Creación y actualización automática de cuentas SAML para Control Hub

Modificar la autenticación de inicio de sesión único en Control Hub

Antes de comenzar

Asegúrese de que se cumplan las siguientes condiciones previas:

El SSO ya está configurado. Para obtener información sobre el uso del asistente de configuración de SSO , consulte la sección "Configuración de SSO " aquí: https://help.webex.com/article/lfu88u/.
Los dominios ya han sido verificados.
Los dominios se reclaman y se activan. Esta característica garantiza que los usuarios de su dominio se creen y actualicen una vez cada vez que se autentican con su IDP.
Si DirSync o AzureAD están habilitados, la creación o actualización de SAML JIT no funcionará.
"Bloquear la actualización del perfil de usuario " está habilitado. La asignación de actualizaciones de SAML está permitida porque esta configuración controla la capacidad del usuario para editar los atributos. Aún se admiten los métodos de creación y actualización controlados por el administrador.

Los usuarios recién creados no obtendrán licencias asignadas automáticamente a menos que la organización tenga una plantilla de licencia automática configurar.

El aprovisionamiento de usuarios para el aprovisionamiento de JIT de SAML de grupos se limita a un solo grupo.

Configurar la asignación justo a tiempo (JIT) y SAML

Desde la vista del cliente enhttps://admin.webex.com ir a Gestión > Configuración de la organización , desplácese hasta Autenticación y haga clic en Administrar SSO y IdP .

Ir a la Proveedor de identidad pestaña.

Vaya al IdP y haga clic en.

Seleccionar Editar mapeo SAML .

Configure la configuración justo a tiempo (JIT).

Crear o activar usuario: Si no se encuentra ningún usuario activo, Webex Identity crea el usuario y actualiza los atributos después de que el usuario se haya autenticado con el IDP.
Actualizar el usuario con los atributos de SAML: Si se encuentra un usuario con dirección de correo electrónico , Webex Identity actualiza al usuario con los atributos asignados en la afirmación SAML .

Confirme que los usuarios pueden iniciar sesión con una dirección de correo electrónico diferente y no identificable.

Configure los atributos obligatorios de asignación de SAML.

Tabla 1. Atributos obligatorios
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
Nombre de usuario / dirección de dirección de correo electrónico principal	Ejemplo: UID	Asigne el atributo de UID al correo electrónico, UPN o edupersonprincipalname proporcionado del usuario.

Configure los atributos de vinculación.

Esto debe ser exclusivo del usuario. Se utiliza para buscar un usuario para que Webex pueda actualizar todos los atributos del perfil, incluido el correo electrónico de un usuario.

Tabla 2. Vinculación de atributos
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID externo	Ejemplo: user.objectid	Para identificar este usuario de otros perfiles de individuo. Esto es necesario en la asignación entre directorios o el cambio de otros atributos de perfil.
número de empleado	Ejemplo: user.employeeid	El número de empleado del usuario o un número de identificación dentro de su sistema de recursos humanos. Tenga en cuenta que esto no es para `externalid`, porque puedes reutilizar o reciclar `employeenumber` para otros usuarios.
Atributo de extensión 1	Ejemplo: user.extensionattribute1	Asigne estos atributos personalizados a atributos extendidos en Active Directory, Azure o su directorio, para los códigos de seguimiento.
Atributo de extensión 2	Ejemplo: user.extensionattribute2
Atributo de extensión 3	Ejemplo: user.extensionattribute3
Atributo de extensión 4	Ejemplo: user.extensionlattribute4
Atributo de extensión 5	Ejemplo: user.extensionattribute5

Configure Atributos de perfil.

