SSO in Control Hub

Wenn Sie SSO für mehrere Identitätsanbieter in Ihrer Organisation einrichten möchten, lesen Sie SSO mit mehreren IdPs in Webex .


 

Wenn die Zertifikatsnutzung Ihrer Organisation auf „Keine“ festgelegt ist, Sie jedoch weiterhin eine Warnung erhalten, empfehlen wir Ihnen, das Upgrade dennoch durchzuführen. Ihre SSO Bereitstellung verwendet das Zertifikat heute nicht, aber möglicherweise benötigen Sie das Zertifikat für zukünftige Änderungen.


 

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder eine Warnung in Control Hub, dass das SSO -Zertifikat ( Einzelanmeldung-On ) von Webex abläuft. Befolgen Sie das Verfahren in diesem Artikel, um die SSO Cloud-Zertifikat-Metadaten von uns (dem SP) abzurufen und sie wieder Ihrem IdP hinzuzufügen. Andernfalls können Benutzer keine Webex -Dienste verwenden.

Wenn Sie das SAML Cisco (SP) SSO-Zertifikat in Ihrer Webex-Organisation verwenden, müssen Sie planen, das Cloud-Zertifikat während eines regulären geplanten Wartungsfensters so bald wie möglich zu aktualisieren.

Alle Dienste, die Teil des Abonnements Ihrer Organisation sind, sind betroffen, einschließlich, aber nicht beschränkt auf:

  • Webex -App (neue Anmeldungen für alle Plattformen: Desktop, Mobil und Web)

  • Webex -Dienste in Control Hub, einschließlich Anrufe

  • Webex Meetings-Site wird von Webex Control Hub verwaltet

  • Cisco Jabber , wenn SSO integriert ist

Vorbereitungen


 

Bitte lesen Sie sämtliche Anweisungen vor Beginn durch. Nach dem Ändern des Zertifikats oder dem Durchlaufen des Wizard zum Aktualisieren des Zertifikats können sich neue Benutzer möglicherweise nicht mehr anmelden.

Wenn Ihr IdP nicht mehrere Zertifikate unterstützt (die meisten IdPs auf dem Markt unterstützen diese Funktion nicht), empfehlen wir Ihnen, dieses Upgrade während eines Wartungsfensters anzusetzen, wenn Webex-App-Benutzer nicht betroffen sind. Diese Upgrade-Aufgaben sollten etwa 30 Minuten in der Betriebszeit und nach der Validierung des Events dauern.

1

So überprüfen Sie, ob das SAML Cisco (SP) SSO Zertifikat abläuft:

  • Sie haben möglicherweise eine E-Mail oder eine Webex App-Nachricht von uns erhalten, sollten jedoch sicherheitshalber im Control Hub nachsehen.
  • Anmelden beihttps://admin.webex.com , und überprüfen Sie Ihr Alerts-Center . Möglicherweise wird eine Benachrichtigung über die Aktualisierung des SSO -Dienstanbieterzertifikats angezeigt.

  • Anmelden bei https://admin.webex.com, gehen Sie zu Verwaltung > Organisationseinstellungen > Einmaliges Anmelden , und klicken Sie auf SSO und IdPs verwalten .
  • Rufen Sie die Registerkarte „Identitätsanbieter“ auf und notieren Sie sich den Cisco SP-Zertifikatstatus und das Ablaufdatum.

Sie können auch direkt zum SSO Wizard , um das Zertifikat zu aktualisieren. Wenn Sie den Assistenten beenden möchten, bevor Sie ihn abgeschlossen haben, können Sie jederzeit über Management > Organisationseinstellungen > Single Sign-On in https://admin.webex.com.

2

Wechseln Sie zum IdP und klicken Sie auf.

3

Klicken Sie auf Zertifikate und Ablaufdatum prüfen .

4

Klicken Sie auf Zertifikat verlängern .

5

Wählen Sie den IdP-Typ aus, den Ihre Organisation verwendet.

  • Ein IdP, der mehrere Zertifikate unterstützt
  • Ein IdP, der ein einzelnes Zertifikat unterstützt

 

Wenn Ihr Identitätsanbieter (IdP) ein einzelnes Zertifikat unterstützt, empfehlen wir, dass Sie diese Schritte während einer geplanten Ausfallzeit ausführen. Während das Webex-Zertifikat aktualisiert wird, funktionieren kurzzeitig keine neuen Benutzeranmeldungen; vorhandene Anmeldungen werden beibehalten.

