Control Hub 中的 SSO

如果您要為組織中的多個身分識別提供者設定 SSO,請參閱在 Webex 中使用多個 IdP 進行 SSO

如果貴組織的憑證使用方式設定為「無」,但您仍然收到警示,我們建議您繼續升級。您的 SSO 部署目前未使用憑證,但可能需要憑證才能進行未來的變更。

Webex 服務提供者 (SP) 憑證

有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 Webex 單一登入 (SSO) 憑證即將到期。請遵循本文中的程序以向我們 (SP) 擷取 SSO 雲端憑證中繼資料,然後將其新增回您的 IdP;否則使用者將無法使用 Webex 服務。

如果您在 Webex 組織中使用 SAML Cisco (SP) SSO 憑證,則必須計劃盡快在定期排定的維護時段內更新雲端憑證。

屬於 Webex 組織訂閱的所有服務都會受到影響,包括但不限於:

  • Webex 應用程式(所有平台的新登入:桌上型電腦、行動裝置及 Web)

  • Webex 服務(位於 Control Hub 中),包括呼叫

  • Webex Meetings 網站(透過 Control Hub 管理)

  • Cisco Jabber(如果已與 SSO 整合)

在開始之前

請在開始之前閱讀所有指示。在您變更憑證或執行精靈以更新憑證後,新使用者可能無法成功登入。

如果您的 IdP 不支援多個憑證(市場上的大多數 IdP 不支援此功能),我們建議您在 Webex 應用程式使用者不受影響的維護時段內排定此升級。這些升級任務應該需要大約 30 分鐘的運作時間和活動後驗證。

1

若要檢查 SAML Cisco (SP) SSO 憑證是否即將過期:

  • 您可能已收到我們寄出的電子郵件或 Webex 應用程式訊息,但您應簽入 Control Hub 以進行確定。

  • 登入 https://admin.webex.com,並查看您的警示中心。可能有關於更新 SSO 服務提供者憑證的通知。

  • 登入至https://admin.webex.com,轉至管理 >組織設定 >單一登入,然後按一下管理 SSO 和 IdP
  • 轉至身分識別提供者 標籤並記下 Cisco SP 憑證狀態和到期日。

您也可以直接進入 SSO 精靈以更新憑證。如果您決定在完成精靈之前退出它,您可以隨時從以下位置再次存取它:管理 > 組織設定 >單一登入https://admin.webex.com

2

轉至 IdP 並按一下

3

按一下檢閱憑證和到期日

4

按一下續訂憑證

5

選擇您的組織使用的 IdP 類型。

  • 支援多個憑證的 IdP
  • 支援單一憑證的 IdP

如果您的 IdP 支援單一憑證,我們建議您等到在排定的停機時間期間執行這些步驟。Webex 憑證正在更新時,短暫登入的新使用者將不會工作;而現有登入會保留。

6

選擇續訂的憑證類型:

  • 由 Cisco 自我簽署— 我們建議使用此選項。讓我們簽署憑證,這樣您只需要每隔五年續訂一次。
  • 由公用憑證授權單位簽署— 更安全,但您需要經常更新中繼資料(除非您的 IdP 供應商支援信任錨)。

    信賴起點是公開金鑰,用作驗證數位簽章憑證的授權單位。如需更多資訊,請參閱您的 IdP 文件。

    在繼續執行後續步驟之前,請確保您已準備好續訂憑證並且正在組織變更視窗中進行操作。選取自我簽署 Cisco由公用憑證授權單位簽署 立即建立新憑證。單一 IdP 的憑證變更後,SSO 會停止,直到憑證或中繼資料上傳至 IdP。因此,完成續訂程序很重要。

7

按一下下載中繼資料檔案,以從 Webex 雲端下載具有新憑證的已更新中繼資料副本。保持此螢幕開啟。

8

導覽至您的 IdP 管理介面,以上傳新的 Webex 中繼資料檔案。

9

返回到您登入 Control Hub 的標籤,然後按一下下一頁

10

使用新的 SP 憑證和中繼資料更新 IdP,然後按一下下一頁

  • 已更新所有 IdP
  • 如果您需要更多時間來更新,請將續訂憑證另存為次要選項
11

按一下完成續訂

身分識別提供者 (IdP) 憑證

有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。

1

若要檢查 IdP SAML 憑證是否即將過期:

  • 您可能已收到我們寄出的電子郵件或 Webex 應用程式訊息,但您應簽入 Control Hub 以進行確定。
  • 登入 https://admin.webex.com,並查看您的警示中心。可能有關於更新 IdP SAML 憑證的通知:

  • 登入至https://admin.webex.com,轉至管理 >組織設定 >單一登入,然後按一下管理 SSO 和 IdP
  • 轉至身分識別提供者 標籤並記下 IdP 憑證狀態(已過期或即將過期)和過期日。

  • 您也可以直接進入 SSO 精靈以更新憑證。如果您決定在完成精靈之前退出它,您可以隨時從以下位置再次存取它:管理 > 組織設定 >單一登入https://admin.webex.com

2

導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。

  • 可透過瀏覽器標籤、遠端桌面通訊協定 (RDP),或透過特定的雲端提供者支援來完成此步驟,取決於您的 IdP 設定,以及是否由您或單獨的 IdP 管理員負責此步驟。
  • 如需參考,請參閱我們的 SSO 整合指南,或聯絡您的 IdP 管理員以獲得支援。
3

