Authentification unique (SSO) Cisco Spark avec SimpleSAML

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Aperçu de l'authentification unique SSO et de Cisco Spark

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre la plate-forme Cisco Collaboration Cloud et votre fournisseur d'identité (IdP).

 

2.0 SAML est un protocole industriel pour la gestion de l'authentification sécurisée des utilisateurs, le partage des attributs des utilisateurs et l'autorisation des utilisateurs entre les partenaires des différents domaines.

 

Pour plus d'informations sur les fonctionnalités SSO, voir cet article.

Profils

Le protocole SAML 2 prend en charge un certain nombre de profils dont la plate-forme Spark prend uniquement en charge le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, la plate-forme Spark prend en charge les liaisons suivantes :

 
  • SP initiated POST->POST binding 


     

  • SP initiated REDIRECT->POST binding

      


 
      

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer sur un utilisateur spécifique. La plate-forme Cisco Collaboration Cloud prend en charge les formats de NameID suivants.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans la plate-forme Spark.

Déconnexion individuelle

Le Cisco Collaboration Cloud prend en charge le profil de déconnexion individuel. Dans l'application Cisco Spark ou l'application WebEx, un utilisateur peut se déconnecter de l'application, qui utilisera le protocole SAML individuel de déconnexion pour mettre fin à la session et confirmer la déconnexion avec votre IdP.

Intégrer Cisco Spark avec SimpleSAML pour l'authentification unique

 

Suivez les tâches contenues dans cet article pour configurer l'intégration de l'authentification unique (SSO) entre les services Cisco Spark et un déploiement qui utilise SimpleSAML comme un fournisseur d'identité (IdP).

    

Cette intégration couvre les utilisateurs de Cisco Spark message, réunion, appel. Une intégration séparée est requise pour activer l'authentification unique (SSO) pour WebEx.

  

Télécharger les métadonnées Cisco Spark sur votre système local

        
1    Connectez-vous à Cisco Cloud Collaboration Management avec vos identifiants d'administrateur complet.
2    Effectuez l'une des étapes suivantes :
  • Sélectionnez Paramètres Entreprise le premier assistant d'installation, puis cliquez sur les invites jusqu'à la page Authentification unique SSO.
  • Sélectionnez Paramètres, puis Modifiez.
3    Sélectionnez Intégrer un fournisseur d'identité tiers. (Avancé) et passez à l'écran suivant.
4    Téléchargez le fichier de métadonnées de confiance et enregistrez le fichier dans un emplacement facile à trouver sur votre système local.

Le fichier de métadonnées Cisco Spark est idb-meta-<org-ID>-SP.xml.

5    Gardez votre session Cisco Cloud Collaboration Management ouverte dans un onglet du navigateur ; vous y reviendrez plus tard pour télécharger vos métadonnées IdP.

Convertir les métadonnées

         
1    Ouvrez le fichier de métadonnées Cisco Spark exporté dans un éditeur de texte.
2    Dans votre navigateur, ouvrez la page d'accueil simpleSAML et connectez-vous avec vos identifiants administrateur.  

L'emplacement de la page d'accueil varie, mais cela est généralement comme cet exemple d'URL : https://yourcompany.yourdomain.com/simplesaml.

  
3    À partir de la page principale, cliquez sur Fédération.
4    Sous Outils, effectuez la conversion d'un XML vers Simple SAML XML.
5    Copiez les métadonnées Cisco spark de votre éditeur de texte, puis collez-les dans la le champ de conversion XML.
6    Cliquez sur Analyser.  

Les métadonnées converties s'affichent. Vous ajouterez ces données au fichier texte SP distant.

  

Créer un fichier de métadonnées du fournisseur de service à distance

 

Ces étapes sont prévues à titre d'exemple. Le répertoire de métadonnées et l'hôte IdP diffèrent en fonction de la configuration de votre client.

  
Avant de commencer 

Faites attention aux attributs que vous devez passer et mapper de façon adéquate en éditant le fichier de métadonnées saml20-idp-hosted.php. (Par exemple, uid, mail, email, and so on). Voir l'exemple de métadonnées :

   
  
 

'authproc' => array(

  

// Convertir les noms LDAP en oid.

  

3 => array(

  

'class' => 'saml:AttributeNameID',

  

'attribute' => 'mail',

  

'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',

  

 

  

),

  

50 => array(

  

'class' => 'core:AttributeMap',

  

'attribute' => 'mail',

  

'mail' => array('uid', 'email', 'mail'),

  

'sn' => 'lastname',

  

'givenName' => 'firstname',

  

 

  

),

  

),

  
  
        
1    Dans la configuration de SimpleSAML sur l'hôte, accédez au répertoire de métadonnées.
2    Utilisez un éditeur de texte, collez les données analysées à la fin de saml20-sp-remote.php et enregistrez le fichier.
3    Retournez à la page d'accueil de SimpleSAML, cliquez sur Fédération, puis affichez les métadonnées du fournisseur d'identité.
4    Collez les données dans un nouveau fichier texte.
5    Enregistrez le fichier mis à jour sur votre bureau avec un nom explicite tel que simplesaml-metadata.xml.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

 

Après avoir exporté les métadonnées Cisco Spark, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco Spark.

  
        
1    Revenez au navigateur ou à l'onglet où vous êtes connecté à la page Cloud Collaboration Management – Exporter les métadonnées du répertoire, puis cliquez sur Suivant.
2    Sur la page Importer des métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page ou utilisez l'option de recherche de fichiers pour localiser et télécharger le fichier de métadonnées.

Nous vous recommandons d'utiliser un certificat signé par une autorité de certification dans Métadonnées (plus sécurisé) pour les fournisseurs de services qui utilisent des certificats publiés et approuvés publiquement.

3    Cliquez sur Suivant.
4    Sélectionnez Tester la connexion SSO et quand un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.

Une cause courante d'erreur d'authentification est un problème rencontré avec les identifiants. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Cisco Spark ou WebEx signifie généralement qu'il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Cisco Spark dans la configuration IdP.

5    Revenez à l'onglet de navigation Cisco Cloud Collaboration Management.
  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.
 

Attachments

    Outcomes