Muokkaa kertakirjautumisen todennusta Control Hubissa

Ennen kuin aloitat

Varmista, että seuraavat edellytykset täyttyvät:

  • SSO on jo määritetty. Tietoja ohjatun SSO-konfiguroinnin käyttämisestä on kohdassa "SSO-asetus" täällä: https://help.webex.com/article/lfu88u/.

  • Verkkotunnukset on jo tarkistettu.

  • Verkkotunnukset on lunastettu ja otettu käyttöön. Tämä ominaisuus varmistaa, että toimialueesi käyttäjät luodaan ja päivitetään kerran joka kerta, kun he tunnistautuvat IdP:lläsi.

  • Jos DirSync tai AzureAD on käytössä, SAML JIT create tai update ei toimi.

  • "Käyttäjäprofiilin päivityksen estäminen" on käytössä. SAML Update Mapping on sallittu, koska tämä määritys ohjaa käyttäjän mahdollisuutta muokata attribuutteja. Ylläpitäjän valvomia luonti- ja päivitysmenetelmiä tuetaan edelleen.

Uusille käyttäjille ei määritetä automaattisesti lisenssejä, ellei organisaatiossa ole määritetty automaattista lisenssimallia .

Käyttäjien määrittäminen SAML JIT -ryhmien määritystä varten on rajoitettu vain yhteen ryhmään.

Just-in-Time (JIT) ja SAML-kartoituksen määrittäminen
1

Kirjaudu sisään osoitteessa Control Hub.

2

Siirry osoitteeseen Management > Organization Settings, selaa kohtaan Single Sign-On ja valitse Manage SSO and IdPs.

3

Siirry Identity provider -välilehdelle.

4

Siirry IdP:hen ja valitse Lisää valikkoa.

5

Valitse Muokkaa SAML-kartoitusta.

6

Määritä Just-in-Time (JIT) -asetukset.

  • Luo tai aktivoi käyttäjä: jos aktiivista käyttäjää ei löydy, Webex Identity luo käyttäjän ja päivittää attribuutit sen jälkeen, kun käyttäjä on todennettu IdP:n kanssa.
  • Päivitä käyttäjä SAML-attribuuteilla: jos käyttäjä, jolla on sähköpostiosoite, löytyy, Webex Identity päivittää käyttäjän SAML-vakuutuksessa määritetyillä attribuuteilla.
Vahvista, että käyttäjät voivat kirjautua sisään toisella, tunnistamattomalla sähköpostiosoitteella.

7

Määritä SAML-kartoituksen vaaditut attribuutit.

Taulukko 1. Vaaditut ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

Käyttäjätunnus / Ensisijainen sähköpostiosoite

Esimerkki: uid

Muodosta UID-attribuutin suhde käyttöönotetun käyttäjän sähköpostiin, upn:ään tai edupersonprincipalnameen.

8

Määritä Linkitysattribuutit.

Tämän pitäisi olla käyttäjälle yksilöllinen. Sitä käytetään käyttäjän etsimiseen, jotta Webex voi päivittää kaikki profiilin attribuutit, mukaan lukien käyttäjän sähköpostin.
Taulukko 2. Attribuuttien yhdistäminen

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

externalId

Esimerkki: user.objectid

Tämän käyttäjän tunnistaminen muista yksittäisistä profiileista. Tämä on tarpeen, kun kartoitetaan hakemistojen välillä tai muutetaan muita profiilin ominaisuuksia.

Employeenumber

Esimerkki: user.employeeid

Käyttäjän työntekijänumero tai tunnistenumero HR-järjestelmässä. Huomaa, että tämä ei koske externalid, koska voit käyttää uudelleen tai kierrättää employeenumber muille käyttäjille.

Laajennus Attribuutti 1

Esimerkki: user.extensionattribute1

Yhdistä nämä mukautetut ominaisuudet Active Directoryn, Azuren tai oman hakemistosi laajennettuihin ominaisuuksiin seurantakoodeja varten.

