Systém pro správu identit mezi doménami (SCIM)

Integrace mezi uživateli v adresáři a Webex Control Hub používá rozhraní API PRO správu identit mezidoménami (SCIM). SCIM je otevřený standard pro automatizaci výměny informací o identitě uživatelů mezi doménami identit nebo IT systémy. SCIM je navržen tak, aby usnadnil správu identit uživatelů v cloudových aplikacích a službách. SCIM používá standardizované rozhraní API prostřednictvím REST.

Když změníte atributy uživatele v Azure AD (například zobrazované jméno), změny se v aplikaci Webex zobrazí až 72 hodin. (Změny se zobrazí v Centru ovládacích center, jakmile aktualizujete uživatelské zobrazení.)

Uživatelé se mohou pokusit vymazat místní mezipaměť aplikace Webex a vynutit synchronizaci:

Před konfigurací Centra řízení Webexu pro automatické zřizování uživatelů pomocí Azure AD musíte přidat Cisco Webex z galerie aplikací Azure AD do seznamu spravovaných aplikací.


Pokud jste už webex control hub integrovali s Azure for single sign-on (SSO), Cisco Webex se už přidádo podnikových aplikací a tento postup můžete přeskočit.

1

Přihlaste se k Azure Portal na https://portal.azure.com webu pomocí přihlašovacích údajů správce.

2

Přejděte do Azure Active Directory pro vaši organizaci.

3

Přejděte do podnikových aplikací a klikněte na Přidat.

4

V galerii klepněte na tlačítko Přidat aplikaci.

5

Do vyhledávacího pole zadejte Cisco Webex.

6

V podokně výsledků vyberte Cisco Webexa kliknutím na Přidat přidejte aplikaci.

Zobrazí se zpráva, že aplikace byla úspěšně přidána.

Tento postup umožňuje zvolit uživatele pro synchronizaci s cloudem Webex.

Azure Active Directory používá koncept nazvaný "přiřazení" k určení, kteří uživatelé by měli získat přístup k vybraným aplikacím. V kontextu automatického zřizování uživatelů se do Centra řízení synchronizují jenom uživatelé nebo skupiny, které jsou "přiřazené" k aplikaci ve službě Azure AD.

Pokud konfiguraci integrace konfigurujete poprvé, doporučujeme přiřadit jednoho uživatele k testování a po úspěšném testu přidat další uživatele a skupiny.

1

Otevřete aplikaci Cisco Webex na webu Azure Portal a přejděte na Uživatelé a skupiny.

2

Klepněte na tlačítko Přidat přiřazení.

3

Najděte uživatele nebo skupiny, které chcete přidat do aplikace:

  • Najděte jednotlivé uživatele, které chcete aplikaci přiřadit.
  • Najděte skupinu uživatelů, které chcete aplikaci přiřadit.
4

Klepněte na tlačítko Vybrat a potom na tlačítko Přiřadit.

Opakujte tyto kroky, dokud nebudete mít všechny skupiny a uživatele, které chcete synchronizovat s webexem.

Tento postup použijte k nastavení zřizování z Azure AD a získání tokenu nařas pro vaši organizaci. Kroky pokrývají potřebná a doporučená nastavení správy.

Než začnete

Získejte ID organizace ze zobrazení zákazníka v Centru řízení: klikněte na název organizace vlevo dole a zkopírujte hodnotu z ID organizace do textového souboru. Tuto hodnotu budete potřebovat při zadávání adresy URL klienta. Tuto hodnotu použijeme jako příklad: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Přihlaste se k Azure Portal a pak přejděte na Azure Active Directory > Enterprise > všechny aplikace.

2

Ze seznamu podnikových aplikací vyberte cisco webex.

3

Přejděte naZřizování a pak změňte režim zřizování na Automatický .

Aplikace Webex se vytvoří s některými výchozími mapováními mezi atributy uživatelů Azure AD a atributy uživatele Webex. Tyto atributy stačí k vytvoření uživatelů, ale můžete přidat další, jak je popsáno dále v tomto článku.

4

Do tohoto formuláře zadejte adresu URL klienta:

https://api.ciscospark.com/v1/scim/{OrgId}

Nahradit {OrgId} s hodnotou ID organizace, kterou jste dostali z Control Hubu, aby adresa URL klienta vypadala takhle: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Chcete-li získat hodnotu tokenu na nositele tajného tokenu, postupujtetakto:

  1. Zkopírujte následující adresu URL a spusťte ji na anonymní kartě prohlížeče: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Anonymní prohlížeč je důležitý, abyste se přihlásili pomocí správných přihlašovacích údajů správce. Pokud jste již přihlášeni jako uživatel s nižšími oprávněními, nemusí být token nařaného, který vrátíte, oprávněn vytvářet uživatele.

  2. Na zobrazené přihlašovací stránce Webex se přihlaste pomocí úplného účtu správce pro vaši organizaci.

    Zobrazí se chybová stránka s tím, že web nelze zastihnout, ale to je normální.

