SSO i Control Hub

Hvis du vil opsætte SSO for flere identitetsudbydere i din organisation, skal du se SSO med flere id'er.


 

Hvis din organisations certifikatforbrug er indstillet til Ingen, men du stadig modtager en advarsel, anbefaler vi, at du stadig fortsætter med opgraderingen. Din SSO -installation bruger ikke certifikatet i dag, men du skal muligvis bruge certifikatet til fremtidige ændringer.


 

Fra tid til anden kan du modtage en e-mailbesked eller se en besked i Control Hub om, at Webex enkeltlogon (SSO) udløber. Følg processen i denne artikel for at hente SSO cloudcertifikatets metadata fra os (SP) og føje dem tilbage til dit IdP; Ellers vil brugerne ikke kunne bruge Webex tjenester.

Hvis du bruger SAML Cisco (SP) SSO-certifikatet i din Webex-organisation, skal du planlægge at opdatere cloud-certifikatet under et almindeligt planlagt vedligeholdelsesvindue så hurtigt som muligt.

Alle tjenester, der er en del af dit Webex organisationsabonnement er påvirket, herunder, men ikke begrænset til:

  • Webex -appen (nye logins til alle platforme: desktop, mobil og web)

  • Webex tjenester i Control Hub, herunder opkald

  • Webex Meetings websteder administreret via Control Hub

  • Cisco Jabber , hvis den er integreret med SSO

Før du begynder


 

Læs alle vejledninger, før du begynder. Når du har ændret certifikatet eller gennemgår guiden for at opdatere certifikatet, kan nye brugere muligvis ikke logge på.

Hvis dit idP ikke understøtter flere certifikater (de fleste idps på markedet understøtter ikke denne funktion), anbefaler vi, at du planlægger denne opgradering under et vedligeholdelsesvindue, hvor Webex-appbrugere ikke påvirkes. Disse opgraderingsopgaver bør tage ca. 30 minutter i driftstid og validering efter udskydelse.

1

Sådan kontrollerer du, om SAML Cisco (SP) SSO certifikatet udløber:

  • Du har muligvis modtaget en e-mail eller en Webex app-meddelelse fra os, men du skal tjekke Control Hub for at være sikker.
  • Log ind påhttps://admin.webex.com , og kontroller din Advarselscenter . Der kan være en besked om opdatering af SSO tjenesteudbydercertifikatet.

  • Log ind på https://admin.webex.com, gå til Ledelse> Organisationsindstillinger> Enkeltlogon, og klik på Administrer SSO- og ID-psp'er.
  • Gå til fanen Identitetsudbyder , og noter Cisco SP-certifikatstatus og udløbsdato.

Du kan også gå direkte ind i SSO guiden for at opdatere certifikatet. Hvis du beslutter at afslutte guiden, før du fuldfører den, kan du få adgang til den igen når som helst fra Ledelse> Organisationsindstillinger> Enkeltlogoni https://admin.webex.com.

2

Gå til id'et P, og klikpå.

3

Klik på Gennemse certifikater og udløbsdato.

4

Klik på Forny certifikat.

5

Vælg den type P-id, som din organisation bruger.

  • Et P-id, der understøtter flere certifikater
  • Et idP, der understøtter et enkelt certifikat

 

Hvis dit idP understøtter et enkelt certifikat, anbefaler vi, at du venter på at udføre disse trin i den planlagte nedetid. Mens Webex-certifikatet opdateres, fungerer nye brugerlogins kort ikke. Eksisterende logins bevares.

6

Vælg certifikattypen for fornyelsen:

  • Selvsigneret af Cisco – Vi anbefaler dette valg. Lad os underskrive certifikatet, så du kun behøver at forny det én gang hvert femte år.
  • Underskrevet af en offentlig certifikatudstedelse – Mere sikker, men du skal ofte opdatere metadataene (medmindre din IdP-leverandør understøtter tillidsankre).

