Authentification unique SSO Cisco Spark avec Active Directory Federation Services 2.0 et 3.0

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Aperçu de l'authentification unique SSO et de Cisco Spark

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre la plate-forme Cisco Collaboration Cloud et votre fournisseur d'identité (IdP).

 

2.0 SAML est un protocole industriel pour la gestion de l'authentification sécurisée des utilisateurs, le partage des attributs des utilisateurs et l'autorisation des utilisateurs entre les partenaires des différents domaines.

 

Pour plus d'informations sur les fonctionnalités SSO, voir cet article.

Profils

Le protocole SAML 2 prend en charge un certain nombre de profils dont la plate-forme Spark prend uniquement en charge le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, la plate-forme Spark prend en charge les liaisons suivantes :

 
  • SP initiated POST->POST binding 


     

  • SP initiated REDIRECT->POST binding

      


 
      

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer sur un utilisateur spécifique. La plate-forme Cisco Collaboration Cloud prend en charge les formats de NameID suivants.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans la plate-forme Spark.

Déconnexion individuelle

Le Cisco Collaboration Cloud prend en charge le profil de déconnexion individuel. Dans l'application Cisco Spark ou l'application WebEx, un utilisateur peut se déconnecter de l'application, qui utilisera le protocole SAML individuel de déconnexion pour mettre fin à la session et confirmer la déconnexion avec votre IdP.

Intégrer Cisco Spark avec les services ADFS (Active Directory Federation Services)

Suivez les tâches dans cet article pour configurer l'authentification unique (SSO) et l'intégration des services Cisco Spark qui utilise un déploiement des services ADFS (Active Directory Federation Service) 2.x et 3.x comme un fournisseur d'identité (IdP).

    

Cette intégration couvre les utilisateurs de Cisco Spark message, réunion, appel. Une intégration séparée est requise pour activer l'authentification unique (SSO) pour WebEx.

Avant de commencer  
  •  
    Pour l'authentification unique SSO et les services Cisco Spark, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
    • Configurer l'IdP pour utiliser l'authentification par formulaires.

       

    • Définir l'attribut du format NameID sur « urn:oasis:names:tc:SAML:2.0:nameid-format:transient »—Nous prenons également en charge ceux qui ne sont pas spécifiés.

       

    • Configurer une demande sur l'IDP pour inclure les attributs suivants dans l'assertion SAML :

       

      • Le nom de l'attribut « uid » avec une valeur mappée sur l'adresse électronique de l'utilisateur.

         

       
       
      
  •  

    En outre, assurez-vous que votre IdP AD FS (2.x ou 3.x) répond à ces exigences :

      

      
 

Télécharger les métadonnées Cisco Spark sur votre système local

        
1    Connectez-vous à Cisco Cloud Collaboration Management avec vos identifiants d'administrateur complet.
2    Sélectionnez Paramètres, puis sélectionnez Modifier dans la section Authentication.
3    Sélectionnez Intégrer un fournisseur d'identité tiers. (Avancé) et passez à l'écran suivant.
4    Téléchargez le fichier de métadonnées de confiance et enregistrez le fichier dans un emplacement facile à trouver sur votre système local.  

Le fichier de métadonnées Cisco Spark est idb-meta-<org-ID>-SP.xml.

  
5    Gardez votre session Cisco Cloud Collaboration Management ouverte dans un onglet du navigateur ; vous y reviendrez plus tard pour télécharger vos métadonnées IdP.

Installer les métadonnées de Cisco Spark dans les services ADFS (Active Directory Federation Services)

Ces étapes s'appliquent à AD FS 2.x et 3.x.

               
1    Connectez-vous au serveur AD FS avec vos permissions d'administrateur.
2    Ouvrez la console de gestion AD SF.
3    Allez surRelations de confiance > Approbation de partie de confiance.
4    Sélectionnez Ajouter une approbation de partie de confiance.
5    À partir de la fenêtre Ajouter une approbation de partie de confiance, sélectionnez Démarrer.
6    Dans l'étape Sélectionner la source de données, sélectionnez Importer les données sur la partie de confiance à partir d'un fichier et accédez au fichier de métadonnées Cisco Spark que vous avez téléchargé.
7    Sélectionnez Suivant.
8    Dans l'étape Spécifier le nom d'affichage, créez un nom d'affichage pour cette approbation de partie de confiance, telle que « Cisco Spark ».
9    Sélectionnez Suivant.
10    Dans l'étape Choisir les règles d'autorisation d'attribution, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance.
11    Sélectionnez Suivant.
12    Dans l'étape Prêt à ajouter une confiance, sélectionnez Suivant et terminez l'ajout de la confiance à AD FS.

