SSO con varios IdP en Webex

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión en Webex de forma segura autenticándose con el proveedor de identidad común de su organización. Un proveedor de identidad (IdP) almacena y gestiona de forma segura las identidades digitales de sus usuarios y proporciona el servicio de autenticación de usuarios para sus usuarios de Webex.

Por qué podrías necesitar varios proveedores de identidad (IdP)

Muchas grandes empresas se fusionan y son adquiridas, y rara vez comparten la misma infraestructura de TI y los mismos proveedores de identidad. Las instituciones gubernamentales cuentan con diversas organizaciones y agencias bajo su jurisdicción. Con frecuencia, estas organizaciones tienen una única dirección de correo electrónico para sus departamentos de TI y su infraestructura, respectivamente. Las principales instituciones educativas cuentan con un departamento central de compras, pero las diferentes universidades y facultades tienen distintas organizaciones y departamentos de TI.

Es común ver que los proveedores de identidad (IdP) y los proveedores de servicios (SP) se federen entre sí. El IdP es responsable de autenticar las credenciales de sus usuarios y el SP confía en la autenticación realizada por el IdP. Esto permite a tus usuarios acceder a diversas aplicaciones y servicios SaaS utilizando la misma identidad digital. Pero si, por algún motivo, su organización no puede establecer una federación entre los proveedores de identidad (IdP), Webex ofrece una solución alternativa para admitir múltiples IdP. Por estos motivos, le ofrecemos la opción de configurar el inicio de sesión único (SSO) para múltiples proveedores de identidad (IdP) en Webex y simplificar el proceso de autenticación de sus usuarios.

Limitaciones

Si utiliza Directory Connector en su organización, todos los usuarios deben tener configurado el acceso a esta herramienta. Consulte la guía de implementación del conector de directorio para obtener más información.

Actualmente, solo admitimos SAML, OpenID Connect y Webex Identity como proveedores de identidad.

Fuera de alcance

Configurar asignaciones de grupo.

Verificación de dominio. Consulte Administrar sus dominios para obtener más información.

Aprovisionamiento de usuarios. Consulte Formas de agregar usuarios a su organización de Control Hub para obtener más información.

Esta sección explica cómo integrar sus proveedores de identidad (IdP) con su organización de Webex. Puedes elegir los proveedores de identidad (IdP) que mejor se adapten a las necesidades de tu organización.

Si busca la integración de SSO de un sitio de Webex Meetings (administrado en Administración del sitio), consulte Configurar inicio de sesión único para la administración de Webex.

Requisitos previos

Antes de comenzar

Asegúrese de que se cumplen las siguientes condiciones:

Debes tener el rol de Administrador completo en Control Hub.

Un archivo de metadatos del IdP para entregar a Webex y un archivo de metadatos de Webex para entregar al IdP. Para obtener más información, consulte Integración de inicio de sesión único en Control Hub. Esto solo se aplica a la configuración SAML.

Debe planificar el comportamiento de sus reglas de enrutamiento antes de configurar varios proveedores de identidad (IdP).

La regla de enrutamiento predeterminada se aplica una vez que configure su IdP inicial. Pero puedes configurar otro IdP como predeterminado. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo.