     

    Tillidsankre er offentlige nøgler, der fungerer som en godkendelse til at bekræfte en digital signaturs certifikat. Få flere oplysninger i dokumentationen til IdP.

7

Klik på Download metadata-fil for at downloade en kopi af de opdaterede metadata med det nye certifikat fra Webex skyen. Hold denne skærm åben.

8

Gå til din IdP-administrationsgrænseflade for at uploade den nye Webex -metadatafil.

  • Dette trin kan udføres via en browserfane, ekstern desktop protokol (RDP) eller via specifik cloud-udbydersupport, afhængigt af din IDP-opsætning, og om du eller en separat IDP-administrator er ansvarlig for dette trin.
  • Til reference, se vores SSO integrationsvejledninger eller kontakt din IdP-administrator for at få support. Hvis du er på AD FS ( Active Directory Federation Services), kan du se, hvordan du opdaterer Webex metadata i AD FS .
9

Vend tilbage til den fane, hvor du loggede ind på Control Hub, og klik på Næste .

10

Opdater id'et P med det nye SP-certifikat og metadata, og klik på Næste.

  • Alle IdP'erne blev opdateret
  • Hvis du har brug for mere tid til at opdatere, kan du gemme det fornyede certifikat som den sekundære mulighed
11

Klik på Afslut fornyelse.


 

Fra tid til anden kan du modtage en e-mailmeddelelse eller se en besked i Control Hub om, at idP-certifikatet udløber. Da idP-leverandører har deres egen specifikke dokumentation for certifikatfornyelse, dækker vi det, der kræves i Control Hub, sammen med generiske trin til at hente opdaterede idP-metadata og overføre dem til Control Hub for at forny certifikatet.

1

Sådan kontrollerer du, om IdP SAML -certifikatet udløber:

  • Du har muligvis modtaget en e-mail eller en Webex app-meddelelse fra os, men du skal tjekke Control Hub for at være sikker.
  • Log ind påhttps://admin.webex.com , og kontroller din Advarselscenter . Der kan være en besked om opdatering af IdP SAML -certifikatet:

  • Log ind på https://admin.webex.com, gå til Ledelse> Organisationsindstillinger> Enkeltlogon, og klik på Administrer SSO- og ID-psp'er.
  • Gå til fanen Identitetsudbyder , og notér status forP-certifikatet (udløbet eller udløber snart) og udløbsdatoen.
  • Du kan også gå direkte ind i SSO guiden for at opdatere certifikatet. Hvis du beslutter at afslutte guiden, før du fuldfører den, kan du få adgang til den igen når som helst fra Ledelse> Organisationsindstillinger> Enkeltlogoni https://admin.webex.com.

2

Naviger til din IdP-administrationsgrænseflade for at hente den nye metadatafil.

  • Dette trin kan udføres via en browserfane, ekstern desktop protokol (RDP) eller via specifik cloud-udbydersupport, afhængigt af din IDP-opsætning, og om du eller en separat IDP-administrator er ansvarlig for dette trin.
  • Til reference, se vores SSO integrationsvejledninger eller kontakt din IdP-administrator for at få support.
3

Gå tilbage til fanen Identitetsudbyder .

4

Gå til ID'et P, klik påuploadog vælg Overfør Idp-metadata.

5

Træk og slip din IdP-metadatafil ind i vinduet, eller klik på Vælg en fil , og overfør den på den måde.

6

Vælg Mindre sikker (selvunderskrevet) el Mere sikker (underskrevet af et offentligt CA), afhængigt af hvordan dine IdP-metadata er signeret.

7

Klik på Test SSO -opdatering for at bekræfte, at den nye metadatafil blev uploadet og fortolket korrekt til din Control Hub-organisation. Bekræft de forventede resultater i pop op-vinduet, og hvis testen blev gennemført, skal du vælge Gennemført test: Aktivér SSO og P-id , og klik på Gem.


