Bruk SSO-administrasjonsfunksjonene i Control Hub til sertifikatbehandling og generelle SSO-vedlikeholdsaktiviteter, for eksempel oppdatering av et utløpende sertifikat eller kontroll av den eksisterende SSO-konfigurasjonen. Hver SSO-administrasjonsfunksjon er dekket i de individuelle fanene i denne artikkelen.
Hvis du vil konfigurere SSO for flere identitetsleverandører i organisasjonen din, kan du se SSO med flere IdP-er i Webex .
Hvis organisasjonens sertifikatbruk er satt til Ingen, men du fortsatt mottar et varsel, anbefaler vi at du fortsatt fortsetter med oppgraderingen. SSO-distribusjonen din bruker ikke sertifikatet i dag, men du kan trenge sertifikatet for fremtidige endringer. |
Fra tid til annen kan det hende du mottar et e-postvarsel eller ser et varsel i Control Hub om at Webex engangspålogging (SSO) kommer til å utløpe. Følg prosessen i denne artikkelen for å hente metadataene for SSO-skysertifikatet fra oss (SP-en) og legge dem til i IdP-en din igjen. Ellers vil ikke brukere kunne bruke Webex-tjenester. |
Hvis du bruker SAML Cisco (SP) SSO-sertifikat i Webex-organisasjonen din, må du planlegge å oppdatere skysertifikatet i løpet av et vanlig planlagt vedlikeholdsvindu så snart som mulig.
Alle tjenester som er en del av Webex-organisasjonsabonnementet ditt, påvirkes, inkludert, men ikke begrenset til:
Webex-app (nye pålogginger for alle plattformer: skrivebord, mobil og nett)
Webex-tjenester i Control Hub, inkludert Calling
Webex Meetings nettsteder administrert via Control Hub
Cisco Jabber hvis den er integrert med SSO
Før du starter
Les alle veibeskrivelser før du begynner. Når du har endret sertifikatet eller gått gjennom veiviseren for å oppdatere sertifikatet, kan det hende at nye brukere ikke kan logge på. |
Hvis IdP-en ikke støtter flere sertifikater (de fleste IdP-er på markedet støtter ikke denne funksjonen), anbefaler vi at du planlegger denne oppgraderingen i et vedlikeholdsvindu der brukere av Webex-appen ikke påvirkes. Disse oppgraderingsoppgavene bør ta omtrent 30 minutter i driftstid og validering etter hendelse.
1 | Slik kontrollerer du om SAML Cisco (SP) SSO-sertifikatet skal utløpe:
Du kan også gå direkte inn i SSO-veiviseren for å oppdatere sertifikatet. Hvis du bestemmer deg for å avslutte veiviseren før du fullfører den, kan du få tilgang til den igjen når som helst frahttps://admin.webex.com . inn | ||
2 | Gå til IdP og klikk. | ||
3 | Klikk på Se gjennom sertifikater og utløpsdato . | ||
4 | Klikk på Fornye sertifikatet . | ||
5 | Velg typen IdP som organisasjonen bruker.
| ||
6 | Velg sertifikattypen for fornyelsen:
| ||
7 | Klikk på Last ned metadatafil for å laste ned en kopi av de oppdaterte metadataene med det nye sertifikatet fra Webex-skyen. Hold denne skjermen åpen. | ||
8 | Naviger til grensesnittet for IdP-administrasjon for å laste opp den nye Webex-metadatafilen.
| ||
9 | Gå tilbake til kategorien der du logget på Control Hub, og klikk på Neste . | ||
10 | Oppdater IdP med det nye SP-sertifikatet og metadataene, og klikk på Neste .
| ||
11 | Klikk på Fullfør fornyelsen . |
Fra tid til annen kan du motta et e-postvarsel eller se et varsel i Control Hub om at IdP-sertifikatet kommer til å utløpe. Fordi IdP-leverandører har sin egen spesifikke dokumentasjon for sertifikatfornyelse, dekker vi det som kreves i Control Hub, sammen med generelle trinn for å hente oppdaterte IdP-metadata og laste dem opp til Control Hub for å fornye sertifikatet. |
1 | Slik kontrollerer du om IdP SAML-sertifikatet skal utløpe:
| ||
2 | Naviger til grensesnittet for IdP-administrasjon for å hente den nye metadatafilen.
| ||
3 | Gå tilbake til Identitetsleverandør -fanen. | ||
4 | Gå til IdP, klikkog velg Last opp IDP-metadata . | ||
5 | Dra og slipp IdP-metadatafilen i vinduet eller klikk Velg en fil og last det opp på den måten. | ||
6 | Velg Mindre sikker (egensignert) eller Tryggere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene er signert. | ||
7 | Klikk på Test SSO-oppdatering for å bekrefte at den nye metadatafilen ble lastet opp og tolket riktig til Control Hub-organisasjonen din. Bekreft de forventede resultatene i hurtigvinduet, og hvis testen var vellykket, velger du Vellykket test: Aktiver SSO og IdP og klikk Lagre .
Resultat: Du er ferdig, og organisasjonens IdP-sertifikat er nå fornyet. Du kan når som helst sjekke sertifikatstatusen under Identitetsleverandør -fanen.
|
Du kan eksportere de nyeste Webex SP-metadataene når du trenger å legge dem til i IdP-en din. Du ser et varsel når de importerte IdP SAML-metadataene kommer til å utløpe eller er utløpt.
Dette trinnet er nyttig i vanlige scenarier for administrasjon av IdP SAML-sertifikat, for eksempel IdP-er som støtter flere sertifikater der eksport ikke ble utført tidligere, hvis metadataene ikke ble importert til IdP fordi en IdP-administrator ikke var tilgjengelig, eller hvis IdP-en støtter muligheten til å bare oppdatere sertifikatet. Dette alternativet kan bidra til å minimere endringen ved bare å oppdatere sertifikatet i SSO-konfigurasjonen og validering etter hendelse.
