SSO dans Control Hub

Si vous souhaitez configurer la SSO pour plusieurs fournisseurs d’identité dans votre organisation, consultez SSO avec plusieurs IdP dans Webex.

Si l’utilisation des certificats de votre organisation est définie sur Aucune mais que vous recevez toujours une alerte, nous vous recommandons de continuer la mise à jour. Votre déploiement SSO entreprise n’utilise pas le certificat aujourd’hui mais vous aurez besoin du certificat pour les futures modifications.

certificat Service Webex’un fournisseur d’accès (SP)

De temps en temps, vous recevrez une notification par courrier électronique ou voyez une alerte dans Control Hub vous avertissant que le certificat du authentification unique (SSO) Webex (SSO) va expirer. Suivez le processus dans cet article pour récupérer les métadonnées SSO le certificat du Cloud de nous (le SP) et les rajouter à votre IdP ; sinon, les utilisateurs ne pourront pas utiliser les services Webex.

Si vous utilisez le certificat SSO SAML Cisco (SP) dans votre organisation Webex, vous devez prévoir de mettre à jour le certificat cloud au cours d’une fenêtre de maintenance programmée régulière dès que possible.

Tous les services qui font partie de l’abonnement à votre organisation Webex sont concernés, y compris, mais sans s’y limiter :

  • Application Webex (nouvelles inscriptions pour toutes les plateformes : de bureau, mobile et Web)

  • Services Webex dans Control Hub , y compris l’appel

  • Sites Webex Meetings gérés par Control Hub

  • Cisco Jabber si elle est intégrée à l’SSO

Avant de commencer

Veuillez lire toutes les instructions avant de commencer. Après avoir changé le certificat ou passer par l’assistant pour mettre le certificat à jour, les nouveaux utilisateurs ne pourront peut-être pas se connecter avec succès.

Si votre IdP ne prend pas en charge plusieurs certificats (la plupart des IdP du marché ne prennent pas en charge cette fonctionnalité), nous vous recommandons de programmer cette mise à niveau pendant une période de maintenance où les utilisateurs de Webex App ne sont pas affectés. Ces tâches de mise à niveau doivent prendre environ 30 minutes de temps de fonctionnement et de validation après l’événement.

1

Pour vérifier si le certificat SAML Cisco (SP) SSO va expirer :

  • Vous avez peut-être reçu un courrier électronique ou un message de l’application Webex de notre part, mais vous devez vérifier que control Hub est certain.

  • Connectez-vous https://admin.webex.comà et vérifiez votre Centre d’alertes. Il peut y avoir une notification concernant la mise à jour SSO Prestataire de service’enregistrement.

  • Connectez-vous à https://admin.webex.com, allez dans Gestion > Paramètres de l’organisation > Authentification unique SSO, puis cliquez sur Gérer la SSO et les IdP.
  • Allez à l'onglet Fournisseur d'identité et notez le statut et la date d'expiration du certificat Cisco SP.

Vous pouvez également aller directement dans l SSO de mise à jour du certificat. Si vous décidez de quitter l’assistant avant de le terminer, vous pouvez y accéder à nouveau à tout moment à partir de Gestion > Paramètres de l’organisation > Authentification unique SSO dans https://admin.webex.com.

2

Allez à l’IdP et cliquez sur .

3

Cliquez sur Vérifier les certificats et la date d'expiration.

4

Cliquez sur Renouveler le certificat.

5

Choisissez le type d’IdP utilisé par votre organisation.

  • Un IdP qui prend en charge plusieurs certificats
  • Un IdP qui prend en charge un seul certificat

Si votre IdP ne prend en charge qu'un seul certificat, nous vous recommandons d'attendre pour effectuer ces étapes pendant les temps d'arrêt programmés. Pendant la mise à jour du certificat de Webex, les nouvelles connexions des utilisateurs ne fonctionneront pas brièvement ; les connexions existantes sont conservées.

