Modifier l’authentification unique SSO dans Control Hub

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies :

  • SSO est déjà configurée. Pour plus d’informations sur l’utilisation de l’assistant de configuration SSO, voir la section « Configuration SSO » ici : https://help.webex.com/article/lfu88u/.

  • Les domaines ont déjà été vérifiés.

  • Les domaines sont réclamés et activés. Cette fonctionnalité garantit que les utilisateurs de votre domaine sont créés et mis à jour une fois chaque fois qu’ils s’authentifient avec votre IdP.

  • Si DirSync ou AzureAD sont activés, la création ou la mise à jour de SAML JIT ne fonctionnera pas.

  • L’Profil d'utilisateur « Bloquer la mise à jour » est activé. Le mappage des mises à jour SAML est autorisé car cette configuration contrôle la capacité de l’utilisateur à modifier les attributs. Les méthodes de création et de mise à jour contrôlées par l’administrateur sont toujours supportées.

Les utilisateurs nouvellement créés ne recevront pas de licences automatiquement à moins que l’organisation n’ait installé un modèle de licence automatique.

Le provisionnement des utilisateurs pour le provisionnement SAML JIT des groupes est limité à un seul groupe.

Configurer le mappage Just-in-Time (JIT) et SAML
1

Connectez-vous au Control Hub.

2

Allez dans Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique SSO et cliquez sur Gérer la SSO et les IdP.

3

Allez à l'onglet Fournisseur d'identité .

4

Allez à l’IdP et cliquez sur Menu Plus.

5

Sélectionnez Modifier le mappage SAML.

6

Configurez les paramètres Just-in-Time (JIT).

  • Créer ou activer un utilisateur : si aucun utilisateur actif n’est trouvé, alors Webex Identity crée l’utilisateur et met à jour les attributs une fois que l’utilisateur s’est authentifié avec l’IdP.
  • Mise à jour de l’utilisateur avec les attributs SAML : si un utilisateur avec une adresse électronique est trouvé, webex Identity met à jour l’utilisateur avec les attributs mappés dans l’assertion SAML.
Confirmez que les utilisateurs peuvent se connecter avec une autre adresse électronique non identifiable.

7

Configurez les attributs requis du mappage SAML.

Tableau 1. Attributs requis

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

Nom d’utilisateur/Adresse électronique principale

Exemple : uid

Faites correspondre l’attribut UID à l’adresse électronique, à l’UPN ou à l’edupersonprincipalname de l’utilisateur provisionné.

8

Configurez les Attributs de liaison.

Ceci doit être unique pour l'utilisateur. Il est utilisé pour rechercher un utilisateur afin que Webex puisse mettre à jour tous les attributs du profil, y compris l’adresse électronique d’un utilisateur.
Tableau 2. Attributs de liaison

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : user.objectid (utilisateur.objectid)

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

Numéro de l’employé

Exemple : user.employeeid (utilisateur.employeeid)

Le numéro d’employé de l’utilisateur, ou un numéro d’identification dans son système RH. Notez que ceci n’est pas pour externalid, car vous pouvez réutiliser ou recycler employenumber pour d’autres utilisateurs.

Attribut de l’extension 1

Exemple : user.extensionattribute1

Mappez ces attributs personnalisés à des attributs étendus dans Active Directory, Azure ou votre répertoire, pour les codes de suivi.

Attribut de l’extension 2

Exemple : user.extensionattribute2

Attribut de l’extension 3

Exemple : user.extensionattribute3

Attribut d’extension 4

Exemple : utilisateur.extensionlattribute4

Attribut de l’extension 5

Exemple : user.extensionattribute5

9

Configurer les Attributs du profil.

Tableau 3. Attributs de profil

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : user.objectid (utilisateur.objectid)

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

Numéro de l’employé

Exemple : user.employeeid (utilisateur.employeeid)

Le numéro d’employé de cet utilisateur ou un numéro d’identification dans son système RH. Notez que ce n’est pas pour « externalid », car vous pouvez réutiliser ou réutiliser « employeenumber » pour d’autres utilisateurs.

Langue préférée

Exemple : user.preferredlanguage (langue préférée)

La langue préférée de l’utilisateur.

Paramètre régional

Exemple : user.locale

Le lieu de travail principal de l’utilisateur.

Fuseau horaire

Exemple : user.timezone (fuseau horaire)

Le fuseau horaire principal de l’utilisateur.

