Sign-on unique et Control Hub

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre le Cloud Webex et votre fournisseur d’identité (IdP).

Profils

L’application Webex prend uniquement en charge le navigateur Web SSO profil. Dans le profil de l SSO Webex, l’application Webex prend en charge les liaisons suivantes :

  • SP initiated POST-> POST binding

  • SP initiated REDIRECT-> POST binding

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. L’application Webex prend en charge les formats nameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisé dans Webex.

Intégrer Control Hub avec Microsoft Azure

Webex ne prend en charge qu'un seul IdP pour chaque demande d'authentification. Le flux d’authentification est le suivant : Utilisateur > Authentification Webex > IdP 1 > Authentification Webex > Utilisateur. Cela signifie que même si différents utilisateurs peuvent s'authentifier à l'aide de différents IdP, un utilisateur ne peut pas basculer entre plusieurs IdP au cours d'un même processus d'authentification. Toutes les étapes supplémentaires telles que MFA doivent être intégrées à l’IdP unique utilisé pour cette demande particulière.

Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D'autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l'intégration SSO mais ne relèvent pas du champ d'application de notre documentation.

Configurer cette intégration pour les utilisateurs dans votre organisation Webex ( y compris l’application Webex, Webex Meetings, et autres services gérés dans Control Hub). Si votre site Webex est intégré dans Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder aux Webex Meetings de cette façon et que celle-ci n’est pas gérée dans Control Hub, vous devez faire une intégration séparée pour activer la SSO pour les Webex Meetings.

Avant de commencer

Pour l’authentification unique SSO et le Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :

  • Dans Azure Active Directory, le déploiement est uniquement pris en charge en mode manuel. Ce document couvre uniquement l’extension d'authentification unique (SSO).
  • Les clients Webex existants avec des configurations de fédération précédentes peuvent rencontrer des problèmes avec le modèle Webex Entra ID standard en raison de modifications des attributs SAML. Nous vous recommandons de configurer une fédération d'ID Entra personnalisée pour résoudre ce problème à l'aide de vos paramètres SAML précédents. Assurez-vous d'effectuer le test SSO de Control Hub pour permettre la compatibilité et corriger les éventuelles divergences.

Téléchargez les métadonnées Webex sur votre système local

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Sécurité > Authentification.

3

Accédez à l’onglet Fournisseur d’identité et cliquez sur Activer SSO.

4

Sélectionnez un IdP.

5

Choisissez le type de certificat pour votre organisation :

  • Auto-signé par Cisco— Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans.
  • Signé par une autorité de certification publique— Plus sécurisé, mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prenne en charge les ancres de confiance).

Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.

6

Télécharger le fichier de métadonnées.

Le nom du fichier de métadonnées Webex est idb-meta-<org-ID>-SP.xml.

Configurer les SSO de votre application dans Azure

Avant de commencer

  • Voir Qu’est-ce qu’Azure Active Directory pour comprendre les fonctions de l’IdP dans Azure Active Directory.

  • Configurer Azure Active Directory.

  • Créer des utilisateurs locaux ou effectuer une synchronisation avec le système du répertoire actif sur site.

  • Ouvrez le fichier de métadonnées Webex que vous avez téléchargé à partir de Control Hub .

  • Il existe un tutoriel connexe sur le site de documentation Microsoft.

1

Connectez-vous au portail Azure à avec https://portal.azure.com vos identifiants d’administrateur.

2

Si vous ne pouvez pas voir l’icône Azure Active Directory , cliquez sur Plus de services.

3

Allez dans Azure Active Directory pour votre organisation.

4

Allez à Applications d’entreprise et cliquez sur Ajouter.

5

Cliquez sur Ajouter une application de la galerie.

6

Dans la zone de recherche, tapez Cisco Webex.

7

Dans le volet Résultats, sélectionnez l Cisco Webex, puis cliquez sur Créer pour ajouter l’application.

8

Pour vous assurer que l’application Webex que vous avez ajoutée pour authentification unique (SSO) ne s’affiche pas dans le portail des utilisateurs, ouvrez la nouvelle application. Sous Gérer, cliquez sur Propriétés et définissez Visible pour les utilisateurs ? sur Non.

