Intégration de l’authentification unique dans Control Hub
Les solutions de gestion et de fédération des accès Web suivantes ont été testées pour les organisations Webex. Les documents liés ci-dessous vous expliquent comment intégrer ce fournisseur d’identité spécifique (IdP) à votre organisation Webex.
Ces guides couvrent l’intégration SSO pour les services Webex qui sont gérés dans Control Hub ( https://admin.webex.com). Si vous recherchez l’intégration SSO d’un site Webex Meetings (géré dans Administration du site), consultez l’article Configurer l’authentification unique pour le site Cisco Webex.
Si vous souhaitez configurer la SSO pour plusieurs fournisseurs d’identité dans votre organisation, consultez SSO avec plusieurs IdP dans Webex.
Si votre IdP ne figure pas dans la liste ci-dessous, suivez les étapes générales de l’onglet Configuration SSO de cet article.
L’authentification unique (SSO) permet aux utilisateurs de se connecter à Webex en toute sécurité en s’authentifiant auprès du fournisseur d’identité (IdP) commun de votre organisation. L’application Webex utilise le service Webex pour communiquer avec le service d’identité de la plateforme Webex. Le service d’identité s’authentifie auprès de votre fournisseur d’identité (IdP).
Vous commencez la configuration dans le Control Hub. Cette section décrit les étapes génériques de haut niveau pour l’intégration d’un IdP tiers.
Lorsque vous configurez le service SSO avec votre IdP, vous pouvez associer n’importe quel attribut à l’uid. Par exemple, mappez le userPrincipalName, un alias de messagerie, une adresse électronique alternative ou tout autre attribut approprié à l’uid. L’IdP doit faire correspondre l’une des adresses électroniques de l’utilisateur à l’uid lors de l’ouverture de session. Webex permet de faire correspondre jusqu’à 5 adresses électroniques à l’uid.
Nous vous recommandons d’inclure la déconnexion unique (SLO) dans la configuration de vos métadonnées lors de la configuration de la fédération Webex SAML. Cette étape est cruciale pour s’assurer que les jetons utilisateur sont invalidés à la fois au niveau du fournisseur d’identité (IdP) et du fournisseur de service (SP). Si cette configuration n’est pas effectuée par un administrateur, Webex avertit les utilisateurs de fermer leurs navigateurs pour invalider les sessions laissées ouvertes.
Pour l’authentification unique SSO et le Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
-
Définissez l'attribut NameID Format sur urn:oasis:names:tc:SAML:2.0:nameid-format :transitoire
-
Configurez une revendication sur l’IdP en fonction du type de SSO que vous déployez :
-
Authentification unique SSO (pour une entreprise–Si vous configurez l’authentification unique SSO pour le compte d’une entreprise, configurez la réclamation IdP pour inclure le nom de l’attribut uid avec une valeur qui correspond à l’attribut choisi dans le connecteur de répertoire ou à l’attribut utilisateur qui correspond à celui choisi dans le service d’identité Webex. (Cet attribut pourrait être des adresses électroniques ou un nom d’utilisateur principal, par exemple).
-
Authentification unique SSO partenaire (pour les fournisseurs de services uniquement)–Si vous êtes un fournisseur de services administrateur et que vous configurez l’authentification unique SSO partenaire pour qu’elle soit utilisée par les entreprises clientes gérées par le fournisseur de services, configurez la réclamation IdP pour inclure l’attribut messagerie électronique (plutôt que l’uid). La valeur doit correspondre à l’attribut choisi dans le Connecteur de répertoire, ou à l’attribut utilisateur correspondant à celui choisi dans le service d’identité Webex.
Pour plus d’informations sur le mappage des attributs personnalisés pour l’authentification unique SSO ou l’authentification unique SSO partenaire, voir https://www.cisco.com/go/hybrid-services-directory.
-
-
Authentification unique SSO partenaire uniquement. Le fournisseur d’identité doit prendre en charge plusieurs URL Assertion Consumer Service (ACS). Pour des exemples de configuration de plusieurs URL ACS sur un fournisseur d’identité, voir :
-
Utiliser un navigateur pris en charge : nous recommandons la dernière version de Mozilla Firefox ou Google Chrome.
-
Désactivez les bloqueurs de fenêtres pop-up dans votre navigateur.
Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient
sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation.
Vous devez établir un contrat SAML entre le service d’identité de la plateforme Webex et votre IdP.
Vous avez besoin de deux fichiers pour effectuer un accord SAML réussi :
-
Un fichier de métadonnées de l’IdP, à remettre à Webex.
-
Un fichier de métadonnées de Webex, à remettre à l’IdP.
Ceci est un exemple d’un fichier de métadonnées PingFederate avec des métadonnées provenant de l'IdP.
Fichier de métadonnées du service d'identité.
Voici ce que vous pouvez voir dans le fichier de métadonnées provenant du service d'identité.
