Інтеграція єдиного входу в Control Hub

Якщо для сертифіката вашої організації встановлено значення Немає, але ви все ще отримуєте сповіщення, рекомендуємо продовжити оновлення. Розгортання SSO сьогодні не використовує сертифікат, але вам може знадобитися сертифікат для майбутніх змін.

Сертифікати постачальника послуг (SP)

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката єдиного входу (SSO) Webex закінчується. Виконайте процедуру, описану в цій статті, щоб отримати від нас метадані хмарного сертифіката SSO (SP) та додати їх до свого IdP; інакше користувачі не зможуть використовувати служби Webex.

Якщо ви використовуєте сертифікат SAML Cisco (SP) SSO у своїй організації Webex, ви повинні планувати оновлення хмарного сертифіката під час регулярного запланованого вікна технічного обслуговування якомога швидше.

Зачіпаються всі послуги, які є частиною вашої підписки на організацію Webex, включаючи, але не обмежуючись:

Webex App (нові вхідні дані для всіх платформ: настільні, мобільні та веб-сторінки)
Послуги Webex в Control Hub, включаючи виклики
Сайти Webex Meetings управляються через Control Hub
Cisco Jabber, якщо він інтегрований з SSO

Перш ніж почати

Будь ласка, прочитайте всі вказівки перед початком. Після того, як ви зміните сертифікат або перейдете до майстра оновлення сертифіката, нові користувачі не зможуть успішно увійти в обліковий запис.

Якщо ваш IdP не підтримує кілька сертифікатів (більшість IdP на ринку не підтримують цю функцію), ми рекомендуємо запланувати це оновлення під час вікна технічного обслуговування, коли користувачі Webex App не постраждали. Ці завдання з модернізації повинні зайняти приблизно 30 хвилин оперативного часу та перевірки після події.

Щоб перевірити, чи закінчується термін дії сертифіката SAML Cisco (SP) SSO, виконайте наведені нижче дії.

Можливо, ви отримали від нас повідомлення електронною поштою або через додаток Webex, але ви повинні перевірити Control Hub, щоб бути впевненими.
Увійдіть в обліковий https://admin.webex.comзапис і перевірте центр сповіщень. Може надійти сповіщення про оновлення сертифіката постачальника послуг SSO.
Увійдіть в обліковий записhttps://admin.webex.com, перейдіть на сторінку Керування > Налаштування організації > Аутентифікація та зауважте статус сертифіката в таблиці сертифікатів Cisco SAML (термін дії закінчується або закінчується незабаром). Натисніть Поновити сертифікат, щоб продовжити.

Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра, перш ніж завершити його, ви можете отримати доступ до нього знову в будь-який час з Керування > Налаштування організації > Аутентифікація вhttps://admin.webex.com.

Виберіть тип сертифіката для продовження:

Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.

Підписано державним органом сертифікації - Більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує якорі довіри).

Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.

Натисніть Завантажити файл метаданих, щоб завантажити копію оновлених метаданих з новим сертифікатом з хмари Webex. Тримайте цей екран відкритим.

Перейдіть до інтерфейсу керування IdP, щоб завантажити новий файл метаданих Webex.

Цей крок може бути зроблений через вкладку браузера, протокол віддаленого робочого столу (RDP) або через певну підтримку постачальника хмарних послуг, залежно від налаштувань вашого IdP, а також від того, чи несете ви або окремий адміністратор IdP відповідальність за цей крок.
Для довідки перегляньте наші посібники з інтеграції SSO або зв 'яжіться з адміністратором IdP для отримання підтримки. Якщо на службах федерації Active Directory (AD FS), ви можете побачити, як оновити метадані Webex в AD FS.

Поверніться на вкладку, на якій виконано вхід до Центру керування, і натисніть кнопку Далі.

Це підтверджує, що новий файл метаданих було передано та правильно інтерпретовано вашим IdP. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть кнопку Перейти до нових метаданих.

Для безпосереднього спостереження за процесом SSO також можна клацнути Скопіювати URL у буфер обміну на цьому екрані й вставити в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

Результат: Ви закінчили, і сертифікат SSO SAML Cisco (SP) вашої організації тепер поновлено. Ви можете перевірити статус сертифіката в будь-який час, відкривши таблицю статусу сертифіката SAML в розділі Керування > Налаштування організації > Аутентифікація.

Сертифікат постачальника ідентифікаційних даних (IdP)

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчується. Оскільки постачальники IdP мають власну специфічну документацію для оновлення сертифіката, ми охоплюємо те, що потрібно в Control Hub, а також загальні кроки для отримання оновлених метаданих IdP та завантаження їх до Control Hub для оновлення сертифіката.

