Systém pro správu identity napříč doménami (SCIM)

Integrace mezi uživateli v adresáři a Control Hubu využívá rozhraní SCIM (System for Cross-domain Identity Management) API. SCIM je otevřený standard pro automatizaci výměny informací o totožnosti uživatele mezi doménami identity nebo IT systémy. SCIM je navržen tak, aby usnadňoval správu identit uživatelů v cloudových aplikacích a službách. SCIM používá standardizované API přes REST.


 

Azure AD nesynchronizuje hodnoty NULL. Pokud nastavíte hodnotu atributu na NULL, nebude ve Webexu smazána ani opravena s hodnotou NULL. Pokud se toto omezení týká vašich uživatelů, požádejte o podporu společnost Microsoft.


 

Vícehodnotové atributy, PhoneNumber pro mobile a work, jakož i Address, nejsou podporovány společností Okta, protože operace pro PATCH, PUT nebo DELETE není předána aplikací Okta společnosti Webex.

Odstraňte tyto atributy z mapování Okta nebo odstraňte aktualizaci z konfigurace synchronizace.

Před konfigurací Webex Control Hubu pro automatické poskytování uživateli pomocí Azure AD musíte přidat Cisco Webex z galerie aplikací Azure AD do seznamu spravovaných aplikací.


 

Pokud jste již integrovali Webex Control Hub s Azure pro jednorázové přihlášení (SSO), Cisco Webex je již přidán do podnikových aplikací a tento postup můžete přeskočit.

1

Přihlaste se do portálu Azure na adrese https://portal.azure.com pomocí svých přihlašovacích údajů správce.

2

Přejděte do Azure Active Directory pro vaši organizaci.

3

Přejděte do nabídky Podnikové aplikace a klikněte na tlačítko Přidat.

4

Klikněte na tlačítko Přidat aplikaci z galerie.

5

Do vyhledávacího pole napište Cisco Webex.

6

Na podokně výsledků vyberte Cisco Webex a klepněte na tlačítko Přidat pro přidání aplikace.

Zobrazí se zpráva, že aplikace byla úspěšně přidána.

7

Chcete-li se ujistit, že se aplikace Webex, kterou jste přidali pro synchronizaci, nezobrazuje na uživatelském portálu, otevřete novou aplikaci, přejděte do části Vlastnosti a nastavte Viditelné pro uživatele? na Ne.

Tento postup umožňuje vybrat uživatele, které chcete synchronizovat s cloudem Webex.

Azure AD používá koncept s názvem "přiřazení" k určení, kteří uživatelé by měli získat přístup k vybraným aplikacím. V souvislosti s automatickým zřizováním uživatelů se do Control Hubu synchronizují jenom uživatelé nebo skupiny uživatelů, kteří jsou "přiřazeni" k aplikaci v Azure AD.


 

Webex může synchronizovat uživatele ve skupině Azure AD, ale nesynchronizuje samotný objekt skupiny.

Pokud konfigurujete integraci poprvé, doporučujeme vám přiřadit k testování jednoho uživatele a po úspěšném testu přidat další uživatele a skupiny.

1

Otevřete aplikaci Cisco Webex na webu Azure Portal a přejděte na Uživatelé a skupiny.

2

Klikněte na Přidat přiřazení.

3

Najděte uživatele/skupiny, které chcete do aplikace přidat:

  • Najděte jednotlivé uživatele, které chcete přiřadit k aplikaci.
  • Najděte skupinu uživatelů, které chcete přiřadit k aplikaci.
4

Klikněte na Vybrat a potom klikněte na Přiřadit .

Opakujte tyto kroky, dokud nebudete mít všechny skupiny a uživatele, které chcete synchronizovat s Webexem.

Pomocí tohoto postupu nastavte poskytování ze služby Azure AD a získejte pro svou organizaci token na doručitele. Kroky pokrývají nezbytná a doporučená administrativní nastavení.

Než začnete

Získejte identifikační číslo organizace ze zákaznického zobrazení v ovládacím centru: klikněte na název organizace vlevo dole a pak zkopírujte hodnotu z ID organizace do textového souboru. Tuto hodnotu budete potřebovat při zadávání adresy URL nájemce. Tuto hodnotu použijeme jako příklad: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Přihlaste se k portálu Azure a poté přejděte do nabídky Azure Active Directory > Enterprise applications > All applications.

2

Vyberte Cisco Webex ze seznamu podnikových aplikací.

3

Přejděte na Provisioning (Poskytování) a poté změňte režim Provisioning (Poskytování) na Automaticky.

Aplikace Webex je vytvořena s některými výchozími mapováními mezi uživatelskými atributy Azure AD a uživatelskými atributy Webex. Tyto atributy jsou dostatečné pro vytvoření uživatelů, ale můžete přidat další, jak je popsáno níže v tomto článku.

4

Zadejte adresu URL nájemce.

Následující tabulka zobrazuje adresu URL vaší nabídky Webex. Nahradit OrgId s vaší specifickou hodnotou.

Tabulka 1. Adresy URL nájemce pro Webex
Nabídka WebexAdresa URL nájemce k použití
Webex (výchozí) https://api.ciscospark.com/v1/scim/OrgId
Webex pro státní správy https://api-usgov.webex.com/v1/scim/OrgId

Adresa URL nájemce může vypadat například takto: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Pro získání hodnoty tokenu nosiče tajného tokenu postupujte následovně:

  1. Zkopírujte následující adresu URL a spusťte ji na kartě prohlížeče inkognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    Výše uvedená adresa URL se vztahuje na výchozího brokera Webex ID. Pokud používáte Webex pro státní správu, použijte následující adresu URL pro získání tokenu na doručitele:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Prohlížeč inkognito je důležitý k tomu, abyste se přihlásili se správnými přihlašovacími údaji. Pokud jste již přihlášeni jako méně privilegovaný uživatel, nemusí být vrácený token na doručitele oprávněn vytvářet uživatele.

