SSO i Control Hub

Om du vill konfigurera SSO för flera identitetsleverantörer i din organisation, se SSO med flera ID-adresser i Webex.


 

Om din organisations certifikatanvändning är inställd på Ingen men du fortfarande får en avisering rekommenderar vi att du fortsätter med uppgraderingen. Din SSO-distribution använder inte certifikatet idag, men du kan behöva certifikatet för framtida ändringar.

Tjänsteleverantörscertifikat (SP)


 

Då och då kan du få ett e-postmeddelande eller se en avisering i Control Hub om att Webex-certifikatet för enkel inloggning (SSO) kommer att upphöra. Följ processen i den här artikeln för att hämta metadata för molncertifikatet för SSO från oss (SP) och lägga till dem i din IdP igen. Annars kommer användare inte att kunna använda Webex-tjänster.

Om du använder SAML Cisco (SP) SSO-certifikatet i din Webex-organisation måste du planera att uppdatera molncertifikatet under ett regelbundet schemalagt underhållsfönster så snart som möjligt.

Alla tjänster som ingår i din prenumeration på Webex-organisationen påverkas, inklusive men inte begränsat till:

  • Webex-appen (nya inloggningar för alla plattformar: stationära datorer, mobila enheter och webben)

  • Webex-tjänster i Control Hub, inklusive samtal

  • Webex Meetings webbplatser som hanteras via Control Hub

  • Cisco Jabber om den är integrerad med SSO

Innan du börjar


 

Läs igenom alla anvisningar innan du börjar. När du har ändrat certifikatet eller gått igenom guiden för att uppdatera certifikatet kanske nya användare inte kan logga in.

Om ditt ID-P inte har stöd för flera certifikat (de flesta ID-p på marknaden har inte stöd för den här funktionen) rekommenderar vi att du schemalägger den här uppgraderingen under ett underhållsfönster där Webex-appanvändare inte påverkas. Dessa uppgraderingsuppgifter bör ta cirka 30 minuter i driftstid och validering efter vent.

1

Så här kontrollerar du om SAML Cisco (SP) SSO-certifikatet kommer att upphöra:

  • Du kan ha fått ett e-postmeddelande eller ett Webex-appmeddelande från oss, men du bör checka in i Control Hub för att vara säker.

  • Logga in påhttps://admin.webex.com och kontrollera din Varningscenter . Det kan finnas ett meddelande om uppdatering av SSO-tjänsteleverantörscertifikatet.

  • Logga in på https://admin.webex.com, gå till Hantering > Organisationsinställningar > Enkel inloggning och klicka på Hantera SSO och ID.
  • Gå till fliken Identitetsleverantör och notera statusen för Cisco SP-certifikatet och utgångsdatum.

Du kan även gå direkt till SSO-guiden för att uppdatera certifikatet. Om du bestämmer dig för att avsluta guiden innan du slutför den kan du komma åt den igen när som helst från Hantering > Organisationsinställningar > Enkel inloggning i https://admin.webex.com.

2

Gå till IDP och klicka.

3

Klicka på Granska certifikat och utgångsdatum.

4

Klicka på Förnya certifikat.

5

Välj typ av IDP som din organisation använder.

  • Ett IDP som stöder flera certifikat
  • Ett IDP som stöder ett enda certifikat

 

Om ditt IDP har stöd för ett enda certifikat rekommenderar vi att du väntar på att utföra dessa steg under schemalagd driftstopp. Medan Webex-certifikatet uppdateras kommer nya användarinloggningar kort inte att fungera. Befintliga inloggningar bevaras.

6

Välj certifikattyp för förnyelse:

  • Självsignerat av Cisco –Vi rekommenderar detta val. Låt oss signera certifikatet så att du bara behöver förnya det vart femte år.
  • Signerat av en offentlig certifikatutfärdare – Säkrare men du måste uppdatera metadata ofta (om inte din IdP-leverantör har stöd för betrodda ankare).

     

    Pålitliga ankare är offentliga nycklar som fungerar som en auktoritet för att verifiera en digital signaturs certifikat. Mer information finns i dokumentationen till din IdP.

7

Klicka på Hämta metadatafil för att hämta en kopia av uppdaterade metadata med det nya certifikatet från Webex-molnet. Låt den här skärmen vara öppen.

8

Navigera till gränssnittet för IdP för att överföra den nya Webex-metadatafilen.

  • Det här steget kan göras via en webbläsarflik, fjärrskrivbordsprotokoll (RDP) eller via specifik molnleverantörssupport, beroende på din inställning av IDP och om du eller en separat ID-administratör ansvarar för det här steget.
  • Som referens, se våra guider för SSO-integrering eller kontakta din IdP-administratör för support. Om du använder Active Directory Federation Services (AD FS) kan du se hur du uppdaterar Webex-metadata i AD FS .
9

Gå tillbaka till fliken där du loggade in på Control Hub och klicka på Nästa .

10

Uppdatera IDP med det nya SP-certifikatet och metadata och klicka på Nästa.

  • Alla IdP:er har uppdaterats
  • Om du behöver mer tid för att uppdatera så sparar du det förnyade certifikatet som sekundärt alternativ
11

Klicka på Slutför förnyelse.

