Jednotné přihlášení (SSO) umožňuje uživatelům bezpečně se přihlásit do Webexu ověřováním u společného poskytovatele identity vaší organizace. Poskytovatel identity (IdP) bezpečně ukládá a spravuje digitální identity vašich uživatelů a poskytuje službu ověřování uživatelů pro vaše Webexy.

Proč byste mohli potřebovat více IdP

Mnoho velkých společností prochází fúzemi a akvizicemi a tyto společnosti jen zřídka mívají stejnou IT infrastrukturu a poskytovatele identity. Vládní instituce mají pod sebou různé organizace a agentury. Tyto organizace mají často jednu e-mailovou adresu pro svá vlastní IT oddělení a infrastrukturu. Velké vzdělávací instituce mají centrální nákupní oddělení, ale různé univerzity a vysoké školy mají různé IT organizace a oddělení.

Je běžné, že se IdP a poskytovatelé služeb (SP) vzájemně propojují. IdP je zodpovědný za ověřování přihlašovacích údajů vašich uživatelů a SP důvěřuje ověřování provedenému IdP. To umožňuje vašim uživatelům přístup k různým SaaS aplikacím a službám pomocí stejné digitální identity. Pokud ale z nějakého důvodu vaše organizace nemůže federovat mezi poskytovateli identity (IdP), Webex nabízí řešení pro podporu více IdP. Z těchto důvodů vám nabízíme možnost nakonfigurovat jednotné přihlašování (SSO) pro více poskytovatelů identity (IdP) ve Webexu a zjednodušit proces ověřování vašich uživatelů.

Omezení

  • V současné době podporujeme jako poskytovatele identity pouze SAML, OpenID Connect a Webex Identity.

Mimo rozsah

  • Nakonfigurujte skupinové přiřazení.
  • Ověření domény. Další informace naleznete v části Správa domén.

Tato část popisuje, jak můžete integrovat poskytovatele identity (IdP) s vaší organizací Webex. Můžete si vybrat IdP, kteří nejlépe odpovídají požadavkům vaší organizace.

Pokud hledáte integraci SSO pro web Webex Meetings (spravovaný v sekci Správa webu), podívejte se na Konfigurace jednotného přihlašování pro Webex Administration.

Požadavky

Než začnete

Ujistěte se, že jsou splněny následující podmínky:

    • V Control Hubu musíte mít roli plného správce.
    • Před nastavením více poskytovatelů identity (IdP) byste si měli naplánovat chování pravidel směrování.

    Výchozí pravidlo směrování se použije po konfiguraci počátečního poskytovatele identity. Můžete si ale nastavit jiného poskytovatele identity jako výchozího. Viz Přidání nebo úprava pravidla směrování na kartě Pravidla směrování v tomto článku.

Konfigurace SAML
1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity a klikněte na Aktivovat jednotné přihlašování.

4

Vyberte SAML jako svého poskytovatele identity a klikněte na Další.

5

Vyberte typ certifikátu:

  • S vlastním podpisem od Cisco– Tuto možnost doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou— Bezpečnější, ale budete muset často aktualizovat metadata (pokud váš dodavatel IdP nepodporuje důvěryhodné kotvy).

Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.

6

Klikněte na možnost Stáhnout metadata a poté na možnost Další.

Název souboru metadat aplikace Webex je idb-meta-<org-ID>-SP.xml.

7

Nahrajte soubor s metadaty poskytovatelů identity nebo vyplňte konfigurační formulář.

Při nahrávání souboru s metadaty existují dva způsoby, jak ověřit metadata z ID zákazníka:

  • Poskytovatel identity zákazníka uvede podpis v metadatech s podpisem veřejné kořenové certifikační autority.
  • Poskytovatel identity zákazníka uvede soukromou certifikační autoritu s vlastním podpisem nebo neuvede podpis pro svá metadata. Tato možnost je méně bezpečná.
Jinak zadejte informace o IdP do konfiguračního formuláře.

Klepněte na tlačítko Další.

8

(Volitelné) Název atributu SAML pro Uživatelské jméno Webexu nebo Primární e-mailová adresa můžete změnit z uid na něco, na čem se dohodnete se správcem IdP, například email, upnatd.

9

(Volitelné) Nakonfigurujte nastavení Just In Time (JIT) a odpověď mapování SAML.

