Système de gestion des identités interdomaines (SCIM)

L'intégration entre les utilisateurs de l'annuaire et Control Hub utilise le système de gestion des identités interdomaines ( SCIM ) API. SCIM est une norme ouverte permettant d'automatiser l'échange d'informations sur l'identité des utilisateurs entre les domaines d'identité ou les systèmes informatiques. SCIM est conçu pour faciliter la gestion des identités des utilisateurs dans les applications et les services basés sur le cloud. SCIM utilise une API standardisée via REST.


 
Si votre organisation utilise déjà Directory Connector pour synchroniser les utilisateurs, vous ne pouvez pas synchroniser les utilisateurs à partir d'Okta.

 

L'intégration d'Okta prend en charge les attributs suivants uniquement :

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

Attributs à plusieurs valeurs, PhoneNumber pour mobile et work, ainsi que Address, ne sont pas pris en charge par Okta car l'opération pour PATCH, PUT, ou DELETE n’est pas transmise par l’application Okta à Webex.

Veuillez supprimer ces attributs du mappage Okta ou supprimer la mise à jour de la configuration de synchronisation.

Fonctionnalités prises en charge

Cette intégration prend en charge les fonctionnalités de synchronisation des utilisateurs suivantes dans Okta :

  • Créer des utilisateurs—Crée ou lie un utilisateur dans l’application Webex lors de l’attribution de l’application à un utilisateur dans Okta.

  • Mettre à jour les attributs de l'utilisateur—Okta met à jour les attributs d'un utilisateur dans l'application Webex lorsque l'application est attribuée. Les futures modifications d'attributs apportées au profil utilisateur d'Okta écrasent automatiquement la valeur d'attribut correspondante dans le cloud Webex.

  • Désactiver les utilisateurs—Désactive le compte Webex App d'un utilisateur lorsqu'il n'est pas attribué dans Okta ou que son compte Okta est désactivé. Les comptes peuvent être réactivés si vous réaffectez l'application à un utilisateur dans Okta.


 
Nous ne prenons pas en charge la synchronisation des groupes à partir d'Okta avec votre organisation Webex.

Ajouter Webex à Okta

Avant de configurer Control Hub pour le provisionnement automatique des utilisateurs avec Okta, vous devez ajouter Webex à partir de la galerie d’applications Okta à votre liste d’applications gérées. Vous devez également choisir une méthode d'authentification. Actuellement, les services Webex dans Control Hub ne prennent en charge que l’ SSO fédérée avec Okta.

Avant de commencer

  • Okta nécessite que vous ayez un locataire Okta valide et une licence actuelle avec leur plate-forme. Vous devez également avoir un abonnement payant en cours et une organisation Webex.

  • Dans votre organisation Webex, vous devez configurer des modèles d'attribution de licence automatique, sinon les utilisateurs nouvellement synchronisés dans Control ne se verront pas attribuer de licences pour les services Webex. Pour plus d’informations, voir Configurer des modèles d’attribution automatique de licence dans Control Hub

  • L’intégration de l’authentification unique (SSO) dans Control Hub n’est pas traitée dans ce document. Vous devez commencer par une intégration Okta SSO avant de configurer le provisionnement des utilisateurs. Pour obtenir des conseils sur l’intégration SSO , voir Authentification authentification unique Control Hub avec Okta .

1

Connectez-vous à Okta Tenant ( example.okta.com, où example est le nom de votre entreprise ou organisation) en tant qu’administrateur, allez à Applications , puis cliquez sur Ajouter une application .

2

Rechercher Cisco Webex et ajoutez l’application à votre locataire.

Si vous avez déjà intégré Okta SSO dans votre organisation Control Hub, vous pouvez ignorer les étapes ci-dessus et simplement rouvrir l'entrée Cisco Webex dans la liste des applications Okta.

3

Dans un onglet de navigateur distinct, allez à l'affichage du client danshttps://admin.webex.com , cliquez sur le nom de votre organisation, puis à côté de Informations sur la société , copiez votre ID de l’organisation .

