Authentification unique

Webex SSO utilise un identifiant unique pour donner aux personnes de votre organisation l’accès à toutes les applications d’entreprise. Les administrateurs peuvent utiliser Webex Administration pour configurer SSO pour les applications Webex.


 

L'authentification unique est une fonctionnalité en option qui doit être fournie sur votre site. Contactez assistance Cisco pour plus d’informations.

Configurer l’authentification unique SSO

Suivez la procédure ci-dessous pour configurer la SSO et SAML 2.0

Avant de commencer

Obtenir et configurer de les exigences suivantes.

  • Un fournisseur d'identité (IdP) standard SAML 2.0 ou WS Federate 1.0, tel que CA SiteMinder, ADFS et Ping Identity.


     

    SAML 1.1 et WS Federate 1.0 sont obsolètes et ne sont plus pris en charge avec Cisco Webex.

  • Un certificat de clé publique X.509 d'entreprise provenant d'une autorité de certification approuvée, telle que VeriSign et Thawte.

  • Un IdP configuré pour fournir des assertions SAML avec les informations du compte utilisateur et les ID système SAML.

  • Un fichier XML IdP.

  • Une URL pour le service IAM de l'entreprise.

1

Connectez-vous à Webex Administration et allez à Configuration > Paramètres communs du site > Configuration SSO .

2

À partir de la liste déroulante Protocole de fédération, sélectionnez SAML 2.0.

S'il y a une configuration existante, certains champs peuvent être déjà remplis.

3

Cliquez sur le lien Gestionnaire des certificats du site.

4

Dans la fenêtre Gestionnaire des certificats du site, sélectionnez Parcourir et allez à l'emplacement du fichier CER pour votre certificat X.509.

5

Sélectionnez le fichier CER, puis sélectionnez OK.

6

Sélectionnez Fermer.

7

Saisissez les informations requises sur la page Configuration SSO et sélectionnez les options que vous souhaitez activer.

8

Sélectionnez Mettre à jour.

Page de configuration SSO

Le tableau suivant liste et décrit les champs et options sur la page Configuration SSO.


 

Les informations que vous utilisez au cours de la configuration doivent être exactes. Si vous demandez plus de précisions sur les informations requises pour configurer la SSO pour votre site, contactez votre fournisseur d'identité.

Tableau 1. Champs et options de la page Configuration SSO

Champ ou option

Description

AuthnContextClassRef

La déclaration SAML qui décrit l'authentification à l'IdP. Ceci doit correspondre à la configuration IAM. Exemples ADFS : urn:federation:authentication:windows ou urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping exemple : urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

Pour utiliser plus d'une valeur AuthnContextClassRef ajouter un « ; ». Par exemple : urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

Création automatique de compte (facultatif)

Sélectionner pour créer un compte utilisateur. Les champs UID, email et prénom et nom doivent être présents.

Mise à jour automatique du compte (facultatif)

Les comptes Webex peuvent être mis à jour avec la présence d'un attribut updateTimeStamp dans t Lorsque des modifications sont apportées dans l'IdP, le nouvel horodatage est envoyé au site Webex, w compte avec tout attribut envoyé dans l'assertion SAML.

URL d'erreur SSO du client (facultatif)

En cas d'erreur, redirige vers cette URL avec le code d'erreur attaché dans l'URL.

URL de connexion du service SSO du client

URL pour les services d'authentification unique SSO de votre entreprise. Les utilisateurs se connectent généralement avec cette URL. Situé dans le fichier IdP XML (exemple : <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

URL de la page cible Webex par défaut (facultatif)

Lors de l'authentification, affiche une page cible attribuée uniquement à l'application Web.

Importer les métadonnées SAMP (lien)

Cliquez pour ouvrir la boite de dialogue Configuration SSO Web Fédérée - Métadonnées SAML. Les champs des métadonnées importées incluent :

  • Destination AuthnRequestSigned

  • Émetteur pour SAML (ID IdP)

  • URL de connexion du service SSO du client

Émetteur pour SAML (ID IdP)

Une URI identifie uniquement l'IdP. La configuration doit correspondre au paramètre IAM du client. Situé dans le fichier IdP XML (exemple : entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

Format NameID

Doit correspondre à la configuration IdP, les formats suivants étant pris en charge :

  • Non spécifié(s)

  • Adresse électronique

  • Nom de l'objet X509

  • Identificateur d'identité

  • Identificateur persistant

Supprimer le suffixe uid du domaine pour l'UPN (Nom principal de l'utilisateur ) du répertoire actif (Active Directory)

Supprime le domaine Active Directory du Nom principal de l'utilisateur (UPN) lorsqu'il est sélectionné.