6

Wählen Sie den Zertifikatstyp für die Erneuerung aus:

  • Selbstsigniert von Cisco – Wir empfehlen diese Auswahl. Lassen Sie das Zertifikat von uns signieren, damit Sie es nur alle fünf Jahre erneuern müssen.
  • Signiert von einer öffentlichen Zertifizierungsstelle – Sicherer, aber Sie müssen die Metadaten häufig aktualisieren (es sei denn, Ihr Identitätsanbieter unterstützt Vertrauensanker).

     

    Vertrauensanker sind öffentliche Schlüssel, die als Zertifizierungsstelle zum Überprüfen des Zertifikats einer digitalen Signatur fungieren. Weitere Informationen finden Sie in der Dokumentation Ihres Identitätsanbieters.

7

Klicken Sie auf Metadatendatei herunterladen, um eine Kopie der aktualisierten Metadaten mit dem neuen Zertifikat herunterzuladen. Lassen Sie diesen Bildschirm geöffnet.

8

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Webex -Metadatendatei hochzuladen.

9

Kehren Sie zu der Registerkarte zurück, auf der Sie sich bei Control Hub angemeldet haben, und klicken Sie auf Weiter .

10

Aktualisieren Sie den IdP mit dem neuen SP-Zertifikat und den Metadaten, und klicken Sie auf Weiter .

  • Alle IdPs aktualisiert
  • Wenn Sie mehr Zeit für die Aktualisierung brauchen, speichern Sie das erneuerte Zertifikat als sekundäre Option.
11

Klicken Sie auf Erneuerung abschließen .


 

Von Zeit zu Zeit erhalten Sie möglicherweise eine E-Mail-Benachrichtigung oder sehen eine Warnung in Control Hub, dass das IdP-Zertifikat abläuft. Da IdP-Anbieter über eine eigene spezifische Dokumentation für die Zertifikatsverlängerung verfügen, behandeln wir die Erfordernisse in Control Hub sowie allgemeine Schritte zum Abrufen aktualisierter IdP-Metadaten und zum Hochladen in Control Hub, um das Zertifikat zu erneuern.

1

So überprüfen Sie, ob das IdP SAML Zertifikat abläuft:

  • Sie haben möglicherweise eine E-Mail oder eine Webex App-Nachricht von uns erhalten, sollten jedoch sicherheitshalber im Control Hub nachsehen.
  • Anmelden beihttps://admin.webex.com , und überprüfen Sie Ihr Alerts-Center . Möglicherweise wird eine Benachrichtigung über die Aktualisierung des IdP SAML Zertifikats angezeigt:

  • Anmelden bei https://admin.webex.com, gehen Sie zu Verwaltung > Organisationseinstellungen > Einmaliges Anmelden , und klicken Sie auf SSO und IdPs verwalten .
  • Navigieren Sie zur Registerkarte Identitätsanbieter und notieren Sie sich den IdP-Zertifikatstatus (abgelaufen oder bald ablaufend) und das Ablaufdatum.
  • Sie können auch direkt zum SSO Wizard , um das Zertifikat zu aktualisieren. Wenn Sie den Assistenten beenden möchten, bevor Sie ihn abgeschlossen haben, können Sie jederzeit über Management > Organisationseinstellungen > Single Sign-On in https://admin.webex.com.

2

Navigieren Sie zu Ihrer IdP-Verwaltungsoberfläche, um die neue Metadatendatei abzurufen.

  • Dieser Schritt kann über eine Browser-Registerkarte, ein Remote Desktop Protocol (RDP) oder über einen bestimmten Cloud-Provider-Support ausgeführt werden, abhängig von Ihrer IdP-Einrichtung und davon, ob Sie oder ein separater IdP-Administrator für diesen Schritt verantwortlich sind.
  • Als Referenz: Weitere Informationen finden Sie in unseren SSO Integrationsleitfäden oder wenden Sie sich an Ihren IdP-Administrator, um Unterstützung zu erhalten.
3

Kehren Sie zur Registerkarte „Identitätsanbieter“ zurück.

4

Zum IdP wechseln, klicken Sie aufuploadund wählen Sie Idp-metadaten hochladen .

5

Ziehen Sie Ihre IdP-Metadatendatei per Drag-and-Drop in das Fenster oder klicken Sie auf Datei auswählen und laden Sie sie auf diese Weise hoch.

6

Auswählen Weniger sicher (selbst signiert) oder Mehr Sicherheit (von einer öffentlichen Zertifizierungsstelle signiert), je nachdem, wie Ihre IdP-Metadaten signiert sind.

7

Klicken Sie auf SSO-Aktualisierung testen, um zu bestätigen, dass die neue Metadatendatei von Ihrem Identitätsanbieter (IdP) korrekt hochgeladen und erkannt wurde. Bestätigen Sie die erwarteten Ergebnisse im Popup-Fenster. Wenn der Test erfolgreich war, wählen Sie Erfolgreicher Test: Aktivieren Sie SSO und IdP und klicken Sie auf Speichern .


