SSO avec plusieurs fournisseurs d'identité dans Webex

L'authentification unique (SSO) permet aux utilisateurs de se connecter à Webex en toute sécurité en s'authentifiant auprès du fournisseur d'identité commun de votre organisation. Un fournisseur d'identité (IdP) stocke et gère en toute sécurité les identités numériques de vos utilisateurs et fournit le service d'authentification des utilisateurs pour vos utilisateurs Webex.

Pourquoi vous pourriez avoir besoin de plusieurs fournisseurs d'identité

De nombreuses grandes entreprises procèdent à des fusions-acquisitions, et ces entreprises ont rarement la même infrastructure informatique et les mêmes fournisseurs d'identité. Les institutions gouvernementales comprennent diverses organisations et agences. Souvent, ces organisations utilisent une seule adresse électronique pour leurs services informatiques et leur infrastructure, respectivement. Les principaux établissements d'enseignement disposent d'un service des achats centralisé, mais les universités et les écoles supérieures ont des organisations et des services informatiques différents.

Il est courant de voir des fournisseurs d'identité (IdP) et des fournisseurs de services (SP) se fédérer entre eux. Le fournisseur d'identité (IdP) est responsable de l'authentification des identifiants de vos utilisateurs et le fournisseur de services (SP) fait confiance à l'authentification effectuée par l'IdP. Cela permet à vos utilisateurs d'accéder à diverses applications et services SaaS en utilisant la même identité numérique. Mais si, pour une raison quelconque, votre organisation ne peut pas fédérer les fournisseurs d'identité, Webex propose une solution de contournement pour prendre en charge plusieurs fournisseurs d'identité. Pour ces raisons, nous vous offrons la possibilité de configurer l'authentification unique (SSO) pour plusieurs fournisseurs d'identité (IdP) dans Webex et de simplifier ainsi le processus d'authentification de vos utilisateurs.

Limites

Tous les utilisateurs doivent être configurés avec Directory Connector si vous utilisez Directory Connector dans votre organisation. Consultez le guide de déploiement du Directory Connector pour plus d'informations.

Nous ne prenons actuellement en charge que SAML, OpenID Connect et Webex Identity comme fournisseurs d'identité.

Hors champ

Configurer les affectations de groupe.

Vérification du domaine. Consultez la section Gérer vos domaines pour plus d'informations.

Provisionnement des utilisateurs. Consultez Méthodes d'ajout d'utilisateurs à votre organisation Control Hub pour plus d'informations.

Cette section explique comment intégrer vos fournisseurs d'identité (IdP) à votre organisation Webex. Vous pouvez choisir les fournisseurs d'identité qui correspondent le mieux aux besoins de votre organisation.

Si vous recherchez l'intégration SSO d'un site Webex Meetings (géré dans l'administration du site), reportez-vous à Configurer l'authentification unique pour l'administration Webex.

Prérequis

Avant de commencer

Assurez-vous que les conditions suivantes sont remplies :

Vous devez disposer du rôle d'administrateur complet dans Control Hub.

Un fichier de métadonnées provenant du fournisseur d'identité à transmettre à Webex et un fichier de métadonnées provenant de Webex à transmettre au fournisseur d'identité. Pour plus d'informations, consultez Intégration de l'authentification unique dans Control Hub. Ceci s'applique uniquement à la configuration SAML.

Vous devez planifier le comportement de vos règles de routage avant de configurer plusieurs fournisseurs d'identité.

