Control Hub의 SSO

조직에서 여러 ID 공급자에 대해 SSO를 설정하려면 Webex에서 여러 IdP가 포함된 SSO를 참조하십시오.


 

조직의 인증서 사용이 없음으로 설정되어 있지만 여전히 알림을 받는 경우 계속 업그레이드를 진행하는 것이 좋습니다. 현재 SSO 배포에서 인증서를 사용하고 있지 않지만 향후 변경을 위해 인증서가 필요할 수 있습니다.


 

가끔 Control Hub에서 Webex 싱글 사인온(SSO) 인증서가 만료될 예정임을 알리는 알림이 표시되거나, 이메일 알림을 수신할 수도 있습니다. 이 문서에 안내된 과정을 따라 당사(SP)에서 SSO 클라우드 인증서 메타데이터를 검색하고 이를 IdP에 다시 추가하십시오. 그렇지 않으면 사용자는 Webex 서비스를 사용할 수 없습니다.

Webex 조직에서 SAML Cisco (SP) SSO 인증서를 사용하고 있는 경우, 가능한 한 빨리 정기적으로 예약된 유지관리 기간 동안 클라우드 인증서를 업데이트하도록 계획해야 합니다.

다음을 포함하여 Webex 조직 구독의 일부인 모든 서비스는 영향을 받습니다.

  • Webex 앱(모든 플랫폼에 대한 새로운 로그인: 데스크톱, 모바일, 웹)

  • Control Hub의 Webex 서비스(통화 포함)

  • Control Hub를 통해 관리되는 Webex Meetings 사이트

  • SSO와 통합된 경우 Cisco Jabber

시작하기 전에


 

시작하기 전에 모든 관련 부분을 참조하십시오. 인증서를 변경하거나 마법사를 통해 인증서를 업데이트한 후 새로운 사용자가 성공적으로 로그인하지 못할 수 있습니다.

IdP가 여러 인증서를 지원하지 않는 경우(시중의 대부분의 IdP가 이 기능을 지원하지 않음), Webex 앱 사용자가 영향을 받지 않는 유지관리 기간 동안 이 업그레이드를 예약할 것을 권장합니다. 이러한 업그레이드 작업은 운영 시간 및 이벤트 후 유효성 검증에 약 30분이 소요됩니다.

1

SAML Cisco(SP) SSO 인증서가 만료될지를 확인하려면:

  • 당사에서 발송한 이메일 또는 Webex 앱 메시지를 수신했을 수 있지만, 확실하게 Control Hub에서 확인해야 합니다.
  • https://admin.webex.com에 로그인하고 알림 센터를 확인하십시오. SSO 서비스 공급자 인증서 업데이트에 대한 알림이 있을 수도 있습니다.

  • https://admin.webex.com에 로그인하고 로 이동합니다. 관리 > 조직 설정 > 싱글 사인온을 클릭하고 SSO 및 IdPs 관리를 클릭합니다.
  • ID 공급자 탭으로 이동하고 Cisco SP 인증서 상태 및 만료 날짜를 기록합니다.

SSO 마법사로 직접 이동하여 인증서를 업데이트할 수도 있습니다. 마법사를 종료하기 전에 종료하기로 결정하는 경우, 관리 > 조직 설정 > 싱글 사인온https://admin.webex.com.

2

IdP로 이동하고.

3

인증서 및 만료 날짜 확인을 클릭합니다.

4

인증서 갱신을 클릭합니다.

5

조직에서 사용하는 IdP 유형을 선택합니다.

  • 여러 인증서를 지원하는 IdP
  • 단일 인증서를 지원하는 IdP

 

IdP가 한 개의 인증서를 지원하는 경우, 예약된 다운타임 동안 해당 단계를 실행하도록 기다릴 것을 권장합니다. Webex 인증서가 업데이트되는 동안 새로운 사용자 로그인은 잠시 작동하지 않습니다. 기존의 로그인은 보존됩니다.

6

갱신을 위한 인증서 유형을 선택합니다.

  • Cisco 셀프 서명—이 선택을 권장합니다. 인증서에 서명합니다. 이 인증서는 5년에 한 번만 갱신하면 됩니다.
  • 공용 인증 기관에서 서명—더 안전하지만 메타데이터를 자주 업데이트해야 합니다(IdP 공급업체가 트러스트 앵커를 지원하는 경우 제외).

