SSO в Control Hub

Якщо ви хочете налаштувати SSO для кількох постачальників ідентифікаційних даних у вашій організації, див Єдиний вхід із кількома IdP у Webex .


 

Якщо для сертифіката вашої організації встановлено значення Немає, але ви все ще отримуєте сповіщення, рекомендуємо продовжити оновлення. Розгортання SSO сьогодні не використовує сертифікат, але вам може знадобитися сертифікат для майбутніх змін.


 

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката єдиного входу (SSO) Webex закінчується. Виконайте процедуру, описану в цій статті, щоб отримати від нас метадані хмарного сертифіката SSO (SP) та додати їх до свого IdP; інакше користувачі не зможуть використовувати служби Webex.

Якщо ви використовуєте сертифікат SSO SAML Cisco (SP) у своїй організації Webex, необхідно якнайшвидше планувати оновлення хмарного сертифіката під час звичайного запланованого періоду технічного обслуговування.

Зачіпаються всі послуги, які є частиною вашої підписки на організацію Webex, включаючи, але не обмежуючись:

  • Webex App (нові вхідні дані для всіх платформ: настільні, мобільні та веб-сторінки)

  • Послуги Webex в Control Hub, включаючи виклики

  • Сайти Webex Meetings управляються через Control Hub

  • Cisco Jabber, якщо він інтегрований з SSO

Перш ніж почати


 

Будь ласка, прочитайте всі вказівки перед початком. Після того, як ви зміните сертифікат або перейдете до майстра оновлення сертифіката, нові користувачі не зможуть успішно увійти в обліковий запис.

Якщо ваш постачальник посвідчень не підтримує кілька сертифікатів (більшість IdP на ринку не підтримують цю функцію), радимо запланувати це оновлення на період обслуговування, коли це не впливає на користувачів програми Webex. Ці завдання оновлення версії мають тривати приблизно 30 хвилин під час роботи та перевірки після події.

1.

Щоб перевірити, чи закінчується термін дії сертифіката SAML Cisco (SP) SSO, виконайте наведені нижче дії.

  • Можливо, ви отримали від нас повідомлення електронною поштою або через додаток Webex, але ви повинні перевірити Control Hub, щоб бути впевненими.
  • Увійдіть в обліковий https://admin.webex.comзапис і перевірте центр сповіщень. Може надійти сповіщення про оновлення сертифіката постачальника послуг SSO.

  • Увійти вhttps://admin.webex.com , перейдіть до Керування > Налаштування організації > Єдиний вхід і клацніть Керуйте SSO та IdP .
  • Перейдіть до Постачальник ідентифікаційних даних та зазначте стан сертифіката Cisco SP і дату закінчення терміну дії.

Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра до завершення його роботи, ви зможете будь-коли знову отримати доступ до нього з Керування > Налаштування організації > Єдиний вхід вhttps://admin.webex.com .

2.

Перейдіть до IdP і клацніть.

3.

Клацніть Перегляньте сертифікати та дату закінчення терміну дії .

4.

Клацніть Поновити сертифікат .

5.

Виберіть тип IdP, який використовує ваша організація.

  • IdP, який підтримує кілька сертифікатів
  • IdP, який підтримує один сертифікат

 

Якщо ваш IdP підтримує один сертифікат, ми рекомендуємо зачекати виконання цих кроків під час запланованого простою. Поки сертифікат Webex оновлюється, вхід нових користувачів на короткий час не працюватиме. наявні дані входу зберігаються.

6.

Виберіть тип сертифіката для подовження:

  • Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.
  • Підписано державним органом сертифікації - Більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує якорі довіри).

     

    Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.

7.

Натисніть Завантажити файл метаданих, щоб завантажити копію оновлених метаданих з новим сертифікатом з хмари Webex. Тримайте цей екран відкритим.

8

Перейдіть до інтерфейсу керування IdP, щоб завантажити новий файл метаданих Webex.

  • Цей крок можна виконати на вкладці браузера, протоколі віддаленого робочого стола (RDP) або за допомогою підтримки конкретних постачальників хмарних послуг залежно від налаштувань вашого IdP і від того, чи несете відповідальність за цей крок ви чи окремий адміністратор IdP.
  • Для довідки перегляньте наші посібники з інтеграції SSO або зв 'яжіться з адміністратором IdP для отримання підтримки. Якщо на службах федерації Active Directory (AD FS), ви можете побачити, як оновити метадані Webex в AD FS.
9

Поверніться на вкладку, на якій виконано вхід до Центру керування, і натисніть кнопку Далі.

10

Оновіть IdP, додавши новий сертифікат SP і метадані, і клацніть Далі .

