Sistema para la Gestión de identidad entre dominios (MÁSTPM)

La integración entre los usuarios del directorio y el Control Hub utiliza el sistema para la API de Administración de identidad entre dominios(LOMM). AUTOMATICM es un estándar abierto para automatizar el intercambio de información de identidad del usuario entre los dominios de identidad o los sistemas de TI. LA EMPRESA HA sido diseñada para facilitar la administración de identidades del usuario en aplicaciones y servicios basados en la nube. M utiliza una API estandarizada a través de REST.

Antes de configurar Webex Control Hub aprovisionamiento automático de usuarios con Azure AD, tiene que agregar Cisco Webex de la galería de aplicaciones de Azure AD a su lista de aplicaciones administradas.


Si ya integró la Webex Control Hub con Azure para inicio de sesión único (SSO), Cisco Webex ya se agregó a sus aplicaciones empresariales y puede omitir este procedimiento.

1

Inicie sesión en el portal de Azure en https://portal.azure.com con sus credenciales de administrador.

2

Vaya a Azure Active Directory para su organización.

3

Vaya a Aplicaciones empresariales y, a continuación, haga clic en Agregar.

4

Haga clic en Agregar una aplicación de la galería.

5

En el cuadro de búsqueda, escriba Cisco Webex.

6

En el panel de resultados, seleccione Cisco Webexy, a continuación, haga clic en Añadir para agregar la aplicación.

Aparecerá un mensaje que dice que la aplicación se agregó correctamente.

Este procedimiento le permite elegir a los usuarios para sincronizarlos con la nube de Webex.

Azure AD utiliza un concepto llamado "asignaciones" para determinar qué usuarios deben recibir acceso a las aplicaciones seleccionadas. En el contexto del aprovisionamiento automático de usuarios, solo los usuarios y/o grupos que están "asignados" a una aplicación en Azure AD se sincronizan en control Hub.

Si está configurando su integración por primera vez, le recomendamos que asigne un usuario para las pruebas y que luego agregue otros usuarios y grupos después de una prueba exitosa.

1

Abra la aplicación Cisco Webex en el portal de Azure y, a continuación, vaya a Usuarios y grupos.

2

Haga clic en Agregar asignación.

3

Busque los usuarios/grupos que desea agregar a la aplicación:

  • Busque usuarios individuales para asignarlos a la aplicación.
  • Busque un grupo de usuarios para asignarlos a la aplicación.
4

Haga clic en Seleccionar y luego en Asignar.

Repita estos pasos hasta que tenga todos los grupos y usuarios que desea sincronizar con Webex.

Utilice este procedimiento para configurar el aprovisionamiento desde Azure AD y obtener un token de usuario para su organización. Los pasos cubren configuraciones administrativas necesarias y recomendadas.

Antes de comenzar

Obtenga el ID de su organización desde la vista del cliente en Control Hub: haga clic en el nombre de su organización en la esquina inferior izquierda y, a continuación, copie el valor del ID de la organización en un archivo de texto. Necesitará este valor cuando introduzca la URL del inquilino. Utilizaremos este valor como ejemplo: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Inicie sesión en el portal de Azure y, a continuación, vaya a Azure Active Directory > aplicaciones empresariales > Todas las aplicaciones.

2

Elija Cisco Webex desde la lista de aplicaciones empresariales.

3

Vaya a Aprovisionamiento y, luego, cambie el modo de aprovisionamiento a Automático .

La aplicación Webex se crea con algunas asignaciones predeterminadas entre los atributos de usuario de Azure AD y los atributos del usuario de Webex. Estos atributos son suficientes para crear usuarios, pero puede agregar más como se describe más adelante en este artículo.

4

Introduzca la URL del inquilino en este formulario:

https://api.ciscospark.com/v1/scim/{OrgId}

Reemplazar {OrgId} con el valor de ID de la organización que obtuvo de Control Hub, de modo que la URL del inquilino se vea así: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Siga estos pasos para obtener el valor del token de usuario para el tokensecreto:

  1. Copie la siguiente URL y ejecutarla en una ficha de navegador de incógnito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Es importante crear un explorador de incógnito para asegurarse de iniciar sesión con las credenciales de administrador correctas. Si ya ha iniciado sesión como usuario con menos privilegios, es posible que el token de usuario que devuelva no esté autorizado para crear usuarios.

  2. En la página de inicio de sesión de Webex que aparece, inicie sesión con una cuenta de administrador completa para su organización.

    Aparecerá una página de error que dice que no se puede establecer la conexión con el sitio, pero esto es normal.

    El token de usuario que se genera se incluye en la URL de la página de errores. Este token es válido durante 365 días (después de lo cual caduca).

