Authentification unique SSO et Partage Cisco Webex

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification unique SSO entre le Cisco WebEx sur le Cloud et votre fournisseur d'identité (IdP).

Profils

Partage Cisco Webex ne prend en charge que le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, Partage Cisco Webex prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2,0 prend en charge plusieurs formats NameID pour communiquer sur un utilisateur spécifique. Partage Cisco Webex prend en charge les formats NameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans Cisco WebEx.

Déconnexion individuelle

Partage Cisco Webex prend en charge le profil de déconnexion unique. Dans l' Partage Cisco Webex application, un utilisateur peut se déconnecter de l’application, qui utilise le protocole de déconnexion unique SAML pour mettre fin à la session et confirmer la déconnexion avec votre IDP. IdPs SSO testés

Intégrer Cisco Webex Control Hub à Google Apps pour l'authentification unique SSO


Les guides de configuration montrent un exemple spécifique pour l’intégration SSO, mais n’offrent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour NameID-format urn: Oasis: Names: TC: SAML: 2.0: NameID-format: passagère sont documentées. Autres formats tels qu' urn: Oasis: Names: TC: SAML: 1.1: NameID-format: non spécifié ou urn: Oasis: Names: TC: SAML: 1.1: NameID-format: EmailAddress fonctionne pour l’intégration SSO, mais ne fait pas partie de notre documentation.

Configurez cette intégration pour les utilisateurs de votre Cisco WebEx Organisation (incluant Partage Cisco Webex, Cisco Webex Meetings, et d’autres services administrés dans Cisco Webex Control Hub). Si votre site Webex est intégré dans Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette façon et que la gestion n'est pas effectuée dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer la SSO pour Cisco Webex Meetings. (Voir Configurer l’authentification unique pour WebEx pour plus d’informations sur l’intégration SSO dans administration du site.)

Avant de commencer

Pour l'authentification unique SSO et Cisco Webex Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
  • Définissez l’attribut format NameID sur urn: Oasis: Names: TC: SAML: 2.0: NameID-format:trans.

  • Configurez une demande sur l’IdP pour inclure le nom de l' attribut UID avec une valeur qui est mappée à l’attribut qui est choisi dans Cisco connecteur de répertoire ou l’attribut utilisateur qui correspond à celui qui est choisi dans le service d’identité Cisco Webex. (Cet attribut peut être une adresse électronique ou un nom d’utilisateur principal, par exemple). Voir les informations sur l’attribut personnalisé dans https://www.Cisco.com/go/Hybrid-Services-Directory pour obtenir des instructions.

  • Utiliser un navigateur pris en charge : nous recommandons la dernière version de Mozilla Firefox ou Google Chrome.

  • Désactivez les bloqueurs de fenêtres pop-up dans votre navigateur.

Téléchargez le fichier de métadonnées Cisco WebEx sur votre système local

1

À partir de l’affichage du client dans https://admin.webex.com, allez à Paramètres, puis faites défiler jusqu'à Authentification.

2

Cliquez sur Modifier, puis cliquez sur Intégrer un fournisseur d'identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le fichier de métadonnées Cisco WebEx est idb-meta-<org-ID>-SP.xml.

Configurer une application personnalisée dans l'administration Google

1

Connectez-vous à la console d’administration Google Apps (https://admin.google.com) en utilisant un compte disposant d’autorisations administratives, puis cliquez sur applications.

2

Dans l'affichage des applications, cliquez sur SAML apps.

3

Sur la page des applications SAML, cliquez sur le bouton plus (+) et sur la page pop-up, sélectionnez CONFIGURER MA PROPRE APPLICATION PERSONNALISÉE.

4

Sur la page Informations sur l'Idp Google dans la section Option 2, cliquez sur TÉLÉCHARGER et enregistrez le fichier dans un emplacement facile à trouver sur votre système local.

Le fichier de métadonnées Google est téléchargé. Le format du nom de fichier est GoogleIDPMetadata-<domain name>. Xml.

5

Cliquez sur Suivant.

6

Sur la page informations de base pour votre application personnalisée, saisissez le nom de votre application Partage Cisco Webex et cliquez sur SUIVANT.

7

Pour remplir la page Détails du fournisseur de services, ouvrez le fichier de métadonnées Cisco WebEx dans un éditeur de texte que vous avez téléchargé plus tôt.

  1. Recherchez le fichier de métadonnées Cisco WebEx pour "AssertionConsumerService" et de copiez l’URL qui suit le mot-clé Emplacement et collez-le dans le champ URL ACS sur la page des détails du fournisseur de service.

    Exemple:

    https://idbroker.WebEx.com/IDB/Consumer/metaAlias/a35bfbc6-Ccbd-4A17-a499-72fa46cec25c/SP
  2. Recherchez le fichier de métadonnées Cisco WebEx pour "entityID" (Identifiant de l'entité) et copiez l’URL qui suit dans le champ ID de l’entité champ sur la page des détails du fournisseur de service.

    Exemple:

    https://idbroker.WebEx.com/a35bfbc6-Ccbd-4A17-a499-72fa46cec25c
  3. "« Name ID » doit être configuré sur Information de base et adresse électronique principale"

  4. "« Name ID Format » doit être configuré sur NON SPÉCIFIÉ"

  5. Aucun mappage d'attribut n'est requis, dans la page Attribution de mappage, cliquez sur TERMINÉ

Lorsque l'application Cisco WebEx SAML est créée, vous devez l'activer pour les utilisateurs.

8

Cliquez sur les points verticaux sur le côté droit de l'application SAML Cisco WebEx et faites un choix :

  • activée pour tout le monde
  • activée pour certaines organisations (puis choisissez les organisations)

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

Après avoir exporté les métadonnées Cisco WebEx, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco WebEx à partir de Concentrateur de contrôle.

1

Choisissez une option :

  • Retournez à la Cisco Webex Control Hub – Exportez la page Métadonnées du répertoire dans votre navigateur, puis cliquez sur Suivant.
  • Si Concentrateur de contrôle n'est plus ouvert dans l'onglet du navigateur, à partir de l'affichage du client dans https://admin.webex.com, allez à Paramètres, faites défiler jusqu'à Authentification, choisissez Intégrer un fournisseur d'identité tiers (Avancé), puis cliquez sur Suivant sur la page du fichier de métadonnées approuvées (car vous l'avez déjà fait auparavant).
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Si les métadonnées ne sont pas signées, qu’elles sont signées avec un certificat auto-signé ou qu’elles sont signées avec une autorité de certification d’entreprise (AC) privée, nous vous recommandons d’utiliser un certificat signé par une autorité de certification dans les métadonnées (plus sécurisé). Si le certificat est auto-signé, vous devez choisir l'option la moins sécurisée.

3

Sélectionnez tester la connexion SSO, et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur Webex Teams, signifie généralement qu’il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Concentrateur de contrôle dans la configuration IdP.

4

Retour à l'onglet de navigation .Concentrateur de contrôle

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.

Que faire ensuite

Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs Webex Teams, de votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.