SSO ב-Control Hub

אם ברצונך להגדיר SSO עבור ספקי זהויות מרובים בארגון שלך, עיין ב-SSO עם ספקי זהויות מרובים ב-Webex.


 

אם השימוש באישורים של הארגון שלך מוגדר ל-None אבל אתה עדיין מקבל התראה, אנו ממליצים להמשיך בשדרוג. פריסת ה- SSO שלך אינה משתמשת באישור היום, אך ייתכן שתזדקק לאישור עבור שינויים עתידיים.


 

מעת לעת, ייתכן שתקבל הודעת דוא"ל או תראה התראה ב-Control Hub שתוקף אישור ה- Webex כניסה יחידה יחידה (SSO) עומד לפוג. עקוב אחר התהליך במאמר זה כדי לאחזר מאיתנו את המטא נתונים של אישור ענן SSO (ה-SP) ולהוסיף אותם בחזרה ל-IdP שלך; אחרת, משתמשים לא יוכלו להשתמש בשירותי Webex .

אם אתה משתמש בתעודת SAML Cisco (SP) בארגון WeBEX שלך, עליך לתכנן לעדכן את תעודת הענן במהלך חלון תחזוקה קבוע מתוזמן בהקדם האפשרי.

כל השירותים שהם חלק מהמנוי לארגון Webex שלך מושפעים, כולל אך לא מוגבל ל:

  • אפליקציית Webex (כניסות חדשות לכל הפלטפורמות: שולחן עבודה, נייד ואינטרנט)

  • שירותי Webex ב-Control Hub, כולל שיחות

  • אתרי Webex Meetings המנוהלים באמצעות Control Hub

  • Cisco Jabber אם הוא משולב עם SSO

לפני שתתחיל


 

אנא קרא את כל הכיוונים לפני שתתחיל. לאחר שתשנה את האישור או תעבור על האשף לעדכון האישור, ייתכן שמשתמשים חדשים לא יוכלו להיכנס בהצלחה.

אם ה-IdP שלך לא תומך בתעודות מרובות (רוב ספקי הזהויות בשוק לא תומכים בתכונה זו), מומלץ לתזמן שדרוג זה במהלך חלון תחזוקה שבו משתמשי יישום Webex לא מושפעים. משימות שדרוג אלה צריכות להימשך כ-30 דקות בזמן תפעולי ואימות לאחר האירוע.

1

כדי לבדוק אם תוקף אישור ה- SSO של SAML Cisco (SP) עומד לפוג:

  • ייתכן שקיבלת מאיתנו אימייל או הודעת Webex App, אבל עליך לבדוק ב-Control Hub כדי להיות בטוח.
  • היכנס אלhttps://admin.webex.com , ובדוק את שלך מרכז התראות . ייתכן שתהיה הודעה על עדכון תעודת ספק שירות SSO .

  • היכנס אל https://admin.webex.com, עבור אל ניהול > הגדרות ארגון > אימות, ולחץ על Manage SSO and IdPs.
  • עבור ללשונית ספק הזהויות ושים לב למצב אישור ספק השירות ותאריך התפוגה של Cisco SP.

אתה יכול להיכנס ישירות לאשף SSO כדי לעדכן גם את האישור. אם תחליט לצאת מהאשף לפני שתסיים אותו, תוכל לגשת אליו שוב בכל עת מ ניהול > הגדרות ארגון > אימות בhttps://admin.webex.com .

2

עבור אל IdP ולחץ .

3

לחץ עיין בתעודות ותאריך תפוגה .

זה לוקח אותך ל- תעודות ספק שירות (SP). חלון.
4

לחץ חידוש תעודה .

5

בחר את סוג האישור לחידוש:

  • חתום עצמי על ידי Cisco -אנו ממליצים על בחירה זו. תנו לנו לחתום על התעודה כך שתצטרכו לחדש אותו רק פעם בחמש שנים.
  • חתום על ידי רשות תעודות ציבורית — מאובטח יותר אבל תצטרך לעדכן את המטא נתונים לעתים קרובות (אלא אם ספק ה-IDP שלך תומך בעוגני אמון).

     

    עוגני אמון הם מפתחות ציבוריים הפועלים כסמכות לאימות אישור של חתימה דיגיטלית. למידע נוסף, עיין בתיעוד ה-IDP שלך.

6

לחץ הורד קובץ מטא נתונים כדי להוריד עותק של המטא נתונים המעודכנים עם האישור החדש מהענן של Webex . השאר את המסך הזה פתוח.

