L’authentification unique (SSO) permet aux utilisateurs de se connecter à Webex en toute sécurité en s’authentifiant auprès du fournisseur d’identité commune de votre organisation. Un fournisseur d’identité (IdP) stocke et gère en toute sécurité les identités numériques de vos utilisateurs et fournit le service d’authentification des utilisateurs pour vos utilisateurs Webex.

Pourquoi vous pourriez avoir besoin de plusieurs IdP

De nombreuses grandes entreprises font l'objet de fusions et d'acquisitions, et ces entreprises ont rarement les mêmes infrastructures informatiques et fournisseurs d'identité. Les institutions gouvernementales ont divers organismes et organismes sous leur responsabilité. Souvent, ces organisations ont une seule adresse électronique pour leurs propres départements informatiques et leur infrastructure, respectivement. Les grands établissements d'enseignement ont une centrale d'achat, mais différentes universités et collèges avec différentes organisations et départements informatiques.

Il est courant de voir les IdP et les fournisseurs de services (SP) se fédérer les uns avec les autres. L’IdP est responsable de l’authentification des identifiants de vos utilisateurs et le SP fait confiance à l’authentification effectuée par l’IdP. Cela permet à vos utilisateurs d’accéder à diverses applications et services SaaS en utilisant la même identité numérique. Mais, si, pour une raison quelconque, votre organisation ne peut pas fédérer entre les IdP, alors Webex fournit une solution de contournement pour prendre en charge plusieurs IdP. Pour ces raisons, nous vous donnons la possibilité de configurer la SSO pour plusieurs IdP dans Webex et de simplifier le processus d’authentification de vos utilisateurs.

Limites

  • Cette fonctionnalité n’est disponible que si vous avez acheté le pack de sécurité étendu Webex.
  • Tous les utilisateurs doivent être provisionnés avec Directory Connector si vous utilisez Directory Connector dans votre organisation. Reportez-vous au Guide de déploiement de Directory Connector pour plus d'informations.
  • Nous prenons actuellement en charge uniquement SAML, OpenID Connect et Webex Identity en tant que fournisseurs d’identité.

Hors périmètre

  • Configurez les affectations de groupe.

Cette section explique comment intégrer vos fournisseurs d’identité (IdP) à votre organisation Webex. Vous pouvez choisir les IdP qui correspondent le mieux aux exigences de votre organisation.

Si vous recherchez l'intégration SSO d'un site Webex Meetings (géré dans l'administration du site), alors reportez-vous à Configurer l'authentification unique pour l'administration Webex.

Conditions requises

Avant de commencer

S'assurer que les conditions suivantes sont remplies :

  • Vous devez avoir Webex Extended Security Pack pour configurer l’authentification unique SSO avec plusieurs IdP dans Control Hub.
  • Vous devez avoir un rôle d’administrateur complet dans Control Hub.
  • Vous devez planifier votre comportement de règles de routage avant de configurer plusieurs IdP.

 
La règle de routage par défaut est appliquée lorsque vous configurez votre IdP initial. Mais vous pouvez définir un autre IdP comme valeur par défaut. Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Configurer SAML

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP pour démarrer l’assistant de configuration.

3

Sélectionnez SAML comme IdP et cliquez sur Suivant.

4

Choisissez le type de certificat :

  • Auto-signé par Cisco : nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayez à le renouveler qu’une fois tous les cinq ans.
  • Signé par une autorité de certification publique—Plus sécurisé, mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prenne en charge les ancres de confiance).

 
Les ancres de confiance sont des clés publiques qui agissent en tant qu'autorité pour vérifier le certificat d'une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
5

Cliquez sur Télécharger les métadonnées et cliquez sur Suivant.

Le nom de fichier de métadonnées de l’application Webex est idb-meta-<org-ID>-SP.xml.

6

Téléchargez votre fichier de métadonnées IdPs ou remplissez le formulaire de configuration.