-
ID de l’entité—Ceci est utilisé pour identifier l’accord SAML dans la configuration de l’IdP
-
Il n'y a pas besoin d'une demande d'authentification (AuthN) signée ni de signature d'assertions, elle est conforme à ce que l'IdP demande dans le fichier de métadonnées.
-
Un fichier de métadonnées signé pour que l’IdP vérifie que les métadonnées appartiennent au service d'identité.
1 |
À partir de l’affichage du client dans Control Hub ( https://admin.webex.com), allez dans , faites défiler jusqu’à Authentification et cliquez sur Activer le paramètre SSO pour démarrer l’assistant de configuration. |
2 |
Sélectionnez Webex comme votre IdP et cliquez sur Suivant. |
3 |
Cochez J’ai lu et compris le fonctionnement du fournisseur d’identité Webex et cliquez sur Suivant. |
4 |
Configurer une règle de routage. Une fois que vous avez ajouté une règle de routage, votre IdP est ajouté et s’affiche sous l’onglet Fournisseur d’identité .
Pour plus d’informations, consultez SSO avec plusieurs IdP dans Webex.
|
Que vous ayez reçu un avis concernant un certificat expirant ou que vous souhaitiez vérifier votre configuration SSO existante, vous pouvez utiliser les fonctions de gestion de l’authentification unique (SSO) dans le Control Hub pour la gestion des certificats et les activités générales de maintenance SSO.
Si vous rencontrez des problèmes avec votre intégration SSO, utilisez les exigences et la procédure de cette section pour dépanner le flux SAML entre votre IdP et Webex.
-
Utilisez l’add-on de traçage SAML pour Firefox, Chrome ou Edge.
-
Pour un dépannage, utilisez le navigateur Web où vous avez installé l’outil de débogage de traçage SAML et allez à la version Web de Webex à l’adresse https://web.webex.com.
Voici le flux des messages entre l’application Webex, les services Webex, la plateforme Service d’identité Webex et le fournisseur d’identité (IdP).
1 |
Allez à https://admin.webex.com et avec la SSO activée, l’application demande une adresse électronique.
L’application envoie l’information au service Webex et le service vérifie l’adresse électronique.
|
2 |
Le client envoie une requête GET au serveur d’autorisation OAuth pour obtenir un jeton. La demande est redirigée vers le service d'identité vers le flux SSO ou le flux des noms d'utilisateur et des mots de passe. L’URL pour le serveur d’authentification est retournée. Vous pouvez voir la demande GET dans le fichier de traçage. Dans la section paramètres, le service recherche un code OAuth, l'adresse électronique de l’utilisateur qui a envoyé la demande et d'autres détails OAuth tels que l'ID du client, l'URI de redirection et le champ d'application. |
3 |
L’application Webex demande une assertion SAML de l’IdP en utilisant la norme SAML HTTP POST.
Lorsque la SSO est activée, le moteur de l’authentification dans le service d'identité redirige vers l’URL de l’IdP pour la SSO. L’URL de l’IdP a été fournie lorsque les métadonnées ont été échangées. Vérifiez l’outil de traçage d’un message POST SAML. Vous voyez un message HTTP POST pour l’IdP demandés par l'IdPbroker. Le paramètre RelayState montre la bonne réponse de l’IdP. Vérifiez la version décodée de la demande SAML, il n'y a pas de mandat AuthN et la destination de la réponse doit aller à l'URL de destination de l'IdP. Vérifiez que le format nameid (identifiant du nom) est correctement configuré dans l’IdP sous l'identifiant de l'entité (entityID) adéquat (SPNameQualifier) Le format nameid de l’IdP est spécifié et le nom de l’accord est configuré lors de la création de l’accord SAML. |
4 |
L'authentification de l'application s'effectue entre les ressources Web du système d'exploitation et l'IdP.
En fonction de votre IdP et des mécanismes d’authentification configurés dans l’IdP, des flux différents sont démarrés à partir de l’IdP. |
5 |
L’application renvoie un HTTP Post vers le service d’identité et inclut les attributs fournis par l’IdP et acceptés dans l’accord initial.
Lorsque l’authentification est réussie, l’application envoie les informations dans un message SAML POST au service d’identité. Le paramètre RelayState est le même que le message HTTP POST précédent où l’application indique à l’IdP quel identifiant d'entité (EntityID) demande l’assertion. |
6 |
Assertion SAML de l’IdP vers Webex. |
7 |
Le service d'identité reçoit un code d’autorisation qui est remplacé par un accès OAuth et un jeton d'actualisation. Ce jeton est utilisé pour accéder aux ressources pour le compte de l’utilisateur.
Une fois que le service d’identité a validé la réponse de l’IdP, il émet un jeton OAuth qui permet à l’application Webex d’accéder aux différents services Webex. |