Connexion unique et Webex Control Hub

L'authentification unique (SSO) est un processus d'identification de session ou d'utilisateur qui permet à un utilisateur de fournir des informations d'identification pour accéder à une ou plusieurs applications. Ce processus authentifie vos utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'applications au cours d'une session particulière.

Le protocole de Fédération Security Assertion Markup Language (SAML 2,0) est utilisé pour fournir l’authentification SSO entre le Cisco Webex Cloud et votre fournisseur d’identité (IdP).

Profils

Cisco Webex Teams prend uniquement en charge le navigateur Web SSO le profil. Dans le navigateur Web SSO profil, Cisco Webex Teams prend en charge les liaisons suivantes :

  • SP initié POST -> Liaison POST

  • SP a initié REDIRECT -> Liaison POST

Format NameID

Le protocole SAML 2,0 prend en charge plusieurs formats NameID pour communiquer sur un utilisateur spécifique. Cisco Webex Teams prend en charge les formats NameID suivants.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:2.0:nameid -format:emailAddress

Dans les métadonnées que vous chargez à partir de votre IdP, la première entrée est configurée pour être utilisée dans Cisco Webex.

Déconnexion individuelle

Cisco Webex Teams prend en charge le profil de déconnexion unique. Dans l’application Cisco Webex Teams, un utilisateur peut se déconnecter de l’application, qui utilise le protocole SAML Single logout pour mettre fin à la session et confirmer la déconnexion avec votre IdP. IdPs SSO testés

Intégrer Cisco Webex Control Hub avec ADFS


Les guides de configuration montrent un exemple spécifique pour l’intégration de SSO mais n’offrent pas une configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d’intégration pour NameID-format urn : Oasis : Names : TC : SAML : 2.0 : NameID-format : TRANS sont documentées. Autres formats tels que urn : Oasis : Names : TC : SAML : 1.1 : NameID-format : non spécifié ou urn : Oasis : Names : TC : SAML : 1.1 : NameID-format : EmailAddress fonctionnera pour l’intégration de SSO, mais qui ne font pas partie de notre documentation.

Configurez cette intégration pour les utilisateurs de votre organisation Cisco Webex (y compris Cisco Webex Teams, Cisco Webex Meetings et d’autres services administrés dans Cisco Webex Control Hub). Si votre site Webex est intégré à Cisco Webex Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Cisco Webex Meetings de cette façon et qu’il n’est pas géré dans Cisco Webex Control Hub, vous devez effectuer une intégration séparée pour activer l’SSO pour Cisco Webex Meetings. (Voir Configurez l’identification unique pour Webex pour plus d’informations dans l’intégration SSO dans administration du site.)

En fonction de ce qui est configuré dans les mécanismes d’authentification dans ADFS, l’authentification intégrée Windows (AWI) peut être activée par défaut. Si cette option est activée, les applications qui sont lancées via Windows (telles que Webex Teams et Cisco Connecteur de répertoire) s’authentifient en tant qu’utilisateur connecté, quelle que soit l’adresse électronique entrée lors de l’invite initiale du courrier électronique.

Télécharger les métadonnées Cisco Webex sur votre système local

1

À partir de l’affichage du client dans https://admin.webex.com, allez à Paramètres, puis faites défiler jusqu'à Authentification.

2

Cliquez sur Modifier, cliquez sur Intégrer un fournisseur d’identité tiers. (Avancé), puis cliquez sur Suivant.

3

Télécharger le fichier de métadonnées.

Le nom de fichier des métadonnées Cisco Webex est IDB-meta-<org-ID>-SP. XML.

Installer les métadonnées Cisco Webex dans ADFS

Avant de commencer

Cisco Webex Control Hub prend en charge ADFS 2. x ou version plus récente.

Windows 2008 R2 inclut uniquement ADFS 1,0. Vous devez installer un minimum de ADFS 2. x de Microsoft.

