Les solutions de gestion de l’accès au Web et de fédération suivantes ont été testées pour les organisations Cisco Webex avec les utilisateurs Webex. Les documents liés ci-dessous vous guident sur l’intégration de ce fournisseur d’identité spécifique (IdP) avec Webex et votre organisation Webex gérée par Cisco Webex Control Hub.


Si vous ne voyez pas votre IdP répertorié ci-dessous, suivez les étapes complètes contenues dans l’onglet « Installation de la SSO » dans cet article.

Les guides précédents couvrent SSO pour les services Webex qui sont gérés dans Cisco Webex Control Hub (https://admin.webex.com). Si vous recherchez l’intégration SSO pour un site Webex classique (géré dans Administration du site), utilisez plutôt l’article Configurer l’authentification unique (SSO) pour le site Cisco Webex.

L’authentification unique (SSO) permet aux utilisateurs de se connecter à Cisco Webex en toute sécurité par authentification au fournisseur d’identité commune (IDP) de vos organisations. L’application Cisco Webex utilise le service Cisco Webex pour communiquer avec le service d’identité de la plateforme Cisco Webex. Le service d’identité s’authentifie auprès de votre fournisseur d’identité (IdP).

Vous commencez la configuration dans Cisco Webex Control Hub. Cette section décrit les étapes génériques de haut niveau pour l’intégration d’un IdP tiers.

Pour l’authentification unique SSO et Cisco Webex Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :

  • configurer l’attribut du format NameID sur urn:oasis:names:tc:SAML:2.0:nameid-format :transitoire

  • configurer une demande sur l’IdP pour inclure le nom de l’attribut uid avec une valeur mappée à l’attribut qui est choisi dans Cisco Directory Connector ou l’attribut utilisateur qui correspond à celui qui est choisi dans le service d’identité Cisco Webex. (Cet attribut peut être des adresses électroniques ou le nom principal de l’utilisateur, par exemple.) Voir les informations d’attribut personnalisés dans https://www.cisco.com/go/hybrid-services-directory pour plus d’informations.

  • Utiliser un navigateur pris en charge : nous recommandons la dernière version de Mozilla Firefox ou Google Chrome.

  • Désactivez les bloqueurs de fenêtres contextuelles dans votre navigateur.


Les guides de configuration montrent un exemple spécifique pour votre intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentés. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionnent pour l’intégration SSO mais ne font pas partie de notre documentation.

Vous devez établir un contrat SAML entre le service d’identité de la plateforme Cisco Webex et votre IdP.

Vous avez besoin de deux fichiers pour effectuer un accord SAML réussi.

Ceci est un exemple d’un fichier de métadonnées PingFederate avec des métadonnées provenant de l’IdP.

Fichier de métadonnées du service d’identité.

Voici ce que vous pouvez voir dans le fichier de métadonnées provenant du service d’identité.

  • ID de l’entité—Ceci est utilisé pour identifier l’accord SAML dans la configuration de l’IdP

  • Il n’y a pas besoin d’une demande d’authentification (AuthN) signée ni de signature d’assertions, elle est conforme à ce que l’IdP demande dans le fichier de métadonnées.

  • Un fichier de métadonnées signé pour que l’IdP vérifie que les métadonnées appartiennent au service d’identité.

1

À partir de l’affichage du client dans , allez dans https://admin.webex.com, allez dans Paramètres, faites défiler jusqu’à Authentification et cliquez sur Modifier.

2

Cliquez sur Intégrer un fournisseur d’identité tiers. (Avancé) puis cliquez sur Commencer.

3

Cliquez sur Télécharger le fichier de métadonnées, puis cliquez sur Suivant.

4

Le service d’identité de la plateforme Cisco Webex valide le fichier de métadonnées à partir de l’IdP.

Il existe deux façons possibles pour valider les métadonnées à partir de l’IdP du client :

  • l’IdP du client fournit une signature dans les métadonnées qui est signée par une autorité de certification racine publique.

  • l’IdP du client fournit une autorité de certification privée auto-signée ou le fournit aucune signature pour leurs métadonnées. Cette option est moins sécurisée.

5

Tester la connexion SSO avant de l’activer.

6

Si le test a réussi, alors activez l’authentification unique SSO.

Si vous rencontrez des problèmes avec votre intégration SSO, utilisez les exigences requises et la procédure contenues dans cette section pour résoudre le flux SAML entre votre IdP et le service Cisco Webex.

