Authentification unique SSO de Cisco Spark avec PingFederate

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Aperçu de l'authentification unique SSO et de Cisco Spark

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre la plate-forme Cisco Collaboration Cloud et votre fournisseur d'identité (IdP).

 

2.0 SAML est un protocole industriel pour la gestion de l'authentification sécurisée des utilisateurs, le partage des attributs des utilisateurs et l'autorisation des utilisateurs entre les partenaires des différents domaines.

 

Pour plus d'informations sur les fonctionnalités SSO, voir cet article.

Profils

Le protocole SAML 2 prend en charge un certain nombre de profils dont la plate-forme Spark prend uniquement en charge le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, la plate-forme Spark prend en charge les liaisons suivantes :

 
  • SP initiated POST->POST binding 


     

  • SP initiated REDIRECT->POST binding

      


 
      

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer sur un utilisateur spécifique. La plate-forme Cisco Collaboration Cloud prend en charge les formats de NameID suivants.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans la plate-forme Spark.

Déconnexion individuelle

Le Cisco Collaboration Cloud prend en charge le profil de déconnexion individuel. Dans l'application Cisco Spark ou l'application WebEx, un utilisateur peut se déconnecter de l'application, qui utilisera le protocole SAML individuel de déconnexion pour mettre fin à la session et confirmer la déconnexion avec votre IdP.

Intégrer Cisco Spark avec PingFederate pour l'authentification unique

Suivez les tâches contenues dans cet article pour configurer l'intégration de l'authentification unique (SSO) entre les services Cisco Spark et un déploiement qui utilise PingFederate comme un fournisseur d'identité (IdP).

    

Cette intégration couvre les utilisateurs de Cisco Spark message, réunion, appel. Une intégration séparée est requise pour activer l'authentification unique (SSO) pour WebEx.

Avant de commencer 
Pour l'authentification unique SSO et les services Cisco Spark, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
  • Configurer l'IdP pour utiliser l'authentification par formulaires.

     

  • Définir l'attribut du format NameID sur « urn:oasis:names:tc:SAML:2.0:nameid-format:transient »—Nous prenons également en charge ceux qui ne sont pas spécifiés.

     

  • Configurer une demande sur l'IDP pour inclure les attributs suivants dans l'assertion SAML :

     

    • Le nom de l'attribut « uid » avec une valeur mappée sur l'adresse électronique de l'utilisateur.

       

     
     
  

Télécharger les métadonnées Cisco Spark sur votre système local

        
1    Connectez-vous à Cisco Cloud Collaboration Management avec vos identifiants d'administrateur complet.
2    Sélectionnez Paramètres, puis sélectionnez Modifier dans la section Authentication.
3    Sélectionnez Intégrer un fournisseur d'identité tiers. (Avancé) et passez à l'écran suivant.
4    Téléchargez le fichier de métadonnées de confiance et enregistrez le fichier dans un emplacement facile à trouver sur votre système local.  

Le fichier de métadonnées Cisco Spark est idb-meta-<org-ID>-SP.xml.

  
5    Gardez votre session Cisco Cloud Collaboration Management ouverte dans un onglet du navigateur ; vous y reviendrez plus tard pour télécharger vos métadonnées IdP.

Configurer la connexion d'un nouveau fournisseur de service

  
          
1    Allez sur le portail d'administration PingFederate https://<FQDN of PingFederate>:9999/pingfederate/app).
2    Sous CONNEXIONS SP, sélectionnez Créer une nouvelle connexion.
3    Sélectionnez la case d'option N'utilisez pas de modèle pour cette connexion, puis sélectionnez Suivant.
4    Sélectionnez Profils SSO du navigateur, puis cliquez sur Suivant.
5    Sélectionnez l'onglet Importer les métadonnées.
6    Cliquez sur Choisir le fichier pour parcourir et importer le fichier de métadonnées que vous avez téléchargé à partir de Cisco Cloud Collaboration Management, puis cliquez sur Suivant.
7    Consultez les Informations de l'onglet Informations générales, puis cliquez sur Terminé.

