SSO con varios IdP en Webex

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión en Webex de forma segura al autenticarse en el proveedor de servicios de identidad común de su organización. Un proveedor de servicios de identidad (IdP) almacena y administra de forma segura las identidades digitales de sus usuarios y proporciona el servicio de autenticación de usuarios para sus usuarios de Webex.

Por qué es posible que necesite varios IdP

Muchas grandes empresas se someten a fusiones y adquisiciones, y estas empresas rara vez tienen la misma infraestructura de TI y los mismos proveedores de identidad. Las instituciones gubernamentales tienen a su cargo diversas organizaciones y organismos. A menudo, estas organizaciones tienen una única dirección de correo electrónico para sus propios departamentos e infraestructura de TI, respectivamente. Las principales instituciones educativas tienen un departamento central de compras, pero diferentes universidades y facultades con diferentes departamentos y organizaciones de TI.

Es común ver que los IdP y los proveedores de servicios (SP) se federan entre sí. El IdP es responsable de autenticar las credenciales de sus usuarios y el SP confía en la autenticación realizada por el IdP. Esto permite a sus usuarios acceder a varias aplicaciones y servicios SaaS utilizando la misma identidad digital. Pero, si por alguna razón su organización no puede federarse entre los IdP, Webex ofrece una solución alternativa para admitir varios IdP. Por estas razones, le ofrecemos la opción de configurar el SSO para varios IdP en Webex y simplificar el proceso de autenticación de sus usuarios.

Limitaciones

Esta característica solo está disponible si ha adquirido el paquete de seguridad extendido de Webex.

Todos los usuarios deben estar aprovisionados con el Conector de directorios si está utilizando el Conector de directorios en su organización. Para obtener más información, consulte la guía de implementación del Conector de directorios.

Actualmente, solo admitimos SAML, OpenID Connect y Webex Identity como proveedores de identidad.

Fuera del alcance

Configure las asignaciones de grupo.

Verificación de dominio. Para obtener más información, consulte Administrar sus dominios.

Aprovisionamiento de usuarios. Consulte Formas de agregar usuarios a su organización de Control Hub para obtener más información.

Esta sección cubre cómo puede integrar sus proveedores de servicios de identidad (IdP) con su organización de Webex. Puede elegir los IdP que mejor se adapten a los requisitos de su organización.

Si está buscando la integración de SSO de un sitio de Webex Meetings (administrado en Administración del sitio), consulte Configurar el inicio de sesión único para la Administración de Webex.

Requisitos previos

Antes de comenzar

Asegurarse de que se cumplen las siguientes condiciones:

Debe tener el paquete de seguridad extendido de Webex para configurar el SSO con varios IdP en Control Hub.

Debe tener una función de administrador completo en Control Hub.

Un archivo de metadatos del IdP para entregar a Webex y un archivo de metadatos de Webex para entregar al IdP. Para obtener más información, consulte Integración del inicio de sesión único en Control Hub. Esto solo se aplica a la configuración de SAML.

Debe planificar el comportamiento de las reglas de enrutamiento antes de configurar varios IdP.

La regla de enrutamiento predeterminada se aplica una vez que configura el IdP inicial. Pero puede establecer otro IdP como predeterminado. Consulte Agregar o editar regla de enrutamiento en la ficha Reglas de enrutamiento de este artículo.

Configurar SAML

Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Administración), desplácese hasta Authentication (Autenticación) y haga clic en Activate SSO (Activar SSO) para iniciar el asistente de configuración.

Seleccione SAML como IdP y haga clic en Siguiente.

Elija el tipo de certificado:

Firma automática de Cisco: recomendamos esta opción. Déjenos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
Firmado por una autoridad de certificación pública: más seguro, pero tendrá que actualizar con frecuencia los metadatos (a menos que su proveedor de IdP admita anclajes de confianza).

Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte la documentación de su IdP.

Haga clic en Descargar metadatos y Siguiente.

El nombre de archivo de metadatos de la aplicación de Webex es idb-meta-<org-ID>-SP.xml.

Cargue su archivo de metadatos de IdP o complete el formulario de configuración.