     

    트러스트 앵커는 디지털 서명의 인증서를 확인하는 기관 역할을 하는 공개 키입니다. 자세한 정보는 IdP 설명서를 참조하십시오.

7

메타데이터 파일 다운로드를 클릭하여 Webex 클라우드에서 새로운 인증서를 사용하여 업데이트된 메타데이터의 사본을 다운로드합니다. 이 화면을 열어 두십시오.

8

IdP 관리 인터페이스로 이동하여 새 Webex 메타데이터 파일을 업로드합니다.

  • 이 단계는 브라우저 탭, 원격 데스크탑 프로토콜(RDP) 또는 특정 클라우드 공급자 지원을 통해 수행될 수 있으며, 이는 IdP 설정에 따라 그리고 이 단계의 담당자가 별도의 IdP 관리자인지 사용자인지 여부에 따라 다릅니다.
  • 참고로, SSO 통합 가이드를 참조하거나 IdP 관리자에게 지원을 요청하십시오. AD FS(Active Directory Federation Services)에 있는 경우, AD FS에서 Webex 메타데이터를 업데이트하는 방법을 볼 수 있습니다.
9

Control Hub에 로그인한 탭으로 돌아가서 다음을 클릭합니다.

10

새로운 SP 인증서 및 메타데이터로 IdP를 업데이트하고 다음을 클릭합니다.

  • 모든 IdP를 업데이트함
  • 업데이트할 때까지 추가 시간이 필요한 경우, 갱신된 인증서를 보조 옵션으로 저장하십시오.
11

갱신 마침을 클릭합니다.


 

가끔 Control Hub에서 IdP 인증서가 만료될 예정임을 알리는 알림이 표시되거나, 이메일 알림을 수신할 수도 있습니다. IdP 공급업체에서 인증서 갱신에 대한 고유한 문서를 보유하고 있기 때문에, 당사는 업데이트된 IdP 메타데이터를 검색하고 이를 Control Hub에 업로드하여 인증서를 갱신하는 일반 단계와 함께 Control Hub에 필요한 사항을 다룹니다.

1

IdP SAML 인증서가 만료될지를 확인하려면:

  • 당사에서 발송한 이메일 또는 Webex 앱 메시지를 수신했을 수 있지만, 확실하게 Control Hub에서 확인해야 합니다.
  • https://admin.webex.com에 로그인하고 알림 센터를 확인하십시오. IdP SAML 인증서 업데이트에 대한 알림이 있을 수도 있습니다.

  • https://admin.webex.com에 로그인하고 로 이동합니다. 관리 > 조직 설정 > 싱글 사인온을 클릭하고 SSO 및 IdPs 관리를 클릭합니다.
  • ID 공급자 탭으로 이동하고 IdP 인증서 상태(만료됨 또는 곧 만료) 및 만료 날짜를 기록합니다.
  • SSO 마법사로 직접 이동하여 인증서를 업데이트할 수도 있습니다. 마법사를 종료하기 전에 종료하기로 결정하는 경우, 관리 > 조직 설정 > 싱글 사인온https://admin.webex.com.

2

IdP 관리 인터페이스로 이동하여 새 메타데이터 파일을 검색합니다.

  • 이 단계는 브라우저 탭, 원격 데스크탑 프로토콜(RDP) 또는 특정 클라우드 공급자 지원을 통해 수행될 수 있으며, 이는 IdP 설정에 따라 그리고 이 단계의 담당자가 별도의 IdP 관리자인지 사용자인지 여부에 따라 다릅니다.
  • 참고로, SSO 통합 가이드를 참조하거나 IdP 관리자에게 지원을 요청하십시오.
3

ID 제공자 탭으로 돌아갑니다.

4

IdP로 이동하고uploadIdp 메타데이터 업로드를 선택합니다.

5

IdP 메타데이터 파일을 창으로 드래그하고 드롭하거나, 파일 선택을 클릭하고 업로드합니다.

6

IdP 메타데이터가 서명된 방식에 따라 낮은 보안(셀프 서명) 또는 높은 보안(공용 CA로 서명)을 선택합니다.

7

SSO 업데이트 테스트를 클릭하여 새로운 메타데이터 파일이 Control Hub 조직에 올바르게 업로드되고 해석되었는지 확인합니다. 팝업 창에서 예상되는 결과를 확인하고 테스트에 성공하면 성공 테스트: SSO 및 IdP를 활성화하고 저장을 클릭합니다.


