感谢您的反馈。
在Control Hub中管理单点登录集成
反馈?
如果组织的证书使用率设置为“零”,但您仍然收到警报,我们建议您继续进行升级。SSO 部署目前没有使用该证书,但今后的更改可能会需要该证书。
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 Webex 单点登录 (SSO) 证书即将过期的警报。请按照本文中的流程通过我们(服务商)检索 SSO 云证书元数据,并重新添加到您的 IdP,否则用户将无法使用 Webex 服务。
如果您在Webex组织中使用SAML Cisco (SP) SSO证书,则必须计划尽快在定期安排的维护窗口中更新云证书。
所有属于您的 Webex 组织订阅的服务都将受影响,包括但不限于:
-
Webex 应用程序(所有平台的全新登录:桌面、移动和 Web)
-
Webex 服务(在 Control Hub 中),包括呼叫
-
Webex Meetings 站点(通过 Control Hub 管理)
-
Cisco Jabber(如果它与 SSO 集成)
准备工作
请在开始之前阅读所有的说明。在更改证书或通过向导更新证书后,新用户可能无法成功登录。
如果您的IdP不支持多个证书(市场上大多数IdPs不支持此功能),我们建议您在维护窗口中安排此升级,因为Webex App用户不会受到影响。这些升级任务大约需要30分钟(操作时间和活动后验证)。
| 1 |
要查看 SAML Cisco (SP) SSO 证书是否即将过期,请执行以下操作:
您也可以直接进入 SSO 向导,以更新证书。如果您决定在完成该向导之前退出该向导,您可以随时从https://admin.webex.com重新访问该向导。 |
| 2 |
转至IdP,然后单击 |
| 3 |
单击审核证书和到期日期。 |
| 4 |
单击更新证书。 |
| 5 |
选择您的组织使用的IdP类型。
如果您的 IdP 支持一个证书,我们建议您等到已安排的停机时间再执行这些步骤。在更新 Webex 证书时,新发起的用户登录操作将暂时失效,现有的登录状态则会保留。 |
| 6 |
选择续订的证书类型:
|
| 7 |
单击下载元数据文件从 Webex 云下载新证书的已更新元数据副本。保持此屏幕处于打开状态。 |
| 8 |
导航至 IdP 管理界面以上传新的 Webex 元数据文件。
|
| 9 |
返回您登录到Control Hub的选项卡,然后单击下一步。 |
| 10 |
使用新的SP证书和元数据更新IdP,然后单击下一步。
|
| 11 |
单击完成续订。 |
。有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。
| 1 |
要查看 IdP SAML 证书是否即将过期,请执行以下操作:
|
| 2 |
导航至 IdP 管理界面以检索新的元数据文件。
|
| 3 |
返回身份提供者 选项卡。 |
| 4 |
转至IdP,单击 |
| 5 |
将IdP元数据文件拖放到窗口中,或者单击选择文件 然后以这种方式上传。 |
| 6 |
选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 |
| 7 |
单击测试SSO更新 以确认新元数据文件已上传并正确解释到您的Control Hub组织。在弹出窗口中确认预期结果,如果测试成功,选择成功测试:激活SSO和IdP ,然后单击保存。 要直接查看SSO登录体验,我们建议您单击此屏幕上的复制网址到剪贴板 ,并将其粘贴到专用浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。 结果:您已经完成,组织的 IdP 证书现已续订。您可以随时在身份提供者 标签卡下查看证书状态。
|
并选择当您需要重新将最新 Webex SP 元数据添加到 IdP 时,可随时将其导出。当导入的 IdP SAML 元数据即将过期或已经过期时,您将收到通知。
此步骤在常见的 IdP SAML 证书管理场景中非常有用,例如支持之前未完成导出的多个证书的 IdP,如果由于 IdP 管理员不可用而未将元数据导入 IdP,或您的 IdP 只支持更新该证书。此选项只需通过更新 SSO 配置和活动后验证中的证书即可最大限度地减少更改。
| 1 |
