如果您要为组织中的多个身份提供商设置 SSO,请参阅 Webex 中具有多个 IdP 的 SSO

如果组织的证书使用率设置为“零”,但您仍然收到警报,我们建议您继续进行升级。SSO 部署目前没有使用该证书,但今后的更改可能会需要该证书。

Webex 服务商 (SP) 证书

有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 Webex 单点登录 (SSO) 证书即将过期的警报。请按照本文中的流程通过我们(服务商)检索 SSO 云证书元数据,并重新添加到您的 IdP,否则用户将无法使用 Webex 服务。

如果您在 Webex 组织中使用 SAML Cisco (SP) SSO 证书,则必须尽快计划在定期维护时段内更新云证书。

所有属于您的 Webex 组织订阅的服务都将受影响,包括但不限于:

  • Webex 应用程序(所有平台的全新登录:桌面、移动和 Web)

  • Webex 服务(在 Control Hub 中),包括呼叫

  • Webex Meetings 站点(通过 Control Hub 管理)

  • Cisco Jabber(如果它与 SSO 集成)

准备工作

请在开始之前阅读所有的说明。在更改证书或通过向导更新证书后,新用户可能无法成功登录。

如果您的 IdP 不支持多个证书(市场上的大多数 IdP 不支持此功能),我们建议您在 Webex App 用户不受影响的维护时段内安排此升级。这些升级任务的运行时间和事后验证大约需要 30 分钟。

1

要查看 SAML Cisco (SP) SSO 证书是否即将过期,请执行以下操作:

  • 您可能已收到我们发送的电子邮件或 Webex 应用程序消息,但应该在 Control Hub 中查看确认。

  • 登录 Control Hub,并检查您的 Alerts center。可能会发布有关 SSO 服务商证书更新的通知。

  • 前往 管理 > 安全 > 验证
  • 转到 身份提供商 选项卡并记下Cisco SP证书状态和到期日期。

您也可以直接进入 SSO 向导,以更新证书。如果您决定在完成向导之前退出,您可以随时从 管理 再次访问它。 > 安全 > Control Hub [ 中的 身份验证

2

转到 IdP 并点击

3

单击 查看证书和到期日期

4

单击 更新证书

5

选择您的组织使用的 IdP 类型。

  • 支持多个证书的 IdP
  • 支持单个证书的 IdP

如果您的 IdP 支持一个证书,我们建议您等到已安排的停机时间再执行这些步骤。在更新 Webex 证书时,新发起的用户登录操作将暂时失效,现有的登录状态则会保留。

6

选择续订的证书类型:

  • 由 Cisco 自签名— 我们推荐此选项。我们在证书上签名,您只需每五年续订一次。
  • 由公共证书颁发机构签名—更安全,但您需要经常更新元数据(除非您的 IdP 供应商支持信任锚)。

    信任锚是充当验证数字签名证书的认证中心的公共密钥。有关更多信息,请参阅 IdP 文档。

    在继续执行下一步之前,请确保您已准备好更新证书并在组织的变更窗口内进行操作。选择 自签名 Cisco由公共证书颁发机构签名 会立即创建一个新证书。一旦单个 IdP 的证书发生变化,SSO 就会停止,直到证书或元数据上传到 IdP 上。因此,完成更新过程非常重要。

7

单击下载元数据文件从 Webex 云下载新证书的已更新元数据副本。保持此屏幕处于打开状态。

8

导航至 IdP 管理界面以上传新的 Webex 元数据文件。

  • 此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。
  • 如需参考,请参阅我们的 SSO 集成指南或联系您的 IdP 管理员寻求支持。如果在 Active Directory 联合服务 (AD FS) 上,您可以参阅如何更新 AD FS 中的 Webex 元数据
9

返回您登录 Control Hub 的选项卡,然后单击 下一步

10

使用新的 SP 证书和元数据更新 IdP,然后单击 下一步

  • 已更新所有 IdP
  • 如果您需要更多时间来更新,请将续订的证书保存为辅助选项
11

点击 完成续订

身份提供程序 (IdP) 证书

有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。

1

要查看 IdP SAML 证书是否即将过期,请执行以下操作:

  • 您可能已收到我们发送的电子邮件或 Webex 应用程序消息,但应该在 Control Hub 中查看确认。
  • 登录 Control Hub,并检查您的 Alerts center。可能会发布有关 IdP SAML 证书更新的通知:

  • 前往 管理 > 安全 > 验证
  • 转到 身份提供者 选项卡并记下 IdP 证书状态(已过期或即将过期)和过期日期。

  • 您也可以直接进入 SSO 向导,以更新证书。如果您决定在完成向导之前退出,您可以随时从 管理 再次访问它。 > 安全 > 控制中心中的 身份验证

2

导航至 IdP 管理界面以检索新的元数据文件。

  • 此步骤可以通过浏览器选项卡、远程桌面协议 (RDP) 或通过特定的云提供商支持来完成,具体取决于您的 IdP 设置以及此步骤由您还是单独的 IdP 管理员负责。
  • 如需参考,请参阅我们的 SSO 集成指南或联系您的 IdP 管理员寻求支持。
3

