System für domänenübergreifendes Identitätsmanagement (SCIM)

Die Integration zwischen den Benutzern im Verzeichnis und Control Hub verwendet das System für das domänenübergreifende Identitätsmanagement ( SCIM ) API. SCIM ist ein offener Standard zur Automatisierung des Austauschs von Informationen zur Benutzeridentität zwischen Identitätsdomänen oder IT-Systemen. SCIM wurde entwickelt, um die Verwaltung von Benutzeridentitäten in cloudbasierten Anwendungen und Diensten zu vereinfachen. SCIM verwendet eine standardisierte API über REST.


 

Azure AD synchronisiert keine Nullwerte. Wenn Sie einen Attributwert auf NULL festlegen, wird er in Webex nicht gelöscht oder mit einem NULL-Wert gepatcht. Wenn diese Einschränkung Ihre Benutzer betrifft, wenden Sie sich an Microsoft , um Unterstützung zu erhalten.

Azure AD Wizard-App

Verwenden Sie die Azure AD Wizard-App in Control Hub, um die Synchronisierung von Benutzern und Gruppen mit Webex zu vereinfachen. Mit der Wizard-App können Sie ganz einfach konfigurieren, welche Attribute, Benutzer und Gruppen synchronisiert werden sollen, und entscheiden, ob die Benutzer-Avatare mit Webex synchronisiert werden sollen. Siehe Einrichten der Azure AD Wizard-App in Control Hub , um mehr über die Vorteile des Wizard zu erfahren.

Cisco Webex aus dem Azure-Anwendungskatalog hinzufügen

Bevor Sie Webex Control Hub für die automatische Benutzerbereitstellung mit Azure AD konfigurieren, müssen Sie Cisco Webex aus dem Azure AD-Anwendungskatalog zu Ihrer Liste der verwalteten Anwendungen hinzufügen.


 

Wenn Sie bereits integrierter Webex Control Hub mit Azure für Einzelanmeldung (SSO) ist Cisco Webex bereits zu Ihren Unternehmensanwendungen hinzugefügt und Sie können diesen Vorgang überspringen.

1

Melden Sie sich beim Azure-Portal an unterhttps://portal.azure.com mit Ihren Administrator-Anmeldeinformationen.

2

Gehen Sie zu Azure Active Directory für Ihre Organisation.

3

Gehen Sie zu Unternehmensanwendungen und klicken Sie dann auf Hinzufügen .

4

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

5

Geben Sie in das Suchfeld Cisco Webex .

6

Wählen Sie im Ergebnisbereich Cisco Webex , und klicken Sie dann auf Hinzufügen um die Anwendung hinzuzufügen.

Es wird eine Meldung mit dem Hinweis angezeigt, dass die Anwendung erfolgreich hinzugefügt wurde.

7

Um sicherzustellen, dass die Webex -Anwendung, die Sie zur Synchronisierung hinzugefügt haben, nicht im Benutzerportal angezeigt wird, öffnen Sie die neue Anwendung unter Eigenschaften , und stellen Sie Für Benutzer sichtbar? an Nein .

Zuweisen von Gruppen/Benutzern zur Anwendung in Azure AD

Mit diesem Verfahren können Sie Benutzer auswählen, die mit der Webex Cloud synchronisiert werden sollen.

Azure AD verwendet ein Konzept namens "Zuweisungen", um zu bestimmen, welche Benutzer Zugriff auf ausgewählte Apps erhalten sollen. Im Zusammenhang mit der automatischen Benutzerbereitstellung werden nur die Benutzer und/oder Benutzergruppen, die einer Anwendung in Azure AD "zugewiesen" sind, mit Control Hub synchronisiert.


 

Webex kann die Benutzer in einer Azure AD-Gruppe synchronisieren, aber synchronisiert nicht das Gruppenobjekt selbst.

Wenn Sie Ihre Integration zum ersten Mal konfigurieren, empfehlen wir Ihnen, einen Benutzer zum Testen zuzuweisen und dann nach einem erfolgreichen Test weitere Benutzer und Gruppen hinzuzufügen.

1

Öffnen Sie Cisco Webex Anwendung im Azure-Portal und gehen Sie dann zu Benutzer und Gruppen.

2

Klicken Sie auf Zuweisung hinzufügen.

3

Suchen Sie die Benutzer/Gruppen, die Sie der Anwendung hinzufügen möchten:

  • Suchen Sie nach einzelnen Benutzern, die Sie der Anwendung zuweisen können.
  • Suchen Sie eine Gruppe von Benutzern, die Sie der Anwendung zuweisen können.
4

Klicken Sie auf Auswählen und dann auf Zuweisen .

Wiederholen Sie diese Schritte, bis Sie alle Gruppen und Benutzer haben, die Sie mit Webex synchronisieren möchten.