Configurar SAML

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad y haga clic en Activar SSO.
4	Seleccione SAML como su IdP y haga clic en Siguiente.
5	Elija el tipo de certificado: Autofirmado por Cisco—Recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años. Firmado por una autoridad de certificación pública—Más seguro, pero deberá actualizar los metadatos con frecuencia.
6	Haga clic en Descargar metadatos y Siguiente. El nombre del archivo de metadatos de la aplicación Webex es idb-meta-<org-ID>-SP.xml.
7	Cargue su archivo de metadatos de IdP o complete el formulario de configuración. Al cargar el archivo de metadatos, existen dos formas de validar los metadatos del proveedor de identidad del cliente: El IdP de cliente proporciona una firma en los metadatos que están firmados por una autoridad de certificación raíz pública. El IdP de cliente proporciona una autoridad de certificación privada autofirmada o no proporciona una firma para sus metadatos. Esta opción es menos segura. De lo contrario, en el formulario de configuración, introduzca la información del IdP. Haga clic en Siguiente.
8	(Opcional) Puede cambiar el nombre del atributo SAML para Nombre de usuario de Webex o Dirección de correo electrónico principal de `uid` a algo acordado con el administrador del IdP, como `email`, `upn`, etc.
9	(Opcional) Configure los ajustes de Just In Time (JIT) y la respuesta de mapeo SAML. Consulte Configurar Just In Time (JIT) y la asignación SAML en la pestaña Administrar sus IdP en este artículo.
10	Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Pruebe la SSO conexión anterior antes de habilitarla. Este paso funciona como una ejecución de prueba y no afecta la configuración de su organización hasta que habilite la SSO en el próximo paso. Si recibe un error de autenticación, puede haber un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión único (SSO), le recomendamos que haga clic en Copiar URL al portapapeles en esta pantalla y la pegue en una ventana de navegador privada. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.
11	Vuelva a la ficha del navegador de Control Hub. Si la prueba fue exitosa, seleccione Prueba exitosa. Active SSO e IdP y haga clic en Activar. Si la prueba no fue exitosa, seleccione Prueba no exitosa. Vuelva a los pasos anteriores para corregir errores. La configuración de SSO no surte efecto en su organización a menos que seleccione el primer botón de opción y active SSO.

Qué hacer a continuación

Puedes configurar una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo.

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos enviados a los nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Configurar OpenID Connect

Al configurar OpenID Connect con Entra ID o un IdP donde el correo electrónico no es un identificador permanente, recomendamos usar el atributo de enlace externalId para asignarlo a un identificador único. Para Entra ID, sugerimos mapear OIDC a externalId. Si detectamos que el correo electrónico no coincide con el atributo de enlace, se le pedirá al usuario que verifique su identidad o que cree un nuevo usuario con la dirección de correo electrónico correcta.

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad y haga clic en Activar SSO.
4	Seleccione OpenID Connect como su IdP y haga clic en Siguiente.
5	Ingrese la información de su proveedor de identidad (IdP). Nombre—El nombre para identificar a su IdP. ID de cliente—El ID único para identificarte a ti y a tu IdP. Secreto del cliente—La contraseña que usted y su IdP conocen. Alcances—Los alcances que se asociarán con su IdP.
6	(Opcional) Active la opción Permitir configuración de clave de prueba para intercambio de código (PKCE) para configurar su IdP de OIDC con esta extensión de seguridad. Esto refuerza la seguridad de las aplicaciones cliente y garantiza la compatibilidad con los usuarios que la requieran.
7	Elige cómo agregar puntos finales. Esto se puede hacer de forma automática o manual. Utilice la URL de descubrimiento para agregar puntos finales automáticamente. Introduzca la URL de descubrimiento para su IdP. Esta URL rellenará automáticamente los puntos finales necesarios para el cierre de sesión único (SLO) de OIDC. Active Permitir que la sesión cierre sesión automáticamente para garantizar que los usuarios cierren sesión en todas las aplicaciones y servicios conectados cuando cierren sesión en Webex. Si prefiere Agregar manualmente toda la información del punto final, agregue los siguientes detalles. Emisor—Introduzca la URL del emisor tal como la especifica su IdP. Punto final de autorización—Introduzca la URL del punto final de autorización. Punto final del token—Ingrese la URL del punto final del token. Punto final JWKS—Introduzca la URL del conjunto de claves web JSON (JWKS). Punto final de información del usuario—Ingrese la URL del punto final de información del usuario. Si Permitir que la sesión cierre sesión automáticamente está activado, entonces debe introducir la URL del Punto final de cierre de sesión para habilitar el cierre de sesión único (SLO) en todas las aplicaciones conectadas. Para obtener más información, consulte la guía de configuración de OpenID Connect.
8	(Opcional) Configure los ajustes de Just In Time (JIT). Consulte Configurar Just In Time (JIT) y la asignación SAML en la pestaña Administrar sus IdP en este artículo.
9	Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Pruebe la SSO conexión anterior antes de habilitarla. Este paso funciona como una ejecución de prueba y no afecta la configuración de su organización hasta que habilite la SSO en el próximo paso. Si recibe un error de autenticación, puede haber un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión único (SSO), le recomendamos que haga clic en Copiar URL al portapapeles en esta pantalla y la pegue en una ventana de navegador privada. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.
10	Vuelva a la ficha del navegador de Control Hub. Si la prueba fue exitosa, seleccione Prueba exitosa. Active SSO e IdP y haga clic en Activar. Si la prueba no fue exitosa, seleccione Prueba no exitosa. Vuelva a los pasos anteriores para corregir errores. La configuración de SSO no surte efecto en su organización a menos que seleccione el primer botón de opción y active SSO.

