System für die domänenübergreifende Identitätsverwaltung (SCIENCEM)

Bei der Integration zwischen Benutzern im Verzeichnis und Control Hub wird das System für die Cross-Domain Identity Management(SCIM)-API verwendet. BEI SCIM handelt es sich um einen offenen Standard zur Automatisierung des Austauschs von Informationen zur Nutzeridentität zwischen Identitätsdomänen und IT-Systemen. BEI SCIM handelt es sich um eine einfachere Verwaltung von Nutzeridentitäten in Cloud-basierten Anwendungen und Diensten. BEI SCIENCEM wird eine standardisierte API über REST verwendet.

Bevor Sie Webex Control Hub zur automatischen Benutzerbereitstellung mit Azure AD konfigurieren, müssen Sie Cisco Webex aus der Azure AD-Anwendungssammlung zu Ihrer Liste verwalteter Anwendungen hinzufügen.


Wenn Sie Webex Control Hub bereits in Azure for einmaliges Anmelden (SSO) integriert haben, Cisco Webex bereits zu Ihren Unternehmensanwendungen hinzugefügt. Sie können dieses Verfahren überspringen.

1

Melden Sie sich im Azure-Portal unter https://portal.azure.com mit Ihren Administrator-Anmeldeinformationen an.

2

Wechseln Sie zu Azure Active Directory für Ihre Organisation.

3

Wechseln Sie zu Unternehmensanwendungen und klicken Sie auf Hinzufügen.

4

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

5

Geben Sie in das Suchfeld "" Cisco Webex.

6

Wählen Sie im Ergebnisbereich die Option Cisco Webex aus, und klicken Sie dann auf Hinzufügen, um die Anwendung hinzuzufügen.

In einer Meldung wird angezeigt, dass die Anwendung erfolgreich hinzugefügt wurde.

Mit diesem Vorgang können Sie auswählen, welche Benutzer mit der Webex-Cloud synchronisiert werden.

Azure AD verwendet ein Konzept namens "Zuweisungen", um zu bestimmen, welche Benutzer Zugriff auf ausgewählte Apps erhalten sollen. Im Zusammenhang mit der automatischen Benutzerbereitstellung werden nur die Benutzer und/oder Gruppen, die einer Anwendung in Azure AD "zugewiesen" sind, mit Control Hub synchronisiert.

Wenn Sie Ihre Integration zum ersten Mal konfigurieren, empfehlen wir Ihnen, einen Benutzer zum Testen zu zuweisen und nach einem erfolgreichen Test weitere Benutzer und Gruppen hinzuzufügen.

1

Öffnen Sie Cisco Webex Anwendung im Azure-Portal und gehen Sie dann zu Benutzer und Gruppen.

2

Klicken Sie auf Zuweisung hinzufügen.

3

Suchen Sie die Benutzer/Gruppen, die Sie der Anwendung hinzufügen möchten:

  • Suchen Sie nach einzelnen Benutzern, die Sie der Anwendung zuweisen können.
  • Suchen Sie eine Gruppe von Benutzern, die Sie der Anwendung zuweisen können.
4

Klicken Sie auf Auswählen und dann auf Zuweisen.

Wiederholen Sie diese Schritte, bis Sie alle Gruppen und Benutzer haben, die Sie mit Webex synchronisieren möchten.

Verwenden Sie dieses Verfahren, um die Bereitstellung von Azure AD zu erstellen und ein Inhabertoken für Ihre Organisation zu erhalten. Die Schritte decken die notwendigen und empfohlenen administrativen Einstellungen ab.

Vorbereitungen

Holen Sie sich Ihre Unternehmens-ID aus der Kundenansicht im Control Hub: Klicken Sie unten links auf den Namen Ihrer Organisation, und kopieren Sie den Wert aus der Organisations-ID in eine Textdatei. Sie benötigen diesen Wert, wenn Sie den Mandanten-URL eingeben. Wir werden diesen Wert als Beispiel verwenden: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Melden Sie sich beim Azure-Portal an und wechseln Sie zu Azure Active Directory > Enterprise-> Alle Anwendungen.

2

Wählen Cisco Webex aus der Liste der Unternehmensanwendungen aus.

3

Wechseln Sie zu Bereitstellung und ändern Sie dann denBereitstellungsmodus zu Automatisch .