  • Усі IdP оновлено
  • Якщо вам потрібно більше часу для оновлення, збережіть оновлений сертифікат як додатковий параметр
11

Клацніть Завершити поновлення .


 

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчиться. Оскільки постачальники IdP мають власну спеціальну документацію для поновлення сертифіката, ми розглянемо всі необхідні дії в Control Hub, а також загальні кроки для отримання оновлених метаданих IdP та їх передавання в Control Hub для поновлення дії сертифіката.

1.

Щоб перевірити, чи закінчується термін дії сертифіката IdP SAML, виконайте наведені нижче дії.

  • Можливо, ви отримали від нас повідомлення електронною поштою або через додаток Webex, але ви повинні перевірити Control Hub, щоб бути впевненими.
  • Увійдіть в обліковий https://admin.webex.comзапис і перевірте центр сповіщень. Може з 'явитися повідомлення про оновлення сертифіката IdP SAML:

  • Увійти вhttps://admin.webex.com , перейдіть до Керування > Налаштування організації > Єдиний вхід і клацніть Керуйте SSO та IdP .
  • Перейдіть до Постачальник ідентифікаційних даних та зазначте стан сертифіката IdP (термін дії закінчився або скоро завершиться) і дату закінчення терміну дії.
  • Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра до завершення його роботи, ви зможете будь-коли знову отримати доступ до нього з Керування > Налаштування організації > Єдиний вхід вhttps://admin.webex.com .

2.

Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.

  • Цей крок можна виконати на вкладці браузера, протоколі віддаленого робочого стола (RDP) або за допомогою підтримки конкретних постачальників хмарних послуг залежно від налаштувань вашого IdP і від того, чи несете відповідальність за цей крок ви чи окремий адміністратор IdP.
  • Для довідки перегляньте наші посібники з інтеграції SSO або зв 'яжіться з адміністратором IdP для отримання підтримки.
3.

Повернутися до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP, клацнітьuploadі виберіть Передати метадані Idp .

5.

Перетягніть файл метаданих IdP у вікно або клацніть Виберіть файл і передайте його таким чином.

6.

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.

7.

Натисніть кнопку Test SSO Update (Перевірити оновлення SSO), щоб підтвердити, що новий файл метаданих завантажено та правильно інтерпретовано до вашої організації Control Hub. Підтвердьте очікувані результати у спливаючому вікні та, якщо перевірка пройшла успішно, виберіть Успішний тест: Активуйте SSO та IdP і клацніть Зберегти .


 

Щоб безпосередньо переглянути можливості входу в систему SSO, радимо клацнути Скопіювати URL-адресу до буфера обміну з цього екрана й вставте його у приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

Результат: Ви закінчили, і сертифікат IdP вашої організації тепер поновлено. Ви можете перевірити стан сертифіката в будь-який час у меню Постачальник ідентифікаційних даних вкладка.

Ви можете експортувати останні метадані Webex SP, коли вам потрібно додати їх назад до вашого IdP. Ви побачите повідомлення, коли термін дії імпортованих метаданих IdP SAML закінчиться або закінчиться.

Цей крок корисний у загальних сценаріях управління сертифікатами SAML IdP, таких як IdP, які підтримують кілька сертифікатів, де експорт не виконувався раніше, якщо метадані не були імпортовані до IdP через недоступність адміністратора IdP або якщо ваш IdP підтримує можливість оновлення лише сертифіката. Ця опція може допомогти мінімізувати зміну, лише оновивши сертифікат у вашій конфігурації SSO та перевірці після події.

1.

З перегляду клієнта вhttps://admin.webex.com , перейдіть до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

2.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

3.

Перейдіть до IdP, клацнітьDownloadі виберіть Завантажити метадані SP .

Ім’я файлу метаданих програми Webex: idb-meta-<org-ID> -SP.xml .

4.

Імпортуйте метадані до свого IdP.

Дотримуйтесь документації для вашого IdP, щоб імпортувати метадані Webex SP. Ви можете скористатися нашими посібниками з інтеграції IdP або ознайомитися з документацією для вашого конкретного IdP, якщо вона не вказана.

5.

Коли ви закінчите, запустіть тест SSO, використовуючи кроки в Renew Webex Certificate (SP) в цій статті.

Коли ваше середовище IdP змінюється або термін дії вашого сертифіката IdP закінчується, ви можете імпортувати оновлені метадані в Webex у будь-який час.

Перш ніж почати

Зберіть свої метадані IdP, як правило, у вигляді експортованого xml-файлу.

1.

З перегляду клієнта вhttps://admin.webex.com , перейдіть до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

2.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

3.

Перейдіть до IdP, клацнітьuploadі виберіть Передати метадані Idp .

4.

