SSO no Control Hub

Se você quiser configurar o SSO para vários provedores de identidade na sua organização, consulte SSO com vários IdPs no Webex .


 

Se o uso de certificados da sua organização estiver definido como Nenhum, mas você ainda estiver recebendo um alerta, recomendamos que você ainda prossiga com a atualização. Sua implantação de SSO não está usando o certificado hoje, mas você pode precisar do certificado para alterações futuras.


 

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub informando que o certificado de logon único (SSO) Webex vai expirar. Siga o processo neste artigo para recuperar os metadados do certificado de SSO em nuvem de nós (o SP) e adicioná-los novamente ao seu IdP; caso contrário, os usuários não poderão usar os serviços Webex .

Se você estiver usando o certificado SAML Cisco (SP) SSO em sua organização Webex, você deve planejar atualizar o certificado em nuvem durante uma janela de manutenção regular agendada o mais rápido possível.

Todos os serviços que fazem parte da assinatura da sua organização Webex são afetados, incluindo, entre outros:

  • Aplicativo Webex (novos logins para todas as plataformas: desktop, celular e web)

  • Serviços Webex no Control Hub, incluindo Chamadas

  • Sites Webex Meetings gerenciados através do Control Hub

  • Cisco Jabber , se for integrado com SSO

Antes de você começar


 

Leia todas as instruções antes de começar. Depois de alterar o certificado ou passando pelo assistente para atualizar o certificado, novos usuários podem não ser capazes de Iniciar sessão com êxito.

Se o seu IdP não suporta vários certificados (a maioria dos IdPs no mercado não suporta esse recurso), recomendamos que você agende essa atualização durante uma janela de manutenção onde os usuários do aplicativo Webex não são afetados. Essas tarefas de atualização devem levar aproximadamente 30 minutos em tempo operacional e validação pós-ventilação.

1

Para verificar se o certificado de SSO SAML da Cisco (SP) vai expirar:

  • Você pode ter recebido um e-mail ou mensagem do aplicativo Webex , mas verifique no Control Hub para ter certeza.
  • Iniciar sessão emhttps://admin.webex.com , e verifique sua Central de alertas . Pode haver uma notificação sobre a atualização do certificado do provedor de serviços SSO.

  • Inicie sessão em https://admin.webex.com, vá para Management > Configurações da organização > Registro único , e clique em Gerenciar SSO e IdPs .
  • Vá para a guia Provedor de identidade e observe o status do certificado Cisco SP e a data de expiração.

Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de concluí-lo, poderá acessá-lo novamente a qualquer momento em Management > Configurações da organização > Single Sign-On in https://admin.webex.com.

2

Vá para o IdP e clique em.

3

Clique em Revisar certificados e data de vencimento .

4

Clique em Renovar certificado .

5

Escolha o tipo de IdP que sua organização usa.

  • Um IdP que suporta vários certificados
  • Um IdP que suporte um único certificado

 

Se o IdP for compatível com um único certificado, recomendamos que você aguarde para executar essas etapas durante o tempo de inatividade agendado. Enquanto o certificado Webex estiver sendo atualizado, os novos inícios de sessão do usuário não funcionarão brevemente; os inícios de sessão existentes serão preservados.

6

Escolha o tipo de certificado para a renovação:

  • Autoassinado pela Cisco —Recomendamos esta escolha. Deixe-nos assinar o certificado para que você só precise renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu provedor IdP ofereça suporte a âncoras de confiança).

     

    As âncoras de confiança são chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

7

Clique Baixar arquivo de metadados para baixar uma cópia dos metadados atualizados com o novo certificado do Webex Cloud. Mantenha esta tela aberta.

8

Navegue até a interface de gerenciamento IdP para carregar o novo arquivo de metadados Webex .

  • Essa etapa pode ser feita por meio de uma guia do navegador, protocolo de desktop remoto (RDP) ou por meio de suporte específico do provedor de nuvem, dependendo da configuração do IdP e se você ou um administrador IdP separado são responsáveis por essa etapa.
  • Para referência, veja nossos guias de integração de SSO ou entre em contato com o administrador IdP para obter suporte. Se nos serviços de Federação do Active Directory (AD FS), você puder veja como atualizar os metadados Webex no AD FS .
9

Retorne para a guia em que você iniciou sessão no Control Hub e clique em Próximo .

10

Atualize o IdP com o novo certificado e metadados SP e clique em Next .