Profil SSO

Spécifiez comment les utilisateurs accèdent au site Webex. Sélectionner SP lancé si les utilisateurs démarrent sur le site de réunion Webex et sont redirigés vers le système IdP de l’entreprise pour authentification. Sélectionner IdP lancé si les utilisateurs accèdent au site Webex via le système IAM de l'entreprise.

Authentification SSO pour les invités

Cette fonctionnalité fournit des niveaux de responsabilité supplémentaires à l’authentification de l’utilisateur d’assertion SAML pour les invités internes à l’aide de Webex Meetings, Webex Training et Webex Events. Lorsqu'elle est activée, cette fonctionnalité remplace la fonctionnalité Webex Meetings « Afficher l'étiquette d'utilisateur interne dans la liste des participants ».

Algorithme de signature pour AustnRequest (Demande d'authentification)

Pour une sécurité renforcée, vous pouvez maintenant générer des certificats singés SHA-1, SHA-256 ou SHA-512.

Déconnexion unique (facultatif)

Cocher pour demander une déconnexion et configurer l'URL de déconnexion.


 

La déconnexion unique IdP initié n’est pas prise en charge.

Émetteur Webex SAML (ID SP)

L' URI identifie le service Webex Messenger en tant que SP. La configuration doit correspondre aux paramètres du système de gestion de l'accès d'identité du client. Conventions d'appellation recommandée : Pour Webex Meetings , saisissez l' URL du site Webex Meetings . Pour le service Webex Messenger , utilisez le format « client-domain-name » (exemple : IM-Client-ADFS-WebexEagle-Com).

Vous pouvez exporter un fichier de configuration Webex de métadonnées SAML

Vous pouvez exporter certaines métadonnées, qui peuvent ensuite être importées à l'avenir. Les champs des métadonnées exportées contiennent :

  • Destination AuthnRequestSigned

  • Émetteur pour SAML (ID IdP)

  • URL de connexion au service SSO du client

Renouveler les certificats arrivant à expiration

Avant de commencer

Cette fonctionnalité est uniquement destinée aux administrateurs qui ont configuré la SSO dans Webex Administration et qui ne gèrent pas encore leurs sites dans Control Hub.


 

Nous vous recommandons de mettre à jour le certificat vers votre fournisseur d'identité (IdP) avant novembre 2022. Si le certificat expire, les utilisateurs peuvent ne pas être en mesure de se connecter avec succès.

1

Connectez-vous à Webex Administration et allez à Configuration > Paramètres communs du site > Configuration SSO .

2

Faites défiler vers le bas pour Gestionnaire de certificats du SP du site .

Les détails du certificat en cours d'expiration et du nouveau certificat (numéro de série, date d'expiration, détails de la clé, statut et action) sont affichés. Le certificat en cours d'utilisation est marqué comme Actif.

3

Allez au nouveau certificat et cliquez sur Certification d'exportation .

Vous pouvez également cliquer sur Exporter les métadonnées en bas de l'écran pour télécharger les métadonnées avec le nouveau certificat.


 

Le nouveau fichier de certificat expirera dans un an. Les administrateurs devront surveiller les notifications d'alerte.

4

Chargez le nouveau fichier de certificat sur votre fournisseur d'identité (IdP).

5

Sélectionnez le Actif bouton radio pour le nouveau certificat.

6

Cliquez sur Mettre à jour .

Le nouveau certificat est maintenant actif.

7

Testez le nouveau certificat.

Foire aux questions lors de la mise à jour des certificats

Q. Tous les administrateurs sont-ils concernés par cette fonctionnalité ?

A. Non, seuls les administrateurs qui ont configuré SSO dans Webex Administration sont concernés.

Q. Que se passe-t-il si l'administrateur ne met pas à jour le certificat avant la date d'échéance ?

A. Le certificat expirera et vos utilisateurs ne pourront peut-être pas se connecter à Webex avec succès. Nous vous recommandons de mettre à jour le certificat avant octobre 2023.

Si le certificat expire, vous pouvez toujours vous connecter à l' administration du site pour mettre à jour et activer le nouveau certificat auprès de votre fournisseur d'identité correspondant. Si vous rencontrez un problème lors de la mise à jour du certificat, contactez votre équipe d'assistance Webex.

Q. Quelle est la durée de validité d'un nouveau certificat ?

A. Le nouveau certificat est valide pendant environ un an. L'équipe des opérations Webex génère un nouveau certificat deux mois avant l'expiration du certificat existant. Cela vous donne le temps de planifier et de mettre à jour le certificat avant la date d'échéance.