- Accueil
- /
- Article
Configurer les authentification unique (SSO) dans Control Hub avec F5 Big-IP
Vous pouvez configurer une intégration authentification unique (SSO) (SSO) entre Control Hub et un déploiement qui utilise F5 Big-IP en tant que fournisseur d’identité (IdP).
Sign-on unique et Control Hub
L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.
Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre le Cloud Webex et votre fournisseur d’identité (IdP).
Profils
L’application Webex prend uniquement en charge le navigateur Web SSO profil. Dans le profil de l SSO Webex, l’application Webex prend en charge les liaisons suivantes :
-
SP initiated POST-> POST binding
-
SP initiated REDIRECT-> POST binding
Format NameID
Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. L’application Webex prend en charge les formats nameID suivants.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
-
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
-
urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress
Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisé dans Webex.
Déconnexion individuelle
L’application Webex prend en charge le profil de connexion unique. Dans l’application Webex, un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML unique de connexion pour mettre fin à la session et confirmer la connexion avec votre IdP. IdPs SSO testés
Intégrer Control Hub avec F5 Big-IP
Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient
sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation.
Configurer cette intégration pour les utilisateurs dans votre organisation Webex ( y compris l’application Webex, Webex Meetings, et autres services gérés dans Control Hub). Si votre site Webex est intégré dans Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder aux Webex Meetings de cette façon et que celle-ci n’est pas gérée dans Control Hub, vous devez faire une intégration séparée pour activer la SSO pour les Webex Meetings. (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).
Avant de commencer
Pour l’authentification unique SSO et le Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
Téléchargez les métadonnées Webex sur votre système local
1 |
À partir de l’affichage du client dans , https://admin.webex.com allez à Gestion > puis basculez sur le paramètre Authentification unique pour lancer l’assistant d’installation. |
2 |
Choisissez le type de certificat pour votre organisation :
Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP. |
3 |
Télécharger le fichier de métadonnées. Le nom de fichier de métadonnées Webex est idb-meta--sp.xml. |
Configurer le fournisseur de service et le fournisseur d’identité externes
1 |
À partir de votre interface d'administration BIG-IP F5, allez à . |
2 |
À partir de Connecteurs SP externes, sélectionnez . |
3 |
Saisissez un nom explicite pour le nom du fournisseur de service, tel que .ciscowebex.com. |
4 |
Sous Paramètres sécurité, cochez les cases suivantes :
|
5 |
Retournez à , puis créez un nouveau service de fournisseur d'identité (IdP). |
6 |
Saisissez un nom explicite pour le nom de l'IDP, tels que le IC. |
7 |
Pour l’ID de l’entité IdP, utilisez le FDQN du serveur Big-IP avec quelque chose en face—par exemple, https://bigip0a.uc8sevtlab13.com/CI. |
8 |
Sous Paramètres d'assertion, sélectionnez Identifiant transitoire pourtype de sujet d'assertion. |
9 |
Pour la Valeur pour l'assertion, renvoyez la valeur du courrier électronique de l'utilisateur %{session.ad.last.attr.mail}. |
10 |
Renvoyez les attributs adresse électronique et uid avec la valeur %{session.ad.last.attr.mail}. |
11 |
Sous Paramètres sécurité, sélectionner un certificat pour signer l'assertion. |
12 |
Enregistrez vos modifications, puis liez le fournisseur de services et le fournisseur d'identité que vous avez créé. |
Télécharger les métadonnées F5 Big-IP
1 |
Sélectionnez Exporter le service IDP. |
2 |
Assurez-vous que la valeur des Signes de métadonnées est Oui. |
3 |
Téléchargez le fichier de métadonnées sur votre bureau ou dans un dossier facile à trouver. |
Ajouter une politique d’accès
1 |
Accédez à Politique d'accès > Accès aux profils > SAML et créez une ressource SAML pour l'IdP que vous avez créée. |
2 |
Allez à votre accès aux profils et éditez votre politique d'accès que vous utilisez pour WebEx Messenger CAS. |
3 |
Ajouter un nouvel onglet Connexion avec le nom de Page de connexion et laissez les valeurs par défaut. |
4 |
Ajoutez un nouvel élément dans l'onglet Authentification avec le nom AD Auth et spécifiez votre répertoire actif comme serveur. |
5 |
Sur la succursale réussie, ajoutez requête AD à partir de l'onglet Authentication |
6 |
Accédez à Règles de branche et modifiez-la en La requête AD est transmise. |
7 |
Sur la succursale réussie de la requête AD, ajoutez Affectation avancée des ressources de l'onglet Affectation. |
8 |
Cliquez sur Ajouter/Supprimer et ajoutez deux ressources SAML avec toutes les ressources SAML et Webtop que vous avez créées. |
9 |
Pour Sélectionnez Terminer, sélectionnez Autoriser. La politique d'accès devrait ressembler à cette capture d'écran : |
Associer le profil d’accès au serveur virtuel
Vous devez associer au profil d'accès que vous avez créées Virtual Server.
1 |
Allez à . |
2 |
Ouvrez les profils d'accès pour confirmer qu'aucun serveur virtuel n'est associé au profil. |
3 |
Sélectionnez Affectation avancée de ressources. |
4 |
Sélectionnez Ajouter/Supprimer pour ajouter la nouvelle ressource SAML. |
5 |
Fermez les fenêtres de conception de la politique d'accès et appliquez la nouvelle stratégie d'accès. |
Importer les métadonnées IdP et activer les authentification unique (SSO) après un test
Après avoir exporté les métadonnées Webex , configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à les importer dans votre organisation Webex à partir de Control Hub.
Avant de commencer
Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons en charge uniquement les flux initiés par Prestataire de service (initié par le SP), donc vous devez utiliser le test SSO Control Hub pour cette intégration.
1 |
Choisissez une option :
|
2 |
Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.
Vous devez utiliser l’option Plus sécurisée , si vous le pouvez. Ceci est possible uniquement si votre IdP a utilisé une AC publique pour signer ses métadonnées. Dans tous les autres cas, vous devez utiliser l’option Moins sécurisée . Ceci inclut si les métadonnées ne sont pas signées, auto-signées, ou signées par une AC privée. Okta ne signe pas les métadonnées, donc vous devez choisir Moins de sécurité pour une intégration SSO Okta. |
3 |
Sélectionnez Tester la configuration de l’authentification unique SSO et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant. Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer. Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP. Pour voir directement l’expérience de connexion SSO, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette étape arrête les faux positif en raison d’un jeton d’accès qui peut être dans une session existante à partir de votre signature. |
4 |
Retournez à l’onglet Control Hub du navigateur.
La configuration SSO’entrée en réseau ne prend pas effet dans votre organisation à moins que vous ne choisissiez bouton à cliquer et activez le SSO. |
Ce qu’il faut faire ensuite
Utilisez les procédures de Synchroniser les utilisateurs Okta dans Cisco Webex Control Hub si vous souhaitez que les utilisateurs s’y provisionnent hors d’Okta dans le Cloud Webex.
Utilisez les procédures dans Synchroniser Azure Active Directory utilisateurs dans Cisco Webex Control Hub si vous souhaitez que l’utilisateur provisionning de Azure AD dans le Cloud Webex.
Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.