感謝您的意見回饋。
在 Control Hub 中管理單一登入整合
意見回饋?
如果您想要為組織中的多個身分提供者設定 SSO,請參閱 Webex 中與多個 IdP 的 SSO。
Cisco 安全與信任團隊發現 Cisco Webex Services 的單一登入 (SSO) 憑證驗證流程有漏洞。因此,SSO 信任錨將於 2026 年 4 月 30 日移除。為確保能不間斷地存取 Webex,請在此日期前將新的憑證範本上傳至 Control Hub。
如果您未能及時上傳新證書,使用者將無法登入 Webex。在這種情況下,您可以使用 SSO 自助恢復 選項暫時停用 SSO 並重新取得對 Webex 組織的存取權限。若要上傳新證書,請參閱本文中的 身分提供者 (IdP) 證書 部分。
如果貴組織的憑證使用方式設定為「無」,但您仍然收到警示,我們建議您繼續升級。您的 SSO 部署目前未使用憑證,但可能需要憑證才能進行未來的變更。
有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 Webex 單一登入 (SSO) 憑證即將到期。請遵循本文中的程序以向我們 (SP) 擷取 SSO 雲端憑證中繼資料,然後將其新增回您的 IdP;否則使用者將無法使用 Webex 服務。
如果您在 Webex 組織中使用 SAML Cisco (SP) SSO 證書,則必須規劃在定期排程的維護視窗期間盡快更新雲端證書。
屬於 Webex 組織訂閱的所有服務都會受到影響,包括但不限於:
-
Webex 應用程式(所有平台的新登入:桌上型電腦、行動裝置及 Web)
-
Webex 服務(位於 Control Hub 中),包括呼叫
-
Webex Meetings 網站(透過 Control Hub 管理)
-
Cisco Jabber(如果已與 SSO 整合)
在開始之前
請在開始之前閱讀所有指示。在您變更憑證或執行精靈以更新憑證後,新使用者可能無法成功登入。
如果您的身分提供者不支援多個憑證(市場上大多數身分提供者都不支援此功能),我們建議您在維護視窗期間安排此升級,以免影響 Webex App 使用者。這些升級任務的操作時間和事後驗證大約需要 30 分鐘。
| 1 |
若要檢查 SAML Cisco (SP) SSO 憑證是否即將過期:
您也可以直接進入 SSO 精靈以更新憑證。如果您決定在完成精靈之前退出,您可以隨時從 在 控制中心中。 |
| 2 |
前往身分識別提供者 (IdP) 並點選 |
| 3 |
點擊 查看證書和到期日期。 這將帶您進入 服務提供者(SP)憑證 頁面。您可以點選 如果您的組織使用雙證書,您也可以選擇將輔助證書切換為主證書或刪除現有的輔助證書。 |
| 4 |
點選 續訂憑證。 |
| 5 |
選擇貴組織使用的身分提供者類型。
如果您的 IdP 支援單一憑證,我們建議您等到在排定的停機時間期間執行這些步驟。Webex 憑證正在更新時,短暫登入的新使用者將不會工作;而現有登入會保留。 |
| 6 |
選擇續訂的憑證類型:
|
| 7 |
若要確認是否要將目前證書替換為所選證書,請勾選 按一下「取代證書」 我將用所選證書取代目前證書,然後按一下 取代證書。 |
| 8 |
在 續訂服務提供者 (SP) 憑證 頁面中,按 下載元資料 或 下載憑證 從 Webex 雲端下載更新後的元資料檔案或憑證副本。 |
| 9 |
導覽至您的 IdP 管理介面,以上傳新的 Webex 中繼資料檔案。
|
| 10 |
返回控制中心介面。在 「續訂服務提供者 (SP) 憑證 」頁面上,選取 「我已經更新了所有 IdP 的元資料」 ,然後按一下 「下一步」 。 |
| 11 |
按一下完成。 |
。
下載 SP 元資料或憑證。 有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。
| 1 |
若要檢查 IdP SAML 憑證是否即將過期:
|
| 2 |
導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。
|
| 3 |
返回 身份提供者 選項卡。 |
| 4 |
前往 IdP,點選 |
| 5 |
將您的 IdP 元資料檔案拖放到視窗中,或點擊 選擇檔案 並以這種方式上傳。 |
| 6 |
根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。 |
| 7 |
