System für domänenübergreifendes Identity Management (SCIM)

Bei der Integration zwischen Benutzern im Verzeichnis und Control Hub wird das System für die CROSS-Domain Identity Management ( SCIM)-API verwendet. BEI SCIM handelt es sich um einen offenen Standard zur Automatisierung des Austauschs von Informationen zur Nutzeridentität zwischen Identitätsdomänen und IT-Systemen. BEI SCIM handelt es sich um ein einfacheres Verwalten von Nutzeridentitäten in Cloud-basierten Anwendungen und Diensten. BEI SCIENCEM wird eine standardisierte API über REST verwendet.

Die Entra-ID synchronisiert keine Nullwerte. Wenn Sie einen Attributwert auf NULL setzen, wird er nicht gelöscht oder mit einem NULL-Wert in Webex gepatcht. Wenn diese Einschränkung Ihre Benutzer beeinträchtigt, wenden Sie sich an Microsoft, um Support zu erhalten.

Wizard-App für Entra ID (Azure AD)

Verwenden Sie die Entra ID (Azure AD) Wizard-App im Control Hub, um die Synchronisierung von Benutzern und Gruppen mit Webex zu vereinfachen. Mit der Wizard-App können Sie ganz einfach konfigurieren, welche Attribute, Benutzer und Gruppen synchronisiert werden sollen, und entscheiden, ob die Avatare der Benutzer mit Webex synchronisiert werden sollen. Weitere Informationen zu den Vorteilen des Assistenten finden Sie unter Einrichten der Entra ID (Azure AD) Wizard-App in Control Hub .

Hinzufügen Cisco Webex aus der Azure-Anwendungssammlung

Bevor Sie Control Hub für die automatische Benutzerbereitstellung mit Entra-ID konfigurieren, müssen Sie Webex aus der Entra-ID-Anwendungsgalerie zu Ihrer Liste der verwalteten Anwendungen hinzufügen.

Wenn Sie den Webex Control Hub bereits mit Entra-ID für die einmalige Anmeldung (SSO) integriert haben, wurde Cisco Webex bereits zu Ihren Unternehmensanwendungen hinzugefügt und Sie können dieses Verfahren überspringen.

1

Melden Sie sich im Azure-Portal unter mit https://portal.azure.com Ihren Administrator-Anmeldeinformationen an.

2

Gehen Sie zu Entra-ID für Ihre Organisation.

3

Wechseln Sie zu Unternehmensanwendungen und klicken Sie auf Hinzufügen.

4

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

5

Geben Sie in das Suchfeld Cisco Webex .

6

Wählen Sie im Ergebnisbereich die Option Cisco Webex aus, und klicken Sie dann auf Hinzufügen, um die Anwendung hinzuzufügen.

In einer Meldung wird angezeigt, dass die Anwendung erfolgreich hinzugefügt wurde.

7

Um sicherzustellen, dass die zur Synchronisierung hinzugefügte Webex-Anwendung nicht im Benutzerportal angezeigt wird, öffnen Sie die neue Anwendung, gehen Sie zu Eigenschaften und legen Sie Für Benutzer sichtbar fest? auf Nein.

Gruppen/Benutzer der Anwendung in der Entra-ID zuweisen

Mit diesem Vorgang können Sie auswählen, welche Benutzer mit der Webex-Cloud synchronisiert werden.

Entra ID verwendet ein Konzept namens "Zuweisungen", um zu bestimmen, welche Benutzer Zugriff auf ausgewählte Apps erhalten sollen. Im Rahmen der automatischen Benutzerbereitstellung werden nur die Benutzer und/oder Benutzergruppen, die einer Anwendung in der Entra-ID „zugewiesen“ sind, mit Control Hub synchronisiert.

Verwenden Sie die Wizard-App Entra ID (Azure AD) in Control Hub , um beide Benutzer innerhalb von Entra-ID-Gruppen und einzelnen Gruppenobjekten zu synchronisieren. Webex kann keine einzelnen Gruppen außerhalb der Entra ID (Azure AD) Wizard-App synchronisieren.

Wenn Sie Ihre Integration zum ersten Mal konfigurieren, empfehlen wir Ihnen, einen Benutzer zum Testen zu zuweisen und nach einem erfolgreichen Test weitere Benutzer und Gruppen hinzuzufügen.

1

Öffnen Sie die Webex-Anwendung im Entra ID-Portal und navigieren Sie zu Benutzer und Gruppen .

2

Klicken Sie auf Zuweisung hinzufügen.

3

Suchen Sie die Benutzer/Gruppen, die Sie der Anwendung hinzufügen möchten:

  • Suchen Sie nach einzelnen Benutzern, die Sie der Anwendung zuweisen können.
  • Suchen Sie eine Gruppe von Benutzern, die Sie der Anwendung zuweisen können.
4

Klicken Sie auf Auswählen und dann auf Zuweisen .

