无论是收到关于到期证书的通知,还是要检查现有 SSO 配置,您都可以使用 Control Hub 中的单点登录 (SSO) 管理功能来进行证书管理和常规 SSO 维护活动。 本文中的各个选项卡分别涵盖每项 SSO 管理功能。
 |
如果组织的证书使用率设置为“零”,但您仍然收到警报,我们建议您继续进行升级。 SSO 部署目前没有使用该证书,但今后的更改可能会需要该证书。 |
|
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 Webex 单点登录 (SSO) 证书即将过期的警报。 请按照本文中的流程通过我们(服务商)检索 SSO 云证书元数据,并重新添加到您的 IdP,否则用户将无法使用 Webex 服务。 |
如果您在 Webex 组织中使用的是 SAML Cisco (SP) SSO 证书,请尽快在已安排的常规维护时段计划更新云证书。
所有属于您的 Webex 组织订阅的服务都将受影响,包括但不限于:
Webex 应用程序(所有平台的全新登录: 桌面、移动和 Web)
Webex 服务(在 Control Hub 中),包括呼叫
Webex Meetings 站点(通过 Control Hub 管理)
Cisco Jabber(如果它与 SSO 集成)
准备工作
 |
请在开始之前阅读所有的说明。 在更改证书或通过向导更新证书后,新用户可能无法成功登录。 |
如果您的 IdP 不支持多个证书(市场上的大多数 IdP 都不支持该功能),我们建议您在不影响 Webex 应用程序用户的维护时段安排此升级。 这些升级任务的操作和活动后验证大约需要 30 分钟。
| 1 | 要查看 SAML Cisco (SP) SSO 证书是否即将过期,请执行以下操作:
您也可以直接进入 SSO 向导,以更新证书。 如果您决定在完成之前退出向导,则可以从(在https://admin.webex.com中)重新访问该向导。 |
||
| 2 | 选择续订的证书类型:
|
||
| 3 | 单击下载元数据文件从 Webex 云下载新证书的已更新元数据副本。 保持此屏幕处于打开状态。 |
||
| 4 | 导航至 IdP 管理界面以上传新的 Webex 元数据文件。
|
||
| 5 | 返回到登录 Control Hub 的选项卡,然后单击下一步。 |
||
| 6 | 单击测试 SSO 更新以确认新的元数据文件已上传并且能够正确地被您的 IdP 解析。 在弹出窗口中,确认测试结果是否符合预期,如果测试成功,单击切换到新的元数据。
结果: 您已经完成,组织的 SAML Cisco (SP) SSO 证书现已续订。 您随时可以通过打开下的 SAML 证书状态表查看证书状态。
|
|
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。 因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。 |
| 1 | 要查看 IdP SAML 证书是否即将过期,请执行以下操作:
|
||
| 2 | 导航至 IdP 管理界面以检索新的元数据文件。
|
||
| 3 | 返回(在https://admin.webex.com中),然后选择。 |
||
| 4 | 将 IdP 元数据文件拖放到该窗口或单击选择元数据文件,并按该方式上传。 |
||
| 5 | 选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 |
||
| 6 | 单击测试 SSO 更新以确认新的元数据文件已上传并且正确地解析至您的 Control Hub 组织。 在弹出窗口中,确认测试结果是否符合预期,如果测试成功,单击切换到新的元数据。
结果: 您已经完成,组织的 IdP 证书现已续订。 您随时可以通过打开下的 SAML 证书状态表查看证书状态。
|
当您需要重新将最新 Webex SP 元数据添加到 IdP 时,可随时将其导出。 当导入的 IdP SAML 元数据即将过期或已经过期时,您将收到通知。
此步骤在常见的 IdP SAML 证书管理场景中非常有用,例如支持之前未完成导出的多个证书的 IdP,如果由于 IdP 管理员不可用而未将元数据导入 IdP,或您的 IdP 只支持更新该证书。 此选项只需通过更新 SSO 配置和活动后验证中的证书即可最大限度地减少更改。
| 1 | 在https://admin.webex.com的客户视图中,转至,滚动至身份验证,然后选择。 Webex 应用程序元数据文件名是 idb-meta-<org-ID>-SP.xml。 |
| 2 | 将元数据导入您的 IdP。 按照 IdP 文档导入 Webex SP 元数据。 您可以使用我们的 IdP 集成指南,或者如果未列出,参考特定 IdP 的文档。 |
| 3 | 完成后,使用本文中“续订 Webex 证书 (SP)”中的步骤运行中的步骤运行 SSO 测试。 |
当 IdP 环境发生变化或 IdP 证书即将过期时,您随时可以将更新后的元数据导入 Webex。
准备工作
收集 IdP 元数据,一般作为导出的 xml 文件。
| 1 | 在https://admin.webex.com的客户视图中,转至,滚动至身份验证,然后选择。 |
| 2 | 将 IdP 元数据文件拖放到该窗口或单击选择元数据文件,并按该方式上传。 |
| 3 | 选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 |
在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。 这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。 我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。
|
无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。 请参阅 Control Hub 中的警报中心了解更多信息。 |
| 1 | 从https://admin.webex.com中的客户视图,转至警报中心。 |
||
| 2 | 选择管理,然后选择所有规则。 |
||
| 3 | 从“规则”列表中,选择要创建的任何 SSO 规则:
|
||
| 4 | 在传递通道部分,选中电子邮件、Webex 空间或者二者结合的对话框。 如果选择电子邮件,则输入接收通知的电子邮件地址。
|
||
| 5 | 保存更改。 |
下一步
从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。 (您会在到期前第 60 天、第 45 天、第 30 天和第 15 天收到警报。) 您续订证书后,会立即停止发送警报。
您可能会收到未配置单点注销 URL 的通知:
|
我们建议您对 IdP 进行配置,以支持单点注销(亦称为“SLO”)。 Webex 支持重定向和 post 方法,在我们从 Control Hub 下载的元数据中提供。 并非所有 IdP 都支持 SLO;请联系 IdP 团队寻求帮助。 在有些情况下,对于确实支持 SLO 的主要 IdP 供应商,如 AzureAD、Ping Federate、ForgeRock 和 Oracle 等,我们记录集成配置方式。 请向身份和安全团队咨询有关 IDP 和正确配置方式的详细信息。 |
如果未配置单点注销 URL:
现有 IdP 会话仍然有效。 用户下次登录时,IdP 可能不会要求他们重新进行身份验证。
注销时我们会显示警告消息,因此 Webex 应用程序注销不会无缝发生。
您可以禁用 Webex 组织(在 Control Hub 中管理)的单点登录 (SSO) 功能。 您可能想要禁用您正在更改身份提供程序 (IdP) 的 SSO。
|
如果您的组织启用了单点登录功能,但失败了,则可以让可以访问您 Webex 组织的 Cisco 合作伙伴为您禁用。 |
| 1 | 从https://admin.webex.com中的客户视图,转至,然后滚动至身份验证。 |
| 2 | 要关闭 SSO,请关闭单点登录设置。 将显示警告您禁用 SSO 的弹出窗口:
如果您禁用 SSO,则密码将由云而不是您的集成 IdP 配置管理。 |
| 3 | 如果您了解禁用 SSO 的影响,仍要继续操作,请单击停用。 在 Control Hub 中,您将看到 SSO 设置被关闭,以及所有 SAML 证书列表被删除。 如果禁用 SSO,必须进行身份验证的用户将在登录过程中看到密码输入字段。
|
下一步
如果您或客户为客户组织重新配置 SSO,用户帐户将恢复为使用与 Webex 组织集成的 IdP 设置的密码策略。
