Authentification unique SSO et Control Hub

L’authentification unique (SSO) est un processus d’identification de session ou d’utilisateur qui permet à un utilisateur de fournir des informations d’identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d’autres invites lorsque les utilisateurs changent d’applications au cours d’une session particulière.

Le protocole de fédération SAML 2.0 (Security Assertion Markup Language) est utilisé pour fournir une authentification unique SSO entre le Cloud Cisco Webex et votre fournisseur d’identité (IdP).

Profils

Cisco Webex Teams prend uniquement en charge le profil SSO du navigateur Web. Dans le profil SSO du navigateur Web, Cisco Webex Teams prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2 prend en charge un certain nombre de formats NameID dans le but de communiquer à propos d’un utilisateur spécifique. Cisco Webex Teams prend en charge les formts NameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress

Dans les métadonnées que vous chargez depuis votre IdP, la première entrée est configurée pour être utilisée dans Cisco Webex.

Déconnexion individuelle

Cisco Webex prend en charge le profil de déconnexion unique. Dans l’application Cisco Webex, un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML de déconnexion unique pour mettre fin à la session et confirmer cette déconnexion avec votre IdP. IdPs SSO testés

Intégrer Cisco Webex Control Hub à ADFS


Les guides de configuration montrent un exemple spécifique d’intégration SSO mais ne fournissent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D’autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l’intégration SSO mais sont hors du champ de notre documentation.

Configurez cette intégration pour les utilisateurs de votre organisation Cisco Webex (y compris Cisco Webex Teams, Cisco Webex Meetings et autres services administrés dans Cisco Webex Control Hub). Si votre site Webex est intégré dans Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette manière et qu’elle n’est pas gérée dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer l’authentification unique SSO pour Cisco Webex Meetings. (Voir Configurer l’authentification unique SSO pour Webex pour plus d’informations sur l’intégration de l’authentification unique SSO dans l’administration du site).

En fonction de ce qui est configuré dans les mécanismes d’authentification dans ADFS, l’authentification Windows intégrée (IWA) peut être activée par défaut. Si cette option est activée, les applications lancées par le biais de Windows (telles que Webex Teams et Cisco Directory Connector) s’authentifient en tant qu’utilisateur connecté, quelle que soit l’adresse électronique saisie lors de l’invite électronique initiale.

Téléchargez les métadonnées Cisco Webex sur votre système local

Traduit avec www.DeepL.com/Translator (version gratuite)

Dans l’affichage du client dans https://admin.webex.com, allez dans Paramètres, puis faites défiler jusqu’à Authentification.

2

Cliquez sur Modifier, puis cliquez sur Intégrer un fournisseur d’identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le nom du fichier de métadonnées de Cisco Webex est idb-meta-<org-ID>-SP.xml.

Installez les métadonnées de Cisco Webex dans ADFS

Avant de commencer

Cisco Webex Control Hub prend en charge ADFS 2.x ou une version ultérieure.

Windows 2008 R2 comprend uniquement ADFS 1.0. Vous devez installer la version minimale ADFS 2.x de Microsoft.

Pour les services SSO et Cisco Webex, les fournisseurs d’identité (IdP) doivent se conformer à la spécification SAML 2.0 suivante :

  • Définissez l’attribut NameID Format à urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • Configurez une réclamation sur l’IdP pour inclure le nom de l’attribut uid avec une valeur qui correspond à l’attribut choisi dans Cisco Directory Connector ou à l’attribut utilisateur qui correspond à celui choisi dans le service d’identité Cisco Webex. (Cet attribut pourrait être des adresses électroniques ou un nom d’utilisateur principal, par exemple). Consultez les informations sur les attributs personnalisés dans https://www.cisco.com/go/hybrid-services-directory pour obtenir des instructions.

Traduit avec www.DeepL.com/Translator (version gratuite)

Connectez-vous au serveur ADFS avec vos permissions d’administrateur.

2

Ouvrez la console de gestion ADFS et naviguez vers Relations de confiance > Relying Party Trusts (Approbations des parties de confiance > Ajouter une approbations de partie de confiance.

3

À partir de la fenêtre Ajouter une approbation de partie de confiance, sélectionnez Démarrer.

4

Pour Sélectionner la source de données, sélectionnez Importer des données sur le tiers de confiance à partir d’un fichier, naviguez jusqu’au fichier de métadonnées Cisco Webex Control Hub que vous avez téléchargé, puis sélectionnez Suivant.

5

Pour Spécifier le nom d’affichage, créez un nom d’affichage pour ce tiers de confiance, tel que Cisco Webex et sélectionnez Suivant.

6

Pour Choisir les règles d'autorisation d'émission, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance, et sélectionnez Suivant.

