Connexion unique et Webex Control Hub

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de Fédération Security Assertion Markup Language (SAML 2,0) est utilisé pour fournir l’authentification SSO entre le Cisco Webex Cloud et votre fournisseur d’identité (IdP).

Profils

Cisco Webex Teams prend uniquement en charge le navigateur Web SSO le profil. Dans le navigateur Web SSO profil, Cisco Webex Teams prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2,0 prend en charge plusieurs formats NameID pour communiquer sur un utilisateur spécifique. Cisco Webex Teams prend en charge les formats NameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress

Dans les métadonnées que vous chargez à partir de votre IdP, la première entrée est configurée pour être utilisée dans Cisco Webex.

Intégrer Cisco Webex Control Hub avec Okta pour l’identification unique


Les guides de configuration montrent un exemple spécifique pour l’intégration de SSO mais n’offrent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour NameID-format urn : Oasis : Names : TC : SAML : 2.0 : NameID-format : TRANS sont documentées. Autres formats tels que urn : Oasis : Names : TC : SAML : 1.1 : NameID-format : non spécifié ou urn : Oasis : Names : TC : SAML : 1.1 : NameID-format : EmailAddress fonctionnera pour l’intégration de SSO, mais qui ne font pas partie de notre documentation.

Configurez cette intégration pour les utilisateurs de votre organisation Cisco Webex (y compris Cisco Webex Teams, Cisco Webex Meetings et d’autres services administrés dans Cisco Webex Control Hub). Si votre site Webex est intégré à Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette façon et qu’il n’est pas géré dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer l’SSO pour Cisco Webex Meetings. (Voir Configurez l’identification unique pour Webex pour plus d’informations dans l’intégration SSO dans administration du site.)

Avant de commencer

  • Pour SSO et Cisco Webex Control Hub, IDP doit être conforme à la spécification SAML 2,0. En outre, les IdP doivent être configurés de la manière suivante :
    • Configurez l’attribut du format NameID sur urn : Oasis : Names : TC : SAML : 2.0 : NameID-format :TRANS

    • Configurez une réclamation sur l’IdP pour inclure le nom de l' attribut UID avec une valeur qui est mappée à l’attribut qui est choisi dans Cisco connecteur de répertoire ou l’attribut utilisateur qui correspond à celui qui est choisi dans la service d’identité Cisco Webex. (Cet attribut peut être un adresse électronique ou un nom d’utilisateur principal, par exemple.) Voir les informations de l’attribut personnalisé dans https://www.Cisco.com/go/Hybrid-Services-Directory pour obtenir des instructions.

    • Utiliser un navigateur pris en charge : nous recommandons la dernière version de Mozilla Firefox ou Google Chrome.

    • Désactivez les bloqueurs de fenêtres pop-up dans votre navigateur.

Télécharger les métadonnées Cisco Webex sur votre système local

1

À partir de l’affichage du client dans https://admin.webex.com, allez à Paramètres, puis faites défiler jusqu'à Authentification.

2

Cliquez sur Modifier, puis cliquez sur Intégrer un fournisseur d'identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le nom de fichier des métadonnées Cisco Webex est IDB-meta-<org-ID>-SP. XML.

Configurer Okta pour les services Cisco Webex

1

Connectez-vous au locataire Okta (example.Okta.com, où exemple est le nom de votre entreprise ou de votre organisation) en tant qu’administrateur, allez à applications, puis cliquez sur Ajouter une application.

2

Recherchez "Cisco Webex" et ajoutez l’application à votre client.

3

Cliquez sur suivant puis cliquez sur SAML 2,0.

4

Dans votre navigateur, ouvrez le fichier de métadonnées que vous avez téléchargé à partir de Cisco Webex Control Hub. Copiez les URL de la EntityId (en haut du fichier) et l' emplacement assertionConsumerService (au bas du fichier).

Figure 1. Exemple de entityID en surbrillance dans le fichier de métadonnées Control Hub
Figure 2. Exemple d’emplacement assertionConsumerService en surbrillance dans le fichier de métadonnées Control Hub
5

Dans l' onglet Cisco Webex dans Okta, faites défiler jusqu’à Paramètres avancés, puis collez l' ID d’entité et les valeurs assertion Consumer service que vous avez copiées à partir du fichier de métadonnées Control Hub, puis enregistrez les modifications.

6

Cliquez sur connexion et téléchargez le fichier de métadonnées Okta à partir de vous réimportez ce fichier dans votre instance Control Hub.

7

Cliquez sur affectations, choisissez tous les utilisateurs et tous les groupes appropriés que vous souhaitez associer aux applications et services gérés dans Control Hub, cliquez sur attribuer, puis cliquez sur terminé.

Vous pouvez attribuer un utilisateur ou un groupe. Ne sautez pas cette étape ; Sinon, votre intégration de Control Hub et Okta ne fonctionnera pas.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

Après avoir exporté les métadonnées Cisco Webex, configuré votre IdP et téléchargé les métadonnées IdP sur votre système local, vous êtes prêt à les importer dans votre organisation Cisco Webex à partir de Control Hub.

Avant de commencer

Ne Testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons en charge uniquement les flux initiés par Prestataire de service (initié par le SP), donc vous devez utiliser le test SSO Control Hub pour cette intégration.

1

Choisissez une option :

  • Retournez à la page Cisco Webex Control Hub – exporter les métadonnées du répertoire dans votre navigateur, puis cliquez sur suivant.
  • Si Control Hub n’est plus ouvert dans l’onglet du navigateur, à partir de l’affichage du client dans https://admin.webex.com, allez à paramètres, faites défiler jusqu’à authentification, choisissez intégrer un fournisseur d’identité tiers (avancé), puis cliquez sur suivant sur la page fichier de métadonnées de confiance (car vous l’avez déjà fait auparavant).
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Prochaine.

Si les métadonnées ne sont pas signées, qu’elles sont signées avec un certificat auto-signé ou qu’elles sont signées avec une autorité de certification d’entreprise (AC) privée, nous vous recommandons d’utiliser un certificat signé par une autorité de certification dans les métadonnées (plus sécurisé). Si le certificat est auto-signé, vous devez choisir l'option la moins sécurisée.

3

Sélectionnez tester la connexion SSO, et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Webex Teams signifie généralement un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, en particulier les étapes où vous copiez et collez les métadonnées de Control Hub dans la configuration IdP.

4

Retournez à l’onglet du navigateur Control Hub.

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.

Que faire ensuite

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux Webex teams utilisateurs de votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.