Use os recursos de gerenciamento de SSO no Control Hub para gerenciamento de certificados e atividades de manutenção de SSO geral, como atualizar um certificado que expira ou verificar sua configuração de SSO existente. Cada recurso de gerenciamento de SSO é abordado nas guias individuais deste artigo.
Se você quiser configurar o SSO para vários provedores de identidade na sua organização, consulte SSO com vários IdPs no Webex .
Se o uso de certificados da sua organização estiver definido como Nenhum, mas você ainda estiver recebendo um alerta, recomendamos que você ainda prossiga com a atualização. Sua implantação de SSO não está usando o certificado hoje, mas você pode precisar do certificado para alterações futuras. |
De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado de logon único (SSO) Webex vai expirar. Siga o processo neste artigo para recuperar os metadados do certificado de SSO em nuvem de nós (o SP) e adicioná-los novamente ao seu IdP; caso contrário, os usuários não poderão usar os serviços Webex . |
Se você estiver usando o certificado SAML Cisco (SP) SSO em sua organização Webex, você deve planejar atualizar o certificado em nuvem durante uma janela de manutenção regular agendada o mais rápido possível.
Todos os serviços que fazem parte da assinatura da sua organização Webex são afetados, incluindo, entre outros:
Aplicativo Webex (novos logins para todas as plataformas: desktop, celular e web)
Serviços Webex no Control Hub, incluindo Chamadas
Sites Webex Meetings gerenciados através do Control Hub
Cisco Jabber , se for integrado com SSO
Antes de você começar
Leia todas as instruções antes de começar. Depois de alterar o certificado ou passando pelo assistente para atualizar o certificado, novos usuários podem não ser capazes de Iniciar sessão com êxito. |
Se o seu IdP não suporta vários certificados (a maioria dos IdPs no mercado não suporta esse recurso), recomendamos que você agende essa atualização durante uma janela de manutenção onde os usuários do aplicativo Webex não são afetados. Essas tarefas de atualização devem levar aproximadamente 30 minutos em tempo operacional e validação pós-ventilação.
1 | Para verificar se o certificado de SSO SAML da Cisco (SP) vai expirar:
Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de concluí-lo, poderá acessá-lo novamente a qualquer momento em https://admin.webex.com. in | ||
2 | Vá para o IdP e clique em. | ||
3 | Clique em Revisar certificados e data de vencimento . | ||
4 | Clique em Renovar certificado . | ||
5 | Escolha o tipo de IdP que sua organização usa.
| ||
6 | Escolha o tipo de certificado para a renovação:
| ||
7 | Clique Baixar arquivo de metadados para baixar uma cópia dos metadados atualizados com o novo certificado do Webex Cloud. Mantenha esta tela aberta. | ||
8 | Navegue até a interface de gerenciamento IdP para carregar o novo arquivo de metadados Webex .
| ||
9 | Retorne para a guia em que você iniciou sessão no Control Hub e clique em Próximo . | ||
10 | Atualize o IdP com o novo certificado e metadados SP e clique em Next .
| ||
11 | Clique em Concluir renovação . |
De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado IdP expirará. Como os fornecedores IdP têm sua própria documentação específica para renovação de certificado, cobrimos o que é necessário no Control Hub, juntamente com etapas genéricas para recuperar metadados IdP atualizados e carregá-los no Control Hub para renovar o certificado. |
1 | Para verificar se o certificado IdP SAML vai expirar:
| ||
2 | Navegue até a interface de gerenciamento do IdP para recuperar o novo arquivo de metadados.
| ||
3 | Retorne à guia Provedor de identidade . | ||
4 | Vá para o IdP, clique eme selecione Carregar metadados de Idp . | ||
5 | Arraste e solte o arquivo de metadados do IdP na janela ou clique em Escolher um arquivo e carregue-o dessa forma. | ||
6 | Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados. | ||
7 | Clique Testar atualização de SSO para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente na organização do Control Hub. Confirme os resultados esperados na janela pop-up e, se o teste tiver sido bem-sucedido, selecione Teste bem-sucedido: Ative o SSO e o IdP e clique em Salvar .
Resultado: Você terminou, e o certificado de IdP da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento na guia Provedor de identidade .
|
Você pode exportar os metadados mais recentes do Webex SP sempre que precisar adicioná-los de volta ao seu IdP. Você verá um aviso quando os metadados IdP SAML importados expirarem ou tiverem expirado.
Esta etapa é útil em cenários comuns de gerenciamento de certificados IdP SAML, como IdPs que oferecem suporte a vários certificados em que a exportação não foi feita anteriormente, se os metadados não foram importados para o IdP porque um administrador IdP não estava disponível ou se o IdP suporta o capacidade de atualizar apenas o certificado. Essa opção pode ajudar a minimizar a alteração atualizando apenas o certificado na configuração de SSO e na validação pós-evento.
