השתמש בתכונות ניהול ה- SSO ב-Control Hub לניהול אישורים ופעילויות תחזוקה כלליות של SSO , כגון עדכון אישור שפג תוקפו או בדיקה של תצורת ה- SSO הקיימת שלך. כל תכונת ניהול SSO מכוסה בכרטיסיות הנפרדות במאמר זה.
אם ברצונך להגדיר SSO עבור ספקי זהויות מרובים בארגון שלך, עיין ב-SSO עם ספקי זהויות מרובים ב-Webex.
אם השימוש באישורים של הארגון שלך מוגדר ל-None אבל אתה עדיין מקבל התראה, אנו ממליצים להמשיך בשדרוג. פריסת ה- SSO שלך אינה משתמשת באישור היום, אך ייתכן שתזדקק לאישור עבור שינויים עתידיים. |
מעת לעת, ייתכן שתקבל הודעת דוא"ל או תראה התראה ב-Control Hub שתוקף אישור ה- Webex כניסה יחידה יחידה (SSO) עומד לפוג. עקוב אחר התהליך במאמר זה כדי לאחזר מאיתנו את המטא נתונים של אישור ענן SSO (ה-SP) ולהוסיף אותם בחזרה ל-IdP שלך; אחרת, משתמשים לא יוכלו להשתמש בשירותי Webex . |
אם אתה משתמש בתעודת SAML Cisco (SP) בארגון WeBEX שלך, עליך לתכנן לעדכן את תעודת הענן במהלך חלון תחזוקה קבוע מתוזמן בהקדם האפשרי.
כל השירותים שהם חלק מהמנוי לארגון Webex שלך מושפעים, כולל אך לא מוגבל ל:
אפליקציית Webex (כניסות חדשות לכל הפלטפורמות: שולחן עבודה, נייד ואינטרנט)
שירותי Webex ב-Control Hub, כולל שיחות
אתרי Webex Meetings המנוהלים באמצעות Control Hub
Cisco Jabber אם הוא משולב עם SSO
לפני שתתחיל
אנא קרא את כל הכיוונים לפני שתתחיל. לאחר שתשנה את האישור או תעבור על האשף לעדכון האישור, ייתכן שמשתמשים חדשים לא יוכלו להיכנס בהצלחה. |
אם ה-IdP שלך לא תומך בתעודות מרובות (רוב ספקי הזהויות בשוק לא תומכים בתכונה זו), מומלץ לתזמן שדרוג זה במהלך חלון תחזוקה שבו משתמשי יישום Webex לא מושפעים. משימות שדרוג אלה צריכות להימשך כ-30 דקות בזמן תפעולי ואימות לאחר האירוע.
1 | כדי לבדוק אם תוקף אישור ה- SSO של SAML Cisco (SP) עומד לפוג:
אתה יכול להיכנס ישירות לאשף SSO כדי לעדכן גם את האישור. אם תחליט לצאת מהאשף לפני שתשלים אותו, תוכל לגשת אליו שוב בכל עת מ- https://admin.webex.com... ב: | ||
2 | עבור אל ה-IdP ולחץ. | ||
3 | לחץ על תעודות סקירה ותאריך תפוגה. | ||
4 | לחץ על חידוש תעודה. | ||
5 | בחר את סוג ה-IdP שבו משתמש הארגון שלך.
| ||
6 | בחר את סוג התעודה לחידוש:
| ||
7 | לחץ הורד קובץ מטא נתונים כדי להוריד עותק של המטא נתונים המעודכנים עם האישור החדש מהענן של Webex . השאר את המסך הזה פתוח. | ||
8 | נווט אל ממשק ניהול ה-IDP שלך כדי להעלות את קובץ המטא-נתונים החדש של Webex .
| ||
9 | חזור לכרטיסייה שבה נכנסת ל-Control Hub ולחץ הבא . | ||
10 | עדכן את ה-IdP עם אישור ספק השירות והמטה-נתונים החדשים ולחץ על Next.
| ||
11 | לחץ על חידוש סיום. |
מעת לעת, ייתכן שתקבל הודעת דוא"ל או שתראה התראה ב-Control Hub שתוקפה של תעודת IdP עומד לפוג. מכיוון שלספקי IdP יש תיעוד ספציפי משלהם לחידוש תעודות, אנו מכסים את מה שנדרש ב-Control Hub, יחד עם שלבים גנריים כדי לאחזר מטה-נתונים מעודכנים של IdP ולהעלות אותו ל-Control Hub כדי לחדש את האישור. |
1 | כדי לבדוק אם תוקף אישור SAML של IdP עומד לפוג:
| ||
2 | נווט לממשק הניהול של IdP כדי לאחזר את קובץ המטה-נתונים החדש.
