在 Control Hub 中管理单点登录集成
使用 Control Hub 中的 SSO 管理功能进行证书管理和一般 SSO 维护活动,例如更新即将过期的证书或检查现有的 SSO 配置。本文中的各个选项卡分别涵盖每项 SSO 管理功能。
如果组织的证书使用率设置为“零”,但您仍然收到警报,我们建议您继续进行升级。SSO 部署目前没有使用该证书,但今后的更改可能会需要该证书。
有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 Webex 单点登录 (SSO) 证书即将过期的警报。请按照本文中的流程通过我们(服务商)检索 SSO 云证书元数据,并重新添加到您的 IdP,否则用户将无法使用 Webex 服务。
如果您在 Webex 组织中使用 SAML Cisco (SP) SSO 证书,则必须尽快计划在定期维护时段内更新云证书。
所有属于您的 Webex 组织订阅的服务都将受影响,包括但不限于:
-
Webex 应用程序(所有平台的全新登录:桌面、移动和 Web)
-
Webex 服务(在 Control Hub 中),包括呼叫
-
Webex Meetings 站点(通过 Control Hub 管理)
-
Cisco Jabber(如果它与 SSO 集成)
准备工作
请在开始之前阅读所有的说明。在更改证书或通过向导更新证书后,新用户可能无法成功登录。
如果您的 IdP 不支持多个证书(市场上的大多数 IdP 不支持此功能),我们建议您在 Webex App 用户不受影响的维护时段内安排此升级。这些升级任务的运行时间和事后验证大约需要 30 分钟。
| 1 |
要查看 SAML Cisco (SP) SSO 证书是否即将过期,请执行以下操作:
您也可以直接进入 SSO 向导,以更新证书。如果您决定在完成向导之前退出,您可以随时从 身份验证。 |
| 2 |
转到 IdP 并点击 |
| 3 |
单击 查看证书和到期日期。 |
| 4 |
单击 更新证书。 |
| 5 |
选择您的组织使用的 IdP 类型。
如果您的 IdP 支持一个证书,我们建议您等到已安排的停机时间再执行这些步骤。在更新 Webex 证书时,新发起的用户登录操作将暂时失效,现有的登录状态则会保留。 |
| 6 |
选择续订的证书类型:
|
| 7 |
单击下载元数据文件从 Webex 云下载新证书的已更新元数据副本。保持此屏幕处于打开状态。 |
| 8 |
导航至 IdP 管理界面以上传新的 Webex 元数据文件。
|
| 9 |
返回您登录 Control Hub 的选项卡,然后单击 下一步。 |
| 10 |
使用新的 SP 证书和元数据更新 IdP,然后单击 下一步。
|
| 11 |
点击 完成续订。 |
。有时,您可能会收到电子邮件通知,或者会在 Control Hub 中看到 IdP 证书即将过期的警报。因为 IdP 供应商有自己特定的证书续订文档,我们涵盖 Control Hub 中所要求的内容,以及检索更新后 IdP 元数据并将其上传至 Control Hub 以续订证书的通用步骤。
| 1 |
要查看 IdP SAML 证书是否即将过期,请执行以下操作:
|
| 2 |
导航至 IdP 管理界面以检索新的元数据文件。
|
| 3 |
返回 身份提供者 选项卡。 |
| 4 |
转到 IdP,单击 |
| 5 |
将您的 IdP 元数据文件拖放到窗口中或单击 选择文件 并通过该方式上传。 |
| 6 |
选择安全性较低(自签名)或安全性较高(由公用证书认证中心签名),具体取决于 IdP 元数据的签名方式。 |
| 7 |
单击 测试 SSO 更新 以确认新的元数据文件已上传并正确解释到您的 Control Hub 组织。在弹出的窗口中确认预期结果,如果测试成功,选择 测试成功:激活 SSO 和 IdP 并点击 保存。 要直接查看 SSO 登录体验,我们建议您从此屏幕单击 将 URL 复制到剪贴板 并将其粘贴到私人浏览器窗口中。在此处,您可以使用 SSO 登录。这有助于删除在 Web 浏览器中缓存的任何信息,这些信息可能会在测试 SSO 配置时提供误报结果。 结果: 您已经完成,组织的 IdP 证书现已续订。您可以在 身份提供者 选项卡下随时检查证书状态。
