感謝您的意見回饋。
管理 Control Hub 中的單一登入整合
意見回饋?
如果貴組織的憑證使用方式設定為「無」,但您仍然收到警示,我們建議您繼續升級。您的 SSO 部署目前未使用憑證,但可能需要憑證才能進行未來的變更。
有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 Webex 單一登入 (SSO) 憑證即將到期。請遵循本文中的程序以向我們 (SP) 擷取 SSO 雲端憑證中繼資料,然後將其新增回您的 IdP;否則使用者將無法使用 Webex 服務。
如果您在Webex組織中使用SAML Cisco (SP) SSO憑證,則必須計劃在定期的排定維護時段內盡快更新雲端憑證。
屬於 Webex 組織訂閱的所有服務都會受到影響,包括但不限於:
-
Webex 應用程式(所有平台的新登入:桌上型電腦、行動裝置及 Web)
-
Webex 服務(位於 Control Hub 中),包括呼叫
-
Webex Meetings 網站(透過 Control Hub 管理)
-
Cisco Jabber(如果已與 SSO 整合)
在開始之前
請在開始之前閱讀所有指示。在您變更憑證或執行精靈以更新憑證後,新使用者可能無法成功登入。
如果您的 IdP 不支援多個憑證(市場上的大多數 IdP 不支援此功能),我們建議您在Webex應用程式使用者不受影響的維護時段內排定此升級。這些升級任務大約需要 30 分鐘的操作時間和活動後驗證。
| 1 |
若要檢查 SAML Cisco (SP) SSO 憑證是否即將過期:
您也可以直接進入 SSO 精靈以更新憑證。如果您決定在精靈完成之前退出它,您可以隨時從 於https://admin.webex.com。 |
| 2 |
移至 IdP 並按一下 |
| 3 |
按一下複查憑證和到期日期。 |
| 4 |
按一下續訂憑證。 |
| 5 |
選擇您的組織使用的 IdP 類型。
如果您的 IdP 支援單一憑證,我們建議您等到在排定的停機時間期間執行這些步驟。Webex 憑證正在更新時,短暫登入的新使用者將不會工作;而現有登入會保留。 |
| 6 |
選擇續訂的憑證類型:
|
| 7 |
按一下下載中繼資料檔案,以從 Webex 雲端下載具有新憑證的已更新中繼資料副本。保持此螢幕開啟。 |
| 8 |
導覽至您的 IdP 管理介面,以上傳新的 Webex 中繼資料檔案。
|
| 9 |
回到您登入 Control Hub 的標籤,然後按一下下一個。 |
| 10 |
使用新的 SP 憑證和中繼資料更新 IdP,然後按一下下一個。
|
| 11 |
按一下完成續訂。 |
。有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。
| 1 |
若要檢查 IdP SAML 憑證是否即將過期:
|
| 2 |
導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。
|
| 3 |
返回到身分識別提供者 標籤。 |
| 4 |
移至 IdP,按一下 |
| 5 |
將 IdP 中繼資料檔案拖放到視窗中或按一下選擇檔案 並以這種方式上傳。 |
| 6 |
根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。 |
| 7 |
按一下測試SSO更新 確認是否已將新的中繼資料檔案上傳並正確解析至 Control Hub 組織。請確認快顯視窗中的預期結果,如果測試成功,請選取成功的測試:啟動SSO和 IdP 並按一下儲存。 若要直接查看SSO登入體驗,我們建議您按一下將URL複製到剪貼板 從此螢幕中選取,並將其貼在私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。 結果:您已完成,貴組織的 IdP 憑證現已續訂。您可以在以下情況下隨時檢查憑證狀態:身分識別提供者 標籤。
|
並選取每當您需要將最新的 Webex SP 中繼資料新增回 IdP 時,可以將其匯出。當所匯入的 IdP SAML 中繼資料即將過期或已過期時,您將看到一則通知。
此步驟在一般 IdP SAML 憑證管理情境中很有用,例如支援多個先前未完成匯出憑證的 IdP、中繼資料因 IdP 管理員無法使用而未匯入至 IdP,或者您的 IdP 支援僅更新憑證的功能。此選項可以協助最大限度減少變更,只需更新您 SSO 設定和事件後驗證中的憑證。
| 1 |
從 的客戶視圖中https://admin.webex.com,轉至,捲動至單一登入 並按一下管理SSO和 IdP 。 |
