Intégrer Cisco Webex Control Hub à ADFS


Les guides de configuration montrent un exemple spécifique pour l'intégration SSO, mais n'offrent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d'intégration pour NameID-format urn: Oasis: Names: TC: SAML: 2.0: NameID-format: passagère sont documentées. Autres formats tels qu' urn: Oasis: Names: TC: SAML: 1.1: NameID-format: non spécifié ou urn: Oasis: Names: TC: SAML: 1.1: NameID-format: EmailAddress fonctionne pour l'intégration SSO, mais ne fait pas partie de notre documentation.

ConFigurez cette intégration pour les utilisateurs de votre Cisco Webex Organisation (incluant Cisco Webex Teams, Cisco Webex Meetings, et d'autres services administrés dans Cisco Webex Control Hub). Si votre site Webex est intégré dans Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette façon et que la gestion n'est pas effectuée dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer la SSO pour Cisco Webex Meetings. (Voir Configurer l'authentification unique pour WebEx pour plus d'informations sur l'intégration SSO dans administration du site.)

En fonction de ce qui est configuré dans les mécanismes d'authentification dans ADFS, l'authentification intégrée Windows (AWI) peut être activée par défaut. Si cette option est activée, les applications qui sont lancées via Windows (telles que Webex Teams et Cisco Directory Connector) s'authentifient en tant qu'utilisateur qui est connecté, quelle que soit l'adresse électronique entrée lors de l'invite initiale du courrier électronique.

Téléchargez le fichier de métadonnées Cisco Webex sur votre système local

1

À partir de l’affichage du client dans https://admin.webex.com, allez à Paramètres, puis faites défiler jusqu'à Authentification.

2

Cliquez sur Modifier, puis cliquez sur Intégrer un fournisseur d'identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le fichier de métadonnées Cisco Webex est idb-meta-<org-ID>-SP.xml.

Installer les métadonnées Cisco Webex dans ADFS

Avant de commencer

Cisco Webex Control Hub prend en charge ADFS 2. x ou version plus récente.

Windows 2008 R2 inclut uniquement ADFS 1,0. Vous devez installer un minimum de ADFS 2. x à partir de Microsoft.

Pour l'authentification unique SSO et Cisco Webex les services, les fournisseurs d'identité (IDP) doivent être conformes à la spécification SAML 2,0 suivante:

  • Définissez l'attribut format NameID sur urn: Oasis: Names: TC: SAML: 2.0: NameID-format:trans.

  • ConFigurez une demande sur l'IdP pour inclure le nom de l' attribut UID avec une valeur qui est mappée à l'attribut qui est choisi dans Cisco Directory Connector ou l'attribut utilisateur qui correspond à celui qui est choisi dans le service d'identité Cisco Webex. (Cet attribut peut être une adresse électronique ou un nom d'utilisateur principal, par exemple). RePortez-vous aux informations sur les attributs personnalisés dans https://www.cisco.com/go/hybrid-services-directory pour obtenir des instructions.

1

Connectez-vous au serveur ADFS avec vos permissions d'administrateur.

2

Ouvrez la console de gestion ADFS et allez à relations de confiance > Approbations de partie de confiance > Ajouter une approbation de partie de confiance.

3

À partir de la fenêtre Ajouter une approbation de partie de confiance, sélectionnez Démarrer.

4

Pour Sélectionner la source de données, sélectionnez Importer les données sur la partie de confiance à partir d'un fichier, allez au fichier de métadonnées Cisco Webex Control Hub que vous avez téléchargé, puis cliquez sur Suivant.

5

pour spécifier le nom d'affichage, créez un nom d'affichage pour cette approbation de partie de confiance tel que Cisco Webex et sélectionnez suivant.

6

Pour Choisir les règles d'autorisation d'attribution, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance, puis sélectionnez Suivant.

7

Pour prêt à ajouter la confiance, sélectionnez suivant et terminer l'ajout de la relation de confiance à ADFS.

Créer des règles de réclamation pour autoriser l'authentification à partir Cisco Webex

1

Dans le volet ADFS principal, sélectionnez la relation de confiance que vous avez créée, puis sélectionnez Modifier les règles de réclamation. Dans l'onglet règles de transformation d'émission, sélectionnez Ajouter une règle.

2

Dans l'étape Choisir un type de règle, sélectionnez Envoyer les attributs LDAP sous la forme de réclamations, puis sélectionnez Suivant.

  1. Saisissez un Nom de règle de réclamation.

  2. Sélectionnez Répertoire actif comme magasin d'attributs.

  3. Mappez l'attribut LDAP Adresses électroniques au type de réclamation sortante uid.

    Cette règle indique à l'ADFS quels champs doivent être mappés à Cisco Webex pour identifier un utilisateur. Épelez les types de réclamations sortantes exactement comme indiqué.

  4. Enregistrez vos modifications

3

Sélectionnez à nouveau Ajouter une règle, Envoyer des réclamations à l’aide d’une règle personnalisée, puis sélectionnez Suivant.

