Authentification unique

Webex SSO utilise un identificateur unique pour donner accès à toutes les applications de votre entreprise aux personnes de votre organisation. Les administrateurs peuvent utiliser l’Administration Webex pour configurer les SSO pour les applications Webex.

L'authentification unique est une fonctionnalité en option qui doit être fournie sur votre site. Contactez le service d’assistance Cisco pour plus d’informations.

Configurer la SSO

Suivez la procédure ci-dessous pour configurer la SSO et SAML 2.0

Avant de commencer

Obtenir et configurer de les exigences suivantes.

  • Un Fournisseur d'identité (IdP) conforme au SAML 2.0 ou WS Federate 1.0 standard, tel que CA SiteMinder, ADFS et Ping Identity.

    SAML 1.1 et WS Federate 1.0 sont dépréciés et ne sont plus pris en charge avec Cisco Webex.

  • Un certificat de clé publique X.509 d'entreprise provenant d'une autorité de certification approuvée, telle que VeriSign et Thawte.

  • Un IdP configuré pour fournir les assertions SAML avec les informations compte utilisateur et les ID des systèmes SAML.

  • Un fichier XML IdP.

  • Une URL pour le service IAM de l'entreprise.

1

Connectez-vous à l’Administration Webex et allez à Configuration et > communs du site > SSO configuration.

2

À partir de la liste déroulante Protocole de fédération, sélectionnez SAML 2.0.

S'il y a une configuration existante, certains champs peuvent être déjà remplis.

3

Cliquez sur le lien Gestionnaire des certificats du site.

4

Dans la fenêtre Gestionnaire des certificats du site, sélectionnez Parcourir et allez à l'emplacement du fichier CER pour votre certificat X.509.

5

Sélectionnez le fichier CER, puis sélectionnez OK.

6

Sélectionnez Fermer.

7

Saisissez les informations requises sur la page Configuration SSO et sélectionnez les options que vous souhaitez activer.

8

Sélectionnez Mettre à jour.

Page de configuration SSO

Le tableau suivant liste et décrit les champs et options sur la page Configuration SSO.

Les informations que vous utilisez au cours de la configuration doivent être exactes. Si vous demandez plus de précisions sur les informations requises pour configurer la SSO pour votre site, contactez votre fournisseur d'identité.

Tableau 1. Champs et options de la page Configuration SSO

Champ ou option

Description

AuthnContextClassRef

La déclaration SAML qui décrit l'authentification à l'IdP. Ceci doit correspondre à la configuration IAM. Exemples ADFS : urn:federation:authentication:windows ou urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping exemple : urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

Pour utiliser plus d'une valeur AuthnContextClassRef ajouter un « ; ». Par exemple : urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Création automatique de compte (facultatif)

Sélectionner pour créer un compte utilisateur. Les champs de l’UID, adresse électronique et prénom et nom doivent être présents pour assertion.

Mise à jour automatique du compte (facultatif)

Les comptes Webex peuvent être mis à jour avec la présence d’un attribut updateTimeStamp dans t Lorsque des modifications sont effectuées dans l’IdP, le nouvel est envoyé vers le site Webex, avec un attribut envoyé dans l’assertion SAML.

URL d'erreur SSO du client (facultatif)

En cas d'erreur, redirige vers cette URL avec le code d'erreur attaché dans l'URL.

URL de connexion du service SSO du client

URL pour les services d'authentification unique SSO de votre entreprise. Les utilisateurs se connectent généralement avec cette URL. Situé dans le fichier IdP XML (exemple : <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

URL de la page cible Webex par défaut (facultatif)

Lors de l'authentification, affiche une page cible attribuée uniquement à l'application Web.

Importer les métadonnées SAMP (lien)

Cliquez pour ouvrir la boite de dialogue Configuration SSO Web Fédérée - Métadonnées SAML. Les champs des métadonnées importées incluent :

  • Destination AuthnRequestSigned

  • émetteur pour SAML (ID IdP)

  • URL de connexion du service SSO du client

émetteur pour SAML (ID IdP)

Une URI identifie uniquement l'IdP. La configuration doit correspondre au paramètre IAM du client. Situé dans le fichier IdP XML (exemple : entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Format NameID

Doit correspondre à la configuration IdP, prise en charge des formats suivants :

  • Non spécifié(s)

  • Adresse électronique

  • Nom de l'objet X509

  • Identificateur d'identité

  • Identificateur persistant

Supprimer le suffixe uid du domaine pour l'UPN (Nom principal de l'utilisateur ) du répertoire actif (Active Directory)

Supprime le domaine Active Directory du Nom principal de l'utilisateur (UPN) lorsqu'il est sélectionné.

