Les solutions de gestion de l’accès Web et de fédération suivantes ont été testées pour les organisations Webex. Les documents liés ci-dessous vous marchent comment intégrer ce fournisseur d’identité (IdP) spécifique à votre organisation Webex.


Ces guides couvrent SSO’intégration pour les services Webex qui sont gérés dans Control Hub (https://admin.webex.com). Si vous recherchez l’SSO’intégration d’un site Webex Meetings (géré dans Administration du site), lisez Configurer l' sign-on unique pour Site Cisco Webex Meetings.

Si vous ne voyez pas votre IdP listé ci-dessous, suivez les étapes de haut niveau dans l’onglet SSO de configuration du réseau dans cet article.

L’authentification unique (SSO) permet aux utilisateurs de se connectent à Webex en toute sécurité en s’authentifier au fournisseur d’identité commune (IdP) de vos organisations. L’application Webex utilise l’Service Webex pour communiquer avec le service d’identité de la plateforme Webex. Le service d’identité s’authentifie auprès de votre fournisseur d’identité (IdP).

Vous démarrez la configuration dans Control Hub. Cette section décrit les étapes génériques de haut niveau pour l’intégration d’un IdP tiers.

Pour SSO control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :

  • Définissez l’attribut NameID Format à urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurer une demande sur l’IdP en fonction du type de SSO que vous déployez :

    • SSO (pour une organisation)—Si vous configurez SSO pour le compte d’une organisation, configurez la réclamation IdP pour inclure le nom de l’attribut uid avec une valeur qui est mappée à l’attribut qui est choisi dans le Connecteur de répertoire, ou l’attribut utilisateur qui correspond à celui qui est choisi dans l’service d’identité Webex. (Cet attribut pourrait être des adresses électroniques ou un nom d’utilisateur principal, par exemple).

    • SSO des partenaires (pour les fournisseurs de services uniquement)—Si vous êtes un administrateur Prestataire de service qui configure les SSO partenaires à utiliser par les organisations du client que le Prestataire de service gère, configurez la réclamation IdP pour inclure l’attribut de messagerie (plutôt que uid). La valeur doit être mapuée à l’attribut qui est choisi dans le Connecteur de répertoire, ou l’attribut utilisateur qui correspond à celui qui est choisi dans l’service d’identité Webex.


    Pour plus d’informations sur le mappage des attributs personnalisés pour SSO ou les SSO, voir https://www.cisco.com/go/hybrid-services-directory.

  • Partenaire uniquement SSO SSO. L Fournisseur d’identité prise en charge de Assertion Consumer Service URL multiples (ACS). Pour des exemples de la façon de configurer plusieurs URL ACS sur un Fournisseur d’identité, voir :

  • Utiliser un navigateur pris en charge : nous recommandons la dernière version de Mozilla Firefox ou Google Chrome.

  • Désactivez les bloqueurs de fenêtres contextuelles dans votre navigateur.


Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation.

Vous devez établir un contrat SAML entre le service d’identité de la plateforme Webex et votre IdP.

Vous avez besoin de deux fichiers pour parvenir à un accord SAML réussi :

  • Un fichier de métadonnées de l’IdP, à donner à Webex.

  • Un fichier de métadonnées de Webex, à donner à l’IdP.

Ceci est un exemple d’un fichier de métadonnées PingFederate avec des métadonnées provenant de l’IdP.

Fichier de métadonnées du service d’identité.

Voici ce que vous pouvez voir dans le fichier de métadonnées provenant du service d’identité.

  • ID de l’entité—Ceci est utilisé pour identifier l’accord SAML dans la configuration de l’IdP

  • Il n’y a pas besoin d’une demande d’authentification (AuthN) signée ni de signature d’assertions, elle est conforme à ce que l’IdP demande dans le fichier de métadonnées.

  • Un fichier de métadonnées signé pour que l’IdP vérifie que les métadonnées appartiennent au service d’identité.

1

Connectez-vous à Control Hub (https://admin.webex.com), allez à Paramètres, faites défiler jusqu’à Authentification et cliquez sur Modifier .

2

Cliquez sur Intégrer un fournisseur d’identité tiers. (Avancé) puis cliquez sur Commencer.

3

Cliquez sur Télécharger le fichier de métadonnées, puis cliquez sur Suivant.

4

Le service d’identité de la plateforme Webex valide le fichier de métadonnées à partir de l’IdP.

Il existe deux façons possibles pour valider les métadonnées à partir de l’IdP du client :

  • l’IdP du client fournit une signature dans les métadonnées qui est signée par une autorité de certification racine publique.