7

Pour Prêt à ajouter la confiance, sélectionnez Suivant et finissez d’ajouter la partir de confiance à ADFS.

Créer des règles de réclamation pour permettre l’authentification à partir de Cisco Webex

Traduit avec www.DeepL.com/Translator (version gratuite)

Dans le volet ADFS principal, sélectionnez la relation de confiance que vous avez créée, puis sélectionnez Modifier les règles de réclamation. Dans l’onglet règles de transformation d’émission, sélectionnez Ajouter une règle.

2

Dans l’étape Choisir un type de règle, sélectionnez Envoyer les attributs LDAP sous la forme de réclamations, puis sélectionnez Suivant.

  1. Saisissez un Nom de règle de réclamation.

  2. Sélectionnez Répertoire actif comme magasin d’attributs.

  3. Mappez l’attribut LDAP Adresses électroniques au type de réclamation sortante uid.

    Cette règle indique à l’ADFS quels champs doivent être mappés à Cisco Webex pour identifier un utilisateur. Épelez les types de réclamations sortantes exactement comme indiqué.

  4. Enregistrez vos modifications

3

Sélectionnez à nouveau Ajouter une règle, Envoyer des réclamations à l’aide d’une règle personnalisée, puis sélectionnez Suivant.

Cette règle fournit l’attribut « spname qualifier » à l’ADFS qui n’est fourni par aucun autre moyen par Cisco Webex.

  1. Ouvrez votre éditeur de texte et copiez le contenu suivant.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    Remplacer URL1 et URL2 dans le texte comme suit :
    • L’url1 est l’ID de l’entité à partir du fichier de métadonnées ADFS que vous avez téléchargé.

      Par exemple, voici un échantillon de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copiez simplement l’ID de l’entité à partir du fichier de métadonnées ADFS et collez-le dans le fichier texte pour remplacer l’URL1

    • L’url2 est sur la première ligne dans le fichier de métadonnées Cisco Webex que vous avez téléchargé.

      Par exemple, voici un échantillon de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copiez simplement l’entityID à partir du fichier de métadonnées Cisco Webex et collez-la dans le fichier texte pour remplacer l’URL2.

  2. Avec les nouvelles URL, copiez la règle à partir de votre éditeur de texte (en commençant par « c: ») et collez-la dans la boite de la règle personnalisée sur votre serveur ADFS.

    La règle terminée devrait ressembler à ceci :
  3. Sélectionnez Terminer pour créer la règle, puis quittez la fenêtre Modifier les règles de réclamation.

4

Sélectionnez Approbation de partie de confiance dans la fenêtre principale, puis sélectionnez Propriétés dans le panneau droit.

5

Lorsque la fenêtre Propriétés s’affiche, allez à l’onglet Avancé, SHA-256, puis sélectionnez OK pour enregistrer vos modifications.

6

Accédez à l’URL suivante sur le serveur interne ADFS pour télécharger le fichier : https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Vous devrez peut-être cliquer avec le clic droit de la souris sur la page et afficher la source de la page pour obtenir le fichier XML correctement formaté.

7

Enregistrez le fichier sur votre machine locale.

Que faire ensuite

Vous êtes prêt à réimporter les métadonnées ADFS dans Cisco Webex à partir du portail de gestion.

Importez les métadonnées IdP et activez l’authentification unique après un test

Après avoir exporté les métadonnées de Cisco Webex, configuré votre IdP et téléchargé les métadonnées IdP sur votre système local, vous êtes prêt à les importer dans votre organisation Cisco Webex depuis Control Hub.

Avant de commencer

Ne testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons uniquement en charge les flux initiés par le fournisseur de services (SP), vous devez donc utiliser le test SSO de Control Hub pour cette intégration.

Traduit avec www.DeepL.com/Translator (version gratuite)

Choisissez une option :

  • Retournez à la page Cisco Webex Control Hub – Exportez les métadonnées du répertoire dans votre navigateur, puis cliquez sur Suivant.
  • Si Control Hub n’est plus ouvert dans l’onglet du navigateur, à partir de l’affichage du client dans https://admin.webex.com, allez dans Paramètres, faites défiler jusqu’à Authentification, choisissez Intégrer un fournisseur d’identité tiers (Avancé), puis cliquez sur Suivant sur la page du fichier de métadonnées de confiance (car vous l’avez déjà fait auparavant).
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l’option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Si les métadonnées ne sont pas signées, sont signées avec un certificat auto-signé ou sont signées avec une autorité de certification (AC) d’entreprise privée, nous vous recommandons d’utiliser l’option Exiger un certificat signé par une autorité de certification dans Métadonnées (plus sûr). Si le certificat est auto-signé, vous devez choisir l’option la moins sécurisée.