 

SSO 로그인 환경을 직접 확인하려면 이 화면에서 URL 복사를 클릭하고 개인 브라우저 창에 붙여넣을 것을 권장합니다. 여기서 SSO로 로그인하는 과정을 진행할 수 있습니다. 이렇게 하면 SSO 구성을 테스트할 때 가양성 결과를 제공할 수 있는 웹 브라우저에 캐시된 모든 정보를 제거하는 데 도움이 됩니다.

결과: 작업이 완료되었으며 이제 조직의 IdP 인증서가 갱신되었습니다. ID 제공자 탭 아래에서 언제든지 인증서 상태를 확인할 수 있습니다.

IdP에 다시 추가해야 할 때마다 최신 Webex SP 메타데이터를 내보낼 수 있습니다. 가져온 IdP SAML 메타데이터가 만료 예정이거나 만료되면 알림이 표시됩니다.

이 단계는 IdP 관리자를 사용할 수 없어서 메타데이터를 IdP로 가져오지 않은 경우 또는 IdP가 인증서만 업데이트하는 기능을 지원하는 경우, 이전에 내보내기가 수행되지 않은 여러 인증서를 지원하는 IdP 같은 일반 IdP SAML 인증서 관리 시나리오에서 유용합니다. 이 옵션은 SSO 구성 및 이벤트 후 유효성 검사에서 인증서만 업데이트하여 변경을 최소화하는 데 도움이 됩니다.

1

https://admin.webex.com의 고객 보기에서 로 이동합니다. 관리 > 조직 설정, 싱글 사인온으로 스크롤하고 SSO 및 IdPs 관리를 클릭합니다.

2

ID 제공자 탭으로 이동합니다.

3

IdP로 이동하고DownloadSP 메타데이터 다운로드를 선택합니다.

Webex 앱 메타데이터 파일명은 idb-meta--SP.xml입니다.<org-ID>

4

메타데이터를 IdP로 가져옵니다.

Webex SP 메타데이터를 가져오려면 IdP에 대한 설명서를 따르십시오. IdP 통합 안내서를 사용하거나, 목록에 없는 경우 특정 IdP에 대한 설명서를 참조할 수 있습니다.

5

완료되면 이 문서의 "Webex 인증서(SP) 갱신"에 있는 단계를 사용하여 SSO 테스트를 실행합니다.

IdP 환경이 변경되는 경우 또는 IdP 인증서가 만료 예정인 경우, 업데이트된 메타데이터를 언제든지 Webex로 가져올 수 있습니다.

시작하기 전에

일반적으로 내보낸 xml 파일로 IdP 메타데이터를 수집합니다.

1

https://admin.webex.com의 고객 보기에서 로 이동합니다. 관리 > 조직 설정, 싱글 사인온으로 스크롤하고 SSO 및 IdPs 관리를 클릭합니다.

2

ID 제공자 탭으로 이동합니다.

3

IdP로 이동하고uploadIdp 메타데이터 업로드를 선택합니다.

4

IdP 메타데이터 파일을 창으로 끌어다 놓거나 메타데이터 파일 선택을 클릭하여 업로드합니다.

5

IdP 메타데이터가 서명된 방식에 따라 낮은 보안(셀프 서명) 또는 높은 보안(공용 CA로 서명)을 선택합니다.

6

SSO 테스트 설정을 클릭하고 새 브라우저 탭이 열리면 로그인하여 IdP로 인증합니다.

인증서가 만료 설정되기 전에 Control Hub에서 경고를 수신하게 되지만, 경고 규칙을 사전에 설정할 수도 있습니다. 이러한 규칙은 SP 또는 IdP 인증서가 만료 예정임을 미리 알려줍니다. 이메일, Webex 앱의 스페이스 또는 둘 다를 통해 이를 보낼 수 있습니다.


 

구성된 전달 채널에 관계없이, 모든 알림이 항상 Control Hub에 나타납니다. 자세한 내용은 Control Hub의 알림 센터를 참조하십시오.

1

Control Hub에 로그인합니다.

2

알림 센터로 이동합니다.

3

관리를 선택한 후 모든 규칙을 선택합니다.

4

규칙 목록에서 생성하려는 SSO 규칙을 선택합니다.

