Système pour la gestion d’identité transmmessé (SCIM)

L’intégration entre les utilisateurs dans le répertoire et Control Hub utilise le Système pour l’API (Cross-domain Identity Management/SCIM). SCIM est une norme ouverte pour automatiser l’échange des informations d’identité des utilisateurs entre les domaines d’identité ou les systèmes informatiques. SCIM est conçu pour faciliter la gestion des identités des utilisateurs dans les applications et services basés sur le Cloud. SCIM utilise une API standardisée via REST.

Avant de configurer Webex Control Hub pour le provisioning automatique de l’utilisateur avec Azure AD, vous devez ajouter des Cisco Webex de la galerie de l’application Azure AD à votre liste d’applications gérées.


1

Connectez-vous au portail Azure à https://portal.azure.com avec vos identifiants d’administrateur.

2

Allez dans Azure Active Directory pour votre organisation.

3

Allez à Applications d’entreprise et cliquez sur Ajouter .

4

Cliquez sur Ajouter une application de la galerie.

5

Dans la zone de recherche, tapez Cisco Webex.

6

Dans le volet Résultats, sélectionnez Cisco Webex , puis cliquez sur Ajouter pour ajouter l’application.

Un message s’affiche, lui indique que l’application a été ajoutée avec succès.

Cette procédure vous permet de choisir les utilisateurs à synchroniser avec le Cloud Webex.

Azure AD utilise un concept appelé « attributions » pour déterminer quels utilisateurs doivent recevoir l’accès aux applications sélectionnées. Dans le contexte du provisioning automatique des utilisateurs, seuls les utilisateurs et/ou les groupes qui sont « attribués » à une application dans Azure AD sont synchronisés sur Control Hub.

Si vous configurez votre intégration pour la première fois, nous vous recommandons d’affecter un utilisateur à des tests, puis d’ajouter d’autres utilisateurs et groupes après un test réussi.

1

Ouvrez l Cisco Webex’application dans le portail Azure, puis allez à Utilisateurs et groupes.

2

Cliquez sur Ajouter une affectation.

3

Recherchez les utilisateurs/groupes que vous souhaitez ajouter à l’application :

  • Trouver des utilisateurs individuels à attribuer à l’application.
  • Trouver un groupe d’utilisateurs à attribuer à l’application.
4

Cliquez sur Sélectionner puis cliquez sur Attribuer.

Répétez ces étapes jusqu’à ce que vous yiez tous les groupes et les utilisateurs que vous souhaitez synchroniser avec Webex.

Utilisez cette procédure pour configurer le provisioning à partir d’Azure AD et obtenir un jeton d’ours pour votre organisation. Les étapes couvrent les paramètres administratifs nécessaires et recommandés.

Avant de commencer

Obtenir l’ID de votre organisation à partir de l’affichage du client dans Control Hub : cliquez sur le nom de votre organisation en bas à gauche et copiez la valeur de l’ID de l’organisation dans un fichier texte. Vous aurez besoin de cette valeur lorsque vous saisirez l’URL du client. Nous allons utiliser cette valeur comme exemple : a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Connectez-vous au portail Azure et allez à Azure Active Directory > Applications Enterprise > toutes les applications.

2

Choisissez Cisco Webex partir de votre liste d’applications d’entreprise.

3

Allez à Provisioning, puis changez le Mode de provisioning sur Automatique.

L’application Webex est créée avec quelques mappages par défaut entre les attributs utilisateur Azure AD et les attributs des utilisateurs Webex. Ces attributs sont assez pour créer des utilisateurs, mais vous pouvez en ajouter d’autres comme décrit plus tard dans cet article.

4

Saisissez l’URL du locataire dans ce formulaire :

https://api.ciscospark.com/v1/scim/{OrgId}

Remplacer {OrgId} avec la valeur de l’ID de l’organisation que vous avez obtenu de Control Hub, afin que l’URL du client ressemble à ceci : https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Suivez ces étapes pour obtenir la valeur du jeton de l’ourseur pour le jeton secret:

  1. Copiez l’URL suivante et exécutez-la dans un onglet de navigation incognito : https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Un navigateur incognito est important pour vous assurer que vous vous connectez avec les identifiants d’administrateur corrects. Si vous êtes déjà inscrit en tant qu’utilisateur moins privilégié, le jeton d’ours que vous retournez n’est peut-être pas autorisé à créer des utilisateurs.

  2. À partir de la page de inscription Webex qui s’affiche, connectez-vous avec un compte d’administrateur complet pour votre organisation.

    Une page d’erreur apparait disant que le site ne peut pas être atteint, mais c’est normal.

    Le jeton d’ours généré est inclus dans l’URL de la page d’erreur. Ce jeton est valide pendant 365 jours (après expiration).

  3. À partir de l’URL dans la barre d’adresse du navigateur, copiez la valeur du jeton d’ourseur entre access_token= et &token_type=Bearer.

    Par exemple, cette URL a la valeur du jeton surlignée : http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Nous vous recommandons de coller cette valeur dans un fichier texte et de l’enregistrer, afin d’avoir un enregistrement du jeton au cas où l’URL ne serait plus disponible.

