Authentification unique (SSO) avec Google Apps

Document created by Cisco Localization Team on Feb 4, 2017Last modified by Cisco Localization Team on Feb 4, 2017
Version 2Show Document
  • View in full screen mode
 

Aperçu de l'authentification unique SSO et de Cisco Spark

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre la plate-forme Cisco Collaboration Cloud et votre fournisseur d'identité (IdP).

 

2.0 SAML est un protocole industriel pour la gestion de l'authentification sécurisée des utilisateurs, le partage des attributs des utilisateurs et l'autorisation des utilisateurs entre les partenaires des différents domaines.

 

Pour plus d'informations sur les fonctionnalités SSO, voir cet article.

Profils

Le protocole SAML 2 prend en charge un certain nombre de profils dont la plate-forme Spark prend uniquement en charge le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, la plate-forme Spark prend en charge les liaisons suivantes :

 
  • SP initiated POST->POST binding 


     

  • SP initiated REDIRECT->POST binding

      


 
      

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer sur un utilisateur spécifique. La plate-forme Cisco Collaboration Cloud prend en charge les formats de NameID suivants.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans la plate-forme Spark.

Déconnexion individuelle

Le Cisco Collaboration Cloud prend en charge le profil de déconnexion individuel. Dans l'application Cisco Spark ou l'application WebEx, un utilisateur peut se déconnecter de l'application, qui utilisera le protocole SAML individuel de déconnexion pour mettre fin à la session et confirmer la déconnexion avec votre IdP.

Intégrer Cisco Spark avec Google Apps pour l'authentification unique (SSO)

Suivez les tâches dans cet article pour configurer l'authentification unique (SSO) entre les services Cisco Spark et un déploiement utilisant Google Apps comme fournisseur d'identité (IdP).

    

Cette intégration couvre les utilisateurs de Cisco Spark message, réunion, appel. Une intégration séparée est requise pour activer l'authentification unique (SSO) pour WebEx.

Avant de commencer 
Pour l'authentification unique SSO et les services Cisco Spark, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
  • Configurer l'IdP pour utiliser l'authentification par formulaires.

     

  • Définir l'attribut du format NameID sur « urn:oasis:names:tc:SAML:2.0:nameid-format:transient »—Nous prenons également en charge ceux qui ne sont pas spécifiés.

     

  • Configurer une demande sur l'IDP pour inclure les attributs suivants dans l'assertion SAML :

     

    • Le nom de l'attribut « uid » avec une valeur mappée sur l'adresse électronique de l'utilisateur.

       

     
     
  

Télécharger les métadonnées Cisco Spark sur votre système local

        
1    Connectez-vous à Cisco Cloud Collaboration Management avec vos identifiants d'administrateur complet.
2    Sélectionnez Paramètres, puis sélectionnez Modifier dans la section Authentication.
3    Sélectionnez Intégrer un fournisseur d'identité tiers. (Avancé) et passez à l'écran suivant.
4    Téléchargez le fichier de métadonnées de confiance et enregistrez le fichier dans un emplacement facile à trouver sur votre système local.  

Le fichier de métadonnées Cisco Spark est idb-meta-<org-ID>-SP.xml.

  
5    Gardez votre session Cisco Cloud Collaboration Management ouverte dans un onglet du navigateur ; vous y reviendrez plus tard pour télécharger vos métadonnées IdP.

Configurer une application personnalisée dans l'administration Google

           
1    Dans un nouvel onglet du navigateur, connectez-vous à la console d'administration Google Apps (https://admin.google.com) à l'aide d'un compte disposant d'autorisations administratives, puis cliquez sur Apps.
2    Dans l'affichage des applications, cliquez sur SAML apps.
3    Sur la page des applications SAML, cliquez sur le bouton plus (+) et sur la page pop-up, sélectionnez CONFIGURER MA PROPRE APPLICATION PERSONNALISÉE.
4    Sur la page Informations sur l'Idp Google dans la section Option 2, cliquez sur TÉLÉCHARGER et enregistrez le fichier dans un emplacement facile à trouver sur votre système local.

Le fichier de métadonnées Google est téléchargé. Le format du nom de fichier est GoogleIDPMetadata-<domain name>.xml.

5    Cliquez sur Suivant.
6    Dans la page Informations de base de votre application personnalisée, saisissez le nom de l'application Cisco Spark et cliquez sur SUIVANT.
7    Pour remplir la page Détails du fournisseur de services, ouvrez dans un éditeur de texte le fichier de métadonnées Cisco Spark que vous avez téléchargé plus tôt.
  1. Recherchez le fichier de métadonnées Spark pour « AssertionConsumerService » et copiez l'URL qui suit le mot-clé de l'emplacement et collez-la dans le champ de l'URL ACS de la page des Détails du fournisseur de services.

    Exemple : https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp
  2. Recherchez le fichier de métadonnées Spark pour « entityID » et copiez l'URL qui suit dans le champ ID entité sur la page des Détails du fournisseur de services.

    Exemple : https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c
  3. « Name ID » doit être configuré sur Information de base et adresse électronique principale
  4. « Name ID Format » doit être configuré sur NON SPÉCIFIÉ
  5. Aucun mappage d'attribut n'est requis, dans la page Attribution de mappage, cliquez sur TERMINÉ
 

Lorsque l'application Cisco Spark SAML est créée, vous devez l'activer pour les utilisateurs.

8    Cliquez sur les points verticaux sur le côté droit de l'application Cisco Spark SAML et sélectionnez Activé pour tout le monde ou Activé pour certaines organisations (puis sélectionnez les organisations.)

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

 

Après avoir exporté les métadonnées Cisco Spark, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco Spark.

  
        
1    Revenez au navigateur ou à l'onglet où vous êtes connecté à la page Cloud Collaboration Management – Exporter les métadonnées du répertoire, puis cliquez sur Suivant.
2    Sur la page Importer des métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page ou utilisez l'option de recherche de fichiers pour localiser et télécharger le fichier de métadonnées.

Nous vous recommandons d'utiliser un certificat signé par une autorité de certification dans Métadonnées (plus sécurisé) pour les fournisseurs de services qui utilisent des certificats publiés et approuvés publiquement.

3    Cliquez sur Suivant.
4    Sélectionnez Tester la connexion SSO et quand un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.

Une cause courante d'erreur d'authentification est un problème rencontré avec les identifiants. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Cisco Spark ou WebEx signifie généralement qu'il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Cisco Spark dans la configuration IdP.

5    Revenez à l'onglet de navigation Cisco Cloud Collaboration Management.
  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.
 

Attachments

    Outcomes