SSO i Control Hub

Hvis du vil konfigurere SSO for flere identitetsleverandører i organisasjonen din, kan du se SSO med flere IdP-er i Webex .


 

Hvis organisasjonens sertifikatbruk er satt til Ingen, men du fortsatt mottar et varsel, anbefaler vi at du fortsatt fortsetter med oppgraderingen. SSO-distribusjonen din bruker ikke sertifikatet i dag, men du kan trenge sertifikatet for fremtidige endringer.

Sertifikater fra tjenesteleverandør (SP)


 

Fra tid til annen kan det hende du mottar et e-postvarsel eller ser et varsel i Control Hub om at Webex engangspålogging (SSO) kommer til å utløpe. Følg prosessen i denne artikkelen for å hente metadataene for SSO-skysertifikatet fra oss (SP-en) og legge dem til i IdP-en din igjen. Ellers vil ikke brukere kunne bruke Webex-tjenester.

Hvis du bruker SAML Cisco (SP) SSO-sertifikat i Webex-organisasjonen din, må du planlegge å oppdatere skysertifikatet i løpet av et vanlig planlagt vedlikeholdsvindu så snart som mulig.

Alle tjenester som er en del av Webex-organisasjonsabonnementet ditt, påvirkes, inkludert, men ikke begrenset til:

  • Webex-app (nye pålogginger for alle plattformer: skrivebord, mobil og nett)

  • Webex-tjenester i Control Hub, inkludert Calling

  • Webex Meetings nettsteder administrert via Control Hub

  • Cisco Jabber hvis den er integrert med SSO

Før du starter


 

Les alle veibeskrivelser før du begynner. Når du har endret sertifikatet eller gått gjennom veiviseren for å oppdatere sertifikatet, kan det hende at nye brukere ikke kan logge på.

Hvis IdP-en ikke støtter flere sertifikater (de fleste IdP-er på markedet støtter ikke denne funksjonen), anbefaler vi at du planlegger denne oppgraderingen i et vedlikeholdsvindu der brukere av Webex-appen ikke påvirkes. Disse oppgraderingsoppgavene bør ta omtrent 30 minutter i driftstid og validering etter hendelse.

1

Slik kontrollerer du om SAML Cisco (SP) SSO-sertifikatet skal utløpe:

  • Du kan ha mottatt en e-post eller en Webex-app-melding fra oss, men du bør sjekke i Control Hub for å være sikker.

  • Logg påhttps://admin.webex.com , og sjekk din Varslingssenter . Det kan være et varsel om oppdatering av SSO-tjenesteleverandørsertifikatet.

  • Logg påhttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger > Engangspålogging , og klikk Administrere SSO og IdP-er .
  • Gå til Identitetsleverandør og legg merke til Cisco SP-sertifikatstatus og utløpsdato.

Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du fullfører den, kan du få tilgang til den igjen når som helst fra Ledelse > Organisasjonsinnstillinger > Engangspålogging innhttps://admin.webex.com .

2

Gå til IdP og klikk.

3

Klikk på Se gjennom sertifikater og utløpsdato .

4

Klikk på Fornye sertifikatet .

5

Velg typen IdP som organisasjonen bruker.

  • En IdP som støtter flere sertifikater
  • En IdP som støtter ett enkelt sertifikat

 

Hvis IdP-en din støtter ett enkelt sertifikat, anbefaler vi at du venter med å utføre disse trinnene under planlagt nedetid. Mens Webex-sertifikatet oppdateres, fungerer ikke nye brukerpålogginger en kort stund. eksisterende pålogginger er bevart.

6

Velg sertifikattypen for fornyelsen:

  • Egensignert av Cisco –Vi anbefaler dette valget. La oss signere sertifikatet, slik at du bare trenger å fornye det én gang hvert femte år.
  • Signert av en offentlig sertifiseringsinstans – Sikrere, men du må oppdatere metadataene ofte (med mindre IdP-leverandøren støtter klareringsankere).

     

    Klareringsankere er offentlige nøkler som fungerer som en autorisasjon for å bekrefte sertifikatet for en digital signatur. Hvis du vil ha mer informasjon, kan du se IdP-dokumentasjonen.

7

Klikk på Last ned metadatafil for å laste ned en kopi av de oppdaterte metadataene med det nye sertifikatet fra Webex-skyen. Hold denne skjermen åpen.

8

Naviger til grensesnittet for IdP-administrasjon for å laste opp den nye Webex-metadatafilen.

  • Dette trinnet kan gjøres via en nettleserfane, Remote Desktop Protocol (RDP) eller gjennom støtte for spesifikk skyleverandør, avhengig av IdP-oppsettet ditt og om du eller en egen IdP-administrator er ansvarlig for dette trinnet.
  • Som referanse, se veiledningene våre for SSO-integrering eller ta kontakt med IdP-administratoren for støtte. Hvis du er på Active Directory Federation Services (AD FS), kan du se hvordan du oppdaterer Webex-metadata i AD FS .
9

Gå tilbake til kategorien der du logget på Control Hub, og klikk på Neste .

10

Oppdater IdP med det nye SP-sertifikatet og metadataene, og klikk på Neste .

