在 Control Hub 中管理單一登入集成
使用 Control Hub 中的 SSO 管理功能進行憑證管理和常規 SSO 維護活動,例如更新即將過期的憑證或檢查現有的 SSO 設定。本文的個別標籤中詳細說明每個 SSO 管理功能。
如果貴組織的憑證使用方式設定為「無」,但您仍然收到警示,我們建議您繼續升級。您的 SSO 部署目前未使用憑證,但可能需要憑證才能進行未來的變更。
有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 Webex 單一登入 (SSO) 憑證即將到期。請遵循本文中的程序以向我們 (SP) 擷取 SSO 雲端憑證中繼資料,然後將其新增回您的 IdP;否則使用者將無法使用 Webex 服務。
如果您在 Webex 組織中使用 SAML Cisco (SP) SSO 證書,則必須盡快規劃在定期維護時段內更新雲端證書。
屬於 Webex 組織訂閱的所有服務都會受到影響,包括但不限於:
-
Webex 應用程式(所有平台的新登入:桌上型電腦、行動裝置及 Web)
-
Webex 服務(位於 Control Hub 中),包括呼叫
-
Webex Meetings 網站(透過 Control Hub 管理)
-
Cisco Jabber(如果已與 SSO 整合)
在開始之前
請在開始之前閱讀所有指示。在您變更憑證或執行精靈以更新憑證後,新使用者可能無法成功登入。
如果您的 IdP 不支援多個憑證(市場上的大多數 IdP 不支援此功能),我們建議您在 Webex App 使用者不受影響的維護時段內安排此升級。這些升級任務的運行時間和事後驗證大約需要 30 分鐘。
1 |
若要檢查 SAML Cisco (SP) SSO 憑證是否即將過期:
您也可以直接進入 SSO 精靈以更新憑證。如果您決定在完成精靈之前退出,您可以隨時從 身份驗證。 |
2 |
轉到 IdP 並點擊 |
3 |
按一下 查看證書和到期日期。 |
4 |
按一下 更新證書。 |
5 |
選擇您的組織所使用的 IdP 類型。
如果您的 IdP 支援單一憑證,我們建議您等到在排定的停機時間期間執行這些步驟。Webex 憑證正在更新時,短暫登入的新使用者將不會工作;而現有登入會保留。 |
6 |
選擇續訂的憑證類型:
|
7 |
按一下下載中繼資料檔案,以從 Webex 雲端下載具有新憑證的已更新中繼資料副本。保持此螢幕開啟。 |
8 |
導覽至您的 IdP 管理介面,以上傳新的 Webex 中繼資料檔案。
|
9 |
返回您登入 Control Hub 的選項卡,然後按一下 下一步。 |
10 |
使用新的 SP 憑證和元資料更新 IdP,然後按一下 下一步。
|
11 |
點選 完成續訂。 |
有時,您可能會收到電子郵件通知或在 Control Hub 中看到警示,指出 IdP 憑證即將到期。因為 IdP 廠商具有其自己的特定續訂憑證文件,我們會涵蓋 Control Hub 中所需的內容,以及用於擷取更新的 IdP 中繼資料,並將其上傳至 Control Hub 以續訂憑證的通用步驟。
1 |
若要檢查 IdP SAML 憑證是否即將過期:
|
2 |
導覽至您的 IdP 管理介面,以擷取新的中繼資料檔案。
|
3 |
傳回 身分提供者 標籤。 |
4 |
前往 IdP,點擊 |
5 |
將您的 IdP 元資料檔案拖曳到視窗中或點擊 選擇檔案 並透過這種方式上傳。 |
6 |
根據您 IdP 中繼資料的簽署方式,選擇較不安全(自我簽署)或較安全(由公用 CA 簽署)。 |
7 |
按一下 測試 SSO 更新 以確認新的元資料檔案已上傳並正確解釋到您的 Control Hub 組織。在彈出的視窗中確認預期結果,如果測試成功,選擇 測試成功:啟動 SSO 和 IdP 並點選 儲存。 要直接查看 SSO 登入體驗,我們建議您從此畫面點擊 將 URL 複製到剪貼簿 並將其貼上到私人瀏覽器視窗中。您可以在這裡使用 SSO 進行逐步登入。這有助於移除 Web 瀏覽器中快取的任何資訊,當您測驗 SSO 設定時,這些資訊可能導致提供誤判結果。 結果: 您已完成,貴組織的 IdP 憑證現已續訂。您可以在 身分提供者 標籤下隨時檢查憑證狀態。