Lors du chargement du fichier de métadonnées, il existe deux façons de valider les métadonnées à partir de l’IdP du client :

  • l’IdP du client fournit une signature dans les métadonnées qui est signée par une autorité de certification racine publique.
  • l’IdP du client fournit une autorité de certification privée auto-signée ou le fournit aucune signature pour leurs métadonnées. Cette option est moins sécurisée.
Sinon, dans le formulaire de configuration, saisissez les informations IdP.

Cliquez sur Suivant.

7

(Facultatif) Vous pouvez modifier le nom de l'attribut SAML pour Nom d'utilisateur Webex ou Adresse électronique principale à partir de uid à quelque chose d’accord avec le responsable IdP tel que email, upn, etc.

8

(Facultatif) Configurez les paramètres Juste à temps (JIT) et la réponse de mappage SAML.

Reportez-vous à Configurer le mappage juste à temps (JIT) et SAML dans l’onglet Gérer vos IdP de cet article.
9

Cliquez sur Tester la configuration SSO, et lorsqu’un nouvel onglet du navigateur s’ouvre, authentifiez-vous auprès de l’IdP en vous connectant.


 

Testez la connexion SSO avant de l'activer. Cette étape fonctionne comme un essai et n’affecte pas les paramètres de votre entreprise jusqu’à ce que vous activiez l’authentification unique SSO à l’étape suivante.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l'application Webex signifie généralement un problème avec la configuration SSO . Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.


 

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

10

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Activez l’authentification unique SSO et l’IdP et cliquez sur Activer.
  • Si le test a échoué, sélectionnez Test infructueux. Revenez aux étapes précédentes pour corriger les erreurs.

 
La configuration SSO ne prend effet dans votre organisation que si vous choisissez le premier bouton radio et activez la SSO.

Que faire ensuite

Vous pouvez configurer une règle de routage. Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques envoyés aux nouveaux utilisateurs de l’application Webex de votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Configurer OpenID Connect

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP pour démarrer l’assistant de configuration.

3

Sélectionnez OpenID Connect comme IdP et cliquez sur Suivant.

4

Saisissez vos informations IdP.

  • Nom—Le nom pour identifier votre IdP.
  • ID client—L'identifiant unique pour vous identifier, vous et votre IdP.
  • Secret client—Le mot de passe que vous et votre IdP connaissez.
  • Périmètres—Les périmètres à associer à votre IdP.
5

Choisissez comment ajouter des points de terminaison. Cela peut être fait automatiquement ou manuellement.

  • Utiliser l’URL de découverte—Saisissez l’URL de configuration de votre IdP.
  • Ajouter manuellement des informations sur les terminaux—Saisissez les informations suivantes.

    • Émetteur
    • Terminal d’autorisation
    • Terminal du jeton
    • Terminal JWKS
    • Terminal Userinfo
    Pour plus d’informations, reportez-vous au Guide de configuration d’OpenID Connect.
6

(Facultatif) Configurez les paramètres Just In Time (JIT).

Reportez-vous à Configurer le mappage juste à temps (JIT) et SAML dans l’onglet Gérer vos IdP de cet article.
7

Cliquez sur Tester la configuration SSO, et lorsqu’un nouvel onglet du navigateur s’ouvre, authentifiez-vous auprès de l’IdP en vous connectant.


 

Testez la connexion SSO avant de l'activer. Cette étape fonctionne comme un essai et n’affecte pas les paramètres de votre entreprise jusqu’à ce que vous activiez l’authentification unique SSO à l’étape suivante.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l'application Webex signifie généralement un problème avec la configuration SSO . Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.


 

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

8

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Activez l’authentification unique SSO et l’IdP et cliquez sur Activer.
  • Si le test a échoué, sélectionnez Test infructueux. Revenez aux étapes précédentes pour corriger les erreurs.

 
La configuration SSO ne prend effet dans votre organisation que si vous choisissez le premier bouton radio et activez la SSO.

Que faire ensuite

Vous pouvez configurer une règle de routage. Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques envoyés aux nouveaux utilisateurs de l’application Webex de votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Configurer l’identité Webex

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP pour démarrer l’assistant de configuration.

