L’authentification unique (SSO) permet aux utilisateurs de se connecter à Webex en toute sécurité en s’authentifiant auprès du fournisseur d’identité commun de votre organisation. Un fournisseur d’identité (IdP) stocke et gère en toute sécurité les identités numériques de vos utilisateurs et fournit le service d’authentification des utilisateurs pour vos utilisateurs Webex.

Pourquoi vous avez besoin de plusieurs IdP

De nombreuses grandes entreprises font l’objet de fusions et acquisitions, et ces entreprises ont rarement les mêmes infrastructures informatiques et fournisseurs d’identité. Les institutions gouvernementales sont dotées de diverses organisations et agences. Ces organisations disposent souvent d’une seule adresse électronique pour leurs propres services informatiques et leur propre infrastructure, respectivement. Les principaux établissements d’enseignement ont un service central d’achat, mais différentes universités et collèges avec différentes organisations et départements informatiques.

Il est courant de voir les IdP et les fournisseurs de services (FS) se fédérer les uns avec les autres. L’IdP est responsable de l’authentification des identifiants de vos utilisateurs et le FS fait confiance à l’authentification effectuée par l’IdP. Ceci permet à vos utilisateurs d'accéder à diverses applications et services SaaS en utilisant la même identité numérique. Mais, si, pour une raison quelconque, votre organisation ne peut pas se fédérer entre les IdP, Webex fournit une solution de contournement pour prendre en charge plusieurs IdP. Pour ces raisons, nous vous donnons la possibilité de configurer l’authentification unique SSO pour plusieurs IdP dans Webex et de simplifier le processus d’authentification de vos utilisateurs.

Limites

  • Cette fonctionnalité n’est disponible que si vous avez acheté Webex Extended Security Pack.
  • Tous les utilisateurs doivent être dotés du connecteur de répertoire si vous utilisez le connecteur de répertoire dans votre organisation. Reportez-vous au Guide de déploiement de Directory Connector pour plus d'informations.
  • Nous prenons actuellement en charge uniquement SAML, OpenID Connect et Webex Identity en tant que fournisseurs d’identité.

Hors champ d’application

  • Configurez les affectations de groupe.

Cette section explique comment vous pouvez intégrer vos fournisseurs d’identité (IdP) à votre organisation Webex. Vous pouvez choisir les IdP qui correspondent le mieux aux exigences de votre organisation.

Si vous recherchez l’intégration SSO d’un site Webex Meetings (géré dans Administration du site), alors consultez Configurer l’authentification unique pour l’administration Webex.

Prérequis

Avant de commencer

Assurez-vous que les conditions suivantes sont remplies :

  • Vous devez avoir Webex Extended Security Pack pour configurer l’authentification unique SSO avec plusieurs IdP dans Control Hub.
  • Vous devez avoir un rôle d’administrateur complet dans le Control Hub.
  • Vous devez planifier votre comportement en matière de règles de routage avant de configurer plusieurs IdP.
La règle de routage par défaut est appliquée une fois que vous avez configuré votre IdP initial. Mais vous pouvez configurer un autre IdP par défaut. Reportez-vous à Ajouter ou modifier une règle de routage dans l’onglet Règles de routage dans cet article.
Configurer le protocole SAML
1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP pour démarrer l’assistant de configuration.

3

Sélectionnez SAML comme votre IdP et cliquez sur Suivant.

4

Choisissez le type de certificat :

  • Auto-signé par Cisco–Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans.
  • Signé par une autorité de certification publique—Plus sécurisé, mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prenne en charge les ancres de confiance).
Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
5

Cliquez sur Télécharger les métadonnées et cliquez sur Suivant.

Le nom de fichier de métadonnées de l’application Webex est idb-meta--SP.xml.

6

Téléchargez votre fichier de métadonnées IdP ou remplissez le formulaire de configuration.

Lors du téléchargement du fichier de métadonnées, il existe deux façons de valider les métadonnées à partir de l'IdP du client :

  • L'IdP du client fournit une signature dans les métadonnées qui est signée par une Autorité de certification racine publique.
  • Client IdP fournit une autorité de certification privée auto-signé ou n’est pas fournir une signature pour leurs métadonnées. Cette option est moins sécurisée.
Sinon, dans le formulaire de configuration, saisissez les informations IdP.

Cliquez sur Suivant.

7

(Facultatif) Vous pouvez changer le nom de l’attribut SAML pour Nom d’utilisateur Webex ou Adresse électronique principale de uid à quelque chose d’accord avec le gestionnaire IdP tel que adresse électronique, upn, etc.