  • Atualização de todos os IdPs
  • Se precisar de mais tempo para atualizar, salve o certificado renovado como opção secundária
11

Clique em Concluir renovação .


 

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado IdP expirará. Como os fornecedores IdP têm sua própria documentação específica para renovação de certificado, cobrimos o que é necessário no Control Hub, juntamente com etapas genéricas para recuperar metadados IdP atualizados e carregá-los no Control Hub para renovar o certificado.

1

Para verificar se o certificado IdP SAML vai expirar:

  • Você pode ter recebido um e-mail ou mensagem do aplicativo Webex , mas verifique no Control Hub para ter certeza.
  • Iniciar sessão emhttps://admin.webex.com , e verifique sua Central de alertas . Pode haver uma notificação sobre a atualização do certificado IdP SAML:

  • Inicie sessão em https://admin.webex.com, vá para Management > Configurações da organização > Registro único , e clique em Gerenciar SSO e IdPs .
  • Vá para a guia Provedor de identidade e observe o status do certificado IdP (expirado ou expirando em breve) e a data de expiração.
  • Você também pode ir diretamente para o assistente de SSO para atualizar o certificado. Se você decidir sair do assistente antes de concluí-lo, poderá acessá-lo novamente a qualquer momento em Management > Configurações da organização > Single Sign-On in https://admin.webex.com.

2

Navegue até a interface de gerenciamento do IdP para recuperar o novo arquivo de metadados.

  • Essa etapa pode ser feita por meio de uma guia do navegador, protocolo de desktop remoto (RDP) ou por meio de suporte específico do provedor de nuvem, dependendo da configuração do IdP e se você ou um administrador IdP separado são responsáveis por essa etapa.
  • Para referência, veja nossos guias de integração de SSO ou entre em contato com o administrador IdP para obter suporte.
3

Retorne à guia Provedor de identidade .

4

Vá para o IdP, clique emuploade selecione Carregar metadados de Idp .

5

Arraste e solte o arquivo de metadados do IdP na janela ou clique em Escolher um arquivo e carregue-o dessa forma.

6

Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

7

Clique Testar atualização de SSO para confirmar que o novo arquivo de metadados foi carregado e interpretado corretamente na organização do Control Hub. Confirme os resultados esperados na janela pop-up e, se o teste tiver sido bem-sucedido, selecione Teste bem-sucedido: Ative o SSO e o IdP e clique em Salvar .


 

Para ver diretamente a experiência de início de sessão do SSO, recomendamos que você clique em Copiar URL para a área de transferência desta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

Resultado: Você terminou, e o certificado de IdP da sua organização foi renovado. Você pode verificar o status do certificado a qualquer momento na guia Provedor de identidade .

Você pode exportar os metadados mais recentes do Webex SP sempre que precisar adicioná-los de volta ao seu IdP. Você verá um aviso quando os metadados IdP SAML importados expirarem ou tiverem expirado.

Esta etapa é útil em cenários comuns de gerenciamento de certificados IdP SAML, como IdPs que oferecem suporte a vários certificados em que a exportação não foi feita anteriormente, se os metadados não foram importados para o IdP porque um administrador IdP não estava disponível ou se o IdP suporta o capacidade de atualizar apenas o certificado. Essa opção pode ajudar a minimizar a alteração atualizando apenas o certificado na configuração de SSO e na validação pós-evento.

1

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Registro único e clique em Gerenciar SSO e IdPs .

2

Vá para a guia Provedor de identidade .

3

Vá para o IdP, clique emDownloade selecione Baixar metadados SP .

O nome do arquivo de metadados do aplicativo Webex é idb-meta-SP<org-ID>.xml .

4

Importe os metadados para seu IdP.

Siga a documentação do seu IdP para importar os metadados do Webex SP. Você pode usar nossos Guias de integração do IdP ou consulte a documentação do seu IdP específico, se não estiver listado.

5

Quando terminar, execute o teste de SSO usando as etapas em Renovar o certificado Webex (SP) neste artigo.

Quando o ambiente IdP mudar ou se o seu certificado IdP for expirar, você poderá importar os metadados atualizados para o Webex a qualquer momento.

Antes de você começar

Reúna os metadados IdP, normalmente como um arquivo xml exportado.

1

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Registro único e clique em Gerenciar SSO e IdPs .

2

Vá para a guia Provedor de identidade .

3

Vá para o IdP, clique emuploade selecione Carregar metadados de Idp .