返回到身分識別提供者 標籤。

4

轉至 IdP,按一下upload 並選取上傳 Idp 中繼資料

5

將 IdP 中繼資料檔案拖放到視窗中,或按一下選擇檔案 並以這種方式上傳。

6

根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。

7

按一下測試 SSO 更新 以確認新的中繼資料檔案已上傳並正確解譯至您的 Control Hub 組織。確認快顯視窗中的預期結果,如果測試成功,請選取成功的測試:啟動 SSO 和 IdP 並按一下儲存

若要直接查看 SSO 登入體驗,我們建議您按一下將 URL 複製到剪貼簿 從此螢幕中,並將其貼至私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。

結果:您已完成,貴組織的 IdP 憑證現已續訂。您可以隨時在身分識別提供者 標籤。

每當您需要將最新的 Webex SP 中繼資料新增回 IdP 時,可以將其匯出。當所匯入的 IdP SAML 中繼資料即將過期或已過期時,您將看到一則通知。

此步驟在一般 IdP SAML 憑證管理情境中很有用,例如支援多個先前未完成匯出憑證的 IdP、中繼資料因 IdP 管理員無法使用而未匯入至 IdP,或者您的 IdP 支援僅更新憑證的功能。此選項可以協助最大限度減少變更,只需更新您 SSO 設定和事件後驗證中的憑證。

1

從客戶檢視https://admin.webex.com,轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

2

轉至身分識別提供者 標籤。

3

轉至 IdP,按一下下載 並選取下載 SP 中繼資料

Webex 應用程式中繼資料檔名為idb-meta-<org-ID> -SP.xml

4

將中繼資料匯入您的 IdP。

遵循 IdP 的文件以匯入 Webex SP 中繼資料。您可以使用我們的 IdP 整合指南,或(若未列出)查閱特定 IdP 的文件。

5

完成後,使用中的步驟執行 SSO 測試續訂 Webex 憑證 (SP) 在本文中。

當 IdP 環境變更或 IdP 憑證即將過期時,您隨時都可以將更新的中繼資料匯入 Webex。

在開始之前

收集 IdP 中繼資料,通常是匯出的 xml 檔案。

1

從客戶檢視https://admin.webex.com,轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

2

轉至身分識別提供者 標籤。

3

轉至 IdP,按一下upload 並選取上傳 Idp 中繼資料

4

將 IdP 中繼資料檔案拖放到視窗中,或按一下選擇中繼資料檔案,然後以該方式上傳。

5

根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。

6

按一下測試 SSO 設定,當新的瀏覽器標籤開啟時,請透過登入向 IdP 進行驗證。

在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。

無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心

1

登入 Control Hub。

2

轉至警示中心

3

選擇管理,然後選擇所有規則

4

從規則清單中,選擇您想要建立的任何 SSO 規則:

  • SSO IdP 憑證過期
  • SSO SP 憑證過期
5

在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。

如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。

如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。

6

儲存變更。

後續動作

從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您可能會在第 60、45、30 和 15 天收到警示。)當您續訂憑證時,警示會停止。

您可能會看到未設定單一登出 URL 的通知:

我們建議您將 IdP 設定成支援單一登出(也稱為 SLO)。Webex 支援重新導向和 post 方法,可從 Control Hub 下載的中繼資料中提供。並非所有 IdP 都支援 SLO;請聯絡您的 IdP 團隊以尋求協助。有時,對於支援 SLO 的主要 IdP 供應商,例如 AzureAD、Ping Federate、ForgeRock 和 Oracle,我們記錄瞭如何設定整合。請諮詢您的身分識別和安全性團隊,了解 IDP 的詳細資訊以及如何正確設定它。

如果未設定單一登出 URL:

  • 現有的 IdP 階段作業會維持有效。使用者在下次登入時,可能不會被 IdP 要求重新驗證。

  • 我們在登出時會顯示警告訊息,因此無法順暢登出 Webex 應用程式。

您可以停用 Webex 組織(在 Control Hub 中管理)的單一登入 (SSO)。如果您要變更身分識別提供者 (IdP),則可能需要停用 SSO。

如果已啟用貴組織的單一登入但是失敗,您可以讓可存取 Webex 組織的 Cisco 合作夥伴來為您將其停用。

1

從客戶檢視https://admin.webex.com,轉至管理 >組織設定,捲動至單一登入 並按一下管理 SSO 和 IdP

2

轉至身分識別提供者 標籤。

3

按一下停用 SSO

會出現一個快顯視窗顯示關於停用 SSO 的警告:

停用 SSO

如果您停用 SSO,則密碼由雲端管理,而不是由您的整合 IdP 設定管理。

4

如果您瞭解停用 SSO 造成的影響且想要繼續,請按一下停用

SSO 已停用,所有 SAML 憑證清單都將被移除。

如果停用 SSO,則必須進行驗證的使用者將在登入過程中看到密碼輸入欄位。

  • 在 Webex 應用程式中沒有密碼的使用者必須重設其密碼,或者您必須傳送電子郵件讓他們設定密碼。

  • 具有有效 OAuth 權杖的現有已驗證使用者將繼續具有 Webex 應用程式的存取權。

  • 在停用 SSO 時建立的新使用者會收到電子郵件,要求他們建立密碼。

後續動作

如果您或客戶為客戶組織重新設定 SSO,則使用者帳戶將返回使用與 Webex 組織整合的 IdP 設定的密碼原則。

如果您在使用 SSO 登入時遇到問題,您可以使用SSO 自行複原選項 以存取在 Control Hub 中管理的 Webex 組織。自我複原選項可讓您在 Control Hub 中更新或停用 SSO。