Nous ne pouvons pas prendre en charge la visibilité de l’application Webex pour les utilisateurs.

9

Configurer l'authentification unique (SSO) :

  1. Sous Gérer, cliquez sur Sign-on unique, puis sous Sélectionner une méthode de sso, choisissez SAML.

  2. Cliquez sur Télécharger le fichier de métadonnées, puis choisissez le fichier de métadonnées que vous avez téléchargé depuis Control Hub.

    Importer le fichier de métadonnées dans Azure

    Certains champs sont remplis automatiquement pour vous.

  3. Sous Gérer , cliquez sur Configurer l’sign-on unique avec SAML, cliquez sur l’icône Modifier pour ouvrir la configuration SAML de base.

  4. Copiez la valeur URL de réponse et collez-la dans URL d’sign-on, puis enregistrez vos modifications.

10

Aller à Gérer > Utilisateurs et groupes, puis choisissez les utilisateurs et les groupes applicables auxquels vous souhaitez accorder l’accès à l’application Webex.

11

Sur la page Configurer l’sign-on unique avec SAML, dans la section Certificat de signature SAML, cliquez sur Télécharger pour télécharger les métadonnées XML de fédération et les enregistrer sur votre ordinateur.

Importer les métadonnées IdP et activer les authentification unique (SSO) après un test

Après avoir exporté les métadonnées Webex , configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à les importer dans votre organisation Webex à partir de Control Hub.

Avant de commencer

Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons en charge uniquement les flux initiés par Prestataire de service (initié par le SP), donc vous devez utiliser le test SSO Control Hub pour cette intégration.

1

Choisissez une option :

  • Revenez à la page de sélection de certificat du Control Hub dans votre navigateur, puis cliquez sur Suivant.
  • Rouvrez Control Hub s’il n’est plus ouvert dans l’onglet de votre navigateur. Depuis la vue client dans Control Hub, accédez à Gestion > Sécurité > Authentification, sélectionnez l'IdP, puis choisissez Actions > Importer des métadonnées.
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page ou utilisez l'option du navigateur de fichiers pour localiser et télécharger le fichier de métadonnées. Cliquez sur Suivant.

Vous devez utiliser l’option Plus sécurisée , si vous le pouvez. Ceci est possible uniquement si votre IdP a utilisé une AC publique pour signer ses métadonnées.

Dans tous les autres cas, vous devez utiliser l’option Moins sécurisée . Ceci inclut si les métadonnées ne sont pas signées, auto-signées, ou signées par une AC privée.

Okta ne signe pas les métadonnées, donc vous devez choisir Moins de sécurité pour une intégration SSO Okta.

3

Sélectionnez Tester la configuration SSOet lorsqu'un nouvel onglet de navigateur s'ouvre, authentifiez-vous auprès de l'IdP en vous connectant.

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

Pour voir directement l’expérience de connexion SSO, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette étape arrête les faux positif en raison d’un jeton d’accès qui peut être dans une session existante à partir de votre signature.

4

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Allumez le SSO et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Échec du test. Éteint et SSO cliquez sur Suivant.

La configuration SSO’entrée en réseau ne prend pas effet dans votre organisation à moins que vous ne choisissiez bouton à cliquer et activez le SSO.

Ce qu’il faut faire ensuite

Utilisez les procédures de Synchroniser les utilisateurs Okta dans Cisco Webex Control Hub si vous souhaitez que les utilisateurs s’y provisionnent hors d’Okta dans le Cloud Webex.

Utilisez les procédures dans Synchroniser Azure Active Directory utilisateurs dans Cisco Webex Control Hub si vous souhaitez que l’utilisateur provisionning de Azure AD dans le Cloud Webex.

Vous pouvez suivre la procédure dans Supprimer les e-mails automatisés pour désactiver les e-mails envoyés aux nouveaux utilisateurs de l'application Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Dépanner l’intégration Azure

Lorsque vous effectuez le test SAML, vérifiez que vous utilisez Mozilla Firefox et que vous installez le traceur SAML à partir de https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Vérifiez l’assertion provenant d’Azure pour vous assurer qu’elle a le format de l’ID nom (nameid) correct et a un attribut uid qui correspond à un utilisateur dans l’application Webex.