Autorisieren Sie Azure, um Benutzer mit Ihrer Control Hub-Organisation zu synchronisieren

Verwenden Sie dieses Verfahren, um die Bereitstellung in Azure AD einzurichten und ein Bearer-Token für Ihre Organisation zu erhalten. Die Schritte decken notwendige und empfohlene administrative Einstellungen ab.


 
Wenn Ihre Organisation vorschreibt, dass alle Benutzer über eine verifizierte Domäne verfügen müssen, lässt die zukünftige Synchronisierung keine Benutzererstellung für nicht verifizierte Domänen zu. Die meisten Webex for Government-Organisationen erfordern verifizierte Domänen.

Vorbereitungen

Rufen Sie Ihre Organisations ID aus der Kundenansicht in Control Hub ab. Klicken Sie unten links auf den Namen Ihrer Organisation und kopieren Sie dann das Organisations ID in eine Textdatei. Sie benötigen diesen Wert, wenn Sie die Mandanten URL eingeben. In diesem Artikel verwenden wir diesen Wert als Beispiel: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Beim anmelden Azure-Portal und gehen Sie dann zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen .

2

Auswählen Cisco Webex aus der Liste der Unternehmensanwendungen.

3

Gehen Sie zu Bereitstellung , und ändern Sie dann das Feld Bereitstellungsmodus an Automatisch .

Die Webex App enthält einige Standardzuordnungen zwischen Azure AD-Benutzerattributen und Webex Benutzerattributen. Diese Attribute reichen zum Erstellen von Benutzern aus, Sie können jedoch, wie später in diesem Artikel beschrieben, weitere hinzufügen.

4

Geben Sie das Mandanten- URL .

In der folgenden Tabelle wird die URL für Ihr Webex Angebot angezeigt. Replace OrgId mit Ihrem spezifischen Wert.

Tabelle 1: Mandanten-URLs für Webex
Webex AngebotZu verwendende Mandanten- URL
Webex (Standard) https://api.ciscospark.com/v1/scim/OrgId
Webex for Government https://api-usgov.webex.com/v1/scim/OrgId

Ihre Mandanten URL könnte beispielsweise wie folgt aussehen: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c.

5

Führen Sie die folgenden Schritte aus, um den Wert des Bearer-Tokens für abzurufen Geheimer Token :

  1. Kopieren Sie die folgende URL und führen Sie sie in einer Inkognito-Browser-Registerkarte aus: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    Die obige URL gilt für den standardmäßigen Webex ID -Broker. Wenn Sie Webex for Government verwenden, verwenden Sie die folgende URL , um das Bearer-Token abzurufen:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Ein Inkognito-Browser ist wichtig, um sicherzustellen, dass Sie sich mit den richtigen Administratoranmeldeinformationen anmelden. Wenn Sie bereits als ein Benutzer mit weniger Privilegien angemeldet sind, der keine Benutzer erstellen kann, kann das von Ihnen zurückgegebene Bearer-Token keine Benutzer erstellen.

  2. Melden Sie sich auf der angezeigten Webex -Anmeldeseite mit einem vollständigen Administratorkonto für Ihre Organisation an.

    Es wird eine Fehlerseite angezeigt, die besagt, dass die Site nicht erreicht werden kann. Dies ist jedoch normal.

    Die URL der Fehlerseite enthält das generierte Bearer-Token. Dieses Token ist 365 Tage gültig (anschließend läuft es ab).

  3. Kopieren Sie aus der URL in der Adressleiste des Browsers den Wert des Inhaber-Tokens aus zwischen access_token= und &token_type=Bearer.

    Bei dieser URL ist beispielsweise der Tokenwert hervorgehoben: HTTP://localhost:3000/auth/code#access_token = {sample_token } &token_type =Träger&expires_in =3887999&state=diese-sollte-aus-Sicherheitsgründen-eine-zufällige-Zeichenfolge sein.


     

    Wir empfehlen, dass Sie diesen Wert in einer Textdatei als Datensatz des Tokens speichern, für den Fall, dass die URL nicht mehr verfügbar ist.

6

Kehren Sie zum Azure-Portal zurück und fügen Sie den Tokenwert in ein Geheimer Token .

7

Klicken Sie auf Verbindung testen um sicherzustellen, dass Azure AD die Organisation und das Token erkennt.

Ein erfolgreiches Ergebnis besagt, dass die Anmeldeinformationen autorisiert sind, um die Benutzerbereitstellung zu aktivieren.

8

Geben Sie a . ein Benachrichtigungs-E-Mail und aktivieren Sie das Kontrollkästchen, um eine E-Mail zu erhalten, wenn Bereitstellungsfehler auftreten.

