SSO a Control Hubban

Ha a szervezeten belül több identitásszolgáltatóhoz szeretne beállítani SSO -t, lásd: SSO több IdP-vel a Webex .


 

Ha a szervezet tanúsítványhasználatának beállítása Nincs, de Ön még mindig kap riasztást, javasoljuk, hogy továbbra is folytassa a frissítést. Az Ön SSO -telepítése ma nem használja a tanúsítványt, de előfordulhat, hogy a későbbi módosításokhoz szüksége lesz rá.

Szolgáltatói (SP) tanúsítványok


 

Időnként kaphat e-mail-értesítést, vagy figyelmeztetést láthat a Control Hubban, hogy a Webex egyszeri bejelentkezés (SSO) tanúsítvány lejár. Kövesse a jelen cikkben ismertetett eljárást az SSO felhőtanúsítvány metaadatainak lekéréséhez tőlünk (az SP-től), majd adja vissza azokat az IdP-jéhez; ellenkező esetben a felhasználók nem használhatják a Webex -szolgáltatásokat.

Ha SAML Cisco (SP) SSO -tanúsítványt használ a Webex -szervezetben, akkor a lehető leghamarabb meg kell terveznie a felhőtanúsítvány frissítését egy szokásos ütemezett karbantartási időszak során.

A Webex -szervezeti előfizetés részét képező összes szolgáltatás érintett, beleértve, de nem kizárólagosan:

  • Webex alkalmazás (új bejelentkezés az összes platformra: asztali, mobil és webes)

  • Webex szolgáltatások a Control Hubban, beleértve a hívást is

  • A Control Hubon keresztül kezelt Webex Meetings -webhelyek

  • Cisco Jabber , ha integrálva van az SSO -val

Mielőtt elkezdené


 

Mielőtt elkezdené, olvassa el az összes utasítást. Miután módosította a tanúsítványt, vagy a varázslón keresztül frissítette a tanúsítványt, előfordulhat, hogy az új felhasználók nem tudnak sikeresen bejelentkezni.

Ha az IdP nem támogat több tanúsítványt (a piacon lévő legtöbb IdP nem támogatja ezt a funkciót), javasoljuk, hogy a frissítést egy karbantartási időszakra ütemezze, ahol ez a Webex alkalmazás felhasználóit nem érinti. Ezek a frissítési feladatok körülbelül 30 percet vesznek igénybe a működési idő és az esemény utáni ellenőrzés során.

1

Annak ellenőrzése, hogy az SAML Cisco (SP) SSO -tanúsítvány lejár-e:

  • Lehet, hogy kapott tőlünk e-mailt vagy Webex App-üzenetet, de ellenőrizze a Control Hub szolgáltatást, hogy meggyőződhessen róla.

  • Jelentkezzen be ide:https://admin.webex.com , és ellenőrizze a Riasztási központ . Lehetséges, hogy értesítés érkezik az SSO szolgáltatói tanúsítvány frissítéséről.

  • Jelentkezzen be ide:https://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre > Egyszeri bejelentkezés , majd kattintson a lehetőségre SSO és IdP-k kezelése .
  • Lépjen a következőre: Identitásszolgáltató fület, és jegyezze fel a Cisco SP-tanúsítvány állapotát és lejárati dátumát.

Közvetlenül az SSO varázslóba léphet a tanúsítvány frissítéséhez is. Ha úgy dönt, hogy kilép a varázslóból, mielőtt befejezné, bármikor újra elérheti innen: Kezelés > Szervezeti beállítások elemre > Egyszeri bejelentkezés behttps://admin.webex.com .

2

Lépjen az IdP-re, és kattintson.

3

Kattintson Tekintse át a tanúsítványokat és a lejárati dátumot .

4

Kattintson Tanúsítvány megújítása .

5

Válassza ki a szervezete által használt IdP-típust.

  • Több tanúsítványt támogató IdP
  • Egyetlen tanúsítványt támogató IdP

 

Ha az IdP egyetlen tanúsítványt támogat, javasoljuk, hogy várjon, amíg végrehajtja ezeket a lépéseket az ütemezett állásidőben. Amíg a Webex -tanúsítvány frissítés alatt áll, az új felhasználói bejelentkezések rövid ideig nem működnek; a meglévő bejelentkezések megmaradnak.

