Authentification unique et Hub de contrôle

L'authentification unique (SSO) est un processus d'authentification de session ou d'utilisateur qui permet à un utilisateur de fournir des identifiants pour accéder à une ou plusieurs applications. Le processus authentifie les utilisateurs pour toutes les applications auxquelles ils ont droit. Il élimine d'autres invites lorsque les utilisateurs changent d'application au cours d'une session particulière.

Le protocole de fédération Security Assertion Markup Language (SAML 2.0) est utilisé pour fournir une authentification SSO entre le cloud Webex et votre fournisseur d'identité (IdP).

Profili

Webex App prend en charge uniquement le profil SSO du navigateur web. Dans le profil SSO du navigateur web, Webex App prend en charge les liaisons suivantes :

  • SP initiée POST -> POST liaison

  • SP initiée REDIRECTION -> POST liaison

Format ID nom

Le protocole SAML 2.0 prend en charge plusieurs formats NameID pour communiquer sur un utilisateur spécifique. Webex App prend en charge les formats NameID suivants.

  • urn:oasis:noms:tc:SAML:2.0:nameid-format:transitoire

  • urn:oasis:noms:tc:SAML:1.1:nameid-format:non spécifié

  • urn:oasis:noms:tc:SAML:1.1:nameid-format:emailAddress

Dans les métadonnées que vous chargez à partir de votre IdP, la première entrée est configurée pour être utilisée dans Webex.

Intégrer Control Hub avec Microsoft Azure

Webex ne prend en charge qu'un seul IdP pour chaque demande d'authentification. Le flux d’authentification est le suivant : Utilisateur > Authentification Webex > IdP 1 > Authentification Webex > Utilisateur. Cela signifie que si différents utilisateurs peuvent s'authentifier à l'aide d'IdPs différents, un utilisateur ne peut pas basculer entre plusieurs IdPs au cours d'un seul processus d'authentification. Toutes les étapes supplémentaires telles que l'AMF doivent être intégrées à l'IdP unique utilisé pour cette demande particulière.

Les guides de configuration donnent un exemple spécifique d’intégration SSO mais ne fournissent pas de configuration exhaustive pour toutes les possibilités. Par exemple, les étapes d'intégration pour nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient sont documentées. D'autres formats tels que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ou urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress fonctionneront pour l'intégration SSO mais ne sont pas inclus dans notre documentation.

Configurez cette intégration pour les utilisateurs de votre organisation Webex (y compris Webex App, Webex Meetings et autres services administrés dans Control Hub). Si votre site Webex est intégré dans Control Hub, le site Webex hérite de la gestion des utilisateurs. Si vous ne pouvez pas accéder à Webex Meetings de cette manière et qu'il n'est pas géré dans Control Hub, vous devez effectuer une intégration séparée pour activer SSO pour Webex Meetings. (Voir Configurer l'authentification unique pour Webex pour plus d'informations sur l'intégration SSO dans l'administration du site.)

Avant de commencer

Pour SSO et Control Hub, les IdPs doivent être conformes à la spécification SAML 2.0. De plus, les IdPs doivent être configurés de la manière suivante :

  • Dans Azure Active Directory, le provisionnement n’est pris en charge qu’en mode manuel. Ce document ne couvre que l’intégration à l’authentification unique (SSO).
  • Les clients Webex existants ayant des configurations de fédération antérieures peuvent rencontrer des problèmes avec le modèle Entra ID Webex standard en raison de changements dans les attributs SAML. Nous vous recommandons de configurer une fédération Entra ID personnalisée pour résoudre ce problème en utilisant vos paramètres SAML précédents. Assurez-vous de réaliser le test SSO du Control Hub pour permettre la compatibilité et corriger les écarts éventuels.

Téléchargez les métadonnées Webex sur votre système local

1

Depuis la vue client dans https://admin.webex.com, allez dans Gestion > Paramètres d'organisation, puis faites défiler jusqu'à Authentification, puis basculez sur le paramètre Authentification unique pour démarrer l'assistant de configuration.

2

Choisissez le type de certificat pour votre organisation :

  • Auto-signé par Cisco—Nous vous recommandons ce choix. Signez le certificat afin que vous n'ayez besoin de le renouveler qu'une fois tous les cinq ans.
  • Signé par une autorité de certification publique—Plus sécurisé, mais vous devrez fréquemment mettre à jour les métadonnées (sauf si votre fournisseur IdP prend en charge les ancrages de confiance).

Les ancres de confiance sont des clés publiques qui agissent comme une autorité pour vérifier le certificat d'une signature numérique. Pour plus d’informations, reportez-vous à votre documentation IdP.

3

Téléchargez le fichier de métadonnées.

Le nom du fichier de métadonnées Webex est idb-meta--SP.xml.

Configurer les paramètres de l'application SSO dans Azure

Avant de commencer

1

Connectez-vous au portail Azure à l’adresse https://portal.azure.com avec vos identifiants d’administrateur.

2

Si l’icône Azure Active Directory n’est pas visible, cliquez sur Plus de services.

3

Accédez à Azure Active Directory pour votre organisation.

4

Allez dans Applications d’entreprise , puis cliquez sur Ajouter.

5

Cliquez sur Ajouter une application depuis la galerie.

6

Dans la zone de recherche, taper Cisco Webex.

7

Dans le volet de résultats, sélectionnez Cisco Webex, puis cliquez sur Créer pour ajouter l’application.