Al cargar el archivo de metadatos, hay dos formas de validar los metadatos desde el IdP de cliente:

El IdP de cliente proporciona una firma en los metadatos que están firmados por una autoridad de certificación raíz pública.

El IdP de cliente proporciona una autoridad de certificación privada autofirmada o no proporciona una firma para sus metadatos. Esta opción es menos segura.

De lo contrario, en el formulario de configuración, introduzca la información del IdP.

Haga clic en Siguiente.

(Opcional) Configure los ajustes Justo a tiempo (JIT) y la respuesta de asignación de SAML.

Consulte Configurar justo a tiempo (JIT) y asignación de SAML en la ficha Administrar sus IdP de este artículo.

Haga clic en Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.

Pruebe la conexión de SSO antes de habilitarla. Este paso funciona como un ensayo y no afecta la configuración de su organización hasta que habilite el inicio de SSO en el siguiente paso.

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Un error de la aplicación de Webex generalmente significa un problema con la configuración del SSO. En este caso, repita los pasos, especialmente los pasos en los que copia y pega los metadatos de Control Hub en la configuración del IdP.

Para ver la experiencia de inicio de sesión SSO, le recomendamos que haga clic en Copiar URL al portapapeles desde esta pantalla y péguela en una ventana privada del navegador. Desde allí, puede iniciar sesión con SSO. Esto ayuda a eliminar cualquier información almacenada en caché en su explorador web que podría proporcionar un resultado falso positivo al probar su configuración de SSO.

Vuelva a la ficha del navegador de Control Hub.

Si la prueba ha sido correcta, seleccione Prueba correcta. Active el SSO y el IdP y haga clic en Activar.

Si la prueba no tuvo éxito, seleccione Prueba no exitosa. Vuelva a los pasos anteriores para corregir errores.

La configuración del SSO no tiene efecto en su organización a menos que elija el primer botón de opciones y active el SSO.

Qué hacer a continuación

Puede configurar una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la ficha Reglas de enrutamiento de este artículo.

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos enviados a los nuevos usuarios de la aplicación Webex en su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Configurar OpenID Connect

Seleccione OpenID Connect como su IdP y haga clic en Siguiente.

Introduzca su información de IdP.

Nombre: el nombre para identificar su IdP.

ID de cliente: el ID exclusivo para identificarle a usted y a su IdP.

Secreto de cliente: la contraseña que usted y su IdP conocen.

Alcances: los alcances que se asociarán con su IdP.

Elija cómo agregar extremos. Esto puede hacerse de forma automática o manual.

Utilizar la URL de descubrimiento: introduzca la URL de configuración de su IdP.
Agregar manualmente información de endpoints: introduzca los siguientes detalles.
- Emisor
- Terminal de autorización
- Terminal del token
- Terminal JWKS
- Terminal de información de usuario
Para obtener más información, consulte la guía de configuración de OpenID Connect.

(Opcional) Configure la configuración justo a tiempo (JIT).

Consulte Configurar justo a tiempo (JIT) y asignación de SAML en la ficha Administrar sus IdP de este artículo.

Haga clic en Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.

Pruebe la conexión de SSO antes de habilitarla. Este paso funciona como un ensayo y no afecta la configuración de su organización hasta que habilite el inicio de SSO en el siguiente paso.

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Vuelva a la ficha del navegador de Control Hub.

Si la prueba ha sido correcta, seleccione Prueba correcta. Active el SSO y el IdP y haga clic en Activar.

Si la prueba no tuvo éxito, seleccione Prueba no exitosa. Vuelva a los pasos anteriores para corregir errores.

La configuración del SSO no tiene efecto en su organización a menos que elija el primer botón de opciones y active el SSO.

Qué hacer a continuación

Puede configurar una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la ficha Reglas de enrutamiento de este artículo.

Configurar la identidad de Webex

1	Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Administración), desplácese hasta Authentication (Autenticación) y haga clic en Activate SSO (Activar SSO) para iniciar el asistente de configuración.
2	Seleccione Webex como su IdP y haga clic en Siguiente.
3	Marque He leído y entendido cómo funciona el IdP de Webex y haga clic en Siguiente.
4	Configure una regla de enrutamiento. Consulte Agregar o editar regla de enrutamiento en la ficha Reglas de enrutamiento de este artículo.