Nom d'affichage

Exemple : user.displayname (nom d’affichage utilisateur)

Le nom d’affichage de l’utilisateur dans Webex.

nom.givenName

Exemple : user.givenname (nom donné)

Le prénom de l’utilisateur.

nom.nomdname

Exemple : nom.utilisateur

Le nom de famille de l’utilisateur.

adresses.streetAddress

Exemple : user.streetaddress

L’adresse postale de leur lieu de travail principal.

adresses.state

Exemple : user.state (état utilisateur)

l’état de leur lieu de travail principal.

adresses.région

Exemple : région.utilisateur

La région de leur lieu de travail principal.

adresses.code postal

Exemple : code postal de l’utilisateur

Le code postal de leur lieu de travail principal.

adresses.pays

Exemple : utilisateur.pays

Le pays de leur lieu de travail principal.

phoneNumbers.work

Exemple : numéro de téléphone travail

Le numéro de téléphone professionnel de son lieu de travail principal. Utilisez uniquement le format international E.164 (15 chiffres maximum).

numéro de téléphone.extension

Exemple : numéro de téléphone portable

Le numéro de poste de leur principal numéro de téléphone professionnel. Utilisez uniquement le format international E.164 (15 chiffres maximum).

Pronom

Exemple : user.pronoun

Les pronouns de l’utilisateur. Ceci est un attribut facultatif, et l’utilisateur ou l’administrateur peut le rendre visible sur leur profil.

titre

Exemple : user.jobtitle

L’intitulé de poste de l’utilisateur.

département

Exemple : département.utilisateur

Le département ou l’équipe de travail de l’utilisateur.

Pronom

Exemple : user.pronoun

Ceci est le nom d’utilisateur. La visibilité de cet attribut est contrôlée par l’administrateur et l’utilisateur

directeur

Exemple : directeur

Le responsable de l’utilisateur ou le responsable de son équipe.

centre de coût

Exemple : centre de coût

Ceci est le nom de l’utilisateur également appelé surnom ou nom de famille

adresse électronique.alternate1

Exemple : user.mailname (nom_courrier)

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

adresse électronique.alternate2

Exemple : user.primaryauthoritativemail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

email.alternate3

Exemple : user.alternativeauthoritativemail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

adresse électronique.alternate4

Exemple : user.othermail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.

adresse électronique.alternate5

Exemple : user.othermail

Une autre adresse électronique pour l’utilisateur. Si vous souhaitez que l’utilisateur puisse se connecter en l’utilisant, mapotez-le sur l’uid.
10

Configurer les Attributs des extensions.

Mapez ces attributs aux attributs étendus dans Active Directory, Azure, ou votre répertoire, pour Codes de suivi.
Tableau 4. Attributs de l’extension

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Attribut de l’extension 1

Exemple : user.extensionattribute1

Attribut de l’extension 2

Exemple : user.extensionattribute2

Attribut de l’extension 3

Exemple : user.extensionattribute3

Attribut d’extension 4

Exemple : user.extensionattribute4

Attribut de l’extension 5

Exemple : user.extensionattribute5

Attribut de l’extension 6

Exemple : user.extensionattribute6

Attribut de l’extension 7

Exemple : user.extensionattribute7

Attribut de l’extension 8

Exemple : user.extensionattribute8

Attribut d’extension 9

Exemple : user.extensionattribute9

Attribut d’extension 10

Exemple : user.extensionattribute10

11

Configurer les Attributs du groupe.

  1. Créez un groupe dans le Control Hub et notez l’ID du groupe Webex.
  2. Allez dans votre répertoire utilisateur ou votre IdP et configurez un attribut pour les utilisateurs qui seront affectés à l’ID de groupe Webex.
  3. Mettez à jour la configuration de votre IdP pour inclure une réclamation qui porte ce nom d’attribut avec l’ID du groupe Webex (par exemple c65f7d85-b691-42b8-a20b-12345xxxx). Vous pouvez également utiliser l’ID externe pour gérer les modifications apportées aux noms des groupes ou pour des scénarios d’intégration futurs. Par exemple, la synchronisation avec Azure AD ou la mise en œuvre de la synchronisation de groupe SCIM.
  4. Spécifiez le nom exact de l'attribut qui sera envoyé dans l'assertion SAML avec l'ID de groupe. Cette option est utilisée pour ajouter l'utilisateur à un groupe.
  5. Spécifiez le nom exact de l'ID externe de l'objet du groupe si vous utilisez un groupe de votre répertoire pour envoyer des membres dans l'assertion SAML.

Si l'utilisateur A est associé à groupID 1234 et l'utilisateur B à groupID 4567, ils sont affectés à des groupes distincts. Ce scénario indique qu'un attribut unique permet aux utilisateurs de s'associer à plusieurs ID de groupe. Bien que ce phénomène soit peu fréquent, il est possible et peut être considéré comme un changement additif. Par exemple, si l'utilisateur A se connecte initialement en utilisant groupID 1234, il devient un membre du groupe correspondant. Si l'utilisateur A se connecte ultérieurement en utilisant groupID 4567, ils sont également ajoutés à ce second groupe.

Le provisionnement SAML JIT ne prend pas en charge la suppression d'utilisateurs de groupes ou toute suppression d'utilisateurs.

Tableau 5. Attributs du groupe

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

ID de groupe

Exemple : ID de groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

ID externe du groupe

Exemple : ID externe du groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

Pour une liste des attributs de l’assertion SAML pour Webex Meetings, voir https://help.webex.com/article/WBX67566.