Cette règle fournit l'attribut « spname qualifier » à l'ADFS qui n'est fourni par aucun autre moyen par Cisco Webex.

  1. Ouvrez votre éditeur de texte et copiez le contenu suivant.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Remplacer URL1 et URL2 dans le texte comme suit :
    • L’url1 est l’ID de l'entité à partir du fichier de métadonnées ADFS que vous avez téléchargé.

      Par exemple, voici un échantillon de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copiez simplement l’ID de l'entité à partir du fichier de métadonnées ADFS et collez-le dans le fichier texte pour remplacer l'URL1

    • URL2 est sur la première ligne dans le fichier de métadonnées Cisco Webex que vous avez téléchargé.

      Par exemple, voici un échantillon de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copiez simplement l’ID de l'entité à partir du fichier de métadonnées Cisco Webex et collez-le dans le fichier texte pour remplacer l'URL2.

  2. Avec les nouvelles URL, copiez la règle à partir de votre éditeur de texte (en commençant par « c: ») et collez-la dans la boite de la règle personnalisée sur votre serveur ADFS.

    La règle terminée devrait ressembler à ceci :
  3. Sélectionnez Terminer pour créer la règle, puis quittez la fenêtre Modifier les règles de réclamation.

4

Sélectionnez Approbation de partie de confiance dans la fenêtre principale, puis sélectionnez Propriétés dans le panneau droit.

5

Lorsque la fenêtre Propriétés s’affiche, allez à l'onglet Avancé, SHA-256, puis sélectionnez OK pour enregistrer vos modifications.

6

Accédez à l’URL suivante sur le serveur interne ADFS pour télécharger le fichier : https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Vous devrez peut-être cliquer avec le clic droit de la souris sur la page et afficher la source de la page pour obtenir le fichier XML correctement formaté.

7

Enregistrez le fichier sur votre machine locale.

Que faire ensuite

Vous êtes prêt à réimporter les métadonnées ADFS dans Cisco Webex à partir du portail de gestion.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

Après avoir exporté les métadonnées Cisco Webex, configuré votre IdP et téléchargé les métadonnées IdP dans votre système local, vous êtes prêt à effectuer l'importation dans votre organisation Cisco Webex à partir de Concentrateur de contrôle.

1

Choisissez une option :

  • Retournez à la Cisco Webex Control Hub – Exportez la page Métadonnées du répertoire dans votre navigateur, puis cliquez sur Suivant.
  • Si Concentrateur de contrôle n'est plus ouvert dans l'onglet du navigateur, à partir de l'affichage du client dans https://admin.webex.com, allez à Paramètres, faites défiler jusqu'à Authentification, choisissez Intégrer un fournisseur d'identité tiers (Avancé), puis cliquez sur Suivant sur la page du fichier de métadonnées approuvées (car vous l'avez déjà fait auparavant).
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Si les métadonnées ne sont pas signées, qu'elles sont signées avec un certificat auto-signé ou qu'elles sont signées avec une autorité de certification d'entreprise (AC) privée, nous vous recommandons d'utiliser un certificat signé par une autorité de certification dans les métadonnées (plus sécurisé). Si le certificat est auto-signé, vous devez choisir l'option la moins sécurisée.

3

Sélectionnez tester la connexion SSO, et lorsqu'un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur Webex Teams signifie généralement qu’il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Concentrateur de contrôle dans la configuration IdP.

4

Retour à l'onglet de navigation .Concentrateur de contrôle

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.

Que faire ensuite

Vous pouvez suivre la procédure décrite dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux utilisateurs Webex Teams de votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.

Dépannage ADFS

Erreurs ADFS dans les journaux Windows

Dans les journaux Windows, vous pouvez voir un code d'erreur 364 dans le journal d'événements ADFS. Les détails de l'événement identifient un certificat invalide. Dans ce cas, l'hôte ADFS n'est pas autorisé à passer par le pare-feu sur le port 80 pour valider le certificat.

ID de fédération

Les ID de fédération sont sensibles à la casse. Si c'est votre adresse électronique organisationnelle, saisissez-la exactement comme l'ADFS l'envoie, ou Cisco Webex ne peut pas trouver l'utilisateur correspondant.

Une règle de réclamation personnalisée ne peut pas être écrite pour normaliser l'attribut LDAP avant qu'il soit envoyé.

Importez vos métadonnées à partir du serveur ADFS que vous configurez dans votre environnement.

Vous pouvez vérifier l'URL si nécessaire en navigant sur le service > Points de destination > Métadonnées > Type: métadonnées de Fédération dans la gestion ADFS.

Synchronisation de l'heure

Vérifiez que l'horloge système de votre serveur ADFS est synchronisée sur une source horaire Internet fiable qui utilise le protocole Network Time Protocol (NTP). Utilisez la commande PowerShell suivante pour régler l'horloge uniquement pour la relation de confiance entre les parties Cisco Webex.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

La valeur hexadécimale est unique pour votre environnement. Veuillez remplacer la valeur de l'ID DescripteurIdentité (EntityDescriptor) de du FS dans le fichier de métadonnées Cisco Webex. Par exemple :

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">