Перетягніть файл метаданих IdP у вікно або натисніть Вибрати файл метаданих і завантажте його таким чином.

5.

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.

6.

Клацніть Перевірте налаштування SSO , а коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.

Ви отримуватимете сповіщення в Control Hub до закінчення терміну дії сертифікатів, але ви також можете завчасно налаштувати правила сповіщень. Ці правила заздалегідь повідомляють про те, що термін дії ваших сертифікатів SP або IdP закінчиться. Ми можемо надіслати їх вам електронною поштою, через простір у програмі Webex або обидва варіанти.


 

Незалежно від налаштованого каналу доставки, усі оповіщення завжди відображаються в Control Hub. Див Центр сповіщень у Control Hub для отримання додаткової інформації.

1.

Увійдіть в Control Hub.

2.

Перейти до Центр сповіщень .

3.

Виберіть Керування потім Усі правила .

4.

У списку Правил виберіть будь-яке з правил SSO, які потрібно створити:

  • Термін дії сертифіката IDP SSO
  • Термін дії сертифіката SP SSO
5.

У розділі Канал доставки встановіть прапорець для Електронна пошта , Простір Webex , або обидва.

Якщо ви вибрали Електронна пошта, введіть адресу електронної пошти, на яку потрібно отримати сповіщення.


 

Якщо вибрати параметр простору Webex, вас буде автоматично додано до простору в програмі Webex, і ми надішлемо сповіщення туди.

6.

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката кожні 15 днів, починаючи з 60 днів до закінчення терміну дії. (Ви можете очікувати сповіщення на 60, 45, 30 і 15 день.) Сповіщення припиняються, коли ви поновлюєте сертифікат.

Може з’явитися повідомлення про те, що URL-адресу єдиного виходу не налаштовано:


 

Ми рекомендуємо налаштувати ваш IdP для підтримки Single Logout (також відомий як SLO). Webex підтримує як методи перенаправлення, так і методи публікації, доступні в наших метаданих, які завантажуються з Control Hub. Не всі IdP підтримують SLO; будь ласка, зв 'яжіться зі своєю командою IdP для отримання допомоги. Іноді для основних постачальників IdP, як-от AzureAD, Ping Federate, ForgeRock і Oracle, які підтримують SLO, ми документуємо, як налаштувати інтеграцію . Зверніться до вашої команди з ідентифікації та безпеки щодо особливостей вашого IDP та того, як його правильно налаштувати.

Якщо URL-адресу єдиного виходу не налаштовано:

  • Існуюча сесія IdP залишається чинною. Наступного разу, коли користувачі ввійдуть в обліковий запис, IdP може не попросити їх пройти повторну автентифікацію.

  • Ми відображаємо попереджувальне повідомлення при виході, тому вихід з Webex App не відбувається без проблем.

Ви можете вимкнути єдиний вхід (SSO) для організації Webex, керованої в Control Hub. Ви можете вимкнути SSO, якщо ви змінюєте постачальників посвідчень (IdP).


 

Якщо для вашої організації ввімкнено єдиний вхід, але він зазнав невдачі, ви можете залучити партнера Cisco, який може отримати доступ до вашої організації Webex, щоб вимкнути його для вас.

1.

З перегляду клієнта вhttps://admin.webex.com , перейдіть до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

2.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

3.

Клацніть Деактивувати SSO .

З 'явиться спливаюче вікно, яке попереджає вас про вимкнення SSO:

Деактивувати SSO

Якщо ви вимкнете SSO, паролі керуватимуться хмарою, а не інтегрованою конфігурацією IdP.

4.

Якщо ви розумієте наслідки відключення SSO і хочете продовжити, натисніть Деактивувати.

SSO деактивовано, а всі списки сертифікатів SAML видалено.

Якщо SSO вимкнено, користувачі, які мають пройти автентифікацію, бачитимуть поле введення пароля під час процесу входу.

  • Користувачі, які не мають пароля в програмі Webex, повинні скинути пароль або надіслати їм електронного листа, щоб установити пароль.

  • Існуючі автентифіковані користувачі з дійсним OAuth-токеном продовжуватимуть мати доступ до Webex App.

  • Нові користувачі, створені під час вимкнення SSO, отримують електронний лист з проханням створити пароль.

Що далі

Якщо ви або клієнт повторно налаштуєте SSO для організації клієнта, облікові записи користувачів знову будуть використовувати політику паролів, установлену IdP, інтегрованою з організацією Webex.

Якщо під час входу в систему SSO виникнуть проблеми, скористайтеся Параметр самостійного відновлення SSO щоб отримати доступ до вашої організації Webex, керованої в Control Hub. Параметр самостійного відновлення дозволяє оновити або вимкнути SSO в Control Hub.