9

Klicken Sie auf Speichern.
Zu diesem Zeitpunkt haben Sie Azure AD erfolgreich zum Bereitstellen und Synchronisieren von Webex Benutzern autorisiert und die Schritte zum Einrichten der Synchronisierung abgeschlossen.

Nächste Schritte

Wenn Sie Webex Attributen weitere Azure AD-Benutzerattribute zuordnen möchten, fahren Sie mit dem nächsten Abschnitt fort.

Informationen zum Vornehmen von Änderungen an der synchronisierten Organisation finden Sie im Synchronisierte Azure Active Directory -Benutzer verwalten Hilfeartikel.

Benutzerattribute von Azure zu Webex

Befolgen Sie dieses Verfahren, um weitere Benutzerattribute von Azure zu Webex zuordnen oder vorhandene Benutzerattribute-Zuordnungen zu ändern.


 

Die Zuordnung von Azure zu Webex synchronisiert nicht jedes einzelne Benutzerdetail. Einige Aspekte der Benutzerdaten werden nicht synchronisiert:

  • Avatare

  • Räume

  • Attribute, die nicht in der folgenden Tabelle aufgeführt sind

Wir empfehlen, dass Sie die Standard-Attributzuordnungen nur ändern, wenn dies absolut erforderlich ist. Besonders wichtig ist der Wert, den Sie als Nutzernamen zuordnen. Webex verwendet die E-Mail-Adresse des Benutzers als Benutzernamen. Standardmäßig ordnen wir userPrincipalName (UPN) in Azure AD der E-Mail-Adresse (Benutzername) im Control Hub zu.

Wenn der userPrincipalName der E-Mail in Control Hub nicht zupasst, werden die Benutzer im Control Hub als neue Benutzer bereitgestellt, anstatt vorhandene Benutzer abgleichen zu müssen. Wenn Sie ein anderes Azure-Benutzerattribut verwenden möchten, das sich im E-Mail-Adressformat anstatt im UPN befindet, müssen Sie diese Standardzuordnung in Azure AD von userPrincipalName in das entsprechende Azure AD-Benutzerattribut ändern.

Vorbereitungen

Sie haben die Cisco Webex App zu Azure Active Directory hinzugefügt und konfiguriert und die Verbindung getestet.

Sie können die Benutzerattribut-Zuordnungen ändern, bevor oder nachdem Sie mit der Synchronisierung der Benutzer beginnen.

1

Melden Sie sich beim Azure-Portal an und wechseln Sie zu Azure Active Directory > Enterprise-> Alle Anwendungen.

2

Öffnen Sie Cisco Webex Anwendung.

3

Wählen Sie die Bereitstellungsseite aus, erweitern Sie den Abschnitt Zuordnungen und klicken Sie auf Provision Azure Active Directory Benutzer .

4

Aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen und klicken Sie auf Attributliste bearbeiten für CiscoWebEx.

5

Wählen Sie die Webex-Attribute aus Azure-Benutzerattributen aus. Die Attribute und Zuordnungen werden später in dieser Prozedur angezeigt.

6

Nachdem Sie die Webex-Attribute ausgewählt haben, klicken Sie auf Speichern und dann auf Ja, um zu bestätigen.

Die Seite Attributzuordnung wird geöffnet, damit Sie Azure AD-Benutzerattribute den von Ihnen gewählten Webex-Benutzerattributen zuordnen können.

7

Klicken Sie unten auf der Seite auf Neue Zuordnung hinzufügen.

8

Wählen Sie Direktzuordnung aus. Wählen Sie das Quellattribut (Azure-Attribut) und das Zielattribut (Webex-Attribut) aus, und klicken Sie dann auf OK.

Tabelle 2: Azure zu Webex-Zuordnungen

Azure Active Directory Attribut (Quelle)

Webex-Benutzerattribut (Ziel)

Standardmäßig ausgefüllte Attribute

Userprincipalname

Benutzername

Switch([IsSoftd], , "False", "True", "True", "False")

aktiv

displayName

displayName

Nachname

name.familyName

givenName

name.givenName

Objectid

externe ID

Zusätzliche verfügbare Attribute

jobTitle

title

AuslastungStandort

adressen[type eq "work"].country

Stadt

adressen[type eq "work"].locality

streetAddress

adressen[type eq "work"].streetAddress

Staat

adressen[type eq "work"].region

postalCode

adressen[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value
9

Wiederholen Sie die beiden vorherigen Schritte, bis Sie alle benötigten Zuordnungen hinzugefügt oder geändert haben. Klicken Sie anschließend auf Speichern und Ja, um Ihre neuen Zuordnungen zu bestätigen.


 

Sie können Standardzuordnungen wiederherstellen, wenn Sie erneut beginnen möchten.

Ihre Zuordnungen sind abgeschlossen und die Webex Benutzer werden bei der nächsten Synchronisierung erstellt oder aktualisiert.