 

Hvis du vil se SSO-login-oplevelsen direkte, anbefaler vi, at du klikker på Kopiér URL-adresse for udklipsholder fra denne skærm og indsætter den i et privat browservindue. Derfra kan du gennemgå loginprocessen med SSO. Dette bidrager til at fjerne eventuelle oplysninger gemt i din webbrowser, som kan give et falsk positivt resultat, når du tester din SSO-konfiguration.

Resultat: Du er færdig, og din organisations IdP-certifikat er nu fornyet. Du kan kontrollere certifikatstatussen når som helst under fanen Identitetsudbyder .

Du kan eksportere de seneste Webex SP-metadata, når du har brug for at tilføje dem til dit IdP igen. Du vil se en meddelelse, når de importerede IdP SAML -metadata udløber eller er udløbet.

Dette trin er nyttigt i almindelige scenarier til administration af IdP SAML -certifikater, såsom IdP'er, der understøtter flere certifikater, hvor eksport ikke blev udført tidligere, hvis metadataene ikke blev importeret til IdP, fordi en IdP-administrator ikke var tilgængelig, eller hvis din IdP understøtter mulighed for kun at opdatere certifikatet. Denne valgmulighed kan hjælpe med at minimere ændringen ved kun at opdatere certifikatet i din SSO -konfiguration og validering efter begivenhed.

1

Fra kundevisningen i https://admin.webex.com, gå til Ledelse> Organisationsindstillinger, rul til Enkeltlogonog klik Administrer SSO- og ID-psp'er.

2

Gå til fanen Identitetsudbyder .

3

Gå til ID'et P, klik påDownloadog vælg Download SP-metadata.

Webex-appens metadatafilnavn er idb-meta-<org-ID>-SP.xml.

4

Importer metadataene til dit IdP.

Følg dokumentationen til din IdP for at importere Webex SP-metadataene. Du kan bruge vores Vejledninger til IdP-integration eller se i dokumentationen til din specifikke IdP, hvis den ikke er angivet.

5

Når du er færdig, skal du køre SSO -testen ved hjælp af trinene i Forny Webex certifikat (SP) i denne artikel.

Når dit IdP-miljø ændres, eller hvis dit IdP-certifikat udløber, kan du til enhver tid importere de opdaterede metadata til Webex .

Før du begynder

Indsaml dine IdP-metadata, typisk som en eksporteret xml-fil.

1

Fra kundevisningen i https://admin.webex.com, gå til Ledelse> Organisationsindstillinger, rul til Enkeltlogonog klik Administrer SSO- og ID-psp'er.

2

Gå til fanen Identitetsudbyder .

3

Gå til ID'et P, klik påuploadog vælg Overfør Idp-metadata.

4

Træk og slip din IdP-metadatafil i vinduet, eller klik Vælg en metadatafil og uploade det på den måde.

5

Vælg Mindre sikker (selvunderskrevet) el Mere sikker (underskrevet af et offentligt CA), afhængigt af hvordan dine IdP-metadata er signeret.

6

Klik på Test SSO-opsætning, og når en ny browserfane åbnes, skal du godkende med idP ved at logge ind.

Du modtager beskeder i Control Hub, før certifikater er indstillet til at udløbe, men du kan også proaktivt opsætte advarselsregler. Disse regler giver dig på forhånd besked om, at dine SP- eller IdP-certifikater udløber. Vi kan sende disse til dig via e-mail, et rum i Webex-appen eller begge dele.


 

Uanset hvilken leveringskanal, der er konfigureret, vises alle varsler altid i Control Hub. Se Varslingscenter i Control Hub for at få flere oplysninger.

1

Log ind på Control Hub.

2

Gå til Alerts center.

3

Vælg Administrer derefter Alle regler.

4

På listen Regler skal du vælge en af de SSO-regler, du vil oprette:

  • SSO IDP-certifikatudløb
  • SSO SP-certifikatudløb
5

I afsnittet Leveringskanal skal du markere feltet for e-mail, Webex-rum, eller begge dele.