 

Um die SSO-Anmeldung direkt anzuzeigen, empfehlen wir Ihnen, auf URL in Zwischenablage kopieren von diesem Bildschirm aus zu klicken und sie in ein privates Browserfenster einzufügen. Von dort aus können Sie sich mit SSO anmelden. Auf diese Weise werden alle in Ihrem Webbrowser zwischengespeicherten Informationen entfernt, die beim Testen Ihrer SSO-Konfiguration zu falsch positiven Ergebnissen führen könnten.

Ergebnis: Sie sind fertig und das IdP-Zertifikat Ihrer Organisation ist jetzt verlängert. Sie können den Zertifikatstatus jederzeit auf der Registerkarte Identitätsanbieter überprüfen .

Sie können die neuesten Webex SP-Metadaten jederzeit exportieren, um sie wieder Ihrem IdP hinzuzufügen. Sie erhalten einen Hinweis, wenn die importierten IdP SAML Metadaten ablaufen oder abgelaufen sind.

Dieser Schritt ist nützlich in gängigen IdP- SAML -Zertifikatsverwaltungsszenarien, z. B. bei IdPs, die mehrere Zertifikate unterstützen und bei denen zuvor kein Export durchgeführt wurde, wenn die Metadaten nicht in den IdP importiert wurden, weil ein IdP-Administrator nicht verfügbar war, oder wenn Ihr IdP dies unterstützt Möglichkeit, nur das Zertifikat zu aktualisieren. Mit dieser Option können Sie die Änderung minimieren, da nur das Zertifikat in Ihrer SSO -Konfiguration und nach der Event-Validierung aktualisiert wird.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

2

Öffnen Sie die Registerkarte Identitätsanbieter .

3

Zum IdP wechseln, klicken Sie aufDownloadund wählen Sie SP-Metadaten herunterladen .

Der Name der Webex-App-Metadatendatei lautet idb-meta-SP.xml<org-ID>.

4

Importieren Sie die Metadaten in Ihren IdP.

Befolgen Sie die Dokumentation für Ihren IdP, um die Webex SP-Metadaten zu importieren. Nutzen Sie unsere Leitfäden für die IdP-Integration oder schlagen Sie in der Dokumentation für Ihren spezifischen IdP nach, falls nicht aufgeführt.

5

Wenn Sie fertig sind, führen Sie den SSO -Test anhand der Schritte in Webex Zertifikat (SP) erneuern in diesem Artikel beschrieben.

Wenn sich Ihre IdP-Umgebung ändert oder Ihr IdP-Zertifikat abläuft, können Sie die aktualisierten Metadaten jederzeit in Webex importieren.

Vorbereitungen

Sammeln Sie Ihre IdP-Metadaten, in der Regel als exportierte XML-Datei.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

2

Öffnen Sie die Registerkarte Identitätsanbieter .

3

Zum IdP wechseln, klicken Sie aufuploadund wählen Sie Idp-metadaten hochladen .

4

Ziehen Sie Ihre IdP-Metadatendatei per Drag-and-Drop in das Fenster oder klicken Sie auf Metadatendatei auswählen und laden Sie es auf diese Weise hoch.

5

Auswählen Weniger sicher (selbst signiert) oder Mehr Sicherheit (von einer öffentlichen Zertifizierungsstelle signiert), je nachdem, wie Ihre IdP-Metadaten signiert sind.

6

Klicken Sie auf SSO-Einrichtung testen und authentifizieren Sie sich bei dem IdP, indem Sie sich anmelden, wenn eine neue Browser-Registerkarte geöffnet wird.

Sie erhalten Warnungen in Control Hub, bevor Zertifikate ablaufen, aber Sie können auch proaktiv Warnungsregeln einrichten. Diese Regeln informieren Sie im Voraus darüber, dass Ihre SP- oder IdP-Zertifikate ablaufen. Diese können wir Ihnen per E-Mail, über einen Bereich in der Webex-App oder über beides senden.


 

Unabhängig vom konfigurierten Bereitstellungskanal werden alle Warnungen immer in Control Hub angezeigt. Weitere Informationen finden Sie unter Alerts Center in Control Hub .

1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Alerts Center .

3

Wählen Sie „Verwalten“ und „Alle Regeln“ .

4

Wählen Sie in der Liste Regeln eine der SSO-Regeln aus, die Sie erstellen möchten:

  • Ablauf des SSO IDP-Zertifikats
  • Ablauf des SSO SP-Zertifikats
5

Aktivieren Sie im Abschnitt „Lieferkanal“ das Kontrollkästchen für E-Mail , Webex-Bereich oder beides.