  2. Na zobrazené přihlašovací stránce Webex se přihlas úplným správcovským účtem své organizace.

    Zobrazí se chybová stránka, která říká, že web nelze otevřít, ale je to normální.

    Vygenerovaný token nosiče je obsažen v adrese URL chybové stránky. Tento token je platný 365 dní (po uplynutí platnosti).

  3. Z adresy URL v adresním řádku prohlížeče zkopírujte hodnotu tokenu nosiče z mezipaměti access_token= a &token_type=Bearer.

    Tato adresa URL má například zvýrazněnou hodnotu tokenu: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Doporučujeme vložit tuto hodnotu do textového souboru a uložit ji, abyste měli záznam o tokenu v případě, že adresa URL již není k dispozici.

6

Vraťte se na portál Azure a vložte hodnotu tokenu do tajného tokenu.

7

Klikněte na tlačítko Test Connection a ujistěte se, že organizace a token jsou rozpoznány společností Azure AD.

Úspěšný výsledek uvádí, že pověření jsou oprávněna povolit poskytování uživatelských služeb.

8

Zadejte e-mail s oznámením a zaškrtněte políčko pro zaslání e-mailu, pokud se vyskytnou chyby v poskytování.

9

Klikněte na položku Uložit.

V tomto okamžiku jste úspěšně oprávnili Azure AD k poskytování a synchronizaci uživatelů Webex a dokončili jste kroky k nastavení synchronizace.

Co dělat dál

Chcete-li namapovat další uživatelské atributy Azure AD k atributům Webex, pokračujte do další části.

Informace o provádění změn v synchronizované organizaci naleznete v článku Nápověda pro správu synchronizovaných uživatelů Azure Active Directory.

Podle tohoto postupu můžete mapovat další uživatelské atributy z Azure na Webex nebo změnit stávající mapování uživatelských atributů.


 

Mapování Azure na Webex nesynchronizuje každý detail uživatele. Některé aspekty uživatelských dat nejsou synchronizovány:

  • Avatary

  • Místnosti

  • Atributy neuvedené v tabulce níže

Doporučujeme, abyste výchozí mapování atributů neměnili, pokud to není nezbytně nutné. Zvláště důležitá je hodnota, kterou mapujete jako uživatelské jméno. Webex používá e-mailovou adresu uživatele jako své uživatelské jméno. Ve výchozím nastavení mapujeme userPrincipalName (UPN) v Azure AD na e-mailovou adresu (uživatelské jméno) v Control Hubu.

Pokud uživatelPrincipalName nenamapuje na e-mail v Control Hubu, uživatelé jsou zřízeni do Control Hub jako noví uživatelé místo odpovídající stávajícím uživatelům. Pokud chcete použít jiný atribut uživatele Azure, který je ve formátu e-mailové adresy místo UPN, musíte toto výchozí mapování v Azure AD změnit z userPrincipalName na příslušný atribut uživatele Azure AD.

Než začnete

Přidali jste a nakonfigurovali jste aplikaci Cisco Webex do svého Azure Active Directory a otestovali připojení.

Mapování atributů uživatele můžete upravit před nebo po zahájení synchronizace uživatelů.

1

Přihlaste se k Azure Portal a přejděte na Azure Active Directory > enterprise aplikace > všechny aplikace .

2

Otevřete aplikaci Cisco Webex.

3

Vyberte stránku zřizování, rozbalte oddíl Mapování a klikněte na Zřídit uživatele Azure Active Directory .

4

Zaškrtněte políčko Zobrazit pokročilé možnosti a klikněte na Upravit seznam atributů pro CiscoWebEx.

5

Vyberte atributy Webex, které se mají naplnit z uživatelských atributů Azure. Atributy a mapování jsou zobrazeny později v tomto postupu.

6

Po výběru atributů Webex klikněte na Uložita potvrďte ano.

Otevře se stránka Mapování atributů, takže můžete mapovat atributy uživatelů Azure AD na atributy uživatele Webexu, které jste vybrali.

7

V dolní části stránky klikněte na Přidat nové mapování.

8

Zvolte Přímé mapování. Vyberte atribut Source (atribut Azure) a atribut Target (atribut Webex) a klikněte na OK.

Tabulka 2. Azure to Webex Mappings

Azure Active Directory Attribute (zdroj)

Atribut uživatele Webex (cíl)

Atributy vyplněné ve výchozím nastavení

userPrincipalName

Uživatelské jméno

Switch([IsSoftd], , "False", "True", "True", "False")

aktivní

zobrazovanéJméno

zobrazovanéJméno

příjmení

name.familyName

givenName

name.givenName

objectId

externalId

Další dostupné atributy

jobTitle

název

usageLocation

adresy[typ eq "work"].country

město

adresy[typ eq "work"].lokalita

streetAddress

adresy[typ eq "work"].streetAddress

stát

adresy[typ eq "work"].region

PSČ

adresy[typ eq "work"].postalCode

telefonPočet

phoneNumbers[type eq "work"].value

mobil

phoneNumbers[typ eq "mobile"].value

facsimileTelephonePočet

phoneNumbers[type eq "fax"].value

9

Opakujte předchozí dva kroky, dokud nepřidáte nebo nezměníte všechna mapování, která potřebujete, a kliknutím na Uložit a Ano potvrďte nová mapování.


 

Pokud chcete začít znovu, můžete obnovit výchozí mapování.

Vaše mapování je dokončeno a uživatelé Webex budou vytvořeni nebo aktualizováni při další synchronizaci.