6

Choisissez le type de certificat pour le renouvellement :

  • Auto-signé par Cisco–Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans.
  • Signé par une autorité de certification publique—Plus sécurisé mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prenne en charge les ancres de confiance).

    Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.

7

Cliquez sur Télécharger le fichier de métadonnées pour télécharger une copie des métadonnées mises à jour avec le nouveau certificat à partir du WebEx Cloud. Garder cet écran ouvert.

8

Accédez à votre interface de gestion IdP pour charger le nouveau fichier de métadonnées Webex.

  • Cette étape peut être effectuée via un onglet de navigation, un protocole de bureau distant (RDP) ou une prise en charge spécifique du fournisseur d’accès sur le Cloud, en fonction de la configuration de votre IdP et si vous ou un administrateur IdP séparé êtes responsable de cette étape.
  • Pour référence, consultez nos guides SSO’intégration du produit ou contactez votre administrateur informatique (IdP) pour une assistance. Si sur Active Directory Federation Services (AD FS), vous pouvez voir comment mettre à jour les métadonnées Webex dans AD FS.
9

Retournez à l’onglet où vous vous êtes connecté au Control Hub et cliquez sur Suivant.

10

Mettez à jour l’IdP avec le nouveau certificat du fournisseur de services et les métadonnées et cliquez sur Suivant.

  • Mise à jour de tous les IdP
  • Si vous avez besoin de plus de temps pour effectuer la mise à jour, enregistrez le certificat renouvelé en tant qu’option secondaire
11

Cliquez sur Terminer le renouvellement.

certificat Fournisseur d'identité (IdP)

De temps en temps, vous recevrez un courrier électronique de notification ou voyez une alerte dans Control Hub vous avertissant que le certificat de l’IdP va expirer. Les fournisseurs IdP ayant leur propre documentation spécifique pour le renouvellement du certificat, nous couvrons ce qui est requis dans Control Hub , en même temps que les étapes génériques pour récupérer les métadonnées IdP mises à jour et les télécharger dans Control Hub pour renouveler le certificat.

1

Pour vérifier si le certificat SAML de l’IdP va expirer :

  • Vous avez peut-être reçu un courrier électronique ou un message de l’application Webex de notre part, mais vous devez vérifier que control Hub est certain.
  • Connectez-vous https://admin.webex.comà et vérifiez votre Centre d’alertes. Il peut y avoir une notification concernant la mise à jour du certificat SAML de l’IdP :

  • Connectez-vous à https://admin.webex.com, allez dans Gestion > Paramètres de l’organisation > Authentification unique SSO, puis cliquez sur Gérer la SSO et les IdP.
  • Allez à l’onglet Fournisseur d’identité et notez le statut du certificat IdP (expiré ou expirant prochainement) et la date d’expiration.

  • Vous pouvez également aller directement dans l SSO de mise à jour du certificat. Si vous décidez de quitter l’assistant avant de le terminer, vous pouvez y accéder à nouveau à tout moment à partir de Gestion > Paramètres de l’organisation > Authentification unique SSO dans https://admin.webex.com.

2

Accédez à votre interface de gestion IdP pour récupérer le nouveau fichier de métadonnées.

  • Cette étape peut être effectuée via un onglet de navigation, un protocole de bureau distant (RDP) ou une prise en charge spécifique du fournisseur d’accès sur le Cloud, en fonction de la configuration de votre IdP et si vous ou un administrateur IdP séparé êtes responsable de cette étape.
  • Pour référence, consultez nos guides SSO’intégration du produit ou contactez votre administrateur informatique (IdP) pour une assistance.
3

Retournez à l'onglet Fournisseur d'identité .

4

Allez à l’IdP, cliquez sur charger et sélectionnez Charger les métadonnées Idp.

5

Faites glisser et déposez votre fichier de métadonnées IdP dans la fenêtre ou cliquez sur Choisir un fichier et chargez-le de cette façon.

6

Choisissez Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une AC publique), en fonction de la façon dont vos métadonnées IdP sont signées.

