Sign-on unique et Control Hub

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification SSO entre le Cloud Webex et votre fournisseur d’identité (IdP).

Profils

L’application Webex prend uniquement en charge le navigateur Web SSO profil. Dans le profil de l SSO Webex, l’application Webex prend en charge les liaisons suivantes :

  • SP initiated POST-> POST binding

  • SP initiated REDIRECT-> POST binding

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. L’application Webex prend en charge les formats nameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisé dans Webex.

Déconnexion individuelle

L’application Webex prend en charge le profil de connexion unique. Dans l’application Webex, un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML unique de connexion pour mettre fin à la session et confirmer la connexion avec votre IdP. IdPs SSO testés

Intégrer Control Hub avec ADFS

Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation.

Configurer cette intégration pour les utilisateurs dans votre organisation Webex ( y compris l’application Webex, Webex Meetings, et autres services gérés dans Control Hub). Si votre site Webex est intégré dans Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder aux Webex Meetings de cette façon et que celle-ci n’est pas gérée dans Control Hub, vous devez faire une intégration séparée pour activer la SSO pour les Webex Meetings. (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).

En fonction de ce qui est configuré dans les mécanismes d’authentification dans ADFS, l’authentification Windows intégrée (IWA) peut être activée par défaut. Si cette application est activée, les applications lancées via Windows (telles que l’application Webex et Cisco Connecteur de répertoire) s’authentifier en tant qu’utilisateur qui est inscrit, quelle que soit l’adresse électronique saisie lors de l’invite initiale de l’adresse électronique.

Téléchargez les métadonnées Webex sur votre système local

1

À partir de l’affichage du client dans , https://admin.webex.com allez à Gestion > Paramètresde l’organisation, puis faites défiler jusqu’à Authentification, puis basculez sur le paramètre Authentification unique pour lancer l’assistant d’installation.

2

Choisissez le type de certificat pour votre organisation :

  • Auto-signé par Cisco–Nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayiez à le renouveler qu’une seule fois tous les cinq ans.
  • Signé par une autorité de certification publique—Plus sécurisé mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur IdP ne prenne en charge les ancres de confiance).

Les chevilles de confiance sont des clés publiques qui agissent en tant qu’autorité de vérification du certificat d’une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.

3

Télécharger le fichier de métadonnées.

Le nom de fichier de métadonnées Webex est idb-meta--sp.xml.

Installer les métadonnées Webex dans ADFS

Avant de commencer

Control Hub prend en charge ADFS 2.x ou plus tard.

Windows 2008 R2 comprend uniquement ADFS 1.0. Vous devez installer la version minimale ADFS 2.x de Microsoft.

Pour les SSO et les services Webex, les fournisseurs d’identité (IdP) doivent être conformes à la spécification SAML 2.0 suivante :

  • Définissez l'attribut NameID Format sur urn:oasis:names:tc:SAML:2.0:nameid-format :transitoire

  • Configurez une réclamation sur l’IdP pour inclure le nom de l’attribut uid avec une valeur qui correspond à l’attribut choisi dans Cisco Directory Connector ou à l’attribut utilisateur qui correspond à celui choisi dans le service d’identité Webex. (Cet attribut peut être des adresses électroniques ou un nom d'utilisateur principal, par exemple.) Voir les informations de l'attribut personnalisé dans https://www.cisco.com/go/hybrid-services-directory pour plus d'informations.

1

Connectez-vous au serveur ADFS avec vos permissions d’administrateur.

2

Ouvrez la console de gestion ADFS et naviguez vers Relations de confiance > Relying Party Trusts (Approbations des parties de confiance > Ajouter une approbations de partie de confiance.

3

À partir de la fenêtre Ajouter une approbation de partie de confiance, sélectionnez Démarrer.

4

Pour Sélectionner la source de données , sélectionnez Importer les données sur la partie de confiance à partir d’un fichier, allez au fichier de métadonnées du Control Hub que vous avez téléchargé et sélectionnez Suivant.

5

Pour Spécifier le nom d'affichage, créez un nom d'affichage pour cette approbation de partie de confiance telle que Webex et sélectionnez Suivant.

6

Pour Choisir les règles d'autorisation d'émission, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance, et sélectionnez Suivant.

7

Pour Prêt à ajouter la confiance, sélectionnez Suivant et finissez d’ajouter la partir de confiance à ADFS.

Créer des règles de réclamation pour l’authentification Webex

1

Dans le volet ADFS principal, sélectionnez la relation de confiance que vous avez créée, puis sélectionnez Modifier les règles de réclamation. Dans l'onglet règles de transformation d'émission, sélectionnez Ajouter une règle.

2

Dans l'étape Choisir un type de règle, sélectionnez Envoyer les attributs LDAP sous la forme de réclamations, puis sélectionnez Suivant.

