 站点(通过 Control Hub 管理)

  • Cisco Jabber(如果它与 SSO 集成)

准备工作


 

请在开始之前阅读所有的说明。 在更改证书或通过向导更新证书后,新用户可能无法成功登录。

如果您的IdP不支持多个证书(市场上的大多数IdP不支持此功能),我们建议您在不影响Webex应用程序用户的维护时段安排此升级。 这些升级任务在操作和活动后验证中大约需要30分钟。

1

要查看 SAML Cisco (SP) SSO 证书是否即将过期,请执行以下操作:

  • 您可能已收到我们发送的电子邮件或 Webex 应用程序消息,但应该在 Control Hub 中查看确认。
  • 登录https://admin.webex.com,并检查警报中心。 可能会发布有关 SSO 服务商证书更新的通知。

  • 登录 https://admin.webex.com,转至 > 设置 > ,然后单击 SSO和IdP
  • 转至 提供程序 选项卡,并注意Cisco SP证书状态和到期日期。

您也可以直接进入 SSO 向导,以更新证书。 如果您决定在完成之前退出向导,则可以从管理 > 组织设置 > 身份验证(在https://admin.webex.com中)重新访问该向导。

2

转至 IdP,然后单击

3

单击查看证书和到期日期

这会将您带到服务商 (SP) 证书窗口。
4

单击续订证书

5

选择续订的证书类型:

  • 由 Cisco 自签名 — 我们推荐此选择。 我们在证书上签名,您只需每五年续订一次。
  • 由公共认证中心签名 — 安全性更高,但需要经常更新元数据(除非 IdP 供应商支持信任锚)。

     

    信任锚是充当验证数字签名证书的认证中心的公共密钥。 有关更多信息,请参阅 IdP 文档。

6

单击下载元数据文件从 Webex 云下载新证书的已更新元数据副本。 保持此屏幕处于打开状态。

7

导航至 IdP 管理界面以上传新的 Webex 元数据文件。

  • 此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。
  • 如需参考,请参阅我们的 SSO 集成指南或联系您的 IdP 管理员寻求支持。 如果在 Active Directory 联合服务 (AD FS) 上,您可以参阅如何更新 AD FS 中的 Webex 元数据
8

返回到登录 Control Hub 的选项卡,然后单击下一步。

9

单击测试 SSO 更新以确认新的元数据文件已上传并且能够正确地被您的 IdP 解析。 在弹出窗口中,确认测试结果是否符合预期,如果测试成功,单击切换到新的元数据


 

若要直接查看 SSO 登录体验,您还可以从此屏幕单击将 URL 复制到剪贴板,并将其粘贴到私密浏览器窗口中。 在此处,您可以使用 SSO 登录。 这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

结果: 您已经完成,组织的 SAML Cisco (SP) SSO 证书现已续订。 您可以随时在身份提供程序选项卡下检查证书状态。


 

有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。 因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。

1

要查看 IdP SAML 证书是否即将过期,请执行以下操作:

  • 您可能已收到我们发送的电子邮件或 Webex 应用程序消息,但应该在 Control Hub 中查看确认。
  • 登录https://admin.webex.com,并检查警报中心。 可能会发布有关 IdP SAML 证书更新的通知:

  • 登录 https://admin.webex.com,转至 > 设置 > ,然后单击 SSO和IdP
  • 转至身份提供程序选项卡,并注意IdP证书状态(已过期或即将到期)和到期日期。
  • 您也可以直接进入 SSO 向导,以更新证书。 如果您决定在完成之前退出向导,则可以从管理 > 组织设置 > 身份验证(在https://admin.webex.com中)重新访问该向导。

2

导航至 IdP 管理界面以检索新的元数据文件。

  • 此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。
  • 如需参考,请参阅我们的 SSO 集成指南或联系您的 IdP 管理员寻求支持。
3

返回到 提供程序 选项卡。

4

转至 IdP,单击upload并选择上传 Idp 元数据

5

将您的IdP元数据文件拖放到窗口中,或单击选择文件并以该方式上传。

6

选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。

7

单击测试 SSO 更新以确认新的元数据文件已上传并且正确地解析至您的 Control Hub 组织。 在弹出窗口中确认预期的结果,如果测试成功,选择测试成功: 激活SSO和Id P,然后单击


 

要直接查看SSO登录体验,我们建议您从此屏幕单击将URL复制到剪贴板,并将其粘贴到私人浏览器窗口中。 在此处,您可以使用 SSO 登录。 这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