3

Sélectionnez Webex comme IdP et cliquez sur Suivant.

4

Vérifiez J’ai lu et compris le fonctionnement de l’IdP Webex et cliquez sur Suivant.

5

Configurez une règle de routage.

Reportez-vous à Ajouter ou modifier une règle de routage dans l'onglet Règles de routage de cet article.

Une fois que vous avez ajouté une règle de routage, votre IdP est ajouté et s'affiche sous l'onglet Fournisseur d'identité.

Que faire ensuite

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Les règles de routage sont applicables lors de la configuration de plusieurs IdP. Les règles de routage permettent à Webex d’identifier à quel IdP envoyer vos utilisateurs lorsque vous avez configuré plusieurs IdP.

Lors de la configuration de plusieurs IdP, vous pouvez définir vos règles de routage dans l’assistant de configuration SSO. Si vous ignorez l’étape de la règle de routage, le Control Hub ajoute l’IdP mais ne l’active pas. Vous devez ajouter une règle de routage pour activer l’IdP.

Ajouter ou modifier des règles de routage

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Règles de routage.


 

Lors de la configuration de votre premier IdP, la règle de routage est automatiquement ajoutée et est définie comme règle par défaut. Vous pouvez choisir ultérieurement un autre IdP à définir comme règle par défaut.

4

Cliquez sur Ajouter une nouvelle règle de routage.

5

Saisissez les détails d'une nouvelle règle :

  • Nom de la règle—Saisissez le nom de la règle de routage.
  • Sélectionner un type de routage—Sélectionnez un domaine ou un groupe.
  • S’il s’agit de vos domaines/groupes–Saisissez les domaines/groupes au sein de votre organisation.
  • Puis utilisez ce fournisseur d’identité—Sélectionnez l’IdP.
6

Cliquez sur Ajouter.

7

Sélectionnez la nouvelle règle de routage et cliquez sur Activer.


 
Vous pouvez modifier l'ordre de priorité des règles de routage si vous avez des règles de routage pour plusieurs IdP.

Désactiver ou supprimer les règles de routage

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Règles de routage.

4

Sélectionnez la règle de routage.

5

Choisissez si vous souhaitez Désactiver ou Supprimer la règle de routage.

Il est recommandé d'avoir une autre règle de routage actif pour l'IdP. Sinon, vous risquez de rencontrer des problèmes avec votre connexion SSO.


 
La règle par défaut ne peut pas être désactivée ou supprimée, mais vous pouvez modifier l’IdP routé.

Gérer vos certificats de fournisseur d'identité (IdP)

Avant de commencer


 

De temps en temps, vous pouvez recevoir une notification par courrier électronique ou voir une alerte dans le Control Hub indiquant que le certificat IdP va expirer. Étant donné que les fournisseurs IdP disposent de leur propre documentation spécifique pour le renouvellement des certificats, nous couvrons ce qui est requis dans Control Hub, ainsi que les étapes génériques pour récupérer les métadonnées IdP mises à jour et les télécharger vers Control Hub pour renouveler le certificat.

Ceci s'applique uniquement à la configuration SAML.

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Fournisseur d'identité.

4

Allez à l’IdP, cliquez suruploadet sélectionnez Upload Idp metadata.

Pour télécharger le fichier de métadonnées, cliquez surDownloadet sélectionnez Télécharger les métadonnées Idp.
5

Accédez à votre interface de gestion IdP pour récupérer le nouveau fichier de métadonnées.

6

Retournez au Control Hub et faites glisser et déposez votre fichier de métadonnées IdP dans la zone de téléchargement ou cliquez sur Choisir un fichier pour télécharger les métadonnées.

7

Choisissez Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une autorité de certification publique), selon la manière dont vos métadonnées IdP sont signées et cliquez sur Enregistrer.

8

Configurez les paramètres JIT (Just In Time) et la réponse de mappage SAML.

