Sign-on unique et Control Hub

L’authentification unique (SSO) est un processus d’identification de session ou d’utilisateur qui permet à un utilisateur de fournir des informations d’identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d’autres invites lorsque les utilisateurs changent d’applications au cours d’une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre le Cloud Webex et votre fournisseur d’identité (IdP).

Profils

L’application Webex prend uniquement en charge le navigateur Web SSO profil. Dans le profil de l SSO Webex, l’application Webex prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. L’application Webex prend en charge les formats nameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisé dans Webex.

Déconnexion individuelle

L’application Webex prend en charge le profil de connexion unique. Dans l’application Webex, un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML unique de connexion pour mettre fin à la session et confirmer la connexion avec votre IdP. IdPs SSO testés

Intégrer Control Hub avec Shibboleth

Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation.

Configurer cette intégration pour les utilisateurs dans votre organisation Webex ( y compris l’application Webex, Webex Meetings, et autres services gérés dans Control Hub). Si votre site Webex est intégré dans Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder aux Webex Meetings de cette façon et que celle-ci n’est pas gérée dans Control Hub, vous devez faire une intégration séparée pour activer la SSO pour les Webex Meetings. (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).

Les étapes d'intégration se réfèrent à Shibboleth 2.4.5 dans CentOS 7 avec Tomcat 7 comme serveur Web.

Avant de commencer

Pour SSO control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :

Téléchargez les métadonnées Webex sur votre système local

1

À partir de l’affichage du client dans , https://admin.webex.com allez à Gestion > Paramètresde l’organisation, puis faites défiler jusqu’à Authentification,puis basculez sur le paramètre Authentification unique pour lancer l’assistant d’installation.

2

Choisissez le type de certificat pour votre organisation :

  • Auto-signé par Cisco—Nousrecommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans.
  • Signé par une autorité de certification publique—Plus sécurisée mais vous devez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prend en charge les ancres de confiance).

 

Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
3

Télécharger le fichier de métadonnées.

Le fichier de métadonnées Webex est idb-meta-<org-ID>-SP.xml.

Configurer l’autorisation dans les fichiers Shibboleth

Après avoir installé Schibboleth, vous trouverez des exemples de configuration.

1

Allez au répertoire /opt/shibboleth-idp/conf pour accéder aux exemples de fichiers.
2

Décidez de la méthode d'autorisation à utiliser—par exemple, LDAP se lie au répertoire actif.
3

Modifiez le fichier handler.xml comme suit :

Sans commentaire

    <!--  Username/password login handler -->
    <ph:LoginHandler xsi:type="ph:UsernamePassword"
                  jaasConfigurationLocation="file:///opt/shibboleth-idp/conf/login.config">  
  <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</ph:AuthenticationMethod>
    </ph:LoginHandler>

Commentaire

<ph:LoginHandler xsi:type="ph:RemoteUser"> 
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>
    </ph:LoginHandler>
4

Remplir les détails de votre répertoire actif pour permettre l'authentification. Fournissez la configuration au fichier login.config.

Exemple :

ShibUserPassAuth {
   edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://ad0a.cisco.net:389"
      ssl="false"
      tls="false"
      baseDn="cn=Users,dc=cisco,dc=net"
      subtreeSearch="true"
      userFilter="sAMAccountName={0}"
      bindDn="cn=Administrator,cn=Users,dc=cisco,dc=net"
      bindCredential="ThePassword";
};

Configurer les composants du fournisseur de services Shibboleth pour l’assertion SAML

1

Ajoutez le fichier que vous avez téléchargé à partir du FS Webex dans le répertoire /opt/shibboleth-idp/metadata.
2

Modifiez le fichier relying-party.xml ; après la balise DefaultRelyingParty, ajoutez les détails de l’assertion SAML pour Webex.

 <rp:RelyingParty id="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-
22de53230d1e"
              provider="https://shib9a.cisco.net/idp/shibboleth"
              defaultSigningCredentialRef="IdPCredential">
            <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                includeAttributeStatement="true"
                assertionLifetime="PT5M" assertionProxyCount="0"
                signResponses="never" signAssertions="always"
                encryptAssertions="conditional" encryptNameIds="never"
                includeConditionsNotBefore="true"/>
        </rp:RelyingParty>

Pour l’id, vous devez utiliser la valeur EntityID (ID de l’entité) à partir du fichier de métadonnées Webex . Ajoutez l'attribut supplémentaire attendu par le fournisseur de services et définissez ce qu'il doit correspondre dans la source d'attributs.
3

À l'intérieur des métadonnées : balise MetadataProvider, ajoutez l'emplacement du fichier :

