如何變更單一登入提供者上的憑證?

如何變更單一登入提供者上的憑證?

如何更新 ADFS 憑證?

 

Cisco Webex 未為特定單一登入提供者提供有關執行定期維護的文件或指引。

Webex 技術支援發現需要此資訊的 ADFS 客戶認為以下 Microsoft 支援文章很有用:


附註:
  • Cisco Webex 不保證此資訊的準確性或它與特定部署的相關性。
  • 如需其他協助,您應聯絡您的單一登入供應商以尋求特定協助。

有關憑證和 Webex 實作 SAML 2.0 規格的一般指導:

一般來說,要實現 SSO,您必須在身分管理服務(通常稱為 IDP)與 Webex 網站管理或 Webex Messenger 管理入口網站之間具有目前有效的信任關係。 (分別用於 Cisco Webex Meetings 套件或 Cisco Webex Messenger 客戶)

這可在 SAML 中由 SAML 判斷提示方簽署 SAML 回應來完成。 Webex 不要求 SAML 判斷提示包含公用簽署憑證,但進行疑難排解時,在 SAML 回應中包含此內容是很好的做法。 Webex 要求簽署判斷提示。 請注意,回應也可以簽署,但這不是必要的,且 Webex 不會從對判斷提示的回應繼承憑證簽章。

記住的要點:
  • 用於簽署 SAML 判斷提示的憑證必須是最新的,且與上傳至您使用的 Webex 服務的「管理」頁面的憑證相符。
  • 憑證不需要由 CA 簽署,因為信任關係是透過手動上傳憑證而不是透過通訊協定協商(如 HTTPS)建立的。
  • 上傳至 Webex 管理的憑證應使用 Base-64 編碼 PEM 格式的 .cer 檔案,以取得最佳結果。

執行憑證升級的最佳做法:

Cisco Webex 建議您為此維護排定一小段停機時間。 在變更 IDP 上的憑證與變更憑證之間的時間內,Webex 管理入口網站使用者將無法登入。 已經過驗證的主持人/出席者,以及目前驗證階段作業中的 Jabber 使用者不會受影響。 附註: 使用 Jabber 對 Jabber 通話的 Jabber 使用者必須每隔 24 小時驗證 Webex 服務,而不論其他服務的驗證階段作業長度如何。 在維護期間嘗試向 Webex 服務驗證的 Jabber 使用者將收到「回應訊息無效 (29)」的訊息,Webex Business Suite 主持人和出席者嘗試驗證帳戶時,將收到錯誤「用於驗證 SAML 判斷提示的 X.509 憑證不正確 (8)」。

先決條件
  • 請準備好私密金鑰和公開金鑰憑證,以上傳至 IDP 和 Webex 管理頁面。
  • Webex Business Suite 網站管理員具有管理員帳戶的密碼。
    • 您可以在開始維護前設定密碼。
    • 如果在開始維護後忘記密碼,您將失去登入帳戶的存取權,且只有在其他網站管理員或 Webex 技術支援協助下才能重新取得存取權。
  • Webex Messenger 的管理員還有使用者名稱和密碼,如果在 SSO 無法使用時需要驗證,您可以使用這些使用者名稱和密碼登入。
如需有關在 Webex 網站管理上更新新憑證的說明,請參閱: 為 Cisco Webex 網站設定單一登入

疑難排解:

如果在更新新憑證後無法驗證,請嘗試以下作業:
  • 確保憑證已成功上傳至 IDP。
  • 確保 Webex 管理入口網站顯示正確的憑證。
  • 確保 IDP 提供 SAML 回應。
    • Webex 技術支援通常使用 Chrome、Firefox 和 Internet Explorer 中的內建開發人員工具來驗證 IDP 是否提供 SAML 回應。
    • Webex 技術支援通常使用稱為 Fiddler 的第三方應用程式來收集從應用程式或瀏覽器進行 HTTPS 交易的記錄。
  • 確保 SAML 回應中包含正確的憑證。
其他協助

:如果您需要協助,請聯絡 Cisco Webex 技術支援。

Webex 技術支援無法提供有關 SSO 設定或實作的 IDP 供應商特定指示,但是,您可以提供有關錯誤傳訊和除錯的一般指導。
 

本文是否有幫助?