使用 Control Hub 中的 SSO 管理功能进行证书管理和常规 SSO 维护活动,例如更新即将过期的证书或检查现有的 SSO 配置。 本文中的各个选项卡分别涵盖每项 SSO 管理功能。
如果要为组织中的多个身份提供程序设置SSO,请参阅 在Webex中使用多个IdP的SSO。
如果组织的证书使用率设置为“零”,但您仍然收到警报,我们建议您继续进行升级。 SSO 部署目前没有使用该证书,但今后的更改可能会需要该证书。 |
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 Webex 单点登录 (SSO) 证书即将过期的警报。 请按照本文中的流程通过我们(服务商)检索 SSO 云证书元数据,并重新添加到您的 IdP,否则用户将无法使用 Webex 服务。 |
如果您在Webex组织中使用SAML Cisco (SP) SSO证书,则必须尽快计划在定期安排的维护时段更新云证书。
所有属于您的 Webex 组织订阅的服务都将受影响,包括但不限于:
Webex 应用程序(所有平台的全新登录: 桌面、移动和 Web)
Webex 服务(在 Control Hub 中),包括呼叫
Webex Meetings 站点(通过 Control Hub 管理)
Cisco Jabber(如果它与 SSO 集成)
准备工作
请在开始之前阅读所有的说明。 在更改证书或通过向导更新证书后,新用户可能无法成功登录。 |
如果您的IdP不支持多个证书(市场上的大多数IdP不支持此功能),我们建议您在不影响Webex应用程序用户的维护时段安排此升级。 这些升级任务在操作和活动后验证中大约需要30分钟。
1 | 要查看 SAML Cisco (SP) SSO 证书是否即将过期,请执行以下操作:
您也可以直接进入 SSO 向导,以更新证书。 如果您决定在完成之前退出向导,您可以从 https://admin.webex.com。 | ||
2 | 转至IdP并单击。 | ||
3 | 单击审查证书和到期日期。 | ||
4 | 单击续订证书。 | ||
5 | 选择您的组织使用的IdP类型。
| ||
6 | 选择续订的证书类型:
| ||
7 | 单击下载元数据文件从 Webex 云下载新证书的已更新元数据副本。 保持此屏幕处于打开状态。 | ||
8 | 导航至 IdP 管理界面以上传新的 Webex 元数据文件。
| ||
9 | 返回到登录 Control Hub 的选项卡,然后单击下一步。 | ||
10 | 使用新的SP证书和元数据更新IdP,然后单击下一步。
| ||
11 | 单击完成续订。 |
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。 因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。 |
1 | 要查看 IdP SAML 证书是否即将过期,请执行以下操作:
| ||
2 | 导航至 IdP 管理界面以检索新的元数据文件。
| ||
3 | 返回到 提供程序 选项卡。 | ||
4 | 转至IdP,单击并选择 IdP元数据。 | ||
5 | 将您的IdP元数据文件拖放到窗口中,或单击选择文件并以该方式上传。 | ||
6 | 选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 | ||
7 | 单击测试 SSO 更新以确认新的元数据文件已上传并且正确地解析至您的 Control Hub 组织。 在弹出窗口中确认预期的结果,如果测试成功,选择测试成功: 激活SSO和Id P,然后单击 。
结果: 您已经完成,组织的 IdP 证书现已续订。 您可以随时在身份提供程序选项卡下检查证书状态。
|
当您需要重新将最新 Webex SP 元数据添加到 IdP 时,可随时将其导出。 当导入的 IdP SAML 元数据即将过期或已经过期时,您将收到通知。
此步骤在常见的 IdP SAML 证书管理场景中非常有用,例如支持之前未完成导出的多个证书的 IdP,如果由于 IdP 管理员不可用而未将元数据导入 IdP,或您的 IdP 只支持更新该证书。 此选项只需通过更新 SSO 配置和活动后验证中的证书即可最大限度地减少更改。
1 | 从 https://admin.webex.com 中的客户视图,转至 ,滚动到 点登录,然后单击 SSO和IdP。 |
2 | 转至身份提供程序选项卡。 |