Pour les services SSO et Cisco Webex, les fournisseurs d’identité (IDP) doivent se conformer à la spécification SAML 2,0 suivante :

  • Configurez l’attribut du format NameID sur urn : Oasis : Names : TC : SAML : 2.0 : NameID-format :TRANS

  • Configurez une réclamation sur l’IdP pour inclure le nom de l' attribut UID avec une valeur qui est mappée à l’attribut qui est choisi dans Cisco connecteur de répertoire ou l’attribut utilisateur qui correspond à celui qui est choisi dans la service d’identité Cisco Webex. (Cet attribut peut être un adresse électronique ou un nom d’utilisateur principal, par exemple.) Voir les informations de l’attribut personnalisé dans https://www.cisco.com/go/hybrid-services-directory pour obtenir des instructions.

1

Connectez-vous au serveur ADFS avec vos permissions d'administrateur.

2

ouvrez la console de gestion ADFS et jusqu'à Relations de confiance > Parties de confiance > Ajouter une partie de confiance.

3

À partir de la fenêtre Ajouter une approbation de partie de confiance, sélectionnez Démarrer.

4

Pour Sélectionner la source de données sélectionnez Importer les données de la partie de confiance à partir d’un fichier, recherchez le Cisco Webex Control Hub fichier de métadonnées que vous avez téléchargé et sélectionnez suivant.

5

Pour spécifier le nom d’affichage, créez un nom d’affichage pour cette approbation de partie de confiance comme Cisco Webex et sélectionnez suivant.

6

Pour Choisir les règles d'autorisation d'attribution, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance, puis sélectionnez Suivant.

7

Pour Prêt à ajouter la confiance, sélectionnez Suivant et finissez d'ajouter la partie de confiance à ADFS.

Créer des règles de réclamation pour autoriser l’authentification à partir de Cisco Webex

1

Dans le volet ADFS principal, sélectionnez la relation de confiance que vous avez créée, puis sélectionnez Modifier les règles de réclamation. Dans l'onglet règles de transformation d'émission, sélectionnez Ajouter une règle.

2

Dans l'étape Choisir un type de règle, sélectionnez Envoyer les attributs LDAP sous la forme de réclamations, puis sélectionnez Suivant.

  1. Saisissez un Nom de règle de réclamation.

  2. Sélectionnez Répertoire actif comme magasin d'attributs.

  3. Mappez l'attribut LDAP Adresses électroniques au type de réclamation sortante uid.

    Cette règle indique à ADFS les champs à mapper à Cisco Webex pour identifier un utilisateur. Épelez les types de réclamations sortantes exactement comme indiqué.

  4. Enregistrez vos modifications

3

Sélectionnez à nouveau Ajouter une règle, Envoyer des réclamations à l’aide d’une règle personnalisée, puis sélectionnez Suivant.

Cette règle fournit à l’ADFS l’attribut « de qualificatif » que Cisco Webex ne fournit pas autrement.

  1. Ouvrez votre éditeur de texte et copiez le contenu suivant.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "<!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder-->URL1<!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder-->", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder-->URL2<!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder-->");

    Remplacer URL1 et URL2 dans le texte comme suit :
    • L’url1 est l’ID de l'entité à partir du fichier de métadonnées ADFS que vous avez téléchargé.

      Par exemple, voici un échantillon de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      Copiez simplement l’ID de l'entité à partir du fichier de métadonnées ADFS et collez-le dans le fichier texte pour remplacer l'URL1

    • URL2 est sur la première ligne du fichier de métadonnées Cisco Webex que vous avez téléchargé.

      Par exemple, voici un échantillon de ce que vous voyez : <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Copiez uniquement le entityID à partir du fichier de métadonnées Cisco Webex et collez-le dans le fichier texte pour remplacer URL2.

  2. Avec les nouvelles URL, copiez la règle à partir de votre éditeur de texte (en commençant par « c: ») et collez-la dans la boite de la règle personnalisée sur votre serveur ADFS.