| ||
3 | חזור ללשונית ספק הזהויות. | ||
4 | עבור אל ה-IdP, לחץובחר מטה-נתונים של העלה נתונים של Idp. | ||
5 | גרור ושחרר את קובץ המטה-נתונים של IdP לתוך החלון או לחץ על בחר קובץ והעלה אותו כך. | ||
6 | בחר פחות בטוח (חתום בעצמו) או בטוח יותר (חתום על ידי CA ציבורי), בהתאם לאופן החתימה של המטא נתונים של IdP שלך. | ||
7 | לחץ בדוק את עדכון SSO כדי לאשר שקובץ המטא נתונים החדש הועלה ופורש כהלכה לארגון Control Hub שלך. אשר את התוצאות הצפויות בחלון המוקפץ, ואם הבדיקה הצליחה, בחר בדיקה מוצלחת: הפעל את SSO ואת ה-IdP ולחץ על שמור.
תוצאה: סיימת ואישור ה-IDP של הארגון שלך מחודש כעת. באפשרותך לבדוק את מצב התעודה בכל עת תחת הלשונית ספק הזהויות .
|
אתה יכול לייצא את המטא נתונים העדכניים ביותר של Webex SP בכל פעם שאתה צריך להוסיף אותם בחזרה ל-IdP שלך. תראה הודעה כאשר המטא נתונים המיובאים של IdP SAML עומדים לפוג או שפג תוקפם.
שלב זה שימושי בתרחישים נפוצים של ניהול תעודות IdP SAML , כגון IdPs התומכים במספר אישורים שבהם הייצוא לא בוצע קודם לכן, אם המטא נתונים לא יובאו ל-IdP מכיוון שמנהל IdP לא היה זמין, או אם IdP שלך תומך ב-IdP יכולת לעדכן רק את התעודה. אפשרות זו יכולה לעזור למזער את השינוי רק על ידי עדכון האישור בתצורת ה- SSO שלך ואימות לאחר אירוע.
1 | מתצוגת הלקוח ב-https://admin.webex.com, עבור אל , גלול אל כניסה יחידה ולחץ על ניהול SSO ו-IdPs. |
2 | עבור ללשונית ספק הזהויות . |
3 | עבור אל ה-IdP, לחץובחר מטה-נתונים של SP הורד. שם הקובץ של מטה-נתונים של יישום Webex הוא idb-meta-<org-ID>-SP.xml. |
4 | ייבא את המטא נתונים ל-IDP שלך. עקוב אחר התיעוד עבור IdP שלך כדי לייבא את המטא נתונים של Webex SP. אתה יכול להשתמש שלנו מדריכי אינטגרציה של IdP או עיין בתיעוד עבור IdP הספציפי שלך אם אינו רשום. |
5 | כשתסיים, הפעל את בדיקת SSO באמצעות השלבים ב |
כאשר סביבת ה-IdP שלך משתנה או אם תוקף אישור ה-IDP שלך עומד לפוג, אתה יכול לייבא את המטא נתונים המעודכנים ל- Webex בכל עת.
לפני שתתחיל
אסוף את המטא נתונים של IdP שלך, בדרך כלל כקובץ XML מיוצא.
1 | מתצוגת הלקוח ב-https://admin.webex.com, עבור אל , גלול אל כניסה יחידה ולחץ על ניהול SSO ו-IdPs. |
2 | עבור ללשונית ספק הזהויות . |
3 | עבור אל ה-IdP, לחץובחר מטה-נתונים של העלה נתונים של Idp. |
4 | גרור ושחרר את קובץ המטא נתונים של IdP לחלון או לחץ בחר קובץ מטא נתונים ולהעלות את זה ככה. |
5 | בחר פחות בטוח (חתום בעצמו) או בטוח יותר (חתום על ידי CA ציבורי), בהתאם לאופן החתימה של המטא נתונים של IdP שלך. |
6 | לחץ על הגדרת SSO, וכאשר לשונית דפדפן חדשה תיפתח, בצע אימות מול ה-IdP על-ידי כניסה. |
תקבל התראות ב-Control Hub לפני שתוקפן פג האישורים, אבל תוכל גם להגדיר באופן יזום את כללי ההתראה. כללים אלה מאפשרים לך לדעת מראש שפג תוקפו של תעודות SP או ה-IdP שלך. אנחנו יכולים לשלוח לך אותם בדוא"ל, מרחב ביישום Webex, או בשניהם.