4

Arraste e solte o arquivo de metadados IdP na janela ou clique em Escolher um arquivo de metadados e carregá-lo dessa forma.

5

Escolher Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como os metadados IdP são assinados.

6

Clique em Testar configuração de SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Você receberá alertas no Control Hub antes que os certificados sejam definidos para expirar, mas você também pode configurar regras de alerta proativamente. Essas regras permitem que você saiba com antecedência que seus certificados SP ou IdP expirarão. Podemos enviá-los por e-mail, um espaço no aplicativo Webex ou ambos.


 

Independentemente do canal de entrega configurado, todos os alertas sempre aparecem no Control Hub. Consulte Central de alertas no Control Hub para obter mais informações.

1

Inicie sessão no Control Hub.

2

Vá para Centro de alertas .

3

Escolha Gerenciar e depois Todas as regras .

4

Na lista de Regras, escolha qualquer uma das regras de SSO que você deseja criar:

  • Expiração do certificado IDP de SSO
  • Expiração do certificado SSO SP
5

Na seção do canal de entrega, marque a caixa Email , Espaço Webex , ou ambos.

Se você escolher E-mail, insira o endereço de e-mail que deve receber a notificação.


 

Se você escolher a opção de espaço Webex, será automaticamente adicionado a um espaço dentro do aplicativo Webex e forneceremos as notificações lá.

6

Salve suas alterações.

O que fazer em seguida

Enviamos alertas de expiração do certificado uma vez a cada 15 dias, começando 60 dias antes da expiração. (Você pode esperar alertas no dia 60, 45, 30 e 15.) Os alertas são interrompidos quando você renova o certificado.

Você pode ver um aviso de que a URL de logoff único não está configurada:


 

Recomendamos que você configure seu IdP para suportar o logoff único (também conhecido como SLO). O Webex suporta os métodos de redirecionamento e de publicação, disponíveis em nossos metadados baixados do Control Hub. Nem todos os IdPs suportam SLO; entre em contato com a equipe IdP para obter assistência. Às vezes, para os principais fornecedores de IdP como AzureAD, Ping Federate, ForgeRock e Oracle, que suportam SLO, documentamos como configurar a integração . Consulte sua equipe de Identidade e Segurança sobre as especificidades do seu IDP e como configurá-lo corretamente.

Se a URL de logoff único não estiver configurada:

  • Uma sessão IdP existente permanece válida. Na próxima vez que os usuários fizerem Iniciar sessão, talvez não sejam solicitados pelo IdP para nova autenticação.

  • Exibimos uma mensagem de aviso ao finalizar a finalizar sessão para que o logoff do aplicativo Webex não aconteça sem interrupções.

Você pode desabilitar o logon único (SSO) para sua organização Webex gerenciada no Control Hub. Você pode querer desativar o SSO se estiver alterando os provedores de identidade (IdPs).


 

Se o logon único tiver sido ativado para sua organização, mas estiver falhando, você poderá envolver seu parceiro da Cisco, que pode acessar sua organização Webex , para desativá-lo para você.

1

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Registro único e clique em Gerenciar SSO e IdPs .

2

Vá para a guia Provedor de identidade .

3

Clique em Desativar SSO .

Uma janela pop-up -up é exibida avisando sobre a desabilitação do SSO:

Desativar SSO

Se você desabilitar o SSO, as senhas serão gerenciadas pela nuvem em vez de sua configuração IdP integrada.

4

Se você entender o impacto de desabilitar o SSO e quiser continuar, clique em Desativar .

O logon único está desativado e todas as listagens de certificados SAML são removidas.

Se o logon único estiver desativado, os usuários que tiverem que autenticar verão um campo de entrada de senha durante o processo de início de sessão.

  • Os usuários que não têm uma senha no aplicativo Webex devem redefinir a senha ou enviar um e-mail para que definam uma senha.

  • Os usuários autenticados existentes com um token OAuth válido continuarão tendo acesso ao aplicativo Webex .

  • Os novos usuários criados com o SSO desativado recebem um e-mail solicitando que criem uma senha.

O que fazer em seguida

Se você ou o cliente reconfigurarem o SSO para a organização do cliente, as contas de usuário voltarão a usar a política de senha definida pelo IdP integrado à organização Webex.

Se você tiver problemas com seu logon de SSO, poderá usar a opção de autorecuperação de SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de autorecuperação permite que você atualize ou desative o SSO no Control Hub.