3 | 转至IdP,单击并选择下载SP元数据。 Webex 应用程序元数据文件名是 idb-meta--SP.xml。<org-ID> |
4 | 将元数据导入您的 IdP。 按照 IdP 文档导入 Webex SP 元数据。 您可以使用我们的 IdP 集成指南,或者如果未列出,参考特定 IdP 的文档。 |
5 | 完成后,使用本文中“续订 Webex 证书 (SP)”中的步骤运行中的步骤运行 SSO 测试。 |
当 IdP 环境发生变化或 IdP 证书即将过期时,您随时可以将更新后的元数据导入 Webex。
准备工作
收集 IdP 元数据,一般作为导出的 xml 文件。
1 | 从 https://admin.webex.com 中的客户视图,转至 ,滚动到 点登录,然后单击 SSO和IdP。 |
2 | 转至身份提供程序选项卡。 |
3 | 转至IdP,单击并选择 IdP元数据。 |
4 | 将 IdP 元数据文件拖放到该窗口或单击选择元数据文件,并按该方式上传。 |
5 | 选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 |
6 | 单击测试SSO设置,当新的浏览器选项卡打开时,登录并使用IdP进行身份验证。 |
在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。 这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。 我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。
无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。 请参阅 Control Hub 中的警报中心了解更多信息。 |
1 | |||
2 | 转至警报中心。 | ||
3 | 选择管理,然后选择所有规则。 | ||
4 | 从“规则”列表中,选择要创建的任何 SSO 规则:
| ||
5 | 在传递通道部分,选中电子邮件、Webex 空间或者二者结合的对话框。 如果选择电子邮件,则输入接收通知的电子邮件地址。
| ||
6 | 保存更改。 |
下一步
从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。 (您会在到期前第 60 天、第 45 天、第 30 天和第 15 天收到警报。) 您续订证书后,会立即停止发送警报。
您可能会看到未配置单点注销URL的通知:
我们建议您对 IdP 进行配置,以支持单点注销(亦称为“SLO”)。 Webex 支持重定向和 post 方法,在我们从 Control Hub 下载的元数据中提供。 并非所有 IdP 都支持 SLO;请联系 IdP 团队寻求帮助。 有时,对于支持SLO的主要IdP供应商,例如AzureAD、Ping Federate、ForgeRock和Oracle, 会记录集成的配置方式。 有关IDP的详细信息以及如何正确配置IDP,请咨询您的身份和安全团队。 |
如果未配置单点注销URL:
现有 IdP 会话仍然有效。 用户下次登录时,IdP 可能不会要求他们重新进行身份验证。
注销时我们会显示警告消息,因此 Webex 应用程序注销不会无缝发生。
您可以禁用 Webex 组织(在 Control Hub 中管理)的单点登录 (SSO) 功能。 如果要更改身份提供程序(IdP),可能要禁用SSO。
如果您的组织启用了单点登录功能,但失败了,则可以让可以访问您 Webex 组织的 Cisco 合作伙伴为您禁用。 |
1 | 从 https://admin.webex.com 中的客户视图,转至 ,滚动到 点登录,然后单击 SSO和IdP。 |
2 | 转至身份提供程序选项卡。 |
3 | 单击停用SSO。 将显示警告您禁用 SSO 的弹出窗口: 如果您禁用 SSO,则密码将由云而不是您的集成 IdP 配置管理。 |
4 | 如果您了解禁用 SSO 的影响,仍要继续操作,请单击停用。 SSO已停用,并删除所有SAML证书列表。 如果SSO被禁用,必须进行身份验证的用户将在登录过程中看到密码输入字段。
|
下一步
如果您或客户为客户组织重新配置SSO,用户帐户将返回使用与Webex组织集成的IdP设置的密码策略。
如果您在SSO登录时遇到问题,可以使用 SSO自我恢复选项访问在Control Hub中管理的Webex组织。 “自我恢复”选项允许您在Control Hub中更新或禁用SSO。