Vous pouvez configurer l’intégration authentification unique (SSO) (SSO) entre Control Hub et un déploiement qui utilise Active Directory Federation Services (ADFS 2.x et ultérieur) en tant que fournisseur d’identité (IdP).
Sign-on unique et Control Hub
L’authentification unique (SSO) est un processus d’identification de session ou d’utilisateur qui permet à un utilisateur de fournir des informations d’identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d’autres invites lorsque les utilisateurs changent d’applications au cours d’une session particulière.
Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification par accès SSO entre le Cloud Webex et votre fournisseur d’identité (IdP).
Profils
L’application Webex prend uniquement en charge le navigateur web SSO profil. Dans le profil de l SSO Webex, l’application Webex prend en charge les liaisons suivantes :
SP initié POST -> Liaison POST
SP a initié REDIRECT -> Liaison POST
Format NameID
Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. L’application Webex prend en charge les formats nameID suivants.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisé dans Webex.
Déconnexion individuelle
L’application Webex prend en charge le profil de connexion unique. Dans l’application Webex , un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML unique de connexion pour mettre fin à la session et confirmer la connexion avec votre IdP. IdPs SSO testés
Intégrer Control Hub avec ADFS
Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation. |
Configurer cette intégration pour les utilisateurs dans votre organisation Webex (y compris l’application Webex , Webex Meetings et autres services gérés dans Control Hub). Si votre site Webex est intégré dans Control Hub , le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder aux Webex Meetings de cette façon et que la gestion n’est pas gérée dans Control Hub , vous devez faire une intégration séparée pour activer la SSO pour Webex Meetings . (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).
En fonction de ce qui est configuré dans les mécanismes d’authentification dans ADFS, l’authentification Windows intégrée (IWA) peut être activée par défaut. Si cette application est activée, les applications lancées via Windows (telles que l’application Webex et Cisco Connecteur de répertoire) s’authentifier en tant qu’utilisateur qui est inscrit, quelle que soit l’adresse électronique saisie lors de l’invite initiale de l’adresse électronique.
Téléchargez les métadonnées Webex sur votre système local
1 | À partir de l’affichage du client dans , allez à Gestion > Paramètres de l’organisation , puis faites défiler jusqu’à Authentification , puis basculez sur le paramètre Authentification unique pour lancer l’assistant https://admin.webex.com d’installation. |
||
2 | Choisissez le type de certificat pour votre organisation :
|
||
3 | Télécharger le fichier de métadonnées. Le fichier de métadonnées Webex est idb-meta-<org-ID>-SP.xml. |
Installer les métadonnées Webex dans ADFS
Avant de commencer
Control Hub prend en charge ADFS 2.x ou plus tard.
Windows 2008 R2 comprend uniquement ADFS 1.0. Vous devez installer la version minimale ADFS 2.x de Microsoft.
Pour les SSO et les services Webex, les fournisseurs d’identité (IdP) doivent être conformes à la spécification SAML 2.0 suivante :
Définissez l’attribut NameID Format à urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Configurer une demande sur l’IdP pour inclure le nom de l’attribut uid avec une valeur mappée à l’attribut qui est choisi dans Cisco Connecteur de répertoire ou l’attribut utilisateur qui correspond à celui qui est choisi dans le service d'identité Webex. (Cet attribut pourrait être des adresses électroniques ou un nom d’utilisateur principal, par exemple). Consultez les informations sur les attributs personnalisés dans https://www.cisco.com/go/hybrid-services-directory pour obtenir des instructions.
1 | Connectez-vous au serveur ADFS avec vos permissions d’administrateur. |
2 | Ouvrez la console de gestion ADFS et naviguez vers . |
3 | À partir de la fenêtre Ajouter une approbation de partie de confiance, sélectionnez Démarrer. |
4 | Pour Sélectionner la source de données, sélectionnez Importer les données sur la partie de confiance à partir d’un fichier , allez au fichier de métadonnées Control Hub que vous avez téléchargé, puis sélectionnez Suivant. |
5 | Pour Spécifier le nom d’affichage , créez un nom d’affichage pour cette confiance de partie deconfiance, telle que Webex et sélectionnez Suivant. |
6 | Pour Choisir les règles d'autorisation d'émission, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance, et sélectionnez Suivant. |
7 | Pour Prêt à ajouter la confiance, sélectionnez Suivant et finissez d’ajouter la partir de confiance à ADFS. |
Créer des règles de réclamation pour l’authentification Webex
1 | Dans le volet ADFS principal, sélectionnez la relation de confiance que vous avez créée, puis sélectionnez Modifier les règles de réclamation. Dans l’onglet règles de transformation d’émission, sélectionnez Ajouter une règle. |
||
2 | Dans l’étape Choisir un type de règle, sélectionnez Envoyer les attributs LDAP sous la forme de réclamations, puis sélectionnez Suivant. ![]() |
||
3 | Sélectionnez à nouveau Ajouter une règle, Envoyer des réclamations à l’aide d’une règle personnalisée, puis sélectionnez Suivant. Cette règle fournit l’attribut « spname qualifier » à l’ADFS qui n’est fourni par aucune autre raison par Webex. |
||
4 | Sélectionnez Approbation de partie de confiance dans la fenêtre principale, puis sélectionnez Propriétés dans le panneau droit. |
||
5 | Lorsque la fenêtre Propriétés s’affiche, allez à l’onglet Avancé, SHA-256, puis sélectionnez OK pour enregistrer vos modifications. |
||
6 | Accédez à l’URL suivante sur le serveur interne ADFS pour télécharger le fichier : https:// serveurAD_FS_>/FederationMetadata/2007-06/FederationMetadata.xml
|
||
7 | Enregistrez le fichier sur votre machine locale. |
Ce qu’il faut faire ensuite
Vous êtes prêt à ré importer les métadonnées ADFS dans Webex à partir du portail de gestion.
