Cisco Webex不提供对特定的单点登录提供商执行定期维护的文档或指导。

Webex 技术支持发现，需要此信息的 ADFS 客户发现以下 Microsoft 支持文章有帮助：

• https://support.microsoft.com/en-us/kb/2921805。

注：

• Cisco Webex 无法保证该信息的准确性，也无法保证它与特定部署相关。
• 要想获得更多帮助，您应当联系单点登录供应商以获取具体帮助。

有关证书和 Webex 实施 SAML 2.0

规范的一般指南：通常，对于 SSO，您必须在身份 管理服务（通常称为 IDP）和 Webex 站点管理 或 Webex Messenger 管理门户之间具有当前有效的信任关系。 （分别适用于 Cisco Webex Meetings 套件或 Cisco Webex Messenger 客户）

这是在 SAML 中让 SAML 断言方签署 SAML 响应来完成的。 Webex 不要求 SAML 断言中包含公共签名证书，但是，在 SAML 响应中包含该证书有助于进行故障排除。 Webex 需要签署断言。 请注意，也可以签署响应，但这不是必需操作，Webex 不会从对断言的响应继承证书签名。

请记住几个要点：

• 用于签署 SAML 断言的证书必须是当前证书，并且必须与上传到当前使用的 Webex 服务的管理页面的证书匹配。
• 证书无需由 CA 签署，因为信任关系是通过手动上传证书而不是通过 HTTPS 等协议协商建立的。
• 为了获得最佳结果，上传到 Webex 管理的证书应采用 base-64 编码的 PEM 格式的 .cer 文件。

升级证书的最佳实践：

Cisco Webex 建议您为此次维护安排一小段停机时间。 在 IDP 上更改证书和更改证书的这两段时间，Webex管理门户用户将不能登录。 但不影响已经过验证的主持人/与会者以及当前验证会话中的 Jabber 用户。 注： 使用 Jabber 到 Jabber 呼叫的 Jabber 用户Webex 服务 24 小时向用户进行身份验证，不管其他服务的验证会话的长度如何。 如果 Jabber 用户在维护期间尝试向 Webex 服务进行验证，他们将收到“无效的响应消息 (29)”通知；如果 Webex Business Suite 主持人和与会者尝试验证帐户，他们将收到错误消息“用于验证 SAML 断言的 X.509 证书不正确 (8)”。

前提条件：

• 请准备好要上传到 IDP 和 Webex 管理页面的私钥和公钥证书。
• Webex Business Suite 站点管理员具有其管理帐户的密码。
  • 您可以在开始维护前设置密码。
  • 如果在开始维护后您忘记了密码，您将无权登录帐户，并且只能在另一个站点管理员或 Webex 技术支持的协助下重新获取访问权限。
• 即时消息Webex管理员还具有用户名和密码，可在用户无法登录时需要进行身份验证SSO登录。

有关在 Webex 站点管理上更新新证书的帮助信息，请参阅： 为 Cisco Webex 站点配置单点登录

故障排除：

如果在更新新证书后无法验证，请尝试以下操作：

• 确保证书已成功上传到 IDP。
• 确保 Webex 管理门户显示正确的证书。
• 确保 IDP 会提供 SAML 响应。
  • Webex技术支持通常使用 Chrome 和 Firefox 中的内置开发者工具验证 IDP 是否提供 SAMLResponse。
  • Webex技术支持通常使用名为 Fiddler 的第三方应用程序来收集通过应用程序或浏览器进行 HTTPS 交易日志。
• 确保 SAML 响应中的证书正确。

其他协助：

如果需要援助，请联系Cisco Webex技术支持。

Webex技术支持无法提供有关配置或SSO的 IDP 供应商特定说明，但是，可以提供有关错误消息和调试的一般指导。