Muokkaa kertakirjautumisen todennusta Control Hubissa

Ennen kuin aloitat

Varmista, että seuraavat ennakkoehdot täyttyvät:

  • SSO on jo määritetty. Lisätietoja ohjatun SSO-määritystoiminnon käyttämisestä on osiossa "SSO Setup" täällä: https://help.webex.com/article/lfu88u/.

  • Verkkotunnukset on jo vahvistettu.

  • Verkkotunnukset on lunastettu ja otettu käyttöön. Tämä ominaisuus varmistaa, että verkkotunnuksesi käyttäjät luodaan ja päivitetään kerran joka kerta, kun he todentavat IDP:lläsi.

  • Jos DirSync tai AzureAD on käytössä, SAML JIT:n luonti tai päivitys ei toimi.

  • "Estä käyttäjäprofiilin päivitys" on käytössä. SAML-päivitysten yhdistäminen on sallittu, koska tämä kokoonpano ohjaa käyttäjän kykyä muokata määritteitä. Järjestelmänvalvojan ohjaamia luonti- ja päivitysmenetelmiä tuetaan edelleen.


 

Äskettäin luodut käyttäjät eivät saa automaattisesti määritettyjä lisenssejä, ellei organisaatiolla ole automaattinen lisenssimalli perustaa.

Ryhmien SAML JIT -valmiuksien käyttäjien hallinta on rajoitettu vain yhteen ryhmään.

1

Kirjaudu sisään Ohjauskeskus.

2

Mene Hallinto > Organisaation asetukset, vieritä kohtaan Kertakirjautuminen ja napsauta Hallinnoi SSO- ja IdP:itä.

3

Siirry kohtaan Henkilöllisyyden tarjoaja -välilehti.

4

Mene IdP:hen ja napsauta.

5

Valitse Muokkaa SAML-kartoitusta.

6

Määritä Just-in-Time (JIT) -asetukset.

  • Luo tai aktivoi käyttäjä: Jos aktiivista käyttäjää ei löydy, Webex Identity luo käyttäjän ja päivittää attribuutit sen jälkeen, kun käyttäjä on todentunut IDP:llä.
  • Päivitä käyttäjä SAML-määritteillä: Jos sähköpostiosoitteella varustettu käyttäjä löytyy, Webex Identity päivittää käyttäjälle SAML-vahvistukseen yhdistetyt attribuutit.
Varmista, että käyttäjät voivat kirjautua sisään toisella, tunnistamattomalla sähköpostiosoitteella.
7

Määritä SAML-kartoituksen pakolliset attribuutit.

Taulukko 1. Pakolliset attribuutit

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

Käyttäjätunnus / ensisijainen sähköpostiosoite

Esimerkki: uid

Yhdistä UID-attribuutti valtuutetun käyttäjän sähköpostiin, upn- tai edupersonprincipalname-nimeen.

8

Määritä Attribuuttien linkittäminen.

Tämän tulee olla yksilöllinen käyttäjälle. Sitä käytetään käyttäjän etsimiseen, jotta Webex voi päivittää kaikki profiilin attribuutit, mukaan lukien käyttäjän sähköposti.
Taulukko 2. Attribuuttien linkittäminen

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

ulkoinen tunnus

Esimerkki: user.objectid

Tämän käyttäjän tunnistaminen muista yksittäisistä profiileista. Tämä on tarpeen, kun kartoitetaan hakemistojen välillä tai muutetaan muita profiilimääritteitä.

työntekijämäärä

Esimerkki: user.employeeid

Käyttäjän työntekijänumero tai HR-järjestelmän tunnistenumero. Huomaa, että tämä ei ole tarkoitettu externalid, koska voit käyttää uudelleen tai kierrättää employeenumber muille käyttäjille.

Laajennuksen attribuutti 1

Esimerkki: user.extensionattribute1

Yhdistä nämä mukautetut määritteet laajennettuihin määritteisiin Active Directoryssa, Azuressa tai hakemistossasi seurantakoodeja varten.