 <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:Chaini
ngMetadataProvider">
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetad
ataProvider" metadataFile="/opt/shibboleth-idp/metadata/idp-metadata.xml" maxRefreshDelay="P1D" />
    <!--     Cisco UCXN Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="ucxn9a" metadataFile="/opt/shibboleth-idp/metad
ata/ucxn9a-single-agreement.xml" />
    <!--     Cisco CUCM Configuration               -->
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="cucm9a" metadataFile="/opt/shibboleth-idp/metad
ata/cucm9a.cisco.net-single-agreement.xml" />
    <!--     Cisco CI Configuration               
   <metadata:MetadataProvider xsi:type="FilesystemMetadataProvider" xmlns="urn:m
ace:shibboleth:2.0:metadata" id="CI" metadataFile="/opt/shibboleth-idp/metadata/
idb-meta-ea7c1420-711d-4916-95f8-22de53230d1e-SP.xml" />
    </metadata:MetadataProvider>

Les métadonnées SP proviennent d’un fichier dans le système de fichiers Shibboleth, à l’emplacement où vous avez téléchargé les métadonnées de votre organisation Webex .

Configurer les attributs d’assertion

1

Dans la section Connecteur de données, indiquez où récupérer les attributs de vos utilisateurs. Exemple :

Exemple :

Répertoire actif, avec un id de MyLDAP.

<resolver:DataConnector id="MyLDAP" xsi:type="dc:LDAPDirectory"
      ldapURL="ldap://ad0a.cisco.net:389"
      baseDN="cn=Users,dc=cisco,dc=net"
      principal="Administrator@cisco.net"
      principalCredential="ThePassword">
        <dc:FilterTemplate>
            <![CDATA[
                (sAMAccountName=$requestContext.principalName)
            ]]>
        </dc:FilterTemplate>
    </resolver:DataConnector>
2

Dans la section Définition d'attribut, conservez ce qui est déjà dans la configuration pour transientID.
3

Ajoutez l'attribut supplémentaire attendu par le SP et définissez ce qu'il mappe dans la source de l'attribut.

Exemple :

Mapotez l’attribut mail (attribut d’adresse de messagerie dans Active Directory) à uid (UserID dans Webex).
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>
4

Définissez l'attribut à fournir à chaque accord SP dans le fichier attribute-filter.xml.

Fournissez l’attribut uid à Webex qui fait le mapoter sur l’adresse électronique de l’utilisateur.

Exemple :

Relâchez l’attribut uid dans l’accord SP avec Webex.

<!--  Release the attributes to cisco CI Cloud  -->
    <afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/ea7c1420-711d-4916-95f8-22de53230d1e" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

La règle que vous avez créée dans attribute-resolver.xml doit avoir une politique pour publier l’attribut mail-attr vers l’EntityID (EntityID ) qui correspond à Webex.
5

Téléchargez le fichier de métadonnées à partir du serveur Shibboleth dans /opt/shibboleth-idp/metadata. Le nom de fichier est idp-metadata.xml.

Importer les métadonnées IdP et activer les authentification unique (SSO) après un test

Après avoir exporté les métadonnées Webex , configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à les importer dans votre organisation Webexà partir de Control Hub.

Avant de commencer

Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons uniquement en charge les flux initiés par le fournisseur de services (SP), vous devez donc utiliser le test SSO de Control Hub pour cette intégration.

1

Choisissez une option :

  • Retournez à la page Control Hub – choix de certificat dans votre navigateur, puis cliquez sur Suivant.
  • Si Control Hub n’est plus ouvert dans l’onglet du navigateur, https://admin.webex.comà partir de l’affichage du client dans , allez à Gestion > Paramètresde l’organisation, faites défiler jusqu’à Authentification, puis choisissez Actions > Importerles métadonnées.
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l’option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Vous devez utiliser l’option Plus sécurisée , si vous le pouvez. Ceci est possible uniquement si votre IdP a utilisé une AC publique pour signer ses métadonnées.

Dans tous les autres cas, vous devez utiliser l’option Moins sécurisée . Ceci inclut si les métadonnées ne sont pas signées, auto-signées, ou signées par une AC privée.
3

Sélectionnez Tester SSO l’installationdu réseau, puis lorsqu’un nouvel onglet de navigation s’ouvre, authentifier avec l’IdP en vous authentification.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

 

Pour voir l’SSO de se inscrire directement, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigateur privée. À partir de là, vous pouvez aller jusqu’à la signature avec SSO. Cette étape arrête les faux positif en raison d’un jeton d’accès qui peut être dans une session existante à partir de votre signature.
4

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Allumez le SSO et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Échec du test. Éteint et SSO cliquez sur Suivant.

 

La configuration SSO’entrée en réseau ne prend pas effet dans votre organisation à moins que vous ne choisissiez bouton à cliquer et activez le SSO.

Ce qu’il faut faire ensuite

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateursde l’application Webex de votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.