  • SSO IDP 인증서 만료
  • SSO SP 인증서 만료
5

전달 채널 섹션에서 이메일, Webex 스페이스 또는 둘 다에 대한 확인란을 체크합니다.

이메일을 선택하는 경우, 알림을 받을 이메일 주소를 입력합니다.


 

Webex 스페이스 옵션을 선택하는 경우, 귀하는 Webex 앱 내부의 스페이스에 자동으로 추가되고 거기서 알림이 전달됩니다.

6

변경 사항을 저장합니다.

다음에 수행할 작업

만료 60일 전부터 시작하여 15일마다 인증서 만료 알림을 전달합니다. (60일, 45일, 30일, 15일 전에 알림을 받을 수 있습니다.) 인증서를 갱신하면 알림이 중지됩니다.

싱글 로그아웃 URL이 구성되지 않았다는 알림이 표시될 수 있습니다.


 

싱글 로그아웃(SLO라고도 함)을 지원하도록 IdP를 구성하는 것이 좋습니다. Webex는 Control Hub에서 다운로드한 메타데이터에서 사용할 수 있는 리디렉션 및 게시 방법을 둘 다 지원합니다. 모든 IdP가 SLO를 지원하는 것은 아니며, 도움이 필요한 경우 IdP 팀에 문의하십시오. 때로는 SLO를 지원하는 AzureAD, Ping Federate, ForgeRock 및 Oracle과 같은 주요 IdP 공급업체의 경우 통합 구성 방법을 문서화합니다. IDP의 구체적 사항과 적절하게 구성하는 방법에 대해 ID 및 보안팀과 상의하십시오.

싱글 로그아웃 url이 구성되지 않은 경우:

  • 기존 IdP 세션은 계속 유효합니다. 다음번에 사용자가 로그인할 때 IdP에서 재인증을 요청하지 않을 수 있습니다.

  • 로그아웃할 때 경고 메시지를 표시하므로 Webex 앱 로그아웃이 한 번에 이루어지지는 않습니다.

Control Hub에서 관리되는 Webex 조직에 대해 싱글 사인온(SSO)을 비활성화할 수 있습니다. ID 공급자(IdPS)를 변경하는 경우 SSO를 비활성화할 수 있습니다.


 

조직에 대해 싱글 사인온이 활성화되었지만 실패하는 경우, Webex 조직에 액세스할 수 있는 Cisco 파트너와 협력하여 비활성화할 수 있습니다.

1

https://admin.webex.com의 고객 보기에서 로 이동합니다. 관리 > 조직 설정, 싱글 사인온으로 스크롤하고 SSO 및 IdPs 관리를 클릭합니다.

2

ID 제공자 탭으로 이동합니다.

3

SSO 비활성화를 클릭합니다.

SSO 비활성화에 대해 경고하는 팝업 창이 나타납니다.

SSO 비활성화

SSO를 비활성화하는 경우, 비밀번호는 통합된 IdP 구성이 아닌 클라우드에서 관리됩니다.

4

SSO 비활성화 작업이 미치는 영향을 이해하고 있으며 진행하려는 경우, 비활성화를 클릭합니다.

SSO가 비활성화되고 모든 SAML 인증서 목록이 제거됩니다.

SSO가 비활성화된 경우, 인증해야 하는 사용자에게 로그인 프로세스 중에 비밀번호 입력 필드가 나타납니다.

  • Webex 앱에 비밀번호가 없는 사용자는 비밀번호를 재설정하거나 비밀번호를 설정하기 위해 이메일을 보내야 합니다.

  • 유효한 OAuth 토큰이 있는 기존 인증 사용자는 계속 Webex 앱에 액세스할 수 있습니다.

  • SSO가 비활성화된 상태에서 생성된 새 사용자는 비밀번호 생성을 요청하는 이메일을 받습니다.

다음에 수행할 작업

귀하 또는 고객이 고객 조직에 대해 SSO를 다시 구성하는 경우, 사용자 계정은 Webex 조직에 통합된 IdP에 의해 설정된 비밀번호 정책을 사용하여 다시 돌아갑니다.

SSO 로그인에 문제가 발생하는 경우, SSO 셀프 복구 옵션을 사용하여 Control Hub에서 관리되는 Webex 조직에 액세스할 수 있습니다. 셀프 복구 옵션을 사용하면 Control Hub에서 SSO를 업데이트하거나 비활성화할 수 있습니다.