Modifier l’authentification Single Sign-on dans Control Hub

Avant de commencer

Assurez-vous que les conditions préalables suivantes sont remplies :

  • La SSO est déjà configurée. Pour plus d'informations sur l'utilisation de l'assistant de configuration SSO , voir la section « Configuration SSO » ici : https://help.webex.com/article/lfu88u/.

  • Les domaines ont déjà été vérifiés.

  • Les domaines sont réclamés et activés. Cette fonctionnalité garantit que les utilisateurs de votre domaine sont créés et mis à jour une fois chaque fois qu’ils s’authentifient auprès de votre IdP.

  • Si DirSync ou AzureAD sont activés, la création ou la mise à jour SAML JIT ne fonctionnera pas.

  • « Bloquer la mise à jour du profil utilisateur » est activé. Le mappage de mise à jour SAML est autorisé car cette configuration contrôle la capacité de l'utilisateur à modifier les attributs. Les méthodes de création et de mise à jour contrôlées par l’administrateur sont toujours prises en charge.


 

Les utilisateurs nouvellement créés ne recevront pas automatiquement de licences attribuées à moins que l’organisation n’ait configuré un modèle de licence automatique.

La mise à disposition des utilisateurs pour la mise à disposition des groupes SAML JIT est limitée à un seul groupe uniquement.

Configurer le mappage juste à temps (JIT) et SAML

1

Connectez-vous au Control Hub.

2

Aller à Gestion > Paramètres de l’organisation, faites défiler jusqu’à Authentification unique et cliquez sur Gérer la SSO et les IdP.

3

Accédez à l'onglet Fournisseur d'identité.

4

Allez à l’IdP et cliquez sur.

5

Sélectionnez Modifier le mappage SAML.

6

Configurer les paramètres Just-in-Time (JIT).

  • Créer ou activer un utilisateur : si aucun utilisateur actif n’est trouvé, alors Webex Identity crée l’utilisateur et met à jour les attributs une fois que l’utilisateur s’est authentifié auprès de l’IdP.
  • Mettre à jour l’utilisateur avec les attributs SAML : si un utilisateur avec une adresse électronique est trouvé, alors Webex Identity met à jour l'utilisateur avec les attributs mappés dans l'assertion SAML.
Confirmez que les utilisateurs peuvent se connecter avec une autre adresse électronique non identifiable.
7

Configurez les attributs requis du mappage SAML.

Tableau 1. Attributs requis

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

Nom d'utilisateur / adresse électronique principale

Exemple : uid

Faites correspondre l’attribut UID à l’adresse électronique, à l’UPN ou à l’edupersonprincipalname de l’utilisateur provisionné.

8

Configurez les Attributs de liaison.

Ceci doit être unique à l’utilisateur. Il est utilisé pour rechercher un utilisateur afin que Webex puisse mettre à jour tous les attributs du profil, y compris l’adresse électronique d’un utilisateur.
Tableau 2. Associer les attributs

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : utilisateur.objectid

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

matricule salarié

Exemple : utilisateur.employee

Le numéro d'employé de l'utilisateur, ou un numéro d'identification dans son système RH. Notez que ce n'est pas pour externalid, parce que vous pouvez réutiliser ou recycler employeenumber pour les autres utilisateurs.

Attribut 1 du numéro de poste

Exemple : utilisateur.extensionattribute1

Mappez ces attributs personnalisés aux attributs étendus dans Active Directory, Azure ou votre répertoire, pour les codes de suivi.

Attribut 2 du numéro de poste

Exemple : utilisateur.extensionattribute2

Attribut du numéro de poste 3

Exemple : user.extensionattribute3

Attribut du numéro de poste 4

Exemple : utilisateur.extensionlattribute4

Attribut du numéro de poste 5

Exemple : user.extensionattribute5

9

Configurez les attributs du profil.

Tableau 3. Attributs de profil

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

id externe

Exemple : utilisateur.objectid

Pour identifier cet utilisateur par rapport aux profils des autres personnes. Ceci est nécessaire lors du mappage entre répertoires ou de la modification d’autres attributs de profil.

matricule salarié

Exemple : utilisateur.employee

Le numéro d'employé de cet utilisateur, ou un numéro d'identification dans son système RH. Notez que ce n'est pas pour "externalid", car vous pouvez réutiliser ou recycler "employee enumber" pour d'autres utilisateurs.

Langue préférée

Exemple : utilisateur.langue de préférence

La langue préférée de l’utilisateur.

Paramètre régional

Exemple : utilisateur.locale

Le lieu de travail principal de l’utilisateur.

Fuseau horaire

Exemple : utilisateur.fuseau horaire

Le fuseau horaire principal de l’utilisateur.