Viz Konfigurace mapování Just In Time (JIT) a SAML na kartě Správa IdP v tomto článku.
10

Klikněte na Test nastavení SSOa po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Než ho povolíte, otestujte připojení jednotného přihlašování. Tento krok funguje jako běh nasucho a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li si prohlédnout přihlašovací proces SSO, doporučujeme kliknout na této obrazovce na Kopírovat URL do schránky a vložit ji do anonymního okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

11

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Aktivujte SSO a IdP a klikněte na Aktivovat.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vraťte se k předchozím krokům a opravte chyby.

Konfigurace SSO se ve vaší organizaci neprojeví, dokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Můžete nastavit pravidlo směrování. Viz Přidání nebo úprava pravidla směrování na kartě Pravidla směrování v tomto článku.

Chcete-li zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci, postupujte podle postupu v části Potlačení automatických e-mailů. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Konfigurace OpenID Connect
1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity a klikněte na Aktivovat jednotné přihlašování.

4

Vyberte OpenID Connect jako svého poskytovatele identity a klikněte na Další.

5

Zadejte informace o svém poskytovateli identity.

  • Jméno– Jméno pro identifikaci vašeho poskytovatele identity.
  • ID klienta— Jedinečné ID pro vaši identifikaci a identifikaci vašeho poskytovatele identity.
  • Tajný klíč klienta— Heslo, které znáte vy a váš poskytovatel identity.
  • Rozsahy– Rozsahy, které mají být přidruženy k vašemu poskytovateli identity.

6

Vyberte, jak chcete přidat koncové body. To lze provést automaticky nebo ručně.

  • Pro automatické přidání koncových bodů použijte adresu URL pro zjišťování.

    • Zadejte URL pro zjišťování pro svého poskytovatele identity. Tato adresa URL automaticky naplní potřebné koncové body pro jednotné odhlášení (SLO) OIDC.
    • Zapněte Povolit automatické odhlášení relace, abyste zajistili, že se uživatelé po odhlášení z Webexu odhlásí ze všech připojených aplikací a služeb.

  • Pokud dáváte přednost ručnímu přidání všech informací o koncových bodech, přidejte následující podrobnosti.

    • Vydavatel– Zadejte URL adresu vydavatele, jak ji určil váš poskytovatel identity.
    • Autorizační koncový bod– Zadejte URL adresu autorizačního koncového bodu.
    • Koncový bod tokenu– Zadejte URL adresu koncového bodu tokenu.
    • Koncový bod JWKS– Zadejte URL sady webových klíčů JSON (JWKS).
    • Koncový bod s uživatelskými informacemi– Zadejte adresu URL koncového bodu s uživatelskými informacemi.
    • Pokud je zapnuta možnost Povolit automatické odhlášení relace, musíte zadat URL adresu Koncový bod odhlášení relace , abyste povolili jednorázové odhlášení (SLO) ve všech připojených aplikacích.
    Více informací naleznete v konfigurační příručce OpenID Connect.

7

(Volitelné) Nakonfigurujte nastavení Just In Time (JIT).

Viz Konfigurace mapování Just In Time (JIT) a SAML na kartě Správa IdP v tomto článku.
8

Klikněte na Test nastavení SSOa po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Než ho povolíte, otestujte připojení jednotného přihlašování. Tento krok funguje jako běh nasucho a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li si prohlédnout přihlašovací proces SSO, doporučujeme kliknout na této obrazovce na Kopírovat URL do schránky a vložit ji do anonymního okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

9

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Aktivujte SSO a IdP a klikněte na Aktivovat.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vraťte se k předchozím krokům a opravte chyby.

Konfigurace SSO se ve vaší organizaci neprojeví, dokud nevyberete první přepínač a neaktivujete SSO.

Co dělat dál

Můžete nastavit pravidlo směrování. Viz Přidání nebo úprava pravidla směrování na kartě Pravidla směrování v tomto článku.

Chcete-li zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci, postupujte podle postupu v části Potlačení automatických e-mailů. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Konfigurace identity Webex
1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity a klikněte na Aktivovat jednotné přihlašování.

4

Vyberte Webex jako svého poskytovatele identity a klikněte na Další.

5

Zaškrtněte políčko Přečetl(a) jsem si a rozumím tomu, jak funguje Webex IdP a klikněte na tlačítko Další.

6

Nastavte pravidlo směrování.

Viz Přidání nebo úprava pravidla směrování na kartě Pravidla směrování v tomto článku.

