Utilizzare le funzioni di gestione SSO in Control Hub per la gestione dei certificati e attività di manutenzione SSO generali, ad esempio l'aggiornamento di un certificato in scadenza o il controllo della configurazione SSO esistente. Ogni funzione di gestione SSO è trattata nelle singole schede in questo articolo.
Se desideri impostare la funzionalità SSO per più provider di identità nella tua organizzazione, fai riferimento alla funzionalità SSO con più IdP in Webex.
Se l'utilizzo del certificato della tua organizzazione è impostato su Nessuno ma stai ancora ricevendo un avviso, ti consigliamo di procedere ancora con l'aggiornamento. La distribuzione SSO non utilizza il certificato oggi, ma potrebbe essere necessario il certificato per le modifiche future. |
Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato Single-Sign-On (SSO ) Webex sta per scadere. Seguire la procedura in questo articolo per recuperare i metadati del certificato cloud SSO da noi (SP) e aggiungerli nuovamente al IdP; in caso contrario, gli utenti non potranno utilizzare i servizi Webex . |
Se si utilizza il certificato SSO SAML Cisco (SP) nell'organizzazione Webex, è necessario pianificare di aggiornare il certificato cloud durante una normale finestra di manutenzione pianificata il prima possibile.
Sono interessati tutti i servizi che fanno parte dell'abbonamento alla propria organizzazione Webex , inclusi, a titolo esemplificativo:
App Webex (nuovi accessi per tutte le piattaforme: desktop, mobili e Web)
Servizi Webex in Control Hub, incluso Calling
Il sito Webex Meetings sito è gestito da Webex Control Hub
Cisco Jabber se è integrato con SSO
Operazioni preliminari
Leggere tutte le istruzioni prima di iniziare. Dopo aver modificato il certificato o aver eseguito la procedura guidata per aggiornare il certificato, i nuovi utenti potrebbero non essere in grado di accedere correttamente. |
Se il tuo IdP non supporta più certificati (la maggior parte degli IdP sul mercato non supporta questa funzione), ti consigliamo di pianificare questo aggiornamento durante una finestra di manutenzione in cui gli utenti dell'app Webex non sono interessati. Queste attività di aggiornamento richiedono circa 30 minuti in tempo operativo e convalida post-evento.
1 | Per verificare la scadenza del certificato SAML Cisco (SP) SSO :
Puoi anche accedere direttamente alla procedura guidata SSO per aggiornare il certificato. Se si decide di uscire dalla procedura guidata prima di completarla, è possibile accedervi di nuovo in qualsiasi momento da https://admin.webex.com. | ||
2 | Vai all'IdP e fai clic su. | ||
3 | Fare clic su Rivedi certificati e data di scadenza. | ||
4 | Fare clic su Rinnova certificato. | ||
5 | Scegliere il tipo di IdP utilizzato dall'organizzazione.
| ||
6 | Scegliere il tipo di certificato per il rinnovo:
| ||
7 | Fare clic su Scarica il file di metadati per scaricare una copia dei metadati aggiornati con il nuovo certificato dal cloud Webex . Tenere aperta questa schermata. | ||
8 | Passare all'interfaccia di gestione IdP per caricare il nuovo file di metadati Webex .
| ||
9 | Tornare alla scheda in cui hai eseguito l'accesso a Control Hub e fare clic Avanti . | ||
10 | Aggiornare l'IdP con il nuovo certificato SP e i metadati e fare clic su Avanti.
| ||
11 | Fare clic su Termina rinnovo. |
Di tanto in tanto, è possibile ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP sta per scadere. Poiché i fornitori di IdP dispongono di una propria documentazione specifica per il rinnovo del certificato, vengono descritti i requisiti in Control Hub, insieme alla procedura generica per recuperare i metadati IdP aggiornati e caricarli in Control Hub per rinnovare il certificato. |
1 | Per verificare la scadenza del certificato IdP SAML :
| ||
2 | Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.
| ||
3 | Tornare alla scheda Provider identità. | ||
4 | Vai all'IdP, fai clic sue selezionare Carica metadati Idp. | ||
5 | Trascina la selezione del file di metadati IdP nella finestra o fai clic su Scegli un file e caricalo in quel modo. | ||
6 | Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP. | ||
7 | Fare clic su Verificare l'aggiornamento SSO per verificare che il nuovo file di metadati sia stato caricato e interpretato correttamente nell'organizzazione di Control Hub. Confermare i risultati attesi nella finestra popup e, se il test ha avuto esito positivo, selezionare Test riuscito: Attiva SSO e IdP e fai clic su Salva.
Risultato: Hai terminato e il certificato IdP della tua organizzazione è stato rinnovato. È possibile controllare lo stato del certificato in qualsiasi momento nella scheda Provider identità.
|
È possibile esportare gli ultimi metadati di Webex SP ogni volta che è necessario aggiungerli nuovamente al proprio IdP. Viene visualizzato un avviso quando i metadati IdP SAML importati scadranno o saranno scaduti.
Questo passaggio è utile in scenari di gestione dei certificati SAML IdP comuni, ad esempio IdP che supportano più certificati in cui l'esportazione non è stata eseguita in precedenza, se i metadati non sono stati importati nel IdP perché non era disponibile un amministrazione IdP o se il proprio IdP supporta il protocollo IdP. la possibilità di aggiornare solo il certificato. Questa opzione consente di ridurre al minimo la modifica aggiornando solo il certificato nella configurazione SSO e nella convalida post-evento.