3

Sélectionnez Tester la connexion SSO, puis lorsqu’un nouvel onglet de navigation s’ouvre, authentifiez-vous avec l’IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d’utilisateur et le mot de passe et réessayer.

Une erreur Cisco Webex signifie généralement qu’il y a un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, notamment celles où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

4

Retournez à l’onglet Control Hub du navigateur.

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l’option d’authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l’option d’authentification unique (SSO) et cliquez sur Suivant.

Que faire ensuite

Vous pouvez suivre la procédure décrite dans Suppression des courriers électroniques automatisés pour désactiver les courriers électroniques envoyés aux nouveaux utilisateurs de Cisco Webex dans votre organisation. Ce document contient également les meilleures pratiques pour l’envoi de communications aux utilisateurs de votre organisation.

Mise à jour de Cisco Webex Relying Party Trust (approbations des parties de confiance) dans AD FS

Cette tâche concerne spécifiquement la mise à jour d’ADFS avec les nouvelles métadonnées SAML de Cisco Webex. Il existe des articles connexes si vous devez configurer l’authentification unique SSO avec ADFS, ou si vous devez mettre à jour un IdP (différent) avec les métadonnées SAML pour un nouveau certificat SSO Webex.

Avant de commencer

Vous devez exporter le fichier de métadonnées SAML du Control Hub avant de pouvoir mettre à jour le Relying Party Trust (approbation de partie de confiance) Cisco Webex dans AD FS.

Traduit avec www.DeepL.com/Translator (version gratuite)

Connectez-vous au serveur AD FS avec vos permissions d’administrateur.

2

Chargez le fichier de métadonnées SAML de Webex dans un dossier local temporaire sur le serveur AD FS, par exemple //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml.

3

Ouvrez Powershell.

4

Exécutez Get-AdfsRelyingPartyTrust pour lire toutes les approbations de parties de confiance.

Notez le paramètre TargetName de l’approbation de la partie de confiance Cisco Webex. Nous utilisons l’exemple « Cisco Webex » mais il peut être différent dans votre AD FS.

5

Exécutez Update-AdfsRelyingPartyTrust -MetadataFile « //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex ».

Veillez à remplacer le nom du fichier et le nom de la cible par les valeurs correctes de votre environnement.

Voir https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Connectez-vous au Control Hub, puis testez l’intégration SSO :

  1. allez dans Paramètres, faites défiler jusqu’à Authentification, cliquez sur Modifier.

  2. Sélectionnez Intégrer un fournisseur d’identité tiers (Avancé) et cliquez sur Suivant.

  3. Cliquez sur Suivant pour sauter la page Importer les métadonnées IdP.

    Vous n’avez pas besoin de répéter cette étape, car vous avez déjà importé les métadonnées IdP.

  4. Cliquez sur Tester la connexion SSO.

    Une nouvelle fenêtre de navigation s’ouvre et vous redirige vers la page de vérification de l’IdP.

  5. Connectez-vous pour terminer le test.

Dépannage AD FS

Erreurs ADFS dans les journaux Windows

Dans les journaux Windows, vous pouvez voir un code d’erreur 364 dans le journal d’événements ADFS. Les détails de l’événement identifient un certificat invalide. Dans ce cas, l’hôte ADFS n’est pas autorisé à passer par le pare-feu sur le port 80 pour valider le certificat.

ID de fédération

Les ID de fédération sont sensibles à la casse. S’il s’agit de l’adresse électronique de votre organisation, saisissez-la exactement comme l’ADFS l’envoie, ou Cisco Webex ne trouvera pas l’utilisateur correspondant.

Une règle de réclamation personnalisée ne peut pas être écrite pour normaliser l’attribut LDAP avant qu’il soit envoyé.

Importez vos métadonnées à partir du serveur ADFS que vous configurez dans votre environnement.

Vous pouvez vérifier l’URL si nécessaire en allant dans Service > Points de terminaison > Métadonnées > Type:Métadonnées de fédération dans GestionADFS.

Synchronisation de l’heure

Vérifiez que l’horloge système de votre serveur ADFS est synchronisée sur une source horaire Internet fiable qui utilise le protocole Network Time Protocol (NTP). Utilisez la commande PowerShell suivante pour décaler l’horloge pour la relation de la partie de confiance (Relying Party Trust) de Cisco Webex uniquement pour la relation de la partie de confiance (Relying Party Trust).

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

La valeur hexadécimale est unique pour votre environnement. Veuillez remplacer la valeur de l’ID du FS EntityDescriptor dans le fichier de métadonnées Cisco Webex. Par exemple :

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">