8

(Facultatif) Configurez les paramètres Just In Time (JIT) et la réponse au mappage SAML.

Reportez-vous à Configurer le mappage Just In Time (JIT) et SAML dans l’onglet Gérer vos IdP dans cet article.
9

Cliquez sur Tester la configuration de l’authentification unique SSO, et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.

Testez la SSO de connexion avant de l’activer. Cette étape fonctionne comme un dry run et n’affecte pas les paramètres de votre organisation tant que vous n’SSO l’étape suivante.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les informations d'authentification. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

10

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Activez l’authentification unique SSO et l’IdP et cliquez sur Activer.
  • Si le test a échoué, sélectionnez Échec du test. Revenez aux étapes précédentes pour corriger les erreurs.
La configuration SSO ne prend effet dans votre organisation que si vous choisissez le premier bouton radio et activez l'authentification unique SSO.

Que faire ensuite

Vous pouvez configurer une règle de routage. Reportez-vous à Ajouter ou modifier une règle de routage dans l’onglet Règles de routage dans cet article.

Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.

Configurer OpenID Connect
1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP pour démarrer l’assistant de configuration.

3

Sélectionnez OpenID Connect comme votre IdP et cliquez sur Suivant.

4

Saisissez vos informations IdP.

  • Nom—Le nom permettant d'identifier votre IdP.
  • ID du client—L'ID unique pour vous identifier et votre IdP.
  • Code secret du client—Le mot de passe que vous et votre IdP connaissez.
  • Champs—Les champs à associer à votre IdP.

5

Choisissez comment ajouter des terminaux. Cette action peut être effectuée automatiquement ou manuellement.

  • Utiliser l'URL de détection—Saisissez l'URL de configuration pour votre IdP.
  • Ajouter manuellement des informations sur les terminaux—Saisissez les détails suivants.

    • Émetteur
    • Terminal d’autorisation
    • Terminal du jeton
    • Terminal JWKS
    • Terminal Userinfo
    Pour plus d’informations, consultez le Guide de configuration d’OpenID Connect.

6

(Facultatif) Configurez les paramètres Just In Time (JIT).

Reportez-vous à Configurer le mappage Just In Time (JIT) et SAML dans l’onglet Gérer vos IdP dans cet article.
7

Cliquez sur Tester la configuration de l’authentification unique SSO, et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.

Testez la SSO de connexion avant de l’activer. Cette étape fonctionne comme un dry run et n’affecte pas les paramètres de votre organisation tant que vous n’SSO l’étape suivante.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les informations d'authentification. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

8

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Activez l’authentification unique SSO et l’IdP et cliquez sur Activer.
  • Si le test a échoué, sélectionnez Échec du test. Revenez aux étapes précédentes pour corriger les erreurs.
La configuration SSO ne prend effet dans votre organisation que si vous choisissez le premier bouton radio et activez l’authentification unique SSO.

Que faire ensuite

Vous pouvez configurer une règle de routage. Reportez-vous à Ajouter ou modifier une règle de routage dans l’onglet Règles de routage dans cet article.

Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.

Configurer Webex Identity
1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP pour démarrer l’assistant de configuration.

3

Sélectionnez Webex comme votre IdP et cliquez sur Suivant.

4

Cochez J’ai lu et compris le fonctionnement du fournisseur d’identité Webex et cliquez sur Suivant.

5

Configurer une règle de routage.

Reportez-vous à Ajouter ou modifier une règle de routage dans l’onglet Règles de routage dans cet article.

Une fois que vous avez ajouté une règle de routage, votre IdP est ajouté et s’affiche sous l’onglet Fournisseur d’identité .

Ce qu’il faut faire ensuite

Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Les règles de routage sont applicables lors de la configuration de plusieurs IdP. Les règles de routage permettent à Webex d’identifier l’IdP à envoyer à vos utilisateurs lorsque vous avez configuré plusieurs IdP.

Lors de la configuration de plusieurs IdP, vous pouvez définir vos règles de routage dans l’assistant de configuration SSO. Si vous ignorez l’étape de la règle de routage, le Control Hub ajoute l’IdP mais ne l’active pas. Vous devez ajouter une règle de routage pour activer l’IdP.

Ajouter ou modifier les règles de routage
1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Règles de routage .

Lors de la configuration de votre premier IdP, la règle de routage est automatiquement ajoutée et est configurée en tant que règle par défaut. Vous pouvez choisir un autre IdP à définir comme règle par défaut ultérieurement.

