System für domänenübergreifendes Identitätsmanagement (SCIM)

Die Integration zwischen den Benutzern im Verzeichnis und Control Hub verwendet das System für das domänenübergreifende Identitätsmanagement ( SCIM ) API. SCIM ist ein offener Standard zur Automatisierung des Austauschs von Informationen zur Benutzeridentität zwischen Identitätsdomänen oder IT-Systemen. SCIM wurde entwickelt, um die Verwaltung von Benutzeridentitäten in cloudbasierten Anwendungen und Diensten zu vereinfachen. SCIM verwendet eine standardisierte API über REST.


 

Die Entra-ID synchronisiert keine Null-Werte. Wenn Sie einen Attributwert auf NULL festlegen, wird er in Webex nicht gelöscht oder mit einem NULL-Wert gepatcht. Wenn diese Einschränkung Ihre Benutzer betrifft, wenden Sie sich an Microsoft , um Unterstützung zu erhalten.

Azure AD Wizard-App

Verwenden Sie die Azure AD Wizard-App in Control Hub, um die Synchronisierung von Benutzern und Gruppen mit Webex zu vereinfachen. Mit der Wizard-App können Sie ganz einfach konfigurieren, welche Attribute, Benutzer und Gruppen synchronisiert werden sollen, und entscheiden, ob die Benutzer-Avatare mit Webex synchronisiert werden sollen. Siehe Einrichten der Azure AD Wizard-App in Control Hub , um mehr über die Vorteile des Wizard zu erfahren.

Cisco Webex aus dem Azure-Anwendungskatalog hinzufügen

Bevor Sie Control Hub für die automatische Benutzerbereitstellung mit Entra ID konfigurieren, müssen Sie Webex aus der Entra ID-Anwendungsgalerie zu Ihrer Liste der verwalteten Anwendungen hinzufügen.


 

Wenn Sie bereits den integrierten Webex Control Hub mit Entra ID für Single Sign-On (SSO) integriert haben, wird Cisco Webex bereits zu Ihren Unternehmensanwendungen hinzugefügt, und Sie können dieses Verfahren überspringen.

1

Melden Sie sich beim Azure-Portal an unterhttps://portal.azure.com mit Ihren Administrator-Anmeldeinformationen.

2

Gehen Sie zu Entra ID für Ihre Organisation.

3

Gehen Sie zu Unternehmensanwendungen und klicken Sie dann auf Hinzufügen .

4

Klicken Sie auf Anwendung aus dem Katalog hinzufügen.

5

Geben Sie in das Suchfeld Cisco Webex .

6

Wählen Sie im Ergebnisbereich Cisco Webex , und klicken Sie dann auf Hinzufügen um die Anwendung hinzuzufügen.

Es wird eine Meldung mit dem Hinweis angezeigt, dass die Anwendung erfolgreich hinzugefügt wurde.

7

Um sicherzustellen, dass die Webex -Anwendung, die Sie zur Synchronisierung hinzugefügt haben, nicht im Benutzerportal angezeigt wird, öffnen Sie die neue Anwendung unter Eigenschaften , und stellen Sie Für Benutzer sichtbar? an Nein .

Gruppen/Benutzer der Anwendung in der Entra-ID zuweisen

Mit diesem Verfahren können Sie Benutzer auswählen, die mit der Webex Cloud synchronisiert werden sollen.

Entra ID verwendet ein Konzept namens "Zuweisungen", um zu bestimmen, welche Benutzer Zugriff auf ausgewählte Apps erhalten sollen. Im Rahmen der automatischen Benutzerbereitstellung werden nur die Benutzer und/oder Benutzergruppen, die einer Anwendung in der Entra-ID „zugewiesen“ sind, mit Control Hub synchronisiert.


 

Mit der Azure AD Wizard-App in Control Hub können Sie beide Benutzer innerhalb von Entra-ID-Gruppen und einzelnen Gruppenobjekten synchronisieren. Webex kann keine einzelnen Gruppen außerhalb der Azure AD Wizard-App synchronisieren.

Wenn Sie Ihre Integration zum ersten Mal konfigurieren, empfehlen wir Ihnen, einen Benutzer zum Testen zuzuweisen und dann nach einem erfolgreichen Test weitere Benutzer und Gruppen hinzuzufügen.

1

Öffnen Sie die Webex-Anwendung im Entra ID-Portal und navigieren Sie zu Benutzer und Gruppen .

2

Klicken Sie auf Zuweisung hinzufügen.

3

Suchen Sie die Benutzer/Gruppen, die Sie der Anwendung hinzufügen möchten:

  • Suchen Sie nach einzelnen Benutzern, die Sie der Anwendung zuweisen können.
  • Suchen Sie eine Gruppe von Benutzern, die Sie der Anwendung zuweisen können.
4

Klicken Sie auf Auswählen und dann auf Zuweisen .

Wiederholen Sie diese Schritte, bis Sie alle Gruppen und Benutzer haben, die Sie mit Webex synchronisieren möchten.