6

Válassza ki a megújításhoz használt tanúsítvány típusát:

  • Cisco saját aláírásával — Ezt a választást javasoljuk. Írjuk alá a tanúsítványt, hogy csak ötévente kelljen megújítania.
  • Nyilvános hitelesítő hatóság írta alá — Biztonságosabb, de gyakran frissítenie kell a metaadatokat (kivéve, ha az IdP szállítója támogatja a megbízhatósági horgonyokat).

     

    A megbízhatósági horgonyok nyilvános kulcsok, amelyek a digitális aláírás tanúsítványának ellenőrzésére jogosultak. További információkért olvassa el az IdP dokumentációját.

7

Kattintson Metaadatfájl letöltése hogy letöltse a frissített metaadatok egy példányát az új tanúsítvánnyal a Webex felhőből. Tartsa nyitva ezt a képernyőt.

8

Keresse meg az IdP-kezelési felületet az új Webex metaadatfájl feltöltéséhez.

9

Térjen vissza arra a lapra, ahol bejelentkezett a Control Hubra, és kattintson a gombra Következő .

10

Frissítse az IdP-t az új SP-tanúsítvánnyal és metaadatokkal, majd kattintson Következő .

  • Az összes IdP frissítése sikeres
  • Ha a frissítéshez több idő szükséges, mentse el a megújított tanúsítványt másodlagos opcióként
11

Kattintson Megújítás befejezése .

Identity Provider (IdP) tanúsítvány


 

Időnként kaphat e-mail-értesítést, vagy figyelmeztetést láthat a Control Hubban arról, hogy az IdP-tanúsítvány lejár. Mivel az IdP-szolgáltatók saját, speciális dokumentációval rendelkeznek a tanúsítvány megújítására, lefedjük a Control Hub követelményeit, valamint a frissített IdP-metaadatok lekéréséhez és a Control Hub rendszerbe való feltöltéséhez szükséges általános lépéseket a tanúsítvány megújítása érdekében.

1

Annak ellenőrzése, hogy az IdP SAML -tanúsítvány lejár-e:

  • Lehet, hogy kapott tőlünk e-mailt vagy Webex App-üzenetet, de ellenőrizze a Control Hub szolgáltatást, hogy meggyőződhessen róla.
  • Jelentkezzen be ide:https://admin.webex.com , és ellenőrizze a Riasztási központ . Lehetséges, hogy értesítés érkezik az IdP SAML -tanúsítvány frissítéséről:

  • Jelentkezzen be ide:https://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre > Egyszeri bejelentkezés , majd kattintson a lehetőségre SSO és IdP-k kezelése .
  • Lépjen a következőre: Identitásszolgáltató fület, és jegyezze fel az IdP-tanúsítvány állapotát (lejárt vagy hamarosan lejáró) és a lejárati dátumot.

  • Közvetlenül az SSO varázslóba léphet a tanúsítvány frissítéséhez is. Ha úgy dönt, hogy kilép a varázslóból, mielőtt befejezné, bármikor újra elérheti innen: Kezelés > Szervezeti beállítások elemre > Egyszeri bejelentkezés behttps://admin.webex.com .

2

Keresse meg az IdP-kezelési felületet az új metaadatfájl lekéréséhez.

  • Ez a lépés végrehajtható böngésző lapon, távoli asztali protokollon (RDP) vagy adott felhőszolgáltatói támogatáson keresztül, az IdP-beállításoktól és attól függően, hogy Ön vagy egy külön IdP-rendszergazda felelős-e ezért a lépésért.
  • Tájékoztatásul: lásd SSO integrációs útmutatónkat vagy támogatásért forduljon az IdP-rendszergazdához.
3

Vissza a következőhöz: Identitásszolgáltató fülre.

4

Lépjen az IdP-re, kattintsonuploadés válassza ki a lehetőséget Idp-metaadatok feltöltése .

5

Húzza át az IdP-metaadatfájlt az ablakba, vagy kattintson a gombra Válasszon ki egy fájlt és úgy töltsd fel.

6

Válasszon Kevésbé biztonságos (saját aláírású) ill Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt), az IdP-metaadat aláírásának módjától függően.

7

Kattintson SSO frissítés tesztelése annak ellenőrzésére, hogy az új metaadatfájl feltöltése és értelmezése megfelelően történt-e a Control Hub-szervezetbe. Erősítse meg a várt eredményeket a felugró ablakban, és ha a teszt sikeres volt, válassza a lehetőséget Sikeres teszt: Az SSO és az IdP aktiválása és kattintson Mentés .