Qué hacer a continuación

Puedes configurar una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo.

Configurar Webex Identity

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad y haga clic en Activar SSO.
4	Seleccione Webex como su IdP y haga clic en Siguiente.
5	Marque He leído y comprendido cómo funciona Webex IdP y haga clic en Siguiente.
6	Configura una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la pestaña Reglas de enrutamiento de este artículo.

Una vez que haya agregado una regla de enrutamiento, su IdP se agregará y se mostrará en la pestaña Proveedor de identidad.

Qué hacer a continuación

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Las reglas de enrutamiento son aplicables al configurar más de un proveedor de identidad (IdP). Las reglas de enrutamiento permiten a Webex identificar a qué proveedor de identidad (IdP) debe enviar a sus usuarios cuando haya configurado varios proveedores de identidad.

Al configurar más de un IdP, puede definir sus reglas de enrutamiento en el asistente de configuración de SSO. Si omite el paso de la regla de enrutamiento, Control Hub agrega el IdP pero no lo activa. Debes agregar una regla de enrutamiento para activar el IdP.

Agregar o editar reglas de enrutamiento

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Reglas de enrutamiento. Al configurar su primer IdP, la regla de enrutamiento se agrega automáticamente y se establece como la Regla predeterminada. Posteriormente, podrá elegir otro proveedor de identidad (IdP) para establecerlo como regla predeterminada.
4	Haga clic en Agregar nueva regla de enrutamiento.
5	Introduzca los detalles de una regla de enrutamiento: Nombre de la regla—Introduzca el nombre de la regla de enrutamiento. Seleccione un tipo de enrutamiento—Seleccione el dominio o grupo. Si estos son sus domains/groups—Ingrese el domains/groups dentro de su organización. Luego, utilice este proveedor de identidad—Seleccione el IdP.
6	Seleccione el método de autenticación multifactor (MFA): Mantener el estado actual de MFA— Permite mantener el método MFA existente sin realizar cambios. Anular el estado actual de MFA— Permite cambiar el método MFA existente a una nueva configuración. Permitir MFA solo para esta regla—Activar para habilitar MFA específicamente para la regla de enrutamiento actual. Para obtener más información sobre cómo configurar la MFA para su organización, consulte Habilitar la integración de la autenticación multifactor en Control Hub.
7	Haga clic en Agregar.
8	Seleccione la nueva regla de enrutamiento y haga clic en Activar.

Puedes cambiar el orden de prioridad de las reglas de enrutamiento si tienes reglas de enrutamiento para varios proveedores de identidad (IdP).

Desactivar o eliminar las reglas de enrutamiento

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Reglas de enrutamiento.
4	Seleccione la regla de enrutamiento.
5	Elija si desea Desactivar o Eliminar la regla de enrutamiento. Se recomienda tener otra regla de enrutamiento activa para el IdP. De lo contrario, podrías tener problemas con tu inicio de sesión SSO.