Laajennuksen attribuutti 2

Esimerkki: user.extensionattribute2

Laajennuksen attribuutti 3

Esimerkki: user.extensionattribute3

Laajennuksen attribuutti 4

Esimerkki: user.extensionlattribute4

Laajennuksen attribuutti 5

Esimerkki: user.extensionattribute5

9

Määritä Profiilin attribuutit.

Taulukko 3. Profiilin attribuutit

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

ulkoinen tunnus

Esimerkki: user.objectid

Tämän käyttäjän tunnistaminen muista yksittäisistä profiileista. Tämä on tarpeen, kun kartoitetaan hakemistojen välillä tai muutetaan muita profiilimääritteitä.

työntekijämäärä

Esimerkki: user.employeeid

Tämän käyttäjän työntekijänumero tai HR-järjestelmän tunnusnumero. Huomaa, että tämä ei ole "externalid", koska voit käyttää uudelleen tai kierrättää "employeenumber" muille käyttäjille.

ensisijainen kieli

Esimerkki: user.preferredlanguage

Käyttäjän valitsema kieli.

alue

Esimerkki: user.locale

Käyttäjän ensisijainen työpaikka.

aikavyöhyke

Esimerkki: user.timezone

Käyttäjän ensisijainen aikavyöhyke.

näyttönimi

Esimerkki: käyttäjä.näyttönimi

Käyttäjän näyttönimi Webexissä.

nimi.etunimi

Esimerkki: käyttäjä.etunimi

Käyttäjän etunimi.

nimi.perhenimi

Esimerkki: käyttäjä.sukunimi

Käyttäjän sukunimi.

osoitteet.streetAddress

Esimerkki: user.katuosoite

Heidän ensisijaisen työpaikkansa katuosoite.

osoitteet.valtio

Esimerkki: user.state

Heidän ensisijaisen työpaikkansa tila.

osoitteet.alue

Esimerkki: user.region

Heidän ensisijaisen työpaikkansa alue.

addresses.postalCode

Esimerkki: user.postalcode

Heidän ensisijaisen työpaikkansa postinumero.

osoitteet.maa

Esimerkki: user.country

Maa, jossa heidän ensisijainen työpaikkansa on.

Puhelinnumerot.työ

Esimerkki: työpuhelinnumero

Heidän ensisijaisen työpaikkansa työpuhelinnumero. Käytä vain kansainvälistä E.164-muotoa (enintään 15 numeroa).

phoneNumbers.extension

Esimerkki: Matkapuhelimen numero

Heidän ensisijaisen työpuhelinnumeronsa työlaajennus. Käytä vain kansainvälistä E.164-muotoa (enintään 15 numeroa).

pronomini

Esimerkki: user.pronoun

Käyttäjän pronominit. Tämä on valinnainen määrite, ja käyttäjä tai järjestelmänvalvoja voi tehdä sen näkyväksi profiilissaan.

otsikko

Esimerkki: user.jobtitle

Käyttäjän työnimike.

osasto

Esimerkki: user.department

Käyttäjän työosasto tai tiimi.

pronomini

Esimerkki: user.pronoun

Tämä on käyttäjän pronomini. Järjestelmänvalvoja ja käyttäjä hallitsevat tämän määritteen näkyvyyttä

johtaja

Esimerkki: johtaja

Käyttäjän esimies tai hänen tiiminsä johtaja.

Kustannuspaikka

Esimerkki: Kustannuspaikka

Tämä on käyttäjän sukunimi, joka tunnetaan myös nimellä sukunimi tai sukunimi

email.alternate1

Esimerkki: user.mailnickname

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, yhdistä se käyttäjätunnukseen.

email.alternate2

Esimerkki: user.primaryauthoritativemail

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, yhdistä se käyttäjätunnukseen.

email.alternate3

Esimerkki: user.alternativeauthoritativemail

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, yhdistä se käyttäjätunnukseen.

email.alternate4

Esimerkki: user.othermail

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, yhdistä se käyttäjätunnukseen.

email.alternate5

Esimerkki: user.othermail

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, yhdistä se käyttäjätunnukseen.
10

Määritä Laajennuksen attribuutit.