| 2 |
轉至身分識別提供者 標籤。 |
| 3 |
移至 IdP,按一下 Webex應用程式中繼資料檔案名為idb 中繼-SP.xml 。 |
| 4 |
將中繼資料匯入您的 IdP。 遵循 IdP 的文件以匯入 Webex SP 中繼資料。您可以使用我們的 IdP 整合指南,或(若未列出)查閱特定 IdP 的文件。 |
| 5 |
完成後,使用 中的步驟執行SSO測試 |
並選取當 IdP 環境變更或 IdP 憑證即將過期時,您隨時都可以將更新的中繼資料匯入 Webex。
在開始之前
收集 IdP 中繼資料,通常是匯出的 xml 檔案。
| 1 |
從 的客戶視圖中https://admin.webex.com,轉至,捲動至單一登入 並按一下管理SSO和 IdP 。 |
| 2 |
轉至身分識別提供者 標籤。 |
| 3 |
移至 IdP,按一下 |
| 4 |
將 IdP 中繼資料檔案拖放到視窗中,或按一下選擇中繼資料檔案,然後以該方式上傳。 |
| 5 |
根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。 |
| 6 |
按一下測試SSO設定,當新的瀏覽器標籤開啟時,請透過登入使用 IdP 進行驗證。 |
在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。
無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心。
| 1 | |
| 2 |
轉至警示中心。 |
| 3 |
選擇管理,然後選擇所有規則。 |
| 4 |
從規則清單中,選擇您想要建立的任何 SSO 規則:
|
| 5 |
在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。 如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。 如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。 |
| 6 |
儲存變更。 |
後續動作
從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您可以預期在第 60、45、30 和 15 天收到警示。)當您續訂憑證時,警示會停止。
您可能會看到未設定單一登出URL的通知:
我們建議您將 IdP 設定成支援單一登出(也稱為 SLO)。Webex 支援重新導向和 post 方法,可從 Control Hub 下載的中繼資料中提供。並非所有 IdP 都支援 SLO;請聯絡您的 IdP 團隊以尋求協助。有時,對於確實支援 SLO 的主要 IdP 供應商,例如 AzureAD、Ping Federate、ForgeRock 和 Oracle,我們會記錄如何設定整合。請諮詢您的身分和安全性團隊,了解 IDP 的具體情況以及如何正確設定它。
若未設定單一登出 url:
-
現有的 IdP 階段作業會維持有效。使用者在下次登入時,可能不會被 IdP 要求重新驗證。
-
我們在登出時會顯示警告訊息,因此無法順暢登出 Webex 應用程式。
您可以停用 Webex 組織(在 Control Hub 中管理)的單一登入 (SSO)。如果您要變更身分識別提供者 (IdP),則可能需要停用SSO 。
如果已啟用貴組織的單一登入但是失敗,您可以讓可存取 Webex 組織的 Cisco 合作夥伴來為您將其停用。
| 1 |
從 的客戶視圖中https://admin.webex.com,轉至,捲動至單一登入 並按一下管理SSO和 IdP 。 |
| 2 |
轉至身分識別提供者 標籤。 |
| 3 |
按一下停用SSO 。 會出現一個快顯視窗顯示關於停用 SSO 的警告:
如果您停用 SSO,則密碼由雲端管理,而不是由您的整合 IdP 設定管理。 |
| 4 |
如果您瞭解停用 SSO 造成的影響且想要繼續,請按一下停用。 SSO已停用,且所有SAML憑證清單都將被移除。 如果SSO被停用,則必須進行驗證的使用者將在登入過程期間看到密碼輸入欄位。
|
後續動作
如果您或客戶為客戶組織重新設定SSO ,使用者帳戶會返回使用由與Webex組織整合的 IdP 設定的密碼原則。
如果您在SSO登入時遇到問題,可以使用SSO自我恢復選項 以存取在 Control Hub 中管理的Webex組織。自我複原選項可讓您在 Control Hub 中更新或停用SSO 。