|
并选择 当您需要重新将最新 Webex SP 元数据添加到 IdP 时,可随时将其导出。当导入的 IdP SAML 元数据即将过期或已经过期时,您将收到通知。
此步骤在常见的 IdP SAML 证书管理场景中非常有用,例如支持之前未完成导出的多个证书的 IdP,如果由于 IdP 管理员不可用而未将元数据导入 IdP,或您的 IdP 只支持更新该证书。此选项只需通过更新 SSO 配置和活动后验证中的证书即可最大限度地减少更改。
| 1 | |
| 2 |
前往 。 |
| 3 |
转到 身份提供者 选项卡。 |
| 4 |
转到 IdP,单击 Webex App 元数据文件名为 idb-meta-<org-ID>-SP.xml。 |
| 5 |
将元数据导入您的 IdP。 按照 IdP 文档导入 Webex SP 元数据。您可以使用我们的 IdP 集成指南,或者如果未列出,参考特定 IdP 的文档。 |
| 6 |
完成后,使用本文中 |
并选择 在证书设置为过期之前,您将在 Control Hub 中收到警报,但您还可以主动设置警报规则。这些规则会让您提前知道,您的 SP 或 IdP 证书即将过期。我们可以通过电子邮件、Webex 应用程序的空间或二者结合将这些消息发送给您。
无论配置的传递通道是什么,所有警报始终都会显示在 Control Hub 中。请参阅 Control Hub 中的警报中心了解更多信息。
| 1 | |
| 2 |
前往 警报中心。 |
| 3 |
选择管理,然后选择所有规则。 |
| 4 |
从“规则”列表中,选择要创建的任何 SSO 规则:
|
| 5 |
在传递通道部分,选中电子邮件、Webex 空间或者二者结合的对话框。 如果选择电子邮件,则输入接收通知的电子邮件地址。 如果选择 Webex 空间选项,会自动将您添加到 Webex 应用程序内的空间中,我们将把通知发送到此处。 |
| 6 |
保存更改。 |
下一步
从到期前 60 天开始,我们会每隔 15 天发送一次证书到期警报。(您可能会在第 60、45、30 和 15 天收到警报。)当您更新证书时,警报将停止。
您可能会看到一条通知,提示未配置单点注销 URL:
我们建议您对 IdP 进行配置,以支持单点注销(亦称为“SLO”)。Webex 支持重定向和 post 方法,在我们从 Control Hub 下载的元数据中提供。并非所有 IdP 都支持 SLO;请联系 IdP 团队寻求帮助。有时,对于支持 SLO 的主要 IdP 供应商(如 AzureAD、Ping Federate、ForgeRock 和 Oracle), 我们会记录如何配置集成。咨询您的身份 & 安全团队了解您的 IDP 的具体情况以及如何正确配置它。
如果未配置单点注销 URL:
-
现有 IdP 会话仍然有效。用户下次登录时,IdP 可能不会要求他们重新进行身份验证。
-
注销时我们会显示警告消息,因此 Webex 应用程序注销不会无缝发生。
您可以禁用 Webex 组织(在 Control Hub 中管理)的单点登录 (SSO) 功能。如果您要更改身份提供商 (IdP),则可能需要禁用 SSO。
如果您的组织启用了单点登录功能,但失败了,则可以让可以访问您 Webex 组织的 Cisco 合作伙伴为您禁用。
| 1 | |
| 2 |
前往 。 |
| 3 |
转到 身份提供者 选项卡。 |
| 4 |
点击 停用 SSO。 将显示警告您禁用 SSO 的弹出窗口:
如果您禁用 SSO,则密码将由云而不是您的集成 IdP 配置管理。 |
| 5 |
如果您了解禁用 SSO 的影响,仍要继续操作,请单击停用。 SSO 已停用,并且所有 SAML 证书列表均被删除。 如果禁用 SSO,则必须进行身份验证的用户将在登录过程中看到密码输入字段。
|
下一步
如果您或客户为客户组织重新配置 SSO,用户帐户将恢复使用与 Webex 组织集成的 IdP 设置的密码策略。
如果您在 SSO 登录时遇到问题,您可以使用 SSO 自我恢复选项 来访问在 Control Hub 中管理的 Webex 组织。自我恢复选项允许您在 Control Hub 中更新或禁用 SSO。