Jakmile přidáte směrovací pravidlo, váš IdP se přidá a zobrazí se na kartě Poskytovatel identity.

Co dělat dál

Chcete-li zakázat e-maily odesílané novým uživatelům aplikace Webex ve vaší organizaci, postupujte podle pokynů v části Potlačení automatických e-mailů. Dokument také obsahuje osvědčené postupy pro odesílání komunikace uživatelům ve vaší organizaci.

Pravidla směrování platí při nastavování více než jednoho IdP. Pravidla směrování umožňují Webexu identifikovat, na kterého poskytovatele identity (IdP) má odesílat uživatele, pokud jste nakonfigurovali více IdP.

Při nastavování více než jednoho IdP můžete definovat pravidla směrování v průvodci konfigurací SSO. Pokud krok s pravidlem směrování přeskočíte, Control Hub přidá IdP, ale neaktivuje ho. Pro aktivaci IdP musíte přidat směrovací pravidlo.

Přidání nebo úprava pravidel směrování
1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Pravidla směrování.

Při konfiguraci prvního poskytovatele identity (IdP) se pravidlo směrování automaticky přidá a nastaví se jako Výchozí pravidlo. Později si můžete vybrat jiného poskytovatele identity, který bude nastaven jako výchozí pravidlo.

4

Klikněte na Přidat nové pravidlo směrování.

5

Zadejte podrobnosti o pravidle směrování:

  • Název pravidla– Zadejte název pravidla směrování.
  • Vyberte typ směrování—Vyberte doménu nebo skupinu.
  • Pokud jsou to vaše domains/groups—Zadejte domains/groups v rámci vaší organizace.
  • Pak použijte tohoto poskytovatele identity—Vyberte IdP.

6

Vyberte metodu vícefaktorového ověřování (MFA):

  • Zachovat aktuální stav MFA– Umožňuje zachovat stávající metodu MFA bez provedení změn.
  • Přepsat aktuální stav MFA– Umožňuje změnit existující metodu MFA na novou konfiguraci.
  • Povolit MFA pouze pro toto pravidlo– Zapněte, chcete-li povolit MFA konkrétně pro aktuální pravidlo směrování.

Další informace o konfiguraci MFA pro vaši organizaci naleznete v článku Povolení integrace vícefaktorového ověřování v Control Hub.

7

Klikněte na Přidat.

8

Vyberte nové pravidlo směrování a klikněte na Aktivovat.

Pokud máte pravidla směrování pro více poskytovatelů identity, můžete změnit pořadí priorit pravidel směrování.

Deaktivace nebo odstranění pravidel směrování
1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Pravidla směrování.

4

Vyberte pravidlo směrování.

5

Vyberte, zda chcete pravidlo směrování Deaktivovat nebo Smazat.

Doporučuje se mít pro IdP další aktivní pravidlo směrování. Jinak se můžete setkat s problémy s přihlášením k SSO.

Výchozí pravidlo nelze deaktivovat ani odstranit, ale můžete upravit směrovaného IdP.

Správa certifikátů poskytovatele identity (IdP)

Než začnete

Čas od času můžete obdržet e-mailové oznámení nebo zobrazit upozornění v Ovládacím centru, že platnost certifikátu IdP vyprší. Vzhledem k tomu, že dodavatelé IdP mají vlastní konkrétní dokumentaci pro obnovení certifikátu, pokrýváme to, co je vyžadováno v Ovládacím centru, spolu s obecnými kroky k načtení aktualizovaných metadat IdP a nahrání do Control Hubu pro obnovení certifikátu.

Toto platí pouze pro konfiguraci SAML.

1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity.

4

Přejděte do IdP, klikněte na nahrát a vyberte Nahrát metadata Idp.

Chcete-li stáhnout soubor s metadaty, klikněte na Stáhnout a vyberte Stáhnout metadata Idp.
5

Přejděte do rozhraní pro správu IdP a načtěte nový soubor metadat.

6

Vraťte se do Control Hubu a přetáhněte soubor s metadaty IdP do oblasti pro nahrávání nebo klikněte na Vybrat soubor a nahrajte metadata.

7

Zvolte Méně bezpečné (s vlastním podpisem) nebo Bezpečnější (podepsáno veřejnou certifikační autoritou) v závislosti na tom, jak jsou podepsána metadata vašeho poskytovatele identity (IdP), a klikněte na Uložit.

