Brug SSO -administrationsfunktionerne i Control Hub til certifikatadministration og generelle SSO -vedligeholdelsesaktiviteter, såsom opdatering af et certifikat, der udløber, eller kontrol af din eksisterende SSO konfiguration. Hver enkelt SSO -administrationsfunktion er dækket i de individuelle faner i denne artikel.
Hvis du vil opsætte SSO for flere identitetsudbydere i din organisation, skal du se SSO med flere id'er.
Hvis din organisations certifikatforbrug er indstillet til Ingen, men du stadig modtager en advarsel, anbefaler vi, at du stadig fortsætter med opgraderingen. Din SSO -installation bruger ikke certifikatet i dag, men du skal muligvis bruge certifikatet til fremtidige ændringer. |
Fra tid til anden kan du modtage en e-mailbesked eller se en besked i Control Hub om, at Webex enkeltlogon (SSO) udløber. Følg processen i denne artikel for at hente SSO cloudcertifikatets metadata fra os (SP) og føje dem tilbage til dit IdP; Ellers vil brugerne ikke kunne bruge Webex tjenester. |
Hvis du bruger SAML Cisco (SP) SSO-certifikatet i din Webex-organisation, skal du planlægge at opdatere cloud-certifikatet under et almindeligt planlagt vedligeholdelsesvindue så hurtigt som muligt.
Alle tjenester, der er en del af dit Webex organisationsabonnement er påvirket, herunder, men ikke begrænset til:
Webex -appen (nye logins til alle platforme: desktop, mobil og web)
Webex tjenester i Control Hub, herunder opkald
Webex Meetings websteder administreret via Control Hub
Cisco Jabber , hvis den er integreret med SSO
Før du begynder
Læs alle vejledninger, før du begynder. Når du har ændret certifikatet eller gennemgår guiden for at opdatere certifikatet, kan nye brugere muligvis ikke logge på. |
Hvis dit idP ikke understøtter flere certifikater (de fleste idps på markedet understøtter ikke denne funktion), anbefaler vi, at du planlægger denne opgradering under et vedligeholdelsesvindue, hvor Webex-appbrugere ikke påvirkes. Disse opgraderingsopgaver bør tage ca. 30 minutter i driftstid og validering efter udskydelse.
1 | Sådan kontrollerer du, om SAML Cisco (SP) SSO certifikatet udløber:
Du kan også gå direkte ind i SSO guiden for at opdatere certifikatet. Hvis du beslutter at afslutte guiden, før du fuldfører den, kan du få adgang til den igen når som helst fra https://admin.webex.com. i | ||
2 | Gå til id'et P, og klikpå. | ||
3 | Klik på Gennemse certifikater og udløbsdato. | ||
4 | Klik på Forny certifikat. | ||
5 | Vælg den type P-id, som din organisation bruger.
| ||
6 | Vælg certifikattypen for fornyelsen:
| ||
7 | Klik på Download metadata-fil for at downloade en kopi af de opdaterede metadata med det nye certifikat fra Webex skyen. Hold denne skærm åben. | ||
8 | Gå til din IdP-administrationsgrænseflade for at uploade den nye Webex -metadatafil.
| ||
9 | Vend tilbage til den fane, hvor du loggede ind på Control Hub, og klik på Næste . | ||
10 | Opdater id'et P med det nye SP-certifikat og metadata, og klik på Næste.
| ||
11 | Klik på Afslut fornyelse. |
Fra tid til anden kan du modtage en e-mailmeddelelse eller se en besked i Control Hub om, at idP-certifikatet udløber. Da idP-leverandører har deres egen specifikke dokumentation for certifikatfornyelse, dækker vi det, der kræves i Control Hub, sammen med generiske trin til at hente opdaterede idP-metadata og overføre dem til Control Hub for at forny certifikatet. |
1 | Sådan kontrollerer du, om IdP SAML -certifikatet udløber:
| ||
2 | Naviger til din IdP-administrationsgrænseflade for at hente den nye metadatafil.
| ||
3 | Gå tilbage til fanen Identitetsudbyder . | ||
4 | Gå til ID'et P, klik påog vælg Overfør Idp-metadata. | ||
5 | Træk og slip din IdP-metadatafil ind i vinduet, eller klik på Vælg en fil , og overfør den på den måde. | ||
6 | Vælg Mindre sikker (selvunderskrevet) el Mere sikker (underskrevet af et offentligt CA), afhængigt af hvordan dine IdP-metadata er signeret. | ||
7 | Klik på Test SSO -opdatering for at bekræfte, at den nye metadatafil blev uploadet og fortolket korrekt til din Control Hub-organisation. Bekræft de forventede resultater i pop op-vinduet, og hvis testen blev gennemført, skal du vælge Gennemført test: Aktivér SSO og P-id , og klik på Gem.
Resultat: Du er færdig, og din organisations IdP-certifikat er nu fornyet. Du kan kontrollere certifikatstatussen når som helst under fanen Identitetsudbyder .
|
Du kan eksportere de seneste Webex SP-metadata, når du har brug for at tilføje dem til dit IdP igen. Du vil se en meddelelse, når de importerede IdP SAML -metadata udløber eller er udløbet.
Dette trin er nyttigt i almindelige scenarier til administration af IdP SAML -certifikater, såsom IdP'er, der understøtter flere certifikater, hvor eksport ikke blev udført tidligere, hvis metadataene ikke blev importeret til IdP, fordi en IdP-administrator ikke var tilgængelig, eller hvis din IdP understøtter mulighed for kun at opdatere certifikatet. Denne valgmulighed kan hjælpe med at minimere ændringen ved kun at opdatere certifikatet i din SSO -konfiguration og validering efter begivenhed.
