L'authentification unique (SSO) dans Cisco spark avec F5 BIG-IP

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

Aperçu de l'authentification unique SSO et de Cisco Spark

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre la plate-forme Cisco Collaboration Cloud et votre fournisseur d'identité (IdP).

 

2.0 SAML est un protocole industriel pour la gestion de l'authentification sécurisée des utilisateurs, le partage des attributs des utilisateurs et l'autorisation des utilisateurs entre les partenaires des différents domaines.

 

Pour plus d'informations sur les fonctionnalités SSO, voir cet article.

Profils

Le protocole SAML 2 prend en charge un certain nombre de profils dont la plate-forme Spark prend uniquement en charge le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, la plate-forme Spark prend en charge les liaisons suivantes :

 
  • SP initiated POST->POST binding 


     

  • SP initiated REDIRECT->POST binding

      


 
      

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer sur un utilisateur spécifique. La plate-forme Cisco Collaboration Cloud prend en charge les formats de NameID suivants.

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans la plate-forme Spark.

Déconnexion individuelle

Le Cisco Collaboration Cloud prend en charge le profil de déconnexion individuel. Dans l'application Cisco Spark ou l'application WebEx, un utilisateur peut se déconnecter de l'application, qui utilisera le protocole SAML individuel de déconnexion pour mettre fin à la session et confirmer la déconnexion avec votre IdP.

Intégrer F5 Big IP avec Cisco Spark pour l'authentification unique (SSO)

 

Suivez les tâches dans cet article pour configurer l'authentification unique (SSO) entre les services Cisco Spark et un déploiement utilisant F5 Big-IP comme fournisseur d'identité (IdP).

    

Cette intégration couvre les utilisateurs de Cisco Spark message, réunion, appel. Une intégration séparée est requise pour activer l'authentification unique (SSO) pour WebEx.

  

Télécharger les métadonnées Cisco Spark sur votre système local

        
1    Connectez-vous à Cisco Cloud Collaboration Management avec vos identifiants d'administrateur complet.
2    Effectuez l'une des étapes suivantes :
  • Sélectionnez Paramètres Entreprise le premier assistant d'installation, puis cliquez sur les invites jusqu'à la page Authentification unique SSO.
  • Sélectionnez Paramètres, puis Modifiez.
3    Sélectionnez Intégrer un fournisseur d'identité tiers. (Avancé) et passez à l'écran suivant.
4    Téléchargez le fichier de métadonnées de confiance et enregistrez le fichier dans un emplacement facile à trouver sur votre système local.

Le fichier de métadonnées Cisco Spark est idb-meta-<org-ID>-SP.xml.

5    Gardez votre session Cisco Cloud Collaboration Management ouverte dans un onglet du navigateur ; vous y reviendrez plus tard pour télécharger vos métadonnées IdP.

Configurer le fournisseur de services et le fournisseur d'identité externes

               
1    À partir de votre interface d'administration BIG-IP F5, allez à Politique d'accès > SAML > BIG-IP comme IdP.
2    À partir de Connecteurs SP externes, sélectionnez Créer > À partir des métadonnées .
3    Saisissez un nom explicite pour le nom du fournisseur de services, tel que <yourorganizationname>.ciscospark.com.
4    Sous Paramètres sécurité, cochez les cases suivantes :
  • La réponse doit être signée
  • L'assertion doit être signée
5    Retournez à Politique d'accès > SAML > BIG-IP comme IdP, puis créez un nouveau service de fournisseur d'identité (IdP).
6    Saisissez un nom explicite pour le nom de l'IDP, tels que le IC.
7    Pour l'ID d'entité IdP, utilisez le FQDN du serveur Big-IP avec quelque chose en face—par exemple, https://bigip0a.uc8sevtlab13.com/CI.
8    Sous Paramètres d'assertion, sélectionnez Identifiant transitoire pourtype de sujet d'assertion.
9    Pour la Valeur pour l'assertion, renvoyez la valeur du courrier électronique de l'utilisateur %{session.ad.last.attr.mail}.
10    Renvoyez les attributs adresse électronique et uid avec la valeur %{session.ad.last.attr.mail}.
11    Sous Paramètres sécurité, sélectionner un certificat pour signer l'assertion.
12    Enregistrez vos modifications, puis liez le fournisseur de services et le fournisseur d'identité que vous avez créé.

Télécharger les métadonnées F5 Big-IP

      
1    Sélectionnez Exporter le service IDP.
2    Assurez vous que la valeur des Signes de métadonnées est sur Non
3    Téléchargez le fichier de métadonnées sur votre bureau ou dans un dossier facile à trouver.

Ajouter une politique d'accès

            
1    Accédez à Politique d'accès > Accès aux profils > SAML et créez une ressource SAML pour l'IdP que vous avez créée.
2    Allez à votre accès aux profils et éditez votre politique d'accès que vous utilisez pour WebEx Messenger CAS.
3    Ajouter un nouvel onglet Connexion avec le nom de Page de connexion et laissez les valeurs par défaut.
4    Ajoutez un nouvel élément dans l'onglet Authentification avec le nom AD Auth et spécifiez votre répertoire actif comme serveur.
5    Sur la succursale réussie, ajoutez requête AD à partir de l'onglet Authentication
6    Accédez à Règles de branche et modifiez-la en La requête AD est transmise.
7    Sur la succursale réussie de la requête AD, ajoutez Affectation avancée des ressources de l'onglet Affectation.
8    Cliquez sur Ajouter/Supprimer et ajoutez deux ressources SAML avec toutes les ressources SAML et Webtop que vous avez créées.
9    Pour Sélectionnez Terminer, sélectionnez Autoriser.

La politique d'accès devrait ressembler à cette capture d'écran :

Associer le profil d'accès avec le serveur virtuel

 

Vous devez associer au profil d'accès que vous avez créées Virtual Server.

  
        
1    Allez à Trafic local > Serveurs virtuels.
2    Ouvrez les profils d'accès pour confirmer qu'aucun serveur virtuel n'est associé au profil.
3    Sélectionnez Affectation avancée de ressources.
4    Sélectionnez Ajouter/Supprimer pour ajouter la nouvelle ressource SAML.
5    Fermez les fenêtres de conception de la politique d'accès et appliquez la nouvelle stratégie d'accès.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

 

Après avoir exporté les métadonnées Cisco Spark, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco Spark.

  
        
1    Revenez au navigateur ou à l'onglet où vous êtes connecté à la page Cloud Collaboration Management – Exporter les métadonnées du répertoire, puis cliquez sur Suivant.
2    Sur la page Importer des métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page ou utilisez l'option de recherche de fichiers pour localiser et télécharger le fichier de métadonnées.

Nous vous recommandons d'utiliser un certificat signé par une autorité de certification dans Métadonnées (plus sécurisé) pour les fournisseurs de services qui utilisent des certificats publiés et approuvés publiquement.

3    Cliquez sur Suivant.
4    Sélectionnez Tester la connexion SSO et quand un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.

Une cause courante d'erreur d'authentification est un problème rencontré avec les identifiants. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Cisco Spark ou WebEx signifie généralement qu'il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Cisco Spark dans la configuration IdP.

5    Revenez à l'onglet de navigation Cisco Cloud Collaboration Management.
  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.
 

Attachments

    Outcomes