8

Nakonfigurujte nastavení Just In Time (JIT) a odpověď mapování SAML.

Viz Konfigurace mapování Just In Time (JIT) a SAML na kartě Správa IdP v tomto článku.
9

Klikněte na Test nastavení SSOa po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Než ho povolíte, otestujte připojení jednotného přihlašování. Tento krok funguje jako běh nasucho a nemá vliv na nastavení vaší organizace, dokud v dalším kroku nepovolíte jednotné přihlašování.

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li si prohlédnout přihlašovací proces SSO, doporučujeme kliknout na této obrazovce na Kopírovat URL do schránky a vložit ji do anonymního okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

10

Klikněte na možnost Uložit.

Správa certifikátů poskytovatele služeb (SP)

Než začnete

Při obnovování certifikátu SP se doporučuje aktualizovat všechny IdP ve vaší organizaci.

Toto platí pouze pro konfiguraci SAML.

1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity.

4

Přejděte do stránky IdP a klikněte na .

5

Klikněte na Zkontrolovat certifikáty a datum platnosti.

Tím se dostanete do okna Certifikáty poskytovatele služeb (SP).
6

Klikněte na Obnovit certifikát.

7

Vyberte typ poskytovatele identity ve vaší organizaci:

  • IdP, který podporuje více certifikátů
  • IdP, který podporuje jeden certifikát
8

Vyberte typ certifikátu pro obnovení:

  • S vlastním podpisem od Cisco– Tuto možnost doporučujeme. Nechte nás certifikát podepsat, takže jej stačí obnovit pouze jednou za pět let.
  • Podepsáno veřejnou certifikační autoritou— Bezpečnější, ale budete muset často aktualizovat metadata (pokud váš dodavatel IdP nepodporuje důvěryhodné kotvy).

Ukotvení důvěryhodnosti jsou veřejné klíče, které fungují jako oprávnění k ověření certifikátu digitálního podpisu. Další informace najdete v dokumentaci k zprostředkovateli identity.

9

Kliknutím na Stáhnout metadata nebo Stáhnout certifikát si stáhnete kopii aktualizovaného souboru metadat nebo certifikátu z cloudu Webex.

10

Přejděte do rozhraní pro správu IdP a nahrajte nový soubor s metadaty nebo certifikát Webex.

Tento krok může být proveden prostřednictvím karty prohlížeče, protokolu RDP (Vzdálené plochy) nebo prostřednictvím konkrétní podpory poskytovatele cloudu v závislosti na nastavení IdP a na tom, zda jste za tento krok zodpovědní vy nebo samostatný správce IdP.

Další informace naleznete v našich průvodcích integrací SSO nebo se obraťte na svého administrátora IdP, který vám poskytne podporu. Pokud používáte službu Active Directory Federation Services (AD FS), můžete zjistit, jak aktualizovat metadata Webexu v AD FS

11

Vraťte se do rozhraní Control Hub a klikněte na Další.

12

Vyberte Všichni poskytovatelé identity byli úspěšně aktualizováni a klikněte na Další.

Tím se nahraje soubor metadat nebo certifikát SP všem poskytovatelům identity ve vaší organizaci.

13

Klikněte na Dokončit obnovení.

Vyzkoušet nastavení SSO

Než začnete

1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity.

4

Přejděte do stránky IdP a klikněte na Nabídka Další.

5

Vyberte Test IdP.

6

Klikněte na Test nastavení SSOa po otevření nové karty prohlížeče se přihlaste k poskytovateli identity.

Pokud se zobrazí chyba ověřování, může být problém s přihlašovacími údaji. Zkontrolujte uživatelské jméno a heslo a zkuste to znovu.

Chyba aplikace Webex obvykle znamená problém s nastavením jednotného přihlašování. V takovém případě znovu projděte kroky, zejména kroky, ve kterých zkopírujete a vložíte metadata Centra řízení do nastavení poskytovatele identity.

Chcete-li si prohlédnout přihlašovací proces SSO, doporučujeme kliknout na této obrazovce na Kopírovat URL do schránky a vložit ji do anonymního okna prohlížeče. Tam můžete projít přihlášením pomocí SSO. To pomáhá odstranit všechny informace uložené v mezipaměti ve vašem webovém prohlížeči, které by mohly při testování konfigurace SSO poskytnout falešně pozitivní výsledek.

7

Vraťte se na kartu prohlížeče Centra řízení.