6

Retournez sur le portail Azure et collez la valeur du jeton dans jeton secret.

7

Cliquez sur Tester la connexion pour vérifier que l’organisation et le jeton sont reconnus par Azure AD.

Un résultat réussi indique que les identifiants sont autorisés pour activer le provisioning de l’utilisateur.

8

Saisissez un courrier électronique de notification et cochez la case pour recevoir le courrier électronique lorsqu’il y a des erreurs de provisioning.

9

Cliquez sur Enregistrer.

Vous avez autorisé Azure AD avec succès pour provisioner/synchroniser les utilisateurs Webex.

Ce qu’il faut faire ensuite

  • Si vous souhaitez synchroniser uniquement un sous-ensemble de vos utilisateurs Azure AD à Webex, lisez Ajouter un groupe d’utilisateurs à l’application dans Azure AD.

  • Si vous souhaitez ma maper des attributs utilisateur Azure AD supplémentaires aux attributs Webex avant de synchroniser les utilisateurs, lisez Ma Attributs utilisateur d’Azure àWebex.

  • Après ces étapes, vous pouvez Activer le provisioning automatisé de Azure AD à Webex.

Suivez cette procédure pour ma maper des attributs utilisateur supplémentaires d’Azure à Webex, ou pour modifier les mappages des attributs utilisateur existants.

Avant de commencer

Vous avez ajouté et configuré l’Cisco Webex à votre application Azure Active Directory et testé la connexion.

Vous pouvez modifier les mappages des attributs utilisateur avant ou après avoir commencé à synchroniser les utilisateurs.

1

Connectez-vous au portail Azure et allez à Azure Active Directory > Applications Enterprise > toutes les applications.

2

Ouvrez l’application Cisco Webex de l’application.

3

Sélectionnez la page Provisioning et ouvrez la commande Mappages sur cette page.

4

Cliquez sur Synchroniser Azure Active Directory utilisateurs à CiscoWebex

Une nouvelle section s’ouvre.

5

Cochez la case Afficher les options avancées puis cliquez sur Modifier la liste desattributs pour CiscoWebEx.

Dans la commande qui s’ouvre, vous pouvez choisir les attributs Webex qui seront remplis à partir des attributs utilisateur Azure. Les attributs et les mappages sont affichés ultérieurement dans cette procédure.

6

Après avoir sélectionné les attributs Webex, cliquez sur Enregistrer , puis sur Oui pour confirmer.

La page Mappage des attributs s’ouvre, vous pouvez donc ma mappage des attributs utilisateur Azure AD avec les attributs utilisateur Webex que vous avez choisis.

7

Au bas de la page, cliquez sur Ajouter un nouveau mappage.

8

Choisissez Mappage direct. Sélectionnez l’attribut Source (attribut Azure) et l’attribut Cible (Attribut Webex), puis cliquez sur OK.

Tableau 1. Mappages Azure vers Webex

Attribut Azure Active Directory (source)

Cisco Webex’attribut (cible)

Nomprincipal de l’utilisateur

nom d'utilisateur

Changer ([IsSoftd], , « False » (Faux), « True » (Vrai), « False »)

actif(s)

Nom d'affichage

Nom d'affichage

Nom

nom.nomdname

Nom donné

nom.givenName

Jobtitle

titre

UtilisationLocation

adresses[type eq « work"].pays

ville

adresses[type eq « work"].localité

Adresse postale

adresses[type eq « work"].streetAddress

État

adresses[type eq « work"].région

Code postal

adresses[type eq « work"].code postal

Numéro de téléphone

Numéros de téléphone[typeq « work"].valeur

mobile

Numéros de téléphone[type eq « mobile"].valeur

Numéro téléphonique du fax

Numéros de téléphone[type eq « fax"].valeur

Objectid

id externe

9

Répétez les deux étapes précédentes jusqu’à ce que vous ajoutiez ou modifiez tous les mappages dont vous avez besoin, puis cliquez sur Enregistrer et Oui pour confirmer vos nouveaux mappages.


 

Nous vous recommandons de ne pas modifier les mappages des attributs par défaut. Un mappage important est userPrincipalName (UPN) dans Azure AD à l’adresse électronique (nom d’utilisateur) dans Control Hub. Vous pouvez restaurer les mappages par défaut si vous souhaitez recommencer.

Si userPrincipalName n’est pas l’adresse électronique dans Control Hub, les utilisateurs sont provisionnés en tant que nouveaux utilisateurs et ne correspondent pas aux utilisateurs existants dans Control Hub. Si vous souhaitez utiliser l’adresse électronique Azure au lieu de l’UPN, vous devez modifier ce mappage par défaut dans Azure AD de UserPrincipalName à Email.

Vos mappages sont faits et les utilisateurs Webex seront créés ou mis à jour lors de la prochaine synchronisation.

