SSO dans Control Hub

Si vous souhaitez configurer la SSO pour plusieurs fournisseurs d’identité dans votre organisation, reportez-vous à la SSO avec plusieurs IdP dans Webex.


 

Si l'utilisation du certificat de votre organisation est définie sur Aucun mais que vous recevez toujours une alerte, nous vous recommandons de continuer la mise à niveau. Votre déploiement SSO n’utilise pas le certificat aujourd’hui, mais vous aurez peut-être besoin du certificat pour des modifications futures.


 

De temps à autre, vous pouvez recevoir une notification par courrier électronique ou voir une alerte dans Control Hub indiquant que le certificat d’authentification authentification unique (SSO) Webex va expirer. Suivez le processus décrit dans cet article pour récupérer les métadonnées du certificat cloud SSO auprès de nous (le SP) et les rajouter à votre IdP ; sinon, les utilisateurs ne pourront pas utiliser les services Webex.

Si vous utilisez le certificat SSO SAML Cisco (SP) dans votre organisation Webex, vous devez planifier la mise à jour du certificat du Cloud au cours d’une fenêtre de maintenance programmée régulière dès que possible.

Tous les services qui font partie de l'abonnement de votre organisation sont concernés, y compris, mais sans s'y limiter :

  • Application Webex (nouvelles connexions pour toutes les plateformes : ordinateur de bureau, mobile et Web)

  • Services Webex dans Control Hub, y compris les appels

  • Le site Webex Meetings est géré par le Control Hub de Webex

  • Cisco Jabber s'il est intégré à SSO

Avant de commencer


 

Veuillez lire toutes les instructions avant de commencer. Après avoir modifié le certificat ou parcouru l'Assistant pour mettre à jour le certificat, les nouveaux utilisateurs peuvent ne pas être en mesure de se connecter avec succès.

Si votre IdP ne prend pas en charge plusieurs certificats (la plupart des IdP du marché ne prennent pas en charge cette fonctionnalité), nous vous recommandons de programmer cette mise à niveau pendant une fenêtre de maintenance où les utilisateurs de l’application Webex ne sont pas affectés. Ces tâches de mise à niveau doivent prendre environ 30 minutes en temps opérationnel et en validation post-événement.

1

Pour vérifier si le certificat SAML Cisco (SP) SSO va expirer :

  • Vous avez peut-être reçu un courrier électronique ou un message Webex App de notre part, mais vous devez vérifier dans Control Hub pour être certain.
  • Connectez-vous pourhttps://admin.webex.com , et vérifiez votre Centre d'alertes . Il peut y avoir une notification concernant la mise à jour du certificat du fournisseur de services SSO .

  • Connectez-vous à https://admin.webex.com, allez à Gestion > Paramètres de l’organisation > Authentification unique SSO, puis cliquez sur Gérer la SSO et les IdP.
  • Allez dans l'onglet Fournisseur d'identité et notez le statut du certificat Cisco SP et la date d'expiration.

Vous pouvez également accéder directement à l’assistant SSO pour mettre à jour le certificat. Si vous décidez de quitter l’assistant avant de le terminer, vous pouvez y accéder à nouveau à tout moment à partir de Gestion > Paramètres de l’organisation > Authentification unique SSO dans https://admin.webex.com.

2

Allez à l’IdP et cliquez sur.

3

Cliquez sur Revoir les certificats et la date d'expiration.

4

Cliquez sur Renouveler le certificat.

5

Choisissez le type d’IdP que votre organisation utilise.

  • Un IdP qui prend en charge plusieurs certificats
  • Un IdP qui prend en charge un seul certificat

 

Si votre IdP ne prend en charge qu'un seul certificat, nous vous recommandons d'attendre pour effectuer ces étapes pendant les temps d'arrêt programmés. Pendant la mise à jour du certificat Webex, les connexions des nouveaux utilisateurs ne fonctionneront pas brièvement ; les connexions existantes sont conservées.

6

Choisissez le type de certificat pour le renouvellement :

  • Auto-signé par Cisco : nous recommandons ce choix. Laissez-nous signer le certificat afin que vous n’ayez à le renouveler qu’une fois tous les cinq ans.
  • Signé par une autorité de certification publique : plus sûr, mais vous devrez fréquemment mettre à jour les métadonnées (à moins que votre fournisseur d'IdP ne prenne en charge les ancres de confiance).