Créer des règles de réclamation pour permettre l'authentification à partir de Cisco Spark

                   
1    Dans le volet AD FS principal, sélectionnez la relation de confiance que vous avez créée, puis sélectionnez Modifier les règles de réclamation.
2    Dans l'onglet règles de transformation d'émission, sélectionnez Ajouter une règle.
3    Dans l'étape Choisir un type de règle, sélectionnez Envoyer les attributs LDAP sous la forme de réclamations, puis sélectionnez Suivant.
4    Saisissez un Nom de règle de réclamation.
5    Sélectionnez Répertoire actif comme magasin d'attributs.
6    Mappez l'attribut LDAP Adresses électroniques au type de réclamation sortante uid.  

Cette règle indique à l'AD FS quels champs doivent être mappés à Cisco Spark pour identifier un utilisateur. Épelez les types de réclamations sortantes exactement comme indiqué.

  


  
7    Enregistrez vos modifications
8    Sélectionnez Ajouter une règle à nouveau.
9    Sélectionnez Envoyer des réclamations à l'aide d'une règle personnalisée, puis sélectionnez Suivant.

Cette règle fournit l'attribut « spname qualifier » à l'AD FS qui n'est fourni par aucun autre moyen par Cisco Spark.

10    Fournissez un nom de règle de réclamation, puis cliquez ici pour télécharger les métadonnées.
11    Décompressez le fichier et ouvrez-le dans votre éditeur de texte.      

Retirez les deux URL (URL1 et URL2) dans le texte.

  
  • L'URL1 est l'URL ADFS accessible au public que vous avez créée lors du déploiement du proxy Web AD FS. Cette URL doit être accessible partout où les utilisateurs s'authentifient aux services Cisco Spark.
  • L'URL2 se trouve sur la première ligne du fichier de métadonnées Cisco Spark que vous avez déjà téléchargé. Elle ressemble à l'exemple suivant. Copiez juste l'URL et collez-la dans le fichier texte pour remplacer l'URL2.

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59"> 

12    Avec les nouvelles URL, copiez la règle à partir de votre éditeur de texte (en commençant par « c ») et collez-la dans la boite de la règle personnalisée sur votre serveur AD FS.
La règle terminée devrait ressembler à ceci :


 
13    Sélectionnez Terminer pour créer la règle, puis quittez la fenêtre Modifier les règles de réclamation.
14    Sélectionnez Approbation de partie de confiance dans la fenêtre principale, puis sélectionnez Propriétés dans le panneau droit.
15    Lorsque la fenêtre Propriétés s'affiche, accédez à l'onglet Avancé, puis sélectionnez SHA-1.
16    Cliquez sur OK pour enregistrer vos changements.

Télécharger et modifier les métadonnées des services ADFS (Active Directory Federation Services)

       
1    Allez à l'URL suivante sur le serveur interne AD FS : https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Vous devrez peut-être cliquer avec le clic droit de la souris sur la page et afficher la source de la page pour obtenir le fichier XML correctement formaté.

2    Modifiez le fichier de métadonnées AD FS pour supprimer les attributs non pris en charge du XML.
  • Conservez uniquement les entrées suivantes dans le fichier de métadonnées AD FS :
    • <EntityDescriptor>

       

    • <IDPSSODescriptor>

       

    • <ContactPerson>

       

    Toutes les autres entrées peuvent être supprimées.
  • Supprimez toutes les métadonnées de la première balise ds:Signature jusqu'à et incluant SPSSODescriptor.
    Les métadonnées mises en surbrillance sont réduites et sont destinées à servir d'exemple.


3    Ne modifiez rien après la balise IDPSSODescriptor.
4    Enregistrez vos modifications
Que faire ensuite

 

Vous êtes prêt à réimporter les métadonnées AD FS dans Cisco Spark à partir du portail de gestion.

