SSO в Control Hub

Чтобы настроить SSO для нескольких поставщиков удостоверений в вашей организации, см. SSO с несколькими поставщиками удостоверений в Webex.


 

Если в настройках использования сертификата организации выставлено "Нет", но предупреждение все равно появляется, рекомендуем продолжить обновление. Ваше развертывание SSO не использует сертификат в данный момент, но он может понадобиться вам для внесения изменений в будущем.

Сертификат поставщика услуг Webex Provider (SP)


 

На вашу электронную почту или в Webex Control Hub могут периодически приходить уведомления об истечении срока действия сертификата системы единого входа (SSO) для Webex. Выполните процедуру, описанную в этой статье, чтобы получить метаданные сертификата SSO в облаке от нашей службы (SP) и вернуть их в ваш IdP. В противном случае пользователи не смогут использовать службы Webex.

При использовании сертификата SAML Cisco (SP) SSO в организации Webex необходимо как можно скорее обновить сертификат облака во время обычного запланированного технического обслуживания.

Модернизация повлияет на все службы, связанные с подпиской вашей организации Webex, включая приведенные ниже.

  • Приложение Webex (новые сеансы для всех платформ: настольные компьютеры, мобильные телефоны и веб-версии)

  • Службы Webex в Control Hub, включая Calling

  • Веб-сайты Webex Meetings под управлением Control Hub

  • Cisco Jabber (при интеграции с SSO)

Перед началом работы


 

Прежде чем начать, прочтите все указания. После изменения сертификата или использования мастера для обновления сертификата новые пользователи, возможно, не смогут успешно выполнить вход.

Если ваш поставщик удостоверений не поддерживает несколько сертификатов (большинство поставщиков удостоверений на рынке не поддерживают эту функцию), рекомендуется запланировать эту модернизацию во время технического обслуживания, в котором пользователи приложения Webex не будут затронуты. Выполнение этих задач модернизации должно занять около 30 минут рабочего времени и проверки после event-совещания.

1.

Чтобы проверить, истекает ли срок действия сертификата SSO Cisco (SP), необходимо сделать следующее:

  • Возможно, вы получили от нас сообщение на электронную почту или в приложении Webex. Чтобы проверить это, зайдите в Control Hub.

  • Войдите в https://admin.webex.com и откройте Центр предупреждений. Возможно, там будет уведомление об обновлении сертификата SSO.

  • Войдите в https://admin.webex.com, перейдите к Управление > Настройки организации > Система единого входа и щелкните Управление SSO и IdPs.
  • Перейдите на вкладку Поставщик удостоверений и обратите внимание на состояние сертификата Cisco SP и дату истечения срока действия.

Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до его завершения, вы сможете снова получить доступ к нему в любой момент из Управление > Настройки организации > Система единого входа в https://admin.webex.com.

2.

Перейдите к IdP и щелкните.

3.

Щелкните Просмотреть сертификаты и дату истечения срока действия.

4.

Щелкните Обновить сертификат.

5

Выберите тип поставщика удостоверений, используемый вашей организацией.

  • IdP, поддерживающий несколько сертификатов
  • IdP, поддерживающий единый сертификат

 

Если ваш поставщик удостоверений поддерживает один сертификат, мы рекомендуем вам выполнить эти действия во время запланированного простоя. Пока сертификат Webex обновляется, новые пользователи в течение короткого периода времени не смогут выполнить вход; текущие сеансы будут сохранены.

6

Выберите тип сертификата для возобновления.

  • Самоподписанный сертификат Cisco – рекомендуем выбрать этот тип сертификата. Мы самостоятельно подпишем этот сертификат, и вам нужно будет продлевать его только один раз в пять лет.
  • Сертификат, подписанный центром сертификации, – более безопасный вариант, но вам придется чаще обновлять метаданные (за исключением случаев, когда ваш поставщик удостоверений поддерживает точки доверия).

     

    Точки доверия – это открытые ключи, которые служат для проверки сертификата цифровой подписи. Дополнительные сведения см. в документации поставщика удостоверений.

7.

Щелкните Скачать файл метаданных, чтобы скачать копию обновленных метаданных с новым сертификатом из облака Webex. Не закрывайте этот экран.

8

Перейдите к интерфейсу управления поставщиком удостоверений, чтобы загрузить новый файл метаданных Webex.

9

Вернитесь на вкладку, где был выполнен вход в Control Hub, и щелкните Далее.

10

Обновите IdP с помощью нового сертификата и метаданных поставщика услуг и щелкните Далее.

  • Все IdP обновлены
  • Если для обновления вам необходимо дополнительное время, сохраните обновленный сертификат как дополнительный вариант
11

Щелкните Завершить обновление.