 

Ha közvetlenül szeretné megtekinteni az SSO -bejelentkezési élményt, javasoljuk, hogy kattintson a gombra URL másolása a vágólapra erről a képernyőről, és illessze be egy privát böngészőablakba. Ezután kipróbálhatja az SSO-val történő bejelentkezést. Ez segít eltávolítani minden olyan, a webböngészőben tárolt információt, amely hamis pozitív eredményt adhat az SSO-konfiguráció tesztelésekor.

Eredmény: Ezzel elkészült, és szervezete IdP-tanúsítványa megújításra került. A tanúsítvány állapotát bármikor ellenőrizheti a következő alatt: Identitásszolgáltató fülre.

A legfrissebb Webex SP metaadatokat bármikor exportálhatja, amikor újra hozzá kell adnia az IdP-hez. Értesítés jelenik meg, amikor az importált IdP SAML -metaadatok lejárnak vagy lejártak.

Ez a lépés olyan gyakori IdP SAML tanúsítványkezelési forgatókönyveknél hasznos, mint például a több tanúsítványt támogató IdP-k, ahol az exportálás korábban nem történt meg, ha a metaadatok nem lettek importálva az IdP-be, mert nem volt elérhető IdP-rendszergazda, vagy ha az IdP támogatja a csak a tanúsítvány frissítésének képessége. Ez a beállítás segíthet minimalizálni a változást azáltal, hogy csak az SSO -konfigurációban és az esemény utáni érvényesítésben frissíti a tanúsítványt.

1

Ügyfélnézetből inhttps://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre , görgessen a lehetőséghez Egyszeri bejelentkezés és kattintson SSO és IdP-k kezelése .

2

Lépjen a következőre: Identitásszolgáltató fülre.

3

Lépjen az IdP-re, kattintsonDownloadés válassza ki a lehetőséget SP metaadatok letöltése .

A Webex alkalmazás metaadat-fájlneve: idb-meta-<org-ID> -SP.xml .

4

Importálja a metaadatokat az IdP-be.

Kövesse az IdP dokumentációját a Webex SP metaadatok importálásához. Használhatja a mi IdP-integrációs útmutatók vagy olvassa el az adott IdP dokumentációját, ha nem szerepel a listában.

5

Ha végzett, futtassa az SSO -tesztet a következő lépések szerint Webex tanúsítvány (SP) megújítása ebben a cikkben.

Amikor az IdP-környezet megváltozik, vagy ha az IdP-tanúsítvány lejár, a frissített metaadatokat bármikor importálhatja a Webex .

Mielőtt elkezdené

Gyűjtse össze az IdP-metaadatait, jellemzően exportált xml-fájlként.

1

Ügyfélnézetből inhttps://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre , görgessen a lehetőséghez Egyszeri bejelentkezés és kattintson SSO és IdP-k kezelése .

2

Lépjen a következőre: Identitásszolgáltató fülre.

3

Lépjen az IdP-re, kattintsonuploadés válassza ki a lehetőséget Idp-metaadatok feltöltése .

4

Húzza át az IdP-metaadatfájlt az ablakba, vagy kattintson a gombra Válasszon egy metaadatfájlt és úgy töltsd fel.

5

Válasszon Kevésbé biztonságos (saját aláírású) ill Biztonságosabb (nyilvános hitelesítésszolgáltató által aláírt), az IdP-metaadat aláírásának módjától függően.

6

Kattintson Az SSO beállításának tesztelése , és amikor egy új böngészőlap megnyílik, bejelentkezéssel végezzen hitelesítést az IdP-vel.

A tanúsítványok lejáratának beállítása előtt figyelmeztetéseket kap a Control Hubban, de proaktív módon is beállíthat riasztási szabályokat. Ezek a szabályok előre tudatják Önnel, hogy az SP- vagy IdP-tanúsítványai lejárnak. Ezeket elküldhetjük Önnek e-mailben, egy tárhelyen a Webex alkalmazásban, vagy mindkettőn keresztül.


 

A beállított kézbesítési csatornától függetlenül minden riasztás mindig megjelenik a Control Hubban. Lásd Riasztási központ a Control Hubban további információkért.

1

Jelentkezzen be ide: Control Hub .

2

Ugrás ide: Riasztási központ .

3

Válasszon Kezelés lehetőségre majd Minden szabály .

4

A Szabálylistából válassza ki a létrehozni kívánt SSO -szabályok egyikét:

  • SSO IDP-tanúsítvány lejárt
  • Az SSO SP-tanúsítvány lejárt
5

A Kézbesítési csatorna részben jelölje be a(z) e-mail , Webex tárhely , vagy mindkettő.