Hvis du vælger E-mail, skal du indtaste den e-mailadresse, der skal modtage beskeden.


 

Hvis du vælger valgmuligheden Webex-rum, føjes du automatisk til et rum inde i Webex-appen, og vi leverer beskeder der.

6

Gem dine ændringer.

Næste trin

Vi sender beskeder om certifikatudløb én gang hver 15. dag, startende 60 dage før udløb. (Du kan forvente varsler på dag 60, 45, 30 og 15.) Varsler stopper, når du fornyer certifikatet.

Du kan se en meddelelse om, at den enkelte loginadresse ikke er konfigureret:


 

Vi anbefaler, at du konfigurerer din IdP til at understøtte Single Log Out (også kendt som SLO). Webex understøtter både omdirigerings- og postmetoderne, der er tilgængelige i vores metadata, der downloades fra Control Hub. Ikke alle IdP'er understøtter SLO; kontakt dit IdP-team for at få hjælp. Nogle gange, for de store IdP-leverandører som AzureAD, Ping Federate, ForgeRock og Oracle, der understøtter SLO, dokumenterer vi, hvordan man konfigurerer integrationen. Rådfør dig med dit Identity & Security-team om specifikationerne for dit IDP, og hvordan du konfigurerer det korrekt.

Hvis URL-adressen til enkeltlogon ikke er konfigureret:

  • En eksisterende IdP-session forbliver gyldig. Næste gang brugere logger ind, bliver de muligvis ikke bedt om at godkende igen af IdP.

  • Vi viser en advarselsbesked ved log ud, så Webex App-logud ikke sker problemfrit.

Du kan deaktivere enkeltlogon (SSO) for din Webex -organisation, der administreres i Control Hub. Du kan deaktivere SSO, hvis du ændrer identitetsudbydere (id-ps).


 

Hvis enkeltlogon er blevet aktiveret for din organisation, men der opstår fejl, kan du kontakte din Cisco -partner, der har adgang til din Webex -organisation, for at deaktivere den for dig.

1

Fra kundevisningen i https://admin.webex.com, gå til Ledelse> Organisationsindstillinger, rul til Enkeltlogonog klik Administrer SSO- og ID-psp'er.

2

Gå til fanen Identitetsudbyder .

3

Klik på Deaktiver SSO.

Der vises et pop op-vindue , der advarer dig om deaktivering af SSO:

Deaktiver SSO

Hvis du deaktiverer SSO, administreres adgangskoder af skyen i stedet for din integrerede IdP-konfiguration.

4

Hvis du forstår virkningen af at deaktivere SSO og vil fortsætte, skal du klikke på Deaktiver .

SSO er deaktiveret, og alle SAML-certifikatlister fjernes.

Hvis SSO er deaktiveret, vil brugere, der skal godkende, se et adgangskodeindtastningsfelt under login-processen.

  • Brugere, der ikke har en adgangskode i Webex-appen, skal enten nulstille deres adgangskode, eller du skal sende en e-mail, så de kan angive en adgangskode.

  • Eksisterende godkendte brugere med et gyldigt OAuth-token vil fortsat have adgang til Webex appen.

  • Nye brugere, der oprettes, mens SSO er deaktiveret, modtager en e-mail, der beder dem om at oprette en adgangskode.

Næste trin

Hvis du eller kunden omkonfigurerer SSO for kundeorganisationen, går brugerkonti tilbage til at bruge den adgangskodepolitik, der er angivet af det P-id, der er integreret med Webex-organisationen.

Hvis du har problemer med dit SSO-login, kan du bruge valgmuligheden SSO-selvgendannelse til at få adgang til din Webex-organisation, der administreres i Control Hub. Valgmuligheden for selvgendannelse giver dig mulighed for at opdatere eller deaktivere SSO i Control Hub.