8

Pour vous assurer que l'application Webex que vous avez ajoutée pour l'authentification unique ne s'affiche pas dans le portail utilisateur, ouvrez la nouvelle application. Dans Gérer, cliquez sur Propriétés et réglez Visible to users? sur No.

Nous ne soutenons pas la visibilité de l'application Webex pour les utilisateurs.

9

Configurer l'authentification unique :

  1. Dans Gérer, cliquez sur Authentification unique, puis dans Sélectionner une méthode d’authentification unique, choisissez SAML.

  2. Cliquez sur Télécharger le fichier de métadonnées , puis choisissez le fichier de métadonnées que vous avez téléchargé depuis Control Hub.

    Importer un fichier de métadonnées dans Azure

    Certains champs sont automatiquement remplis pour vous.

  3. Sous Gérer, cliquez sur Configurer une authentification unique avec SAML, cliquez sur l’icône Édition pour ouvrir Basic SAML Configuration.

  4. Copiez la valeur URL de réponse et collez-la dans Sign on URL, puis enregistrez vos modifications.

10

Allez dans Gérer > Utilisateurs et groupes, puis choisissez les utilisateurs et groupes concernés que vous souhaitez accorder l’accès à l’application Webex.

11

Sur la page Configurer une authentification unique avec SAML , dans la section SAML Signing Certificate , cliquez sur Download pour télécharger les Federation Metadata XML et les enregistrer sur votre ordinateur.

Importer les métadonnées IdP et activer l'authentification unique après un test

Après avoir exporté les métadonnées Webex, configuré votre IdP et téléchargé les métadonnées IdP sur votre système local, vous êtes prêt à les importer dans votre organisation Webex depuis Control Hub.

Avant de commencer

Ne testez pas l'intégration SSO depuis l'interface fournisseur d'identité (IdP). Nous ne prenons en charge que les flux initiés par les fournisseurs de services (initiés par les fournisseurs de services), vous devez donc utiliser le test SSO du Control Hub pour cette intégration.

1

En choisir une :

  • Retournez à la page Control Hub – sélection des certificats dans votre navigateur, puis cliquez sur Next.
  • Si Control Hub n'est plus ouvert dans l'onglet Browser, depuis la vue client dans https://admin.webex.com, allez dans Gestion > Paramètres d'organisation, faites défiler jusqu'à Authentification, puis choisissez Actions > Importer des métadonnées.
2

Sur la page Import IdP Metadata, faites glisser et déposez le fichier de métadonnées IdP sur la page ou utilisez l'option du navigateur de fichiers pour localiser et télécharger le fichier de métadonnées. Cliquez sur Suivant.

Vous devez utiliser l’option Plus sécurisée , si possible. Cela n'est possible que si votre IdP a utilisé une AC publique pour signer ses métadonnées.

Dans tous les autres cas, vous devez utiliser l’option Moins sécurisé . Cela inclut si les métadonnées ne sont pas signées, auto-signées ou signées par une AC privée.

Okta ne signe pas les métadonnées, vous devez donc choisir Moins sécurisé pour une intégration Okta SSO.

3

Sélectionnez Test SSO setup, et lorsqu’un nouvel onglet de navigateur s’ouvre, authentifiez-vous avec l’IdP en vous connectant.

Si vous recevez une erreur d'authentification, il peut y avoir un problème avec les identifiants. Vérifiez le nom d'utilisateur et le mot de passe et réessayez.

Une erreur Webex App signifie généralement un problème avec la configuration du SSO. Dans ce cas, parcourez à nouveau les étapes, en particulier les étapes où vous copiez et collez les métadonnées Control Hub dans la configuration IdP.

Pour voir directement l’expérience de connexion SSO, vous pouvez également cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et le coller dans une fenêtre de navigateur privée. À partir de là, vous pouvez vous connecter avec SSO. Cette étape arrête les faux positifs en raison d'un jeton d'accès qui pourrait se trouver dans une session existante à partir de votre connexion.

4

Revenez à l'onglet du navigateur Control Hub.

  • Si le test a réussi, sélectionner Test réussi. Activer SSO et cliquer sur Suivant.
  • Si le test a échoué, sélectionner Failed test (Test échoué). Désactiver le SSO et cliquer sur Suivant.

La configuration SSO ne prend effet dans votre organisation que si vous choisissez le premier bouton radio et activez SSO.

Que faire ensuite

Utilisez les procédures de Synchroniser les utilisateurs d'Okta dans Cisco Webex Control Hub si vous souhaitez effectuer un provisionnement utilisateur depuis Okta dans le cloud Webex.

Utilisez les procédures de Synchroniser les utilisateurs Azure Active Directory dans Cisco Webex Control Hub si vous souhaitez effectuer un provisionnement utilisateur à partir d'Azure AD dans le cloud Webex.

Vous pouvez suivre la procédure dans Supprimer les e-mails automatisés pour désactiver les e-mails envoyés aux nouveaux utilisateurs de l’application Webex dans votre organisation. Le document contient également les meilleures pratiques pour envoyer des communications aux utilisateurs de votre organisation.

Dépanner l'intégration Azure

Lors du test SAML, assurez-vous d'utiliser Mozilla Firefox et d'installer le traceur SAML à partir de https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Vérifiez l'affirmation qui vient d'Azure pour vous assurer qu'elle a le bon format nameid et a un attribut uid qui correspond à un utilisateur dans l'application Webex.