  

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

 

Après avoir exporté les métadonnées Cisco Spark, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco Spark.

  
        
1    Revenez au navigateur ou à l'onglet où vous êtes connecté à la page Cloud Collaboration Management – Exporter les métadonnées du répertoire, puis cliquez sur Suivant.
2    Sur la page Importer des métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page ou utilisez l'option de recherche de fichiers pour localiser et télécharger le fichier de métadonnées.

Nous vous recommandons d'utiliser un certificat signé par une autorité de certification dans Métadonnées (plus sécurisé) pour les fournisseurs de services qui utilisent des certificats publiés et approuvés publiquement.

3    Cliquez sur Suivant.
4    Sélectionnez Tester la connexion SSO et quand un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.

Une cause courante d'erreur d'authentification est un problème rencontré avec les identifiants. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Cisco Spark ou WebEx signifie généralement qu'il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Cisco Spark dans la configuration IdP.

5    Revenez à l'onglet de navigation Cisco Cloud Collaboration Management.
  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.

Dépannage des services ADFS (Active Directory Federation Services)

Erreurs AD FS dans les journaux Windows

   

Dans les journaux Windows, vous pouvez voir un code d'erreur 364 de journal AD FS. Les détails de l'événement identifient un certificat invalide. Dans ce cas, l'hôte AD FS n'est pas autorisé à passer par le pare-feu sur le port 80 pour valider le certificat.

  

Politique d'authentification

   
Vous pouvez rencontrer des problèmes d'authentification dans les cas suivants :
  •  

    Votre proxy inverse identifie les clients comme s'ils sont sur l'intranet.

      

  •  

    Le périphérique mobile est fourni avec la boîte de dialogue NTLM d'authentification WIA.

      

  
  

Le formulaire n'est pas transmis au navigateur intégré. Le résultat est un écran blanc sans aucun moyen pour se connecter.

  

Pour les clients mobiles, l'extranet doit être configuré sur un mode de formulaires d'authentification. L'application Cisco Spark sur les appareils mobiles nécessite une redirection à l'aide du navigateur intégré. Les formulaires sont requis par le navigateur intégré.

  
Si les périphériques mobiles affichent un écran blanc lorsque les utilisateurs se connectent, les périphériques ne reçoivent pas la page d'authentification des formulaires HTML requise. Pour corriger le problème :
  •  

    Configurez l'authentification du périphérique sur les données de l'opérateur plutôt que d'utiliser le Wi-Fi.

      

  •  

    Configurez les méthodes d'authentification des stratégies d'authentification ADFS pour l'extranet sur l'authentification par formulaire.

      

  

Si le périphérique montre toujours un écran blanc fixe, l'hôte ADFS n'a peut-être pas un proxy inversé configuré correctement. Tous les périphériques sont vus s'ils sont sur l'intranet. S'il n'est pas possible de configurer un proxy inverse, suivez les étapes de ce post pour définir une politique de groupe pour implémenter les formulaires d'authentification ADFS (Active Directory Federation Services) dans des environnements mixtes.

  

ID de fédération

Les ID de fédération sont sensibles à la casse. Si c'est votre adresse électronique organisationnelle, saisissez-la exactement comme l'ADFS l'envoie, ou Cisco Spark ne peut pas trouver l'utilisateur correspondant.

 

Une règle de réclamation personnalisée ne peut pas être écrite pour normaliser l'attribut LDAP avant qu'il soit envoyé.

 

Importez vos métadonnées du serveur ADFS que vous configurez dans votre environnement.

 

Vous pouvez vérifier l'URL si nécessaire en accédant sur Service > points de terminaison > Métadonnées > Type : Métadonnées de Fédération dans Gestion ADFS.

  

Synchronisation de l'heure

   

Vérifiez que l'horloge système de votre serveur AD FS est synchronisée sur une source horaire Internet fiable qui utilise le protocole Network Time Protocol (NTP). Utilisez la commande PowerShell pour régler l'horloge uniquement pour la relation de confiance entre les parties Cisco Spark.

  

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

  

La valeur hexadécimale est unique pour votre environnement. Veuillez remplacer la valeur de la valeur de l'ID de l'entité SP EntityDescriptor dans le fichier de métadonnées Cisco Spark. Par exemple :

  
 
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">
  
  
 

Attachments

    Outcomes