Profil SSO

Spécifier comment les utilisateurs accèdent au site Webex. Sélectionnez SP initié si les utilisateurs démarrent sur le site de réunion Webex et sont redirigés vers le système IdP de l’entreprise pour authentification. Sélectionnez IdP Initié si les utilisateurs accèdent au site Webex via le système IAM de l’entreprise.

Authentification SSO pour les invités

Cette fonctionnalité fournit des niveaux de responsabilité supplémentaires à l’authentification utilisateur de l’assertion SAML pour les invités internes utilisant Webex Meetings, Webex Training et Webex Events. Lorsqu'elle est activée, cette fonctionnalité remplace la fonctionnalité Webex Meetings « Afficher la balise d'utilisateur interne dans la liste des participants ».

Algorithme de signature pour AuthnRequest

Pour une sécurité renforcée, vous pouvez maintenant générer des certificats singés SHA-1, SHA-256 ou SHA-512.

Déconnexion unique (facultatif)

Cocher pour demander une déconnexion et configurer l'URL de déconnexion.

La déconnexion unique IdP initié n’est pas prise en charge.

Émetteur Webex SAML (ID SP)

L’URI identifie le service Webex Messenger en tant que SP. La configuration doit correspondre aux paramètres du système de gestion de l'accès d'identité du client. Conventions d'appellation recommandée : Pour Webex Meetings, saisissez l’URL Webex Meetings du site. Pour le service Webex Messenger, utilisez le format « client-domaine-nom » (exemple : IM-Client-ADFS-WebexEagle-Com).

Vous pouvez exporter un fichier de configuration Webex de métadonnées SAML

Vous pouvez exporter certaines métadonnées, qui peuvent ensuite être importées à l'avenir. Les champs des métadonnées exportées contiennent :

  • Destination AuthnRequestSigned

  • émetteur pour SAML (ID IdP)

  • URL de connexion au service SSO du client

Renouveler les certificats qui expirent

Avant de commencer

Cette fonctionnalité est uniquement pour les administrateurs qui SSO configurés dans l’Administration Webex et qui ne gèrent pas encore leurs sites dans Control Hub.

Nous vous recommandons de mettre à jour le certificat auprès de votre fournisseur d’identité (IdP) avant novembre 2022. Si le certificat expire, les utilisateurs ne pourront peut-être pas se connecter avec succès.

1

Connectez-vous à l’Administration Webex et allez à Configuration et > communs du site > SSO configuration.

2

Faites défiler jusqu'à Gestionnaire des certificats SP du site.

Les détails du certificat expirant et du nouveau (numéro de série, date d'expiration, détails de la clé, état et action) s'affichent. Le certificat actuellement en cours d’utilisation est marqué Comme Actif.

3

Allez sur le nouveau certificat et cliquez sur Exporter la certification.

Vous pouvez également cliquer sur Exporter les métadonnées en bas de l’écran pour télécharger les métadonnées avec le nouveau certificat.

Le nouveau certificat expirera dans un an. Les administrateurs doivent être à l’écoute des notifications d’alerte.

4

Téléchargez le nouveau fichier de certificat sur votre fournisseur d'identité (IdP).

5

Sélectionnez le bouton radio Actif pour le nouveau certificat.

6

Cliquez sur Mettre à jour.

Le nouveau certificat est maintenant actif.

7

Tester le nouveau certificat.

Questions fréquemment posées lors de la mise à jour des certificats

Q. Tous les administrateurs sont-ils affectés par cette fonctionnalité ?

R. Non, seuls les administrateurs qui ont configuré SSO dans l’Administration Webex sont affectés.

Q. Que se passe-t-il si l'administrateur ne met pas à jour le certificat avant la date d'échéance ?

R. Le certificat expirera et vos utilisateurs ne pourront peut-être pas se connectant à Webex avec succès. Nous vous recommandons de mettre à jour le certificat avant octobre 2023.

Si le certificat expire, vous pouvez toujours vous connecter à l'administration du site pour mettre à jour et activer le nouveau certificat auprès de votre fournisseur d'identité correspondant. Si vous faites face à un quelconque problème lors de la mise à jour du certificat, contactez Webex Support é team.

Q. Quelle est la durée de validité d'un nouveau certificat ?

R. Le nouveau certificat est valide pendant environ un an. L’équipe des opérations Webex génère un nouveau certificat deux mois avant l’expiration du certificat existant. Ceci vous fournit le temps de planifier et de mettre à jour le certificat avant la date d’échéance.