Щоб перевірити, чи закінчується термін дії сертифіката IdP SAML, виконайте наведені нижче дії.

Можливо, ви отримали від нас повідомлення електронною поштою або через додаток Webex, але ви повинні перевірити Control Hub, щоб бути впевненими.
Увійдіть в обліковий https://admin.webex.comзапис і перевірте центр сповіщень. Може з 'явитися повідомлення про оновлення сертифіката IdP SAML:
Увійдіть в обліковий записhttps://admin.webex.com, перейдіть на сторінку Керування > Налаштування організації > Аутентифікація та зауважте статус сертифіката (закінчився або скоро закінчиться) у таблиці сертифікатів SAML. Натисніть Поновити сертифікат, щоб продовжити.
Ви також можете перейти безпосередньо до майстра SSO, щоб оновити сертифікат. Якщо ви вирішите вийти з майстра, перш ніж завершити його, ви можете отримати доступ до нього знову в будь-який час з Керування > Налаштування організації > Аутентифікація вhttps://admin.webex.com.

Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.

Цей крок може бути зроблений через вкладку браузера, протокол віддаленого робочого столу (RDP) або через певну підтримку постачальника хмарних послуг, залежно від налаштувань вашого IdP, а також від того, чи несете ви або окремий адміністратор IdP відповідальність за цей крок.
Для довідки перегляньте наші посібники з інтеграції SSO або зв 'яжіться з адміністратором IdP для отримання підтримки.

Поверніться до меню Керування > Налаштування організації > Аутентифікація вhttps://admin.webex.com, а потім виберіть Дії > Імпорт метаданих.

Перетягніть файл метаданих IdP у вікно або натисніть Вибрати файл метаданих і завантажте його таким чином.

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.

Натисніть кнопку Test SSO Update (Перевірити оновлення SSO), щоб підтвердити, що новий файл метаданих завантажено та правильно інтерпретовано до вашої організації Control Hub. Підтвердьте очікувані результати у спливаючому вікні, і якщо тест пройшов успішно, натисніть кнопку Перейти до нових метаданих.

Результат: Ви закінчили, і сертифікат IdP вашої організації тепер поновлено. Ви можете перевірити статус сертифіката в будь-який час, відкривши таблицю статусу сертифіката SAML в розділі Керування > Налаштування організації > Аутентифікація.

Ви можете експортувати останні метадані Webex SP, коли вам потрібно додати їх назад до вашого IdP. Ви побачите повідомлення, коли термін дії імпортованих метаданих IdP SAML закінчиться або закінчиться.

Цей крок корисний у загальних сценаріях управління сертифікатами SAML IdP, таких як IdP, які підтримують кілька сертифікатів, де експорт не виконувався раніше, якщо метадані не були імпортовані до IdP через недоступність адміністратора IdP або якщо ваш IdP підтримує можливість оновлення лише сертифіката. Ця опція може допомогти мінімізувати зміну, лише оновивши сертифікат у вашій конфігурації SSO та перевірці після події.

1.	У вікні клієнта перейдіть до розділу "https://admin.webex.com Керування" > "Параметри організації", перейдіть до розділу "Аутентифікація", а потім виберіть " Дії" > "Експорт метаданих". Назва файлу метаданих Webex - idb-meta--SP.xml.<org-ID>
2.	Імпортуйте метадані до свого IdP. Дотримуйтесь документації для вашого IdP, щоб імпортувати метадані Webex SP. Ви можете скористатися нашими посібниками з інтеграції IdP або ознайомитися з документацією для вашого конкретного IdP, якщо вона не вказана.
3.	Коли ви закінчите, запустіть тест SSO, використовуючи кроки в Renew Webex Certificate (SP) в цій статті.

Коли ваше середовище IdP змінюється або термін дії вашого сертифіката IdP закінчується, ви можете імпортувати оновлені метадані в Webex у будь-який час.

Перш ніж почати

Зберіть свої метадані IdP, як правило, у вигляді експортованого xml-файлу.

1.	У вікні клієнта https://admin.webex.comперейдіть до Керування > Параметри організації, перейдіть до пункту Автентифікація, а потім виберіть Дії > Імпорт метаданих.
2.	Перетягніть файл метаданих IdP у вікно або натисніть Вибрати файл метаданих і завантажте його таким чином.
3.	Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС), залежно від того, як підписуються ваші метадані IdP.