结果: 您已经完成,组织的 IdP 证书现已续订。 您可以随时在身份提供程序选项卡下检查证书状态。

当您需要重新将最新 Webex SP 元数据添加到 IdP 时,可随时将其导出。 当导入的 IdP SAML 元数据即将过期或已经过期时,您将收到通知。

此步骤在常见的 IdP SAML 证书管理场景中非常有用,例如支持之前未完成导出的多个证书的 IdP,如果由于 IdP 管理员不可用而未将元数据导入 IdP,或您的 IdP 只支持更新该证书。 此选项只需通过更新 SSO 配置和活动后验证中的证书即可最大限度地减少更改。

1

从 中的客户视图https://admin.webex.com,转至管理层>组织设置,滚动到验证并单击管理 SSO 和 IdP

2

转至身份提供程序标签页。

3

转至IdP,单击下载 并选择 SP元数据

Webex 应用程序元数据文件名是 idb-meta--SP.xml。<org-ID>

4

将元数据导入您的 IdP。

按照 IdP 文档导入 Webex SP 元数据。 您可以使用我们的 IdP 集成指南,或者如果未列出,参考特定 IdP 的文档。

5

完成后,使用本文中“续订 Webex 证书 (SP)”中的步骤运行中的步骤运行 SSO 测试。

当 IdP 环境发生变化或 IdP 证书即将过期时,您随时可以将更新后的元数据导入 Webex。

准备工作

收集 IdP 元数据,一般作为导出的 xml 文件。

1

从 中的客户视图https://admin.webex.com,转至管理层>组织设置,滚动到验证并单击管理 SSO 和 IdP

2

转至身份提供程序标签页。

3

转至 IdP,单击upload并选择上传 Idp 元数据

4

将 IdP 元数据文件拖放到该窗口或单击选择元数据文件,并按该方式上传。

5

选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。

6

单击测试 SSO 设置,当新的浏览器标签页打开时,通过登录向 IdP 进行身份验证。

在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。 这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。 我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。


 

无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。 请参阅 Control Hub 中的警报中心了解更多信息。

1

https://admin.webex.com中的客户视图,转至警报中心

2

选择管理,然后选择所有规则

3

从“规则”列表中,选择要创建的任何 SSO 规则:

  • SSO IDP 证书过期
  • SSO SP 证书过期
4

在传递通道部分,选中电子邮件Webex 空间或者二者结合的对话框。

如果选择电子邮件,则输入接收通知的电子邮件地址。


 

如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。

5

保存更改。

下一步

从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。 (您会在到期前第 60 天、第 45 天、第 30 天和第 15 天收到警报。) 您续订证书后,会立即停止发送警报。

您可能会看到未配置单点注销URL的通知:


 

我们建议您对 IdP 进行配置,以支持单点注销(亦称为“SLO”)。 Webex 支持重定向和 post 方法,在我们从 Control Hub 下载的元数据中提供。 并非所有 IdP 都支持 SLO;请联系 IdP 团队寻求帮助。 有时,对于支持SLO的主要IdP供应商,例如AzureAD、Ping Federate、ForgeRock和Oracle, 会记录集成的配置方式。 有关IDP的详细信息以及如何正确配置IDP,请咨询您的身份和安全团队。

如果未配置单点注销URL:

  • 现有 IdP 会话仍然有效。 用户下次登录时,IdP 可能不会要求他们重新进行身份验证。

  • 注销时我们会显示警告消息,因此 Webex 应用程序注销不会无缝发生。

您可以禁用 Webex 组织(在 Control Hub 中管理)的单点登录 (SSO) 功能。 如果要更改身份提供程序(IdP),可能要禁用SSO。


 

如果您的组织启用了单点登录功能,但失败了,则可以让可以访问您 Webex 组织的 Cisco 合作伙伴为您禁用。

1

从 中的客户视图https://admin.webex.com,转至管理层>组织设置,滚动到验证并单击管理 SSO 和 IdP

2

转至身份提供程序标签页。

3

单击停用 SSO

将显示警告您禁用 SSO 的弹出窗口:

停用 SSO

如果您禁用 SSO,则密码将由云而不是您的集成 IdP 配置管理。

4

如果您了解禁用 SSO 的影响,仍要继续操作,请单击停用

SSO已停用,并删除所有SAML证书列表。

如果SSO被禁用,必须进行身份验证的用户将在登录过程中看到密码输入字段。

  • 在Webex应用程序中没有密码的用户必须重设密码,或者您必须向其发送电子邮件以设置密码。

  • 拥有有效 OAuth 令牌、经过身份验证的现有用户将继续拥有 Webex 应用程序访问权限。

  • 在禁用 SSO 时创建的新用户会收到一封电子邮件,要求他们创建密码。

下一步

如果您或客户为客户组织重新配置SSO,用户帐户将返回使用与Webex组织集成的IdP设置的密码策略。

如果您在使用 SSO 登录时遇到问题,可以使用SSO 自我恢复选项以访问在 Control Hub 中管理的 Webex 组织。 自我恢复选项可让您在 Control Hub 中更新或禁用 SSO。