Cuadro 3. Atributos de perfil
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID externo	Ejemplo: user.objectid	Para identificar este usuario de otros perfiles de individuo. Esto es necesario en la asignación entre directorios o el cambio de otros atributos de perfil.
número de empleado	Ejemplo: user.employeeid	El número de empleado de este usuario o un número de identificación dentro de su sistema de recursos humanos. Tenga en cuenta que esto no es para "externalid", ya que puede reutilizar o reciclar "employeeenumber" para otros usuarios.
preferredLanguage	Ejemplo: user.preferredlanguage	Idioma preferido del usuario.
locale	Ejemplo: user.locale	Ubicación del empleo principal del usuario.
timezone	Ejemplo: user.timezone	Zona horaria principal del usuario.
displayName	Ejemplo: user.displayname	Nombre de visualización del usuario en Webex.
nombre.nombre dado	Ejemplo: user.givenname	El nombre del usuario.
nombre.nombre familiar	Ejemplo: user.surname	El apellido del usuario.
address.streetAddress	Ejemplo: user.streetaddress	Dirección postal laboral de la ubicación de empleo principal.
address.state	Ejemplo: user.state	El estado de su ubicación de trabajo principal.
direcciones.región	Ejemplo: user.region	Región de la ubicación del empleo principal.
address.postalCode	Ejemplo: user.postalcode	Código postal laboral de la ubicación de empleo principal.
direcciones.país	Ejemplo: usuario.país	País de la ubicación del empleo principal.
phoneNumbers.work	Ejemplo: número de teléfono del trabajo	Número de teléfono laboral de la ubicación de empleo principal. Utilice solo el formato internacional E.164 (15 dígitos como máximo).
phoneNumbers.extension	Ejemplo: número de teléfono móvil	Extensión de laboral del número de teléfono del empleo principal. Utilice solo el formato internacional E.164 (15 dígitos como máximo).
pronombre	Ejemplo: usuario.pronombre	Los pronombres del usuario. Este es un atributo opcional y el usuario o el administrador pueden hacerlo visible en su perfil.
title	Ejemplo: user.jobtitle	Especifique el cargo laboral del usuario.
departamento	Ejemplo: user.department	Departamento o equipo del empleo del usuario.
pronombre	Ejemplo: usuario.pronombre	Este es el pronombre del usuario. La visibilidad de este atributo está controlada por el administrador y el usuario
administrador	Ejemplo: administrador	El administrador del usuario o el líder de su equipo.
centro de costos	Ejemplo: centro de costos	Este es el apellido del usuario también conocido como apellido o apellido
email.alternate1	Ejemplo: user.mailnickname	Una dirección de dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar iniciar sesión con él, asígnelo al uid.
email.alternate2	Ejemplo: user.primaryauthoritativemail	Una dirección de dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar iniciar sesión con él, asígnelo al uid.
email.alternate3	Ejemplo: user.alternativeauthoritativemail	Una dirección de dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar iniciar sesión con él, asígnelo al uid.
email.alternate4	Ejemplo: user.othermail	Una dirección de dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar iniciar sesión con él, asígnelo al uid.
email.alternate5	Ejemplo: user.othermail	Una dirección de dirección de correo electrónico alternativa para el usuario. Si desea que el usuario pueda iniciar iniciar sesión con él, asígnelo al uid.

Configure Atributos de extensión.

Asigne estos atributos a atributos extendidos en Active Directory, Azure o su directorio, para los códigos de seguimiento.

Tabla 4. Atributos de extensión
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML
Atributo de extensión 1	Ejemplo: user.extensionattribute1
Atributo de extensión 2	Ejemplo: user.extensionattribute2
Atributo de extensión 3	Ejemplo: user.extensionattribute3
Atributo de extensión 4	Ejemplo: user.extensionattribute4
Atributo de extensión 5	Ejemplo: user.extensionattribute5
Atributo de extensión 6	Ejemplo: user.extensionattribute6
Atributo de extensión 7	Ejemplo: user.extensionattribute7
Atributo de extensión 8	Ejemplo: user.extensionattribute8
Atributo de extensión 9	Ejemplo: user.extensionattribute9
Atributo de extensión 10	Ejemplo: user.extensionattribute10

Configure Atributos de grupo.

Cree un grupo en Control Hub y anote el ID de grupo de Webex.
Vaya a su directorio de usuarios o IdP y configure un atributo para los usuarios que se asignarán al ID de grupo de Webex.
Actualice la configuración de su IdP para incluir una reclamación que lleve este nombre de atributo junto con el ID de grupo de Webex (por ejemplo, c65f7d85-b691-42b8-a20b-12345xxxx). También puede utilizar el ID externo para administrar cambios en los nombres de grupos o para futuras situaciones de integración. Por ejemplo, sincronización con Azure AD o implementación de la sincronización de grupos SCIM.
Especifique el nombre exacto del atributo que se enviará en la aserción SAML con el ID de grupo. Esto se utiliza para agregar al usuario a un grupo.
Especifique el nombre exacto del ID externo del objeto de grupo si está utilizando un grupo desde su directorio para enviar miembros en la aserción SAML.

Si el usuario A está asociado con groupID 1234 y el usuario B con groupID 4567, se asignan a grupos separados. Este escenario indica que un único atributo permite a los usuarios asociar varios ID de grupo. Aunque esto es poco frecuente, es posible y puede considerarse un cambio aditivo. Por ejemplo, si el usuario A inicia sesión al utilizar groupID 1234, se convierten en miembros del grupo correspondiente. Si el usuario A inicia sesión con groupID 4567, también se añaden a este segundo grupo.

El aprovisionamiento de JIT de SAML no admite la eliminación de usuarios de grupos ni la eliminación de usuarios.

Tabla 5. Atributos del grupo
Nombre del atributo de identidad de Webex	Nombre del atributo de SAML	Descripción del atributo
ID de grupo	Ejemplo: ID de grupo	Asigne atributos de grupo del IdP a atributos de grupo de identidad de Webex con el fin de asignar ese usuario a un grupo para la concesión de licencias o el servicio de configuración.
groupexternalId	Ejemplo: groupexternalId	Asigne atributos de grupo del IdP a atributos de grupo de identidad de Webex con el fin de asignar ese usuario a un grupo para la concesión de licencias o el servicio de configuración.

Para obtener una lista de atributos de aserción SAML para Webex Meetings, consultehttps://help.webex.com/article/WBX67566 .