  3. Desde la URL de la barra de direcciones del explorador, copie el valor del token de usuario que se encuentra entre access_token= y una &token_type=Bearer.

    Por ejemplo, esta URL tiene el valor del token resaltado: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Le recomendamos que pegue este valor en un archivo de texto y lo guarde, para tener un registro del token en caso de que la URL ya no esté disponible.

6

Vuelva al portal de Azure y pegue el valor del token en Token secreto.

7

Haga clic en Probar conexión para asegurarse de que Azure AD reconozca la organización y el token.

Un resultado exitoso establece que las credenciales están autorizadas para habilitar el aprovisionamiento de usuarios.

8

Introduzca un Correo electrónico de notificación y marque la casilla para obtener el correo electrónico cuando haya errores de aprovisionamiento.

9

Haga clic en Guardar.

Autorizó correctamente a Azure AD para aprovisionar/sincronizar usuarios de Webex.

Qué hacer a continuación

  • Si desea sincronizar solo un subconjunto de sus usuarios de Azure AD a Webex, lea Agregar grupo de usuarios a la aplicación en Azure AD.

  • Si desea asignar atributos de usuarios de Azure AD adicionales a los atributos de Webex antes de sincronizar usuarios, lea Mapear Atributos del usuario azure a Webex.

  • Después de esos pasos, puede habilitar el aprovisionamiento automatizado desde Azure AD a Webex.

Siga este procedimiento para asignar atributos de usuarios adicionales de Azure a Webex, o para cambiar las asignaciones de atributos de usuarios existentes.

Antes de comenzar

Ha agregado y configurado la aplicación Cisco Webex en su dispositivo Azure Active Directory conexión, y ha probado la conexión.

Puede modificar las asignaciones de atributos del usuario antes o después de iniciar la sincronización de usuarios.

1

Inicie sesión en el portal de Azure y, a continuación, vaya a Azure Active Directory > aplicaciones empresariales > Todas las aplicaciones.

2

Abra la Cisco Webex aplicación.

3

Seleccione la página Aprovisionamiento y abra el control Asignaciones en esa página.

4

Haga clic en Sincronizar dispositivos Active Directory Azure para los usuarios de CiscoWebex

Se abrirá una nueva sección.

5

Marque la casilla de verificación Mostrar opciones avanzadas y luego haga clic en Editar lista de atributos paraCiscoWebex.

En el control que se abre, puede elegir los atributos de Webex que se completarán de los atributos de usuario de Azure. Los atributos y asignaciones se muestran más adelante en este procedimiento.

6

Después de seleccionar los atributos de Webex, haga clic en Guardary, luego, en Sí para confirmar.

Se abre la página Asignación de atributos, para poder asignar atributos de usuarios de Azure AD a los atributos de usuario de Webex que eligió.

7

Cerca de la parte inferior de la página, haga clic en Agregar nuevaasignación.

8

Elija Asignación directa. Seleccione el atributo Origen (atributo Azure) y el atributo Destino (atributo de Webex) y, luego, haga clic en Aceptar.

Tabla 1. Asignación de Azure a Webex

Atributo de Active Directory azure (origen)

Cisco Webex de destino

Userprincipalname

nombre de usuario

Cambiar([IsSoftd], , "Falso", "Verdadero", "Verdadero", "Falso")

activo

displayName

displayName

Apellido

nombre.nombre familiar

givenName

nombre.nombre dado

cargoTitle (Título de trabajo)

title

reasignación de uso

direcciones[escriba eq "work"].country

ciudad

direcciones[type eq "work"].locality

streetAddress

direcciones[escriba eq "work"].streetAddress

Estado

direcciones[escriba eq "trabajo"].región

postalCode

direcciones[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

Idobjeto

ID externo

9

Repita los dos pasos anteriores hasta que haya agregado o modificado todas las asignaciones que necesita y, a continuación, haga clic en Guardar y en Sí para confirmar sus nuevas asignaciones.


 

Le recomendamos que no cambie las asignaciones de atributos predeterminadas. Una asignación importante es userPrincipalName (UPN) en Azure AD a la dirección de correo electrónico (nombre de usuario) en Control Hub. Puede restaurar las asignaciones predeterminadas si quiere volver a iniciar.

Si userPrincipalName no es el correo electrónico de Control Hub, los usuarios se aprovisionan como usuarios nuevos y no coinciden con los usuarios existentes en Control Hub. Si desea usar la dirección de correo electrónico de Azure en lugar de UPN, debe cambiar esa asignación predeterminada en Ad de Azure de userPrincipalName a Correo electrónico .

Sus asignaciones están listas y los usuarios de Webex se crearán o actualizarán en la próxima sincronización.