Die Webex-App wurde mit einigen Standardzuordnungen zwischen Azure AD-Benutzerattributen und Webex-Benutzerattributen erstellt. Diese Attribute sind für die Erstellung von Benutzern ausreichend, Sie können jedoch weitere hinzufügen, wie später in diesem Artikel beschrieben.

4

Geben Sie die Tenant-URL in diesem Formular ein:

https://api.ciscospark.com/v1/scim/{OrgId}

Replace {OrgId} mit dem Wert der Organisations-ID, den Sie von Control Hub erhalten haben, sodass die Mandanten-URL folgender wird: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Befolgen Sie diese Schritte, um den Tokenwert des Inhabers für das geheime Token zuerhalten:

  1. Kopieren Sie die folgende URL und führen Sie sie in einer Inkognito-Browser-Registerkarte aus: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose definiert.

    Ein Inkognito-Browser ist wichtig, um sicherzustellen, dass Sie sich mit den richtigen Administrator-Anmeldeinformationen anmelden. Wenn Sie bereits als Benutzer mit weniger Berechtigungen angemeldet sind, ist das zurückgegebene Inhabertoken möglicherweise nicht berechtigt, Benutzer zu erstellen.

  2. Melden Sie sich auf der nun angezeigten Webex-Anmeldeseite mit einem Volladministratorkonto für Ihre Organisation an.

    Eine Fehlermeldungsseite gibt an, dass die Site nicht erreicht werden kann, dies ist jedoch normal.

    Der generierte Inhabertoken ist in der URL der Fehlerseite enthalten. Dieser Token ist 365 Tage gültig (nach dessen Ablauf).

  3. Kopieren Sie den Tokenwert des Inhabers aus der URL in der Adressleiste des Browsers von zwischen access_token= und &token_type=Bearer definiert.

    In dieser URL ist beispielsweise der Tokenwert hervorgehoben: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Wir empfehlen, diesen Wert in eine Textdatei zu kopieren und zu speichern, damit Sie das Token aufzeichnen können, falls die URL nicht mehr verfügbar ist.

6

Kehren Sie zum Azure-Portal zurück und fügen Sie den Tokenwert in das geheime Tokenein.

7

Klicken Sie auf Verbindung testen, um sicherzustellen, dass die Organisation und das Token von Azure AD erkannt werden.

Ein erfolgreiches Ergebnis gibt an, dass die Anmeldeinformationen zur Aktivierung der Benutzerbereitstellung autorisiert sind.

8

Geben Sie eine E-Mail-Benachrichtigung ein und aktivieren Sie das Kontrollkästchen, um E-Mails zu erhalten, wenn Bereitstellungsfehler auftreten.

9

Klicken Sie auf Speichern.

Sie haben Azure AD erfolgreich für die Bereitstellung/Synchronisierung von Webex-Benutzern autorisiert.

Nächste Schritte

  • Wenn Sie nur eine Teilmenge Ihrer Azure AD-Benutzer mit Webex synchronisieren möchten, lesen Sie Benutzergruppe zur Anwendung hinzufügen in Azure AD.

  • Wenn Sie den Webex-Attributen zusätzliche Azure AD-Benutzerattribute zuordnen möchten, bevor Sie Benutzer synchronisieren, lesen Sie Map Benutzerattribute Azure to Webex.

  • Nach diesen Schritten können Sie Die automatische Bereitstellung von Azure AD in Webexaktivieren.

Befolgen Sie dieses Verfahren, um weitere Benutzerattribute von Azure zu Webex zuordnen oder vorhandene Benutzerattribute-Zuordnungen zu ändern.

Vorbereitungen

Sie haben die Cisco Webex-App zu Ihrem Azure Active Directory hinzugefügt und die Verbindung getestet.

Sie können die Benutzerattribute-Zuordnungen vor oder nach der Synchronisierung der Benutzer ändern.

1

Melden Sie sich beim Azure-Portal an und wechseln Sie zu Azure Active Directory > Enterprise-> Alle Anwendungen.

2

Öffnen Sie die Cisco Webex Anwendung.

3

Wählen Sie die Seite Bereitstellung aus, und öffnen Sie auf dieser Seite das Steuerelement Zuordnungen.

4

Klicken Sie auf Synchronize Azure Active Directory users to CiscoWebEx (Azure-Benutzer in CiscoWebex synchronisieren)

Ein neuer Abschnitt wird geöffnet.