La règle de routage par défaut est appliquée une fois que vous avez configuré votre fournisseur d'identité initial. Mais vous pouvez définir un autre fournisseur d'identité comme fournisseur par défaut. Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Configurer SAML

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité et cliquez sur Activer l'authentification unique.
4	Sélectionnez SAML comme fournisseur d'identité et cliquez sur Suivant.
5	Choisissez le type de certificat : Auto-signé par Cisco— Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans. Signé par une autorité de certification publique— Plus sécurisé, mais vous devrez fréquemment mettre à jour les métadonnées (sauf si votre fournisseur IdP prend en charge les ancres de confiance). Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
6	Cliquez sur Télécharger les métadonnées et cliquez sur Suivant. Le nom du fichier de métadonnées de l'application Webex est idb-meta-<org-ID>-SP.xml.
7	Téléchargez votre fichier de métadonnées IdP ou remplissez le formulaire de configuration. Lors du chargement du fichier de métadonnées, il existe deux façons de valider les métadonnées à partir du fournisseur d'identité du client : L'IdP du client fournit une signature dans les métadonnées qui est signée par une Autorité de certification racine publique. Client IdP fournit une autorité de certification privée auto-signé ou n’est pas fournir une signature pour leurs métadonnées. Cette option est moins sécurisée. Sinon, dans le formulaire de configuration, saisissez les informations du fournisseur d'identité. Cliquez sur Suivant.
8	(Facultatif) Vous pouvez modifier le nom de l'attribut SAML pour Nom d'utilisateur Webex ou Adresse e-mail principale de `uid` à quelque chose convenu avec le gestionnaire IdP tel que `email`, `upn`, etc.
9	(Facultatif) Configurez les paramètres Just In Time (JIT) et la réponse de mappage SAML. Reportez-vous à Configurer le mappage Just In Time (JIT) et SAML dans l'onglet Gérer vos IdPs de cet article.
10	Cliquez sur Tester la configuration SSO, et lorsqu'un nouvel onglet de navigateur s'ouvre, authentifiez-vous auprès du fournisseur d'identité en vous connectant. Testez la SSO de connexion avant de l’activer. Cette étape fonctionne comme un dry run et n’affecte pas les paramètres de votre organisation tant que vous n’SSO l’étape suivante. Si vous recevez un message d'erreur d'authentification, il se peut qu'il y ait un problème avec vos identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer. Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP. Pour découvrir l'expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l'URL dans le presse-papiers depuis cet écran et de la coller dans une fenêtre de navigateur privé. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.
11	Retournez à l’onglet Control Hub du navigateur. Si le test a réussi, sélectionnez Test réussi. Activez SSO et IdP et cliquez sur Activer. Si le test a échoué, sélectionnez Échec du test. Revenez aux étapes précédentes pour corriger les erreurs. La configuration SSO ne sera effective dans votre organisation que si vous sélectionnez la première option et activez l'authentification unique (SSO).

Que faire ensuite

Vous pouvez configurer une règle de routage. Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Vous pouvez suivre la procédure décrite dans Supprimer les e-mails automatisés pour désactiver les e-mails envoyés aux nouveaux utilisateurs de l'application Webex dans votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.

Configurer OpenID Connect

Lors de la configuration d'OpenID Connect avec Entra ID ou un fournisseur d'identité où l'adresse e-mail n'est pas un identifiant permanent, nous vous recommandons d'utiliser l'attribut de liaison externalId pour le mapper à un identifiant unique. Pour l'identifiant Entra, nous suggérons de faire correspondre l'OIDC à externalId. Si nous constatons que l'adresse électronique ne correspond pas à l'attribut de liaison, l'utilisateur est invité à vérifier son identité ou à créer un nouvel utilisateur avec l'adresse électronique correcte.