La regla predeterminada no se puede desactivar ni eliminar, pero puede modificar el IdP enrutado.

Gestiona tus certificados de proveedor de identidad (IdP).

Antes de comenzar

De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en el Control Hub de que el certificado idP caducará. Como los proveedores de IdP tienen su propia documentación específica para la renovación de certificados, cubrimos lo que se requiere en Control Hub , junto con pasos genéricos para recuperar metadatos del IdP actualizados y cargarlos en Control Hub para renovar el certificado.

Esto solo se aplica a la configuración SAML.

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad.
4	Vaya al IdP, haga clic en y seleccione Cargar metadatos del IdP. Para descargar el archivo de metadatos, haga clic en y seleccione Descargar metadatos de Idp.
5	Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos.
6	Vuelva al Centro de control y arrastre y suelte su archivo de metadatos de IdP en el área de carga o haga clic en Elegir un archivo para cargar los metadatos.
7	Elija Menos seguro (autofirmado) o Más seguro (firmado por una CA pública), según cómo estén firmados los metadatos de su IdP y haga clic en Guardar.
8	Configure los ajustes de Just In Time (JIT) y la respuesta de mapeo SAML. Consulte Configurar Just In Time (JIT) y la asignación SAML en la pestaña Administrar sus IdP en este artículo.
9	Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Pruebe la SSO conexión anterior antes de habilitarla. Este paso funciona como una ejecución de prueba y no afecta la configuración de su organización hasta que habilite la SSO en el próximo paso. Si recibe un error de autenticación, puede haber un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión único (SSO), le recomendamos que haga clic en Copiar URL al portapapeles en esta pantalla y la pegue en una ventana de navegador privada. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.
10	Haga clic en Guardar.

Gestiona tus certificados de proveedor de servicios (SP)

Antes de comenzar

Se recomienda actualizar todos los proveedores de identidad (IdP) de su organización al renovar su certificado de proveedor de servicios (SP).

Esto solo se aplica a la configuración SAML.

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad.
4	Ve al IdP y haz clic en .
5	Haga clic en Revisar certificados y fecha de vencimiento. Esto le lleva a la página de certificados del proveedor de servicios ( SP ). Puede hacer clic en para descargar los metadatos o el certificado del SP. Si su organización utiliza certificados duales, también tiene la opción de cambiar un certificado secundario por un certificado principal o eliminar un certificado secundario existente.
6	Haga clic en Renovar certificado.
7	Seleccione el tipo de proveedor de identidad (IdP) en su organización: IdP que admite un solo certificado IdP que admite varios certificados
8	Elija el tipo de certificado para la renovación: Autofirmado por Cisco (recomendado)—Recomendamos esta opción. Permítanos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años. Firmado por una autoridad de certificación pública—Más seguro, pero deberá actualizar los metadatos con frecuencia.
9	Para confirmar que desea reemplazar el certificado actual con el que ha seleccionado, marque Al hacer clic en Reemplazar un certificado, cambiaré el certificado actual por el que he seleccionadoy, a continuación, haga clic en Reemplazar un certificado.
10	En la página Renovar certificados del proveedor de servicios (SP), haga clic en Descargar metadatos o Descargar certificado para descargar una copia del archivo de metadatos actualizado o del certificado desde la nube de Webex.
11	Acceda a la interfaz de administración de su proveedor de identidad (IdP) para cargar el nuevo archivo de metadatos o certificado de Webex. Este paso se puede realizar a través de una ficha de explorador, el protocolo de escritorio remoto (RDP) o a través del soporte para proveedores específicos de la nube, según la configuración de IdP y si usted o un administrador de IdP son responsables por este paso. Para obtener más información, consulte nuestras guías de integración de SSO o póngase en contacto con el administrador de su IdP para obtener asistencia. Si utiliza Active Directory Federation Services (AD FS), puede ver cómo actualizar los metadatos de Webex en AD FS
12	Regrese a la interfaz del centro de control. En la página Renovar certificados de proveedor de servicios (SP), marque Ya he actualizado los metadatos para todos los IdPy, a continuación, haga clic en Siguiente.
13	Haga clic en Listo.