Una vez que haya agregado una regla de enrutamiento, se agregará su IdP y se mostrará en la ficha Proveedor de servicios de identidad.

Qué hacer a continuación

Puede seguir el procedimiento en Suprimir correos electrónicos automatizados para deshabilitar los correos electrónicos que se envían a los nuevos usuarios de la aplicación Webex de su organización. El documento también contiene las mejores prácticas para enviar las comunicaciones a usuarios de su organización.

Las reglas de enrutamiento se aplican al configurar más de un IdP. Las reglas de enrutamiento permiten que Webex identifique a qué IdP enviar a sus usuarios cuando haya configurado varios IdP.

Al configurar más de un IdP, puede definir sus reglas de enrutamiento en el asistente de configuración de SSO. Si omite el paso de la regla de enrutamiento, Control Hub agrega el IdP pero no activa el IdP. Debe agregar una regla de enrutamiento para activar el IdP.

Agregar o editar reglas de enrutamiento

Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Configuración de la organización), desplácese hasta Authentication (Autenticación) y haga clic en Manage SSO and IdP (Administrar SSO e IdP).

Vaya a la ficha Reglas de enrutamiento.

Al configurar su primer IdP, la regla de enrutamiento se agrega automáticamente y se configura como la Regla predeterminada. Puede elegir otro IdP para configurarlo como la regla predeterminada más adelante.

Haga clic en Agregar nueva regla de enrutamiento.

Introduzca los detalles de una nueva regla:

Nombre de regla: introduzca el nombre de la regla de enrutamiento.

Seleccionar un tipo de enrutamiento: seleccione un dominio o grupo.

Si estos son sus dominios/grupos: introduzca los dominios/grupos de su organización.

A continuación, utilice este proveedor de servicios de identidad: seleccione el IdP.

Haga clic en Agregar.

Seleccione la nueva regla de enrutamiento y haga clic en Activar.

Puede cambiar el orden de prioridad de la regla de enrutamiento si tiene reglas de enrutamiento para varios IdP.

Desactivar o eliminar reglas de enrutamiento

1	Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Configuración de la organización), desplácese hasta Authentication (Autenticación) y haga clic en Manage SSO and IdP (Administrar SSO e IdP).
2	Vaya a la ficha Reglas de enrutamiento.
3	Seleccione la regla de enrutamiento.
4	Elija si desea Desactivar o Eliminar la regla de enrutamiento. Se recomienda que tenga otra regla de enrutamiento activo para el IdP. De lo contrario, puede tener problemas con su inicio de sesión de SSO.

La regla predeterminada no se puede desactivar ni eliminar, pero puede modificar el IdP enrutado.

Administrar sus certificados de proveedor de servicios de identidad (IdP)

Antes de comenzar

De vez en cuando, es posible que reciba una notificación por correo electrónico o vea una alerta en Control Hub de que el certificado IdP va a caducar. Debido a que los proveedores de IdP tienen su propia documentación específica para la renovación del certificado, cubrimos lo que se requiere en Control Hub, junto con los pasos genéricos para recuperar los metadatos de IdP actualizados y cargarlos en Control Hub para renovar el certificado.

Esto solo se aplica a la configuración de SAML.

Vaya a la ficha Proveedor de servicios de identidad.

Vaya al IdP, haga clic en upload y seleccione Cargar metadatos de IDP.

Para descargar el archivo de metadatos, haga clic en Download

y seleccione Descargar metadatos de Idp.

Diríjase a su interfaz de administración de IdP para recuperar el nuevo archivo de metadatos.

Vuelva a Control Hub y arrastre y suelte su archivo de metadatos del IdP en el área de carga o haga clic en Elegir un archivo para cargar los metadatos.

Elija Menos seguro (firmado automáticamente) o Más seguro (firmado por una autoridad de certificación pública), según la forma en que se firmen los metadatos del IdP y haga clic en Guardar.

Configure la configuración justo a tiempo (JIT) y la respuesta de asignación de SAML.

Consulte Configurar justo a tiempo (JIT) y asignación de SAML en la ficha Administrar sus IdP de este artículo.