4

Cliquez sur Ajouter une nouvelle règle de routage.

5

Saisissez les détails d'une nouvelle règle :

  • Nom de la règle—Saisissez le nom de la règle de routage.
  • Sélectionner un type de routage—Sélectionnez le domaine ou le groupe.
  • S'il s'agit de vos domaines/groupes–Saisissez les domaines/groupes au sein de votre organisation.
  • Puis utiliser ce fournisseur d’identité–Sélectionnez l’IdP.

6

Cliquez sur Ajouter.

7

Sélectionnez la nouvelle règle de routage et cliquez sur Activer.

Vous pouvez modifier l'ordre de priorité des règles de routage si vous avez des règles de routage pour plusieurs IdP.
Désactiver ou supprimer les règles de routage
1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Règles de routage .

4

Sélectionnez la règle de routage.

5

Choisissez si vous souhaitez Désactiver ou Supprimer la règle de routage.

Il est recommandé que vous ayez une autre règle de routage active pour l’IdP. Sinon, vous risquez de rencontrer des problèmes avec votre connexion SSO.

La règle par défaut ne peut pas être désactivée ou supprimée, mais vous pouvez modifier l'IdP acheminé.
Gérer vos certificats de fournisseur d’identité (IdP)

Avant de commencer

De temps en temps, vous recevrez un courrier électronique de notification ou voyez une alerte dans Control Hub vous avertissant que le certificat de l’IdP va expirer. Les fournisseurs IdP ayant leur propre documentation spécifique pour le renouvellement du certificat, nous couvrons ce qui est requis dans Control Hub , en même temps que les étapes génériques pour récupérer les métadonnées IdP mises à jour et les télécharger dans Control Hub pour renouveler le certificat.

Ceci ne s'applique qu'à la configuration SAML.

1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Fournisseur d'identité .

4

Allez à l’IdP, cliquez sur charger et sélectionnez Charger les métadonnées Idp.

Pour télécharger le fichier de métadonnées, cliquez sur Téléchargement et sélectionnez Télécharger les métadonnées Idp.
5

Accédez à votre interface de gestion IdP pour récupérer le nouveau fichier de métadonnées.

6

Retournez au Control Hub et faites glisser et déposez votre fichier de métadonnées IdP dans la zone de chargement ou cliquez sur Choisir un fichier pour charger les métadonnées.

7

Choisissez Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une autorité de certification publique), en fonction de la façon dont vos métadonnées IdP sont signées et cliquez sur Enregistrer.

8

Configurez les paramètres Just In Time (JIT) et la réponse au mappage SAML.

Reportez-vous à Configurer le mappage Just In Time (JIT) et SAML dans l’onglet Gérer vos IdP dans cet article.
9

Cliquez sur Tester la configuration de l’authentification unique SSO, et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.

Testez la SSO de connexion avant de l’activer. Cette étape fonctionne comme un dry run et n’affecte pas les paramètres de votre organisation tant que vous n’SSO l’étape suivante.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les informations d'authentification. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

10

Cliquez sur Enregistrer.

Gérer vos certificats de fournisseur de services (FS)

Avant de commencer

Il est recommandé de mettre à jour tous vos IdP de votre organisation lors du renouvellement de votre certificat de fournisseur de services.

Ceci ne s'applique qu'à la configuration SAML.

1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Fournisseur d'identité .

4

Allez à l’IdP et cliquez sur .

5

Cliquez sur Vérifier les certificats et la date d'expiration.

Ceci vous amène à la fenêtre Certificats du fournisseur de services (FS) .
6

Cliquez sur Renouveler le certificat.

7

Choisissez le type d’IdP dans votre organisation :

  • Un IdP qui prend en charge plusieurs certificats
  • Un IdP qui prend en charge un seul certificat
8

Choisissez le type de certificat pour le renouvellement :

  • Auto-signé par Cisco–Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans.
  • Signé par une autorité de certification publique—Plus sécurisé mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prenne en charge les ancres de confiance).
Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
9

Cliquez sur Télécharger les métadonnées ou Télécharger le certificat pour télécharger une copie du fichier de métadonnées ou du certificat mis à jour à partir du Cloud Webex.

10

Accédez à votre interface de gestion IdP pour charger le nouveau fichier de métadonnées ou le certificat Webex.

Cette étape peut être effectuée via un onglet de navigation, un protocole de bureau distant (RDP) ou une prise en charge spécifique du fournisseur d’accès sur le Cloud, en fonction de la configuration de votre IdP et si vous ou un administrateur IdP séparé êtes responsable de cette étape.