Probar la configuración del SSO

Antes de comenzar

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad.
4	Ve al IdP y haz clic en .
5	Seleccione Probar IdP.
6	Haga clic en Probar configuración de SSOy, cuando se abra una nueva pestaña del navegador, autentíquese con el IdP iniciando sesión. Si recibe un error de autenticación, puede haber un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente. Un error de la aplicación de Webex suele significar que hay un problema con la SSO configuración. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP. Para ver la experiencia de inicio de sesión único (SSO), le recomendamos que haga clic en Copiar URL al portapapeles en esta pantalla y la pegue en una ventana de navegador privada. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.
7	Vuelva a la ficha del navegador de Control Hub. Si la prueba fue exitosa, seleccione Prueba exitosa. Active SSO e IdP y haga clic en Guardar. Si la prueba no fue exitosa, seleccione Prueba no exitosa. Vuelva a los pasos anteriores para corregir errores. La SSO de ajustes no tendrá efecto en su organización a menos que elija el nombre botón de opciones y active SSO.

Configurar Just In Time (JIT) y la asignación SAML.

Antes de comenzar

Asegúrese de que se cumplen las siguientes condiciones previas:

SSO ya está configurado.
Los dominios ya han sido verificados.
Los dominios están reclamados y activados. Esta función garantiza que los usuarios de su dominio se creen y actualicen una sola vez cada vez que se autentiquen con su proveedor de identidad (IdP).
Si DirSync o Entra ID están habilitados, la creación o actualización de SAML JIT no funcionará.
"Bloquear perfil de usuario actualización" está habilitado. La asignación de actualización de SAML está permitida porque esta configuración controla la capacidad del usuario de editar los atributos. Los métodos controlados por el administrador para la creación y la actualización todavía son compatibles.

Al configurar SAML JIT con Entra ID o un IdP donde el correo electrónico no es un identificador permanente, recomendamos usar el atributo de enlace externalId para asignarlo a un identificador único. Si detectamos que el correo electrónico no coincide con el atributo de enlace, se le pedirá al usuario que verifique su identidad o que cree un nuevo usuario con la dirección de correo electrónico correcta.

Los usuarios recientemente creados no obtengan licencias asignadas automáticamente, a menos que la organización tenga configurada una plantilla de licencia automática.

Inicie sesión en el Control Hub.

Ir a Administración > Seguridad > Autenticación.

Vaya a la pestaña Proveedor de identidad.

Ve al IdP y haz clic en Menú Más .

Seleccione Editar asignación SAML.

Configurar Ajustes Just-in-Time (JIT).

Crear o activar usuario: Si no se encuentra ningún usuario activo, Webex Identity crea el usuario y actualiza los atributos después de que el usuario se haya autenticado con el IdP.
Actualizar usuario con atributos de SAML: si se encuentra un usuario con dirección de correo electrónico, Webex Identity actualiza al usuario con los atributos asignados en la aserción SAML.

Confirme que los usuarios pueden iniciar sesión con una dirección de correo electrónico diferente y no identificable.

Configure los atributos requeridos de mapeo SAML.

Tabla 1. Atributos necesarios
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
Nombre de usuario/Dirección de correo electrónico principal	Ejemplo: UID	Asigne el atributo de UID al correo electrónico, UPN o edupersonprincipalname proporcionado del usuario.

Configure los atributos de enlace .

Esto debe ser único para cada usuario. Se utiliza para buscar a un usuario de manera que Webex pueda actualizar todos los atributos de su perfil, incluido el correo electrónico.

