Utilice las funciones de administración de SSO en Control Hub para la administración de certificados y las actividades generales de mantenimiento de SSO , como actualizar un certificado que caduca o verificar su configuración de SSO existente. Cada característica de administración de SSO se cubre en las pestañas individuales de este artículo.
Si desea configurar el SSO para varios proveedores de servicios de identidad en su organización, consulte SSO con varios IdP en Webex.
Si el uso del certificado de su organización está configurado en Ninguno pero aún recibe una alerta, le recomendamos que continúe con la actualización. Su implementación de SSO no está utilizando el certificado hoy, pero es posible que necesite el certificado para cambios futuros. |
De vez en cuando, puede recibir una notificación por correo electrónico o ver una alerta en Control Hub de que el certificado de inicio de sesión único (SSO ) de Webex va a caducar. Siga el proceso de este artículo para recuperar los metadatos del certificado en la nube de SSO de nosotros (el SP) y volver a agregarlos a su IdP; de lo contrario, los usuarios no podrán utilizar los servicios de Webex . |
Si está utilizando el certificado de SSO de Cisco (SP) SAML en su organización de Webex, debe planificar la actualización del certificado de la nube durante una ventana de mantenimiento planificada regularmente lo antes posible.
Todos los servicios que forman parte de la suscripción de su organización de se ven afectados, entre los que se incluyen:
Aplicación de Webex (nuevos inicios de sesión para todas las plataformas: escritorio, móvil y web)
Servicios de Webex en Control Hub, incluidas las llamadas
El sitio de Webex Meetings es administrado por Webex Control Hub
Cisco Jabber si está integrado con SSO
Antes de comenzar
Lea todas las instrucciones antes de comenzar. Después de cambiar el certificado o pasar por el asistente para actualizar el certificado, es posible que los nuevos usuarios no puedan iniciar iniciar sesión correctamente. |
Si su IdP no admite varios certificados (la mayoría de los IdP del mercado no admiten esta característica), le recomendamos que planifique esta mejora durante una ventana de mantenimiento en la que los usuarios de la aplicación Webex no se vean afectados. Estas tareas de mejora deberían demorar aproximadamente 30 minutos en el tiempo operativo y la validación posterior al evento.
1 | Para comprobar si el certificado SSO de SAML Cisco (SP) va a caducar:
También puede ir directamente al asistente de SSO para actualizar el certificado. Si decide salir del asistente antes de completarlo, puede volver a acceder a él en cualquier momento desde https://admin.webex.com. en | ||
2 | Vaya al IdP y haga clic en. | ||
3 | Haga clic en Revisar certificados y fecha de caducidad. | ||
4 | Haga clic en Renovar certificado. | ||
5 | Elija el tipo de IdP que utiliza su organización.
| ||
6 | Elija el tipo de certificado para la renovación:
| ||
7 | Haga clic en Descargar archivo de metadatos para descargar una copia de los metadatos actualizados con el nuevo certificado. Mantenga esta pantalla abierta. | ||
8 | Navegue a la interfaz de administración de su IdP para cargar el nuevo archivo de metadatos de Webex .
| ||
9 | Regrese a la pestaña donde inició sesión en Control Hub y haga clic en Siguiente . | ||
10 | Actualice el IdP con el nuevo certificado y metadatos de SP y haga clic en Siguiente.
| ||
11 | Haga clic en Finalizar renovación. |
De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en Control Hub de que el certificado IdP va a caducar. Debido a que los proveedores de IdP tienen su propia documentación específica para la renovación del certificado, cubrimos lo que se requiere en Control Hub, junto con los pasos genéricos para recuperar los metadatos de IdP actualizados y cargarlos en Control Hub para renovar el certificado. |
1 | Para comprobar si el certificado SAML de IdP va a caducar:
| ||
2 | Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos.
| ||
3 | Vuelva a la ficha Proveedor de servicios de identidad. | ||
4 | Vaya al IdP, haga clic eny seleccione Cargar metadatos de IDP. | ||
5 | Arrastre y suelte el archivo de metadatos del IdP en la ventana o haga clic en Elegir un archivo y cárguelo de esa manera. | ||
6 | Elegir Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), dependiendo de cómo se firmen los metadatos de su IdP. | ||
7 | Haga clic en Probar actualización del SSO para confirmar que su IdP cargó e interpretó correctamente el nuevo archivo de metadatos. Confirme los resultados esperados en la ventana emergente y, si la prueba fue exitosa, seleccione Prueba exitosa: Active el SSO y el IdP y haga clic en Guardar.
Resultado: Ha terminado y el certificado IdP de su organización ahora está renovado. Puede comprobar el estado del certificado en cualquier momento en la ficha Proveedor de identidad.
|
Puede exportar los últimos metadatos de Webex SP siempre que necesite volver a agregarlos a su IdP. Verá un aviso cuando los metadatos SAML de IdP importados caduquen o hayan caducado.
Este paso es útil en escenarios comunes de administración de certificados de IdP SAML , como IdP que admiten varios certificados donde la exportación no se realizó antes, si los metadatos no se importaron al IdP porque un administrador de IdP no estaba disponible, o si su IdP admite el capacidad de actualizar solo el certificado. Esta opción puede ayudar a minimizar el cambio al actualizar solo el certificado en su configuración de SSO y validación posterior al evento.
