Použite funkcie správy SSO v Control Hub na správu certifikátov a všeobecnú údržbu SSO, ako je aktualizácia certifikátu, ktorého platnosť sa končí, alebo kontrola vašej existujúcej konfigurácie SSO. Každá funkcia správy SSO je popísaná na jednotlivých kartách v tomto článku.
Ak chcete nastaviť jednotné prihlásenie pre viacerých poskytovateľov identity vo vašej organizácii, pozrite si SSO s viacerými IdP vo Webexe.
Ak je používanie certifikátu vašej organizácie nastavené na Žiadne, ale stále sa vám zobrazuje upozornenie, odporúčame vám pokračovať v inovácii. Vaše nasadenie SSO dnes nepoužíva certifikát, ale možno ho budete potrebovať pre budúce zmeny. |
Z času na čas môžete dostať e-mailové upozornenie alebo vidieť upozornenie v Control Hub, že platnosť certifikátu jednotného prihlásenia Webex (SSO) vyprší. Postupujte podľa postupu v tomto článku, aby ste od nás (SP) získali metadáta cloudového certifikátu SSO a pridali ich späť k svojmu IdP; v opačnom prípade používatelia nebudú môcť používať služby Webex. |
Ak vo svojej organizácii Webex používate SAML Cisco (SP) SSO certifikát, musíte plánovať aktualizáciu cloudového certifikátu počas pravidelnej plánovanej údržby čo najskôr.
Ovplyvnené sú všetky služby, ktoré sú súčasťou vášho predplatného organizácie Webex, vrátane, ale nie výlučne:
Webex App (nové prihlásenia pre všetky platformy: počítač, mobil a web)
Služby Webex v Control Hub vrátane volania
Stránky Webex Meetings spravované cez Control Hub
Cisco Jabber, ak je integrovaný s SSO
Predtým ako začneš
Pred začatím si prečítajte všetky pokyny. Po zmene certifikátu alebo prechode cez sprievodcu na aktualizáciu certifikátu sa noví používatelia nemusia úspešne prihlásiť. |
Ak váš IdP nepodporuje viacero certifikátov (väčšina IdP na trhu túto funkciu nepodporuje), odporúčame vám naplánovať si túto inováciu počas obdobia údržby, kde nie sú ovplyvnení používatelia Webex App. Tieto úlohy aktualizácie by mali trvať približne 30 minút v prevádzkovom čase a po overení po udalosti.
1 | Ak chcete skontrolovať, či vyprší platnosť certifikátu SAML Cisco (SP) SSO:
Môžete tiež prejsť priamo do sprievodcu SSO a aktualizovať certifikát. Ak sa rozhodnete ukončiť sprievodcu pred jeho dokončením, môžete k nemu kedykoľvek znova pristúpiť https://admin.webex.com. v | ||
2 | Prejdite na IdP a kliknite. | ||
3 | Kliknite Skontrolujte certifikáty a dátum vypršania platnosti. | ||
4 | Kliknite Obnoviť certifikát. | ||
5 | Vyberte typ poskytovateľa identity, ktorý vaša organizácia používa.
| ||
6 | Vyberte typ certifikátu na obnovenie:
| ||
7 | Kliknite Stiahnite si súbor metadát stiahnuť kópiu aktualizovaných metadát s novým certifikátom z cloudu Webex. Nechajte túto obrazovku otvorenú. | ||
8 | Prejdite do rozhrania správy IdP a nahrajte nový súbor metadát Webex.
| ||
9 | Vráťte sa na kartu, kde ste sa prihlásili do Control Hub, a kliknite Ďalšie. | ||
10 | Aktualizujte IdP pomocou nového certifikátu SP a metadát a kliknite Ďalšie.
| ||
11 | Kliknite Dokončite obnovu. |
Z času na čas môžete dostať e-mailové upozornenie alebo vidieť upozornenie v Control Hub, že platnosť certifikátu IdP vyprší. Keďže dodávatelia IdP majú svoju vlastnú špecifickú dokumentáciu na obnovenie certifikátu, pokrývame to, čo sa vyžaduje v Control Hub, spolu so všeobecnými krokmi na získanie aktualizovaných metadát IdP a ich nahranie do Control Hub na obnovenie certifikátu. |
1 | Ak chcete skontrolovať, či vyprší platnosť certifikátu IdP SAML:
| ||
2 | Prejdite do rozhrania správy IdP a získajte nový súbor metadát.