     

    Les ancres de confiance sont des clés publiques qui agissent en tant qu'autorité pour vérifier le certificat d'une signature numérique. Pour plus d’informations, reportez-vous à la documentation de votre IdP.

7

Cliquez sur Télécharger le fichier de métadonnées pour télécharger une copie des métadonnées mises à jour avec le nouveau certificat. Garder cet écran ouvert.

8

Accédez à votre interface de gestion IdP pour télécharger le nouveau fichier de métadonnées Webex.

  • Cette étape peut être effectuée par le biais d’un onglet de navigateur, d’un protocole de bureau à distance (RDP) ou d’une prise en charge spécifique d’un fournisseur de cloud, en fonction de votre configuration IdP et si vous ou un administrateur IdP distinct êtes responsable de cette étape.
  • Pour référence, voir nos guides d’intégration SSO ou contactez votre administrateur IdP pour obtenir de l’aide. Si vous utilisez les services de fédération Active Directory (AD FS), vous pouvez voir comment mettre à jour les métadonnées Webex dans AD FS .
9

Revenez à l’onglet où vous vous êtes connecté à Control Hub et cliquez sur Suivant .

10

Mettez à jour l’IdP avec le nouveau certificat et les métadonnées du fournisseur de service et cliquez sur Suivant.

  • Mise à jour de tous les IdP
  • Si vous avez besoin de plus de temps pour effectuer la mise à jour, enregistrez le certificat renouvelé en tant qu’option secondaire
11

Cliquez sur Terminer le renouvellement.


 

De temps en temps, vous pouvez recevoir une notification par courrier électronique ou voir une alerte dans le Control Hub indiquant que le certificat IdP va expirer. Étant donné que les fournisseurs IdP disposent de leur propre documentation spécifique pour le renouvellement des certificats, nous couvrons ce qui est requis dans Control Hub, ainsi que les étapes génériques pour récupérer les métadonnées IdP mises à jour et les télécharger vers Control Hub pour renouveler le certificat.

1

Pour vérifier si le certificat SAML IdP va expirer :

  • Vous avez peut-être reçu un courrier électronique ou un message Webex App de notre part, mais vous devez vérifier dans Control Hub pour être certain.
  • Connectez-vous pourhttps://admin.webex.com , et vérifiez votre Centre d'alertes . Il peut y avoir une notification concernant la mise à jour du certificat SAML IdP :

  • Connectez-vous à https://admin.webex.com, allez à Gestion > Paramètres de l’organisation > Authentification unique SSO, puis cliquez sur Gérer la SSO et les IdP.
  • Accédez à l'onglet Fournisseur d'identité et notez le statut du certificat IdP (expiré ou expirant prochainement) et la date d'expiration.
  • Vous pouvez également accéder directement à l’assistant SSO pour mettre à jour le certificat. Si vous décidez de quitter l’assistant avant de le terminer, vous pouvez y accéder à nouveau à tout moment à partir de Gestion > Paramètres de l’organisation > Authentification unique SSO dans https://admin.webex.com.

2

Accédez à votre interface de gestion IdP pour récupérer le nouveau fichier de métadonnées.

  • Cette étape peut être effectuée par le biais d’un onglet de navigateur, d’un protocole de bureau à distance (RDP) ou d’une prise en charge spécifique d’un fournisseur de cloud, en fonction de votre configuration IdP et si vous ou un administrateur IdP distinct êtes responsable de cette étape.
  • Pour référence, voir nos guides d’intégration SSO ou contactez votre administrateur IdP pour obtenir de l’aide.
3

Retournez à l'onglet Fournisseur d'identité.

4

Allez à l’IdP, cliquez suruploadet sélectionnez Upload Idp metadata.

5

Faites glisser et déposez votre fichier de métadonnées IdP dans la fenêtre ou cliquez sur Choisir un fichier et téléchargez-le de cette façon.

6

Choisir Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une autorité de certification publique), en fonction de la manière dont vos métadonnées IdP sont signées.