    Generovaný token nařasa je zahrnut v adrese URL chybové stránky. Tento token je platný po dobu 365 dnů (po jehož vypršení vyprší).

  3. Z adresy URL v adresním řádku prohlížeče zkopírujte hodnotu tokenu na nositele z mezi access_token= a &token_type=Bearer.

    Například tato adresa URL má zvýrazněnou hodnotu tokenu: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-a-random-string-for-security-purpose


     

    Doporučujeme vložit tuto hodnotu do textového souboru a uložit ji, abyste měli záznam tokenu v případě, že adresa URL již není k dispozici.

6

Vraťte se na Azure Portal a vkládáte hodnotu tokenu do tajného tokenu.

7

Kliknutím na Testovat připojení se ujistěte, že Azure AD rozpozná organizaci a token.

Úspěšný výsledek uvádí, že pověření jsou oprávněna povolit zřizování uživatelů.

8

Zadejte e-mail s oznámením a zaškrtněte políčko Pro získání e-mailu, když dojde k chybám zřizování.

9

Klikněte na položku Uložit.

Úspěšně jste autorizovali Azure AD k zřizování/ synchronizaci uživatelů Webexu.

Co dělat dál

  • Pokud chcete synchronizovat pouze podmnožinu uživatelů Azure AD s Webexem, přečtěte si část Přidat skupinu uživatelů do aplikace ve službě Azure AD.

  • Pokud chcete před synchronizací uživatelů mapovat další atributy uživatele Azure AD na atributy Webex, přečtěte si mapovat atributy uživatelů z Azure na Webex.

  • Po těchto krocích můžete povolit automatizované zřizování z Azure AD do Webexu.

Podle tohoto postupu můžete namapovat další atributy uživatelů z Azure na Webex nebo změnit existující mapování uživatelských atributů. Mapování atributů uživatele můžete upravit před nebo po synchronizaci uživatelů.

Než začnete

Přidali jste a nakonfigurovali aplikaci Cisco Webex do služby Azure Active Directory a otestovali připojení.

1

Přihlaste se k Azure Portal a pak přejděte na Azure Active Directory > Enterprise > všechny aplikace.

2

Otevřete aplikaci Cisco Webex.

3

Vyberte stránku Zřizování a otevřete ovládací prvek Mapování na této stránce.

4

Klikněte na Synchronizovat uživatele Azure Active Directory s CiscoWebEx.

Otevře se nová sekce.

5

Zaškrtněte políčko Zobrazit upřesňující možnosti a potom klepněte na Upravit seznam atributů pro CiscoWebEx.

V ovládacím prvku, který se otevře, můžete zvolit, které atributy Webexu se budou naplnit z uživatelských atributů Azure. Atributy a mapování jsou zobrazeny později v tomto postupu.

6

Po výběru atributů Webex potvrďte klepnutím na tlačítko Uložit a potom na tlačítko Ano.

Otevře se stránka Mapování atributů, takže můžete namapovat atributy uživatelů Azure AD na atributy uživatele Webex, které jste zvolili.

7

Klikněte na Přidat nové mapování (v dolní části stránky).

8

Zvolte Přímé mapování. Vyberte atribut Source (atribut Azure) a target attribute (atribut Webex) a klikněte na OK.

Tabulka 1. Mapování Azure na Webex

Atribut Azure Active Directory (zdroj)

Atribut Cisco Webex (cíl)

userPrincipalName

Uživatelské jméno

Přepínač([IsSoftd], , "False", "True", "True", "False")

aktivní

displayName

displayName

příjmení

name.familyName

givenName

name.givenName

jobTitle

název

usageLocation

adresy[typ eq "work"].country

město

adresy[typ eq "work"].lokalita

streetAddress

adresy[zadejte eq "work"].streetAddress

stát

adresy[typ eq "work"].region

PSČ

adresy[zadejte eq "work"].PSČ

telefonní číslo

phoneNumbers[zadejte eq "work"].value

mobil

phoneNumbers[zadejte eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[zadejte eq "fax"].hodnota

objectId

externíId

9

Opakujte předchozí dva kroky, dokud nepřidáte / neupravili všechna mapování, která potřebujete, a pak kliknutím na Uložit a Ano potvrďte nová mapování.


 

Doporučujeme neměnět výchozí mapování atributů. Důležitým mapováním je userPrincipalName v Azure AD na e-mailovou adresu (uživatelské jméno) v Control Hubu. Chcete-li začít znovu, můžete obnovit výchozí mapování.

Pokud userPrincipalName není e-mail v Centru ovládacích center, uživatelé jsou zřízeni jako noví uživatelé a nebudou odpovídat stávajícím uživatelům v Centru řízení. Pokud chcete použít e-mailovou adresu Azure místo hlavní název hlavní strany, musíte změnit výchozí mapování ve službě Azure AD z UPN na E-mail.