    La règle terminée devrait ressembler à ceci :
  3. Sélectionnez Terminer pour créer la règle, puis quittez la fenêtre Modifier les règles de réclamation.

4

Sélectionnez Approbation de partie de confiance dans la fenêtre principale, puis sélectionnez Propriétés dans le panneau droit.

5

Lorsque la fenêtre Propriétés s’affiche, allez à l'onglet Avancé, SHA-256, puis sélectionnez OK pour enregistrer vos modifications.

6

Accédez à l’URL suivante sur le serveur interne ADFS pour télécharger le fichier : https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

Vous devrez peut-être cliquer avec le clic droit de la souris sur la page et afficher la source de la page pour obtenir le fichier XML correctement formaté.

7

Enregistrez le fichier sur votre machine locale.

Que faire ensuite

Vous êtes prêt à importer les métadonnées ADFS dans Cisco Webex à partir du portail de gestion.

Importer les métadonnées IDP et activer l'authentification unique SSO après un test

Après avoir exporté les métadonnées Cisco Webex, configuré votre IdP et téléchargé les métadonnées IdP sur votre système local, vous êtes prêt à les importer dans votre organisation Cisco Webex à partir de Control Hub.

Avant de commencer

Ne Testez pas l’intégration SSO à partir de l’interface du fournisseur d’identité (IdP). Nous prenons en charge uniquement les flux initiés par Prestataire de service (initié par le SP), donc vous devez utiliser le test SSO Control Hub pour cette intégration.

1

Choisissez une option :

  • Retournez à la page Cisco Webex Control Hub – exporter les métadonnées du répertoire dans votre navigateur, puis cliquez sur suivant.
  • Si Control Hub n’est plus ouvert dans l’onglet du navigateur, à partir de l’affichage du client dans https://admin.webex.com, allez à paramètres, faites défiler jusqu’à authentification, choisissez intégrer un fournisseur d’identité tiers (avancé), puis cliquez sur suivant sur la page fichier de métadonnées de confiance (car vous l’avez déjà fait auparavant).
2

Sur la page Importer les métadonnées IdP, faites glisser et déposez le fichier de métadonnées IdP sur la page, ou utilisez l'option de navigateur de fichiers pour localiser et charger le fichier de métadonnées. Cliquez sur Suivant.

Si les métadonnées ne sont pas signées, qu’elles sont signées avec un certificat auto-signé ou qu’elles sont signées avec une autorité de certification d’entreprise (AC) privée, nous vous recommandons d’utiliser un certificat signé par une autorité de certification dans les métadonnées (plus sécurisé). Si le certificat est auto-signé, vous devez choisir l'option la moins sécurisée.

3

Sélectionnez Tester la connexion SSO et quand un nouvel onglet de navigation s'ouvre, authentifiez-vous avec l'IdP en vous connectant.


 

Si vous recevez une erreur d’authentification il peut y avoir un problème avec les identifiants de connexion. Veuillez vérifier le nom d'utilisateur et le mot de passe et réessayer.

Une erreur de Webex Teams signifie généralement un problème avec la configuration SSO. Dans ce cas, suivez à nouveau les étapes, en particulier les étapes où vous copiez et collez les métadonnées de Control Hub dans la configuration IdP.

4

Retournez à l’onglet du navigateur Control Hub.

  • Si le test a réussi, sélectionnez Ce test a réussi. Activez l'option d'authentification unique (SSO) et cliquez sur Suivant.
  • Si le test a échoué, sélectionnez Ce test a échoué. Désactivez l'option d'authentification unique (SSO) et cliquez sur Suivant.

Que faire ensuite

Vous pouvez suivre la procédure dans Supprimer les courriers électroniques automatisés pour désactiver les courriers électroniques qui sont envoyés aux nouveaux Webex teams utilisateurs de votre organisation. Le document contient également des pratiques exemplaires pour l'envoi de communications aux utilisateurs de votre organisation.