Entra-ID autorisieren, um Benutzer mit Ihrer Control Hub-Organisation zu synchronisieren

Mit diesem Verfahren können Sie die Bereitstellung über die Entra-ID einrichten und ein Inhabertoken für Ihre Organisation erhalten. Die Schritte decken notwendige und empfohlene administrative Einstellungen ab.


 
Wenn Ihre Organisation vorschreibt, dass alle Benutzer über eine verifizierte Domäne verfügen müssen, lässt die zukünftige Synchronisierung keine Benutzererstellung für nicht verifizierte Domänen zu. Die meisten Webex for Government-Organisationen erfordern verifizierte Domänen.

Vorbereitungen

Rufen Sie Ihre Organisations ID aus der Kundenansicht in Control Hub ab. Klicken Sie unten links auf den Namen Ihrer Organisation und kopieren Sie dann das Organisations ID in eine Textdatei. Sie benötigen diesen Wert, wenn Sie die Mandanten URL eingeben. In diesem Artikel verwenden wir diesen Wert als Beispiel: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Melden Sie sich beim Azure-Portal an und gehen Sie zu > Unternehmensanwendungen > Alle Anwendungen .

2

Auswählen Cisco Webex aus der Liste der Unternehmensanwendungen.

3

Gehen Sie zu Bereitstellung , und ändern Sie dann das Feld Bereitstellungsmodus an Automatisch .

Die Webex-App enthält einige Standardzuordnungen zwischen Entra-ID-Benutzerattributen und Webex-Benutzerattributen. Diese Attribute reichen zum Erstellen von Benutzern aus, Sie können jedoch, wie später in diesem Artikel beschrieben, weitere hinzufügen.

4

Geben Sie das Mandanten- URL .

In der folgenden Tabelle wird die URL für Ihr Webex Angebot angezeigt. Replace OrgId mit Ihrem spezifischen Wert.

Tabelle 1: Mandanten-URLs für Webex
Webex AngebotZu verwendende Mandanten- URL
Webex (Standard)https://api.ciscospark.com/v1/scim/OrgId
Webex for Governmenthttps://api-usgov.webex.com/v1/scim/OrgId

Ihre Mandanten URL könnte beispielsweise wie folgt aussehen: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c.

5

Führen Sie die folgenden Schritte aus, um den Wert des Bearer-Tokens für abzurufen Geheimer Token :

  1. Kopieren Sie die folgende URL und führen Sie sie in einer Inkognito-Browser-Registerkarte aus: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    Die obige URL gilt für den standardmäßigen Webex ID -Broker. Wenn Sie Webex for Government verwenden, verwenden Sie die folgende URL , um das Bearer-Token abzurufen:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Ein Inkognito-Browser ist wichtig, um sicherzustellen, dass Sie sich mit den richtigen Administratoranmeldeinformationen anmelden. Wenn Sie bereits als ein Benutzer mit weniger Privilegien angemeldet sind, der keine Benutzer erstellen kann, kann das von Ihnen zurückgegebene Bearer-Token keine Benutzer erstellen.

  2. Melden Sie sich auf der angezeigten Webex -Anmeldeseite mit einem vollständigen Administratorkonto für Ihre Organisation an.

    Es wird eine Fehlerseite angezeigt, die besagt, dass die Site nicht erreicht werden kann. Dies ist jedoch normal.

    Die URL der Fehlerseite enthält das generierte Bearer-Token. Dieses Token ist 365 Tage gültig (anschließend läuft es ab).

  3. Kopieren Sie aus der URL in der Adressleiste des Browsers den Wert des Inhaber-Tokens aus zwischen access_token= und &token_type=Bearer.

    Bei dieser URL ist beispielsweise der Tokenwert hervorgehoben: HTTP://localhost:3000/auth/code#access_token = {sample_token } &token_type =Träger&expires_in =3887999&state=diese-sollte-aus-Sicherheitsgründen-eine-zufällige-Zeichenfolge sein.


     

    Wir empfehlen, dass Sie diesen Wert in einer Textdatei als Datensatz des Tokens speichern, für den Fall, dass die URL nicht mehr verfügbar ist.

6

Kehren Sie zum Azure-Portal zurück und fügen Sie den Tokenwert in ein Geheimer Token .

7

Klicken Sie auf Verbindung testen , um sicherzustellen, dass die Entra-ID die Organisation und das Token erkennt.

Ein erfolgreiches Ergebnis besagt, dass die Anmeldeinformationen autorisiert sind, um die Benutzerbereitstellung zu aktivieren.

8

Geben Sie a . ein Benachrichtigungs-E-Mail und aktivieren Sie das Kontrollkästchen, um eine E-Mail zu erhalten, wenn Bereitstellungsfehler auftreten.

9

Klicken Sie auf Speichern.