| ||
3 | Vráťte sa do Poskytovateľ identity tab. | ||
4 | Prejdite na IdP, kliknitea vyberte Nahrajte metadáta Idp. | ||
5 | Presuňte súbor metadát IdP do okna alebo kliknite Vyberte súbor a nahrajte to týmto spôsobom. | ||
6 | Vyberte si Menej bezpečné (samopodpísaný) príp Bezpečnejšie (podpísané verejnou CA), v závislosti od toho, ako sú podpísané vaše metadáta IdP. | ||
7 | Kliknite Otestujte aktualizáciu SSO aby ste potvrdili, že nový súbor metadát bol odovzdaný a správne interpretovaný do vašej organizácie Control Hub. Vo vyskakovacom okne potvrďte očakávané výsledky a ak bol test úspešný, vyberte Úspešný test: Aktivujte SSO a IdP a kliknite Uložiť.
Výsledok: Hotovo a certifikát IdP vašej organizácie je teraz obnovený. Stav certifikátu môžete kedykoľvek skontrolovať pod Poskytovateľ identity tab.
|
Najnovšie metadáta Webex SP môžete exportovať vždy, keď ich potrebujete pridať späť do svojho IdP. Keď platnosť importovaných metadát SAML IdP vyprší alebo už vypršala, zobrazí sa upozornenie.
Tento krok je užitočný v bežných scenároch správy certifikátov IdP SAML, ako sú IdP, ktorí podporujú viacero certifikátov, kde sa export neuskutočnil skôr, ak metadáta neboli importované do IdP, pretože správca IdP nebol dostupný, alebo ak váš IdP podporuje možnosť aktualizovať iba certifikát. Táto možnosť môže pomôcť minimalizovať zmenu tak, že certifikát aktualizujete iba vo vašej konfigurácii SSO a overení po udalosti.
1 | Z pohľadu zákazníka v https://admin.webex.com, ísť do , prejdite na Jednotné prihlásenie a kliknite Správa SSO a IdP. |
2 | Choďte na Poskytovateľ identity tab. |
3 | Prejdite na IdP, kliknitea vyberte Stiahnite si metadáta SP. Názov súboru metadát aplikácie Webex je idb-meta-<org-ID>-SP.xml. |
4 | Importujte metadáta do svojho poskytovateľa identity. Pri importovaní metadát Webex SP postupujte podľa dokumentácie pre vášho poskytovateľa identity. Môžete použiť náš Sprievodcovia integráciou IdP alebo si pozrite dokumentáciu vášho konkrétneho IdP, ak nie je uvedená. |
5 | Keď skončíte, spustite test SSO pomocou krokov v |
Keď sa zmení vaše prostredie IdP alebo ak váš certifikát IdP vyprší, aktualizované metadáta môžete do Webexu kedykoľvek importovať.
Predtým ako začneš
Zhromaždite svoje metadáta IdP, zvyčajne ako exportovaný súbor xml.
1 | Z pohľadu zákazníka v https://admin.webex.com, ísť do , prejdite na Jednotné prihlásenie a kliknite Správa SSO a IdP. |
2 | Choďte na Poskytovateľ identity tab. |
3 | Prejdite na IdP, kliknitea vyberte Nahrajte metadáta Idp. |
4 | Presuňte súbor metadát IdP do okna alebo kliknite Vyberte súbor metadát a nahrajte to týmto spôsobom. |
5 | Vyberte si Menej bezpečné (samopodpísaný) príp Bezpečnejšie (podpísané verejnou CA), v závislosti od toho, ako sú podpísané vaše metadáta IdP. |
6 | Kliknite Otestujte nastavenie jednotného prihláseniaa keď sa otvorí nová karta prehliadača, overte identitu poskytovateľa identity prihlásením. |
Pred nastavením platnosti certifikátov budete dostávať upozornenia v Control Hub, ale môžete tiež proaktívne nastaviť pravidlá upozornení. Tieto pravidlá vás vopred informujú o tom, že platnosť vašich certifikátov SP alebo IdP vyprší. Môžeme vám ich poslať e-mailom, priestorom v aplikácii Webex alebo oboma spôsobmi.