1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Engangspålogging og klikk Administrere SSO og IdP-er . |
2 | Gå til Identitetsleverandør -fanen. |
3 | Gå til IdP, klikkog velg Last ned SP-metadata . Metadatafilnavnet for Webex-appen er idb-meta-<org-ID> -SP.xml . |
4 | Importer metadataene til IdP-en din. Følg dokumentasjonen for IdP-en din for å importere Webex SP-metadataene. Du kan bruke vår Veiledninger for IdP-integrering eller se dokumentasjonen for din spesifikke IdP hvis den ikke er oppført. |
5 | Når du er ferdig, kjører du SSO-testen ved hjelp av trinnene i |
Når IdP-miljøet endres, eller hvis IdP-sertifikatet kommer til å utløpe, kan du når som helst importere de oppdaterte metadataene til Webex.
Før du starter
Samle IdP-metadataene dine, vanligvis som en eksportert XML-fil.
1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Engangspålogging og klikk Administrere SSO og IdP-er . |
2 | Gå til Identitetsleverandør -fanen. |
3 | Gå til IdP, klikkog velg Last opp IDP-metadata . |
4 | Dra og slipp IdP-metadatafilen i vinduet eller klikk Velg en metadatafil og last det opp på den måten. |
5 | Velg Mindre sikker (egensignert) eller Tryggere (signert av en offentlig sertifiseringsinstans), avhengig av hvordan IdP-metadataene er signert. |
6 | Klikk på Test SSO-oppsettet , og når en ny nettleserfane åpnes, godkjenn med IdP ved å logge på. |
Du mottar varsler i Control Hub før sertifikatene er satt til å utløpe, men du kan også konfigurere varselregler proaktivt. Disse reglene gir deg beskjed på forhånd om at SP- eller IdP-sertifikatene kommer til å utløpe. Vi kan sende disse til deg via e-post, et område i Webex-appen eller begge deler.
Uansett hvilken leveringskanal som er konfigurert, vises alltid alle varsler i Control Hub. Se Varslingssenter i Control Hub hvis du vil ha mer informasjon. |
1 | Logg på Kontrollhub . | ||
2 | Gå til Varslingssenter . | ||
3 | Velg Administrer deretter Alle regler . | ||
4 | Fra Regler-listen velger du en av SSO-reglene du vil opprette:
| ||
5 | I delen Leveringskanal merker du av for E-post , Webex-område , eller begge deler. Hvis du velger E-post, skriver du inn e-postadresse som skal motta varselet.
| ||
6 | Lagre endringene. |
Hva nå?
Vi sender utløpsvarsler for sertifikater én gang hver 15. dag, med start 60 dager før utløpet. (Du kan forvente varsler på dag 60, 45, 30 og 15.) Varslene stopper når du fornyer sertifikatet.
Du kan se et varsel om at URL-adressen for engangsutlogging ikke er konfigurert:
Vi anbefaler at du konfigurerer IdP-en til å støtte engangsutlogging (også kjent som SLO). Webex støtter både viderekoblings- og innleggsmetoden, tilgjengelig i metadataene våre som lastes ned fra Control Hub. Ikke alle IdP-er støtter SLO; ta kontakt med IdP-teamet ditt for å få hjelp. Noen ganger, for de store IdP-leverandørene som AzureAD, Ping Federate, ForgeRock og Oracle, som støtter SLO, vi dokumenterer hvordan du konfigurerer integreringen . Rådfør deg med identitets- og sikkerhetsteamet ditt om detaljene ved IDP-en din og hvordan du konfigurerer den riktig. |
Hvis enkel utloggings-URL ikke er konfigurert:
En eksisterende IdP-økt forblir gyldig. Neste gang brukere logger på, kan det hende at de ikke blir bedt om å autentisere på nytt av IdP.
Vi viser en advarselsmelding ved avlogging, slik at utlogging av Webex-appen ikke skjer sømløst.
En partner kan deaktivere engangspålogging (SSO) for en kundeorganisasjon som administreres i Control Hub. Det kan være lurt å deaktivere SSO hvis du bytter identitetsleverandør (IdP-er).
Hvis engangspålogging har blitt aktivert for organisasjonen, men mislykkes, kan du engasjere Cisco-partneren som har tilgang til Webex-organisasjonen din, for å deaktivere den for deg. |
1 | Fra kundevisningen ihttps://admin.webex.com , gå til , bla til Engangspålogging og klikk Administrere SSO og IdP-er . |
2 | Gå til Identitetsleverandør -fanen. |
3 | Klikk på Deaktiver SSO . Det vises et popup-vindu som advarer deg om å deaktivere SSO: Hvis du deaktiverer SSO, administreres passord av skyen i stedet for IdP-konfigureringen. |
4 | Hvis du forstår virkningen av å deaktivere SSO og vil fortsette, klikker du på OK. SSO er deaktivert og alle SAML-sertifikatoppføringer fjernes. Hvis SSO er deaktivert, vil brukere som må autentisere seg, se et passordfelt under påloggingsprosessen.
|
Hva nå?
Hvis du eller kunden konfigurerer SSO for kundeorganisasjonen på nytt, går brukerkontoene tilbake til å bruke passordpolicyen som er angitt av IdP-en som er integrert med Webex-organisasjonen.
Hvis du får problemer med SSO-påloggingen, kan du bruke Alternativ for SSO-selvgjenoppretting for å få tilgang til Webex-organisasjonen din som administreres i Control Hub. Alternativet for selvgjenoppretting lar deg oppdatere eller deaktivere SSO i Control Hub.