从 https://admin.webex.com 中的客户视图,转至 ,滚动至单点登录 ,然后单击管理SSO和IdPs。 |
| 2 |
转至身份提供者 选项卡。 |
| 3 |
转至IdP,单击 Webex应用程序元数据文件名为 idb-meta--SP.xml。 |
| 4 |
将元数据导入您的 IdP。 按照 IdP 文档导入 Webex SP 元数据。您可以使用我们的 IdP 集成指南,或者如果未列出,参考特定 IdP 的文档。 |
| 5 |
完成后,请使用本文中的 |
并选择当 IdP 环境发生变化或 IdP 证书即将过期时,您随时可以将更新后的元数据导入 Webex。
准备工作
收集 IdP 元数据,一般作为导出的 xml 文件。
| 1 |
从 https://admin.webex.com 中的客户视图,转至 ,滚动至单点登录 ,然后单击管理SSO和IdPs。 |
| 2 |
转至身份提供者 选项卡。 |
| 3 |
转至IdP,单击 |
| 4 |
将 IdP 元数据文件拖放到该窗口或单击选择元数据文件,并按该方式上传。 |
| 5 |
选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 |
| 6 |
单击测试SSO设置,当新浏览器标签页打开时,通过登录使用IdP进行身份验证。 |
在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。
无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。请参阅 Control Hub 中的警报中心了解更多信息。
| 1 | |
| 2 |
转至警报中心。 |
| 3 |
选择管理,然后选择所有规则。 |
| 4 |
从“规则”列表中,选择要创建的任何 SSO 规则:
|
| 5 |
在传递通道部分,选中电子邮件、Webex 空间或者二者结合的对话框。 如果选择电子邮件,则输入接收通知的电子邮件地址。 如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。 |
| 6 |
保存更改。 |
下一步
从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。(您可以期待第60、45、30和15天的警报。)当您续订证书时,警报将停止。
您可能会看到未配置单注销URL的通知:
我们建议您对 IdP 进行配置,以支持单点注销(亦称为“SLO”)。Webex 支持重定向和 post 方法,在我们从 Control Hub 下载的元数据中提供。并非所有 IdP 都支持 SLO;请联系 IdP 团队寻求帮助。有时,对于支持SLO的AzureAD、Ping Federate、ForgeRock和Oracle等主要IdP供应商,我们会记录如何配置集成。请咨询您的身份和安全团队,了解IDP的详细内容以及如何正确配置。
如果未配置单注销URL:
-
现有 IdP 会话仍然有效。用户下次登录时,IdP 可能不会要求他们重新进行身份验证。
-
注销时我们会显示警告消息,因此 Webex 应用程序注销不会无缝发生。
您可以禁用 Webex 组织(在 Control Hub 中管理)的单点登录 (SSO) 功能。如果您正在更改身份提供商(IdPs),则可能需要禁用SSO。
如果您的组织启用了单点登录功能,但失败了,则可以让可以访问您 Webex 组织的 Cisco 合作伙伴为您禁用。
| 1 |
从 https://admin.webex.com 中的客户视图,转至 ,滚动至单点登录 ,然后单击管理SSO和IdPs。 |
| 2 |
转至身份提供者 选项卡。 |
| 3 |
单击停用SSO。 将显示警告您禁用 SSO 的弹出窗口:
如果您禁用 SSO,则密码将由云而不是您的集成 IdP 配置管理。 |
| 4 |
如果您了解禁用 SSO 的影响,仍要继续操作,请单击停用。 已停用SSO,并删除所有SAML证书列表。 如果禁用SSO,则必须进行身份验证的用户将在登录过程中看到密码输入字段。
|
下一步
如果您或客户为客户组织重新配置SSO,则使用与Webex组织集成的IdP设置的密码策略返回用户帐户。
如果SSO登录时遇到问题,您可以使用 SSO自我恢复选项 访问在Control Hub中管理的Webex组织。自我恢复选项允许您在Control Hub中更新或禁用SSO。