Tabla 2. Atributos de enlace
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID externo	Ejemplo: user.objectid	Para identificar este usuario de otros perfiles de individuo. Esto es necesario en la asignación entre directorios o el cambio de otros atributos de perfil.
Atributo de extensión 1	Ejemplo: user.extensionattribute1	Asigne estos atributos personalizados a los atributos extendidos de Entra ID o de su directorio, para el seguimiento de códigos.
Atributo de extensión 2	Ejemplo: user.extensionattribute2
Atributo de extensión 3	Ejemplo: user.extensionattribute3
Atributo de extensión 4	Ejemplo: usuario.extensionlattribute4
Atributo de extensión 5	Ejemplo: user.extensionattribute5

Configurar Atributos de perfil.

Tabla 2. Atributos de perfil
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID externo	Ejemplo: user.objectid	Para identificar este usuario de otros perfiles de individuo. Esto es necesario en la asignación entre directorios o el cambio de otros atributos de perfil.
preferredLanguage	Ejemplo: idioma user.preferred	Idioma preferido del usuario.
locale	Ejemplo: user.locale	Ubicación del empleo principal del usuario.
timezone	Ejemplo: user.timezone	Zona horaria principal del usuario.
displayName	Ejemplo: nombredeusuario.display	Nombre de visualización del usuario en Webex.
nombre.nombre dado	Ejemplo: nombredeusuario.dado	El nombre del usuario.
nombre.nombre familiar	Ejemplo: nombredeusuario.apellido	El apellido del usuario.
direcciones.dirección de calle	Ejemplo: dirección de calle user.streetaddress	Dirección postal laboral de la ubicación de empleo principal.
direcciones.localidad	Por ejemplo: usuario.localidad	Localidad de la ubicación del empleo principal.
direcciones.región	Ejemplo: usuario.región	Región de la ubicación del empleo principal.
direcciones.código postal	Ejemplo: código postal	Código postal laboral de la ubicación de empleo principal.
direcciones.país	Ejemplo: usuario.país	País de la ubicación del empleo principal.
phoneNumbers.work	Ejemplo: número de teléfono laboral	Número de teléfono laboral de la ubicación de empleo principal. Utilice solo el formato internacional E.164 (15 dígitos como máximo).
phoneNumbers.extension	Ejemplo: número de teléfono de extensión	Extensión de laboral del número de teléfono del empleo principal. Utilice solo el formato internacional E.164 (15 dígitos como máximo).
Númerosdeteléfono.móvil	Ejemplo: número de teléfono móvil	El número telefónico móvil de su lugar de trabajo principal. Utilice solo el formato internacional E.164 (15 dígitos como máximo).
title	Ejemplo: user.jobtitle	Especifique el nombre del empleo del usuario.
departamento	Ejemplo: usuario.departamento	Departamento o equipo del empleo del usuario.
correos electrónicos.trabajo	Por ejemplo: correos electrónicos de trabajo	Correos electrónicos laborales del usuario.
organización	Por ejemplo: organización de usuarios	El ID de la organización del usuario

Configurar Atributos de grupo.

Cree un grupo en Control Hub y anote el ID del grupo de Webex.
Acceda a su directorio de usuarios o proveedor de identidad (IdP) y configure un atributo para los usuarios que se asignarán al ID de grupo de Webex.
Actualiza la configuración de tu IdP para incluir una declaración que contenga este nombre de atributo junto con el ID del grupo de Webex (por ejemplo, c65f7d85-b691-42b8-a20b-12345xxxx). También puede utilizar el ID externo para gestionar los cambios en los nombres de los grupos o para futuros escenarios de integración. Por ejemplo, sincronizar con Entra ID o implementar la sincronización de grupos SCIM.
Especifique el nombre exacto del atributo que se enviará en la aserción SAML con el ID del grupo. Esto se utiliza para añadir al usuario a un grupo.
Especifique el nombre exacto del ID externo del objeto de grupo si está utilizando un grupo de su directorio para enviar miembros en la aserción SAML.

