Connexion unique et Webex Control Hub

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de Fédération Security Assertion Markup Language (SAML 2,0) est utilisé pour fournir l’authentification SSO entre le Cisco Webex Cloud et votre fournisseur d’identité (IdP).

Profils

Cisco Webex Teams prend uniquement en charge le navigateur Web SSO le profil. Dans le navigateur Web SSO profil, Cisco Webex Teams prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2,0 prend en charge plusieurs formats NameID pour communiquer sur un utilisateur spécifique. Cisco Webex Teams prend en charge les formats NameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress

Dans les métadonnées que vous chargez à partir de votre IdP, la première entrée est configurée pour être utilisée dans Cisco Webex.

Déconnexion individuelle

Cisco Webex Teams prend en charge le profil de déconnexion unique. Dans l’application Cisco Webex Teams, un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML Single logout pour mettre fin à la session et confirmer la déconnexion avec votre IdP. IdPs SSO testés

Intégrer F5 BIG IP avec Cisco Webex Control Hub pour l’identification unique


Les guides de configuration montrent un exemple spécifique pour l’intégration de SSO mais n’offrent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour NameID-format urn : Oasis : Names : TC : SAML : 2.0 : NameID-format : TRANS sont documentées. Autres formats tels que urn : Oasis : Names : TC : SAML : 1.1 : NameID-format : non spécifié ou urn : Oasis : Names : TC : SAML : 1.1 : NameID-format : EmailAddress fonctionnera pour l’intégration de SSO, mais qui ne font pas partie de notre documentation.

Configurez cette intégration pour les utilisateurs de votre organisation Cisco Webex (y compris Cisco Webex Teams, Cisco Webex Meetings et d’autres services administrés dans Cisco Webex Control Hub). Si votre site Webex est intégré à Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette façon et qu’il n’est pas géré dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer l’SSO pour Cisco Webex Meetings. (Voir Configurez l’identification unique pour Webex pour plus d’informations dans l’intégration SSO dans administration du site.)

Avant de commencer

Pour SSO et Cisco Webex Control Hub, IDP doit être conforme à la spécification SAML 2,0. En outre, les IdP doivent être configurés de la manière suivante :

Télécharger les métadonnées Cisco Webex sur votre système local

1

À partir de l’affichage du client dans https://admin.webex.com, allez à Paramètres, puis faites défiler jusqu'à Authentification.

2

Cliquez sur Modifier, cliquez sur Intégrer un fournisseur d’identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le nom de fichier des métadonnées Cisco Webex est IDB-meta-<org-ID>-SP. XML.

Configurer le fournisseur de services et le fournisseur d'identité externes

1

À partir de votre interface d'administration BIG-IP F5, allez à Politique d'accès > SAML > BIG-IP comme IdP. > >

2

À partir de Connecteurs SP externes, sélectionnez Créer > À partir des métadonnées . >

3

Saisissez un nom explicite pour le nom du fournisseur de service, tel que .ciscowebex.com.<yourorganizationname>

4

Sous Paramètres sécurité, cochez les cases suivantes :

  • La réponse doit être signée
  • L'assertion doit être signée
5

Retournez à Politique d'accès > SAML > BIG-IP comme IdP puis créez un nouveau service de fournisseur d'identité (IdP).

6

Saisissez un nom explicite pour le nom de l'IDP, tels que le IC.

7

Pour l'ID d'entité IdP, utilisez le FQDN du serveur Big-IP avec quelque chose en face—par exemple, https://bigip0a.uc8sevtlab13.com/CI.

8

Sous Paramètres d'assertion, sélectionnez Identifiant transitoire pourtype de sujet d'assertion.

9

Pour la Valeur pour l'assertion, renvoyez la valeur du courrier électronique de l'utilisateur %{session.ad.last.attr.mail}.

10

Renvoyez les attributs adresse électronique et uid avec la valeur %{session.ad.last.attr.mail}.