Сертификат поставщика удостоверений (IdP)


 

На вашу электронную почту или в Control Hub могут периодически приходить уведомления об истечении срока действия сертификата IdP. Поскольку поставщики IdP имеют свою собственную документацию по обновлению сертификата, мы рассмотрим, что требуется в Control Hub, а также общие шаги для получения обновленных метаданных IdP и загрузки их в Control Hub для обновления сертификата.

1.

Чтобы проверить, истекает ли срок действия сертификата SSO Webex, необходимо сделать следующее:

  • Возможно, вы получили от нас сообщение на электронную почту или в приложении Webex. Чтобы проверить это, зайдите в Control Hub.
  • Войдите в https://admin.webex.com и откройте Центр предупреждений. Возможно, там будет уведомление об обновлении сертификата IdP SAML.

  • Войдите в https://admin.webex.com, перейдите к Управление > Настройки организации > Система единого входа и щелкните Управление SSO и IdPs.
  • Перейдите на вкладку Поставщик удостоверений и отметьте состояние сертификата IdP (срок действия истек или скоро истекает) и дату истечения срока действия.

  • Вы также можете перейти непосредственно к мастеру SSO для обновления сертификата. Если вы решите выйти из мастера до его завершения, вы сможете снова получить доступ к нему в любой момент из Управление > Настройки организации > Система единого входа в https://admin.webex.com.

2.

Чтобы получить новый файл метаданных, воспользуйтесь интерфейсом управления IdP.

  • Это можно сделать во вкладке браузера, с помощью протокола удаленного рабочего стола (RDP) или конкретного облачного провайдера, в зависимости от настройки IdP и того, кто отвечает за этот шаг – вы или отдельный администратор IdP.
  • Для справки см. наши руководства по интеграции SSO или обратитесь за поддержкой к администратору IdP.
3.

Вернитесь на вкладку Поставщик удостоверений .

4.

Перейдите к IdP и щелкнитеuploadи выберите Загрузить метаданные IDP.

5

Перетащите файл метаданных IdP в окно или щелкните Выбрать файл и загрузите его таким образом.

6

Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP.

7.

Чтобы убедиться в том, что новый файл метаданных был загружен и правильно истолкован для вашей организации в Control Hub, щелкните Тестирование обновления SSO. Подтвердите ожидаемые результаты во всплывающем окне. Если тест прошел успешно, выберите Успешный тест. Активируйте SSO и IdP и щелкните Сохранить.


 

Для непосредственного просмотра возможностей входа в систему SSO рекомендуется щелкнуть Копировать URL в буфер обмена на этом экране и вставить его в личное окно браузера. После этого можно войти в систему посредством SSO. Это позволяет удалить любую информацию, кешируемую в вашем веб-браузере, которая может привести к ложноположительному результату при тестировании вашей конфигурации SSO.

Результаты: Вы завершили процедуру. Сертификат IdP вашей организации обновлен. Проверить состояние сертификата можно в любой момент на вкладке Поставщик удостоверений .

Вы можете экспортировать последние метаданные SP Webex, если вам понадобится вернуться к вашему поставщику удостоверений. Перед истечением срока действия импортируемых метаданных SAML IdP будет отображено уведомление.

Этот этап будет полезен в распространенных сценариях управления сертификатами IdP SAML, например, если поставщики уведомлений поддерживают несколько сертификатов, экспорт которых не был выполнен ранее, если метаданные не были импортированы в IdP из-за недоступности администратора IdP или если ваш поставщик сертификатов поддерживает возможность обновления только сертификата. Этот параметр поможет свести к минимуму изменения, обновив только сертификат в конфигурации SSO и проверки после event-совещания.

1.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > Настройки организации, прокрутите страницу до Система единого входа и щелкните Управление SSO и IdPs.

2.

Перейдите на вкладку Поставщик удостоверений .

3.

Перейдите к IdP и щелкнитеDownloadи выберите Скачать метаданные SP.

Имя файла метаданных приложения Webex: idb-meta--SP.xml.<org-ID>

4.

Импорт метаданных в ваш IdP.

Следуйте документации вашего поставщика уведомлений для импорта метаданных Webex SP. Вы можете использовать руководства по интеграции IdP или ознакомиться с документацией для конкретного IdP, если он не указан в списке.

5

По окончании запустите тест SSO с помощью действий, описанных в параграфе Обновление сертификата Webex (SP) данной статьи.

При изменениях среды IdP или истечении срока действия сертификата IdP вы в любой момент можете импортировать обновленные метаданные в Webex.

Перед началом работы

Подберите метаданные IdP, которые представлены, как правило, в виде экспортируемого файла XML.

1.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > Настройки организации, прокрутите страницу до Система единого входа и щелкните Управление SSO и IdPs.

2.

Перейдите на вкладку Поставщик удостоверений .

3.

Перейдите к IdP и щелкнитеuploadи выберите Загрузить метаданные IDP.

4.

Перетащите файл метаданных IdP в окно или щелкните Выбрать файл метаданных и загрузите его.