  • Oppdaterte all identitetsleverandørene
  • Hvis du trenger mer tid til å oppdatere, lagrer du det fornyede sertifikatet som det sekundære alternativet
11

Klikk på Fullfør fornyelsen .

Sertifikat for identitetsleverandør (IdP).


 

Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Control Hub om at IdP-sertifikatet kommer til å utløpe. Fordi IdP-leverandører har sin egen spesifikke dokumentasjon for sertifikatfornyelse, dekker vi det som kreves i Control Hub, sammen med generelle trinn for å hente oppdaterte IdP-metadata og laste dem opp til Control Hub for å fornye sertifikatet.

1

Slik kontrollerer du om IdP SAML-sertifikatet skal utløpe:

  • Du kan ha mottatt en e-post eller en Webex-app-melding fra oss, men du bør sjekke i Control Hub for å være sikker.
  • Logg påhttps://admin.webex.com , og sjekk din Varslingssenter . Det kan være et varsel om oppdatering av IdP SAML-sertifikatet:

  • Logg påhttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger > Engangspålogging , og klikk Administrere SSO og IdP-er .
  • Gå til Identitetsleverandør og legg merke til statusen for IdP-sertifikatet (utløpt eller utløper snart) og utløpsdatoen.

  • Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du fullfører den, kan du få tilgang til den igjen når som helst fra Ledelse > Organisasjonsinnstillinger > Engangspålogging innhttps://admin.webex.com .

2

Naviger til grensesnittet for IdP-administrasjon for å hente den nye metadatafilen.

  • Dette trinnet kan gjøres via en nettleserfane, Remote Desktop Protocol (RDP) eller gjennom støtte for spesifikk skyleverandør, avhengig av IdP-oppsettet ditt og om du eller en egen IdP-administrator er ansvarlig for dette trinnet.
  • Som referanse, se veiledningene våre for SSO-integrering eller ta kontakt med IdP-administratoren for støtte.
3

Gå tilbake til Identitetsleverandør -fanen.

4

Gå til IdP, klikkuploadog velg Last opp IDP-metadata .

5

Dra og slipp IdP-metadatafilen i vinduet eller klikk Velg en fil og last det opp på den måten.

6

Velg Mindre sikker (egensignert) eller Tryggere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene er signert.

7

Klikk på Test SSO-oppdatering for å bekrefte at den nye metadatafilen ble lastet opp og tolket riktig til Control Hub-organisasjonen din. Bekreft de forventede resultatene i hurtigvinduet, og hvis testen var vellykket, velger du Vellykket test: Aktiver SSO og IdP og klikk Lagre .


 

Hvis du vil se SSO-påloggingsopplevelsen direkte, anbefaler vi at du klikker Kopier nettadressen til utklippstavlen fra denne skjermen og lim den inn i et privat nettleservindu. Derfra kan du gjennomgå påloggingen med SSO. Dette bidrar til å fjerne all informasjon som er bufret i nettleseren din, som kan gi et falskt positivt resultat når du tester SSO-konfigurasjonen.

Resultat: Du er ferdig, og organisasjonens IdP-sertifikat er nå fornyet. Du kan når som helst sjekke sertifikatstatusen under Identitetsleverandør -fanen.

Du kan eksportere de nyeste Webex SP-metadataene når du trenger å legge dem til i IdP-en din. Du ser et varsel når de importerte IdP SAML-metadataene kommer til å utløpe eller er utløpt.

Dette trinnet er nyttig i vanlige scenarier for administrasjon av IdP SAML-sertifikat, for eksempel IdP-er som støtter flere sertifikater der eksport ikke ble utført tidligere, hvis metadataene ikke ble importert til IdP fordi en IdP-administrator ikke var tilgjengelig, eller hvis IdP-en støtter muligheten til å bare oppdatere sertifikatet. Dette alternativet kan bidra til å minimere endringen ved bare å oppdatere sertifikatet i SSO-konfigurasjonen og validering etter hendelse.

1

Fra kundevisningen ihttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger , bla til Engangspålogging og klikk Administrere SSO og IdP-er .

2

Gå til Identitetsleverandør -fanen.

3

Gå til IdP, klikkDownloadog velg Last ned SP-metadata .

Metadatafilnavnet for Webex-appen er idb-meta-<org-ID> -SP.xml .

4

Importer metadataene til IdP-en din.

Følg dokumentasjonen for IdP-en din for å importere Webex SP-metadataene. Du kan bruke vår Veiledninger for IdP-integrering eller se dokumentasjonen for din spesifikke IdP hvis den ikke er oppført.

5

Når du er ferdig, kjører du SSO-testen ved hjelp av trinnene i Fornye Webex-sertifikat (SP) i denne artikkelen.

Når IdP-miljøet endres, eller hvis IdP-sertifikatet kommer til å utløpe, kan du når som helst importere de oppdaterte metadataene til Webex.

Før du starter

Samle IdP-metadataene dine, vanligvis som en eksportert XML-fil.

1

Fra kundevisningen ihttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger , bla til Engangspålogging og klikk Administrere SSO og IdP-er .

