感谢您的反馈。
在控制中心管理单点登录集成
反馈?如果组织的证书使用率设置为“零”,但您仍然收到警报,我们建议您继续进行升级。SSO 部署目前没有使用该证书,但今后的更改可能会需要该证书。
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 Webex 单点登录 (SSO) 证书即将过期的警报。请按照本文中的流程通过我们(服务商)检索 SSO 云证书元数据,并重新添加到您的 IdP,否则用户将无法使用 Webex 服务。
如果您在 Webex 组织中使用 SAML Cisco (SP) SSO 证书,则必须计划在定期计划的维护窗口期间尽快更新云证书。
所有属于您的 Webex 组织订阅的服务都将受影响,包括但不限于:
-
Webex 应用程序(所有平台的全新登录:桌面、移动和 Web)
-
Webex 服务(在 Control Hub 中),包括呼叫
-
Webex Meetings 站点(通过 Control Hub 管理)
-
Cisco Jabber(如果它与 SSO 集成)
准备工作
请在开始之前阅读所有的说明。在更改证书或通过向导更新证书后,新用户可能无法成功登录。
如果您的身份提供商不支持多个证书(市场上大多数身份提供商都不支持此功能),我们建议您在维护窗口期间安排此升级,以免影响 Webex App 用户。这些升级任务的操作时间和事后验证大约需要 30 分钟。
| 1 |
要查看 SAML Cisco (SP) SSO 证书是否即将过期,请执行以下操作:
您也可以直接进入 SSO 向导,以更新证书。如果您决定在完成向导之前退出,您可以随时从 在 控制中心中。 |
| 2 |
前往身份提供商 (IdP) 并点击 |
| 3 |
点击 查看证书和到期日期。 这将带您进入 服务提供商(SP)证书 页面。您可以点击 如果您的组织使用双证书,您还可以选择将辅助证书切换为主证书或删除现有的辅助证书。 |
| 4 |
点击 续订证书。 |
| 5 |
选择贵组织使用的身份提供商类型。
如果您的 IdP 支持一个证书,我们建议您等到已安排的停机时间再执行这些步骤。在更新 Webex 证书时,新发起的用户登录操作将暂时失效,现有的登录状态则会保留。 |
| 6 |
选择续订的证书类型:
|
| 7 |
要确认是否要将当前证书替换为所选证书,请勾选 单击“替换证书” 我将用所选证书替换当前证书,然后单击 替换证书。 |
| 8 |
在 续订服务提供商 (SP) 证书 页面中,单击 下载元数据 或 下载证书 从 Webex 云下载更新后的元数据文件或证书副本。 |
| 9 |
导航至 IdP 管理界面以上传新的 Webex 元数据文件。
|
| 10 |
返回控制中心界面。在 “续订服务提供商 (SP) 证书 ”页面上,选中 “我已经更新了所有 IdP 的元数据” ,然后单击 “下一步” 。 |
| 11 |
单击 完成. |
。
下载 SP 元数据或证书。 有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。
| 1 |
要查看 IdP SAML 证书是否即将过期,请执行以下操作:
|
| 2 |
导航至 IdP 管理界面以检索新的元数据文件。
|
| 3 |
返回到 身份提供商 选项卡。 |
| 4 |
前往 IdP,点击 |
| 5 |
将您的 IdP 元数据文件拖放到窗口中,或者单击 选择文件 并以这种方式上传。 |
| 6 |
选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 |
| 7 |
单击 测试 SSO 更新 以确认新的元数据文件已上传并正确解析到您的 Control Hub 组织。在弹出窗口中确认预期结果,如果测试成功,请选择 测试成功:激活 SSO 和 IdP 并单击 保存。 要直接查看 SSO 登录体验,我们建议您从此屏幕点击 复制 URL 到剪贴板 并将其粘贴到隐私浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。 结果: 您已经完成,组织的 IdP 证书现已续订。您可以随时在 身份提供程序 选项卡下查看证书状态。