  1. Saisissez un Nom de règle de réclamation.

  2. Sélectionnez Répertoire actif comme magasin d'attributs.

  3. Mappez l'attribut LDAP Adresses électroniques au type de réclamation sortante uid.

    Cette règle indique à l’ADFS quels champs doit être mapué à Webex pour identifier un utilisateur. Épelez les types de réclamations sortantes exactement comme indiqué.

  4. Enregistrez vos modifications

3

Sélectionnez à nouveau Ajouter une règle, Envoyer des réclamations à l’aide d’une règle personnalisée, puis sélectionnez Suivant.

Cette règle fournit l’attribut « spname qualifier » à l’ADFS qui n’est fourni par aucune autre raison par Webex.

  1. Ouvrez votre éditeur de texte et copiez le contenu suivant.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2") ;

    Remplacer URL1 et URL2 dans le texte comme suit :

    • URL1 est l’entityID à partir du fichier de métadonnées ADFS que vous avez téléchargé.

      Par exemple, voici un exemple de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copiez simplement l’ID de l’entité à partir du fichier de métadonnées ADFS et collez-le dans le fichier texte pour remplacer l’URL1

    • URL2 est sur la première ligne dans le fichier de métadonnées Webex que vous avez téléchargé.

      Par exemple, voici un exemple de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copiez simplement l’entityID à partir du fichier de métadonnées Webex et collez-le dans le fichier texte pour remplacer l’URL2.

  2. Avec les nouvelles URL, copiez la règle à partir de votre éditeur de texte (en commençant par « c: ») et collez-la dans la boite de la règle personnalisée sur votre serveur ADFS.

    La règle terminée devrait ressembler à ceci :

  3. Sélectionnez Terminer pour créer la règle, puis quittez la fenêtre Modifier les règles de réclamation.

4

Sélectionnez Approbation de partie de confiance dans la fenêtre principale, puis sélectionnez Propriétés dans le panneau droit.

5

Lorsque la fenêtre Propriétés s’affiche, allez à l’onglet Avancé, SHA-256, puis sélectionnez OK pour enregistrer vos modifications.

6

Accédez à l’URL suivante sur le serveur interne ADFS pour télécharger le fichier : https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

Vous devrez peut-être cliquer avec le clic droit de la souris sur la page et afficher la source de la page pour obtenir le fichier XML correctement formaté.

7

Enregistrez le fichier sur votre machine locale.

Ce qu’il faut faire ensuite

Vous êtes prêt à ré importer les métadonnées ADFS dans Webex à partir du portail de gestion.

Importer les métadonnées IdP et activer les authentification unique (SSO) après un test

Après avoir exporté les métadonnées Webex , configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à les importer dans votre organisation Webex à partir de Control Hub.

Avant de commencer

Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons en charge uniquement les flux initiés par Prestataire de service (initié par le SP), donc vous devez utiliser le test SSO Control Hub pour cette intégration.

1

Choisissez une option :

  • Retournez à la page de sélection des certificats du Control Hub dans votre navigateur, puis cliquez sur Suivant.
  • Si Control Hub n’est plus ouvert dans l’onglet du navigateur, à partir de l’affichage du client dans https://admin.webex.com, allez à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification, puis choisissez Actions > Importer les métadonnées.
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Vous devez utiliser l’option Plus sécurisée , si vous le pouvez. Ceci est possible uniquement si votre IdP a utilisé une AC publique pour signer ses métadonnées.

Dans tous les autres cas, vous devez utiliser l’option Moins sécurisée . Ceci inclut si les métadonnées ne sont pas signées, auto-signées, ou signées par une AC privée.

Okta ne signe pas les métadonnées, donc vous devez choisir Moins de sécurité pour une intégration SSO Okta.

3

Sélectionnez Tester la configuration de l’authentification unique SSO et lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de l’application Webex signifie généralement qu’il y a un problème SSO d’installation. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

Pour voir directement l’expérience de connexion SSO, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette étape arrête les faux positif en raison d’un jeton d’accès qui peut être dans une session existante à partir de votre signature.

4

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Test réussi. Allumez le SSO et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Échec du test. Éteint et SSO cliquez sur Suivant.

La configuration SSO’entrée en réseau ne prend pas effet dans votre organisation à moins que vous ne choisissiez bouton à cliquer et activez le SSO.

Ce qu’il faut faire ensuite

Utilisez les procédures de Synchroniser les utilisateurs Okta dans Cisco Webex Control Hub si vous souhaitez que les utilisateurs s’y provisionnent hors d’Okta dans le Cloud Webex.

Utilisez les procédures dans Synchroniser Azure Active Directory utilisateurs dans Cisco Webex Control Hub si vous souhaitez que l’utilisateur provisionning de Azure AD dans le Cloud Webex.

Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Mise à jour de l’accès de partie de confiance Webex dans ADFS

Cette tâche concerne spécifiquement la mise à jour d’ADFS avec les nouvelles métadonnées SAML de Webex. Il y a des articles connexes si vous avez besoin de configurer SSO avec ADFS, ou si vous devez mettre à jour (un autre) IdP avec les métadonnées SAML pour un nouveau certificat WebexSSO.

Avant de commencer

Vous devez exporter le fichier de métadonnées SAML du Control Hub avant de pouvoir mettre à jour l’approbation de partie de confiance Webex dans ADFS.

1

Connectez-vous au serveur ADFS avec vos permissions d’administrateur.

2

Téléchargez le fichier de métadonnées SAML de Webex vers un dossier local temporaire sur le serveur ADFS, par exemple //ADFS_servername/temp/idb-meta--SP.xml.

3

Ouvrez Powershell.

4

Exécutez Get-AdfsRelyingPartyTrust pour lire toutes les approbations de parties de confiance.

Notez le paramètre TargetName de l'approbation de partie de confiance Webex. Nous utilisons l’exemple « Webex » mais il peut être différent dans votre ADFS.

5

Exécutez Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex".

Veillez à remplacer le nom du fichier et le nom de la cible par les valeurs correctes de votre environnement.

Voir .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust

Si vous avez téléchargé le certificat Webex SP 5 ans et que la révocation du certificat de signature ou de chiffrement est désactivée, vous devez exécuter les deux commandes suivantes : Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName « Webex ».

6

Connectez-vous au Control Hub, puis testez l’intégration SSO :

  1. Allez dans Gestion > paramètresde l’organisation, faites défiler jusqu’à Authentification, puis basculez sur le paramètre Authentification unique SSO pour lancer l’assistant de configuration.

  2. Cliquez sur Suivant pour sauter la page Importer les métadonnées IdP.

    Vous n’avez pas besoin de répéter cette étape, car vous avez déjà importé les métadonnées IdP.

  3. Testez la SSO de connexion avant de l’activer. Cette étape fonctionne comme un essai et n’affecte pas les paramètres de votre entreprise jusqu’à ce que vous activiez l’authentification unique SSO à l’étape suivante.

    Pour voir directement l’expérience de connexion SSO, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

  4. Connectez-vous pour terminer le test.

Dépannage ADFS

Erreurs ADFS dans les journaux Windows

Dans les journaux Windows, vous pouvez voir un code d'erreur 364 dans le journal d'événements ADFS. Les détails de l'événement identifient un certificat invalide. Dans ce cas, l'hôte ADFS n'est pas autorisé à passer par le pare-feu sur le port 80 pour valider le certificat.

Une erreur s’est produite lors de la tentative de construction de la chaine de certificats pour l’accord de partie de confiance

Lors de la mise SSO jour du certificat, cette erreur peut vous être présentée lors de la inscription : Code de statut non valide dans la réponse.

Si vous voyez cette erreur, vérifiez les journaux de l’observateur d’événements sur le serveur ADFS et recherchez l’erreur suivante : Une erreur s'est produite lors d'une tentative de création de la chaîne de certificats pour le certificat de l'approbation de partie de confiance « https://idbroker.webex.com/<org-ID>' identifié par l'empreinte digitale « 754B9208F1F75C5CC122740F3675C5D129471D80 ». Les causes possibles sont que le certificat a été révoqué, que la chaine de certificats n’a pas pu être vérifiée comme spécifiée par les paramètres de révocation du certificat de chiffrement de l’trust de confiance, ou que le certificat n’est pas dans sa période de validité.

Si cette erreur se produit vous devez exécuter les commandes Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

ID de fédération

Les ID de fédération sont sensibles à la casse. Si c’est votre adresse électronique organisationnelle, saisissez-la exactement comme l’ADFS l’envoie, ou Webex ne pourra pas trouver l’utilisateur correspondant.

Une règle de réclamation personnalisée ne peut pas être écrite pour normaliser l'attribut LDAP avant qu'il soit envoyé.

Importez vos métadonnées à partir du serveur ADFS que vous configurez dans votre environnement.

Vous pouvez vérifier l'URL si nécessaire en accédant sur Service > points de terminaison > Métadonnées > Type : Métadonnées de Fédération dans Gestion ADFS.

Synchronisation de l’heure

Vérifiez que l’horloge système de votre serveur ADFS est synchronisée sur une source horaire Internet fiable qui utilise le protocole Network Time Protocol (NTP). Utilisez la commande PowerShell pour faire une inclinaison de l’horloge uniquement pour la relation de confiance entre les parties Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

La valeur hexadécimale est unique pour votre environnement. Veuillez remplacer la valeur de l’ID de l’entité SP EntityDescriptor dans le fichier de métadonnées Webex. Par exemple :

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">