Haga clic en Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.

Pruebe la conexión de SSO antes de habilitarla. Este paso funciona como un ensayo y no afecta la configuración de su organización hasta que habilite el inicio de SSO en el siguiente paso.

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Haga clic en Guardar.

Administrar los certificados de su proveedor de servicios (SP)

Antes de comenzar

Se recomienda que actualice todos los IdP de su organización al renovar su certificado de SP.

Esto solo se aplica a la configuración de SAML.

Vaya a la ficha Proveedor de servicios de identidad.

Vaya al IdP y haga clic en.

Haga clic en Revisar certificados y fecha de caducidad.

Esto lo llevará a la ventana Certificados del proveedor de servicios (SP).

Haga clic en Renovar certificado.

Elija el tipo de IdP en su organización:

Un IdP que admita varios certificados
Un IdP que admita un único certificado

Elija el tipo de certificado para la renovación:

Firma automática de Cisco: recomendamos esta opción. Déjenos firmar el certificado para que solo tenga que renovarlo una vez cada cinco años.
Firmado por una autoridad de certificación pública: es más seguro, pero tendrá que actualizar con frecuencia los metadatos (a menos que su proveedor de IdP admita anclajes de confianza).

Los anclajes de confianza son claves públicas que actúan como autoridad para verificar el certificado de una firma digital. Para obtener más información, consulte la documentación de su IdP.

Haga clic en Descargar metadatos o Descargar certificado para descargar una copia del archivo de metadatos o certificado actualizados desde la nube de Webex.

Diríjase a su interfaz de administración de IdP para cargar el nuevo archivo de metadatos o certificado de Webex.

Este paso puede realizarse a través de una ficha del navegador, un protocolo de escritorio remoto (RDP) o a través de un soporte específico de un proveedor de nube, según la configuración de su IdP y si usted o un administrador de IdP independiente son responsables de este paso.

Para obtener más información, consulte nuestras guías de integración de SSO o póngase en contacto con su administrador de IdP para obtener soporte. Si está en Active Directory Federation Services (AD FS), puede ver cómo actualizar los metadatos de Webex en AD FS

Vuelva a la interfaz de Control Hub y haga clic en Siguiente.

Seleccione Actualizado correctamente todos los IdP y haga clic en Siguiente.

Esto carga el archivo de metadatos o el certificado del SP a todos los IdP de su organización.

Haga clic en Finalizar renovación.

Probar la configuración del SSO

Antes de comenzar

Vaya a la ficha Proveedor de servicios de identidad.

Vaya al IdP y haga clic en.

Seleccione IdP de prueba.

Haga clic en Probar configuración de SSO y, cuando se abra una nueva ficha del navegador, autentique el IdP iniciando sesión.

Si recibe un error de autenticación, es posible que haya un problema con las credenciales. Controle el nombre de usuario y la contraseña e inténtelo nuevamente.

Vuelva a la ficha del navegador de Control Hub.

Si la prueba ha sido correcta, seleccione Prueba correcta. Active el SSO y el IdP y haga clic en Guardar.

Si la prueba no tuvo éxito, seleccione Prueba no exitosa. Vuelva a los pasos anteriores para corregir errores.

La configuración del SSO no tiene efecto en su organización a menos que elija el primer botón de opciones y active el SSO.

Configurar justo a tiempo (JIT) y asignación de SAML

Antes de comenzar

Asegurarse de que se cumplen las siguientes condiciones previas:

El SSO ya está configurado.
Los dominios ya se han verificado.
Los dominios se reclaman y activan. Esta característica garantiza que los usuarios de su dominio se creen y actualicen una vez cada vez que se autentiquen con su IdP.
Si DirSync o Azure AD están habilitados, la creación o actualización de JIT de SAML no funcionará.
La opción "Bloquear actualización de perfil de usuario" está habilitada. Se permite la asignación de actualización de SAML porque esta configuración controla la capacidad del usuario para editar los atributos. Los métodos de creación y actualización controlados por el administrador siguen siendo compatibles.