  • Pokud byl test úspěšný, vyberte možnost Úspěšný test. Aktivujte SSO a IdP a klikněte na Uložit.
  • Pokud byl test neúspěšný, vyberte neúspěšný test. Vraťte se k předchozím krokům a opravte chyby.

Konfigurace jednotného přihlašování se ve vaší organizaci neprojeví, pokud nezvolíte první přepínač a neaktivujete jednotné přihlašování.

Konfigurace mapování Just In Time (JIT) a SAML

Než začnete

Ujistěte se, že jsou splněny následující předpoklady:

  • Jednotné přihlašování je už nakonfigurované.

  • Domény již byly ověřeny.

  • Domény jsou nárokovány a aktivovány. Tato funkce zajišťuje, že uživatelé z vaší domény jsou vytvářeni a aktualizováni pokaždé, když se ověří u vašeho poskytovatele identity.

  • Pokud je povolen DirSync nebo Azure AD, nebude vytváření nebo aktualizace SAML JIT fungovat.

  • Je povolena možnost "Blokovat aktualizaci profilu uživatele". Mapování aktualizací SAML je povoleno, protože tato konfigurace řídí schopnost uživatele upravovat atributy. Metody vytváření a aktualizace řízené správcem jsou stále podporovány.

Při nastavování SAML JIT s Azure AD nebo poskytovatelem identity, kde e-mail není trvalým identifikátorem, doporučujeme použít atribut propojení externalId k mapování na jedinečný identifikátor. Pokud zjistíme, že e-mail neodpovídá atributu propojení, bude uživatel vyzván k ověření identity nebo k vytvoření nového uživatele se správnou e-mailovou adresou.

Nově vytvoření uživatelé automaticky nezískají přiřazené licence, pokud organizace nemá nastavenou šablonu automatické licence.

1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity.

4

Přejděte do stránky IdP a klikněte na Nabídka Další.

5

Vyberte Upravit mapování SAML.

6

Konfigurace nastavení Just-in-Time (JIT).

  • Vytvořit nebo aktivovat uživatele: Pokud není nalezen žádný aktivní uživatel, Webex Identity uživatele vytvoří a aktualizuje atributy po jeho ověření u poskytovatele identity.
  • Aktualizujte uživatele pomocí atributů SAML: Pokud je nalezen uživatel s e-mailovou adresou, webex identity aktualizuje uživatele atributy mapovanými v kontrolním výrazu SAML.
Ověřte, zda se uživatelé mohou přihlásit pomocí jiné, neidentifikovatelné e-mailové adresy.

7

Konfigurace požadovaných atributů mapování SAML.

Tabulka 1. Požadované atributy

Název atributu identity Webex

Název atributu SAML

Popis atributu

Uživatelské jméno / Primární e-mailová adresa

Příklad: uid

Namapujte atribut UID na e-mail, upn nebo edupersonprincipalname zřízeného uživatele.

8

Nakonfigurujte atributy propojení.

Toto by mělo být pro uživatele jedinečné. Používá se k vyhledání uživatele, aby Webex mohl aktualizovat všechny atributy profilu, včetně e-mailu uživatele.
Tabulka 2. Propojení atributů

Název atributu identity Webex

Název atributu SAML

Popis atributu

externalId

Příklad: user.objectid

K identifikaci tohoto uživatele z jiných individuálních profilů. To je nezbytné při mapování mezi adresáři nebo změně atributů jiných profilu.

počet zaměstnanců

Příklad: user.employeeid

Zaměstnanecké číslo uživatele nebo identifikační číslo v jeho HR systému. Upozorňujeme, že toto není pro externalid, protože employeenumber můžete znovu použít nebo recyklovat pro jiné uživatele.

Atribut rozšíření 1

Příklad: user.extensionattribute1

Namapujte tyto vlastní atributy na rozšířené atributy v Active Directory, Azure nebo ve vašem adresáři pro účely sledování.

Atribut rozšíření 2

Příklad: user.extensionattribute2

Atribut rozšíření 3

Příklad: user.extensionattribute3

Atribut rozšíření 4

Příklad: user.extensionlattribute4

Atribut rozšíření 5

Příklad: user.extensionattribute5

9

Konfigurace atributů profilu.