1 | Na exibição do cliente em https://admin.webex.com, vá para , role até Registro único e clique em Gerenciar SSO e IdPs . |
2 | Vá para a guia Provedor de identidade . |
3 | Vá para o IdP, clique eme selecione Baixar metadados SP . O nome do arquivo de metadados do aplicativo Webex é idb-meta-SP<org-ID>.xml . |
4 | Importe os metadados para seu IdP. Siga a documentação do seu IdP para importar os metadados do Webex SP. Você pode usar nossos Guias de integração do IdP ou consulte a documentação do seu IdP específico, se não estiver listado. |
5 | Quando terminar, execute o teste de SSO usando as etapas em |
Quando o ambiente IdP mudar ou se o seu certificado IdP for expirar, você poderá importar os metadados atualizados para o Webex a qualquer momento.
Antes de você começar
Reúna os metadados IdP, normalmente como um arquivo xml exportado.
1 | Na exibição do cliente em https://admin.webex.com, vá para , role até Registro único e clique em Gerenciar SSO e IdPs . |
2 | Vá para a guia Provedor de identidade . |
3 | Vá para o IdP, clique eme selecione Carregar metadados de Idp . |
4 | Arraste e solte o arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregá-lo dessa forma. |
5 | Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados. |
6 | Clique em Testar configuração de SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão. |
Você receberá alertas no Control Hub antes que os certificados sejam definidos para expirar, mas você também pode configurar regras de alerta proativamente. Essas regras permitem que você saiba com antecedência que seus certificados SP ou IdP expirarão. Podemos enviá-los por e-mail, um espaço no aplicativo Webex ou ambos.
Independentemente do canal de entrega configurado, todos os alertas sempre aparecem no Control Hub. Consulte Central de alertas no Control Hub para obter mais informações. |
1 | |||
2 | Vá para Centro de alertas . | ||
3 | Escolha Gerenciar e depois Todas as regras . | ||
4 | Na lista de Regras, escolha qualquer uma das regras de SSO que você deseja criar:
| ||
5 | Na seção do canal de entrega, marque a caixa Email , Espaço Webex , ou ambos. Se você escolher E-mail, insira o endereço de e-mail que deve receber a notificação.
| ||
6 | Salve suas alterações. |
O que fazer em seguida
Enviamos alertas de expiração do certificado uma vez a cada 15 dias, começando 60 dias antes da expiração. (Você pode esperar alertas no dia 60, 45, 30 e 15.) Os alertas são interrompidos quando você renova o certificado.
Você pode ver um aviso de que a URL de logoff único não está configurada:
Recomendamos que você configure seu IdP para suportar o logoff único (também conhecido como SLO). O Webex suporta os métodos de redirecionamento e de publicação, disponíveis em nossos metadados baixados do Control Hub. Nem todos os IdPs suportam SLO; entre em contato com a equipe IdP para obter assistência. Às vezes, para os principais fornecedores de IdP como AzureAD, Ping Federate, ForgeRock e Oracle, que suportam SLO, documentamos como configurar a integração . Consulte sua equipe de Identidade e Segurança sobre as especificidades do seu IDP e como configurá-lo corretamente. |
Se a URL de logoff único não estiver configurada:
Uma sessão IdP existente permanece válida. Na próxima vez que os usuários fizerem Iniciar sessão, talvez não sejam solicitados pelo IdP para nova autenticação.
Exibimos uma mensagem de aviso ao finalizar a finalizar sessão para que o logoff do aplicativo Webex não aconteça sem interrupções.
Você pode desabilitar o logon único (SSO) para sua organização Webex gerenciada no Control Hub. Você pode querer desativar o SSO se estiver alterando os provedores de identidade (IdPs).
Se o logon único tiver sido ativado para sua organização, mas estiver falhando, você poderá envolver seu parceiro da Cisco, que pode acessar sua organização Webex , para desativá-lo para você. |
1 | Na exibição do cliente em https://admin.webex.com, vá para , role até Registro único e clique em Gerenciar SSO e IdPs . |
2 | Vá para a guia Provedor de identidade . |
3 | Clique em Desativar SSO . Uma janela pop-up -up é exibida avisando sobre a desabilitação do SSO: Se você desabilitar o SSO, as senhas serão gerenciadas pela nuvem em vez de sua configuração IdP integrada. |
4 | Se você entender o impacto de desabilitar o SSO e quiser continuar, clique em Desativar . O logon único está desativado e todas as listagens de certificados SAML são removidas. Se o logon único estiver desativado, os usuários que tiverem que autenticar verão um campo de entrada de senha durante o processo de início de sessão.
|
O que fazer em seguida
Se você ou o cliente reconfigurarem o SSO para a organização do cliente, as contas de usuário voltarão a usar a política de senha definida pelo IdP integrado à organização Webex.
Se você tiver problemas com seu logon de SSO, poderá usar a opção de autorecuperação de SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de autorecuperação permite que você atualize ou desative o SSO no Control Hub.