返回 身份提供者 选项卡。

4

转到 IdP,单击 upload 并选择 上传 Idp 元数据

5

将您的 IdP 元数据文件拖放到窗口中或单击 选择文件 并通过该方式上传。

6

选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。

7

单击 测试 SSO 更新 以确认新的元数据文件已上传并正确解释到您的 Control Hub 组织。在弹出的窗口中确认预期结果,如果测试成功,选择 测试成功:激活 SSO 和 IdP 并点击 保存

要直接查看 SSO 登录体验,我们建议您从此屏幕单击 将 URL 复制到剪贴板 并将其粘贴到私人浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。

结果: 您已经完成,组织的 IdP 证书现已续订。您可以在 身份提供者 选项卡下随时检查证书状态。

当您需要重新将最新 Webex SP 元数据添加到 IdP 时,可随时将其导出。当导入的 IdP SAML 元数据即将过期或已经过期时,您将收到通知。

此步骤在常见的 IdP SAML 证书管理场景中非常有用,例如支持之前未完成导出的多个证书的 IdP,如果由于 IdP 管理员不可用而未将元数据导入 IdP,或您的 IdP 只支持更新该证书。此选项只需通过更新 SSO 配置和活动后验证中的证书即可最大限度地减少更改。

1

登录到 Control Hub。

2

前往 管理 > 安全 > 验证

3

转到 身份提供者 选项卡。

4

转到 IdP,单击 下载 并选择 下载 SP 元数据

Webex App 元数据文件名为 idb-meta-<org-ID>-SP.xml

5

将元数据导入您的 IdP。

按照 IdP 文档导入 Webex SP 元数据。您可以使用我们的 IdP 集成指南,或者如果未列出,参考特定 IdP 的文档。

6

完成后,使用本文中 更新 Webex 证书 (SP) 中的步骤运行 SSO 测试。

当 IdP 环境发生变化或 IdP 证书即将过期时,您随时可以将更新后的元数据导入 Webex。

准备工作

收集 IdP 元数据,一般作为导出的 xml 文件。

1

登录到 Control Hub。

2

前往 管理 > 安全 > 验证

3

转到 身份提供者 选项卡。

4

转到 IdP,单击 upload 并选择 上传 Idp 元数据

5

将 IdP 元数据文件拖放到该窗口或单击选择元数据文件,并按该方式上传。

6

选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。

7

单击 测试 SSO 设置,当打开新的浏览器选项卡时,通过登录向 IdP 进行身份验证。

在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。

无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。请参阅 Control Hub 中的警报中心了解更多信息。

1

登录到 Control Hub。

2

前往 警报中心

3

选择管理,然后选择所有规则

4

从“规则”列表中,选择要创建的任何 SSO 规则:

  • SSO IDP 证书过期
  • SSO SP 证书过期
5

在传递通道部分,选中电子邮件Webex 空间或者二者结合的对话框。

如果选择电子邮件,则输入接收通知的电子邮件地址。

如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。

6

保存更改。

下一步

从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。(您可能会在第 60、45、30 和 15 天收到警报。)当您更新证书时,警报将停止。

您可能会看到一条通知,提示未配置单点注销 URL:

我们建议您对 IdP 进行配置,以支持单点注销(亦称为“SLO”)。Webex 支持重定向和 post 方法,在我们从 Control Hub 下载的元数据中提供。并非所有 IdP 都支持 SLO;请联系 IdP 团队寻求帮助。有时,对于支持 SLO 的主要 IdP 供应商(如 AzureAD、Ping Federate、ForgeRock 和 Oracle), 我们会记录如何配置集成。咨询您的身份 & 安全团队了解您的 IDP 的具体情况以及如何正确配置它。

如果未配置单点注销 URL:

  • 现有 IdP 会话仍然有效。用户下次登录时,IdP 可能不会要求他们重新进行身份验证。

  • 注销时我们会显示警告消息,因此 Webex 应用程序注销不会无缝发生。

您可以禁用 Webex 组织(在 Control Hub 中管理)的单点登录 (SSO) 功能。如果您要更改身份提供商 (IdP),则可能需要禁用 SSO。

如果您的组织启用了单点登录功能,但失败了,则可以让可以访问您 Webex 组织的 Cisco 合作伙伴为您禁用。

1

登录到 Control Hub。

2

前往 管理 > 安全 > 验证

3

转到 身份提供者 选项卡。

4

点击 停用 SSO

将显示警告您禁用 SSO 的弹出窗口:

停用 SSO

如果您禁用 SSO,则密码将由云而不是您的集成 IdP 配置管理。

5

如果您了解禁用 SSO 的影响,仍要继续操作,请单击停用

SSO 已停用,并且所有 SAML 证书列表均被删除。

如果禁用 SSO,则必须进行身份验证的用户将在登录过程中看到密码输入字段。

  • Webex 应用程序中没有密码的用户必须重置其密码,或者您必须向他们发送电子邮件以设置密码。

  • 拥有有效 OAuth 令牌、经过身份验证的现有用户将继续拥有 Webex 应用程序访问权限。

  • 在禁用 SSO 时创建的新用户会收到一封电子邮件,要求他们创建密码。

下一步

如果您或客户为客户组织重新配置 SSO,用户帐户将恢复使用与 Webex 组织集成的 IdP 设置的密码策略。

如果您在 SSO 登录时遇到问题,您可以使用 SSO 自我恢复选项 来访问在 Control Hub 中管理的 Webex 组织。自我恢复选项允许您在 Control Hub 中更新或禁用 SSO。