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité et cliquez sur Activer l'authentification unique.
4	Sélectionnez OpenID Connect comme fournisseur d'identité et cliquez sur Suivant.
5	Saisissez les informations de votre fournisseur d'identité. Nom— Le nom permettant d'identifier votre fournisseur d'identité. ID client— L'identifiant unique permettant de vous identifier ainsi que votre fournisseur d'identité. Secret client— Le mot de passe que vous et votre fournisseur d'identité connaissez. Étendues— Les étendues à associer à votre IdP.
6	(Facultatif) Activez la configuration de la clé de preuve pour l'échange de code (PKCE) pour configurer votre IdP OIDC avec cette extension de sécurité. Cela renforce la sécurité des applications clientes et assure la compatibilité avec les utilisateurs qui en ont besoin.
7	Choisissez comment ajouter des points de terminaison. Cela peut se faire automatiquement ou manuellement. Utilisez l'URL de découverte pour ajouter automatiquement des points de terminaison. Saisissez l'URL de découverte pour votre fournisseur d'identité. Cette URL remplira automatiquement les points de terminaison nécessaires pour la déconnexion unique OIDC (SLO). Activez Autoriser la déconnexion automatique de la session pour garantir que les utilisateurs sont déconnectés de toutes les applications et services connectés lorsqu'ils se déconnectent de Webex. Si vous préférez ajouter manuellement toutes les informations sur les points de terminaison, alors ajoutez les détails suivants. Émetteur— Saisissez l'URL de l'émetteur telle que spécifiée par votre fournisseur d'identité. Point de terminaison d'autorisation—Saisissez l'URL du point de terminaison d'autorisation. Point de terminaison du jeton—Saisissez l'URL du point de terminaison du jeton. Point de terminaison JWKS— Entrez l'URL du jeu de clés Web JSON (JWKS). Point de terminaison Userinfo—Saisissez l'URL du point de terminaison des informations utilisateur. Si Autoriser la déconnexion automatique de la session est activé, vous devez saisir l'URL du point de terminaison de déconnexion de session pour activer la déconnexion unique (SLO) sur toutes les applications connectées. Pour plus d'informations, reportez-vous au guide de configuration OpenID Connect.
8	(Facultatif) Configurer les paramètres Juste à temps (JIT). Reportez-vous à Configurer le mappage Just In Time (JIT) et SAML dans l'onglet Gérer vos IdPs de cet article.
9	Cliquez sur Tester la configuration SSO, et lorsqu'un nouvel onglet de navigateur s'ouvre, authentifiez-vous auprès du fournisseur d'identité en vous connectant. Testez la SSO de connexion avant de l’activer. Cette étape fonctionne comme un dry run et n’affecte pas les paramètres de votre organisation tant que vous n’SSO l’étape suivante. Si vous recevez un message d'erreur d'authentification, il se peut qu'il y ait un problème avec vos identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer. Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP. Pour découvrir l'expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l'URL dans le presse-papiers depuis cet écran et de la coller dans une fenêtre de navigateur privé. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.
10	Retournez à l’onglet Control Hub du navigateur. Si le test a réussi, sélectionnez Test réussi. Activez SSO et IdP et cliquez sur Activer. Si le test a échoué, sélectionnez Échec du test. Revenez aux étapes précédentes pour corriger les erreurs. La configuration SSO ne sera effective dans votre organisation que si vous sélectionnez la première option et activez l'authentification unique (SSO).

Que faire ensuite

Vous pouvez configurer une règle de routage. Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Configurer l'identité Webex

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité et cliquez sur Activer l'authentification unique.
4	Sélectionnez Webex comme fournisseur d'identité et cliquez sur Suivant.
5	Cochez J'ai lu et compris le fonctionnement de Webex IdP et cliquez sur Suivant.
6	Configurer une règle de routage. Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Une fois que vous avez ajouté une règle de routage, votre fournisseur d'identité est ajouté et apparaît sous l'onglet Fournisseur d'identité.

Ce qu’il faut faire ensuite

Vous pouvez suivre la procédure décrite dans Supprimer les e-mails automatisés pour désactiver les e-mails envoyés aux nouveaux utilisateurs de l'application Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Les règles de routage s'appliquent lors de la configuration de plusieurs fournisseurs d'identité (IdP). Les règles de routage permettent à Webex d'identifier le fournisseur d'identité (IdP) vers lequel rediriger vos utilisateurs lorsque vous avez configuré plusieurs IdP.