1 | Dalla vista cliente in https://admin.webex.com, andare a , scorrere fino a Single Sign-On e fare clic su Gestisci SSO e IdP. |
2 | Andare alla scheda Provider identità. |
3 | Vai all'IdP, fai clic sue selezionare Scarica metadati SP. Il nome file dei metadati dell'app Webex è idb-meta-<org-ID>-SP.xml. |
4 | Importa i metadati nel tuo IdP. Seguire la documentazione per l'IdP per importare i metadati di Webex SP. È possibile utilizzare il nostro Guide all'integrazione IdP o consultare la documentazione per il proprio IdP specifico, se non in elenco. |
5 | Al termine, eseguire il test SSO utilizzando la procedura in |
Quando l'ambiente IdP cambia o se il certificato IdP sta per scadere, è possibile importare i metadati aggiornati in Webex in qualsiasi momento.
Operazioni preliminari
Raccogliere i metadati IdP, in genere come file xml esportato.
1 | Dalla vista cliente in https://admin.webex.com, andare a , scorrere fino a Single Sign-On e fare clic su Gestisci SSO e IdP. |
2 | Andare alla scheda Provider identità. |
3 | Vai all'IdP, fai clic sue selezionare Carica metadati Idp. |
4 | Trascinare il file di metadati IdP nella finestra o fare clic su Scegliere un file di metadati e caricarlo in questo modo. |
5 | Scegliere Meno sicuro (autofirmato) o Più sicuro (firmato da un'Autorità di certificazione pubblica), a seconda di come vengono firmati i metadati IdP. |
6 | Fai clic su Verifica impostazione SSO e quando si apre una nuova scheda del browser, esegui l'autenticazione con l'IdP eseguendo l'accesso. |
Riceverai avvisi in Control Hub prima che i certificati scadano, ma puoi anche impostare in modo proattivo le regole degli avvisi. Queste regole consentono di sapere in anticipo che i certificati SP o IdP scadranno. Possiamo inviarle via e-mail, uno spazio nell'app Webex o entrambi.
Indipendentemente dal canale di consegna configurato, tutti gli avvisi vengono sempre visualizzati in Control Hub. Per ulteriori informazioni, vedi Centro avvisi in Control Hub. |
1 | |||
2 | Andare al centro avvisi. | ||
3 | Scegliere Gestisci quindi Tutte le regole. | ||
4 | Dall'elenco delle regole, scegliere una delle regole SSO che si desidera creare:
| ||
5 | Nella sezione Canale di consegna, selezionare la casella E-mail, spazio Webex o entrambi. Se si sceglie E-mail, immettere l'indirizzo e-mail che deve ricevere la notifica.
| ||
6 | Salva le modifiche. |
Operazioni successive
Inviamo avvisi di scadenza certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (Sono previsti avvisi per i giorni 60, 45, 30 e 15). Gli avvisi vengono interrotti quando si rinnova il certificato.
Si potrebbe notare che l'URL di disconnessione singola non è configurato:
È consigliabile configurare il servizio IdP per il supporto della disconnessione singola (noto anche come SLO). Webex supporta entrambi i metodi di reindirizzamento e post, disponibili nei metadati scaricati da Control Hub. Non tutti gli IdP supportano SLO; contatta il team IdP per assistenza. A volte, per i principali fornitori di IdP come AzureAD, Ping Federate, ForgeRock e Oracle, che supportano SLO, documentiamo come configurare l'integrazione. Consultare il team identità e sicurezza per informazioni specifiche sull'IDP e su come configurarlo correttamente. |
Se l'URL di disconnessione singola non è configurato:
Una sessione IdP esistente rimane valida. La volta successiva che gli utenti eseguono l' accedere, l'IdP potrebbe non dover eseguire nuovamente l'autenticazione.
Viene visualizzato un messaggio di avviso disconnettere, pertanto la disconnessione dell'app Webex non viene eseguita correttamente.
È possibile disabilitare il Single-Sign-On (SSO) per l'organizzazione Webex gestita in Control Hub. Puoi disabilitare la funzionalità SSO se stai modificando i provider di identità (IdP).
Se il Single-Sign-On è stato abilitato per la propria organizzazione ma non riesce, è possibile contattare il partner Cisco che può accedere alla propria organizzazione Webex per disabilitarlo. |
1 | Dalla vista cliente in https://admin.webex.com, andare a , scorrere fino a Single Sign-On e fare clic su Gestisci SSO e IdP. |
2 | Andare alla scheda Provider identità. |
3 | Fare clic su Disattiva SSO. Viene visualizzata una finestra popup che avvisa dell'utente della disabilitazione della funzionalità SSO: Se disabiliti SSO, le password vengono gestite dal cloud anziché dalla configurazione IdP integrata. |
4 | Se si comprende l'impatto della disabilitazione SSO e si desidera procedere, fare clic su Disattiva . SSO è disattivato e tutte le liste di certificati SAML sono rimosse. Se SSO è disabilitato, gli utenti che devono eseguire l'autenticazione visualizzeranno un campo di immissione password durante il processo di accesso.
|
Operazioni successive
Se l'utente o il cliente riconfigura SSO per l'organizzazione del cliente, gli account utente tornano a utilizzare i criteri per la password impostati dall'IdP integrato con l'organizzazione Webex.
Se si verificano problemi con l'accesso SSO, è possibile utilizzare l'opzione di recupero automatico SSO per ottenere l'accesso alla propria organizzazione Webex gestita in Control Hub. L'opzione di auto-ripristino consente di aggiornare o disabilitare SSO in Control Hub.