如果您要為組織中的多個身分提供者設定 SSO,請參閱 Webex 中具有多個 IdP 的 SSO

如果貴組織的憑證使用方式設定為「無」,但您仍然收到警示,我們建議您繼續升級。您的 SSO 部署目前未使用憑證,但可能需要憑證才能進行未來的變更。

Webex 服務提供者 (SP) 憑證

有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 Webex 單一登入 (SSO) 憑證即將到期。請遵循本文中的程序以向我們 (SP) 擷取 SSO 雲端憑證中繼資料,然後將其新增回您的 IdP;否則使用者將無法使用 Webex 服務。

如果您在 Webex 組織中使用 SAML Cisco (SP) SSO 證書,則必須盡快規劃在定期維護時段內更新雲端證書。

屬於 Webex 組織訂閱的所有服務都會受到影響,包括但不限於:

  • Webex 應用程式(所有平台的新登入:桌上型電腦、行動裝置及 Web)

  • Webex 服務(位於 Control Hub 中),包括呼叫

  • Webex Meetings 網站(透過 Control Hub 管理)

  • Cisco Jabber(如果已與 SSO 整合)

在開始之前

請在開始之前閱讀所有指示。在您變更憑證或執行精靈以更新憑證後,新使用者可能無法成功登入。

如果您的 IdP 不支援多個憑證(市場上的大多數 IdP 不支援此功能),我們建議您在 Webex App 使用者不受影響的維護時段內安排此升級。這些升級任務的運行時間和事後驗證大約需要 30 分鐘。

1

若要檢查 SAML Cisco (SP) SSO 憑證是否即將過期:

  • 您可能已收到我們寄出的電子郵件或 Webex 應用程式訊息,但您應簽入 Control Hub 以進行確定。

  • 登入 Control Hub,並檢查您的 Alerts center。可能有關於更新 SSO 服務提供者憑證的通知。

  • 前往 管理 > 安全 > 驗證
  • 前往 身分提供者 標籤並記下Cisco SP憑證狀態和到期日期。

您也可以直接進入 SSO 精靈以更新憑證。如果您決定在完成精靈之前退出,您可以隨時從 管理 再次存取它。 > 安全 > Control Hub [ 中的 身份驗證

2

轉到 IdP 並點擊

3

按一下 查看證書和到期日期

4

按一下 更新證書

5

選擇您的組織所使用的 IdP 類型。

  • 支援多個憑證的 IdP
  • 支援單一憑證的 IdP

如果您的 IdP 支援單一憑證,我們建議您等到在排定的停機時間期間執行這些步驟。Webex 憑證正在更新時,短暫登入的新使用者將不會工作;而現有登入會保留。

6

選擇續訂的憑證類型:

  • 由 Cisco 自簽名— 我們推薦此選項。讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公共憑證授權單位簽署—更安全,但您需要經常更新元資料(除非您的 IdP 供應商支援信任錨)。

    信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。

    在繼續執行下一步之前,請確保您已準備好更新憑證並在組織的變更視窗內進行操作。選擇 自簽名 Cisco由公共憑證授權單位簽署 會立即建立一個新憑證。一旦單一 IdP 的憑證發生變化,SSO 就會停止,直到憑證或元資料上傳到 IdP 上。因此,完成更新過程非常重要。

7

按一下下載中繼資料檔案,以從 Webex 雲端下載具有新憑證的已更新中繼資料副本。保持此螢幕開啟。

8

導覽至您的 IdP 管理介面,以上傳新的 Webex 中繼資料檔案。

9

返回您登入 Control Hub 的選項卡,然後按一下 下一步

10

使用新的 SP 憑證和元資料更新 IdP,然後按一下 下一步

  • 已更新所有 IdP
  • 如果您需要更多時間來更新,請將續訂憑證另存為次要選項
11

點選 完成續訂

身分識別提供者 (IdP) 憑證

有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。

1

若要檢查 IdP SAML 憑證是否即將過期:

  • 您可能已收到我們寄出的電子郵件或 Webex 應用程式訊息,但您應簽入 Control Hub 以進行確定。
  • 登入 Control Hub,並檢查您的 Alerts center。可能有關於更新 IdP SAML 憑證的通知:

  • 前往 管理 > 安全 > 驗證
  • 前往 身分提供者 標籤並記下 IdP 憑證狀態(已過期或即將過期)和過期日期。

  • 您也可以直接進入 SSO 精靈以更新憑證。如果您決定在完成精靈之前退出,您可以隨時從 管理 再次存取它。 > 安全 > 控制中心中的 身份驗證

2

導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。

  • 可透過瀏覽器標籤、遠端桌面通訊協定 (RDP),或透過特定的雲端提供者支援來完成此步驟,取決於您的 IdP 設定,以及是否由您或單獨的 IdP 管理員負責此步驟。
  • 如需參考,請參閱我們的 SSO 整合指南,或聯絡您的 IdP 管理員以獲得支援。
3