Ви отримаєте сповіщення в Control Hub до закінчення терміну дії сертифікатів, але ви також можете проактивно налаштувати правила сповіщень. Ці правила заздалегідь повідомляють вам, що термін дії ваших сертифікатів SP або IdP закінчується. Ми можемо надіслати їх вам електронною поштою, в додатку Webex або в обох випадках.

Незалежно від налаштованого каналу доставки всі сповіщення завжди відображатимуться в Центрі керування. Див. Центр сповіщень у Центрі керування для отримання додаткової інформації.

У вікні клієнта https://admin.webex.comперейдіть до Центру сповіщень.

Виберіть Керувати всіма правилами.

У списку правил виберіть будь-яке з правил єдиного облікового запису, яке потрібно створити:

Закінчення терміну дії сертифікату SSO IDP
Термін дії сертифіката SSO SP

У розділі Канал доставки встановіть прапорець для електронної пошти, простору Webex або обох.

Якщо ви вибрали Електронна пошта, введіть адресу електронної пошти, на яку має надходити сповіщення.

Якщо ви виберете опцію Webex space, ви автоматично додасте простір всередині додатка Webex, і ми надсилатимемо сповіщення.

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката раз на 15 днів, починаючи з 60 днів до закінчення терміну дії. (Ви можете очікувати попередження на день 60, 45, 30 та 15.) Сповіщення зупиняються, коли ви поновлюєте сертифікат.

Ви можете побачити повідомлення про те, що URL-адреса єдиного виходу не налаштована:

Ми рекомендуємо налаштувати ваш IdP для підтримки Single Logout (також відомий як SLO). Webex підтримує як методи перенаправлення, так і методи публікації, доступні в наших метаданих, які завантажуються з Control Hub. Не всі IdP підтримують SLO; будь ласка, зв 'яжіться зі своєю командою IdP для отримання допомоги. У деяких випадках для основних постачальників IdP, таких як AzureAD, Ping Federate, ForgeRock та Oracle, які підтримують SLO, ми документуємо, як налаштувати інтеграцію. Будь ласка, проконсультуйтеся зі своєю командою з ідентифікації та безпеки щодо особливостей вашого ВПО та того, як правильно налаштувати.

URL-адреса єдиного виходу не налаштована.

Існуюча сесія IdP залишається чинною. Наступного разу, коли користувачі ввійдуть в обліковий запис, IdP може не попросити їх пройти повторну автентифікацію.
Ми відображаємо попереджувальне повідомлення при виході, тому вихід з Webex App не відбувається без проблем.

Ви можете вимкнути єдиний вхід (SSO) для організації Webex, керованої в Control Hub. Можливо, ви захочете вимкнути єдиний обліковий запис (SSO), якщо ви змінюєте постачальників ідентифікаційних даних (IdP).

Якщо для вашої організації ввімкнено єдиний вхід, але він зазнав невдачі, ви можете залучити партнера Cisco, який може отримати доступ до вашої організації Webex, щоб вимкнути його для вас.

1.	У вікні клієнта перейдіть до розділу "Керування" > "Налаштування організації", а потім перейдіть до розділу "Аутентифікація".https://admin.webex.com
2.	Щоб вимкнути SSO, вимкніть параметр єдиного входу. З 'явиться спливаюче вікно, яке попереджає вас про вимкнення SSO: Якщо ви вимкнете SSO, паролі керуватимуться хмарою, а не інтегрованою конфігурацією IdP.
3.	Якщо ви розумієте наслідки відключення SSO і хочете продовжити, натисніть Деактивувати. У Control Hub ви побачите, що налаштування SSO вимкнено, а всі оголошення сертифікатів SAML видалено. Якщо SSO вимкнено, користувачі, які повинні пройти аутентифікацію, побачать поле введення пароля під час процесу входу. Користувачі, у яких немає пароля в додатку Webex, повинні або скинути свій пароль, або надіслати електронного листа, щоб вони встановили пароль. Існуючі автентифіковані користувачі з дійсним OAuth-токеном продовжуватимуть мати доступ до Webex App. Нові користувачі, створені під час вимкнення SSO, отримують електронний лист з проханням створити пароль.

Що далі

Якщо ви або клієнт переналаштуєте SSO для організації клієнта, облікові записи користувачів повернуться до використання політики паролів, встановленої IdP, яка інтегрована з організацією Webex.

Якщо ви зіткнулися з проблемами з входом в систему SSO, ви можете скористатися опцією самовідновлення SSO, щоб отримати доступ до організації Webex, керованої в Control Hub. Опція самовідновлення дозволяє оновити або вимкнути SSO в Control Hub.