Authentification unique et Control Hub

L’authentification unique (SSO) est un processus d’identification de session ou d’utilisateur qui permet à un utilisateur de fournir des informations d’identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d’autres invites lorsque les utilisateurs changent d’applications au cours d’une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre le cloud Webex et votre fournisseur d’identité (IdP).

Profils

Webex App prend uniquement en charge le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, Webex App prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. Webex App prend en charge les formats NameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Dans les métadonnées que vous chargez à partir de votre IdP, la première entrée est configurée pour être utilisée dans Webex.

Intégrer Control Hub à Microsoft Azure


 

Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentés. Autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont en dehors u champ d’application de notre documentation.

Configurez cette intégration pour les utilisateurs de votre organisation Webex (y compris Webex App, Webex Meetings et d’autres services administrés dans Control Hub). Si votre site Webex est intégré à Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Webex Meetings de cette manière et qu’il n’est pas géré dans Control Hub, vous devez effectuer une intégration distincte pour activer SSO pour Webex Meetings. (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).

Avant de commencer

Pour l’authentification unique SSO et le Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :


 

Dans Azure Active Directory, le déploiement est uniquement pris en charge en mode manuel. Ce document ne couvre que l’intégration de l’authentification unique (SSO).

Télécharger les métadonnées Webex sur votre système local

1

À partir de la vue client danshttps://admin.webex.com , allez à Gestion > Paramètres de l'organisation , puis faites défiler jusqu’à Authentification , puis activez Authentification unique pour démarrer l’assistant d’installation.

2

Choisissez le type de certificat pour votre organisation :

  • Auto-signé par Cisco : nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayez à le renouveler qu’une fois tous les cinq ans.
  • Signé par une autorité de certification publique : plus sûr, mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur d'IdP ne prenne en charge les ancres de confiance).

 

Les ancres de confiance sont des clés publiques qui agissent en tant qu'autorité pour vérifier le certificat d'une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.

3

Télécharger le fichier de métadonnées.

Le nom du fichier de métadonnées Webex est idb-meta-<org-ID> -SP.xml .

Configurer les paramètres de l’application SSO dans Azure

Avant de commencer

1

Connectez-vous au portail Azure à l’adressehttps://portal.azure.com avec vos informations d'identification d'administrateur.

2

Si vous ne pouvez pas voir le Azure Active Directory icône , cliquez sur Plus de services .

3

Aller à Azure Active Directory pour votre organisation.

4

Aller à Applications d'entreprise puis cliquez sur Ajouter .

5

Cliquez sur Ajouter une application de la galerie.

6

Dans la zone de recherche, tapez Cisco Webex .

7

Dans le volet des résultats, sélectionnez Cisco Webex , puis cliquez sur Créer pour ajouter l'application.

8

Pour vous assurer que l'application Webex que vous avez ajoutée pour l' authentification unique ne s'affiche pas dans le portail utilisateur, ouvrez la nouvelle application. Sous Gérer , cliquez sur Propriétés , et définissez Visible par les utilisateurs ? à Non .

Nous ne prenons pas en charge le fait de Webex App visible pour les utilisateurs.

9

Configurer l'authentification unique (SSO) :

  1. Sous Gérer , cliquez sur Authentification unique , puis sous Sélectionnez une méthode de connexion unique , choisissez SAML .

  2. Cliquez sur Télécharger le fichier de métadonnées puis choisissez le fichier de métadonnées que vous avez téléchargé à partir de Control Hub.

    Import metadata file in Azure

    Certains champs sont remplis automatiquement pour vous.

  3. Sous Gérer, cliquez sur Configurer l’authentification unique avec SAML , cliquez sur Modifier icône pour ouvrir Configuration SAML de base .

  4. Copiez le URL de réponse valeur et collez-la dans URL de connexion , puis enregistrez vos modifications.

10

Aller à Gérer > Utilisateurs et groupes , puis choisissez les utilisateurs et les groupes applicables auxquels vous souhaitez accorder l’accès à l’application Webex.

11

Sur le Configurer l’authentification unique avec SAML page, dans la Certificat de signature SAML section, cliquez sur Télécharger pour télécharger le XML de métadonnées de fédération et enregistrez-le sur votre ordinateur.

Importer les métadonnées de l'IdP et activer authentification unique après un test

Après avoir exporté les métadonnées Webex, configuré votre IdP et téléchargé les métadonnées IdP sur votre système local, vous êtes prêt à les importer dans votre organisation Webex à partir de Control Hub.

Avant de commencer

Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons uniquement en charge les flux initiés par le fournisseur de services (SP), vous devez donc utiliser le test SSO de Control Hub pour cette intégration.

1

Choisissez une option :

  • Revenez à la page Control Hub – sélection du certificat dans votre navigateur, puis cliquez sur Suivant .
  • Si Control Hub n'est plus ouvert dans l'onglet du navigateur, à partir de l'affichage du client danshttps://admin.webex.com , allez à Gestion > Paramètres de l'organisation , faites défiler jusqu'à Authentification , puis choisissez Actions > Importer des métadonnées .
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l’option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Vous devez utiliser le Plus sécurisé option, si vous le pouvez. Ceci n'est possible que si votre IdP a utilisé une autorité de certification publique pour signer ses métadonnées.

Dans tous les autres cas, vous devez utiliser le Moins sécurisé option. Cela inclut si les métadonnées ne sont pas signées, auto-signées ou signées par une autorité de certification privée.


 

Okta ne signe pas les métadonnées, vous devez donc choisir Moins sécurisé pour une intégration Okta SSO .

3

Sélectionner Tester la configuration SSO , et lorsqu'un nouvel onglet de navigateur s'ouvre, authentifiez-vous auprès de l'IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l'application Webex signifie généralement un problème avec la configuration SSO . Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.


 

Pour voir directement l’expérience de connexion SSO, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette étape arrête les faux positifs en raison d'un jeton d'accès qui peut être dans une session existante à partir de votre connexion.

4

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Activer SSO et cliquez sur Suivant .
  • Si le test a échoué, sélectionnez Test infructueux. Désactiver SSO et cliquez sur Suivant .

 

La configuration SSO ne prend effet dans votre organisation que si vous choisissez le premier bouton radio et activez SSO.

Que faire ensuite

Utilisez les procédures dans Synchroniser les utilisateurs Okta dans Cisco Webex Control Hub si vous souhaitez effectuer le provisionnement des utilisateurs à partir d'Okta dans le cloud Webex.

Utilisez les procédures dans Synchroniser les utilisateurs Azure Active Directory dans Cisco Webex Control Hub si vous souhaitez effectuer le provisionnement des utilisateurs à partir d’Azure AD dans le cloud Webex.

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Résoudre les problèmes d’intégration Azure

Lorsque vous effectuez le test SAML, vérifiez que vous utilisez Mozilla Firefox et que vous installez le traceur SAML à partir de https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Vérifiez l’assertion qui provient d’Azure pour vous assurer qu’elle a le bon format nameid et qu’elle a un attribut uid qui correspond à un utilisateur dans Webex App.