1 | Fra kundevisningen i https://admin.webex.com, gå til , rul til Enkeltlogonog klik Administrer SSO- og ID-psp'er. |
2 | Gå til fanen Identitetsudbyder . |
3 | Gå til ID'et P, klik påog vælg Download SP-metadata. Webex-appens metadatafilnavn er idb-meta-<org-ID>-SP.xml. |
4 | Importer metadataene til dit IdP. Følg dokumentationen til din IdP for at importere Webex SP-metadataene. Du kan bruge vores Vejledninger til IdP-integration eller se i dokumentationen til din specifikke IdP, hvis den ikke er angivet. |
5 | Når du er færdig, skal du køre SSO -testen ved hjælp af trinene i |
Når dit IdP-miljø ændres, eller hvis dit IdP-certifikat udløber, kan du til enhver tid importere de opdaterede metadata til Webex .
Før du begynder
Indsaml dine IdP-metadata, typisk som en eksporteret xml-fil.
1 | Fra kundevisningen i https://admin.webex.com, gå til , rul til Enkeltlogonog klik Administrer SSO- og ID-psp'er. |
2 | Gå til fanen Identitetsudbyder . |
3 | Gå til ID'et P, klik påog vælg Overfør Idp-metadata. |
4 | Træk og slip din IdP-metadatafil i vinduet, eller klik Vælg en metadatafil og uploade det på den måde. |
5 | Vælg Mindre sikker (selvunderskrevet) el Mere sikker (underskrevet af et offentligt CA), afhængigt af hvordan dine IdP-metadata er signeret. |
6 | Klik på Test SSO-opsætning, og når en ny browserfane åbnes, skal du godkende med idP ved at logge ind. |
Du modtager beskeder i Control Hub, før certifikater er indstillet til at udløbe, men du kan også proaktivt opsætte advarselsregler. Disse regler giver dig på forhånd besked om, at dine SP- eller IdP-certifikater udløber. Vi kan sende disse til dig via e-mail, et rum i Webex-appen eller begge dele.
Uanset hvilken leveringskanal, der er konfigureret, vises alle varsler altid i Control Hub. Se Varslingscenter i Control Hub for at få flere oplysninger. |
1 | |||
2 | Gå til Alerts center. | ||
3 | Vælg Administrer derefter Alle regler. | ||
4 | På listen Regler skal du vælge en af de SSO-regler, du vil oprette:
| ||
5 | I afsnittet Leveringskanal skal du markere feltet for e-mail, Webex-rum, eller begge dele. Hvis du vælger E-mail, skal du indtaste den e-mailadresse, der skal modtage beskeden.
| ||
6 | Gem dine ændringer. |
Næste trin
Vi sender beskeder om certifikatudløb én gang hver 15. dag, startende 60 dage før udløb. (Du kan forvente varsler på dag 60, 45, 30 og 15.) Varsler stopper, når du fornyer certifikatet.
Du kan se en meddelelse om, at den enkelte loginadresse ikke er konfigureret:
Vi anbefaler, at du konfigurerer din IdP til at understøtte Single Log Out (også kendt som SLO). Webex understøtter både omdirigerings- og postmetoderne, der er tilgængelige i vores metadata, der downloades fra Control Hub. Ikke alle IdP'er understøtter SLO; kontakt dit IdP-team for at få hjælp. Nogle gange, for de store IdP-leverandører som AzureAD, Ping Federate, ForgeRock og Oracle, der understøtter SLO, dokumenterer vi, hvordan man konfigurerer integrationen. Rådfør dig med dit Identity & Security-team om specifikationerne for dit IDP, og hvordan du konfigurerer det korrekt. |
Hvis URL-adressen til enkeltlogon ikke er konfigureret:
En eksisterende IdP-session forbliver gyldig. Næste gang brugere logger ind, bliver de muligvis ikke bedt om at godkende igen af IdP.
Vi viser en advarselsbesked ved log ud, så Webex App-logud ikke sker problemfrit.
Du kan deaktivere enkeltlogon (SSO) for din Webex -organisation, der administreres i Control Hub. Du kan deaktivere SSO, hvis du ændrer identitetsudbydere (id-ps).
Hvis enkeltlogon er blevet aktiveret for din organisation, men der opstår fejl, kan du kontakte din Cisco -partner, der har adgang til din Webex -organisation, for at deaktivere den for dig. |
1 | Fra kundevisningen i https://admin.webex.com, gå til , rul til Enkeltlogonog klik Administrer SSO- og ID-psp'er. |
2 | Gå til fanen Identitetsudbyder . |
3 | Klik på Deaktiver SSO. Der vises et pop op-vindue , der advarer dig om deaktivering af SSO: Hvis du deaktiverer SSO, administreres adgangskoder af skyen i stedet for din integrerede IdP-konfiguration. |
4 | Hvis du forstår virkningen af at deaktivere SSO og vil fortsætte, skal du klikke på Deaktiver . SSO er deaktiveret, og alle SAML-certifikatlister fjernes. Hvis SSO er deaktiveret, vil brugere, der skal godkende, se et adgangskodeindtastningsfelt under login-processen.
|
Næste trin
Hvis du eller kunden omkonfigurerer SSO for kundeorganisationen, går brugerkonti tilbage til at bruge den adgangskodepolitik, der er angivet af det P-id, der er integreret med Webex-organisationen.
Hvis du har problemer med dit SSO-login, kan du bruge valgmuligheden SSO-selvgendannelse til at få adgang til din Webex-organisation, der administreres i Control Hub. Valgmuligheden for selvgendannelse giver dig mulighed for at opdatere eller deaktivere SSO i Control Hub.