Mettre à jour Cisco Webex confiance de partie de confiance dans AD FS

Cette tâche concerne spécifiquement la mise à jour de AD FS avec les nouvelles métadonnées SAML à partir de Cisco Webex. Il y a des Articles connexes si vous devez configurer SSO avec AD FS, ou si vous devez effectuer la mise à jour (un IDP différent) avec les métadonnées SAML pour un nouveau certificat Webex SSO.

Avant de commencer

Vous devez exporter le fichier de métadonnées SAML à partir de Control Hub avant de pouvoir effectuer la mise à jour de la Cisco Webex confiance de partie de confiance dans AD FS.

1

Connectez-vous au serveur AD FS avec vos permissions d'administrateur.

2

Téléchargez le fichier de métadonnées SAML de Webex vers un dossier local temporaire sur le serveur AD FS, par exemple. //ADFS_servername/Temp/IDB-meta-<org-ID>-SP. XML.

3

Ouvrez PowerShell.

4

Exécutez Get-AdfsRelyingPartyTrust pour lire toutes les approbations des parties de confiance.

Notez le paramètre TargetName de l’approbation de partie de confiance Cisco Webex. Nous utilisons l’exemple « Cisco Webex » mais il peut être différent dans votre AD FS.

5

Exécutez Update-AdfsRelyingPartyTrust-MetadataFile "//ADFS_servername/Temp/IDB-meta-<org-ID>-SP. xml"-NomCible "Cisco Webex".

Assurez-vous de remplacer le nom du fichier et le nom de la cible par les valeurs correctes de votre environnement.

Voir https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust.
6

Connectez-vous à Control Hub, puis testez l’intégration de la SSO :

  1. Allez dans paramètres, faites défiler jusqu’à authentification, cliquez sur modifier.

  2. Sélectionnez intégrer un fournisseur d’identité tiers (avancé) et cliquez sur suivant.

  3. Cliquez sur suivant pour ignorer la page importer les métadonnées IDP.

    Vous n’avez pas besoin de répéter cette étape, car vous avez précédemment importé les métadonnées IdP.

  4. Cliquez sur tester la connexion SSO.

    Une nouvelle fenêtre de navigation s’ouvre, vous redirige vers la page Challenge IdP.

  5. Connectez-vous pour terminer le test.

Dépannage ADFS

Erreurs ADFS dans les journaux Windows

Dans les journaux Windows, vous pouvez voir un code d'erreur 364 dans le journal d'événements ADFS. Les détails de l'événement identifient un certificat invalide. Dans ce cas, l'hôte ADFS n'est pas autorisé à passer par le pare-feu sur le port 80 pour valider le certificat.

ID de fédération

Les ID de fédération sont sensibles à la casse. S’il s’agit de l’adresse électronique de votre organisation, entrez-la exactement comme ADFS l’envoie, ou Cisco Webex ne peut pas trouver l’utilisateur correspondant.

Une règle de réclamation personnalisée ne peut pas être écrite pour normaliser l'attribut LDAP avant qu'il soit envoyé.

Importez vos métadonnées à partir du serveur ADFS que vous configurez dans votre environnement.

Vous pouvez vérifier l'URL si nécessaire en allant à Service > Points de terminaison > Métadonnées > Saisissez : métadonnées de fédération dans la gestion ADFS.

Synchronisation de l'heure

Vérifiez que l'horloge système de votre serveur ADFS est synchronisée sur une source horaire Internet fiable qui utilise le protocole Network Time Protocol (NTP). Utilisez la commande PowerShell suivante pour incliner l’horloge pour la Cisco Webex relation d’approbation de partie de confiance uniquement.

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

La valeur hexadécimale est unique pour votre environnement. Veuillez remplacer la valeur de la valeur ID du SP EntityDescriptor dans le fichier de métadonnées Cisco Webex. Par exemple :

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">