Cuando configure SAML JIT con Azure AD o un IdP en el que el correo electrónico no sea un identificador permanente, le recomendamos que utilice el externalId vincular un atributo a asignar a un identificador único. Si descubrimos que el correo electrónico no coincide con el atributo de vinculación, se solicita al usuario que verifique su identidad o cree un nuevo usuario con la dirección de correo electrónico correcta.

A los usuarios recién creados no se les asignarán licencias automáticamente a menos que la organización tenga configurada una plantilla automática de licencias.

Vaya a la ficha Proveedor de servicios de identidad.

Vaya al IdP y haga clic en.

Seleccione Editar asignación de SAML.

Configure la configuración justo a tiempo (JIT).

Crear o activar usuario: si no se encuentra ningún usuario activo, Webex Identity crea el usuario y actualiza los atributos después de que el usuario se haya autenticado con el IdP.
Actualizar el usuario con los atributos de SAML: si se encuentra un usuario con dirección de correo electrónico, Webex Identity lo actualiza con los atributos asignados en la aserción SAML.

Confirme que los usuarios pueden iniciar sesión con una dirección de correo electrónico diferente y no identificable.

Configure los atributos obligatorios de asignación de SAML.

Tabla 1. Atributos obligatorios
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
Nombre de usuario/dirección de correo electrónico principal	Ejemplo: UID	Asigne el atributo de UID al correo electrónico, UPN o edupersonprincipalname proporcionado del usuario.

Configure los atributos de vinculación.

Esto debe ser exclusivo para el usuario. Se utiliza para buscar a un usuario para que Webex pueda actualizar todos los atributos del perfil, incluido el correo electrónico de un usuario.

Tabla 2. Atributos de vinculación
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID externo	Ejemplo: user.objectid	Para identificar este usuario de otros perfiles de individuo. Esto es necesario en la asignación entre directorios o el cambio de otros atributos de perfil.
empleado	Ejemplo: usuario.employeeid	El número de empleado del usuario, o un número de identificación dentro de su sistema de RR. HH. Tenga en cuenta que esto no es para `externalid`, porque puedes reutilizar o reciclar `employeenumber` para otros usuarios.
Atributo de extensión 1	Ejemplo: user.extensionattribute1	Asigne estos atributos personalizados a atributos extendidos en Active Directory, Azure o su directorio, para los códigos de seguimiento.
Atributo de extensión 2	Ejemplo: user.extensionattribute2
Atributo de extensión 3	Ejemplo: user.extensionattribute3
Atributo de extensión 4	Ejemplo: user.extensionlattribute4
Atributo de extensión 5	Ejemplo: user.extensionattribute5

Configure Atributos de perfil.

