Signature unique SSO et Cisco Webex Control Hub

L’authentification unique (SSO) est un processus d’identification de session ou d’utilisateur qui permet à un utilisateur de fournir des informations d’identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d’autres invites lorsque les utilisateurs changent d’applications au cours d’une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification unique SSO entre le Cloud Cisco Webex et votre fournisseur d’identité (IdP).

Profils

Cisco Webex prend uniquement en charge le navigateur web SSO profil. Dans le profil de la SSO web, Cisco Webex prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. Cisco Webex prend en charge les formats nameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans Cisco Webex.

Intégrer Cisco Webex Control Hub Microsoft Azure


Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation.

Configurer cette intégration pour les utilisateurs dans votre organisation Cisco Webex (y compris les services Cisco Webex , Cisco Webex Meetings et autres services gérés dans Cisco Webex Control Hub ). Si votre site Webex est intégré dans Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette manière et qu’elle n’est pas gérée dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer l’authentification unique SSO pour Cisco Webex Meetings. (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).

Avant de commencer

Pour l’authentification unique SSO et Cisco Webex Control Hub, les IdP doivent être conformes à la spécification SAML 2.0. En outre, les IdP doivent être configurés de la manière suivante :


Dans Azure Active Directory, le déploiement est uniquement pris en charge en mode manuel. Ce document couvre uniquement l’extension d'authentification unique (SSO).

Téléchargez les métadonnées Cisco Webex sur votre système local

1

Dans l’affichage du client dans https://admin.webex.com, allez dans Paramètres, puis faites défiler jusqu’à Authentification.

Traduit avec www.DeepL.com/Translator (version gratuite)

Cliquez sur Modifier, puis cliquez sur Intégrer un fournisseur d’identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le nom du fichier de métadonnées de Cisco Webex est idb-meta-<org-ID>-SP.xml.

Configurer les paramètres de l'authentification unique (SSO) dans l'application Azure

Avant de commencer

  • Voir Qu'est-ce qu' Azure Active Directory pour comprendre les fonctions de l’IdP dans Azure Active Directory.

  • Configurer Azure Active Directory.

  • Créer des utilisateurs locaux ou effectuer une synchronisation avec le système du répertoire actif sur site.

  • Ouvrez le fichier Cisco Webex métadonnées que vous avez téléchargé à partir de Cisco Webex Control Hub.

  • Il y a un tutoriel connexe sur le site de documentation Microsoft.

1

Connectez-vous au portail Azure à https://portal.azure.com avec vos identifiants d’administrateur.

Traduit avec www.DeepL.com/Translator (version gratuite)

Allez dans Azure Active Directory pour votre organisation.

3

Allez à Applications d’entreprise et cliquez sur Ajouter .

4

Cliquez sur Ajouter une application de la galerie.

5

Dans la zone de recherche, tapez Cisco Webex.

6

Dans le volet Résultats, sélectionnez Cisco Webex , puis cliquez sur Ajouter pour ajouter l’application.

Un message s’affiche, lui indique que l’application a été ajoutée avec succès.

7

Configurer l'authentification unique (SSO) :

  1. Après avoir créé l’accord d’application, allez à l’onglet 1 sso, puis sous Sélectionner une méthode d' sign-on individuelle , choisissez SAML.

  2. Sur la page Configurer l' sign-on unique avec SAML, cliquez sur l’icône Modifier pour ouvrir la ConfigurationSAML de base.

  3. Cliquez sur Charger le fichier de métadonnées, puis choisissez le fichier de métadonnées que vous avez téléchargé à partir Cisco Webex Control Hub.

    Certains champs sont remplis automatiquement pour vous.

  4. Copiez la valeur URL de réponse et collez-la dans URL d' sign-on, puis enregistrez vos modifications.

8

Allez à Gérer > utilisateurs et groupes , puis choisissez les utilisateurs et les groupes applicables que vous souhaitez accorder à l’Cisco Webex .

9

Sur la page Configurer l' sign-on unique avec SAML, dans la section Certificat de signature SAML, cliquez sur Télécharger pour télécharger les métadonnées XML de fédération et les enregistrer sur votre ordinateur.

10

Sur la page Propriétés, assurez-vous que Visible pour les utilisateurs ? est définie sur Non .

Nous ne supportons pas la visibilité de l’application Webex pour les utilisateurs.

Importez les métadonnées IdP et activez l’authentification unique après un test

Après avoir exporté les métadonnées de Cisco Webex, configuré votre IdP et téléchargé les métadonnées IdP sur votre système local, vous êtes prêt à les importer dans votre organisation Cisco Webex depuis Control Hub.

Avant de commencer

Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons uniquement en charge les flux initiés par le fournisseur de services (SP), vous devez donc utiliser le test SSO de Control Hub pour cette intégration.

1

Choisissez une option :

  • Retournez à la page Cisco Webex Control Hub – Exportez les métadonnées du répertoire dans votre navigateur, puis cliquez sur Suivant.
  • Si Control Hub n’est plus ouvert dans l’onglet du navigateur, à partir de l’affichage du client dans https://admin.webex.com, allez dans Paramètres, faites défiler jusqu’à Authentification, choisissez Intégrer un fournisseur d’identité tiers (Avancé), puis cliquez sur Suivant sur la page du fichier de métadonnées de confiance (car vous l’avez déjà fait auparavant).
Traduit avec www.DeepL.com/Translator (version gratuite)

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l’option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Vous devez utiliser l’option plus sécurisée si vous pouvez ( Demander un certificat signé par une autorité de certificationdans métadonnées). Ceci est possible uniquement si votre IdP a utilisé une AC publique pour signer ses métadonnées.

Dans tous les autres cas vous devez utiliser l’option moins sécurisée ( Autoriser le certificatauto-signé dans les métadonnées). Ceci inclut si les métadonnées ne sont pas signées, auto-signées, ou signées par une AC privée.

3

Sélectionnez Tester la connexion SSO, puis lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur Webex signifie généralement qu’il y a un problème avec la configuration SSO’application. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

4

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l’option d’authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l’option d’authentification unique (SSO) et cliquez sur Suivant.

Ce qu’il faut faire ensuite

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs Webex de votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Dépanner l’extension Azure Active Directory

Lorsque vous effectuez le test SAML, vérifiez que vous utilisez Mozilla Firefox et que vous installez le traceur SAML à partir de https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Vérifiez l’assertion provenant d’Azure pour vous assurer qu’elle a le format de l’attribut du nom (nameid) correct et a un attribut uid qui correspond à un utilisateur dans Cisco Webex.