Enregistrez l'ID de l'organisation (copiez et collez dans un fichier texte). Vous utiliserez l'ID pour la procédure suivante.

Configurer Okta pour la synchronisation des utilisateurs

Avant de commencer

Assurez-vous d’avoir conservé l’ID de votre organisation de la procédure précédente.

Assurez-vous d’avoir le rôle d’administrateur complet du client lors de la création de jetons au porteur pour vos clients.

1

Dans Okta Tenant, allez à Approvisionnement , cliquez sur Configurer l'intégration de l' API , puis vérifiez Activer l'intégration de l' API .

2

Saisissez la valeur de l'ID dans le champ ID de l’organisation champ.

3

Suivez ces étapes pour obtenir la valeur du jeton du porteur pour le Jeton secret :

  1. Copiez l' URL suivante et exécutez-la dans un onglet de navigation privée : https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    L' URL ci-dessus s'applique au courtier d'ID Webex par défaut. Si vous utilisez Webex pour le gouvernement, utilisez l' URL suivante pour obtenir le jeton du porteur :

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Un navigateur de navigation privée est important pour vous assurer que vous vous connectez avec les informations d’identification d’administrateur correctes. Si vous êtes déjà connecté en tant qu'utilisateur moins privilégié qui ne peut pas créer d'utilisateurs, le jeton du porteur que vous renvoyez ne peut pas créer d'utilisateurs.

  2. À partir de la page de connexion Webex qui s'affiche, connectez-vous avec un compte administrateur complet pour votre organisation.

    Une page d'erreur s'affiche indiquant que le site ne peut pas être atteint, mais cela est normal.

    L' URL de la page d'erreur inclut le jeton de support généré. Ce jeton est valide pendant 365 jours (après quoi il expire).

  3. À partir de l' URL dans la barre d'adresse du navigateur, copiez la valeur du jeton du porteur entre access_token= et &token_type=Bearer.

    Par exemple, cette URL a la valeur du jeton en surbrillance : http://localhost:3000/auth/code#access_token = {sample_token } &token_type =Porteur&expires_in =3887999&state=ce-ci-devrait-être-une-chaîne-aléatoire-à-des-objectifs-de-sécurité.


     

    Nous vous recommandons d'enregistrer cette valeur dans un fichier texte en tant qu'enregistrement du jeton au cas où l' URL ne serait plus disponible.

4

Revenez à Okta, collez le jeton du porteur dans le Jeton API champ, puis cliquez sur Tester les informations d'identification de l' API .

Un message s'affiche indiquant que Webex a été vérifié avec succès.

5

Aller à Approvisionnement > Paramètres > Vers l'application puis spécifiez les fonctionnalités de synchronisation utilisateur souhaitées.

6

Cliquez sur Devoirs , puis cliquez sur Attribuer , puis choisissez-en un :

  • Attribuer à des personnes si vous souhaitez affecter Webex à des utilisateurs individuels.
  • Attribuer à des groupes si vous souhaitez affecter Webex à plusieurs utilisateurs dans un groupe.
7

Si vous avez configuré l'intégration SSO , cliquez sur Attribuer en regard de chaque utilisateur ou groupe que vous souhaitez affecter à l'application, puis cliquez sur Terminé .

Les utilisateurs que vous avez choisis sont synchronisés dans le cloud et ils apparaissent dans Control Hub sous Utilisateurs . Chaque fois que vous déplacez, ajoutez, modifiez ou supprimez des utilisateurs dans Okta, Control Hub récupère les modifications.


 

Si vous n'avez pas activé l'attribution automatique des modèles de licence, les utilisateurs sont synchronisés avec Control Hub sans aucune attribution de licence. Pour réduire la charge administrative, nous vous recommandons d'activer un modèle de licence d'attribution automatique avant de synchroniser les utilisateurs d'Okta dans Control Hub.