1 | Desde la vista del cliente en https://admin.webex.com, vaya a , desplácese hasta Inicio de sesión único y haga clic en Administrar SSO e IdP. |
2 | Vaya a la ficha Proveedor de servicios de identidad. |
3 | Vaya al IdP, haga clic eny seleccione Descargar metadatos de SP. El nombre de archivo de metadatos de la aplicación de Webex es idb-meta-<org-ID>-SP.xml. |
4 | Importe los metadatos a su IdP. Siga la documentación de su IdP para importar los metadatos de Webex SP. Puede utilizar nuestro Guías de integración de IdP o consulte la documentación de su IdP específico si no figura en la lista. |
5 | Cuando haya terminado, ejecute la prueba de SSO siguiendo los pasos de |
Cuando su entorno de IdP cambie o si su certificado de IdP caducará, puede importar los metadatos actualizados a Webex en cualquier momento.
Antes de comenzar
Reúna los metadatos de su IdP, generalmente como un archivo xml exportado.
1 | Desde la vista del cliente en https://admin.webex.com, vaya a , desplácese hasta Inicio de sesión único y haga clic en Administrar SSO e IdP. |
2 | Vaya a la ficha Proveedor de servicios de identidad. |
3 | Vaya al IdP, haga clic eny seleccione Cargar metadatos de IDP. |
4 | Arrastre y suelte su archivo de metadatos IdP en la ventana o haga clic en Elija un archivo de metadatos y cárguelo de esa manera. |
5 | Elegir Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), dependiendo de cómo se firmen los metadatos de su IdP. |
6 | Haga clic en Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión. |
Recibirá alertas en Control Hub antes de que los certificados caduquen, pero también puede configurar las reglas de alerta de forma proactiva. Estas reglas le permiten saber de antemano que sus certificados SP o IdP van a caducar. Podemos enviárselos por correo electrónico, un espacio en la aplicación Webex o ambos.
Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en Control Hub. Consulte Centro de alertas en Control Hub para obtener más información. |
1 | |||
2 | Vaya a Centro de alertas. | ||
3 | Seleccione Administrar y luego Todas las reglas. | ||
4 | En la lista Reglas, elija cualquiera de las reglas de SSO que desee crear:
| ||
5 | En la sección Canal de entrega, marque la casilla Correo electrónico, Espacio de Webex o ambos. Si elige Correo electrónico, introduzca la dirección de correo electrónico que debe recibir la notificación.
| ||
6 | Guarde los cambios. |
Qué hacer a continuación
Enviamos alertas de caducidad de certificados una vez cada 15 días, comenzando 60 días antes de la caducidad. (Puede esperar alertas en los días 60, 45, 30 y 15). Las alertas se detienen cuando renueva el certificado.
Es posible que vea un aviso que indica que la URL de cierre de sesión único no está configurada:
Le recomendamos que configure su IdP para que admita el cierre de sesión único (también conocido como SLO). Webex admite los métodos de redireccionamiento y publicación, disponibles en nuestros metadatos que se descargan de Control Hub. No todos los IdP admiten SLO; Comuníquese con su equipo de IdP para obtener ayuda. En ocasiones, para los principales proveedores de IdP, como AzureAD, Ping Federate, ForgeRock y Oracle, que sí admiten SLO, documentamos cómo configurar la integración. Consulte a su equipo de Identidad y Seguridad sobre los detalles de su IDP y cómo configurarlo correctamente. |
Si la URL de cierre de sesión único no está configurada:
Una sesión de IdP existente sigue siendo válida. La próxima vez que los usuarios inicien iniciar sesión, es posible que el IdP no les pida que vuelvan a autenticarse.
Mostramos un mensaje de advertencia al cerrar sesión, por lo que el cierre de sesión de la aplicación Webex no ocurre sin problemas.
Puede deshabilitar el inicio de sesión único (SSO) para su organización de Webex administrada en Control Hub. Es posible que desee deshabilitar el SSO si está cambiando los proveedores de servicios de identidad (IdP).
Si el inicio de sesión único se ha habilitado para su organización, pero falla, puede contratar a su socio de Cisco que puede acceder a su organización de Webex para que lo deshabilite. |
1 | Desde la vista del cliente en https://admin.webex.com, vaya a , desplácese hasta Inicio de sesión único y haga clic en Administrar SSO e IdP. |
2 | Vaya a la ficha Proveedor de servicios de identidad. |
3 | Haga clic en Desactivar inicio de sesión único. Aparece una ventana emergente que le advierte sobre la desactivación del SSO: Si deshabilita el SSO, las contraseñas son administradas por la nube en lugar de su configuración de IdP integrada. |
4 | Si comprende el impacto de deshabilitar SSO y desea continuar, haga clic en Desactivar . El SSO se desactiva y se eliminan todas las listas de certificados de SAML. Si el SSO está deshabilitado, los usuarios que tengan que autenticarse verán un campo de entrada de contraseña durante el proceso de inicio de sesión.
|
Qué hacer a continuación
Si usted o el cliente vuelven a configurar el SSO para la organización del cliente, las cuentas de usuario vuelven a utilizar la política de contraseñas que establece el IdP integrado con la organización de Webex.
Si tiene problemas con su inicio de sesión de SSO, puede utilizar la opción de recuperación automática de SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de recuperación automática le permite actualizar o deshabilitar el SSO en Control Hub.