Reportez-vous à Configurer le mappage juste à temps (JIT) et SAML dans l’onglet Gérer vos IdP de cet article.
9

Cliquez sur Tester la configuration SSO, et lorsqu’un nouvel onglet du navigateur s’ouvre, authentifiez-vous auprès de l’IdP en vous connectant.


 

Testez la connexion SSO avant de l'activer. Cette étape fonctionne comme un essai et n’affecte pas les paramètres de votre entreprise jusqu’à ce que vous activiez l’authentification unique SSO à l’étape suivante.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l'application Webex signifie généralement un problème avec la configuration SSO . Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.


 

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

10

Cliquez sur Enregistrer.

Gérer les certificats de votre fournisseur de services (FS)

Avant de commencer


 

Il est recommandé de mettre à jour tous vos IdP dans votre organisation lors du renouvellement de votre certificat de fournisseur de service.

Ceci s'applique uniquement à la configuration SAML.

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Fournisseur d'identité.

4

Allez à l’IdP et cliquez sur.

5

Cliquez sur Revoir les certificats et la date d'expiration.

Vous accédez à la fenêtre Certificats du fournisseur de services (FS).
6

Cliquez sur Renouveler le certificat.

7

Choisissez le type d’IdP dans votre organisation :

  • Un IdP qui prend en charge plusieurs certificats
  • Un IdP qui prend en charge un seul certificat
8

Choisissez le type de certificat pour le renouvellement :

  • Auto-signé par Cisco : nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayez à le renouveler qu’une fois tous les cinq ans.
  • Signé par une autorité de certification publique : plus sûr, mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur d'IdP ne prenne en charge les ancres de confiance).

 
Les ancres de confiance sont des clés publiques qui agissent en tant qu'autorité pour vérifier le certificat d'une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.
9

Cliquez sur Télécharger les métadonnées ou Télécharger le certificat pour télécharger une copie du fichier de métadonnées ou du certificat mis à jour à partir du Cloud Webex.

10

Accédez à votre interface de gestion IdP pour télécharger le nouveau fichier de métadonnées ou le nouveau certificat Webex.

Cette étape peut être effectuée par le biais d’un onglet de navigateur, d’un protocole de bureau à distance (RDP) ou d’une prise en charge spécifique d’un fournisseur de cloud, en fonction de votre configuration IdP et si vous ou un administrateur IdP distinct êtes responsable de cette étape.

Pour plus d’informations, consultez nos guides d’intégration SSO ou contactez votre administrateur IdP pour obtenir de l’aide. Si vous êtes sur Active Directory Federation Services (AD FS), vous pouvez voir comment mettre à jour les métadonnées Webex dans AD FS

11

Revenez à l’interface du Control Hub et cliquez sur Suivant.

12

Sélectionnez Mise à jour réussie de tous les IdP et cliquez sur Suivant.

Ceci télécharge le fichier de métadonnées du fournisseur de service ou le certificat dans tous les IdP de votre organisation.

13

Cliquez sur Terminer le renouvellement.

Tester votre configuration SSO

Avant de commencer

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Fournisseur d'identité.

4

Allez à l’IdP et cliquez sur.

5

Sélectionnez Test IdP.

6

Cliquez sur Tester la configuration SSO, et lorsqu’un nouvel onglet du navigateur s’ouvre, authentifiez-vous auprès de l’IdP en vous connectant.


 

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les identifiants. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur de l'application Webex signifie généralement un problème avec la configuration SSO . Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.


 

Pour voir l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

7

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Activez l’authentification unique SSO et l’IdP et cliquez sur Enregistrer.
  • Si le test a échoué, sélectionnez Test infructueux. Revenez aux étapes précédentes pour corriger les erreurs.

 
La configuration SSO ne prend effet dans votre organisation que si vous choisissez le premier bouton radio et activez SSO.

Configurer le mappage juste à temps (JIT) et SAML

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies :

  • La SSO est déjà configurée.

  • Les domaines ont déjà été vérifiés.