傳回 身分提供者 標籤。

4

前往 IdP,點擊 upload 並選擇 上傳 Idp 元資料

5

將您的 IdP 元資料檔案拖曳到視窗中或點擊 選擇檔案 並透過這種方式上傳。

6

根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。

7

按一下 測試 SSO 更新 以確認新的元資料檔案已上傳並正確解釋到您的 Control Hub 組織。在彈出的視窗中確認預期結果,如果測試成功,選擇 測試成功:啟動 SSO 和 IdP 並點選 儲存

要直接查看 SSO 登入體驗,我們建議您從此畫面點擊 將 URL 複製到剪貼簿 並將其貼上到私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

結果: 您已完成,貴組織的 IdP 憑證現已續訂。您可以在 身分提供者 標籤下隨時檢查憑證狀態。

每當您需要將最新的 Webex SP 中繼資料新增回 IdP 時,可以將其匯出。當所匯入的 IdP SAML 中繼資料即將過期或已過期時,您將看到一則通知。

此步驟在一般 IdP SAML 憑證管理情境中很有用,例如支援多個先前未完成匯出憑證的 IdP、中繼資料因 IdP 管理員無法使用而未匯入至 IdP,或者您的 IdP 支援僅更新憑證的功能。此選項可以協助最大限度減少變更,只需更新您 SSO 設定和事件後驗證中的憑證。

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

前往 IdP,點擊 下載 並選擇 下載 SP 元資料

Webex App 元資料檔名為 idb-meta-<org-ID>-SP.xml

5

將中繼資料匯入您的 IdP。

遵循 IdP 的文件以匯入 Webex SP 中繼資料。您可以使用我們的 IdP 整合指南,或(若未列出)查閱特定 IdP 的文件。

6

完成後,使用本文中 更新 Webex 憑證 (SP) 中的步驟執行 SSO 測試。

當 IdP 環境變更或 IdP 憑證即將過期時,您隨時都可以將更新的中繼資料匯入 Webex。

在開始之前

收集 IdP 中繼資料,通常是匯出的 xml 檔案。

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

前往 IdP,點擊 upload 並選擇 上傳 Idp 元資料

5

將 IdP 中繼資料檔案拖放到視窗中,或按一下選擇中繼資料檔案,然後以該方式上傳。

6

根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。

7

按一下 測試 SSO 設定,當開啟新的瀏覽器標籤時,透過登入向 IdP 進行身份驗證。

在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。

無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心

1

登入 Control Hub。

2

前往 警報中心

3

選擇管理,然後選擇所有規則

4

從規則清單中,選擇您想要建立的任何 SSO 規則:

  • SSO IdP 憑證過期
  • SSO SP 憑證過期
5

在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。

如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。

如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。

6

儲存變更。

後續動作

從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您可能會在第 60、45、30 和 15 天收到警報。)當您更新證書時,警報將停止。

您可能會看到一則通知,提示未設定單一註銷 URL:

我們建議您將 IdP 設定成支援單一登出(也稱為 SLO)。Webex 支援重新導向和 post 方法,可從 Control Hub 下載的中繼資料中提供。並非所有 IdP 都支援 SLO;請聯絡您的 IdP 團隊以尋求協助。有時,對於支援 SLO 的主要 IdP 供應商(如 AzureAD、Ping Federate、ForgeRock 和 Oracle), 我們會記錄如何設定整合。諮詢您的身份 & 安全團隊了解您的 IDP 的具體情況以及如何正確配置它。

如果未設定單一註銷 URL:

  • 現有的 IdP 階段作業會維持有效。使用者在下次登入時,可能不會被 IdP 要求重新驗證。

  • 我們在登出時會顯示警告訊息,因此無法順暢登出 Webex 應用程式。

您可以停用 Webex 組織(在 Control Hub 中管理)的單一登入 (SSO)。如果您要變更身分提供者 (IdP),則可能需要停用 SSO。

如果已啟用貴組織的單一登入但是失敗,您可以讓可存取 Webex 組織的 Cisco 合作夥伴來為您將其停用。

1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

點選 停用 SSO

會出現一個快顯視窗顯示關於停用 SSO 的警告:

停用 SSO

如果您停用 SSO,則密碼由雲端管理,而不是由您的整合 IdP 設定管理。

5

如果您瞭解停用 SSO 造成的影響且想要繼續,請按一下停用

SSO 已停用,並且所有 SAML 憑證清單均已刪除。

如果停用 SSO,則必須進行身份驗證的使用者將在登入過程中看到密碼輸入欄位。

  • Webex 應用程式中沒有密碼的使用者必須重設其密碼,或者您必須向他們發送電子郵件以設定密碼。

  • 具有有效 OAuth 權杖的現有已驗證使用者將繼續具有 Webex 應用程式的存取權。

  • 在停用 SSO 時建立的新使用者會收到電子郵件,要求他們建立密碼。

後續動作

如果您或客戶為客戶組織重新設定 SSO,使用者帳戶將恢復使用與 Webex 組織整合的 IdP 設定的密碼原則。

如果您在 SSO 登入時遇到問題,您可以使用 SSO 自我恢復選項 來存取在 Control Hub 中管理的 Webex 組織。自我恢復選項可讓您在 Control Hub 中更新或停用 SSO。