Importer les métadonnées IdP et activer les authentification unique (SSO) après un test
Après avoir exporté les métadonnées Webex, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à l’importer dans votre organisation Webex à partir de Control Hub .
Avant de commencer
Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons uniquement en charge les flux initiés par le fournisseur de services (SP), vous devez donc utiliser le test SSO de Control Hub pour cette intégration.
1 | Choisissez une option :
|
||||
2 | Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l’option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant. Vous devez utiliser l’option Plus sécurisée, si vous le pouvez. Ceci est possible uniquement si votre IdP a utilisé une AC publique pour signer ses métadonnées. Dans tous les autres cas, vous devez utiliser l’option Moins sécurisée. Ceci inclut si les métadonnées ne sont pas signées, auto-signées, ou signées par une AC privée. |
||||
3 | Sélectionnez Tester SSO l’installation du , puis lorsqu’un nouvel onglet de navigation s’ouvre, authentifier avec l’IdP en vous authentification.
|
||||
4 | Retournez à l’onglet Control Hub du navigateur.
|
Ce qu’il faut faire ensuite
Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs de l’application Webex de votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.
Mise à jour de l’accès de partie de confiance Webex dans ADFS
Avant de commencer
Vous devez exporter le fichier de métadonnées SAML à partir de Control Hub avant de pouvoir mettre à jour la partie de confiance Webex dans AD FS.
1 | Connectez-vous au serveur AD FS avec vos permissions d’administrateur. |
||
2 | Chargez le fichier de métadonnées SAML de Webex dans un dossier local temporaire sur le serveur AD FS, par ex. |
||
3 | Ouvrez Powershell. |
||
4 | Exécuter Notez que |
||
5 | Exécuter Veillez à remplacer le nom du fichier et le nom de la cible par les valeurs correctes de votre environnement. Voir .https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust
|
||
6 | Connectez-vous au Control Hub, puis testez l’intégration SSO : |
Dépannage ADFS
Erreurs ADFS dans les journaux Windows
Dans les journaux Windows, vous pouvez voir un code d’erreur 364 dans le journal d’événements ADFS. Les détails de l’événement identifient un certificat invalide. Dans ce cas, l’hôte ADFS n’est pas autorisé à passer par le pare-feu sur le port 80 pour valider le certificat.
Une erreur s’est produite lors de la tentative de construction de la chaine de certificats pour l’accord de partie de confiance
Lors de la mise SSO jour du certificat, cette erreur peut vous être présentée lors de la inscription : Invalid status code in response
.
Si vous voyez cette erreur, vérifiez les journaux de l’observateur d’événements sur le serveur ADFS et recherchez l’erreur suivante : An error occurred during an attempt to
build the certificate chain for the relying party trust
'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint
'754B9208F1F75C5CC122740F3675C5D129471D80'
. Les causes possibles sont que le certificat a été révoqué, que la chaine de certificats n’a pas pu être vérifiée comme spécifiée par les paramètres de révocation du certificat de chiffrement de l’trust de confiance, ou que le certificat n’est pas dans sa période de validité.
Si cette erreur se produit vous devez exécuter les commandes Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID>
-EncryptionCertificateRevocationCheck None
ID de fédération
Les ID de fédération sont sensibles à la casse. Si c’est votre adresse électronique organisationnelle, saisissez-la exactement comme l’ADFS l’envoie, ou Webex ne pourra pas trouver l’utilisateur correspondant.
Une règle de réclamation personnalisée ne peut pas être écrite pour normaliser l’attribut LDAP avant qu’il soit envoyé.
Importez vos métadonnées à partir du serveur ADFS que vous configurez dans votre environnement.
Vous pouvez vérifier l’URL si nécessaire en allant dans
dans GestionADFS.Synchronisation de l’heure
Vérifiez que l’horloge système de votre serveur ADFS est synchronisée sur une source horaire Internet fiable qui utilise le protocole Network Time Protocol (NTP). Utilisez la commande PowerShell pour faire une inclinaison de l’horloge uniquement pour la relation de confiance entre les parties Webex.
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3
La valeur hexadécimale est unique pour votre environnement. Veuillez remplacer la valeur de l’ID de l’entité SP EntityDescriptor dans le fichier de métadonnées Webex. Par exemple :
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">