  • Les domaines sont réclamés et activés. Cette fonctionnalité garantit que les utilisateurs de votre domaine sont créés et mis à jour une fois chaque fois qu’ils s’authentifient auprès de votre IdP.

  • Si DirSync ou Azure AD sont activés, alors la création ou la mise à jour SAML JIT ne fonctionnera pas.

  • « Bloquer la mise à jour du profil utilisateur » est activé. Le mappage de mise à jour SAML est autorisé car cette configuration contrôle la capacité de l'utilisateur à modifier les attributs. Les méthodes de création et de mise à jour contrôlées par l’administrateur sont toujours prises en charge.


 

Lors de la configuration de SAML JIT avec Azure AD ou un IdP lorsque l’adresse électronique n’est pas un identifiant permanent, nous vous recommandons d’utiliser le externalId associer l'attribut à mapper à un identificateur unique. Si nous constatons que l’adresse électronique ne correspond pas à l’attribut de liaison, l’utilisateur est invité à vérifier son identité ou à créer un nouvel utilisateur avec l’adresse électronique correcte.

Les utilisateurs nouvellement créés ne recevront pas automatiquement de licences attribuées à moins que l’organisation n’ait configuré un modèle de licence automatique.

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Fournisseur d'identité.

4

Allez à l’IdP et cliquez sur.

5

Sélectionnez Modifier le mappage SAML.

6

Configurer les paramètres Just-in-Time (JIT).

  • Créer ou activer un utilisateur : si aucun utilisateur actif n’est trouvé, alors Webex Identity crée l’utilisateur et met à jour les attributs une fois que l’utilisateur s’est authentifié auprès de l’IdP.
  • Mettre à jour l’utilisateur avec les attributs SAML : si un utilisateur avec une adresse électronique est trouvé, alors Webex Identity met à jour l'utilisateur avec les attributs mappés dans l'assertion SAML.
Confirmez que les utilisateurs peuvent se connecter avec une autre adresse électronique non identifiable.
7

Configurez les attributs requis du mappage SAML.

Tableau 1. Attributs requis

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

Nom d'utilisateur / adresse électronique principale

Exemple : uid

Faites correspondre l’attribut UID à l’adresse électronique, à l’UPN ou à l’edupersonprincipalname de l’utilisateur provisionné.

8

Configurez les Attributs de liaison.

Ceci doit être unique à l’utilisateur. Il est utilisé pour rechercher un utilisateur afin que Webex puisse mettre à jour tous les attributs du profil, y compris l’adresse électronique d’un utilisateur.
Tableau 2. Associer les attributs

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : utilisateur.objectid

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

matricule salarié

Exemple : utilisateur.employee

Le numéro d'employé de l'utilisateur, ou un numéro d'identification dans son système RH. Notez que ce n'est pas pour externalid, parce que vous pouvez réutiliser ou recycler employeenumber pour les autres utilisateurs.

Attribut 1 du numéro de poste

Exemple : utilisateur.extensionattribute1

Mappez ces attributs personnalisés aux attributs étendus dans Active Directory, Azure ou votre répertoire, pour les codes de suivi.

Attribut 2 du numéro de poste

Exemple : utilisateur.extensionattribute2

Attribut du numéro de poste 3

Exemple : user.extensionattribute3

Attribut du numéro de poste 4

Exemple : utilisateur.extensionlattribute4

Attribut du numéro de poste 5

Exemple : user.extensionattribute5

9

Configurez les attributs du profil.

Tableau 3. Attributs de profil

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : utilisateur.objectid

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

matricule salarié

Exemple : utilisateur.employee

Le numéro d'employé de cet utilisateur, ou un numéro d'identification dans son système RH. Notez que ce n'est pas pour "externalid", car vous pouvez réutiliser ou recycler "employee enumber" pour d'autres utilisateurs.

Langue préférée

Exemple : utilisateur.langue de préférence

La langue préférée de l’utilisateur.

Paramètre régional

Exemple : utilisateur.locale

Le lieu de travail principal de l’utilisateur.