Pour plus d’informations, consultez nos guides d’intégration SSO ou contactez votre administrateur IdP pour obtenir de l’aide. Si vous êtes sur Active Directory Federation Services (AD FS), vous pouvez voir comment mettre à jour les métadonnées Webex dans AD FS

11

Retournez à l’interface du Control Hub et cliquez sur Suivant.

12

Sélectionnez Mise à jour réussie de tous les IdP et cliquez sur Suivant.

Ceci télécharge le fichier de métadonnées ou le certificat du fournisseur de services vers tous les IdP de votre organisation.

13

Cliquez sur Terminer le renouvellement.

Tester votre configuration SSO

Avant de commencer

1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Fournisseur d'identité .

4

Allez à l’IdP et cliquez sur Menu Plus .

5

Sélectionnez Tester l'IdP.

6

Cliquez sur Tester la configuration de l’authentification unique SSO, et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les informations d'authentification. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

7

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Activez la SSO et l’IdP et cliquez sur Enregistrer.
  • Si le test a échoué, sélectionnez Échec du test. Revenez aux étapes précédentes pour corriger les erreurs.
La configuration SSO’entrée en réseau ne prend pas effet dans votre organisation à moins que vous ne choisissiez bouton à cliquer et activez le SSO.

Configurer le mappage Just In Time (JIT) et SAML

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies :

  • SSO est déjà configurée.

  • Les domaines ont déjà été vérifiés.

  • Les domaines sont réclamés et activés. Cette fonctionnalité garantit que les utilisateurs de votre domaine sont créés et mis à jour une fois chaque fois qu’ils s’authentifient avec votre IdP.

  • Si DirSync ou Azure AD sont activés, la création ou la mise à jour de SAML JIT ne fonctionnera pas.

  • L’Profil d'utilisateur « Bloquer la mise à jour » est activé. Le mappage des mises à jour SAML est autorisé car cette configuration contrôle la capacité de l’utilisateur à modifier les attributs. Les méthodes de création et de mise à jour contrôlées par l’administrateur sont toujours supportées.

Lors de la configuration de SAML JIT avec Azure AD ou un IdP lorsque l’adresse électronique n’est pas un identifiant permanent, nous vous recommandons d’utiliser l’attribut de liaison externalId pour le mapper à un identifiant unique. Si nous trouvons que l’adresse électronique ne correspond pas à l’attribut de liaison, l’utilisateur est invité à vérifier son identité ou à créer un nouvel utilisateur avec l’adresse électronique correcte.

Les utilisateurs nouvellement créés ne recevront pas de licences automatiquement à moins que l’organisation n’ait installé un modèle de licence automatique.

1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Fournisseur d'identité .

4

Allez à l’IdP et cliquez sur Menu Plus .

5

Sélectionnez Modifier le mappage SAML.

6

Configurez les paramètres Just-in-Time (JIT).

  • Créer ou activer un utilisateur : si aucun utilisateur actif n’est trouvé, alors Webex Identity crée l’utilisateur et met à jour les attributs une fois que l’utilisateur s’est authentifié avec l’IdP.
  • Mise à jour de l’utilisateur avec les attributs SAML : si un utilisateur avec une adresse électronique est trouvé, webex Identity met à jour l’utilisateur avec les attributs mappés dans l’assertion SAML.
Confirmez que les utilisateurs peuvent se connecter avec une autre adresse électronique non identifiable.

7

Configurez les attributs requis du mappage SAML.

Tableau 1. Attributs requis

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

Nom d’utilisateur/Adresse électronique principale

Exemple : uid

Faites correspondre l’attribut UID à l’adresse électronique, à l’UPN ou à l’edupersonprincipalname de l’utilisateur provisionné.

8

Configurez les Attributs de liaison.

Ceci doit être unique pour l'utilisateur. Il est utilisé pour rechercher un utilisateur afin que Webex puisse mettre à jour tous les attributs du profil, y compris l’adresse électronique d’un utilisateur.
Tableau 2. Attributs de liaison

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : user.objectid (utilisateur.objectid)

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

Numéro de l’employé

Exemple : user.employeeid (utilisateur.employeeid)

Le numéro d’employé de l’utilisateur, ou un numéro d’identification dans son système RH. Notez que ceci n’est pas pour externalid, car vous pouvez réutiliser ou recycler employenumber pour d’autres utilisateurs.