Cuadro 3. Atributos de perfil
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID externo	Ejemplo: user.objectid	Para identificar este usuario de otros perfiles de individuo. Esto es necesario en la asignación entre directorios o el cambio de otros atributos de perfil.
empleado	Ejemplo: usuario.employeeid	El número de empleado de este usuario o un número de identificación dentro de su sistema de RR. HH. Tenga en cuenta que esto no es para "externalid", porque puede reutilizar o reciclar "employeenumero" para otros usuarios.
preferredLanguage	Ejemplo: idioma usuario.preferredlanguage	Idioma preferido del usuario.
locale	Ejemplo: user.locale	Ubicación del empleo principal del usuario.
timezone	Ejemplo: user.timezone	Zona horaria principal del usuario.
displayName	Ejemplo: usuario.displayname	Nombre de visualización del usuario en Webex.
nombre.nombre dado	Ejemplo: usuario.givenname	El nombre del usuario.
nombre.nombre familiar	Ejemplo: usuario.apellido	El apellido del usuario.
addresses.streetDirección	Ejemplo: dirección de usuario.streetaddress	Dirección postal laboral de la ubicación de empleo principal.
addresses.state	Ejemplo: user.state	El estado de su ubicación de trabajo principal.
addresses.region	Ejemplo: usuario.región	Región de la ubicación del empleo principal.
addresses.postalCode	Ejemplo: código postal de usuario	Código postal laboral de la ubicación de empleo principal.
direcciones.país	Ejemplo: usuario.país	País de la ubicación del empleo principal.
phoneNumbers.work	Ejemplo: número telefónico del trabajo	Número de teléfono laboral de la ubicación de empleo principal. Utilice solo el formato internacional E.164 (15 dígitos como máximo).
phoneNumbers.extension	Ejemplo: número telefónico móvil	Extensión de laboral del número de teléfono del empleo principal. Utilice solo el formato internacional E.164 (15 dígitos como máximo).
pronombre	Ejemplo: usuario.pronoun	Los pronombres del usuario. Este es un atributo opcional, y el usuario o el administrador pueden hacerlo visible en su perfil.
title	Ejemplo: usuario.jobtitle	Especifique el cargo laboral del usuario.
departamento	Ejemplo: user.department	Departamento o equipo del empleo del usuario.
pronombre	Ejemplo: usuario.pronoun	Este es el pronombre del usuario. La visibilidad de este atributo es controlada por el administrador y el usuario
administrador	Ejemplo: administrador	El gerente del usuario o el jefe de su equipo.
costura	Ejemplo: centro de costes	Este es el apellido del usuario también conocido como apellido o nombre de familia
email.alternate1	Ejemplo: usuario.mailnickname	Una dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar sesión con él, asígnelo al uid.
email.alternate2	Ejemplo: usuario.primaryauthoritativcorreo electrónico	Una dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar sesión con él, asígnelo al uid.
email.alternate3	Ejemplo: user.alternativeauthoritativemail	Una dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar sesión con él, asígnelo al uid.
email.alternate4	Ejemplo: user.othermail	Una dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar sesión con él, asígnelo al uid.
email.alternate5	Ejemplo: user.othermail	Una dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar sesión con él, asígnelo al uid.

Configure Atributos de extensión.

Asigne estos atributos a atributos extendidos en Active Directory, Azure o su directorio, para los códigos de seguimiento.

Tabla 4. Atributos de extensión
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML
Atributo de extensión 1	Ejemplo: user.extensionattribute1
Atributo de extensión 2	Ejemplo: user.extensionattribute2
Atributo de extensión 3	Ejemplo: user.extensionattribute3
Atributo de extensión 4	Ejemplo: user.extensionattribute4
Atributo de extensión 5	Ejemplo: user.extensionattribute5
Atributo de extensión 6	Ejemplo: user.extensionattribute6
Atributo de extensión 7	Ejemplo: user.extensionattribute7
Atributo de extensión 8	Ejemplo: user.extensionattribute8
Atributo de extensión 9	Ejemplo: user.extensionattribute9
Atributo de extensión 10	Ejemplo: user.extensionattribute10

Configure Atributos de grupo.

Cree un grupo en Control Hub y anote el ID de grupo de Webex.
Vaya a su directorio de usuarios o IdP y configure un atributo para los usuarios que se asignarán al ID de grupo de Webex.
Actualice la configuración de su IdP para incluir una reclamación que lleve este nombre de atributo junto con el ID de grupo de Webex (por ejemplo, c65f7d85-b691-42b8-a20b-12345xxxx). También puede utilizar el ID externo para administrar cambios en los nombres de grupos o para futuras situaciones de integración. Por ejemplo, sincronización con Azure AD o implementación de la sincronización de grupos SCIM.
Especifique el nombre exacto del atributo que se enviará en la aserción SAML con el ID de grupo. Esto se utiliza para agregar al usuario a un grupo.
Especifique el nombre exacto del ID externo del objeto de grupo si está utilizando un grupo desde su directorio para enviar miembros en la aserción SAML.

Si el usuario A está asociado con groupID 1234 y el usuario B con groupID 4567, se asignan a grupos separados. Este escenario indica que un único atributo permite a los usuarios asociar varios ID de grupo. Aunque esto es poco frecuente, es posible y puede considerarse un cambio aditivo. Por ejemplo, si el usuario A inicia sesión al utilizar groupID 1234, se convierten en miembros del grupo correspondiente. Si el usuario A inicia sesión con groupID 4567, también se añaden a este segundo grupo.

El aprovisionamiento de JIT de SAML no admite la eliminación de usuarios de grupos ni la eliminación de usuarios.