Bez ohľadu na nakonfigurovaný kanál doručovania sa všetky upozornenia vždy zobrazia v Control Hub. Pozri Centrum upozornení v Control Hub Pre viac informácií. |
1 | Prihláste sa do Control Hub. | ||
2 | Ísť do Centrum upozornení. | ||
3 | Vyberte si Spravovať potom Všetky pravidlá. | ||
4 | Zo zoznamu pravidiel vyberte ktorékoľvek z pravidiel SSO, ktoré chcete vytvoriť:
| ||
5 | V časti Kanál doručenia začiarknite políčko pre Email, Priestor Webex, alebo obaja. Ak vyberiete možnosť E-mail, zadajte e-mailovú adresu, na ktorú chcete dostávať upozornenia.
| ||
6 | Uložte zmeny. |
Čo urobiť ďalej
Upozornenia na vypršanie platnosti certifikátu posielame raz za 15 dní, počnúc 60 dňami pred vypršaním platnosti. (Výstrahy môžete očakávať na 60., 45., 30. a 15. deň.) Upozornenia sa zastavia po obnovení certifikátu.
Môžete vidieť upozornenie, že jediná adresa URL na odhlásenie nie je nakonfigurovaná:
Odporúčame, aby ste si nakonfigurovali svojho IdP na podporu Single Log Out (známe aj ako SLO). Webex podporuje metódy presmerovania aj odosielania, ktoré sú k dispozícii v našich metadátach, ktoré sú stiahnuté z Control Hub. Nie všetci IdP podporujú SLO; požiadajte o pomoc svoj tím IdP. Niekedy pre veľkých poskytovateľov IdP ako AzureAD, Ping Federate, ForgeRock a Oracle, ktorí podporujú SLO, dokumentujeme, ako nakonfigurovať integráciu. Poraďte sa so svojím tímom pre identitu a bezpečnosť o špecifikách vášho IDP a o tom, ako ho správne nakonfigurovať. |
Ak nie je nakonfigurovaná jedna adresa URL na odhlásenie:
Existujúca relácia IdP zostáva v platnosti. Keď sa používatelia nabudúce prihlásia, IdP ich nemusí požiadať o opätovnú autentifikáciu.
Pri odhlásení zobrazujeme varovnú správu, takže odhlásenie z aplikácie Webex neprebehne hladko.
Môžete zakázať jednotné prihlásenie (SSO) pre vašu organizáciu Webex spravovanú v Control Hub. Ak meníte poskytovateľa identity (IdP), možno budete chcieť zakázať jednotné prihlásenie.
Ak bolo pre vašu organizáciu povolené jednotné prihlásenie, ale zlyháva, môžete zapojiť svojho partnera Cisco, ktorý má prístup k vašej organizácii Webex, aby vám ho zakázal. |
1 | Z pohľadu zákazníka v https://admin.webex.com, ísť do , prejdite na Jednotné prihlásenie a kliknite Správa SSO a IdP. |
2 | Choďte na Poskytovateľ identity tab. |
3 | Kliknite Deaktivujte jednotné prihlásenie. Zobrazí sa kontextové okno, ktoré vás upozorní na zakázanie SSO: Ak zakážete jednotné prihlásenie, heslá bude spravovať cloud namiesto vašej integrovanej konfigurácie poskytovateľa identity. |
4 | Ak chápete vplyv zakázania jednotného prihlásenia a chcete pokračovať, kliknite Deaktivovať. SSO je deaktivované a všetky výpisy certifikátov SAML sú odstránené. Ak je jednotné prihlásenie zakázané, používateľom, ktorí sa musia overiť, sa počas procesu prihlásenia zobrazí pole na zadanie hesla.
|
Čo urobiť ďalej
Ak vy alebo zákazník prekonfigurujete jednotné prihlásenie pre organizáciu zákazníka, používateľské účty sa vrátia k používaniu politiky hesiel, ktorú nastavil IdP, ktorý je integrovaný s organizáciou Webex.
Ak narazíte na problémy s prihlásením SSO, môžete použiť Možnosť samoobnovenia SSO získať prístup k vašej organizácii Webex spravovanej v Control Hub. Možnosť samoobnovenia vám umožňuje aktualizovať alebo zakázať jednotné prihlásenie v Control Hub.