Wiederholen Sie diese Schritte, bis Sie alle Gruppen und Benutzer haben, die Sie mit Webex synchronisieren möchten.

Entra-ID autorisieren, um Benutzer mit Ihrer Control Hub-Organisation zu synchronisieren

Mit diesem Verfahren können Sie die Bereitstellung über die Entra-ID einrichten und ein Trägertoken für Ihre Organisation abrufen. Die Schritte decken die notwendigen und empfohlenen administrativen Einstellungen ab.

Wenn Ihre Organisation erzwingt, dass alle Benutzer über eine verifizierte Domäne verfügen müssen, dann erlaubt zukünftige Synchronisierung keine Benutzererstellung für nicht verifizierte Domänen. Die meisten Webex for Government-Organisationen benötigen verifizierte Domänen.

Vorbereitungen

Holen Sie sich Ihre Unternehmens-ID aus der Kundenansicht im Control Hub. Klicken Sie unten links auf den Namen Ihrer Organisation, und kopieren Sie dann die Organisations-ID in eine Textdatei. Sie benötigen diesen Wert, wenn Sie den Mandanten-URL eingeben. Wir verwenden diesen Wert als Beispiel in diesem Artikel: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Melden Sie sich beim Azure-Portal an, und wechseln Sie zu > Enterprise-Anwendungen > Alle Anwendungen.

2

Wählen Cisco Webex aus der Liste der Unternehmensanwendungen aus.

3

Wechseln Sie zu Provisioningund ändern Sie dann den Bereitstellungsmodus zu Automatisch.

Die Webex-App enthält einige Standardzuordnungen zwischen Entra ID-Benutzerattributen und Webex-Benutzerattributen. Diese Attribute sind für die Erstellung von Benutzern ausreichend, Sie können jedoch weitere hinzufügen, wie später in diesem Artikel beschrieben.

4

Geben Sie die Tenant-URL ein.

In der folgenden Tabelle ist die URL Ihres Webex-Angebots aufgeführt. Ersetzen Sie OrgId durch Ihren spezifischen Wert.

Tabelle 1. Tenant-URLs für Webex
Webex-AngebotMandanten-URL zu verwenden
Webex (Standard) https://api.ciscospark.com/v1/scim/OrgId
Webex for Government https://api-usgov.webex.com/v1/scim/OrgId

Die Mandanten-URL könnte beispielsweise wie in folgenden Aussehen aussehen: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c.

5

Befolgen Sie diese Schritte, um den Tokenwert des Inhabers für den geheimen Token zu erhalten:

  1. Kopieren Sie die folgende URL und führen Sie sie in einer Inkognito-Browser-Registerkarte aus: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Die oben genannte URL bezieht sich auf den standardmäßigen Webex ID Broker. Wenn Sie Webex for Government verwenden, verwenden Sie die folgende URL, um den Inhabertoken zu erhalten:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Ein Inkognitobrowser ist wichtig, um sicherzustellen, dass Sie sich mit den richtigen Administrator-Anmeldeinformationen anmelden. Wenn Sie bereits als Benutzer mit weniger Rechten angemeldet sind, die keine Benutzer erstellen können, kann das zurückgegebene Inhabertoken keine Benutzer erstellen.

  2. Melden Sie sich auf der nun angezeigten Webex-Anmeldeseite mit einem Volladministratorkonto für Ihre Organisation an.

    Eine Fehlermeldungsseite gibt an, dass die Site nicht erreicht werden kann, dies ist jedoch normal.

    Die URL der Fehlerseite enthält den generierten Bator-Token. Dieser Token ist 365 Tage gültig (nach dessen Ablauf).

  3. Kopieren Sie über die URL in der Adressleiste des Browsers den Inhabertoken-Wert zwischen access_token= und &token_type=Inhaberwert.

    In dieser URL ist beispielsweise der Tokenwert hervorgehoben: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose.

    Wir empfehlen, diesen Wert in einer Textdatei als Eintrag für das Token zu speichern, falls die URL nicht mehr verfügbar ist.

6

Kehren Sie zum Azure-Portal zurück und fügen Sie den Tokenwert in das geheime Token ein.

7

Klicken Sie auf Verbindung testen , um sicherzustellen, dass die Entra-ID die Organisation und das Token erkennt.

Ein erfolgreiches Ergebnis gibt an, dass die Anmeldeinformationen zur Aktivierung der Benutzerbereitstellung autorisiert sind.

8

Geben Sie eine Benachrichtigungs-E-Mail ein und aktivieren Sie das Kontrollkästchen, um E-Mails zu erhalten, wenn Bereitstellungsfehler auftreten.

9

Klicken Sie auf Speichern.