ללא קשר לערוץ המשלוח המוגדר, כל ההתראות תמיד מופיעות ב-Control Hub. למידע נוסף, ראה מרכז ההתראות ב-Control Hub . |
1 | היכנס אל רכזת בקרה . | ||
2 | עבור אל מרכז ההתראות. | ||
3 | בחר נהל ולאחר מכן כל הכללים. | ||
4 | מרשימת הכללים, בחר אחד מכללי SSO שברצונך ליצור:
| ||
5 | בקטע ערוץ המסירה, סמן את התיבה עבור דוא"ל, מרחב Webex, או את שניהם. אם תבחרו בדוא"ל, הזן את כתובת הדוא"ל שאמורה לקבל את ההתראה.
| ||
6 | שמור את השינויים. |
מה הלאה?
אנו שולחים התראות על תפוגת התעודות פעם ב-15 יום, החל מ-60 יום לפני התפוגה. (ניתן לצפות להתראות ביום 60, 45, 30 ו-15). ההתראות נפסקות בעת חידוש התעודה.
ייתכן שתראה הודעה ש-URL של ההתנתקות היחידה אינו מוגדר:
אנו ממליצים שתגדיר את ה-IDP שלך כך שתומך ביציאה יחידה (הידוע גם בשם SLO). Webex תומך הן בשיטות ההפניה מחדש והן בשיטות הפרסום, הזמינות במטא נתונים שלנו המורידים מ-Control Hub. לא כל IdPs תומכים ב-SLO; אנא צור קשר עם צוות ה-IDP שלך לקבלת סיוע. לפעמים, עבור ספקי IdP גדולים כמו AzureAD, Ping Federate, ForgeRock, ו-Oracle, התומכים ב-SLO, אנו מתעדים כיצד להגדיר את השילוב. התייעץ עם צוות הזהות והאבטחה שלך בפרטי ה-IDP שלך וכיצד להגדיר אותו כראוי. |
אם כתובת ה-URL של התנתקות יחידה לא מוגדרת:
הפעלת IdP קיימת נשארת בתוקף. בפעם הבאה שמשתמשים להיכנס, ייתכן שהם לא יתבקשו לאמת מחדש על ידי ה-IDP.
אנו מציגים הודעת אזהרה בעת לצאת, כך Webex לא מתרחש בצורה חלקה.
אתה יכול להשבית כניסה יחידה יחידה (SSO) עבור ארגון ה- Webex שלך המנוהל ב-Control Hub. ייתכן שתרצה להשבית SSO אם אתה משנה ספקי זהויות (ספקי זהויות).
אם כניסה יחידה הופעלה עבור הארגון שלך אך נכשלת, תוכל להתקשר עם שותף Cisco שלך שיכול לגשת לארגון Webex שלך כדי להשבית אותו עבורך. |
1 | מתצוגת הלקוח ב-https://admin.webex.com, עבור אל , גלול אל כניסה יחידה ולחץ על ניהול SSO ו-IdPs. |
2 | עבור ללשונית ספק הזהויות . |
3 | לחץ על השבת את SSO. מופיע חלון קופץ שמזהיר אותך על השבתת SSO: אם תשבית את SSO, הסיסמאות מנוהלות על ידי הענן במקום תצורת IdP המשולבת שלך. |
4 | אם אתה מבין את ההשפעה של השבתת SSO וברצונך להמשיך, לחץ השבת . SSO מושבת וכל רישומי האישורים של SAML מוסרים. אם SSO מושבת, משתמשים שיצטרכו לאמת יראו שדה כניסה לסיסמה במהלך הכניסה.
|
מה הלאה?
אם אתה או הלקוח נקבעו מחדש את התצורה של SSO עבור ארגון הלקוח, חשבונות משתמשים חוזרים להשתמש במדיניות הסיסמה שהוגדרה על-ידי ה-IdP המשולבת עם ארגון Webex.
אם תיתקל בבעיות עם כניסת SSO שלך, תוכל להשתמש באפשרות ההתאוששות העצמית של sso כדי לקבל גישה לארגון Webex שלך המנוהל ב-Control Hub. אפשרות ההתאוששות העצמית מאפשרת לך לעדכן או להשבית את SSO ב-Control Hub.