Zu diesem Zeitpunkt haben Sie die Entra ID erfolgreich zur Bereitstellung und Synchronisierung von Webex-Benutzern autorisiert und die Schritte zum Einrichten der Synchronisierung abgeschlossen.

Nächste Schritte

Wenn Sie weitere Entra-ID-Benutzerattribute Webex-Attributen zuordnen möchten, fahren Sie mit dem nächsten Abschnitt fort.

Informationen zum Vornehmen von Änderungen an der synchronisierten Organisation finden Sie im Hilfeartikel „Synchronisierte Entra-ID-Benutzer verwalten“ .

Benutzerattribute von der Entra-ID zu Webex zuordnen

Befolgen Sie dieses Verfahren, um weitere Benutzerattribute von Entra ID zu Webex zuzuordnen oder vorhandene Benutzerattributzuordnungen zu ändern.


 

Die Zuordnung von Entra ID zu Webex synchronisiert nicht alle Benutzerdetails. Einige Aspekte der Benutzerdaten werden nicht synchronisiert:

  • Avatare

  • Räume

  • Attribute, die nicht in der folgenden Tabelle aufgeführt sind

Wir empfehlen, dass Sie die Standard-Attributzuordnungen nur ändern, wenn dies absolut erforderlich ist. Besonders wichtig ist der Wert, den Sie als Nutzernamen zuordnen. Webex verwendet die E-Mail-Adresse des Benutzers als Benutzernamen. Standardmäßig ordnen wir userPrincipalName (UPN) in Azure AD der E-Mail-Adresse (Benutzername) im Control Hub zu.

Wenn der userPrincipalName der E-Mail in Control Hub nicht zupasst, werden die Benutzer im Control Hub als neue Benutzer bereitgestellt, anstatt vorhandene Benutzer abgleichen zu müssen. Wenn Sie ein anderes Azure-Benutzerattribut verwenden möchten, das sich im E-Mail-Adressformat anstatt im UPN befindet, müssen Sie diese Standardzuordnung in der Entra-ID von userPrincipalName in das entsprechende Entra-ID-Benutzerattribut ändern.

Vorbereitungen

Sie haben die Cisco Webex-App zu Ihrer Entra-ID hinzugefügt und konfiguriert und die Verbindung getestet.

Sie können die Benutzerattribut-Zuordnungen ändern, bevor oder nachdem Sie mit der Synchronisierung der Benutzer beginnen.

1

Melden Sie sich beim Azure-Portal an und gehen Sie dann zu Enterprise-Anwendungen > Alle Anwendungen .

2

Öffnen Sie Cisco Webex Anwendung.

3

Wählen Sie die Bereitstellungsseite aus, erweitern Sie den Abschnitt Zuordnungen und klicken Sie auf Provision Azure Active Directory Benutzer .

4

Aktivieren Sie das Kontrollkästchen Erweiterte Optionen anzeigen und klicken Sie auf Attributliste bearbeiten für CiscoWebEx.

5

Wählen Sie die Webex-Attribute aus, die aus Entra-ID-Benutzerattributen übernommen werden sollen. Die Attribute und Zuordnungen werden später in dieser Prozedur angezeigt.

6

Nachdem Sie die Webex-Attribute ausgewählt haben, klicken Sie auf Speichern und dann auf Ja, um zu bestätigen.

Die Seite Attributzuordnung wird geöffnet, damit Sie die Entra-ID-Benutzerattribute den von Ihnen ausgewählten Webex-Benutzerattributen zuordnen können.

7

Klicken Sie unten auf der Seite auf Neue Zuordnung hinzufügen.

8

Wählen Sie Direktzuordnung aus. Wählen Sie das Quellattribut (Azure-Attribut) und das Zielattribut (Webex-Attribut) aus, und klicken Sie dann auf OK.

Tabelle 2: Entra-ID zu Webex-Zuordnungen

Entra-ID-Attribut (Quelle)

Webex-Benutzerattribut (Ziel)

Standardmäßig ausgefüllte Attribute

Userprincipalname

Benutzername

Switch([IsSoftd], , "False", "True", "True", "False")

aktiv

displayName

displayName

Nachname

name.familyName

givenName

name.givenName

Objectid

externe ID

Zusätzliche verfügbare Attribute

jobTitle

title

AuslastungStandort

adressen[type eq "work"].country

Stadt

adressen[type eq "work"].locality

streetAddress

adressen[type eq "work"].streetAddress

Staat

adressen[type eq "work"].region

postalCode

adressen[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

Wiederholen Sie die beiden vorherigen Schritte, bis Sie alle benötigten Zuordnungen hinzugefügt oder geändert haben. Klicken Sie anschließend auf Speichern und Ja, um Ihre neuen Zuordnungen zu bestätigen.


 

Sie können Standardzuordnungen wiederherstellen, wenn Sie erneut beginnen möchten.

Ihre Zuordnungen sind abgeschlossen und die Webex Benutzer werden bei der nächsten Synchronisierung erstellt oder aktualisiert.