Yhdistä nämä attribuutit laajennettuihin määritteisiin Active Directoryssa, Azuressa tai hakemistossasi seurantakoodeja varten.
Taulukko 4. Laajennuksen attribuutit

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Laajennuksen attribuutti 1

Esimerkki: user.extensionattribute1

Laajennuksen attribuutti 2

Esimerkki: user.extensionattribute2

Laajennuksen attribuutti 3

Esimerkki: user.extensionattribute3

Laajennuksen attribuutti 4

Esimerkki: user.extensionattribute4

Laajennuksen attribuutti 5

Esimerkki: user.extensionattribute5

Laajennusmäärite 6

Esimerkki: user.extensionattribute6

Laajennusmäärite 7

Esimerkki: user.extensionattribute7

Laajennusominaisuus 8

Esimerkki: user.extensionattribute8

Laajennusominaisuus 9

Esimerkki: user.extensionattribute9

Laajennusominaisuus 10

Esimerkki: user.extensionattribute10

11

Määritä Ryhmän attribuutit.

  1. Luo ryhmä Control Hubissa ja merkitse Webex-ryhmän tunnus muistiin.
  2. Siirry käyttäjähakemistoosi tai IdP:hen ja määritä attribuutti käyttäjille, jotka määritetään Webex-ryhmätunnukseen.
  3. Päivitä IdP:n määritykset sisältämään vaatimus, joka sisältää tämän määritteen nimen Webex-ryhmän tunnuksen kanssa (esim. c65f7d85-b691-42b8-a20b-12345xxxx). Voit käyttää ulkoista tunnusta myös ryhmien nimien muutosten hallintaan tai tuleviin integrointiskenaarioihin. Esimerkiksi synkronointi Azure AD:n kanssa tai SCIM-ryhmäsynkronoinnin toteuttaminen.
  4. Määritä sen attribuutin tarkka nimi, joka lähetetään SAML-vahvistuksessa ryhmätunnuksen kanssa. Tätä käytetään lisäämään käyttäjä ryhmään.
  5. Määritä ryhmäobjektin ulkoisen tunnuksen tarkka nimi, jos käytät hakemistosi ryhmää jäsenten lähettämiseen SAML-vahvistuksessa.

 

Jos käyttäjä A liittyy groupID 1234 ja käyttäjä B kanssa groupID 4567, ne on jaettu erillisiin ryhmiin. Tämä skenaario osoittaa, että yksi attribuutti sallii käyttäjien yhdistää useisiin ryhmätunnuksiin. Vaikka tämä on harvinaista, se on mahdollista ja sitä voidaan pitää additiivisena muutoksena. Esimerkiksi jos käyttäjä A kirjautuu sisään käyttäen groupID 1234, heistä tulee vastaavan ryhmän jäsen. Jos käyttäjä A kirjautuu myöhemmin sisään käyttämällä groupID 4567, ne lisätään myös tähän toiseen ryhmään.

SAML JIT -hallinta ei tue käyttäjien poistamista ryhmistä tai käyttäjien poistamista.

Taulukko 5. Ryhmän attribuutit

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

ryhmätunnus

Esimerkki: ryhmätunnus

Yhdistä ryhmäattribuutit IdP:stä Webex Identity Group Attribuutit, joiden tarkoituksena on yhdistää kyseinen käyttäjä ryhmään lisensointia tai asetuspalvelua varten.

groupexternalId

Esimerkki: groupexternalId

Yhdistä ryhmäattribuutit IdP:stä Webex Identity Group Attribuutit, joiden tarkoituksena on yhdistää kyseinen käyttäjä ryhmään lisensointia tai asetuspalvelua varten.

Katso Webex-kokousten SAML-vahvistusattribuuttien luettelo kohdasta https://help.webex.com/article/WBX67566.