Si el usuario A está asociado con groupID 1234 y el usuario B con groupID 4567, se les asigna a grupos separados. Este escenario indica que un único atributo permite a los usuarios asociarse con múltiples identificadores de grupo. Si bien esto es poco común, es posible y puede considerarse un cambio aditivo. Por ejemplo, si el usuario A inicia sesión inicialmente usando groupID 1234, se convierte en miembro del grupo correspondiente. Si el usuario A inicia sesión posteriormente utilizando groupID 4567, también se le añadirá a este segundo grupo.

El aprovisionamiento JIT de SAML no admite la eliminación de usuarios de grupos ni la supresión de usuarios.

Tabla 4. Atributos del grupo
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID de grupo	Por ejemplo: ID de grupo	Asigne atributos de grupo del IdP a atributos de grupo de identidad de Webex con el fin de asignar ese usuario a un grupo para la concesión de licencias o el servicio de configuración.
groupexternalId	Por ejemplo: groupexternalId	Asigne atributos de grupo del IdP a atributos de grupo de identidad de Webex con el fin de asignar ese usuario a un grupo para la concesión de licencias o el servicio de configuración.

Para obtener una lista de los atributos de aserción SAML para Webex Meetings, consulte Atributos de aserción SAML para Webex Meetings y Jabber.

Elimine su proveedor de identidad (IdP).

Antes de comenzar

Se recomienda desactivar o eliminar primero las reglas de enrutamiento del IdP antes de eliminar el IdP.

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad.
4	Ve al IdP y haz clic en .
5	Seleccione Eliminar.

1	Inicie sesión en el Control Hub.
2	Ir a Administración > Seguridad > Autenticación.
3	Vaya a la pestaña Proveedor de identidad.
4	Haga clic en Desactivar SSO. Confirme la desactivación del SSO.

Una vez confirmado, el inicio de sesión único (SSO) se desactiva para todos los proveedores de identidad (IdP) de su organización.

Recibirá alertas en control Hub antes de que los certificados estén configurados para caducar, pero también puede configurar reglas de alertas en forma dinámica. Estas reglas le permiten saber de antemano que sus certificados SP o IdP caducarán. Podemos enviarles estos mensajes por correo electrónico, por un espacio en la aplicaciónWebex, o por ambos.

Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en el Concentrador de control. Consulte El Centro de alertas en Control Hub para obtener más información.

1	Inicie sesión en el Control Hub.
2	Diríjase al Centro de alertas.
3	Elija Administrar y, a continuación, Todas las reglas.
4	En la lista Reglas, elija cualquiera de las SSO de perfil que desea crear: SSO vencimiento del certificado IDP SSO certificado SP caducado
5	En la sección Canal de entrega, marque la casilla correspondiente a Correo electrónico, espacio de Webex, o ambos. Si elige Correo electrónico, introduzca la dirección de correo electrónico que debería recibir la notificación. Si elige la opción del espacio de Webex, se lo agregará automáticamente a un espacio dentro de la aplicación de Webex y entregamos las notificaciones allí.
6	Guarde los cambios.

Qué hacer a continuación

Enviamos alertas de caducidad de certificados una vez cada 15 días, desde 60 días antes de la caducidad. (Recibirá alertas los días 60, 45, 30 y 15). Las alertas se detendrán cuando renueve el certificado.

Si encuentra problemas con su inicio de sesión SSO, puede utilizar la opción de autorrecuperación SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de autorrecuperación le permite actualizar o deshabilitar el inicio de sesión único (SSO) en Control Hub.

Cisco AI Assistant

Gracias por sus comentarios.

SSO con varios IdP en Webex

Por qué podrías necesitar varios proveedores de identidad (IdP)

Limitaciones

Fuera de alcance

Pequeñas empresas

Enterprise

Dispositivos

Soluciones para

Recursos

Company