Authentification unique SSO et Cisco Webex Teams

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification unique SSO entre le Cisco Webex sur le Cloud et votre fournisseur d'identité (IdP).

Profils

Cisco Webex Teams ne prend en charge que le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, Cisco Webex Teams prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2,0 prend en charge plusieurs formats NameID pour communiquer sur un utilisateur spécifique. Cisco Webex Teams prend en charge les formats NameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans Cisco Webex.

Déconnexion individuelle

Cisco Webex Teams prend en charge le profil de déconnexion unique. Dans l' Cisco Webex Teams application, un utilisateur peut se déconnecter de l'application, qui utilise le protocole de déconnexion unique SAML pour mettre fin à la session et confirmer la déconnexion avec votre IDP. IdPs SSO testés

Intégrer Cisco Webex Control Hub à SimpleSAML pour l'authentification unique SSO


Les guides de configuration montrent un exemple spécifique pour l'intégration SSO, mais n'offrent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d'intégration pour NameID-format urn: Oasis: Names: TC: SAML: 2.0: NameID-format: passagère sont documentées. Autres formats tels qu' urn: Oasis: Names: TC: SAML: 1.1: NameID-format: non spécifié ou urn: Oasis: Names: TC: SAML: 1.1: NameID-format: EmailAddress fonctionne pour l'intégration SSO, mais ne fait pas partie de notre documentation.

ConFigurez cette intégration pour les utilisateurs de votre Cisco Webex Organisation (incluant Cisco Webex Teams, Cisco Webex Meetings, et d'autres services administrés dans Cisco Webex Control Hub). Si votre site Webex est intégré dans Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette façon et que la gestion n'est pas effectuée dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer la SSO pour Cisco Webex Meetings. (Voir Configurer l'authentification unique pour WebEx pour plus d'informations sur l'intégration SSO dans administration du site.)

Avant de commencer

Pour l'authentification unique SSO et Cisco Webex Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :
  • Définissez l'attribut format NameID sur urn: Oasis: Names: TC: SAML: 2.0: NameID-format:trans.

  • ConFigurez une demande sur l'IdP pour inclure le nom de l' attribut UID avec une valeur qui est mappée à l'attribut qui est choisi dans Cisco connecteur de répertoire ou l'attribut utilisateur qui correspond à celui qui est choisi dans le service d'identité Cisco Webex. (Cet attribut peut être une adresse électronique ou un nom d'utilisateur principal, par exemple). Voir les informations sur l'attribut personnalisé dans https://www.Cisco.com/go/Hybrid-Services-Directory pour obtenir des instructions.

  • Utiliser un navigateur pris en charge : nous recommandons la dernière version de Mozilla Firefox ou Google Chrome.

  • Désactivez les bloqueurs de fenêtres pop-up dans votre navigateur.

Téléchargez le fichier de métadonnées Cisco Webex sur votre système local

1

À partir de l’affichage du client dans https://admin.webex.com, allez à Paramètres, puis faites défiler jusqu'à Authentification.

2

Cliquez sur Modifier, puis cliquez sur Intégrer un fournisseur d'identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le fichier de métadonnées Cisco Webex est idb-meta-<org-ID>-SP.xml.

Convertir les métadonnées

1

Ouvrez le fichier de métadonnées Cisco Webex exporté dans un éditeur de texte.

2

Dans votre navigateur, ouvrez la page d'accueil simpleSAML et connectez-vous avec vos identifiants administrateur.

L'emplacement de la page d'accueil varie, mais cela est généralement comme cet exemple d'URL : https://yourcompany.yourdomain.com/simplesaml.

3

À partir de la page principale, cliquez sur Fédération.

4

Sous Outils, effectuez la conversion d'un XML vers Simple SAML XML.

5

Copiez les métadonnées Cisco Webex de votre éditeur de texte, puis collez-les dans le champ de conversion XML.

6

Cliquez sur analyser.

Les métadonnées converties s'affichent. Vous ajouterez ces données au fichier texte SP distant.

Créer un fichier de métadonnées du fournisseur de service à distance

Ces étapes sont prévues à titre d'exemple. Le répertoire de métadonnées et l'hôte IdP diffèrent en fonction de la configuration de votre client.

Avant de commencer

Faites attention aux attributs que vous devez passer et mapper de façon adéquate en éditant le fichier de métadonnées saml20-idp-hosted.php. (Par exemple, uid, mail, email, and so on). Voir l'exemple de métadonnées :

'authproc' => array( // Convert LDAP names to oids. 3 => array( 'class' => 'saml:AttributeNameID', 'attribute' => 'mail', 'Format' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified', ), 50 => array( 'class' => 'core:AttributeMap', 'attribute' => 'mail', 'mail' => array('uid', 'email', 'mail'), 'sn' => 'lastname', 'givenName' => 'firstname', ), ),

1

Dans la configuration de SimpleSAML sur l'hôte, accédez au répertoire de métadonnées.

2

Utilisez un éditeur de texte, collez les données analysées à la fin de saml20-sp-remote.php et enregistrez le fichier.

3

Retournez à la page d'accueil de SimpleSAML, cliquez sur Fédération, puis affichez les métadonnées du fournisseur d'identité.

4

Collez les données dans un nouveau fichier texte.

5

Enregistrez le fichier mis à jour sur votre bureau avec un nom explicite tel que simplesaml-metadata.xml.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

Après avoir exporté les métadonnées Cisco Webex, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco Webex à partir de Concentrateur de contrôle.

1

Choisissez une option :

  • Retournez à la Cisco Webex Control Hub – Exportez la page Métadonnées du répertoire dans votre navigateur, puis cliquez sur Suivant.
  • Si Concentrateur de contrôle n'est plus ouvert dans l'onglet du navigateur, à partir de l'affichage du client dans https://admin.webex.com, allez à Paramètres, faites défiler jusqu'à Authentification, choisissez Intégrer un fournisseur d'identité tiers (Avancé), puis cliquez sur Suivant sur la page du fichier de métadonnées approuvées (car vous l'avez déjà fait auparavant).
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Si les métadonnées ne sont pas signées, qu'elles sont signées avec un certificat auto-signé ou qu'elles sont signées avec une autorité de certification d'entreprise (AC) privée, nous vous recommandons d'utiliser un certificat signé par une autorité de certification dans les métadonnées (plus sécurisé). Si le certificat est auto-signé, vous devez choisir l'option la moins sécurisée.

3

Sélectionnez tester la connexion SSO, et lorsqu'un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur Webex Teams signifie généralement qu’il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Concentrateur de contrôle dans la configuration IdP.

4

Retour à l'onglet de navigation .Concentrateur de contrôle

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.

Que faire ensuite

Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs Webex Teams de votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.