Laajennus Attribuutti 2

Esimerkki: user.extensionattribute2

Laajennus Attribuutti 3

Esimerkki: user.extensionattribute3

Laajennus Attribuutti 4

Esimerkki: user.extensionlattribute4

Laajennus Attribuutti 5

Esimerkki: user.extensionattribute5

9

Määritä Profiilin attribuutit.

Taulukko 3. Profiilin ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

externalId

Esimerkki: user.objectid

Tämän käyttäjän tunnistaminen muista yksittäisistä profiileista. Tämä on tarpeen, kun kartoitetaan hakemistojen välillä tai muutetaan muita profiilin ominaisuuksia.

Employeenumber

Esimerkki: user.employeeid

Käyttäjän työntekijänumero tai tunnistenumero HR-järjestelmässä. Huomaa, että tämä ei koske "externalid" -kenttää, koska voit käyttää "employeenumber" -kenttää uudelleen tai kierrättää sen muiden käyttäjien osalta.

preferredLanguage

Esimerkki: user.preferredlanguage

Käyttäjän haluama kieli.

locale

Esimerkki: user.locale

Käyttäjän ensisijainen työpaikka.

aikavyöhyke

Esimerkki: user.timezone

Käyttäjän ensisijainen aikavyöhyke.

displayName

Esimerkki: user.displayname

Käyttäjän näyttönimi Webexissä.

name.givenName

Esimerkki: user.givenname

Käyttäjän etunimi.

name.familyName

Esimerkki: käyttäjä.sukunimi

Käyttäjän sukunimi.

addresses.streetAddress

Esimerkki: user.streetaddress

Ensisijaisen työpaikan katuosoite.

addresses.state

Esimerkki: user.state

Osavaltio, jossa heidän ensisijainen työpaikkansa sijaitsee.

addresses.region

Esimerkki: user.region

Ensisijaisen työskentelypaikan alue.

addresses.postalCode

Esimerkki: user.postinumero

Ensisijaisen työpaikan postinumero.

addresses.country

Esimerkki: user.country

Maa, jossa heidän pääasiallinen työpaikkansa sijaitsee.

phoneNumbers.work

Esimerkki: työpuhelinnumero

Ensisijaisen työpaikan puhelinnumero. Käytä vain kansainvälistä E.164-muotoa (enintään 15 numeroa).

phoneNumbers.extension

Esimerkki: matkapuhelinnumero

Ensisijaisen työpuhelinnumeron työpuhelinnumero. Käytä vain kansainvälistä E.164-muotoa (enintään 15 numeroa).

pronomini

Esimerkki: user.pronoun

Käyttäjän pronominit. Tämä on valinnainen ominaisuus, ja käyttäjä tai ylläpitäjä voi tehdä sen näkyväksi profiilissaan.

otsikko

Esimerkki: user.jobtitle

Käyttäjän ammattinimike.

osasto

Esimerkki: user.department

Käyttäjän työosasto tai tiimi.

pronomini

Esimerkki: user.pronoun

Tämä on käyttäjän pronomini. Tämän attribuutin näkyvyyttä hallitsevat järjestelmänvalvoja ja käyttäjä.

johtaja

Esimerkki: johtaja

Käyttäjän esimies tai hänen tiiminsä johtaja.

kustannuspaikka

Esimerkki: kustannuspaikka

Tämä on käyttäjän sukunimi, joka tunnetaan myös nimellä sukunimi tai familyname.

email.alternate1

Esimerkki: user.mailnickname

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, määritä se uid:iin.

email.alternate2

Esimerkki: user.primaryauthoritativemail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, määritä se uid:iin.

email.alternate3

Esimerkki: user.alternativeauthoritativemail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, määritä se uid:iin.

email.alternate4

Esimerkki: user.othermail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, määritä se uid:iin.

email.alternate5

Esimerkki: user.othermail

Käyttäjän vaihtoehtoinen sähköpostiosoite. Jos haluat, että käyttäjä voi kirjautua sisään käyttämällä sitä, määritä se uid:iin.
10

Määritä Laajennusominaisuudet.