11

Sous Paramètres sécurité, sélectionner un certificat pour signer l'assertion.

12

Enregistrez vos modifications, puis liez le fournisseur de services et le fournisseur d'identité que vous avez créé.

Télécharger les métadonnées F5 Big-IP

1

Sélectionnez Exporter le service IDP.

2

Assurez-vous que la valeur des métadonnées de signe est Oui.

3

Téléchargez le fichier de métadonnées sur votre bureau ou dans un dossier facile à trouver.

Ajouter une politique d'accès

1

Accédez à Politique d'accès > Accès aux profils > SAML et créez une ressource SAML pour l'IdP que vous avez créée.

2

Allez à votre accès aux profils et éditez votre politique d'accès que vous utilisez pour Webex Messenger CAS.

3

Ajouter un nouvel onglet Connexion avec le nom de Page de connexion et laissez les valeurs par défaut.

4

Ajoutez un nouvel élément dans l'onglet Authentification avec le nom AD Auth et spécifiez votre répertoire actif comme serveur.

5

Sur la succursale réussie, ajoutez requête AD à partir de l'onglet Authentication

6

Accédez à Règles de branche et modifiez-la en La requête AD est transmise.

7

Sur la succursale réussie de la requête AD, ajoutez Affectation avancée des ressources de l'onglet Affectation.

8

Cliquez sur Ajouter/Supprimer et ajoutez deux ressources SAML avec toutes les ressources SAML et Webtop que vous avez créées.

9

Pour Sélectionnez Terminer, sélectionnez Autoriser.

La politique d'accès devrait ressembler à cette capture d'écran :

Associer le profil d'accès avec le serveur virtuel

Vous devez associer au profil d'accès que vous avez créées Virtual Server.

1

Allez à Trafic local > Serveurs virtuels. >

2

Ouvrez les profils d'accès pour confirmer qu'aucun serveur virtuel n'est associé au profil.

3

Sélectionnez Affectation avancée de ressources.

4

Sélectionnez Ajouter/Supprimer pour ajouter la nouvelle ressource SAML.

5

Fermez les fenêtres de conception de la politique d'accès et appliquez la nouvelle stratégie d'accès.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

Après avoir exporté les métadonnées Cisco Webex, configuré votre IdP et téléchargé les métadonnées IdP sur votre système local, vous êtes prêt à les importer dans votre organisation Cisco Webex à partir de Control Hub.

Avant de commencer

Ne Testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons en charge uniquement les flux initiés par Prestataire de service (initié par le SP), donc vous devez utiliser le test SSO Control Hub pour cette intégration.

1

Choisissez une option :

  • Retournez à la page Cisco Webex Control Hub – exporter les métadonnées du répertoire dans votre navigateur, puis cliquez sur suivant.
  • Si Control Hub n’est plus ouvert dans l’onglet du navigateur, à partir de l’affichage du client dans https://admin.webex.com, allez à paramètres, faites défiler jusqu’à authentification, choisissez intégrer un fournisseur d’identité tiers (avancé), puis cliquez sur suivant sur la page fichier de métadonnées de confiance (car vous l’avez déjà fait auparavant).
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Si les métadonnées ne sont pas signées, qu’elles sont signées avec un certificat auto-signé ou qu’elles sont signées avec une autorité de certification d’entreprise (AC) privée, nous vous recommandons d’utiliser un certificat signé par une autorité de certification dans les métadonnées (plus sécurisé). Si le certificat est auto-signé, vous devez choisir l'option la moins sécurisée.

3

Sélectionnez Tester la connexion SSO et quand un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Webex Teams signifie généralement un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, en particulier les étapes où vous copiez et collez les métadonnées de Control Hub dans la configuration IdP.

4

Retournez à l’onglet du navigateur Control Hub.

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.

Que faire ensuite

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux Webex teams utilisateurs de votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.