5

Выберите Менее безопасно (самоподписанный) или Более безопасно (подписан публичным ЦС) в зависимости от того, как подписаны метаданные IdP.

6

Щелкните Test SSO setup. После открытия новой вкладки браузера выполните аутентификацию с помощью поставщика удостоверений, войдя в систему.

Перед истечением срока действия сертификатов в Control Hub придет оповещение, но вы также можете настроить правила предупреждений заранее. Эти предупреждения заблаговременно известят, когда истекает срок действия ваших сертификатов SP или IdP. Мы можем отправлять их на вашу электронную почту и/или в пространство в приложении Webex.


 

Независимо от выбранного канала доставки все предупреждения будут отображаться в Control Hub. Дополнительную информацию см. в Центре предупреждений в Control Hub.

1.

Войдите в Control Hub.

2.

Перейдите в центр предупреждений.

3.

Выберите Управление, затем – Все правила.

4.

В списке "Правила" выберите одно из правил SSO, которое необходимо создать.

  • Истечение срока действия сертификата IdP для системы единого входа
  • Истечение срока действия сертификата SP для системы единого входа
5

В разделе "Канал доставки" выберите Электронная почта и/или Пространство Webex.

Выбрав канал "Электронная почта", введите адрес электронной почты, на который должно быть отправлено предупреждение.


 

При выборе канала "Пространство Webex" вы будете автоматически добавлены в пространство внутри приложения Webex, куда мы начнем присылать уведомления.

6

Сохраните внесенные изменения.

Дальнейшие действия

Предупреждения об истечении срока действия сертификата будут отправляться раз в 15 дней. Первое предупреждение придет за 60 дней до истечения срока действия. (Вы получите предупреждения за 60, 45, 30 или 15 дней до истечения срока действия сертификата.) При обновлении сертификата предупреждения прекращаются.

Может отображаться уведомление о том, что единый URL-адрес для выхода не настроен.


 

Рекомендуется настроить IdP на поддержку единого выхода из системы (также известного как SLO). Webex поддерживает как метод перенаправления, так и метод публикации. Поддержка этих методов есть в наших метаданных, которые загружаются из Control Hub. Не все поставщики уведомлений поддерживают SLO. Обратитесь за помощью к специалистам вашего поставщика уведомлений. Иногда для крупных поставщиков IdP, таких как AzureAD, Ping Federate, ForgeRock и Oracle, которые поддерживают SLO, мы документируем, как настроить интеграцию. Проконсультируйтесь со службой идентификации и безопасности о специфике вашего IDP и о том, как правильно его настроить.

Если не настроен единый URL-адрес для выхода:

  • Существующий сеанс IdP остается действительным. При следующем входе пользователей в систему IdP может не запрашивать у них повторную аутентификацию.

  • При выходе из приложения Webex отображается предупреждение, поэтому пользователи всегда смогут заметить это.

Вы можете отключить систему единого входа (SSO) для клиентской организации Webex под управлением Control Hub. При изменении поставщиков удостоверений (IdPs) может потребоваться отключить SSO.


 

Если система единого входа в вашей организации работает некорректно, вы можете связаться со своим партнером Cisco, который получит доступ к вашей организации Webex, чтобы отключить данную функцию.

1.

В окне просмотра информации о клиенте в https://admin.webex.com перейдите к Управление > Настройки организации, прокрутите страницу до Система единого входа и щелкните Управление SSO и IdPs.

2.

Перейдите на вкладку Поставщик удостоверений .

3.

Щелкните Деактивировать SSO.

Появится всплывающее окно с предупреждением об отключении системы единого входа.

Деактивация SSO

После отключения системы единого входа управление паролями будет осуществляться в облаке, а не в конфигурации встроенного поставщика удостоверений.

4.

Если вы понимаете последствия отключения системы единого входа и хотите продолжить, щелкните Деактивировать.

Система единого входа деактивирована, и все списки сертификатов SAML удаляются.

Если система единого входа отключена, пользователи, которым необходимо выполнить аутентификацию, будут видеть поле ввода пароля во время процесса входа.

  • Пользователи, у которых нет пароля в приложении Webex, должны либо сбросить пароль, либо отправить сообщение электронной почты для установки пароля.

  • У аутентифицированных пользователей с действительным маркером OAuth по-прежнему будет доступ к приложению Webex.

  • Новые пользователи, зарегистрированные уже после отключения системы единого входа, получают электронное сообщение с запросом на создание пароля.

Дальнейшие действия

При повторной настройке системы единого входа для клиентской организации учетные записи пользователей возвращаются к использованию политики паролей, заданной поставщиком удостоверений, интегрированным с организацией Webex.

При возникновении проблем с входом в систему единого входа можно использовать параметр восстановления SSO для получения доступа к организации Webex, управляемой в Control Hub. Параметр самостоятельного восстановления позволяет обновить или отключить SSO в Control Hub.