7

נווט אל ממשק ניהול ה-IDP שלך כדי להעלות את קובץ המטא-נתונים החדש של Webex .

  • שלב זה עשוי להתבצע באמצעות כרטיסיית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP), או דרך תמיכה ספציפית של ספק ענן, בהתאם להגדרת ה-IDP שלך והאם אתה או מנהל IdP נפרד אחראים לשלב זה.
  • לעיון, עיין במדריכי שילוב SSO שלנו או פנה למנהל ה-IDP שלך לקבלת תמיכה. אם בשירותי הפדרציה של נוכחות פעילה (AD FS), אתה יכול ראה כיצד לעדכן Webex Metadata ב-AD FS .
8

חזור לכרטיסייה שבה נכנסת ל-Control Hub ולחץ הבא .

9

אנו מאשרים כי קובץ המטה-נתונים החדש הועלה ופוענח כראוי על-ידי ה-IdP שלך. אשר את התוצאות הצפויות בחלון המוקפץ, ואם הבדיקה הצליחה, לחץ עבור למטא נתונים חדשים .


 

כדי לנסות בעצמך את חוויית הכניסה עם SSO, אתה יכול גם ללחוץ על העתקת URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

תוצאה: סיימת ואישור SAML Cisco (SP) SSO של הארגון שלך מחודש כעת. באפשרותך לבדוק את מצב התעודה בכל עת תחת הלשונית ספק הזהויות .


 

מעת לעת, ייתכן שתקבל הודעת דוא"ל או תראה התראה ב-Control Hub שתוקף אישור ה-IDP עומד לפוג. מכיוון שלספקי IdP יש תיעוד ספציפי משלהם לחידוש אישורים, אנו מכסים את מה שנדרש ב-Control Hub, יחד עם שלבים כלליים לאחזור מטא נתונים מעודכנים של IdP ולהעלות אותם ל-Control Hub כדי לחדש את האישור.

1

כדי לבדוק אם תוקף אישור SAML של IdP עומד לפוג:

  • ייתכן שקיבלת מאיתנו אימייל או הודעת Webex App, אבל עליך לבדוק ב-Control Hub כדי להיות בטוח.
  • היכנס אלhttps://admin.webex.com , ובדוק את שלך מרכז התראות . ייתכן שתהיה הודעה על עדכון אישור SAML של IdP:

  • היכנס אל https://admin.webex.com, עבור אל ניהול > הגדרות ארגון > אימות, ולחץ על Manage SSO and IdPs.
  • עבור ללשונית ספק הזהויות ושים לב לסטטוס אישור IdP (פג או פג בקרוב) ותאריך התפוגה.
  • אתה יכול להיכנס ישירות לאשף SSO כדי לעדכן גם את האישור. אם תחליט לצאת מהאשף לפני שתסיים אותו, תוכל לגשת אליו שוב בכל עת מ ניהול > הגדרות ארגון > אימות בhttps://admin.webex.com .

2

נווט אל ממשק ניהול ה-IDP שלך כדי לאחזר את קובץ המטא נתונים החדש.

  • שלב זה עשוי להתבצע באמצעות כרטיסיית דפדפן, פרוטוקול שולחן עבודה מרוחק (RDP), או דרך תמיכה ספציפית של ספק ענן, בהתאם להגדרת ה-IDP שלך והאם אתה או מנהל IdP נפרד אחראים לשלב זה.
  • לעיון, עיין במדריכי שילוב SSO שלנו או פנה למנהל ה-IDP שלך לקבלת תמיכה.
3

חזור ללשונית ספק הזהויות.

4

עבור אל IdP, לחץלהעלות ובחר העלה מטא נתונים של IDP .

5

גרור ושחרר את קובץ המטה-נתונים של IdP לתוך החלון או לחץ על בחר קובץ והעלה אותו כך.

6

בחר פחות בטוח (חתום בעצמו) או בטוח יותר (חתום על ידי CA ציבורי), בהתאם לאופן החתימה של המטא נתונים של IdP שלך.

7

לחץ בדוק את עדכון SSO כדי לאשר שקובץ המטא נתונים החדש הועלה ופורש כהלכה לארגון Control Hub שלך. אשר את התוצאות הצפויות בחלון המוקפץ, ואם הבדיקה הצליחה, בחר בדיקה מוצלחת: הפעל את SSO ואת ה-IdP ולחץ על שמור.