7

Cliquez sur Tester la mise à jour SSO pour confirmer que le nouveau fichier de métadonnées a été téléchargé et interprété correctement dans votre organisation Control Hub. Confirmez les résultats attendus dans la fenêtre contextuelle et si le test a réussi, sélectionnez Test réussi : Activez l’authentification unique SSO et l’IdP et cliquez sur Enregistrer.

Pour voir directement l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

Résultat : Vous avez terminé et le certificat IdP de votre organisation est maintenant renouvelé. Vous pouvez vérifier le statut du certificat à tout moment sous l'onglet Fournisseur d'identité .

Vous pouvez exporter les dernières métadonnées Webex SP chaque fois que vous devez les rajouter à votre IdP. Vous voyez une notification lorsque les métadonnées IdP SAML importées vont expirer ou ont expiré.

Cette étape est utile dans les scénarios de gestion des certificats SAML IdP communs, tels que les IdP qui supportent plusieurs certificats où l’exportation n’a pas été effectuée précédemment, si les métadonnées n’ont pas été importées dans l’IdP car un admin IdP n’était pas disponible, ou si votre IdP prend en charge la possibilité de mettre à jour uniquement le certificat. Cette option peut aider à minimiser la modification en mettant à jour uniquement le certificat dans la configuration de SSO’événement et la validation post-événement.

1

À partir de l’affichage du client dans https://admin.webex.comAtteindre Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

2

Allez à l'onglet Fournisseur d'identité .

3

Allez à l’IdP, cliquez sur Téléchargement et sélectionnez Télécharger les métadonnées du fournisseur de services.

Le nom de fichier de métadonnées de l’application Webex est idb-meta--SP.xml.

4

Importer les métadonnées dans votre IdP.

Suivez la documentation de votre IdP pour importer les métadonnées du serveur SP Webex. Vous pouvez utiliser nos guides d’intégration IdP ou consulter la documentation pour votre IdP spécifique si non listé.

5

Lorsque vous avez terminé, exécutez le test SSO en utilisant les étapes contenues dans Renouveler le certificat Webex (FS) dans cet article.

Lorsque votre environnement IdP change ou si votre certificat IdP va expirer, vous pouvez importer les métadonnées mises à jour dans Webex à tout moment.

Avant de commencer

Collectez vos métadonnées IdP, généralement en tant que fichier xml exporté.

1

À partir de l’affichage du client dans https://admin.webex.comAtteindre Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

2

Allez à l'onglet Fournisseur d'identité .

3

Allez à l’IdP, cliquez sur charger et sélectionnez Charger les métadonnées Idp.

4

Faites glisser et déposez vos fichier de métadonnées IdP dans la fenêtre ou cliquez sur Choisir un fichier de métadonnées et chargez-le de cette façon.

5

Choisissez Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une AC publique), en fonction de la façon dont vos métadonnées IdP sont signées.

6

Cliquez sur Tester la configuration de l’authentification unique SSO, et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.

Vous recevrez des alertes dans Control Hub avant l’expiration des certificats, mais vous pouvez également configurer des règles d’alerte proactivement. Ces règles vous font savoir à l’avance que vos certificats SP ou IdP vont expirer. Nous pouvons vous les envoyer par courrier électronique, un espace dans l’application Webex, ou les deux.

Quel que soit le canal de distribution configuré, toutes les alertes s’affichent toujours dans Control Hub. Voir Centre d’alertes dans Control Hub pour plus d’informations.

1

Connectez-vous au Control Hub.

2

Allez au Centre d’alertes.

3

Choisissez Gérer puis Toutes les règles .

4

À partir de la liste Règles, choisissez l’une SSO que vous souhaitez créer :

  • SSO expiration du certificat IDP
  • SSO expiration du certificat SP
5

Dans la section Chaine de distribution, cochez la case Adresse électronique, espaceWebex, ou les deux.

Si vous choisissez Adresse électronique, saisissez l’adresse électronique qui doit recevoir la notification.