Lors de la configuration de plusieurs fournisseurs d'identité (IdP), vous pouvez définir vos règles de routage dans l'assistant de configuration SSO. Si vous ignorez l'étape de la règle de routage, Control Hub ajoute le fournisseur d'identité mais ne l'active pas. Vous devez ajouter une règle de routage pour activer le fournisseur d'identité.

Ajouter ou modifier les règles de routage

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Règles de routage. Lors de la configuration de votre premier IdP, la règle de routage est automatiquement ajoutée et définie comme règle par défaut. Vous pourrez choisir un autre fournisseur d'identité (IdP) comme règle par défaut ultérieurement.
4	Cliquez sur Ajouter une nouvelle règle de routage.
5	Saisissez les détails d'une règle de routage : Nom de la règle—Saisissez le nom de la règle de routage. Sélectionnez un type de routage— Sélectionnez un domaine ou un groupe. Si ce sont vos domains/groups— Entrez le domains/groups au sein de votre organisation. Utilisez ensuite ce fournisseur d'identité— Sélectionnez le fournisseur d'identité.
6	Sélectionnez la méthode d'authentification multifacteurs (MFA) : Conserver le statut MFA actuel— Permet de conserver la méthode MFA existante sans apporter de modifications. Remplacer l'état MFA actuel— Permet de modifier la méthode MFA existante par une nouvelle configuration. Autoriser l'authentification multifacteur pour cette règle uniquement— Activer pour activer l'authentification multifacteur spécifiquement pour la règle de routage actuelle. Pour plus d'informations sur la configuration de l'authentification multifacteur pour votre organisation, consultez Activer l'intégration de l'authentification multifacteur dans Control Hub.
7	Cliquez sur Ajouter.
8	Sélectionnez la nouvelle règle de routage et cliquez sur Activer.

Vous pouvez modifier l'ordre de priorité des règles de routage si vous avez des règles de routage pour plusieurs fournisseurs d'identité.

Désactiver ou supprimer les règles de routage

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Règles de routage.
4	Sélectionnez la règle de routage.
5	Choisissez si vous souhaitez Désactiver ou Supprimer la règle de routage. Il est recommandé d'avoir une autre règle de routage active pour le fournisseur d'identité. Sinon, vous risquez de rencontrer des problèmes lors de votre connexion SSO.

La règle par défautne peut pas être désactivée ou supprimée, mais vous pouvez modifier l'IdP routé.

Gérez vos certificats de fournisseur d'identité (IdP)

Avant de commencer

De temps en temps, vous recevrez un courrier électronique de notification ou voyez une alerte dans Control Hub vous avertissant que le certificat de l’IdP va expirer. Les fournisseurs IdP ayant leur propre documentation spécifique pour le renouvellement du certificat, nous couvrons ce qui est requis dans Control Hub , en même temps que les étapes génériques pour récupérer les métadonnées IdP mises à jour et les télécharger dans Control Hub pour renouveler le certificat.

Ceci s'applique uniquement à la configuration SAML.

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité.
4	Accédez à l'IdP, cliquez sur et sélectionnez Télécharger les métadonnées IdP. Pour télécharger le fichier de métadonnées, cliquez sur et sélectionnez Télécharger les métadonnées Idp.
5	Accédez à votre interface de gestion IdP pour récupérer le nouveau fichier de métadonnées.
6	Retournez au Control Hub et faites glisser votre fichier de métadonnées IdP dans la zone de téléchargement ou cliquez sur Choisir un fichier pour télécharger les métadonnées.
7	Choisissez Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une autorité de certification publique), selon la façon dont vos métadonnées IdP sont signées et cliquez sur Enregistrer.
8	Configurez les paramètres Juste à temps (JIT) et la réponse de mappage SAML. Reportez-vous à Configurer le mappage Just In Time (JIT) et SAML dans l'onglet Gérer vos IdPs de cet article.
9	Cliquez sur Tester la configuration SSO, et lorsqu'un nouvel onglet de navigateur s'ouvre, authentifiez-vous auprès du fournisseur d'identité en vous connectant. Testez la SSO de connexion avant de l’activer. Cette étape fonctionne comme un dry run et n’affecte pas les paramètres de votre organisation tant que vous n’SSO l’étape suivante. Si vous recevez un message d'erreur d'authentification, il se peut qu'il y ait un problème avec vos identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer. Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP. Pour découvrir l'expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l'URL dans le presse-papiers depuis cet écran et de la coller dans une fenêtre de navigateur privé. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.
10	Cliquez sur Enregistrer.

