Ändern der Single Sign-On-Authentifizierung in Control Hub

Vorbereitungen

Stellen Sie sicher, dass die folgenden Vorbedingungen erfüllt werden:

  • SSO ist bereits konfiguriert. Weitere Informationen zur Verwendung des SSO-Konfigurationsassistenten finden Sie im Abschnitt „SSO-Einrichtung“ hier: https://help.webex.com/article/lfu88u/.

  • Die Domänen wurden bereits verifiziert.

  • Die Domänen werden beansprucht und aktiviert. Diese Funktion stellt sicher, dass Benutzer aus Ihrer Domäne bei jeder Authentifizierung bei Ihrem IdP einmal erstellt und aktualisiert werden.

  • Wenn DirSync oder AzureAD aktiviert sind, funktioniert das Erstellen oder Aktualisieren von SAML JIT nicht.

  • "Block Benutzerprofil Aktualisierung" ist aktiviert. SAML Update Mapping (SAML-Aktualisierungszuordnung) ist zulässig, da diese Konfiguration die Möglichkeit des Benutzers steuert, die Attribute zu bearbeiten. Vom Administrator kontrollierte Methoden der Erstellung und Aktualisierung werden weiterhin unterstützt.

Neu erstellte Benutzer erhalten lizenzen nicht automatisch, es sei denn, das Unternehmen hat eine automatische Lizenzvorlage eingerichtet.

Die Benutzerbereitstellung für die SAML JIT-Bereitstellung von Gruppen ist auf eine einzelne Gruppe beschränkt.

Just-in-Time (JIT)- und SAML-Zuordnung konfigurieren
1

Melden Sie sich bei Control Hub an.

2

Gehen Sie zu Verwaltung > Organisationseinstellungen, scrollen Sie zu Single Sign-On und klicken Sie auf SSO und IdPs verwalten.

3

Gehen Sie zur Registerkarte Identitätsanbieter .

4

Wechseln Sie zum IdP und klicken Sie auf Menü „Mehr“.

5

Wählen Sie SAML-Zuordnung bearbeiten aus.

6

Konfigurieren Sie die Just-in-Time-Einstellungen (JIT).

  • Benutzer erstellen oder aktivieren: Wenn kein aktiver Benutzer gefunden wird, erstellt Webex Identity den Benutzer und aktualisiert die Attribute, nachdem sich der Benutzer beim IdP authentifiziert hat.
  • Benutzer mit SAML-Attributen aktualisieren: Wenn ein Benutzer mit E-Mail-Adresse gefunden wird, aktualisiert Webex Identity den Benutzer mit den in der SAML-Assertion zugeordneten Attributen.
Bestätigen Sie, dass sich die Benutzer mit einer anderen, nicht identifizierbaren E-Mail-Adresse anmelden können.

7

Konfigurieren Sie die für die SAML-Zuordnung erforderlichen Attribute.

Tabelle 1. Erforderliche Attribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Benutzername/Primäre E-Mail-Adresse

Beispiel: Uid

Ordnen Sie das UID-Attribut der angegebenen E-Mail-Adresse des Benutzers, UPN oder edupersonprincipalname zu.

8

Konfigurieren Sie die verknüpfenden Attribute.

Dies sollte für den Benutzer eindeutig sein. Sie wird verwendet, um einen Benutzer zu suchen, damit Webex alle Profilattribute aktualisieren kann, einschließlich der E-Mail-Adresse für einen Benutzer.
Tabelle 2. Verknüpfende Attribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

Mitarbeiternummer

Beispiel: user.employeeid

Die Mitarbeiternummer des Benutzers oder eine Identifikationsnummer im HR-System. Beachten Sie, dass dies nicht für externalid ist, da Sie Beschäftigungsnummer für andere Benutzer wiederverwenden oder recyceln können.

Erweiterungsattribut 1

Beispiel: user.extensionattribute1

Ordnen Sie diese benutzerdefinierten Attribute erweiterten Attributen in Active Directory, Azure oder Ihrem Verzeichnis für Tracking-Codes zu.

Erweiterungsattribut 2

Beispiel: user.extensionattribute2

Erweiterungsattribut 3

Beispiel: user.extensionattribute3

Erweiterungsattribut 4

Beispiel: user.extensionlattribute4

Erweiterungsattribut 5

Beispiel: user.extensionattribute5

9

Konfigurieren Sie Profilattribute.

Tabelle 3. Profilattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

externe ID

Beispiel: user.objectid

Um diesen Benutzer über andere Einzelprofile zu identifizieren. Das ist nötig bei der Zuordnung zwischen Verzeichnissen oder beim Ändern anderer Profilattribute.

Mitarbeiternummer

Beispiel: user.employeeid

Die Mitarbeiternummer des Nutzers oder eine Identifizierungsnummer innerhalb des Personalsystems. Beachten Sie, dass dies keine "externalid" ist, da Sie die "Mitarbeiternummer" für andere Benutzer wiederverwerten oder wiederverwerten können.

preferredLanguage

Beispiel: user.preferredsprache

Die bevorzugte Sprache des Benutzers.

locale

Beispiel: user.locale

Der primäre Arbeitsstandort des Benutzers.

timezone

Beispiel: user.zeitzone

Die primäre Zeitzone des Benutzers.

displayName

Beispiel: user.displayname

Der Anzeigename des Benutzers in Webex.

name.givenName

Beispiel: user.givenname

Der Vorname des Benutzers.

name.familyName

Beispiel: Benutzer. Nachname

Der Nachname des Benutzers.

Adressen.streetAddress

Beispiel: user.streetaddress

Die Postanschrift des primären Arbeitsstandorts.

Adressen.Status

Beispiel: Benutzerstatus

Der Status ihres primären Arbeitsstandorts.