Attribut de l’extension 1

Exemple : user.extensionattribute1

Mappez ces attributs personnalisés à des attributs étendus dans Active Directory, Azure ou votre répertoire, pour les codes de suivi.

Attribut de l’extension 2

Exemple : user.extensionattribute2

Attribut de l’extension 3

Exemple : user.extensionattribute3

Attribut d’extension 4

Exemple : utilisateur.extensionlattribute4

Attribut de l’extension 5

Exemple : user.extensionattribute5

9

Configurer les Attributs du profil.

Tableau 3. Attributs de profil

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : user.objectid (utilisateur.objectid)

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

Numéro de l’employé

Exemple : user.employeeid (utilisateur.employeeid)

Le numéro d’employé de cet utilisateur ou un numéro d’identification dans son système RH. Notez que ce n’est pas pour « externalid », car vous pouvez réutiliser ou réutiliser « employeenumber » pour d’autres utilisateurs.

Langue préférée

Exemple : user.preferredlanguage (langue préférée)

La langue préférée de l’utilisateur.

Paramètre régional

Exemple : user.locale

Le lieu de travail principal de l’utilisateur.

Fuseau horaire

Exemple : user.timezone (fuseau horaire)

Le fuseau horaire principal de l’utilisateur.

Nom d'affichage

Exemple : user.displayname (nom d’affichage utilisateur)

Le nom d’affichage de l’utilisateur dans Webex.

nom.givenName

Exemple : user.givenname (nom donné)

Le prénom de l’utilisateur.

nom.nomdname

Exemple : nom.utilisateur

Le nom de famille de l’utilisateur.

adresses.streetAddress

Exemple : user.streetaddress

L’adresse postale de leur lieu de travail principal.

adresses.state

Exemple : user.state (état utilisateur)

l’état de leur lieu de travail principal.

adresses.région

Exemple : région.utilisateur

La région de leur lieu de travail principal.

adresses.code postal

Exemple : code postal de l’utilisateur

Le code postal de leur lieu de travail principal.

adresses.pays

Exemple : utilisateur.pays

Le pays de leur lieu de travail principal.

phoneNumbers.work

Exemple : numéro de téléphone travail

Le numéro de téléphone professionnel de son lieu de travail principal. Utilisez uniquement le format international E.164 (15 chiffres maximum).

numéro de téléphone.extension

Exemple : numéro de téléphone portable

Le numéro de poste de leur principal numéro de téléphone professionnel. Utilisez uniquement le format international E.164 (15 chiffres maximum).

Pronom

Exemple : user.pronoun

Les pronouns de l’utilisateur. Ceci est un attribut facultatif, et l’utilisateur ou l’administrateur peut le rendre visible sur leur profil.

titre

Exemple : user.jobtitle

L’intitulé de poste de l’utilisateur.

département

Exemple : département.utilisateur

Le département ou l’équipe de travail de l’utilisateur.

Pronom

Exemple : user.pronoun

Ceci est le nom d’utilisateur. La visibilité de cet attribut est contrôlée par l’administrateur et l’utilisateur

directeur

Exemple : directeur

Le responsable de l’utilisateur ou le responsable de son équipe.

centre de coût

Exemple : centre de coût

Ceci est le nom de l’utilisateur également appelé surnom ou nom de famille

adresse électronique.alternate1

Exemple : user.mailname (nom_courrier)

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

adresse électronique.alternate2

Exemple : user.primaryauthoritativemail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

email.alternate3

Exemple : user.alternativeauthoritativemail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

adresse électronique.alternate4

Exemple : user.othermail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

adresse électronique.alternate5

Exemple : user.othermail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.
10

Configurer les Attributs des extensions.

Mapez ces attributs aux attributs étendus dans Active Directory, Azure, ou votre répertoire, pour Codes de suivi.
Tableau 4. Attributs de l’extension

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Attribut de l’extension 1

Exemple : user.extensionattribute1

Attribut de l’extension 2

Exemple : user.extensionattribute2

Attribut de l’extension 3

Exemple : user.extensionattribute3

Attribut d’extension 4

Exemple : user.extensionattribute4

Attribut de l’extension 5

Exemple : user.extensionattribute5

Attribut de l’extension 6

Exemple : user.extensionattribute6

Attribut de l’extension 7

Exemple : user.extensionattribute7

Attribut de l’extension 8

Exemple : user.extensionattribute8

Attribut d’extension 9

Exemple : user.extensionattribute9

Attribut d’extension 10

Exemple : user.extensionattribute10

11

Configurer les Attributs du groupe.