2

Gå til Identitetsleverandør -fanen.

3

Gå til IdP, klikkuploadog velg Last opp IDP-metadata .

4

Dra og slipp IdP-metadatafilen i vinduet eller klikk Velg en metadatafil og last det opp på den måten.

5

Velg Mindre sikker (egensignert) eller Tryggere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene er signert.

6

Klikk på Test SSO-oppsettet , og når en ny nettleserfane åpnes, godkjenn med IdP ved å logge på.

Du mottar varsler i Control Hub før sertifikatene er satt til å utløpe, men du kan også konfigurere varselregler proaktivt. Disse reglene gir deg beskjed på forhånd om at SP- eller IdP-sertifikatene kommer til å utløpe. Vi kan sende disse til deg via e-post, et område i Webex-appen eller begge deler.


 

Uansett hvilken leveringskanal som er konfigurert, vises alltid alle varsler i Control Hub. Se Varslingssenter i Control Hub hvis du vil ha mer informasjon.

1

Logg på Kontrollhub .

2

Gå til Varslingssenter .

3

Velg Administrer deretter Alle regler .

4

Fra Regler-listen velger du en av SSO-reglene du vil opprette:

  • SSO IDP-sertifikat utløper
  • Utløper for SSO SP-sertifikat
5

I delen Leveringskanal merker du av for E-post , Webex-område , eller begge deler.

Hvis du velger E-post, skriver du inn e-postadresse som skal motta varselet.


 

Hvis du velger alternativet Webex-område, blir du automatisk lagt til i et område i Webex-appen, og vi leverer varslene der.

6

Lagre endringene.

Hva nå?

Vi sender utløpsvarsler for sertifikater én gang hver 15. dag, med start 60 dager før utløpet. (Du kan forvente varsler på dag 60, 45, 30 og 15.) Varslene stopper når du fornyer sertifikatet.

Du kan se et varsel om at URL-adressen for engangsutlogging ikke er konfigurert:


 

Vi anbefaler at du konfigurerer IdP-en til å støtte engangsutlogging (også kjent som SLO). Webex støtter både viderekoblings- og innleggsmetoden, tilgjengelig i metadataene våre som lastes ned fra Control Hub. Ikke alle IdP-er støtter SLO; ta kontakt med IdP-teamet ditt for å få hjelp. Noen ganger, for de store IdP-leverandørene som AzureAD, Ping Federate, ForgeRock og Oracle, som støtter SLO, vi dokumenterer hvordan du konfigurerer integreringen . Rådfør deg med identitets- og sikkerhetsteamet ditt om detaljene ved IDP-en din og hvordan du konfigurerer den riktig.

Hvis enkel utloggings-URL ikke er konfigurert:

  • En eksisterende IdP-økt forblir gyldig. Neste gang brukere logger på, kan det hende at de ikke blir bedt om å autentisere på nytt av IdP.

  • Vi viser en advarselsmelding ved avlogging, slik at utlogging av Webex-appen ikke skjer sømløst.

En partner kan deaktivere engangspålogging (SSO) for en kundeorganisasjon som administreres i Control Hub. Det kan være lurt å deaktivere SSO hvis du bytter identitetsleverandør (IdP-er).


 

Hvis engangspålogging har blitt aktivert for organisasjonen, men mislykkes, kan du engasjere Cisco-partneren som har tilgang til Webex-organisasjonen din, for å deaktivere den for deg.

1

Fra kundevisningen ihttps://admin.webex.com , gå til Ledelse > Organisasjonsinnstillinger , bla til Engangspålogging og klikk Administrere SSO og IdP-er .

2

Gå til Identitetsleverandør -fanen.

3

Klikk på Deaktiver SSO .

Det vises et popup-vindu som advarer deg om å deaktivere SSO:

Deaktiver SSO

Hvis du deaktiverer SSO, administreres passord av skyen i stedet for IdP-konfigureringen.

4

Hvis du forstår virkningen av å deaktivere SSO og vil fortsette, klikker du på OK.

SSO er deaktivert og alle SAML-sertifikatoppføringer fjernes.

Hvis SSO er deaktivert, vil brukere som må autentisere seg, se et passordfelt under påloggingsprosessen.

  • Brukere som ikke har passord i Webex-appen, må enten tilbakestille passordet, eller du må sende en e-post for at de skal kunne angi et passord.

  • Eksisterende godkjente brukere med et gyldig OAuth-token vil fortsatt ha tilgang til Webex-appen.

  • Nye brukere som opprettes mens SSO er deaktivert, mottar en e-post der de blir bedt om å opprette et passord.

Hva nå?

Hvis du eller kunden konfigurerer SSO for kundeorganisasjonen på nytt, går brukerkontoene tilbake til å bruke passordpolicyen som er angitt av IdP-en som er integrert med Webex-organisasjonen.

Hvis du får problemer med SSO-påloggingen, kan du bruke Alternativ for SSO-selvgjenoppretting for å få tilgang til Webex-organisasjonen din som administreres i Control Hub. Alternativet for selvgjenoppretting lar deg oppdatere eller deaktivere SSO i Control Hub.