Gérez vos certificats de fournisseur de services (SP)

Avant de commencer

Il est recommandé de mettre à jour tous vos fournisseurs d'identité (IdP) au sein de votre organisation lors du renouvellement de votre certificat de fournisseur de services (SP).

Ceci s'applique uniquement à la configuration SAML.

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité.
4	Accédez à l'IdP et cliquez sur .
5	Cliquez sur Vérifier les certificats et la date d'expiration. Ceci vous amène à la page des certificats du fournisseur de services ( SP ). Vous pouvez cliquer sur pour télécharger les métadonnées ou le certificat SP. Si votre organisation utilise des certificats doubles, vous avez également la possibilité de transformer un certificat secondaire en certificat principal ou de supprimer un certificat secondaire existant.
6	Cliquez sur Renouveler le certificat.
7	Choisissez le type de fournisseur d'identité (IdP) dans votre organisation : fournisseur d'identité (IdP) prenant en charge un seul certificat Un fournisseur d'identité (IdP) qui prend en charge plusieurs certificats
8	Choisissez le type de certificat pour le renouvellement : Auto-signé par Cisco (recommandé)— Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans. Signé par une autorité de certification publique— Plus sécurisé, mais vous devrez fréquemment mettre à jour les métadonnées (sauf si votre fournisseur IdP prend en charge les ancres de confiance). Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
9	Pour confirmer que vous souhaitez remplacer le certificat actuel par celui que vous avez sélectionné, cochez En cliquant sur Remplacer un certificat, je vais échanger le certificat actuel avec celui que j'ai sélectionné, puis cliquez sur Remplacer un certificat.
10	Sur la page Renouveler les certificats du fournisseur de services (SP), cliquez sur Télécharger les métadonnées ou Télécharger le certificat pour télécharger une copie du fichier de métadonnées mis à jour ou du certificat depuis le cloud Webex.
11	Accédez à votre interface de gestion IdP pour télécharger le nouveau fichier de métadonnées ou certificat Webex. Cette étape peut être effectuée via un onglet de navigation, un protocole de bureau distant (RDP) ou une prise en charge spécifique du fournisseur d’accès sur le Cloud, en fonction de la configuration de votre IdP et si vous ou un administrateur IdP séparé êtes responsable de cette étape. Pour plus d'informations, consultez nos guides d'intégration SSO ou contactez votre administrateur IdP pour obtenir de l'aide. Si vous utilisez Active Directory Federation Services (AD FS), vous pouvez voir comment mettre à jour les métadonnées Webex dans AD FS
12	Retour à l'interface du centre de contrôle. Sur la page Renouveler les certificats du fournisseur de services (SP), cochez J'ai déjà mis à jour les métadonnées pour tous les IdPs, puis cliquez sur Suivant.
13	Cliquez sur Terminé.