5

Aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen und klicken Sie auf Attributliste bearbeiten für CiscoWebEx.

In dem Steuerelement, das geöffnet wird, können Sie auswählen, welche Webex-Attribute aus Azure-Benutzerattributen befüllt werden sollen. Die Attribute und Zuordnungen werden später in dieser Prozedur angezeigt.

6

Nachdem Sie die Webex-Attribute ausgewählt haben, klicken Sie auf Speichern und dann aufJa, um zu bestätigen.

Die Seite Attributzuordnung wird geöffnet, damit Sie Azure AD-Benutzerattribute den von Ihnen gewählten Webex-Benutzerattributen zuordnen können.

7

Klicken Sie unten auf der Seite auf Neue Zuordnung hinzufügen.

8

Wählen Sie Direktzuordnung aus. Wählen Sie das Quellattribut (Azure-Attribut) und das Zielattribut (Webex-Attribut) aus, und klicken Sie dann auf OK.

Tabelle 1: Azure zu Webex-Zuordnungen

Azure Active Directory-Attribut (Quelle)

Cisco Webex (Ziel)

Userprincipalname

Nutzername

Switch([IsSoftd], , "False", "True", "True", "False")

aktiv

displayName

displayName

Nachname

name.familyName

givenName

name.givenName

jobTitle

title

AuslastungStandort

adressen[type eq "work"].country

Stadt

adressen[type eq "work"].locality

streetAddress

adressen[type eq "work"].streetAddress

Staat

adressen[type eq "work"].region

postalCode

adressen[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

Objectid

externalID

9

Wiederholen Sie die beiden vorherigen Schritte, bis Sie alle benötigten Zuordnungen hinzugefügt oder geändert haben. Klicken Sie anschließend auf Speichern und Ja, um Ihre neuen Zuordnungen zu bestätigen.


 

Wir empfehlen, dass Sie die Standard-Attributzuordnungen nicht ändern. Eine wichtige Zuordnung ist userPrincipalName (UPN) in Azure AD zu einer E-Mail-Adresse (Benutzername) in Control Hub. Sie können Standardzuordnungen wiederherstellen, wenn Sie erneut beginnen möchten.

Wenn userPrincipalName nicht die E-Mail im Control Hub ist, werden die Benutzer als neue Benutzer bereitgestellt und können nicht mit vorhandenen Benutzern in Control Hub übereinstimmen. Wenn Sie anstelle von UPN die Azure-E-Mail-Adresse verwenden möchten, müssen Sie diese Standardzuordnung in Azure AD von userPrincipalName zuEmailändern.

Ihre Zuordnungen sind fertig und die Webex-Benutzer werden bei der nächsten Synchronisierung erstellt oder aktualisiert.

Vorbereitungen

Sie haben:

  • Diese Anwendung Cisco Webex hinzugefügt

  • Autorisiert Azure, um Webex-Benutzer automatisch zu erstellen und die Verbindung zu testen

  • (Optional) Bestimmte Benutzer und Gruppen wurden der Webex-Anwendung zugewiesen

  • (Optional) Zugeordnete (additonal, non-default) Azure-Attribute zu Webex-Attributen

1

Öffnen Sie Cisco Webex Lizensierung im Azure-Portal und gehen Sie zur Bereitstellungsseite.

2

Wenn Sie bestimmte Benutzer oder Gruppen zu der Anwendung zugewiesen haben, legen Sie den Bereitstellungsumfang auf Nur zugewiesene Benutzer und Gruppen fest.

Wenn Sie diese Option auswählen, jedoch noch keine Benutzer und Gruppen zugewiesen haben, müssen Sie Gruppen/Benutzer der Anwendung in Azure AD zuweisen folgen, bevor Sie die Bereitstellung umschalten können.

3

Umschalten des Bereitstellungsstatus auf Ein .

Mit dieser Aktion wird die automatische Bereitstellung/Synchronisierung von Webex-Benutzern von Azure AD gestartet. Dies kann bis zu 40 Minuten dauern.

Wenn Sie Tests durchführen und die Wartezeit reduzieren müssen, können Sie die On-Demand-Bereitstellung verwenden. Siehe .https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand

Eine weitere Option ist der Neustart der Bereitstellung: Deaktivieren Sie den Bereitstellungsstatus auf Aus , Speichern und anschließend zurück zu Ein , Speichern (erneut). Dadurch erzwingt eine neue Synchronisierung.