  • Utilisez l’add-on de traçage SAML pour Firefox ou Chrome.

  • Pour un dépannage, utilisez le navigateur Web où vous avez installé l’outil de débogage de traçage SAML et allez à la version Web de Cisco Webex à l’adresse https://teams.webex.com.

Voici le flux des messages entre Cisco Webex, le service Cisco Webex, Cisco Webex et le fournisseur d’identité (IdP).

  1. Allez à https://admin.webex.com et avec la SSO activée, l’application demande une adresse électronique.
  2. Le client envoie une requête GET au serveur d’autorisation OAuth pour obtenir un jeton. La demande est redirigée vers le service d’identité vers le flux SSO ou le flux des noms d’utilisateur et des mots de passe. L’URL pour le serveur d’authentification est retournée.
  3. Cisco Webex demande une assertion SAML de l’IdP en utilisant la norme SAML HTTP POST.
  4. L’authentification de l’application s’effectue entre les ressources Web du système d’exploitation et l’IdP.
  5. Cisco Webex renvoie un HTTP Post vers le service d’identité et inclut les attributs fournis par l’IdP et acceptés dans l’accord initial.
  6. Assertion SAML de l’IdP vers Webex.
  7. Le service d’identité reçoit un code d’autorisation qui est remplacé par un accès OAuth et un jeton d’actualisation. Ce jeton est utilisé pour accéder aux ressources pour le compte de l’utilisateur.
1

Allez à https://admin.webex.com et avec la SSO activée, l’application demande une adresse électronique.

L’application envoie l’information au service Cisco Webex et le service vérifie l’adresse électronique.

2

Le client envoie une requête GET au serveur d’autorisation OAuth pour obtenir un jeton. La demande est redirigée vers le service d’identité vers le flux SSO ou le flux des noms d’utilisateur et des mots de passe. L’URL pour le serveur d’authentification est retournée.

Vous pouvez voir la demande GET dans le fichier de traçage.

Dans la section paramètres, le service recherche un code OAuth, l’adresse électronique de l’utilisateur qui a envoyé la demande et d’autres détails OAuth tels que l’ID du client, l’URI de redirection et le champ d’application.

3

Cisco Webex demande une assertion SAML de l’IdP en utilisant la norme SAML HTTP POST.

Lorsque la SSO est activée, le moteur de l’authentification dans le service d’identité redirige vers l’URL de l’IdP pour la SSO. L’URL de l’IdP a été fournie lorsque les métadonnées ont été échangées.

Vérifiez l’outil de traçage d’un message POST SAML. Vous voyez un message HTTP POST pour l’IdP demandés par l’IdPbroker.

Le paramètre RelayState montre la bonne réponse de l’IdP.

Vérifiez la version décodée de la demande SAML, il n’y a pas de mandat AuthN et la destination de la réponse doit aller à l’URL de destination de l’IdP. Vérifiez que le format nameid (identifiant du nom) est correctement configuré dans l’IdP sous l’identifiant de l’entité (entityID) adéquat (SPNameQualifier)

Le format nameid de l’IdP est spécifié et le nom de l’accord est configuré lors de la création de l’accord SAML.

4

L’authentification de l’application s’effectue entre les ressources Web du système d’exploitation et l’IdP.

En fonction de votre IdP et des mécanismes d’authentification configurés dans l’IdP, des flux différents sont démarrés à partir de l’IdP.

5

Cisco Webex renvoie un HTTP Post vers le service d’identité et inclut les attributs fournis par l’IdP et acceptés dans l’accord initial.

Lorsque l’authentification est réussie, Cisco Webex envoie les informations dans un message SAML POST au service d’identité.

Le paramètre RelayState est le même que le message HTTP POST précédent où l’application indique à l’IdP quel identifiant d’entité (EntityID) demande l’assertion.

6

Assertion SAML de l’IdP vers Webex.

7

Le service d’identité reçoit un code d’autorisation qui est remplacé par un accès OAuth et un jeton d’actualisation. Ce jeton est utilisé pour accéder aux ressources pour le compte de l’utilisateur.

Une fois que le service d’identité valide la réponse de l’IdP, il émet un jeton OAuth qui autorise l’accès à Cisco Webex sur les différents services Cisco Webex du Cloud.