Antes de comenzar

Tiene:

  • Se agregó la Cisco Webex cliente

  • Autorizó a Azure a crear automáticamente usuarios de Webex y probó la conexión.

  • (Opcional) Asignó usuarios y grupos específicos a la aplicación de Webex.

  • (Opcional) Atributos de Azure asignados (adicionales y no predeterminados) a los atributos de Webex

1

Abra la Cisco Webex aplicación en el portal de Azure y vaya a la página Aprovisionamiento.

2

Si asignó usuarios o grupos específicos a la aplicación, defina el alcance de aprovisionamiento en Sincronizar solo usuarios y grupos asignados.

Si elige esta opción, pero aún no ha asignado usuarios y grupos, debe seguir Asignar grupos/usuarios a la aplicación en Azure AD antes de alternar el aprovisionamiento.

3

Active el estado de aprovisionamiento a En .

Esta acción inicia el aprovisionamiento/la sincronización automática de los usuarios de Webex desde Azure AD. Esto puede tardar hasta 40 minutos.

Si está probando y necesita reducir la espera, puede utilizar el aprovisionamiento bajo demanda. Consulte .https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand

Otra opción es reiniciar el aprovisionamiento: alternancia Estado deaprovisionamiento a Desactivado ,Guardar y, luego, volver a En , Guardar (nuevamente). Esto obliga a una nueva sincronización.


 

Le aconsejamos con claridad que no utilice la opción Borrar estado actual y reiniciar sincronización.

4

Inicie sesión en , vaya a Usuarios y compruebe si azure Active Directory https://admin.webex.comcuentas deusuario.

Esta sincronización se produce por medio de la API, de manera que no hay ninguna indicación de estado en el Concentrador de control. Puede comprobar los registros en el portal de Azure para ver el estado de la sincronización de usuarios.


 

Para obtener un registro de cualquier cambio relacionado con la sincronización de usuarios de Azure AD y aislar cualquier problema posible, acceda a los registros de auditoría: en Actividad , haga clic en Registros de auditoría. Esta vista muestra cada registro, y puede filtrar categorías específicas, como El aprovisionamiento de cuentas para el filtro de servicio y UsuarioAprovisionamiento para un filtro de categoría.

Puede eliminar asignaciones de usuarios de Azure AD. Esto conserva las cuentas de usuario de Azure AD, pero elimina esas cuentas para poder acceder a las aplicaciones y los servicios de su organización de Webex.

Al eliminar la aplicación asignación de usuarios, Webex marca al usuario comoInactivo.

1

Desde el portal de Azure, vaya a Aplicaciones empresariales y, a continuación, elija la aplicaciónde Webex que agregó.

2

Elija un usuario o un grupo de usuarios de la lista de aquellos asignados a la aplicación.

3

Haga clic en Eliminary, luego, en Sí para confirmar la eliminación.

En el próximo evento de sincronización, el usuario o el grupo de usuarios se elimina de la aplicación de Webex.

1

Vaya a Usuarios , marque una casilla de verificación junto a cada cuenta de usuario que desea eliminar y, a continuación, haga clic en Eliminar usuario.

Los usuarios se desplazan a la ficha Usuarios eliminados.

En el Control Hub, los usuarios se desplazan al estado de "eliminación temporal" y no se eliminan inmediatamente. También se les ha cambiado el nombre. Azure AD envía estos cambios a la nube de Webex. El Control Hub refleja estos cambios y marca al usuario como Inactivo. Se revocaron todos los tokens para el usuario.

2

Para verificar todos los registros de la eliminación de usuarios, vaya a Registros de auditoría y luego ejecute una búsqueda en la categoría Administración de usuarios o en la actividad Eliminar usuario.


 

Cuando abra un registro de auditoría de usuarios eliminados y haga clic en Destino(s), podrá ver que el nombre principal del usuario tiene una cadena de números y caracteres antes que la @.

Si está realizando alguna acción de eDiscovery en Control Hub, debe obtener el nombre principal de usuario de los registros de auditoría en Azure AD. Para obtener más información sobre eDiscovery, consulte Garantizar el cumplimiento regulatorio de la aplicación Webex y el contenido dereuniones.

Qué hacer a continuación

Tiene 30 días para recuperar los usuarios eliminados "soft" antes de que sean eliminados en forma permanente. Si recupera el usuario en Azure AD, Control Hub reactivará al usuario y lo cambiará a la dirección original de correo electrónico/UPN.

Si no recupera el usuario, Azure AD realiza una eliminación duro. Su organización de Webex elimina al usuario y ya no lo verá en Control Hub. Si más tarde le ha leído la dirección de correo electrónico a Azure AD, Webex crea una cuenta completamente nueva para el usuario.