  1. Créez un groupe dans le Control Hub et notez l’ID du groupe Webex.
  2. Allez dans votre répertoire utilisateur ou votre IdP et configurez un attribut pour les utilisateurs qui seront affectés à l’ID de groupe Webex.
  3. Mettez à jour la configuration de votre IdP pour inclure une réclamation qui porte ce nom d’attribut avec l’ID du groupe Webex (par exemple c65f7d85-b691-42b8-a20b-12345xxxx). Vous pouvez également utiliser l’ID externe pour gérer les modifications apportées aux noms des groupes ou pour des scénarios d’intégration futurs. Par exemple, la synchronisation avec Azure AD ou la mise en œuvre de la synchronisation de groupe SCIM.
  4. Spécifiez le nom exact de l'attribut qui sera envoyé dans l'assertion SAML avec l'ID de groupe. Cette option est utilisée pour ajouter l'utilisateur à un groupe.
  5. Spécifiez le nom exact de l'ID externe de l'objet du groupe si vous utilisez un groupe de votre répertoire pour envoyer des membres dans l'assertion SAML.

Si l'utilisateur A est associé à groupID 1234 et l'utilisateur B à groupID 4567, ils sont affectés à des groupes distincts. Ce scénario indique qu'un attribut unique permet aux utilisateurs de s'associer à plusieurs ID de groupe. Bien que ce phénomène soit peu fréquent, il est possible et peut être considéré comme un changement additif. Par exemple, si l'utilisateur A se connecte initialement en utilisant groupID 1234, il devient un membre du groupe correspondant. Si l'utilisateur A se connecte ultérieurement en utilisant groupID 4567, ils sont également ajoutés à ce second groupe.

Le provisionnement SAML JIT ne prend pas en charge la suppression d'utilisateurs de groupes ou toute suppression d'utilisateurs.

Tableau 5. Attributs du groupe

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

ID de groupe

Exemple : ID de groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

ID externe du groupe

Exemple : ID externe du groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

Pour une liste des attributs de l’assertion SAML pour Webex Meetings, voir https://help.webex.com/article/WBX67566.

Supprimez votre fournisseur d’identité (IdP)

Avant de commencer

Il est recommandé de préalablement désactiver ou supprimer les règles de routage de l’IdP avant de supprimer l’IdP.
1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Fournisseur d'identité .

4

Allez à l’IdP et cliquez sur Menu Plus.

5

Sélectionnez Supprimer.

1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Fournisseur d'identité .

4

Cliquez sur Désactiver la SSO.

Confirmer la désactivation de l’authentification unique SSO.

Une fois confirmée, la SSO est désactivée pour tous les IdP de votre organisation.

Vous recevrez des alertes dans Control Hub avant l’expiration des certificats, mais vous pouvez également configurer des règles d’alerte proactivement. Ces règles vous font savoir à l’avance que vos certificats SP ou IdP vont expirer. Nous pouvons vous les envoyer par courrier électronique, un espace dans l’application Webex, ou les deux.

Quel que soit le canal de distribution configuré, toutes les alertes s’affichent toujours dans Control Hub. Voir Centre d’alertes dans Control Hub pour plus d’informations.

1

Connectez-vous au Control Hub.

2

Allez au Centre d’alertes.

3

Choisissez Gérer puis Toutes les règles .

4

À partir de la liste Règles, choisissez l’une SSO que vous souhaitez créer :

  • SSO expiration du certificat IDP
  • SSO expiration du certificat SP
5

Dans la section Chaine de distribution, cochez la case Adresse électronique, espaceWebex, ou les deux.

Si vous choisissez Adresse électronique, saisissez l’adresse électronique qui doit recevoir la notification.

Si vous choisissez l’option de l’espace Webex, vous êtes automatiquement ajouté à un espace dans l’application Webex et nous y livrons les notifications.

6

Enregistrez vos modifications.

Ce qu’il faut faire ensuite

Nous envoyons des alertes d’expiration des certificats une fois tous les 15 jours, en commençant 60 jours avant l’expiration. (Vous pouvez vous attendre à des alertes les jours 60, 45, 30 et 15.) Les alertes s'arrêtent lorsque vous renouvelez le certificat.

Si vous rencontrez des problèmes avec votre connexion SSO, vous pouvez utiliser l’option de récupération automatique SSO pour obtenir l’accès à votre organisation Webex gérée dans Control Hub. L’option de récupération automatique vous permet de mettre à jour ou de désactiver l’authentification unique SSO dans Control Hub.