Certifikat för identitetsleverantör (IdP).


 

Då och då kan du få ett e-postmeddelande eller se en varning i Control Hub om att IDP-certifikatet kommer att upphöra. Eftersom IDP-leverantörer har sin egen specifika dokumentation för certifikatförnyelse täcker vi det som krävs i Control Hub, tillsammans med allmänna steg för att hämta uppdaterade IDP-metadata och ladda upp dem till Control Hub för att förnya certifikatet.

1

Så här kontrollerar du om IdP SAML-certifikatet kommer att upphöra:

  • Du kan ha fått ett e-postmeddelande eller ett Webex-appmeddelande från oss, men du bör checka in i Control Hub för att vara säker.
  • Logga in påhttps://admin.webex.com och kontrollera din Varningscenter . Ett meddelande om uppdatering av IdP SAML-certifikat kan visas:

  • Logga in på https://admin.webex.com, gå till Hantering > Organisationsinställningar > Enkel inloggning och klicka på Hantera SSO och ID.
  • Gå till fliken Identitetsleverantör och notera statusen för IDP-certifikatet (upphör eller upphör snart) och utgångsdatum.

  • Du kan även gå direkt till SSO-guiden för att uppdatera certifikatet. Om du bestämmer dig för att avsluta guiden innan du slutför den kan du komma åt den igen när som helst från Hantering > Organisationsinställningar > Enkel inloggning i https://admin.webex.com.

2

Navigera till ditt IDP-hanteringsgränssnitt för att hämta den nya metadatafilen.

  • Det här steget kan göras via en webbläsarflik, fjärrskrivbordsprotokoll (RDP) eller via specifik molnleverantörssupport, beroende på din inställning av IDP och om du eller en separat ID-administratör ansvarar för det här steget.
  • Som referens, se våra guider för SSO-integrering eller kontakta din IdP-administratör för support.
3

Återgå till fliken Identitetsleverantör.

4

Gå till IDP, klickauploadoch välj Ladda upp Idp-metadata.

5

Dra och släpp din IDP-metadatafil i fönstret eller klicka på Välj en fil och ladda upp den på det sättet.

6

Välj Mindre säker (självsignerat) eller Säkrare (signerat av en offentlig certifikatutfärdare), beroende på hur din IdP-metadata är signerad.

7

Klicka på Testa SSO-uppdatering för att bekräfta att den nya metadatafilen har överförts och tolkats korrekt till din Control Hub-organisation. Bekräfta de förväntade resultaten i popup-fönstret och välj Lyckat test: Aktivera SSO och ID och klicka på Spara.


 

Om du vill se SSO-inloggningsupplevelsen direkt rekommenderar vi att du klickar på Kopiera URL för att urklistra på den här skärmen och klistrar in den i ett privat webbläsarfönster. Därifrån kan du gå igenom inloggningen med SSO. Detta bidrar till att ta bort all information som cachelagrats i din webbläsare och som kan ge ett falskt positivt resultat när du testar din SSO-konfiguration.

Resultat: Du är klar och organisationens IdP-certifikat har nu förnyats. Du kan när som helst kontrollera certifikatstatusen under fliken Identitetsleverantör.

Du kan exportera den senaste Webex SP-metadatan när du behöver lägga till den i din IdP igen. Du ser ett meddelande när importerad IdP SAML-metadata kommer att upphöra eller har upphört att gälla.

Det här steget är användbart i vanliga scenarier för hantering av IdP SAML-certifikat, t.ex. IdP:er som har stöd för flera certifikat där exporten inte utfördes tidigare, om metadata inte importerades till IdP eftersom en IdP-administratör inte var tillgänglig eller om din IdP har stöd för möjligheten att endast uppdatera certifikatet. Det här alternativet kan hjälpa till att minimera förändringen genom att endast uppdatera certifikatet i din SSO-konfiguration och validera efter händelsen.

1

Från kundvyn i https://admin.webex.com går du till Hantering > Organisationsinställningar, bläddra till Enkel inloggning och klicka på Hantera SSO och ID.

2

Gå till fliken Identitetsleverantör.

3

Gå till IDP, klickaDownloadoch välj Hämta SP-metadata.

Metadatafilnamnet för Webex-appen är idb-meta-<org-ID>-SP.xml.

4

Importera metadata till din IdP.

Följ dokumentationen till din IdP för att importera Webex SP-metadata. Du kan använda vår Guider för IdP-integrering eller se dokumentationen för din specifika IdP om den inte finns med i listan.

5

När du är klar kör du SSO-testet med hjälp av stegen i Förnya Webex-certifikat (SP) i den här artikeln.

När din IdP-miljö ändras eller om ditt IdP-certifikat löper ut kan du när som helst importera uppdaterade metadata till Webex.

Innan du börjar

Samla in dina IdP-metadata, vanligtvis som en exporterad xml-fil.

1

Från kundvyn i https://admin.webex.com går du till Hantering > Organisationsinställningar, bläddra till Enkel inloggning och klicka på Hantera SSO och ID.

