Użyj funkcji zarządzania SSO w Control Hub do zarządzania certyfikatami i ogólnych działań konserwacyjnych SSO , takich jak aktualizowanie wygasającego certyfikatu lub sprawdzanie istniejącej konfiguracji SSO . Każda funkcja zarządzania SSO została opisana na poszczególnych kartach w tym artykule.
Jeśli chcesz skonfigurować logowanie SSO dla wielu dostawców tożsamości w organizacji, zapoznaj się z logowaniem SSO z wieloma dostawcami tożsamości w Webex.
Jeśli użycie certyfikatu w organizacji jest ustawione na Brak, ale nadal otrzymujesz alert, zalecamy kontynuowanie uaktualniania. Twoje wdrożenie SSO nie używa dzisiaj certyfikatu, ale może być potrzebny do przyszłych zmian. |
Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat jednokrotnego logowania ( SSO ) Webex wygaśnie. Postępuj zgodnie z procedurą opisaną w tym artykule, aby pobrać metadane certyfikatu SSO w chmurze od nas (SP) i dodać je z powrotem do dostawcy tożsamości; w przeciwnym razie użytkownicy nie będą mogli korzystać z usług Webex . |
Jeśli używasz certyfikatu SSO SAML Cisco (SP) w organizacji Webex, musisz jak najszybciej zaplanować aktualizację certyfikatu w chmurze w ramach regularnie zaplanowanego okna konserwacji.
Dotyczy to wszystkich usług objętych subskrypcją organizacji Webex , w tym między innymi:
Aplikacja Webex (nowe logowania na wszystkich platformach: komputery stacjonarne, mobilne i internetowe)
Usługi Webex w Control Hub, w tym Połączenia
Witryny Webex Meetings zarządzane przez Control Hub
Cisco Jabber , jeśli jest zintegrowany z SSO
Przed rozpoczęciem
Przed rozpoczęciem należy przeczytać wszystkie wskazówki. Po zmianie certyfikatu lub przejściu przez kreatora w celu zaktualizowania certyfikatu nowi użytkownicy mogą nie być w stanie się pomyślnie zalogować. |
Jeśli Twój dostawca tożsamości nie obsługuje wielu certyfikatów (większość dostawców tożsamości na rynku nie obsługuje tej funkcji), zalecamy zaplanowanie tej aktualizacji w oknie konserwacji, w którym użytkownicy aplikacji Webex nie mają wpływu. Te zadania uaktualniania powinny potrwać około 30 minut w czasie operacyjnym i walidacji po zdarzeniu.
1 | Aby sprawdzić, czy certyfikat SAML Cisco (SP) SSO nie wygaśnie:
Możesz również przejść bezpośrednio do kreatora SSO , aby zaktualizować certyfikat. Jeśli zdecydujesz się opuścić kreatora przed jego ukończeniem, możesz uzyskać do niego dostęp ponownie w dowolnym momencie z https://admin.webex.com. | ||
2 | Przejdź do dostawcy tożsamości i kliknij. | ||
3 | Kliknij opcję Sprawdź certyfikaty i datę ważności. | ||
4 | Kliknij Odnów certyfikat. | ||
5 | Wybierz typ dostawcy tożsamości, którego używa Twoja organizacja.
| ||
6 | Wybierz typ certyfikatu odnowienia:
| ||
7 | Kliknij Pobierz plik metadanych aby pobrać kopię zaktualizowanych metadanych z nowym certyfikatem z chmury Webex . Nie zamykaj tego ekranu. | ||
8 | Przejdź do interfejsu zarządzania IdP, aby przesłać nowy plik metadanych Webex .
| ||
9 | Wróć do karty, na której zalogowałeś się do Control Hub i kliknij Dalej . | ||
10 | Zaktualizuj dostawcę tożsamości za pomocą nowego certyfikatu SP i metadanych i kliknij przycisk Dalej.
| ||
11 | Kliknij przycisk Zakończ odnowienie. |
Od czasu do czasu możesz otrzymać powiadomienie e-mail lub zobaczyć alert w Control Hub, że certyfikat dostawcy tożsamości wygaśnie. Ponieważ dostawcy dostawcy dostawcy tożsamości mają własną specjalną dokumentację dotyczącą odnawiania certyfikatów, obsługujemy to, co jest wymagane w Control Hub, wraz z ogólnymi krokami mającymi na celu pobranie zaktualizowanych metadanych dostawcy tożsamości i przesłanie ich do Control Hub w celu odnowienia certyfikatu. |
1 | Aby sprawdzić, czy certyfikat SAML dostawcy tożsamości nie wygaśnie:
| ||
2 | Przejdź do interfejsu zarządzania dostawcy tożsamości, aby pobrać nowy plik metadanych.