Tabla 5. Atributos del grupo
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID de grupo	Ejemplo: ID de grupo	Asigne atributos de grupo del IdP a atributos de grupo de identidad de Webex con el fin de asignar ese usuario a un grupo para la concesión de licencias o el servicio de configuración.
groupexternalId	Ejemplo: groupexternalId	Asigne atributos de grupo del IdP a atributos de grupo de identidad de Webex con el fin de asignar ese usuario a un grupo para la concesión de licencias o el servicio de configuración.

Para obtener una lista de atributos de aserción SAML para Webex Meetings, consulte https://help.webex.com/article/WBX67566.

Eliminar su proveedor de servicios de identidad (IdP)

Antes de comenzar

Se recomienda que primero desactive o elimine las reglas de enrutamiento del IdP antes de eliminarlo.

1	Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Configuración de la organización), desplácese hasta Authentication (Autenticación) y haga clic en Manage SSO and IdP (Administrar SSO e IdP).
2	Vaya a la ficha Proveedor de servicios de identidad.
3	Vaya al IdP y haga clic en.
4	Seleccione Eliminar.

1	Desde la vista del cliente en https://admin.webex.com, vaya a Management > Organization Settings (Configuración de la organización), desplácese hasta Authentication (Autenticación) y haga clic en Manage SSO and IdP (Administrar SSO e IdP).
2	Vaya a la ficha Proveedor de servicios de identidad.
3	Haga clic en Desactivar inicio de sesión único. Confirme la desactivación del SSO.

Una vez confirmado, el SSO se desactiva para todos los IdP de su organización.

Recibirá alertas en Control Hub antes de que los certificados caduquen, pero también puede configurar las reglas de alerta de forma proactiva. Estas reglas le permiten saber de antemano que sus certificados SP o IdP van a caducar. Podemos enviárselos por correo electrónico, un espacio en la aplicación Webex o ambos.

Independientemente del canal de entrega configurado, todas las alertas siempre aparecen en Control Hub. Consulte Centro de alertas en Control Hub para obtener más información.

En la vista del cliente en https://admin.webex.com, vaya a Alerts center (Centro de alertas).

Seleccione Administrar y luego Todas las reglas.

En la lista Reglas, elija cualquiera de las reglas de SSO que desee crear:

Vencimiento del certificado de IDP de SSO
Vencimiento del certificado de SSO SP

En la sección Canal de entrega, marque la casilla Correo electrónico, Espacio de Webex o ambos.

Si elige Correo electrónico, introduzca la dirección de correo electrónico que debe recibir la notificación.

Si elige la opción de espacio de Webex, se lo agregará automáticamente a un espacio dentro de la Aplicación de Webex y enviaremos las notificaciones allí.

Guarde los cambios.

Qué hacer a continuación

Enviamos alertas de caducidad de certificados una vez cada 15 días, comenzando 60 días antes de la caducidad. (Puede esperar alertas en los días 60, 45, 30 y 15). Las alertas se detienen cuando renueva el certificado.

Si tiene problemas con su inicio de sesión de SSO, puede utilizar la opción de recuperación automática de SSO para obtener acceso a su organización de Webex administrada en Control Hub. La opción de recuperación automática le permite actualizar o deshabilitar el SSO en Control Hub.

Por qué es posible que necesite varios IdP

Limitaciones

Fuera del alcance

Requisitos previos

Antes de comenzar

Configurar SAML

Qué hacer a continuación

Configurar OpenID Connect

Qué hacer a continuación

Configurar la identidad de Webex

Qué hacer a continuación

Agregar o editar reglas de enrutamiento

Desactivar o eliminar reglas de enrutamiento

Administrar sus certificados de proveedor de servicios de identidad (IdP)

Antes de comenzar

Administrar los certificados de su proveedor de servicios (SP)

Antes de comenzar

Probar la configuración del SSO

Antes de comenzar

Configurar justo a tiempo (JIT) y asignación de SAML

Antes de comenzar

Eliminar su proveedor de servicios de identidad (IdP)

Antes de comenzar

Qué hacer a continuación

Pequeñas empresas

Enterprise

Dispositivos

Soluciones para

Recursos

Company