 

Wir raten dringend davon ab, die Option "Aktuellen Status löschen" zu verwenden und die Synchronisierung neu zu starten.

4

Melden Sie sich bei an, wechseln Sie zu Benutzer und überprüfen Sie https://admin.webex.comdie AzureActive Directory-Benutzerkonten.

Diese Synchronisierung erfolgt über API, daher gibt es keine Statusanzeige in Control Hub. Sie können die Protokolle im Azure-Portal überprüfen, um den Status der Benutzersynchronisierung anzuzeigen.


 

Um eine Aufzeichnung aller Änderungen zu erhalten, die im Zusammenhang mit der Azure AD-Benutzersynchronisierung stehen und potenzielle Probleme isolieren, greifen Sie auf die Überwachungsprotokolle zu: klicken Sie unter Aktivität aufAudit-Protokolle. In dieser Ansicht wird jedes Protokoll angezeigt, und Sie können nach bestimmten Kategorien filtern, z. B. Kontobereitstellung für den Filter Dienst und Benutzermanagement für einen Kategoriefilter.

Sie können Benutzerzuweisungen aus Azure AD entfernen. Dies behält die Azure AD-Benutzerkonten bei, entfernt diese Konten jedoch davon, auf Anwendungen und Dienste in Ihrer Webex-Organisation zugreifen zu können.

Wenn Sie das Benutzerzuweisung, markiert Webex den Benutzer alsInaktiv.

1

Wechseln Sie im Azure-Portal zu Enterprise-Anwendungenund wählen Sie die hinzugefügte Webex-Anwendung aus.

2

Wählen Sie einen Benutzer oder eine Gruppe von Benutzern aus der Liste der Benutzer aus, die der Anwendung zugewiesen sind.

3

Klicken Sie auf Entfernen und dann aufJa, um das Entfernen zu bestätigen.

Nach dem nächsten Synchronisierungsereignis wird der Benutzer oder eine Gruppe von Benutzern aus der Webex-Anwendung entfernt.

1

Gehen Sie zu Benutzer , aktivieren Sie ein Kontrollkästchen neben den einzelnen Benutzerkonto, die Sie löschen möchten, und klicken Sie dann auf Benutzer löschen.

Benutzer werden in die Registerkarte Gelöschte Benutzer verschoben.

In Control Hub werden Benutzer in den Status "Weiches Löschen" verschoben und nicht sofort gelöscht. Sie wurden auch umbenannt. Azure AD sendet diese Änderungen an die Webex-Cloud. Control Hub spiegelt diese Änderungen anschließend wider und markiert den Benutzer als Inaktiv. Alle Token werden für den Benutzer widerrufen.

2

Um Datensätze zum Löschen eines Benutzers zu verifizieren, gehen Sie zu Überwachungsprotokolle und führen Sie eine Suche in der Kategorie Benutzerverwaltung oder Benutzeraktivität löschen durch.


 

Wenn Sie ein gelöschtes Auditprotokoll eines Benutzers öffnen und auf Ziel(en) klicken, wird angezeigt, dass der Benutzersprinzipname vor dem @ eine Zeichenfolge aus Zahlenund Zeichen enthält.

Wenn Sie eDiscovery-Aktionen in Control Hub ausführen, müssen Sie den Benutzer principal-Namen aus den Audit-Protokollen in Azure AD erhalten. Weitere Informationen zu eDiscovery finden Sie unter Sicherstellen der Einhaltung gesetzlicher Bestimmungen durch die Webex-App und Meeting-Inhalte.

Nächste Schritte

Sie haben 30 Tage Zeit, um "weiche" gelöschte Benutzer wiederhergestellt zu haben, bevor sie endgültig gelöscht werden. Wenn Sie den Benutzer in Azure AD wiederherstellen, reaktiviert Control Hub den Benutzer und benennen den Benutzer in die ursprüngliche E-Mail-/UPN-Adresse um.

Wenn Sie den Benutzer nicht wiederherstellen, wird Azure AD schwer gelöscht. Ihre Webex-Organisation entfernt den Benutzer und Sie sehen den Benutzer nicht mehr in Control Hub. Wenn Sie die E-Mail-Adresse später in Azure AD gelesen haben, erstellt Webex ein komplett neues Konto für den Benutzer.