  • l’IdP du client fournit une autorité de certification privée auto-signée ou le fournit aucune signature pour leurs métadonnées. Cette option est moins sécurisée.

5

Tester la connexion SSO avant de l’activer.

6

Si le test a réussi, alors activez l’authentification unique SSO.

Si vous rencontrez des problèmes avec votre intégration SSO, utilisez les exigences requises et la procédure dans cette section pour dépanner le flux SAML entre votre IdP et Webex.

  • Utilisez l’add-on de traçage SAML pour Firefox ou Chrome.

  • Pour un dépannage, utilisez le navigateur Web où vous avez installé l’outil de débogage de traçage SAML et allez sur la version Web de Webex à https://teams.webex.coml’adresse .

Voici le flux des messages entre l’application Webex, les services Webex, le service d’identité de la plateforme Webex et le fournisseur d’identité (IdP).

  1. Allez à https://admin.webex.com et avec la SSO activée, l’application demande une adresse électronique.
  2. L’application envoie une demande GET au serveur d’autorisation OAuth pour un jeton. La demande est redirigée vers le service d’identité vers le flux SSO ou le flux des noms d’utilisateur et des mots de passe. L’URL pour le serveur d’authentification est retournée.
  3. L’application Webex demande une assertion SAML de l’IdP en utilisant un SAML HTTP POST.
  4. L’authentification de l’application s’effectue entre les ressources Web du système d’exploitation et l’IdP.
  5. L’application renvoie un HTTP Post vers le service d’identité et inclut les attributs fournis par l’IdP et acceptés dans l’accord initial.
  6. Assertion SAML de l’IdP vers Webex.
  7. Le service d’identité reçoit un code d’autorisation qui est remplacé par un accès OAuth et un jeton d’actualisation. Ce jeton est utilisé pour accéder aux ressources pour le compte de l’utilisateur.
1

Allez à https://admin.webex.com et avec la SSO activée, l’application demande une adresse électronique.

L’application envoie les informations au Service Webex qui vérifie l’adresse électronique.

2

L’application envoie une demande GET au serveur d’autorisation OAuth pour un jeton. La demande est redirigée vers le service d’identité vers le flux SSO ou le flux des noms d’utilisateur et des mots de passe. L’URL pour le serveur d’authentification est retournée.

Vous pouvez voir la demande GET dans le fichier de traçage.

Dans la section paramètres, le service recherche un code OAuth, l’adresse électronique de l’utilisateur qui a envoyé la demande et d’autres détails OAuth tels que l’ID du client, l’URI de redirection et le champ d’application.

3

L’application Webex demande une assertion SAML de l’IdP en utilisant un SAML HTTP POST.

Lorsque la SSO est activée, le moteur de l’authentification dans le service d’identité redirige vers l’URL de l’IdP pour la SSO. L’URL de l’IdP a été fournie lorsque les métadonnées ont été échangées.

Vérifiez l’outil de traçage d’un message POST SAML. Vous voyez un message HTTP POST pour l’IdP demandés par l’IdPbroker.

Le paramètre RelayState montre la bonne réponse de l’IdP.

Vérifiez la version décodée de la demande SAML, il n’y a pas de mandat AuthN et la destination de la réponse doit aller à l’URL de destination de l’IdP. Vérifiez que le format nameid (identifiant du nom) est correctement configuré dans l’IdP sous l’identifiant de l’entité (entityID) adéquat (SPNameQualifier)

Le format nameid de l’IdP est spécifié et le nom de l’accord est configuré lors de la création de l’accord SAML.

4

L’authentification de l’application s’effectue entre les ressources Web du système d’exploitation et l’IdP.

En fonction de votre IdP et des mécanismes d’authentification configurés dans l’IdP, des flux différents sont démarrés à partir de l’IdP.

5

L’application renvoie un HTTP Post vers le service d’identité et inclut les attributs fournis par l’IdP et acceptés dans l’accord initial.

Lorsque l’authentification est réussie, l’application envoie les informations dans un message SAML POST au service d’identité.

Le paramètre RelayState est le même que le message HTTP POST précédent où l’application indique à l’IdP quel identifiant d’entité (EntityID) demande l’assertion.

6

Assertion SAML de l’IdP vers Webex.

7

Le service d’identité reçoit un code d’autorisation qui est remplacé par un accès OAuth et un jeton d’actualisation. Ce jeton est utilisé pour accéder aux ressources pour le compte de l’utilisateur.

Après que l service d’identité valide la réponse de l’IdP, il émettra un jeton OAuth qui permet à l’application Webex d’accéder aux différents services Webex.