 

כדי לראות ישירות את חוויית הכניסה של SSO, מומלץ ללחוץ על העתק URL ללוח ממסך זה ולהדביק אותו בחלון דפדפן פרטי. משם תוכל לפעול על פי השלבים לכניסה באמצעות SSO. הליך זה עוזר להסיר מידע השמור בדפדפן האינטרנט שלך שעלול לספק תוצאה חיובית שגויה בעת בדיקת התצורה של ה-SSO.

תוצאה: סיימת ואישור ה-IDP של הארגון שלך מחודש כעת. באפשרותך לבדוק את מצב התעודה בכל עת תחת הלשונית ספק הזהויות .

אתה יכול לייצא את המטא נתונים העדכניים ביותר של Webex SP בכל פעם שאתה צריך להוסיף אותם בחזרה ל-IdP שלך. תראה הודעה כאשר המטא נתונים המיובאים של IdP SAML עומדים לפוג או שפג תוקפם.

שלב זה שימושי בתרחישים נפוצים של ניהול תעודות IdP SAML , כגון IdPs התומכים במספר אישורים שבהם הייצוא לא בוצע קודם לכן, אם המטא נתונים לא יובאו ל-IdP מכיוון שמנהל IdP לא היה זמין, או אם IdP שלך תומך ב-IdP יכולת לעדכן רק את התעודה. אפשרות זו יכולה לעזור למזער את השינוי רק על ידי עדכון האישור בתצורת ה- SSO שלך ואימות לאחר אירוע.

1

ממבט הלקוח פנימהhttps://admin.webex.com , עבור אל ניהול > הגדרות ארגון , גלול אל אימות ולחץ נהל SSO ו-IdPs .

2

עבור אל ספק זהות לשונית.

3

עבור אל ה-IdP, לחץ הורד את ובחר מטה-נתונים של Download SP.

שם קובץ המטא-נתונים של Webex הוא idb-meta- -SP.xml .<org-ID>

4

ייבא את המטא נתונים ל-IDP שלך.

עקוב אחר התיעוד עבור IdP שלך כדי לייבא את המטא נתונים של Webex SP. אתה יכול להשתמש שלנו מדריכי אינטגרציה של IdP או עיין בתיעוד עבור IdP הספציפי שלך אם אינו רשום.

5

כשתסיים, הפעל את בדיקת SSO באמצעות השלבים ב חידוש אישור Webex (SP) במאמר זה.

כאשר סביבת ה-IdP שלך משתנה או אם תוקף אישור ה-IDP שלך עומד לפוג, אתה יכול לייבא את המטא נתונים המעודכנים ל- Webex בכל עת.

לפני שתתחיל

אסוף את המטא נתונים של IdP שלך, בדרך כלל כקובץ XML מיוצא.

1

ממבט הלקוח פנימהhttps://admin.webex.com , עבור אל ניהול > הגדרות ארגון , גלול אל אימות ולחץ נהל SSO ו-IdPs .

2

עבור אל ספק זהות לשונית.

3

עבור אל IdP, לחץלהעלות ובחר העלה מטא נתונים של IDP .

4

גרור ושחרר את קובץ המטא נתונים של IdP לחלון או לחץ בחר קובץ מטא נתונים ולהעלות את זה ככה.

5

בחר פחות בטוח (חתום בעצמו) או בטוח יותר (חתום על ידי CA ציבורי), בהתאם לאופן החתימה של המטא נתונים של IdP שלך.

6

לחץ בדוק את הגדרת SSO , וכאשר נפתחת כרטיסיית דפדפן חדשה, בצע אימות עם ה-IDP על ידי כניסה.

תקבל התראות ב-Control Hub לפני שתוקפם של האישורים יפוג, אך תוכל גם להגדיר באופן יזום כללי התראות. כללים אלה מאפשרים לך לדעת מראש שתעודות ה-SP או IdP שלך עומדות לפוג. אנחנו יכולים לשלוח לך אותם באמצעות דואר אלקטרוני, רווח באפליקציית Webex או שניהם.


 

ללא קשר לערוץ המסירה שהוגדר, כל ההתראות יופיעו תמיד ב-Control Hub. ראה מרכז התראות ב-Control Hub למידע נוסף.

1

ממבט הלקוח פנימהhttps://admin.webex.com , עבור אל מרכז התראות .

2

בחר נהל לאחר מכן כל החוקים .