Liitä nämä attribuutit laajennettuihin attribuutteihin Active Directoryssa, Azuressa tai omassa hakemistossasi seurantakoodeja varten.
Taulukko 4. Laajennusominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Laajennus Attribuutti 1

Esimerkki: user.extensionattribute1

Laajennus Attribuutti 2

Esimerkki: user.extensionattribute2

Laajennus Attribuutti 3

Esimerkki: user.extensionattribute3

Laajennus Attribuutti 4

Esimerkki: user.extensionattribute4

Laajennus Attribuutti 5

Esimerkki: user.extensionattribute5

Laajennus Attribuutti 6

Esimerkki: user.extensionattribute6

Laajennus Attribuutti 7

Esimerkki: user.extensionattribute7

Laajennus Attribuutti 8

Esimerkki: user.extensionattribute8

Laajennus Attribuutti 9

Esimerkki: user.extensionattribute9

Laajennus Attribuutti 10

Esimerkki: user.extensionattribute10

11

Määritä ryhmän attribuutit.

  1. Luo ryhmä Control Hubissa ja merkitse Webex-ryhmän tunnus.
  2. Mene käyttäjähakemistoosi tai IdP:hen ja määritä attribuutti käyttäjille, jotka määritetään Webex-ryhmätunnukseen.
  3. Päivitä IdP:n kokoonpano niin, että se sisältää väitteen, jossa on tämä attribuutin nimi sekä Webex-ryhmän ID (esim. c65f7d85-b691-42b8-a20b-12345xxxx). Voit käyttää ulkoista tunnusta myös ryhmänimien muutosten hallintaan tai tuleviin integrointiskenaarioihin. Esimerkiksi synkronointi Azure AD:n kanssa tai SCIM-ryhmän synkronoinnin toteuttaminen.
  4. Määritä sen attribuutin tarkka nimi, joka lähetetään SAML-vakuutuksessa ryhmätunnuksen kanssa. Tätä käytetään käyttäjän lisäämiseen ryhmään.
  5. Määritä ryhmäobjektin ulkoisen tunnuksen tarkka nimi, jos käytät hakemistosi ryhmää jäsenten lähettämiseen SAML-vakuutuksessa.

Jos käyttäjä A on liitetty groupID 1234 ja käyttäjä B groupID 4567, heidät on määritetty eri ryhmiin. Tämä skenaario osoittaa, että yhden ominaisuuden avulla käyttäjät voivat liittyä useisiin ryhmätunnuksiin. Vaikka tämä on harvinaista, se on mahdollista, ja sitä voidaan pitää lisämuutoksena. Jos esimerkiksi käyttäjä A kirjautuu aluksi sisään käyttämällä groupID 1234, hänestä tulee vastaavan ryhmän jäsen. Jos käyttäjä A kirjautuu myöhemmin sisään käyttämällä groupID 4567, hänet lisätään myös tähän toiseen ryhmään.

SAML JIT provisioning ei tue käyttäjien poistamista ryhmistä tai käyttäjien poistamista.

Taulukko 5. Ryhmän ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Attribuutin kuvaus

groupId

Esimerkki: groupId

Ryhmäattribuuttien liittäminen IdP:stä Webex Identity -ryhmäattribuutteihin, jotta käyttäjä voidaan liittää ryhmään lisensointia tai asetuspalvelua varten.

groupexternalId

Esimerkki: groupexternalId

Ryhmäattribuuttien liittäminen IdP:stä Webex Identity -ryhmäattribuutteihin, jotta käyttäjä voidaan liittää ryhmään lisensointia tai asetuspalvelua varten.

Luettelo Webex Meetingsin SAML-vakuutusattribuuteista on osoitteessa https://help.webex.com/article/WBX67566.