Fuseau horaire

Exemple : utilisateur.fuseau horaire

Le fuseau horaire principal de l’utilisateur.

Nom d'affichage

Exemple : utilisateur.displayname

Le nom d’affichage de l’utilisateur dans Webex.

nom.givenName

Exemple : utilisateur.givenname

Le prénom de l’utilisateur.

nom.nomdname

Exemple : nom.utilisateur

Le nom de famille de l’utilisateur.

adresses.streetAddress

Exemple : adresse de l'utilisateur

L’adresse postale de leur lieu de travail principal.

adresses.state

Exemple : état.utilisateur

L’état de leur lieu de travail principal.

adresses.region

Exemple : utilisateur.région

La région de leur lieu de travail principal.

adresses.codePostal

Exemple : code postal utilisateur

Le code postal de leur lieu de travail principal.

adresses.pays

Exemple : utilisateur.pays

Le pays de leur lieu de travail principal.

numéros de téléphone.work

Exemple : numéro de téléphone professionnel

Le numéro de téléphone professionnel de son lieu de travail principal. Utilisez uniquement le format international E.164 (15 chiffres maximum).

numérosde téléphone.extension

Exemple : numéro de téléphone mobile

Le numéro de poste de leur principal numéro de téléphone professionnel. Utilisez uniquement le format international E.164 (15 chiffres maximum).

pronom

Exemple : utilisateur.pronom

Les pronoms de l’utilisateur. Il s'agit d'un attribut facultatif, et l'utilisateur ou l'administrateur peut le rendre visible sur son profil.

titre

Exemple : user.jobtitle

L’intitulé de poste de l’utilisateur.

département

Exemple : service de l'utilisateur

Le département ou l’équipe de travail de l’utilisateur.

pronom

Exemple : utilisateur.pronom

Il s’agit du pronom de l’utilisateur. La visibilité de cet attribut est contrôlée par l’Admin et l’utilisateur

manager

Exemple : manager

Le responsable de l’utilisateur ou son chef d’équipe.

centre de coûts

Exemple : centre de coûts

Il s’agit du nom de famille de l’utilisateur également connu sous le nom de famille

adresse électronique.alternate1

Exemple : nom d'utilisateur

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate2

Exemple : utilisateur.primaryautoritativemail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate3

Exemple : user.alternativeautoritativemail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate4

Exemple : utilisateur.othermail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate5

Exemple : utilisateur.othermail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.
10

Configurez les attributs du poste.

Mappez ces attributs aux attributs étendus dans Active Directory, Azure ou votre répertoire, pour les codes de suivi.
Tableau 4. Attributs du poste

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Attribut 1 du numéro de poste

Exemple : utilisateur.extensionattribute1

Attribut 2 du numéro de poste

Exemple : utilisateur.extensionattribute2

Attribut du numéro de poste 3

Exemple : user.extensionattribute3

Attribut du numéro de poste 4

Exemple : user.extensionattribute4

Attribut du numéro de poste 5

Exemple : user.extensionattribute5

Attribut du numéro de poste 6

Exemple : user.extensionattribute6

Attribut du numéro de poste 7

Exemple : utilisateur.extensionattribute7

Attribut du numéro de poste 8

Exemple : user.extensionattribute8

Attribut du numéro de poste 9

Exemple : user.extensionattribute9

Attribut du numéro de poste 10

Exemple : user.extensionattribute10

11

Configurez les attributs du groupe.