Tester votre configuration SSO

Avant de commencer

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité.
4	Accédez à l'IdP et cliquez sur .
5	Sélectionner Test IdP.
6	Cliquez sur Tester la configuration SSO, et lorsqu'un nouvel onglet de navigateur s'ouvre, authentifiez-vous auprès du fournisseur d'identité en vous connectant. Si vous recevez un message d'erreur d'authentification, il se peut qu'il y ait un problème avec vos identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer. Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP. Pour découvrir l'expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l'URL dans le presse-papiers depuis cet écran et de la coller dans une fenêtre de navigateur privé. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.
7	Retournez à l’onglet Control Hub du navigateur. Si le test a réussi, sélectionnez Test réussi. Activez l'authentification unique (SSO) et le fournisseur d'identité (IdP) et cliquez sur Enregistrer. Si le test a échoué, sélectionnez Échec du test. Revenez aux étapes précédentes pour corriger les erreurs. La configuration SSO’entrée en réseau ne prend pas effet dans votre organisation à moins que vous ne choisissiez bouton à cliquer et activez le SSO.

Configurer le mappage Juste à temps (JIT) et SAML

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies :

SSO est déjà configurée.
Les domaines ont déjà été vérifiés.
Les noms de domaine sont revendiqués et activés. Cette fonctionnalité garantit que les utilisateurs de votre domaine sont créés et mis à jour à chaque authentification auprès de votre fournisseur d'identité.
Si DirSync ou Entra ID sont activés, la création ou la mise à jour SAML JIT ne fonctionnera pas.
L’Profil d'utilisateur « Bloquer la mise à jour » est activé. Le mappage des mises à jour SAML est autorisé car cette configuration contrôle la capacité de l’utilisateur à modifier les attributs. Les méthodes de création et de mise à jour contrôlées par l’administrateur sont toujours supportées.

Lors de la configuration de SAML JIT avec Entra ID ou un IdP où l'adresse e-mail n'est pas un identifiant permanent, nous vous recommandons d'utiliser l'attribut de liaison externalId pour le mapper à un identifiant unique. Si nous constatons que l'adresse électronique ne correspond pas à l'attribut de liaison, l'utilisateur est invité à vérifier son identité ou à créer un nouvel utilisateur avec l'adresse électronique correcte.

Les utilisateurs nouvellement créés ne recevront pas de licences automatiquement à moins que l’organisation n’ait installé un modèle de licence automatique.

Connectez-vous au Control Hub.

Aller à Gestion > Sécurité > Authentification.

Accédez à l'onglet Fournisseur d'identité.

Accédez à l'IdP et cliquez sur Menu Plus .

Sélectionnez Modifier le mappage SAML.

Configurer les paramètres Juste-à-temps (JIT) .

Créer ou activer un utilisateur : Si aucun utilisateur actif n'est trouvé, Webex Identity crée l'utilisateur et met à jour les attributs une fois que l'utilisateur s'est authentifié auprès du fournisseur d'identité.
Mise à jour de l’utilisateur avec les attributs SAML : si un utilisateur avec une adresse électronique est trouvé, webex Identity met à jour l’utilisateur avec les attributs mappés dans l’assertion SAML.

Confirmer que les utilisateurs peuvent se connecter avec une adresse électronique différente et non identifiable.

Configurer Attributs requis de mappage SAML.

Tableau 1. Attributs requis
Nom de l’attribut de l’identité Webex	Nom de l’attribut SAML	Description de l’attribut
Nom d’utilisateur/Adresse électronique principale	Exemple : uid	Faites correspondre l’attribut UID à l’adresse électronique, à l’UPN ou à l’edupersonprincipalname de l’utilisateur provisionné.

Configurer les attributs de liaison .

Cela devrait être unique à chaque utilisateur. Il sert à rechercher un utilisateur afin que Webex puisse mettre à jour tous les attributs de son profil, y compris son adresse électronique.

Tableau 2. attributs de liaison
Nom de l’attribut de l’identité Webex	Nom de l’attribut SAML	Description de l’attribut
id externe	Exemple : user.objectid (utilisateur.objectid)	Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.
Attribut de l’extension 1	Exemple : user.extensionattribute1	Associez ces attributs personnalisés aux attributs étendus d'Entra ID ou de votre répertoire, pour le suivi des codes.
Attribut de l’extension 2	Exemple : user.extensionattribute2
Attribut de l’extension 3	Exemple : user.extensionattribute3
Attribut d’extension 4	Exemple : utilisateur.extensionlattribute4
Attribut de l’extension 5	Exemple : user.extensionattribute5

Configurer Attributs du profil.