| ||
3 | Wróć do karty Dostawca tożsamości. | ||
4 | Przejdź do dostawcy tożsamości, klikniji wybierz opcję Prześlij metadane Idp. | ||
5 | Przeciągnij i upuść plik metadanych dostawcy tożsamości do okna lub kliknij opcję Wybierz plik i prześlij go w ten sposób. | ||
6 | Wybierz Mniej bezpieczne (z podpisem własnym) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. | ||
7 | Kliknij Testuj aktualizację SSO aby potwierdzić, że nowy plik metadanych został poprawnie przesłany i zinterpretowany w organizacji Control Hub. Potwierdź oczekiwane wyniki w wyskakującym okienku, a jeśli test zakończył się powodzeniem, wybierz Udany test: Aktywuj SSO i IdP i kliknij przycisk Zapisz.
Wynik: To wszystko. Certyfikat dostawcy tożsamości Twojej organizacji został odnowiony. Stan certyfikatu można sprawdzić w dowolnym momencie na karcie Dostawca tożsamości.
|
Najnowsze metadane Webex SP można wyeksportować za każdym razem, gdy trzeba je ponownie dodać do swojego dostawcy tożsamości. Zobaczysz powiadomienie, gdy zaimportowane metadane SAML dostawcy tożsamości wygasną lub wygasną.
Ten krok jest przydatny w typowych scenariuszach zarządzania certyfikatami SAML dostawcy tożsamości, takich jak dostawcy tożsamości obsługujący wiele certyfikatów, dla których eksportowanie nie zostało wykonane wcześniej, jeśli metadane nie zostały zaimportowane do dostawcy tożsamości z powodu braku administratora dostawcy tożsamości lub jeśli dostawca tożsamości obsługuje możliwość aktualizacji tylko certyfikatu. Ta opcja może pomóc zminimalizować zmianę, aktualizując tylko certyfikat w konfiguracji SSO i sprawdzając poprawność po zdarzeniu.
1 | Z widoku klienta w https://admin.webex.com, przejdź do , przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs. |
2 | Przejdź do karty Dostawca tożsamości. |
3 | Przejdź do dostawcy tożsamości, klikniji wybierz opcję Pobierz metadane SP. Nazwa pliku metadanych aplikacji Webex to idb-meta-<org-ID>-SP.xml. |
4 | Zaimportuj metadane do swojego dostawcy tożsamości. Postępuj zgodnie z dokumentacją dostawcy tożsamości, aby zaimportować metadane Webex SP. Możesz użyć naszego Przewodniki integracji dostawcy tożsamości lub zapoznaj się z dokumentacją konkretnego dostawcy tożsamości, jeśli nie ma go na liście. |
5 | Po zakończeniu uruchom test SSO , wykonując czynności opisane w |
W przypadku zmiany środowiska dostawcy tożsamości lub wygaśnięcia certyfikatu dostawcy tożsamości zaktualizowane metadane można w dowolnym momencie zaimportować do aplikacji Webex .
Przed rozpoczęciem
Zbierz metadane dostawcy tożsamości, zwykle w postaci wyeksportowanego pliku XML.
1 | Z widoku klienta w https://admin.webex.com, przejdź do , przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs. |
2 | Przejdź do karty Dostawca tożsamości. |
3 | Przejdź do dostawcy tożsamości, klikniji wybierz opcję Prześlij metadane Idp. |
4 | Przeciągnij i upuść plik metadanych dostawcy tożsamości do okna lub kliknij przycisk Wybierz plik metadanych i prześlij go w ten sposób. |
5 | Wybierz Mniej bezpieczne (z podpisem własnym) lub Bardziej bezpieczne (podpisane przez publiczny urząd certyfikacji), w zależności od sposobu podpisania metadanych dostawcy tożsamości. |
6 | Kliknij opcję Testuj konfigurację logowania SSO, a gdy otworzy się nowa karta przeglądarki, uwierzytelnij się przy użyciu dostawcy tożsamości, logując się. |
Przed wygaśnięciem certyfikatów otrzymasz alerty w Control Hub, ale możesz również aktywnie skonfigurować reguły alertów. Te zasady informują z wyprzedzeniem, że certyfikaty SP lub IdP wygasną. Możemy wysłać je do Ciebie za pośrednictwem poczty e-mail, obszaru w aplikacji Webex lub obu.