  1. Créez un groupe dans Control Hub et notez l’ID du groupe Webex.
  2. Allez dans votre répertoire utilisateur ou IdP et configurez un attribut pour les utilisateurs qui seront affectés à l’ID du groupe Webex.
  3. Mettez à jour la configuration de votre IdP pour inclure une réclamation portant ce nom d’attribut ainsi que l’ID du groupe Webex (par exemple c65f7d85-b691-42b8-a20b-12345xxxx). Vous pouvez également utiliser l’ID externe pour gérer les modifications apportées aux noms de groupe ou pour de futurs scénarios d’intégration. Par exemple, synchronisation avec Azure AD ou mise en œuvre de la synchronisation de groupe SCIM.
  4. Spécifiez le nom exact de l'attribut qui sera envoyé dans l'assertion SAML avec l'ID du groupe. Permet d’ajouter l’utilisateur à un groupe.
  5. Spécifiez le nom exact de l'ID externe de l'objet de groupe si vous utilisez un groupe de votre répertoire pour envoyer des membres dans l'assertion SAML.

 

Si l’utilisateur A est associé à groupID 1234 et utilisateur B avec groupID 4567, ils sont affectés à des groupes distincts. Ce scénario indique qu'un seul attribut permet aux utilisateurs de s'associer à plusieurs ID de groupe. Bien que cela soit rare, il est possible et peut être considéré comme un changement additif. Par exemple, si l'utilisateur A se connecte initialement en utilisant groupID 1234, ils deviennent membres du groupe correspondant. Si l’utilisateur A se connecte ultérieurement en utilisant groupID 4567, ils sont également ajoutés à ce deuxième groupe.

La mise à disposition SAML JIT ne prend pas en charge la suppression d'utilisateurs des groupes ou toute suppression d'utilisateurs.

Tableau 5. Attributs du groupe

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

ID du groupe

Exemple : ID du groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

IdExterne du groupe

Exemple : IdExterne du groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

Pour obtenir la liste des attributs d’assertion SAML pour Webex Meetings, voir https://help.webex.com/article/WBX67566.

Supprimer votre fournisseur d’identité (IdP)

Avant de commencer


 
Il est recommandé de désactiver ou de supprimer d’abord les règles de routage de l’IdP avant de supprimer l’IdP.
1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Fournisseur d'identité.

4

Allez à l’IdP et cliquez sur.

5

Sélectionnez Supprimer.

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Fournisseur d'identité.

4

Cliquez sur Désactiver la SSO.

Confirmer la désactivation de la SSO.

Une fois confirmée, la SSO est désactivée pour tous les IdP de votre organisation.

Vous recevrez des alertes dans le Control Hub avant que les certificats ne soient configurés pour expirer, mais vous pouvez également configurer de manière proactive des règles d’alerte. Ces règles vous indiquent à l'avance que vos certificats SP ou IdP vont expirer. Nous pouvons vous les envoyer par courrier électronique, dans un espace de l’application Webex, ou les deux.


 

Quel que soit le canal de distribution configuré, toutes les alertes apparaissent toujours dans le Control Hub. Voir Centre d’alertes dans le Control Hub pour plus d’informations.

1

Connectez-vous au Control Hub.

2

Accédez au Centre d'alertes.

3

Choisissez Gérer puis Toutes les règles.

4

Dans la liste des règles, choisissez l'une des règles SSO que vous souhaitez créer :

  • Expiration du certificat SSO IDP
  • Expiration du certificat SSO SP
5

Dans la section Canal de distribution, cochez la case Courrier électronique, Espace Webex, ou les deux.

Si vous choisissez Courrier électronique, saisissez l’adresse électronique qui doit recevoir la notification.


 

Si vous choisissez l’option d’espace Webex, vous êtes automatiquement ajouté à un espace dans l’application Webex et nous y envoyons les notifications.

6

Enregistrez vos modifications.

Que faire ensuite

Nous envoyons des alertes d'expiration de certificat une fois tous les 15 jours, à partir de 60 jours avant l'expiration. (Vous pouvez vous attendre à des alertes les jours 60, 45, 30 et 15.) Les alertes s'arrêtent lorsque vous renouvelez le certificat.

Si vous rencontrez des problèmes avec votre connexion SSO, vous pouvez utiliser l’option d’auto-récupération SSO pour accéder à votre organisation Webex gérée dans Control Hub. L’option d’auto-récupération vous permet de mettre à jour ou de désactiver la SSO dans Control Hub.