7

Cliquez sur Test de la mise à jour SSO pour confirmer que le nouveau fichier de métadonnées a été téléchargé et interprété correctement par votre IdP. Confirmez les résultats attendus dans la fenêtre contextuelle et, si le test a réussi, sélectionnez Successful test: Activez la SSO et l’IdP et cliquez sur Enregistrer.


 

Pour voir directement l’expérience de connexion SSO, nous vous recommandons de cliquer sur Copier l’URL dans le presse-papiers à partir de cet écran et de la coller dans une fenêtre de navigation privée. De là, vous pouvez vous connecter avec la SSO. Cette opération permet de supprimer toute information mise en cache dans votre navigateur Web qui pourrait donner un faux résultat positif lors du test de votre configuration SSO.

Résultat : Vous avez terminé et le certificat IdP de votre organisation est maintenant renouvelé. Vous pouvez vérifier l'état du certificat à tout moment sous l'onglet Fournisseur d'identité.

Vous pouvez exporter les dernières métadonnées Webex SP chaque fois que vous devez les rajouter à votre IdP. Vous verrez un avis lorsque les métadonnées SAML IdP importées vont expirer ou ont expiré.

Cette étape est utile dans les scénarios courants de gestion des certificats SAML IdP, tels que les IdP qui prennent en charge plusieurs certificats où l'exportation n'a pas été effectuée précédemment, si les métadonnées n'ont pas été importées dans l'IdP parce qu'un administrateur IdP n'était pas disponible, ou si votre IdP prend en charge le possibilité de mettre à jour uniquement le certificat. Cette option peut aider à minimiser le changement en mettant uniquement à jour le certificat dans votre configuration SSO et la validation post-événement.

1

À partir de la vue client de https://admin.webex.com, allez à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

2

Accédez à l'onglet Fournisseur d'identité.

3

Allez à l’IdP, cliquez surDownloadet sélectionnez Télécharger les métadonnées SP.

Le nom de fichier de métadonnées de l’application Webex est idb-meta-<org-ID>-SP.xml.

4

Importez les métadonnées dans votre IdP.

Suivez la documentation de votre IdP pour importer les métadonnées Webex SP. Vous pouvez utiliser notre Guides d'intégration de l'IdP ou consultez la documentation de votre IdP spécifique s'il n'est pas répertorié.

5

Lorsque vous avez terminé, exécutez le test SSO en suivant les étapes décrites dans Renouveler le certificat Webex (SP) dans cet article.

Lorsque votre environnement IdP change ou si votre certificat IdP arrive à expiration, vous pouvez importer les métadonnées mises à jour dans Webex à tout moment.

Avant de commencer

Rassemblez vos métadonnées IdP, généralement sous forme de fichier XML exporté.

1

À partir de la vue client de https://admin.webex.com, allez à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

2

Accédez à l'onglet Fournisseur d'identité.

3

Allez à l’IdP, cliquez suruploadet sélectionnez Upload Idp metadata.

4

Faites glisser et déposez votre fichier de métadonnées IdP dans la fenêtre ou cliquez sur Choisir un fichier de métadonnées et téléchargez-le de cette façon.

5

Choisir Moins sécurisé (auto-signé) ou Plus sécurisé (signé par une autorité de certification publique), en fonction de la manière dont vos métadonnées IdP sont signées.

6

Cliquez sur Tester la configuration SSO, et lorsqu’un nouvel onglet du navigateur s’ouvre, authentifiez-vous auprès de l’IdP en vous connectant.

Vous recevrez des alertes dans le Control Hub avant que les certificats ne soient configurés pour expirer, mais vous pouvez également configurer de manière proactive des règles d’alerte. Ces règles vous indiquent à l'avance que vos certificats SP ou IdP vont expirer. Nous pouvons vous les envoyer par courrier électronique, dans un espace de l’application Webex, ou les deux.


 

Quel que soit le canal de distribution configuré, toutes les alertes apparaissent toujours dans le Control Hub. Voir Centre d’alertes dans le Control Hub pour plus d’informations.

1

Connectez-vous au Control Hub.

2

Accédez au Centre d'alertes.

3

Choisissez Gérer puis Toutes les règles.