|
每當您需要將最新的 Webex SP 中繼資料新增回 IdP 時,可以將其匯出。當所匯入的 IdP SAML 中繼資料即將過期或已過期時,您將看到一則通知。
此步驟在一般 IdP SAML 憑證管理情境中很有用,例如支援多個先前未完成匯出憑證的 IdP、中繼資料因 IdP 管理員無法使用而未匯入至 IdP,或者您的 IdP 支援僅更新憑證的功能。此選項可以協助最大限度減少變更,只需更新您 SSO 設定和事件後驗證中的憑證。
1 | |
2 |
前往 。 |
3 |
轉到 身份提供者 選項卡。 |
4 |
前往 IdP,點擊 Webex App 元資料檔名為 idb-meta-<org-ID>-SP.xml。 |
5 |
將中繼資料匯入您的 IdP。 遵循 IdP 的文件以匯入 Webex SP 中繼資料。您可以使用我們的 IdP 整合指南,或(若未列出)查閱特定 IdP 的文件。 |
6 |
完成後,使用本文中 |
在憑證設定到期之前,您將在 Control Hub 中收到警示,但您也可以主動設定警示規則。這些規則會提前告知您 SP 或 IdP 憑證即將過期。我們可以透過電子郵件、Webex 應用程式中的空間(或兩者)將其傳送給您。
無論設定哪種傳遞通道,所有警示一律會出現在 Control Hub 中。如需相關資訊,請參閱 Control Hub 中的警示中心。
1 | |
2 |
前往 警報中心。 |
3 |
選擇管理,然後選擇所有規則。 |
4 |
從規則清單中,選擇您想要建立的任何 SSO 規則:
|
5 |
在傳遞通道區段中,勾選電子郵件方塊、Webex 空間方塊或兩個方塊。 如果您選擇電子郵件,請輸入應接收通知的電子郵件地址。 如果您選擇 Webex 空間選項,系統將自動將您新增至 Webex 應用程式內部的空間,且我們會在那裡傳送通知。 |
6 |
儲存變更。 |
後續動作
從過期前 60 天開始,我們每隔 15 天會傳送一次憑證到期警示。(您可能會在第 60、45、30 和 15 天收到警報。)當您更新證書時,警報將停止。
您可能會看到一則通知,提示未設定單一註銷 URL:
我們建議您將 IdP 設定成支援單一登出(也稱為 SLO)。Webex 支援重新導向和 post 方法,可從 Control Hub 下載的中繼資料中提供。並非所有 IdP 都支援 SLO;請聯絡您的 IdP 團隊以尋求協助。有時,對於支援 SLO 的主要 IdP 供應商(如 AzureAD、Ping Federate、ForgeRock 和 Oracle), 我們會記錄如何設定整合。諮詢您的身份 & 安全團隊了解您的 IDP 的具體情況以及如何正確配置它。
如果未設定單一註銷 URL:
-
現有的 IdP 階段作業會維持有效。使用者在下次登入時,可能不會被 IdP 要求重新驗證。
-
我們在登出時會顯示警告訊息,因此無法順暢登出 Webex 應用程式。
您可以停用 Webex 組織(在 Control Hub 中管理)的單一登入 (SSO)。如果您要變更身分提供者 (IdP),則可能需要停用 SSO。
如果已啟用貴組織的單一登入但是失敗,您可以讓可存取 Webex 組織的 Cisco 合作夥伴來為您將其停用。
1 | |
2 |
前往 。 |
3 |
轉到 身份提供者 選項卡。 |
4 |
點選 停用 SSO。 會出現一個快顯視窗顯示關於停用 SSO 的警告: 如果您停用 SSO,則密碼由雲端管理,而不是由您的整合 IdP 設定管理。 |
5 |
如果您瞭解停用 SSO 造成的影響且想要繼續,請按一下停用。 SSO 已停用,並且所有 SAML 憑證清單均已刪除。 如果停用 SSO,則必須進行身份驗證的使用者將在登入過程中看到密碼輸入欄位。
|
後續動作
如果您或客戶為客戶組織重新設定 SSO,使用者帳戶將恢復使用與 Webex 組織整合的 IdP 設定的密碼原則。
如果您在 SSO 登入時遇到問題,您可以使用 SSO 自我恢復選項 來存取在 Control Hub 中管理的 Webex 組織。自我恢復選項可讓您在 Control Hub 中更新或停用 SSO。