3

מרשימת הכללים, בחר כל אחד מכללי SSO שתרצה ליצור:

  • תפוגה של אישור SSO IDP
  • תפוגה של אישור SSO SP
4

בקטע ערוץ משלוח, סמן את התיבה עבור "דוא""ל" , מרחב Webex , או שניהם.

אם תבחר "דוא""ל", הזן את "כתובת דוא""ל" שאמורה לקבל את ההודעה.


 

אם תבחר באפשרות Webex שטח, אתה מתווסף אוטומטית למרחב בתוך אפליקציית Webex ואנו מספקים את ההתראות שם.

5

שמור את השינויים.

מה הלאה?

אנו שולחים התראות על תפוגה של אישור פעם ב-15 יום, החל מ-60 יום לפני תום. (תוכל לצפות להתראות ביום 60, 45, 30 ו-15.) ההתראות נפסקות בעת חידוש האישור.

ייתכן שתראה הודעה ש-URL של ההתנתקות היחידה אינו מוגדר:


 

אנו ממליצים שתגדיר את ה-IDP שלך כך שתומך ביציאה יחידה (הידוע גם בשם SLO). Webex תומך הן בשיטות ההפניה מחדש והן בשיטות הפרסום, הזמינות במטא נתונים שלנו המורידים מ-Control Hub. לא כל IdPs תומכים ב-SLO; אנא צור קשר עם צוות ה-IDP שלך לקבלת סיוע. לפעמים, עבור ספקי IdP גדולים כמו AzureAD, Ping Federate, ForgeRock, ו-Oracle, התומכים ב-SLO, אנו מתעדים כיצד להגדיר את השילוב. התייעץ עם צוות הזהות והאבטחה שלך בפרטי ה-IDP שלך וכיצד להגדיר אותו כראוי.

אם כתובת ה-URL של התנתקות יחידה לא מוגדרת:

  • הפעלת IdP קיימת נשארת בתוקף. בפעם הבאה שמשתמשים להיכנס, ייתכן שהם לא יתבקשו לאמת מחדש על ידי ה-IDP.

  • אנו מציגים הודעת אזהרה בעת לצאת, כך Webex לא מתרחש בצורה חלקה.

אתה יכול להשבית כניסה יחידה יחידה (SSO) עבור ארגון ה- Webex שלך המנוהל ב-Control Hub. ייתכן שתרצה להשבית SSO אם אתה משנה ספקי זהויות (ספקי זהויות).


 

אם כניסה יחידה הופעלה עבור הארגון שלך אך נכשלת, תוכל להתקשר עם שותף Cisco שלך שיכול לגשת לארגון Webex שלך כדי להשבית אותו עבורך.

1

ממבט הלקוח פנימהhttps://admin.webex.com , עבור אל ניהול > הגדרות ארגון , גלול אל אימות ולחץ נהל SSO ו-IdPs .

2

עבור אל ספק זהות לשונית.

3

לחץ השבת SSO .

מופיע חלון קופץ שמזהיר אותך על השבתת SSO:

השבת את SSO

אם תשבית את SSO, הסיסמאות מנוהלות על ידי הענן במקום תצורת IdP המשולבת שלך.

4

אם אתה מבין את ההשפעה של השבתת SSO וברצונך להמשיך, לחץ השבת .

SSO מושבת וכל רישומי האישורים של SAML מוסרים.

אם SSO מושבת, משתמשים שיצטרכו לאמת יראו שדה כניסה לסיסמה במהלך הכניסה.

  • משתמשים שאין להם סיסמה ביישום Webex חייבים לאפס את הסיסמה שלהם או לשלוח הודעת דוא"ל כדי להגדיר סיסמה.

  • משתמשים מאומתים קיימים עם אסימון OAuth חוקי ימשיכו לקבל גישה לאפליקציית Webex .

  • משתמשים חדשים שנוצרו בזמן SSO מושבת מקבלים אימייל המבקש מהם ליצור סיסמה.

מה הלאה?

אם אתה או הלקוח נקבעו מחדש את התצורה של SSO עבור ארגון הלקוח, חשבונות משתמשים חוזרים להשתמש במדיניות הסיסמה שהוגדרה על-ידי ה-IdP המשולבת עם ארגון Webex.

אם אתה נתקל בבעיות בכניסה ל- SSO שלך, אתה יכול להשתמש ב- אפשרות לשחזור עצמי של SSO כדי לקבל גישה לארגון ה- Webex שלך המנוהל ב-Control Hub. אפשרות השחזור העצמי מאפשרת לך לעדכן או להשבית את SSO ב-Control Hub.