Adressen.Region

Beispiel: Benutzer.Region

Die Region des primären Arbeitsstandorts.

Adressen.postalCode

Beispiel: user.postalcode

Die Postleitzahl des primären Arbeitsstandorts.

Adressen.Land

Beispiel: Benutzer.Land

Das Land des primären Arbeitsstandorts.

phoneNumbers.work

Beispiel: Telefonnummer (arbeit)

Die geschäftliche Telefonnummer des primären Arbeitsstandorts. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

phoneNumbers.extension

Beispiel: Mobiltelefonnummer

Die geschäftliche Durchwahl der primären geschäftlichen Telefonnummer. Verwenden Sie nur das internationale E.164-Format (maximal 15 Ziffern).

Pronomen

Beispiel: user.pronoun

Die Pronounen des Benutzers. Dies ist ein optionales Attribut, das der Benutzer oder Administrator in seinen Profil sichtbar machen kann.

title

Beispiel: user.jobtitle

Die Position des Benutzers.

abteilung

Beispiel: Benutzer.Abteilung

Die Arbeitsabteilung oder das Team des Benutzers.

Pronomen

Beispiel: user.pronoun

Dies ist die Pronoun des Benutzers. Die Sichtbarkeit dieses Attributs wird vom Administrator und dem Benutzer gesteuert

manager

Beispiel: manager

Der Manager des Benutzers oder die Teamleitung des Benutzers.

Kostenzentrum

Beispiel: Kostenstelle

Dies ist der Nachname des Benutzers, auch nachnamen oder Nachname genannt.

email.alternate1

Beispiel: user.mailnickname

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate2

Beispiel: user.primaryauthoritativemail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate3

Beispiel: user.alternativeauthoritativemail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate4

Beispiel: user.othermail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.

email.alternate5

Beispiel: user.othermail

Eine alternative E-Mail-Adresse für den Benutzer. Wenn Sie möchten, dass der Benutzer sich dort anmelden kann, ordnen Sie es der UID zu.
10

Konfigurieren Sie Durchwahlattribute.

Ordnen Sie diese Attribute erweiterten Attributen in Active Directory Azure oder Ihrem Verzeichnis zu, um Tracking-Codes.
Tabelle 4. Erweiterungsattribute

Webex-Identitätsattributname

SAML-Attributname

Erweiterungsattribut 1

Beispiel: user.extensionattribute1

Erweiterungsattribut 2

Beispiel: user.extensionattribute2

Erweiterungsattribut 3

Beispiel: user.extensionattribute3

Erweiterungsattribut 4

Beispiel: user.extensionattribute4

Erweiterungsattribut 5

Beispiel: user.extensionattribute5

Erweiterungsattribut 6

Beispiel: user.extensionattribute6

Erweiterungsattribut 7

Beispiel: user.extensionattribute7

Erweiterungsattribut 8

Beispiel: user.extensionattribute8

Erweiterungsattribut 9

Beispiel: user.extensionattribute9

Erweiterungsattribut 10

Beispiel: user.extensionattribute10

11

Konfigurieren Sie Gruppenattribute.

  1. Erstellen Sie eine Gruppe in Control Hub und notieren Sie sich die Webex-Gruppen-ID.
  2. Rufen Sie Ihr Benutzerverzeichnis oder Ihren IdP auf und richten Sie ein Attribut für Benutzer ein, die der Webex-Gruppen-ID zugewiesen werden.
  3. Aktualisieren Sie die Konfiguration Ihres IdP, um einen Anspruch aufzunehmen, der diesen Attributnamen zusammen mit der Webex-Gruppen-ID trägt (z. B. c65f7d85-b691-42b8-a20b-12345xxxx). Sie können die externe ID auch zum Verwalten von Änderungen an Gruppennamen oder für zukünftige Integrationsszenarien verwenden. Beispiel: Synchronisierung mit Azure AD oder Implementierung der SCIM-Gruppensynchronisierung.
  4. Geben Sie den exakten Namen des Attributs an, das in der SAML-Assertion mit der Gruppen-ID gesendet wird. Hiermit wird der Benutzer einer Gruppe hinzugefügt.
  5. Geben Sie den exakten Namen der externen ID des Gruppenobjekts an, wenn Sie eine Gruppe aus Ihrem Verzeichnis zum Senden von Mitgliedern in der SAML-Assertion verwenden.

Wenn Benutzer A mit groupID 1234 und Benutzer B mit groupID 4567 verknüpft ist, werden sie separaten Gruppen zugewiesen. Dieses Szenario zeigt an, dass ein einzelnes Attribut es Benutzern ermöglicht, mehrere Gruppen-IDs zuzuordnen. Obwohl dies ungewöhnlich ist, ist es möglich und kann als additive Veränderung betrachtet werden. Wenn sich Benutzer A beispielsweise zunächst mit groupID 1234 anmeldet, wird er Mitglied der entsprechenden Gruppe. Wenn sich Benutzer A später mit groupID 4567 anmeldet, wird er auch dieser zweiten Gruppe hinzugefügt.

Die SAML JIT-Bereitstellung unterstützt nicht das Entfernen von Benutzern aus Gruppen oder das Löschen von Benutzern.

Tabelle 5 Gruppenattribute

Webex-Identitätsattributname

SAML-Attributname

Attributbeschreibung

Gruppen-Id

Beispiel: Gruppen-Id

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

GruppeExterneId

Beispiel: GruppeExterneId

Ordnen Sie Gruppenattribute von IdP den Webex-Identitätsgruppen-Attributen zu, um den Benutzer einer Gruppe für eine Lizenzierung oder den Einstellungsdienst zuzuordnen.

Eine Liste der SAML-Assertion-Attribute für Webex Meetings finden Sie unter https://help.webex.com/article/WBX67566.