Avant de commencer

Vous avez :

  • A ajouté l’application Cisco Webex de la

  • Azure autorisé à créer des utilisateurs Webex automatiquement et a testé la connexion

  • (Facultatif) Utilisateurs et groupes spécifiques attribués à l’application Webex

  • (Facultatif) Attributs Azure (addpped, non-default) mappées aux attributs Webex

1

Ouvrez l Cisco Webex appplication de l’application dans le portail Azure et allez à la page Provisioning.

2

Si vous avez attribué des utilisateurs ou des groupes spécifiques à l’application, définissez les scope de provisioning sur Synchroniser uniquement les utilisateurs et les groupes attribués.

Si vous choisissez cette option, mais que vous n’avez pas encore attribué des utilisateurs et des groupes, vous devez suivre Attribuer des groupes/utilisateurs à l’application dans Azure AD avant d’avoir à faire un provisioning.

3

Basculez le statut de provisioning sur Sur .

Cette action démarre le provisioning/synchronisation automatique des utilisateurs Webex à partir d’Azure AD. Ceci peut prendre jusqu’à 40 minutes.

Si vous testez et souhaitez réduire le temps d’attente, vous pouvez utiliser le provisioning à la demande. Voir .https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand

Une autre option consiste à redémarrer le provisioning : basculez Le statut de provisioning sur Off (Arrêt), Enregistrer , puisretournez à On (On), Enregistrer (à nouveau). Ceci force une nouvelle synchronisation.


 

Nous vous conseillons vivement de ne pas utiliser l’option Effacer l’état actuel et redémarrer la synchronisation.

4

Connectez-vous https://admin.webex.comà , allez àUtilisateurs et vérifiez les comptes azure Active Directory utilisateurs.

Cette synchronisation se produit par l’API, donc il n’y a aucune indication de statut dans Control Hub. Vous pouvez vérifier les journaux dans le portail Azure pour voir le statut de la synchronisation des utilisateurs.


 

Pour obtenir un enregistrement de tous les changements liés à la synchronisation des utilisateurs Azure AD et isoler tout problème potentiel, accédez aux journaux d’audit : sous Activité , cliquez surJournaux d’audit. Cet affichage affiche chaque journal et vous pouvez filtrer sur des catégories spécifiques telles que le provisioning du compte pour le filtre Service et Gestion des utilisateurs pour un filtre Catégorie.

Vous pouvez supprimer les attributions des utilisateurs à partir d’Azure AD. Ceci conserve les comptes utilisateur Azure AD mais supprime ces comptes de l’accès aux applications et services de votre organisation Webex.

Lorsque vous supprimez le attribution de l’utilisateur, Webex marque l’utilisateur comme Inactif.

1

À partir du portail Azure, allez à Applications Enterprise , puis choisissezl’application Webex que vous avez ajoutée.

2

Choisissez un utilisateur ou un groupe d’utilisateurs dans la liste de ceux attribués à l’application.

3

Cliquez sur Supprimer , puis cliquez sur Oui pour confirmer la suppression.

Lors de l’événement de synchronisation suivant, l’utilisateur ou le groupe d’utilisateurs est supprimé de l’application Webex.

1

Allez à Utilisateurs , cochez une case à cocher à côté compte utilisateur que vous souhaitez supprimer, puis cliquez sur Supprimer l’utilisateur.

Les utilisateurs sont déplacés vers l’onglet Utilisateurs supprimés.

Dans Control Hub, les utilisateurs sont déplacés vers un état de « suppression douce » et ne sont pas supprimés immédiatement. Ils sont également renommés. Azure AD envoie ces modifications vers le Cloud Webex. Control Hub reflète ensuite ces modifications et marque l’utilisateur comme Inactif. Tous les jetons sont révoqués pour l’utilisateur.

2

Pour vérifier les enregistrements de la suppression des utilisateurs, allez dans Journaux d’audit, puis exécutez une recherche sur la catégorie Gestion des utilisateurs ou sur l’activité Supprimer l’utilisateur.


 

Lorsque vous ouvrez un journal d’audit utilisateur supprimé et que vous cliquez sur Cible(s), vous voyez le Nom principal de l’utilisateur a une chaîne de chiffres et de caractères avant le @.

Si vous effectuez des actions eDiscovery dans Control Hub, vous devez obtenir le Nom d’utilisateur principal à partir des journaux d’audit dans Azure AD. Pour plus d’informations sur eDiscovery, voir Assurer la conformité réglementaire de l’application Webex et du contenu des réunions.

Ce qu’il faut faire ensuite

Vous avez 30 jours pour récupérer les utilisateurs supprimés « soft » (soft) avant qu’ils ne soient définitivement supprimés. Si vous récupérez l’utilisateur dans Azure AD, Control Hub réactive l’utilisateur et renomme l’utilisateur en l’adresse électronique/UPN d’origine.

Si vous ne récupérez pas l’utilisateur, Azure AD fait une suppression difficile. Votre organisation Webex supprime l’utilisateur et vous ne voyez plus l’utilisateur dans Control Hub. Si vous avez lu ultérieurement l’adresse électronique à Azure AD, Webex crée un compte totalement nouveau pour l’utilisateur.