Configurer l'authentification unique (SSO) d'un navigateur

        
1    Dans le portail d'administration PingFederate, sélectionnez Configurer l'authentification unique (SSO) du navigateur.
2    Cochez la case SP-Initiated SSO, puis cliquez sur Suivant.
3    Sélectionnez Configurer la création d'assertion.
  1. Modifiez le format NameID sur Transitoire et cochez la case Inclure des attributs en plus de l'identificateur transitoire.
  2. Étendez les attributs du contrat en ajoutant les attributs courrier électronique et uid au format urn:oasis:names:tc:SAML:2.0:attrname-format-basic, puis cliquez sur Suivant.
  3. Sélectionnez Mapper une nouvelle instance d'adaptateur pour sélectionner un mécanisme d'authentification.
  4. À partir du menu déroulant INSTANCE DE L'ADAPTATEUR, sélectionnez l'un des mécanismes d'authentification précédemment configurés, puis cliquez sur Suivant.
  5. Sélectionnez Récupérer des attributs supplémentaires à partir de plusieurs banques de données à l'aide d'un bouton radio de mappage, puis cliquez sur Suivant.
  6. Sélectionnez Ajouter une source d'attributs pour ajouter le contrôleur de domaine du répertoire actif pour le domaine, puis cliquez sur Suivant.
  7. Spécifiez le ND de base et sélectionnez la classe d'objet racine <Afficher tous les attributs>.
  8. Dans la zone de texte Filtre, Saisissez le filtre LDAP, puis cliquez sur Suivant.  

    L'entrée doit comporter l'attribut utilisateur que vous prévoyez de fournir. Elle doit également contenir la valeur à laquelle il se mappe dans les sources LDAP. Par exemple, si votre répertoire actif est configuré pour filtrer l'attribut de connexion de Windows, Saisissez sAMAccountName=${Username}.

      
  9. Sélectionnez la source et la valeur pour mapper les attributs d'assertion avec les attributs fournis par la banque de données du répertoire actif (AD). (Ne saisissez rien pour les critères d'émission.)
  10. Vérifiez que la configuration d'assertion a Mappage des identités configuré sur Transitoire, Contrat d'attribut configuré sur courrier électronique, uid et Instances de l'adaptateur configuré sur1.
4    Sélectionnez Configuration des paramètres du protocole.
  1. Pour les Associations SAML autorisables, cochez uniquement les cases POSTER et Rediriger.
  2. Pour la Politique de signature, sélectionnez Toujours signer l'Assertion SAML.

    Les paramètres du protocole doivent ressembler à ceci.

  3. Sélectionnez Configurer les identifiants pour configurer le certificat pour l'assertion.
  4. Sélectionnez le certificat qui a déjà été créé pour les assertions SAML.
5    Dans l'écran Activation et Sommaire, configurez le statut de la connexion sur actif.

Exporter les métadonnées PingFederate

       
1    Sur l'écran principal, cliquez sur Gérer tous les SP.
2    Recherchez la connexion que vous venez de créer et cliquez sur Exporter les métadonnées.
3    Choisissez le certificat à utiliser pour signer le fichier exporté depuis le menu déroulant.
4    Cliquez sur Exporter.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

 

Après avoir exporté les métadonnées Cisco Spark, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco Spark.

  
        
1    Revenez au navigateur ou à l'onglet où vous êtes connecté à la page Cloud Collaboration Management – Exporter les métadonnées du répertoire, puis cliquez sur Suivant.
2    Sur la page Importer des métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page ou utilisez l'option de recherche de fichiers pour localiser et télécharger le fichier de métadonnées.

Nous vous recommandons d'utiliser un certificat signé par une autorité de certification dans Métadonnées (plus sécurisé) pour les fournisseurs de services qui utilisent des certificats publiés et approuvés publiquement.

3    Cliquez sur Suivant.
4    Sélectionnez Tester la connexion SSO et quand un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.

Une cause courante d'erreur d'authentification est un problème rencontré avec les identifiants. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Cisco Spark ou WebEx signifie généralement qu'il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Cisco Spark dans la configuration IdP.

5    Revenez à l'onglet de navigation Cisco Cloud Collaboration Management.
  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.
 

Attachments

    Outcomes