Zu diesem Zeitpunkt haben Sie die Entra-ID erfolgreich zur Bereitstellung und Synchronisierung von Webex-Benutzern autorisiert und die Schritte zum Einrichten der Synchronisierung abgeschlossen.

Nächste Schritte

Wenn Sie weitere Entra-ID-Benutzerattribute Webex-Attributen zuordnen möchten, fahren Sie mit dem nächsten Abschnitt fort.

Informationen zum Vornehmen von Änderungen an der synchronisierten Organisation finden Sie im Hilfeartikel Synchronisierte Entra-ID-Benutzer verwalten .

Benutzerattribute von der Entra-ID Webex zuordnen

Befolgen Sie dieses Verfahren, um weitere Benutzerattribute von Entra ID zu Webex zuzuordnen oder vorhandene Benutzerattributzuordnungen zu ändern.

Die Zuordnung von Entra ID zu Webex synchronisiert nicht alle Benutzerdetails. Einige Aspekte der Benutzerdaten sind nicht synchronisiert:

  • Avatare

  • Räume

  • Attribute, die nicht in der untenstehenden Tabelle aufgeführt sind

Wir empfehlen, dass Sie die Standard-Attributzuordnungen nur ändern, wenn dies absolut erforderlich ist. Besonders wichtig ist der Wert, den Sie als Nutzernamen zuordnen. Webex verwendet die E-Mail-Adresse des Benutzers als Benutzernamen. Standardmäßig ordnen wir userPrincipalName (UPN) in Azure AD der E-Mail-Adresse (Benutzername) im Control Hub zu.

Wenn der userPrincipalName der E-Mail in Control Hub nicht zupasst, werden die Benutzer im Control Hub als neue Benutzer bereitgestellt, anstatt vorhandene Benutzer abgleichen zu müssen. Wenn Sie ein anderes Azure-Benutzerattribut verwenden möchten, das sich im E-Mail-Adressformat anstatt im UPN befindet, müssen Sie diese Standardzuordnung in der Entra-ID von userPrincipalName in das entsprechende Entra-ID-Benutzerattribut ändern.

Vorbereitungen

Sie haben die Cisco Webex-App zu Ihrer Entra-ID hinzugefügt und konfiguriert und die Verbindung getestet.

Sie können die Benutzerattribute-Zuordnungen vor oder nach der Synchronisierung der Benutzer ändern.

1

Melden Sie sich beim Azure-Portal an und gehen Sie dann zu Enterprise-Anwendungen > Alle Anwendungen .

2

Öffnen Sie Cisco Webex Anwendung.

3

Wählen Sie die Bereitstellungsseite aus, erweitern Sie den Abschnitt Zuordnungen und klicken Sie auf Provision Azure Active Directory Benutzer .

4

Aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen und klicken Sie auf Attributliste bearbeiten für CiscoWebEx.

5

Wählen Sie die Webex-Attribute aus, die aus Entra-ID-Benutzerattributen übernommen werden sollen. Die Attribute und Zuordnungen werden später in dieser Prozedur angezeigt.

6

Nachdem Sie die Webex-Attribute ausgewählt haben, klicken Sie auf Speichern und dann auf Ja, um zu bestätigen.

Die Seite Attributzuordnung wird geöffnet, damit Sie die Entra-ID-Benutzerattribute den von Ihnen ausgewählten Webex-Benutzerattributen zuordnen können.

7

Klicken Sie unten auf der Seite auf Neue Zuordnung hinzufügen.

8

Wählen Sie Direktzuordnung aus. Wählen Sie das Quellattribut (Azure-Attribut) und das Zielattribut (Webex-Attribut) aus, und klicken Sie dann auf OK.

Tabelle 2. Entra-ID zu Webex-Zuordnungen

Entra-ID-Attribut (Quelle)

Webex-Benutzerattribut (Ziel)

Standardmäßig ausgefüllte Attribute

Userprincipalname

Benutzername

Switch([IsSoftd], , "False", "True", "True", "False")

aktiv

displayName

displayName

Nachname

name.familyName

givenName

name.givenName

Objectid

externe ID

Zusätzliche verfügbare Attribute

jobTitle

title

AuslastungStandort

adressen[type eq "work"].country

Stadt

adressen[type eq "work"].locality

streetAddress

adressen[type eq "work"].streetAddress

Staat

adressen[type eq "work"].region

postalCode

adressen[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

Wiederholen Sie die beiden vorherigen Schritte, bis Sie alle benötigten Zuordnungen hinzugefügt oder geändert haben. Klicken Sie anschließend auf Speichern und Ja, um Ihre neuen Zuordnungen zu bestätigen.

Sie können Standardzuordnungen wiederherstellen, wenn Sie erneut beginnen möchten.

Ihre Zuordnungen sind fertig und die Webex-Benutzer werden bei der nächsten Synchronisierung erstellt oder aktualisiert.