Tabulka 3. Atributy profilu

Název atributu identity Webex

Název atributu SAML

Popis atributu

externalId

Příklad: user.objectid

K identifikaci tohoto uživatele z jiných individuálních profilů. To je nezbytné při mapování mezi adresáři nebo změně atributů jiných profilu.

počet zaměstnanců

Příklad: user.employeeid

Číslo zaměstnance tohoto uživatele nebo identifikační číslo v rámci jeho HR systému. Všimněte si, že to není pro "externalid", protože můžete znovu použít nebo recyklovat "číslo zaměstnance" pro ostatní uživatele.

preferovanýjazyk

Příklad: user.preferredjazyk

Upřednostňovaný jazyk uživatele.

dějiště

Příklad: uživatel.locale

Primární místo výkonu práce uživatele.

časové pásmo

Příklad: user.timezone

Primární časové pásmo uživatele.

zobrazovanéJméno

Příklad: user.displayname

Zobrazované jméno uživatele ve službě Webex.

name.givenName

Příklad: user.givenname

Křestní jméno uživatele.

name.familyName

Příklad: user.příjmení

Příjmení uživatele.

addresses.streetAddress

Příklad: user.streetaddress

Adresa ulice jejich primárního pracoviště.

adresy.stav

Příklad: uživatel.stav

Stav jejich primárního pracovního místa.

adresy.oblast

Příklad: uživatel.region

Oblast jejich primárního pracoviště.

addresses.postalCode

Příklad: user.psč

PSČ jejich primárního pracoviště.

adresy.země

Příklad: uživatel.země

Země jejich primárního pracoviště.

phoneNumbers.work

Příklad: telefonní číslo do práce

Pracovní telefonní číslo jejich primárního pracoviště. Používejte pouze mezinárodní formát E.164 (maximálně 15 číslic).

phoneNumbers.extension

Příklad: číslo mobilního telefonu

Pracovní linka jejich primárního pracoviště. Používejte pouze mezinárodní formát E.164 (maximálně 15 číslic).

zájmeno

Příklad: user.zájmeno

Zájmena uživatele. Jedná se o volitelný atribut a uživatel nebo správce jej může zobrazit ve svém profilu.

název

Příklad: user.jobtitle

Název pracovní pozice uživatele.

oddělení

Příklad: user.department

Pracovní oddělení nebo tým uživatele.

zájmeno

Příklad: user.zájmeno

Toto je zájmeno uživatele. Viditelnost tohoto atributu je řízena správcem a uživatelem

správce

Příklad: správce

Manažer uživatele nebo jeho vedoucí týmu.

costcentrum

Příklad: nákladové středisko

Toto je příjmení uživatele známé také jako příjmení nebo příjmení

email.alternate1

Příklad: user.mailnickname

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate2

Příklad: user.primaryauthoritativemail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate3

Příklad: user.alternativeauthoritativemail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate4

Příklad: uživatel.othermail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.

email.alternate5

Příklad: uživatel.othermail

Alternativní e-mailová adresa uživatele. Pokud chcete, aby se uživatel mohl přihlásit pomocí něj, namapujte ho na UID.
10

Konfigurace atributů rozšíření.

Namapujte tyto atributy na rozšířené atributy ve službě Active Directory, Azure nebo ve vašem adresáři pro měřicí kódy.
Tabulka 4. Atributy rozšíření

Název atributu identity Webex

Název atributu SAML

Atribut rozšíření 1

Příklad: user.extensionattribute1

Atribut rozšíření 2

Příklad: user.extensionattribute2

Atribut rozšíření 3

Příklad: user.extensionattribute3

Atribut rozšíření 4

Příklad: user.extensionattribute4

Atribut rozšíření 5

Příklad: user.extensionattribute5

Atribut rozšíření 6

Příklad: user.extensionattribute6

Atribut rozšíření 7

Příklad: user.extensionattribute7

Atribut rozšíření 8

Příklad: user.extensionattribute8

Atribut rozšíření 9

Příklad: user.extensionattribute9

Atribut rozšíření 10

Příklad: user.extensionattribute10

11

Konfigurace atributů skupiny.

