Vous pouvez configurer une intégration authentification unique (SSO) (SSO) entre Control Hub et un déploiement utilisant Google Apps comme fournisseur d’identité (IdP).
Sign-on unique et Control Hub
L’authentification unique (SSO) est un processus d’identification de session ou d’utilisateur qui permet à un utilisateur de fournir des informations d’identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d’autres invites lorsque les utilisateurs changent d’applications au cours d’une session particulière.
Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre le Cloud Webex et votre fournisseur d’identité (IdP).
Profils
L’application Webex prend uniquement en charge le navigateur Web SSO profil. Dans le profil de l SSO Webex, l’application Webex prend en charge les liaisons suivantes :
SP initié POST -> Liaison POST
SP a initié REDIRECT -> Liaison POST
Format NameID
Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. L’application Webex prend en charge les formats nameID suivants.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisé dans Webex.
Déconnexion individuelle
L’application Webex prend en charge le profil de connexion unique. Dans l’application Webex , un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML unique de connexion pour mettre fin à la session et confirmer la connexion avec votre IdP. IdPs SSO testés
Intégrer Control Hub avec Google Apps
Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation. |
Configurer cette intégration pour les utilisateurs dans votre organisation Webex (y compris l’application Webex , Webex Meetings , et autres services gérés dans Control Hub). Si votre site Webex est intégré dans Control Hub , le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder aux Webex Meetings de cette façon et que la gestion n’est pas gérée dans Control Hub , vous devez faire une intégration séparée pour activer la SSO pour Webex Meetings . (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).
Avant de commencer
Pour SSO control Hub , les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
Téléchargez les métadonnées Webex sur votre système local
1 | À partir de l’affichage du client dans , allez à Gestion > Paramètres de l’organisation , puis faites défiler jusqu’à Authentification , puis basculez sur le paramètre Authentification unique pour lancer l’assistant https://admin.webex.com d’installation. |
||
2 | Choisissez le type de certificat pour votre organisation :
|
||
3 | Télécharger le fichier de métadonnées. Le fichier de métadonnées Webex est idb-meta-<org-ID>-SP.xml. |
Configurer une application personnalisée dans l’administration Google
1 | Connectez-vous à la console d’administration Google Apps ( ) en utilisant un compte ayant leshttps://admin.google.comautorisations administratives, puis cliquez sur Applications > applications Web et mobiles . |
2 | À partir de la drop-down Ajouter une application, cliquez sur Ajouter une application SAMLpersonnalisée. |
3 | Sur la page Informations sur l’Idp Google dans la section Option 1, cliquez sur TÉLÉCHARGER LES MÉTADONNÉES et enregistrez le fichier dans un emplacement facile à trouver sur votre système local. Le fichier de métadonnées Google est téléchargé. Le format du nom de fichier est GoogleIDPMetadata-<domain name="">.xml. |
4 | Cliquez sur Suivant. |
5 | Sur la page Informations de base de votre application personnalisée, saisissez le nom de l’application Application Webex et cliquez sur SUIVANT. |
6 | Pour remplir la page Détails Prestataire de service l’application, ouvrez dans un éditeur de texte le fichier de métadonnées Webex que vous avez téléchargé plus tôt. Lorsque l’application Webex SAML est créée, vous devez l’activer pour les utilisateurs. |
7 | Cliquez sur les points verticaux sur le côté droit de l’application Webex SAML et choisissez-en un :
|
Importer les métadonnées IdP et activer les authentification unique (SSO) après un test
Après avoir exporté les métadonnées Webex, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à l’importer dans votre organisation Webex à partir de Control Hub .
Avant de commencer
Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons uniquement en charge les flux initiés par le fournisseur de services (SP), vous devez donc utiliser le test SSO de Control Hub pour cette intégration.
1 | Choisissez une option :
|
||||
2 | Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l’option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant. Vous devez utiliser l’option Plus sécurisée, si vous le pouvez. Ceci est possible uniquement si votre IdP a utilisé une AC publique pour signer ses métadonnées. Dans tous les autres cas, vous devez utiliser l’option Moins sécurisée. Ceci inclut si les métadonnées ne sont pas signées, auto-signées, ou signées par une AC privée. |
||||
3 | Sélectionnez Tester SSO l’installation du , puis lorsqu’un nouvel onglet de navigation s’ouvre, authentifier avec l’IdP en vous inscrivant.
|
||||
4 | Retournez à l’onglet Control Hub du navigateur.
|
Ce qu’il faut faire ensuite
Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs de l’application Webex de votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.