Ha az E- e-mail lehetőséget választja, adja meg azt az e- e-mail-cím , amelyre az értesítést kapni kell.


 

Ha a Webex -tárhely opciót választja, a rendszer automatikusan hozzáadja a Webex alkalmazás egyik szobájához, és oda kézbesítjük az értesítéseket.

6

Mentse a módosításokat.

Mi a következő teendő

A tanúsítvány lejáratára vonatkozó figyelmeztetést 15 naponta egyszer küldjük, a lejárat előtt 60 nappal kezdve. (Riasztásra a 60., 45., 30. és 15. napon számíthat.) A riasztások leállnak, amikor megújítja a tanúsítványt.

Előfordulhat, hogy egy értesítést láthat arról, hogy az egyszeri kijelentkezési URL nincs konfigurálva:


 

Javasoljuk, hogy állítsa be az IdP-jét úgy, hogy támogassa az egyszeri kijelentkezést (más néven SLO). A Webex a Control Hub oldaláról letöltött metaadataink között elérhető átirányítási és közzétételi metódust egyaránt támogatja. Nem minden IdP támogatja az SLO-t; segítségért forduljon az IdP csapatához. Néha az SLO-t támogató fő IdP-szállítók, például az AzureAD, a Ping Federate, a ForgeRock és az Oracle, dokumentáljuk, hogyan kell beállítani az integrációt . Az IDP sajátosságairól és a megfelelő beállításáról érdeklődjön az Identity & Security csapatánál.

Ha az egyszeri kijelentkezés URL-címe nincs konfigurálva:

  • Egy meglévő IdP-munkamenet érvényes marad. Amikor legközelebb bejelentkeznek a felhasználók, előfordulhat, hogy az IdP nem kéri majd őket az újrahitelesítésre.

  • Kijelentkezéskor egy figyelmeztető üzenet meg, így a Webex alkalmazásból nem történik zökkenőmentes kijelentkezés.

Letilthatja az egyszeri bejelentkezés (SSO) a Control Webex -szervezeténél. Érdemes lehet letiltani az SSO -t, ha identitásszolgáltatót (IDP) módosít.


 

Ha az egyszeri bejelentkezés engedélyezve van a szervezeténél, de az sikertelen, akkor megbízhatja a Webex -szervezethez hozzáférő Cisco -partnerét, hogy tiltsa le azt az Ön számára.

1

Ügyfélnézetből inhttps://admin.webex.com , menjen ide: Kezelés > Szervezeti beállítások elemre , görgessen a lehetőséghez Egyszeri bejelentkezés és kattintson SSO és IdP-k kezelése .

2

Lépjen a következőre: Identitásszolgáltató fülre.

3

Kattintson SSO kikapcsolása .

Megjelenik egy előugró ablak , amely figyelmezteti Önt az SSO letiltására:

SSO inaktiválása

Ha letiltja az SSO-t, a jelszavakat a felhő kezeli az integrált IdP-konfiguráció helyett.

4

Ha tisztában van az SSO letiltásának hatásával, és szeretne továbblépni, kattintson a gombra Inaktiválás .

Az SSO inaktiválva lett, és az összes SAML -tanúsítványlista el lett távolítva.

Ha az SSO le van tiltva, a hitelesítést igénylő felhasználók jelszóbeviteli mezőt fognak látni a bejelentkezési folyamat során.

  • Azoknak a felhasználóknak, akik nem rendelkeznek jelszavukkal a Webex alkalmazásban, vagy vissza kell állítaniuk a jelszavukat, vagy e-mailt kell küldeniük nekik a jelszó beállításához.

  • Az érvényes OAuth-tokennel rendelkező, hitelesített felhasználók továbbra is hozzáférhetnek a Webex alkalmazáshoz.

  • Az SSO letiltása mellett létrehozott új felhasználók jelszó létrehozására kérik őket e-mailben.

Mi a következő teendő

Ha Ön vagy az ügyfél újrakonfigurálja az SSO -t az ügyfélszervezethez, a felhasználói fiókok visszaállnak a Webex szervezetbe integrált IdP által beállított jelszóházirend használatára.

Ha problémába ütközik az SSO -bejelentkezésével, használhatja a SSO ön-helyreállítási lehetőség hogy hozzáférjen a Control Webex kezelt Webex-szervezetéhez. Az ön-helyreállítás opció lehetővé teszi az SSO frissítését vagy letiltását a Control Hubban.