Wenn Sie E-Mail auswählen, geben Sie die E-Mail-Adresse ein, die die Benachrichtigung erhalten soll.


 

Wenn Sie die Option „Webex-Bereich“ auswählen, werden Sie automatisch zu einem Bereich innerhalb der Webex-App hinzugefügt, und wir senden die Benachrichtigungen dorthin.

6

Speichern Sie Ihre Änderungen.

Nächste Schritte

Wir senden alle 15 Tage ab 60 Tagen vor Ablauf Warnungen zum Ablauf des Zertifikats. (Warnungen sind an den Tagen 60, 45, 30 und 15 möglich.) Warnungen werden beendet, wenn Sie das Zertifikat erneuern.

Möglicherweise wird Ihnen ein Hinweis angezeigt, dass die einzelne Abmelde-URL nicht konfiguriert ist:


 

Wir empfehlen Ihnen, Ihren IdP so zu konfigurieren, dass er die einmalige Abmeldung (auch bekannt als SLO) unterstützt. Webex unterstützt sowohl die Weiterleitungs- als auch die Post-Methode, die in unseren Metadaten verfügbar sind, die von Control Hub heruntergeladen werden. Nicht alle IdPs unterstützen SLO. Wenden Sie sich an Ihr IdP-Team, um Unterstützung zu erhalten. Manchmal dokumentieren wir für die großen IdP-Anbieter wie AzureAD, Ping Federate, ForgeRock und Oracle, die SLO unterstützen, wie die Integration konfiguriert wird. Konsultieren Sie Ihr Identitäts- und Sicherheitsteam über die Besonderheiten Ihres IDP und wie Sie ihn richtig konfigurieren können.

Wenn die URL für die einmalige Abmeldung nicht konfiguriert ist:

  • Eine bestehende IdP-Sitzung bleibt gültig. Wenn sich Benutzer das nächste Mal anmelden, werden sie möglicherweise nicht vom IdP zu einer erneuten Authentifizierung aufgefordert.

  • Beim Abmelden wird eine Warnmeldung angezeigt, sodass die Abmeldung von der Webex App nicht nahtlos erfolgt.

Sie können die Einzelanmeldung (SSO) für Ihre Webex -Organisation deaktivieren, die in Control Hub verwaltet wird. Sie können SSO deaktivieren, wenn Sie den Identitätsanbieter (IdPs) ändern.


 

Wenn die Einzelanmeldung für Ihre Organisation aktiviert wurde, aber fehlschlägt, können Sie Ihren Cisco -Partner beauftragen, der auf Ihre Webex -Organisation zugreifen kann, um sie für Sie zu deaktivieren.

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zu Management > Organisationseinstellungen , blättern Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten .

2

Öffnen Sie die Registerkarte Identitätsanbieter .

3

Klicken Sie auf SSO deaktivieren .

Ein Popup-Fenster wird angezeigt, das Sie vor der Deaktivierung von SSO warnt:

Einzelanmeldung (SSO) aktivieren

Wenn Sie SSO deaktivieren, werden Passwörter von der Cloud anstatt von Ihrer integrierten IdP-Konfiguration verwaltet.

4

Wenn Sie die Auswirkungen der Deaktivierung von SSO und fortfahren möchten, klicken Sie auf Deaktivieren .

SSO ist deaktiviert und alle SAML-Zertifikatlisten werden entfernt.

Wenn SSO deaktiviert ist, wird Benutzern, die sich authentifizieren müssen, während des Anmeldevorgangs ein Kennworteingabefeld angezeigt.

  • Benutzer, die kein Passwort in der Webex-App haben, müssen entweder ihr Passwort zurücksetzen oder eine E-Mail senden, damit sie ein Passwort festlegen können.

  • Vorhandene authentifizierte Benutzer mit einem gültigen OAuth-Token haben weiterhin Zugriff auf die Webex App.

  • Neue Benutzer, die erstellt werden, während SSO deaktiviert ist, erhalten eine E-Mail mit der Aufforderung, ein Passwort zu erstellen.

Nächste Schritte

Wenn Sie oder der Kunde SSO für die Kundenorganisation neu konfigurieren, verwenden Benutzerkonten wieder die Passwortrichtlinie, die vom IdP festgelegt wurde, der in die Webex-Organisation integriert ist.

Wenn bei Ihrer SSO-Anmeldung Probleme auftreten, können Sie die SSO-Eigenwiederherstellungsoption verwenden, um Zugriff auf Ihre im Control Hub verwaltete Webex-Organisation zu erhalten. Mit der Option zur Eigenwiederherstellung können Sie SSO in Control Hub aktualisieren oder deaktivieren.