Niezależnie od skonfigurowanego kanału dostawy wszystkie alerty zawsze pojawiają się w Control Hub. Aby uzyskać więcej informacji, zobacz Centrum alertów w Control Hub. |
1 | Zaloguj się do Centrum sterowania . | ||
2 | Przejdź do centrum alertów. | ||
3 | Wybierz Zarządzaj , a następnie Wszystkie reguły. | ||
4 | Z listy reguł wybierz dowolną regułę logowania jednokrotnego, którą chcesz utworzyć:
| ||
5 | W sekcji Kanał dostawy zaznacz pole wyboru E-mail, obszar Webex lub oba. Jeśli wybierzesz opcję E-mail, wprowadź adres e-mail, który powinien otrzymać powiadomienie.
| ||
6 | Zapisz zmiany. |
Co zrobić dalej
Wysyłamy alerty o wygaśnięciu certyfikatu raz na 15 dni, począwszy od 60 dni przed wygaśnięciem. (Alerty można oczekiwać w 60., 45., 30. i 15. dniu). Alerty kończą się po odnowieniu certyfikatu.
Można zauważyć, że adres URL pojedynczego wylogowania nie jest skonfigurowany:
Zalecamy skonfigurowanie dostawcy tożsamości do obsługi wylogowania pojedynczego (znanego również jako SLO). Webex obsługuje zarówno metody przekierowania, jak i publikowania, dostępne w naszych metadanych pobranych z Control Hub. Nie wszyscy dostawcy tożsamości obsługują SLO; Aby uzyskać pomoc, skontaktuj się z zespołem dostawcy tożsamości. Czasami dla głównych dostawców IdP, takich jak AzureAD, Ping Federate, ForgeRock i Oracle, którzy obsługują SLO, dokumentujemy, jak skonfigurować integrację. Skonsultuj się z zespołem ds. tożsamości i bezpieczeństwa w zakresie specyfiki swojego IDP i sposobu poprawnej jego konfiguracji. |
Jeśli adres URL pojedynczego wylogowania nie jest skonfigurowany:
Istniejąca sesja dostawcy tożsamości pozostaje ważna. Przy następnym logowaniu użytkownicy mogą nie zostać poproszeni o ponowne uwierzytelnienie przez dostawcę tożsamości.
Po wylogowaniu jest wyświetlany komunikat ostrzegawczy, więc wylogowanie z aplikacji Webex nie odbywa się płynnie.
Możesz wyłączyć jednokrotne logowanie (SSO) dla swojej organizacji Webex zarządzanej w Control Hub. Możesz wyłączyć jednokrotne logowanie, jeśli zmieniasz dostawców tożsamości (dostawcy tożsamości).
Jeśli w Twojej organizacji włączono jednokrotne logowanie, ale nie powiedzie się, możesz poprosić partnera Cisco , który ma dostęp do Twojej organizacji Webex , o wyłączenie tej funkcji. |
1 | Z widoku klienta w https://admin.webex.com, przejdź do , przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs. |
2 | Przejdź do karty Dostawca tożsamości. |
3 | Kliknij opcję Dezaktywuj logowanie SSO. Zostanie wyświetlone wyskakujące okienko z ostrzeżeniem o wyłączeniu SSO: Jeśli wyłączysz SSO, hasłami zarządza chmura, a nie Twoja zintegrowana konfiguracja dostawcy tożsamości. |
4 | Jeśli rozumiesz wpływ wyłączenia SSO i chcesz kontynuować, kliknij Dezaktywuj . SSO jest dezaktywowane, a wszystkie listy certyfikatów SAML są usuwane. Jeśli jednokrotne logowanie jest wyłączone, użytkownicy, którzy muszą się uwierzytelnić, zobaczą pole wprowadzania hasła podczas procesu logowania.
|
Co zrobić dalej
Jeśli Ty lub klient ponownie skonfigurujesz SSO dla organizacji klienta, konta użytkowników wracają do korzystania z zasad haseł ustawianych przez dostawcę tożsamości zintegrowanego z organizacją Webex.
Jeśli napotkasz problemy z logowaniem jednokrotnym, możesz użyć opcji samoodzyskiwania jednokrotnego, aby uzyskać dostęp do swojej organizacji Webex zarządzanej w Control Hub. Opcja automatycznego odzyskiwania umożliwia aktualizację lub wyłączanie logowania jednokrotnego w Control Hub.