Tableau 3. Attributs de profil
Nom de l’attribut de l’identité Webex	Nom de l’attribut SAML	Description de l’attribut
id externe	Exemple : user.objectid (utilisateur.objectid)	Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.
Langue préférée	Exemple : user.preferredlanguage (langue préférée)	La langue préférée de l’utilisateur.
Paramètre régional	Exemple : user.locale	Le lieu de travail principal de l’utilisateur.
Fuseau horaire	Exemple : user.timezone (fuseau horaire)	Le fuseau horaire principal de l’utilisateur.
Nom d'affichage	Exemple : user.displayname (nom d’affichage utilisateur)	Le nom d’affichage de l’utilisateur dans Webex.
nom.givenName	Exemple : user.givenname (nom donné)	Le prénom de l’utilisateur.
nom.nomdname	Exemple : nom.utilisateur	Le nom de famille de l’utilisateur.
adresses.streetAddress	Exemple : user.streetaddress	L’adresse postale de leur lieu de travail principal.
adresses.localité	Exemple : utilisateur.localité	La localité de leur lieu de travail principal.
adresses.région	Exemple : région.utilisateur	La région de leur lieu de travail principal.
adresses.code postal	Exemple : code postal de l’utilisateur	Le code postal de leur lieu de travail principal.
adresses.pays	Exemple : utilisateur.pays	Le pays de leur lieu de travail principal.
phoneNumbers.work	Exemple : numéro de téléphone travail	Le numéro de téléphone professionnel de son lieu de travail principal. Utilisez uniquement le format international E.164 (15 chiffres maximum).
numéro de téléphone.extension	Exemple : numéro de téléphone de l'extension	Le numéro de poste de leur principal numéro de téléphone professionnel. Utilisez uniquement le format international E.164 (15 chiffres maximum).
numéros de téléphone.mobile	Exemple : numéro de téléphone portable	Le numéro de téléphone mobile de leur lieu de travail principal. Utilisez uniquement le format international E.164 (15 chiffres maximum).
titre	Exemple : user.jobtitle	L’intitulé de poste de l’utilisateur.
département	Exemple : département.utilisateur	Le département ou l’équipe de travail de l’utilisateur.
emails.travail	Exemple : courriels professionnels	Les adresses électroniques professionnelles des utilisateurs.
organisation	Exemple : utilisateur.organisation	L'identifiant de l'organisation de l'utilisateur

Configurer Attributs du groupe.

Créez un groupe dans Control Hub et notez l'ID du groupe Webex.
Accédez à votre annuaire d'utilisateurs ou à votre fournisseur d'identité (IdP) et configurez un attribut pour les utilisateurs qui seront affectés à l'identifiant de groupe Webex.
Mettez à jour la configuration de votre fournisseur d'identité pour inclure une revendication qui porte ce nom d'attribut ainsi que l'ID du groupe Webex (par exemple c65f7d85-b691-42b8-a20b-12345xxxx). Vous pouvez également utiliser l'identifiant externe pour gérer les modifications apportées aux noms de groupes ou pour de futurs scénarios d'intégration. Par exemple, la synchronisation avec Entra ID ou la mise en œuvre de la synchronisation de groupe SCIM.
Spécifiez le nom exact de l'attribut qui sera envoyé dans l'assertion SAML avec l'ID de groupe. Ceci permet d'ajouter l'utilisateur à un groupe.
Spécifiez le nom exact de l'ID externe de l'objet groupe si vous utilisez un groupe de votre annuaire pour envoyer des membres dans l'assertion SAML.