|
并选择 当您需要重新将最新 Webex SP 元数据添加到 IdP 时,可随时将其导出。当导入的 IdP SAML 元数据即将过期或已经过期时,您将收到通知。
此步骤在常见的 IdP SAML 证书管理场景中非常有用,例如支持之前未完成导出的多个证书的 IdP,如果由于 IdP 管理员不可用而未将元数据导入 IdP,或您的 IdP 只支持更新该证书。此选项只需通过更新 SSO 配置和活动后验证中的证书即可最大限度地减少更改。
| 1 | |
| 2 |
前往 。 |
| 3 |
转到 “身份提供商 ”选项卡。 |
| 4 |
前往 IdP,点击 Webex App 元数据文件名是 idb-meta-<org-ID>-SP.xml。 |
| 5 |
将元数据导入您的 IdP。 按照 IdP 文档导入 Webex SP 元数据。您可以使用我们的 IdP 集成指南,或者如果未列出,参考特定 IdP 的文档。 |
| 6 |
完成后,按照本文中 |
并选择 在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。
无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。请参阅 Control Hub 中的警报中心了解更多信息。
| 1 | |
| 2 |
前往 警报中心。 |
| 3 |
选择管理,然后选择所有规则。 |
| 4 |
从“规则”列表中,选择要创建的任何 SSO 规则:
|
| 5 |
在传递通道部分,选中电子邮件、Webex 空间或者二者结合的对话框。 如果选择电子邮件,则输入接收通知的电子邮件地址。 如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。 |
| 6 |
保存更改。 |
下一步
从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。(您将在第 60、45、30 和 15 天收到警报。)续订证书后,警报将停止。
您可能会看到一条通知,提示单一注销 URL 未配置:
我们建议您对 IdP 进行配置,以支持单点注销(亦称为“SLO”)。Webex 支持重定向和 post 方法,在我们从 Control Hub 下载的元数据中提供。并非所有 IdP 都支持 SLO;请联系 IdP 团队寻求帮助。有时,对于支持 SLO 的主要 IdP 供应商(如 AzureAD、Ping Federate、ForgeRock 和 Oracle ) ,我们会记录如何配置集成。请查阅您的身份信息 & 安全团队了解您的身份提供商的具体细节以及如何正确配置它。
如果未配置单一注销 URL:
-
现有 IdP 会话仍然有效。用户下次登录时,IdP 可能不会要求他们重新进行身份验证。
-
注销时我们会显示警告消息,因此 Webex 应用程序注销不会无缝发生。
您可以禁用 Webex 组织(在 Control Hub 中管理)的单点登录 (SSO) 功能。如果您要更换身份提供商 (IdP),则可能需要禁用 SSO。
如果您的组织启用了单点登录功能,但失败了,则可以让可以访问您 Webex 组织的 Cisco 合作伙伴为您禁用。
| 1 | |
| 2 |
前往 。 |
| 3 |
转到 “身份提供商 ”选项卡。 |
| 4 |
点击 停用 SSO。 将显示警告您禁用 SSO 的弹出窗口:
如果您禁用 SSO,则密码将由云而不是您的集成 IdP 配置管理。 |
| 5 |
如果您了解禁用 SSO 的影响,仍要继续操作,请单击停用。 单点登录已停用,所有 SAML 证书列表均已删除。 如果禁用 SSO,则需要进行身份验证的用户在登录过程中将看到密码输入字段。
|
下一步
如果您或客户重新配置客户组织的 SSO,则用户帐户将恢复使用与 Webex 组织集成的身份提供商 (IdP) 设置的密码策略。
如果您在使用 SSO 登录时遇到问题,可以使用 SSO 自助恢复选项 来访问您在 Control Hub 中管理的 Webex 组织。自助恢复选项允许您在控制中心更新或禁用 SSO。