4

Dans la liste des règles, choisissez l'une des règles SSO que vous souhaitez créer :

  • Expiration du certificat SSO IDP
  • Expiration du certificat SSO SP
5

Dans la section Canal de distribution, cochez la case Courrier électronique, Espace Webex, ou les deux.

Si vous choisissez Courrier électronique, saisissez l’adresse électronique qui doit recevoir la notification.


 

Si vous choisissez l’option d’espace Webex, vous êtes automatiquement ajouté à un espace dans l’application Webex et nous y envoyons les notifications.

6

Enregistrez vos modifications.

Que faire ensuite

Nous envoyons des alertes d'expiration de certificat une fois tous les 15 jours, à partir de 60 jours avant l'expiration. (Vous pouvez vous attendre à des alertes les jours 60, 45, 30 et 15.) Les alertes s'arrêtent lorsque vous renouvelez le certificat.

Vous pouvez voir une notification indiquant que l'URL de déconnexion individuelle n'est pas configurée :


 

Nous vous recommandons de configurer votre IdP pour prendre en charge la déconnexion unique (également appelée SLO). Webex prend en charge les méthodes de redirection et de publication, disponibles dans nos métadonnées téléchargées à partir de Control Hub. Tous les IdP ne prennent pas en charge le SLO ; veuillez contacter votre équipe IdP pour obtenir de l’aide. Parfois, pour les principaux fournisseurs IdP comme AzureAD, Ping Federate, ForgeRock et Oracle, qui prennent en charge SLO, nous documentons comment configurer l’intégration. Consultez votre équipe Identité et sécurité sur les spécificités de votre IDP et comment le configurer correctement.

Si l'url de déconnexion individuelle n'est pas configurée :

  • Une session IdP existante reste valide. La prochaine fois que les utilisateurs se connecteront, l’IdP ne leur demandera peut-être pas de se ré-authentifier.

  • Nous affichons un message d'avertissement lors de la déconnexion, de sorte que la déconnexion de l’application Webex ne se fait pas de manière transparente.

Vous pouvez désactiver authentification unique (SSO) pour votre organisation Webex gérée dans Control Hub. Vous pouvez désactiver la SSO si vous changez de fournisseur d’identité (IdP).


 

Si authentification unique a été activée pour votre organisation mais échoue, vous pouvez demander à votre partenaire Cisco qui peut accéder à votre organisation Webex de la désactiver pour vous.

1

À partir de la vue client de https://admin.webex.com, allez à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

2

Accédez à l'onglet Fournisseur d'identité.

3

Cliquez sur Désactiver la SSO.

Une fenêtre contextuelle s'affiche pour vous avertir de la désactivation de la SSO:

Désactiver la SSO

Si vous désactivez SSO, les mots de passe sont gérés par le cloud au lieu de votre configuration IdP intégrée.

4

Si vous comprenez l'impact de la désactivation de la SSO et que vous souhaitez continuer, cliquez sur Désactiver .

La SSO est désactivée et toutes les listes de certificats SAML sont supprimées.

Si la SSO est désactivée, les utilisateurs qui doivent s’authentifier verront un champ de saisie de mot de passe au cours du processus de connexion.

  • Les utilisateurs qui n’ont pas de mot de passe dans l’application Webex doivent soit réinitialiser leur mot de passe, soit vous devez leur envoyer un courrier électronique leur permettant de définir un mot de passe.

  • Les utilisateurs authentifiés existants avec un jeton OAuth valide continueront d'avoir accès à l'application Webex.

  • Les nouveaux utilisateurs créés alors que la SSO est désactivée reçoivent un courrier électronique leur demandant de créer un mot de passe.

Que faire ensuite

Si vous ou le client reconfigurez la SSO pour l’organisation du client, les comptes utilisateur utilisent à nouveau la politique de mot de passe qui est configurée par l’IdP qui est intégrée à l’organisation Webex.

Si vous rencontrez des problèmes avec votre connexion SSO, vous pouvez utiliser l’option d’auto-récupération SSO pour accéder à votre organisation Webex gérée dans Control Hub. L’option d’auto-récupération vous permet de mettre à jour ou de désactiver la SSO dans Control Hub.