按一下 測試 SSO 更新 以確認新的元資料檔案已上傳並正確解析到您的 Control Hub 組織。在彈出視窗中確認預期結果,如果測試成功,請選擇 測試成功:啟動 SSO 和 IdP 並點選 儲存。 要直接查看 SSO 登入體驗,我們建議您從此畫面點擊 複製 URL 到剪貼簿 並將其貼上到隱私瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。 結果: 您已完成,貴組織的 IdP 憑證現已續訂。您可以隨時在 身分提供者 標籤下查看憑證狀態。
|
並選擇 每當您需要將最新的 Webex SP 中繼資料新增回 IdP 時,可以將其匯出。當所匯入的 IdP SAML 中繼資料即將過期或已過期時,您將看到一則通知。
此步驟在一般 IdP SAML 憑證管理情境中很有用,例如支援多個先前未完成匯出憑證的 IdP、中繼資料因 IdP 管理員無法使用而未匯入至 IdP,或者您的 IdP 支援僅更新憑證的功能。此選項可以協助最大限度減少變更,只需更新您 SSO 設定和事件後驗證中的憑證。
| 1 | |
| 2 |
前往 。 |
| 3 |
轉到 “身份提供者 ”選項卡。 |
| 4 |
前往 IdP,點選 Webex App 元資料檔名是 idb-meta-<org-ID>-SP.xml。 |
| 5 |
將中繼資料匯入您的 IdP。 遵循 IdP 的文件以匯入 Webex SP 中繼資料。您可以使用我們的 IdP 整合指南,或(若未列出)查閱特定 IdP 的文件。 |
| 6 |
完成後,請按照本文中 |
並選擇 在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。
無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心。
| 1 | |
| 2 |
前往 警報中心。 |
| 3 |
選擇管理,然後選擇所有規則。 |
| 4 |
從規則清單中,選擇您想要建立的任何 SSO 規則:
|
| 5 |
在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。 如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。 如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。 |
| 6 |
儲存變更。 |
後續動作
從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您將在第 60、45、30 和 15 天收到警報。)續訂證書後,警報將停止。
您可能會看到一則通知,提示單一登出 URL 未設定:
我們建議您將 IdP 設定成支援單一登出(也稱為 SLO)。Webex 支援重新導向和 post 方法,可從 Control Hub 下載的中繼資料中提供。並非所有 IdP 都支援 SLO;請聯絡您的 IdP 團隊以尋求協助。有時,對於支援 SLO 的主要 IdP 供應商(如 AzureAD、Ping Federate、ForgeRock 和 Oracle ) ,我們會記錄如何設定整合。請查閱您的身分資訊 & 安全團隊了解您的身分提供者的具體細節以及如何正確配置它。
如果未配置單一登出 URL:
-
現有的 IdP 階段作業會維持有效。使用者在下次登入時,可能不會被 IdP 要求重新驗證。
-
我們在登出時會顯示警告訊息,因此無法順暢登出 Webex 應用程式。
您可以停用 Webex 組織(在 Control Hub 中管理)的單一登入 (SSO)。如果您要更換身分提供者 (IdP),則可能需要停用 SSO。
如果已啟用貴組織的單一登入但是失敗,您可以讓可存取 Webex 組織的 Cisco 合作夥伴來為您將其停用。
| 1 | |
| 2 |
前往 。 |
| 3 |
轉到 “身份提供者 ”選項卡。 |
| 4 |
點選 停用 SSO。 會出現一個快顯視窗顯示關於停用 SSO 的警告:
如果您停用 SSO,則密碼由雲端管理,而不是由您的整合 IdP 設定管理。 |
| 5 |
如果您瞭解停用 SSO 造成的影響且想要繼續,請按一下停用。 單一登入已停用,所有 SAML 憑證清單均已刪除。 如果停用 SSO,則需要進行驗證的使用者在登入過程中將看到密碼輸入欄位。
|
後續動作
如果您或客戶重新設定客戶組織的 SSO,則使用者帳戶將恢復使用與 Webex 組織整合的身分提供者 (IdP) 設定的密碼原則。
如果您在使用 SSO 登入時遇到問題,可以使用 SSO 自助式復原選項 來存取您在 Control Hub 中管理的 Webex 組織。自助恢復選項可讓您在控制中心更新或停用 SSO。