Si vous choisissez l’option de l’espace Webex, vous êtes automatiquement ajouté à un espace dans l’application Webex et nous y livrons les notifications.

6

Enregistrez vos modifications.

Ce qu’il faut faire ensuite

Nous envoyons des alertes d’expiration des certificats une fois tous les 15 jours, en commençant 60 jours avant l’expiration. (Vous pouvez vous attendre à des alertes les jours 60, 45, 30 et 15.) Les alertes s'arrêtent lorsque vous renouvelez le certificat.

Vous pouvez voir un message indiquant que l'URL de déconnexion unique n'est pas configurée :

Nous vous recommandons de configurer votre IdP pour la prise en charge de la sortie de session unique (également appelée SLO). Webex prend en charge à la fois les méthodes de redirection et de publication, disponibles dans nos métadonnées qui sont téléchargées à partir de Control Hub. Tous les IdP ne supportent pas SLO ; veuillez contacter votre équipe IdP pour obtenir de l’aide. Parfois, pour les principaux fournisseurs d’IdP tels qu’AzureAD, Ping Federate, ForgeRock et Oracle, qui prennent en charge SLO, nous documentons comment configurer l’intégration. Consultez votre équipe Identité et sécurité sur les détails de votre IDP et sur la façon de le configurer correctement.

Si l’URL de déconnexion unique n’est pas configurée :

  • Une session IdP existante reste valide. La prochaine fois que les utilisateurs se connectent, il ne leur sera pas demandé de se réauthentifier par l’IdP.

  • Nous affichons un message d’avertissement lors de la connexion, afin que la session de l’application Webex ne se produise pas de manière transparente.

Vous pouvez désactiver l authentification unique (SSO) (SSO) pour votre organisation Webex gérée dans Control Hub . Vous pouvez désactiver la SSO si vous changez de fournisseurs d’identité (IdP).

Si authentification unique (SSO) été activé pour votre organisation mais qu’il échoue, vous pouvez engager votre partenaire Cisco qui peut accéder à votre organisation Webex pour qu’il le désactive pour vous.

1

À partir de l’affichage du client dans https://admin.webex.comAtteindre Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

2

Allez à l'onglet Fournisseur d'identité .

3

Cliquez sur Désactiver la SSO.

Une fenêtre contextuelle s’affiche vous avertissant des risques liés à la désactivation SSO :

Désactiver la SSO

Si vous désactivez SSO, les mots de passe sont gérés par le Cloud au lieu de votre configuration IdP intégrée.

4

Si vous comprenez l’impact que peut avoir la désactivation SSO vous souhaitez continuer, cliquez sur Désactiver.

La SSO est désactivée et toutes les listes de certificats SAML sont supprimées.

Si la SSO est désactivée, les utilisateurs qui doivent s'authentifier voient un champ de saisie du mot de passe pendant le processus de connexion.

  • Les utilisateurs qui n’ont pas de mot de passe dans l’application Webex doivent soit réinitialiser leur mot de passe, soit vous devez envoyer un courrier électronique pour qu’ils définissent un mot de passe.

  • Les utilisateurs authentifiés existants avec un jeton OAuth valide continueront d’avoir accès à l’application Webex.

  • Les nouveaux utilisateurs créés SSO sont désactivés reçoivent un courrier électronique leur demandant de créer un mot de passe.

Ce qu’il faut faire ensuite

Si vous ou le client reconfigurez l’authentification unique SSO pour l’organisation du client, les comptes utilisateur reprennent l’utilisation de la politique de mot de passe définie par l’IdP qui est intégrée à l’organisation Webex.

Si vous rencontrez des problèmes avec votre connexion SSO, vous pouvez utiliser l’option de récupération automatique SSO pour obtenir l’accès à votre organisation Webex gérée dans Control Hub. L’option de récupération automatique vous permet de mettre à jour ou de désactiver l’authentification unique SSO dans Control Hub.