  1. Vytvořte skupinu v Control Hubu a poznamenejte si ID skupiny Webex.
  2. Přejděte do adresáře uživatelů nebo poskytovatele identity a nastavte atribut pro uživatele, kteří budou přiřazeni k ID skupiny Webex.
  3. Aktualizujte konfiguraci svého poskytovatele identity (IdP) tak, aby zahrnovala deklaraci identity s tímto názvem atributu spolu s ID skupiny Webex (např. c65f7d85-b691-42b8-a20b-12345xxxx). Externí ID můžete také použít pro správu změn názvů skupin nebo pro budoucí scénáře integrace. Například synchronizace s Azure AD nebo implementace synchronizace skupin SCIM.
  4. Zadejte přesný název atributu, který bude odeslán v deklaraci SAML s ID skupiny. Toto se používá k přidání uživatele do skupiny.
  5. Pokud k odesílání členů v deklaraci SAML používáte skupinu z adresáře, zadejte přesný název externího ID objektu skupiny.

Pokud je uživatel A přiřazen k groupID 1234 a uživatel B k groupID 4567, jsou přiřazeni do samostatných skupin. Tento scénář naznačuje, že jeden atribut umožňuje uživatelům přidružit se k více ID skupin. I když je to neobvyklé, je to možné a lze to považovat za aditivní změnu. Například pokud se uživatel A zpočátku přihlásí pomocí groupID 1234, stane se členem odpovídající skupiny. Pokud se uživatel A později přihlásí pomocí groupID 4567, bude také přidán do této druhé skupiny.

Zřizování SAML JIT nepodporuje odebírání uživatelů ze skupin ani žádné mazání uživatelů.

Tabulka 5. Atributy skupiny

Název atributu identity Webex

Název atributu SAML

Popis atributu

ID skupiny

Příklad: ID skupiny

Mapování atributů skupiny od poskytovatele IdP na atributy skupiny identit Webex za účelem namapování daného uživatele na skupinu pro licencování nebo službu nastavení.

externíId skupiny

Příklad: externíId skupiny

Mapování atributů skupiny od poskytovatele IdP na atributy skupiny identit Webex za účelem namapování daného uživatele na skupinu pro licencování nebo službu nastavení.

Seznam atributů kontrolního výrazu SAML pro schůzky Webex naleznete v tématu https://help.webex.com/article/WBX67566.

Smazání poskytovatele identity (IdP)

Než začnete

Doporučuje se nejprve deaktivovat nebo odstranit směrovací pravidla IdP před jeho odstraněním.

1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity.

4

Přejděte do stránky IdP a klikněte na Nabídka Další.

5

Vyberte Odstranit.

1

Přihlaste se k Centru řízení.

2

Přejít na Management > Zabezpečení > Ověřování.

3

Přejděte na kartu Poskytovatel identity.

4

Klikněte na Deaktivovat jednotné přihlašování.

Potvrďte deaktivaci SSO.

Po potvrzení je SSO deaktivováno pro všechny poskytovatele identity ve vaší organizaci.

Před vypršením platnosti certifikátů obdržíte v Ovládacím centru výstrahy, ale můžete také proaktivně nastavit pravidla upozornění. Tato pravidla vás předem inzují, že platnost certifikátů SP nebo IdP vyprší. Můžeme vám je poslat e-mailem, mezerou v aplikaci Webexnebo obojím.

Bez ohledu na nakonfigurovaný kanál doručení se všechny výstrahy vždy zobrazí v Ovládacím centru. Další informace najdete v centru upozornění v Centru ovládacích prvku.

1

Přihlaste se k Centru řízení.

2

Přejděte do centra upozornění.

3

Zvolte Spravovat a pak Všechna pravidla .

4

V seznamu Pravidel vyberte některá z pravidel SSO, která chcete vytvořit:

  • Platnost certifikátu IDP SSO
  • Vypršení platnosti certifikátu SP SSO
5

V části Kanál doručení zaškrtněte políčko e-mail, prostor Webex neboobojí.

Pokud zvolíte E-mail, zadejte e-mailovou adresu, která by měla oznámení obdržet.

Pokud zvolíte možnost prostoru Webex, automaticky se přidáte do prostoru uvnitř aplikace Webex a my tam doručíme oznámení.

6

Uložte si změny.

Co dělat dál

Upozornění na vypršení platnosti certifikátu zasíláme jednou za 15 dní, počínaje 60 dny před vypršením platnosti. (Upozornění můžete očekávat v den 60, 45, 30 a 15.) Upozornění se zastaví po obnovení certifikátu.

Pokud narazíte na problémy s přihlášením k jednotnému přihlašování (SSO), můžete použít možnost automatického obnovení SSO k získání přístupu ke své organizaci Webex spravované v Control Hubu. Možnost automatické obnovy umožňuje aktualizovat nebo zakázat jednotné přihlašování v Control Hubu.