Si l'utilisateur A est associé à groupID 1234 et l'utilisateur B à groupID 4567, ils sont affectés à des groupes distincts. Ce scénario indique qu'un seul attribut permet aux utilisateurs de s'associer à plusieurs identifiants de groupe. Bien que cela soit rare, c'est possible et peut être considéré comme une modification additive. Par exemple, si l'utilisateur A se connecte initialement en utilisant groupID 1234, il devient membre du groupe correspondant. Si l'utilisateur A se connecte ultérieurement en utilisant groupID 4567, il est également ajouté à ce deuxième groupe.

Le provisionnement SAML JIT ne prend pas en charge la suppression d'utilisateurs des groupes ni la suppression d'utilisateurs.

Tableau 4. Attributs du groupe
Nom de l’attribut de l’identité Webex	Nom de l’attribut SAML	Description de l’attribut
groupId	Exemple : groupId	Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.
groupexternalId	Exemple : groupexternalId	Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

Pour une liste des attributs d'assertion SAML pour Webex Meetings, voir Attributs d'assertion SAML pour Webex Meetings et Jabber.

Supprimez votre fournisseur d'identité (IdP)

Avant de commencer

Il est recommandé de désactiver ou de supprimer les règles de routage du fournisseur d'identité avant de supprimer ce dernier.

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité.
4	Accédez à l'IdP et cliquez sur .
5	Sélectionnez Supprimer.

1	Connectez-vous au Control Hub.
2	Aller à Gestion > Sécurité > Authentification.
3	Accédez à l'onglet Fournisseur d'identité.
4	Cliquez sur Désactiver l'authentification unique. Confirmer la désactivation de l'authentification unique (SSO).

Une fois confirmée, l'authentification unique (SSO) est désactivée pour tous les fournisseurs d'identité (IdP) de votre organisation.

Vous recevrez des alertes dans Control Hub avant l’expiration des certificats, mais vous pouvez également configurer des règles d’alerte proactivement. Ces règles vous font savoir à l’avance que vos certificats SP ou IdP vont expirer. Nous pouvons vous les envoyer par courrier électronique, un espace dans l’application Webex, ou les deux.

Quel que soit le canal de distribution configuré, toutes les alertes s’affichent toujours dans Control Hub. Voir Centre d’alertes dans Control Hub pour plus d’informations.

1	Connectez-vous au Control Hub.
2	Allez dans Centre d'alertes.
3	Choisissez Gérer puis Toutes les règles .
4	À partir de la liste Règles, choisissez l’une SSO que vous souhaitez créer : SSO expiration du certificat IDP SSO expiration du certificat SP
5	Dans la section Chaine de distribution, cochez la case Adresse électronique, espaceWebex, ou les deux. Si vous choisissez Adresse électronique, saisissez l’adresse électronique qui doit recevoir la notification. Si vous choisissez l’option de l’espace Webex, vous êtes automatiquement ajouté à un espace dans l’application Webex et nous y livrons les notifications.
6	Enregistrez vos modifications.

Ce qu’il faut faire ensuite

Nous envoyons des alertes d’expiration des certificats une fois tous les 15 jours, en commençant 60 jours avant l’expiration. (Vous pouvez vous attendre à des alertes les jours 60, 45, 30 et 15.) Les alertes cessent lorsque vous renouvelez le certificat.

Si vous rencontrez des problèmes avec votre connexion SSO, vous pouvez utiliser l'option de récupération automatique SSO pour accéder à votre organisation Webex gérée dans Control Hub. L'option d'auto-récupération vous permet de mettre à jour ou de désactiver l'authentification unique (SSO) dans Control Hub.

Cisco AI Assistant

Merci pour votre commentaire.

SSO avec plusieurs fournisseurs d'identité dans Webex

Pourquoi vous pourriez avoir besoin de plusieurs fournisseurs d'identité

Limites

Hors champ

Petite entreprise

Enterprise

Périphériques

Solutions pour le

Ressources

Société