Mapování jsou provedena a uživatelé webexu budou vytvořeni nebo aktualizováni při příští synchronizaci.

Než začnete

Máte:

  • Přidána aplikace Cisco Webex

  • Autorizovaný Azure k automatickému vytváření uživatelů Webexu a testování připojení

  • (Nepovinné) Přiřazení konkrétních uživatelů a skupin k aplikaci Webex

  • (Nepovinné) Mapované (adekvátní, ne výchozí) atributy Azure k atributům Webexu

1

Otevřete aplikaci Cisco Webex na webu Azure Portal a přejděte na stránku Zřizování.

2

Pokud jste aplikaci přiřadili konkrétní uživatele nebo skupiny, nastavte obor zřizování na Synchronizovat pouze přiřazené uživatele a skupiny.

Pokud zvolíte tuto možnost, ale ještě jste nepřiřadili uživatele a skupiny, musíte před přepnutím zřizování sledovat přiřazení skupin/uživatelů k aplikaci ve službě Azure AD.

3

Přepnout stav zřizování na On .

Tato akce spustí automatické zřizování / synchronizaci uživatelů Webexu z Azure AD. To může trvat až 40 minut.

Pokud testujete a potřebujete zkrátit čekání, můžete použít zřizování na vyžádání. Viz https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand.

Další možností je restartovat zřizování: přepněte stav zřizování naVypnuto , Uložit a pak zpět na On , Uložit (znovu). To vynutí novou synchronizaci.


 

Důrazně doporučujeme nepoužíváte možnost Vymazat aktuální stav a restartovat synchronizaci.

4

Přihlaste se https://admin.webex.comk , přejděte na Uživatelé azkontrolujte uživatelské účty Azure Active Directory.

K této synchronizaci dochází pomocí rozhraní API, takže v Centru řízení není žádná indikace stavu. Můžete zkontrolovat protokoly na webu Azure Portal a zobrazit stav synchronizace uživatelů.


 

Pokud chcete získat záznam o všech změnách, které se týkají synchronizace uživatelů Azure AD, a izolovat případné problémy, získejte přístup k protokolům auditu: v části Aktivita klepněte na položkuProtokoly auditování. Toto zobrazení zobrazuje každý protokol a můžete filtrovat podle určitých kategorií, jako je zřizování účtů pro filtr Služby a Řízení uživatele pro filtr kategorie.

Přiřazení uživatelů můžete z Azure AD odebrat. Tím se zachovají uživatelské účty Azure AD, ale tyto účty se odeberou z přístupu k aplikacím ve vaší organizaci Webex.

1

Na webu Azure Portal přejděte na Podnikovéaplikace a pak vyberte aplikaci Webex, kterou jste přidali.

2

Ze seznamu uživatelů přiřazených k aplikaci vyberte uživatele nebo skupinu uživatelů.

3

Klepněte na tlačítko Odebrat a potom klepnutím na tlačítko Ano potvrďte odebrání.

Při další události synchronizace je uživatel nebo skupina uživatelů odebrána z aplikace Webex.

1

Přejděte na Uživatelé ,zaškrtněte políčko vedle každého uživatelského účtu, který chcete odstranit, a klikněte na Odstranit uživatele.

Uživatelé jsou přesunuti na kartu Odstraněni uživatelé.

V Ovládacím centru jsou uživatelé přesunuti do stavu "měkkého odstranění" a nejsou okamžitě odstraněni. Jsou také přejmenovány. Azure Active Directory odešle tyto změny do cloudu Webex. Control Hub pak odráží tyto změny a označuje uživatele jako neaktivního. Všechny tokeny jsou pro uživatele odvolány.

2

Chcete-li ověřit všechny záznamy o odstranění uživatele, přejděte do protokolů auditu a spusťte vyhledávání v kategorii Správa uživatelů nebo v aktivitě Odstranit uživatele.


 

Když otevřete odstraněný protokol auditu uživatelů a kliknete na Cíl , zobrazí se, že hlavní název uživatele má řetězec čísel a znaků před @.

Pokud provádíte nějaké akce eDiscovery v Centru řízení, musíte získat hlavní název uživatele z protokolů auditu ve službě Azure AD. Další informace o eDiscovery naleznete v tématu Zajištění dodržování předpisů obsahu Cisco Webex Teams.

Co dělat dál

Máte 30 dní na obnovení "měkkých" odstraněných uživatelů před jejich trvalým odstraněním. Pokud uživatele obnovíte ve službě Azure Active Directory, Control Hub uživatele znovu aktivuje a přejmenuje ho na původní e-mailovou adresu nebo adresu HLAVNÍ NÁZEV UŽIVATELE.

Pokud uživatele neuživíte, Azure Active Directory udělá těžké odstranění a uživatel se také odebrají z Centra ovládacích prvků. Pokud se e-mailová adresa přečte do Azure Active Directory, vytvoří se nový uživatelský účet.