2

Gå till fliken Identitetsleverantör.

3

Gå till IDP, klickauploadoch välj Ladda upp Idp-metadata.

4

Dra och släpp din IdP-metadatafil i fönstret eller klicka Välj en metadatafil och ladda upp det på det sättet.

5

Välj Mindre säker (självsignerat) eller Säkrare (signerat av en offentlig certifikatutfärdare), beroende på hur din IdP-metadata är signerad.

6

Klicka på Testa SSO-konfiguration och när en ny webbläsarflik öppnas autentiserar du med IDP genom att logga in.

Du får aviseringar i Control Hub innan certifikaten upphör att gälla, men du kan även proaktivt ställa in aviseringsregler. Dessa regler meddelar dig i förväg att dina SP- eller IDP-certifikat kommer att upphöra. Vi kan skicka dessa till dig via e-post, ett utrymme i Webex-appen eller båda.


 

Oavsett vilken leveranskanal som har konfigurerats visas alla aviseringar alltid i Control Hub. Se Aviseringscentret i Control Hub för mer information.

1

Logga in på Control Hub.

2

Gå till aviseringscentret.

3

Välj Hantera sedan Alla regler.

4

I listan Regler väljer du någon av de SSO-regler som du vill skapa:

  • SSO IDP-certifikat löper ut
  • SSO SP-certifikat löper ut
5

I avsnittet Leveranskanal markerar du rutan för e-post, Webex-utrymme eller båda.

Om du väljer e-post anger du e-postadressen som ska få meddelandet.


 

Om du väljer alternativet Webex-utrymme läggs du automatiskt till i ett utrymme inuti Webex-appen och vi levererar aviseringarna där.

6

Spara dina ändringar.

Nästa steg

Vi skickar aviseringar om certifikatets utgångsdatum en gång var 15:e dag, med början 60 dagar före utgången. (Du kan förvänta dig varningar på dag 60, 45, 30 och 15.) Aviseringar stoppas när du förnyar certifikatet.

Du kan se ett meddelande om att URL:en för enkel utloggning inte är konfigurerad:


 

Vi rekommenderar att du konfigurerar din IdP för att stödja enkel utloggning (kallas även SLO). Webex har stöd för både omdirigering och inläggsmetoder, tillgängliga i vår metadata som hämtas från Control Hub. Alla IdP har inte stöd för SLO. kontakta ditt IdP-team för att få hjälp. Ibland, för de stora IDP-leverantörerna som AzureAD, Ping Federate, ForgeRock och Oracle, som stöder SLO, vi dokumenterar hur du konfigurerar integreringen. Rådfråga ditt identitets- och säkerhetsteam om specifikationerna för din IDP och hur du konfigurerar den på rätt sätt.

Om URL för enkel utloggning inte har konfigurerats:

  • En befintlig IdP-session är fortfarande giltig. Nästa gång användare loggar in kanske de inte blir ombedda att autentisera sig på nytt av IdP.

  • Vi visar ett varningsmeddelande vid utloggning, så att utloggning från Webex-appen inte sker smidigt.

Du kan inaktivera enkel inloggning (SSO) för din Webex-organisation som hanteras i Control Hub. Du kanske vill inaktivera SSO om du ändrar identitetsleverantörer (IDPs).


 

Om enkel inloggning har aktiverats för din organisation men inte fungerar kan du kontakta din Cisco -partner som har åtkomst till din Webex-organisation för att inaktivera den åt dig.

1

Från kundvyn i https://admin.webex.com går du till Hantering > Organisationsinställningar, bläddra till Enkel inloggning och klicka på Hantera SSO och ID.

2

Gå till fliken Identitetsleverantör.

3

Klicka på Inaktivera SSO.

Ett popup-fönster visas som varnar dig om att inaktivera SSO:

Inaktivera SSO

Om du inaktiverar SSO hanteras lösenorden av molnet istället för din integrerade IdP-konfiguration.

4

Om du förstår konsekvenserna av att inaktivera SSO och vill fortsätta klickar du på Inaktivera .

SSO inaktiveras och alla SAML-certifikatlistor tas bort.

Om SSO är inaktiverat kommer användare som måste autentisera att se ett lösenordsfält under inloggningsprocessen.

  • Användare som inte har ett lösenord i Webex-appen måste antingen återställa sitt lösenord eller så måste du skicka ett e-postmeddelande för att ställa in ett lösenord.

  • Befintliga autentiserade användare med en giltig OAuth-token har fortsatt åtkomst till Webex-appen.

  • Nya användare som skapas när SSO är inaktiverat får ett e-postmeddelande där de uppmanas att skapa ett lösenord.

Nästa steg

Om du eller kunden konfigurerar om SSO för kundorganisationen går användarkonton tillbaka till att använda lösenordspolicyn som anges av IDP som är integrerat med Webex-organisationen.

Om du stöter på problem med din SSO-inloggning kan du använda alternativet för självåterställning av SSO för att få åtkomst till din Webex-organisation som hanteras i Control Hub. Med alternativet för självåterställning kan du uppdatera eller inaktivera SSO i Control Hub.