Nom d'affichage

Exemple : utilisateur.displayname

Le nom d’affichage de l’utilisateur dans Webex.

nom.givenName

Exemple : utilisateur.givenname

Le prénom de l’utilisateur.

nom.nomdname

Exemple : nom.utilisateur

Le nom de famille de l’utilisateur.

adresses.streetAddress

Exemple : adresse de l'utilisateur

L’adresse postale de leur lieu de travail principal.

adresses.state

Exemple : état.utilisateur

L’état de leur lieu de travail principal.

adresses.region

Exemple : utilisateur.région

La région de leur lieu de travail principal.

adresses.codePostal

Exemple : code postal utilisateur

Le code postal de leur lieu de travail principal.

adresses.pays

Exemple : utilisateur.pays

Le pays de leur lieu de travail principal.

numéros de téléphone.work

Exemple : numéro de téléphone professionnel

Le numéro de téléphone professionnel de son lieu de travail principal. Utilisez uniquement le format international E.164 (15 chiffres maximum).

numérosde téléphone.extension

Exemple : numéro de téléphone mobile

Le numéro de poste de leur principal numéro de téléphone professionnel. Utilisez uniquement le format international E.164 (15 chiffres maximum).

pronom

Exemple : utilisateur.pronom

Les pronoms de l’utilisateur. Il s'agit d'un attribut facultatif, et l'utilisateur ou l'administrateur peut le rendre visible sur son profil.

titre

Exemple : user.jobtitle

L’intitulé de poste de l’utilisateur.

département

Exemple : service de l'utilisateur

Le département ou l’équipe de travail de l’utilisateur.

pronom

Exemple : utilisateur.pronom

Il s’agit du pronom de l’utilisateur. La visibilité de cet attribut est contrôlée par l’Admin et l’utilisateur

manager

Exemple : manager

Le responsable de l’utilisateur ou son chef d’équipe.

centre de coûts

Exemple : centre de coûts

Il s’agit du nom de famille de l’utilisateur également connu sous le nom de famille

adresse électronique.alternate1

Exemple : nom d'utilisateur

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate2

Exemple : utilisateur.primaryautoritativemail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate3

Exemple : user.alternativeautoritativemail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate4

Exemple : utilisateur.othermail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.

adresse électronique.alternate5

Exemple : utilisateur.othermail

Une autre adresse électronique pour l'utilisateur. Si vous souhaitez que l'utilisateur puisse se connecter en l'utilisant, mappez-le à l'uid.
10

Configurez les attributs du poste.

Mappez ces attributs aux attributs étendus dans Active Directory, Azure ou votre répertoire, pour les codes de suivi.
Tableau 4. Attributs du poste

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Attribut 1 du numéro de poste

Exemple : utilisateur.extensionattribute1

Attribut 2 du numéro de poste

Exemple : utilisateur.extensionattribute2

Attribut du numéro de poste 3

Exemple : user.extensionattribute3

Attribut du numéro de poste 4

Exemple : user.extensionattribute4

Attribut du numéro de poste 5

Exemple : user.extensionattribute5

Attribut du numéro de poste 6

Exemple : user.extensionattribute6

Attribut du numéro de poste 7

Exemple : utilisateur.extensionattribute7

Attribut du numéro de poste 8

Exemple : user.extensionattribute8

Attribut du numéro de poste 9

Exemple : user.extensionattribute9

Attribut du numéro de poste 10

Exemple : user.extensionattribute10

11

Configurez les attributs du groupe.

  1. Créez un groupe dans Control Hub et notez l’ID du groupe Webex.
  2. Allez dans votre répertoire utilisateur ou IdP et configurez un attribut pour les utilisateurs qui seront affectés à l’ID du groupe Webex.
  3. Mettez à jour la configuration de votre IdP pour inclure une réclamation portant ce nom d’attribut ainsi que l’ID du groupe Webex (par exemple c65f7d85-b691-42b8-a20b-12345xxxx). Vous pouvez également utiliser l’ID externe pour gérer les modifications apportées aux noms de groupe ou pour de futurs scénarios d’intégration. Par exemple, synchronisation avec Azure AD ou mise en œuvre de la synchronisation de groupe SCIM.
  4. Spécifiez le nom exact de l'attribut qui sera envoyé dans l'assertion SAML avec l'ID du groupe. Permet d’ajouter l’utilisateur à un groupe.
  5. Spécifiez le nom exact de l'ID externe de l'objet de groupe si vous utilisez un groupe de votre répertoire pour envoyer des membres dans l'assertion SAML.

 

Si l’utilisateur A est associé à groupID 1234 et utilisateur B avec groupID 4567, ils sont affectés à des groupes distincts. Ce scénario indique qu'un seul attribut permet aux utilisateurs de s'associer à plusieurs ID de groupe. Bien que cela soit rare, il est possible et peut être considéré comme un changement additif. Par exemple, si l'utilisateur A se connecte initialement en utilisant groupID 1234, ils deviennent membres du groupe correspondant. Si l’utilisateur A se connecte ultérieurement en utilisant groupID 4567, ils sont également ajoutés à ce deuxième groupe.

La mise à disposition SAML JIT ne prend pas en charge la suppression d'utilisateurs des groupes ou toute suppression d'utilisateurs.

Tableau 5. Attributs du groupe

Nom de l’attribut de l’identité Webex

Nom de l’attribut SAML

Description de l’attribut

ID du groupe

Exemple : ID du groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

IdExterne du groupe

Exemple : IdExterne du groupe

Mapper les attributs de groupe de l’IdP aux attributs de groupe d’identité Webex afin de mapper cet utilisateur à un groupe pour l’octroi de licences ou le service de configuration.

Pour obtenir la liste des attributs d’assertion SAML pour Webex Meetings, voir https://help.webex.com/article/WBX67566.