Egyszeri bejelentkezési hitelesítés módosítása a Control Hubban

Mielőtt elkezdené

Győződjön meg arról, hogy a következő előfeltételek teljesülnek:

  • Az SSO már konfigurálva van. Az SSO konfigurációs varázsló használatával kapcsolatos információkért lásd: Egyszeri bejelentkezés integrációja a Control Hubban.

  • A domainek már ellenőrizve lettek.

  • A domaineket igényelték és bekapcsolták. Ez a funkció biztosítja, hogy a domainjéből származó felhasználók minden alkalommal egyszer létrejöjjenek és frissüljenek, amikor hitelesítik magukat az IdP-vel.

  • Ha a DirSync vagy az Entra ID engedélyezve van, akkor a SAML JIT létrehozása vagy frissítése nem fog működni.

  • A "Felhasználói profil frissítésének blokkolása" engedélyezve van. Az SAML frissítési leképezése azért engedélyezett, mert ez a konfiguráció szabályozza a felhasználó azon képességét, hogy szerkessze az attribútumokat. A rendszergazda által vezérelt létrehozási és frissítési módszerek továbbra is támogatottak.

Az újonnan létrehozott felhasználók csak akkor kapnak automatikusan hozzárendelt licenceket, ha a szervezet rendelkezik automatikus licencsablonnal .

A SAML JIT csoportok kiépítéséhez a felhasználók csak egyetlen csoportra jogosultak.

Just-in-Time (JIT) és SAML leképezés konfigurálása
1

Jelentkezzen be a Control Hubba .

2

Lépjen a Kezelés oldalra > Biztonság > Hitelesítés.

3

Lépjen az Identitásszolgáltató fülre.

4

Lépjen az IdP-re, és kattintson Továbbiak menüa gombra.

5

Válassza a SAML-leképezés szerkesztéselehetőséget.

6

Konfigurálja a Just-in-Time (JIT) beállításokat.

  • Felhasználó létrehozása vagy aktiválása: Ha nem található aktív felhasználó, akkor a Webex Identity létrehozza a felhasználót, és frissíti az attribútumokat, miután a felhasználó hitelesítette magát az IdP-vel.
  • Frissítse a felhasználót SAML attribútumokkal: Ha talál egy e-mail címmel rendelkező felhasználót, akkor a Webex Identity frissíti a felhasználót az SAML helyességi feltételben leképezett attribútumokkal.
Győződjön meg arról, hogy a felhasználók be tudnak jelentkezni egy másik, azonosíthatatlan e-mail címmel.

7

Konfigurálja a SAML leképezéshez szükséges attribútumokat.

1. táblázat. Kötelező attribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

Felhasználónév / Elsődleges e-mail cím

Példa: uid

Az UID-attribútumok megfeleltetése a jogosultságot szerzett felhasználó e-mailjének, upn-jének vagy edupersonprincipalname-jének.

8

Konfigurálja a csatolási attribútumokat.

Ennek egyedinek kell lennie a felhasználó számára. Felhasználó keresésére szolgál, hogy a Webex frissíthesse az összes profilattribútumot, beleértve a felhasználó e-mail címét is.
2. táblázat Attribútumok összekapcsolása

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

externalId

Példa: user.objectid

A felhasználó megkülönböztetése a többi egyéni profiltól. Erre szükség lehet címtárak közötti megfeleltetéskor vagy a profil más attribútumainak megváltoztatásakor.

1. bővítményattribútum

Példa: user.extensionattribute1

Rendelje le ezeket az egyéni attribútumokat az Entra ID vagy a címtár kiterjesztett attribútumaihoz a követőkódok érdekében.

2. bővítményattribútum

Példa: user.extensionattribute2

3. bővítményattribútum

Példa: user.extensionattribute3

4. bővítményattribútum

Példa: user.extensionlattribute4

5. bővítményattribútum

Példa: user.extensionattribute5

9

Konfigurálja a Profilattribútumokat.

3. táblázat. Profilattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

externalId

Példa: user.objectid

A felhasználó megkülönböztetése a többi egyéni profiltól. Erre szükség lehet címtárak közötti megfeleltetéskor vagy a profil más attribútumainak megváltoztatásakor.

preferáltNyelv

Példa: user.preferredlanguage

A felhasználó által előnyben részesített nyelv.

színhely

Példa: user.locale

A felhasználó elsődleges munkavégzési helye.

időzóna

Példa: user.timezone

A felhasználó elsődleges időzónája.

displayName

Példa: user.displayname

A felhasználó megjelenített neve a Webex-ben.

name.givenName

Példa: user.givenname név

A felhasználó keresztneve.

name.familyName

Példa: user.vezetéknév

A felhasználó vezetékneve.

címek.streetAddress

Példa: user.streetaddress

Az elsődleges munkavégzési hely címe, utca, házszám.

címek.helyszín

Példa: user.localityAz elsődleges munkavégzési hely lokációja.

címek.régió

Példa: user.region

Az elsődleges munkavégzési hely régiója.

addresses.irányítószám

Példa: user.irányítószám

Az elsődleges munkavégzési hely irányítószáma.

címek.ország

Példa: user.country

Az elsődleges munkavégzési hely országa.

phoneNumbers.work

Példa: munkahelyi telefonszám

Az elsődleges munkavégzési hely munkahelyi telefonszáma. Csak a nemzetközi E.164 formátumot használja (maximum 15 számjegy).

phoneNumbers.extension (angolul)

Példa: mellék telefonszám

Az elsődleges munkahelyi telefonszám munkahelyi melléke. Csak a nemzetközi E.164 formátumot használja (maximum 15 számjegy).

phoneNumbers.mobile

Példa: mobiltelefonok számaAz elsődleges munkavégzési hely mobiltelefonszáma. Csak a nemzetközi E.164 formátumot használja (maximum 15 számjegy).

munkakör

Példa: user.jobtitle

A felhasználó munkaköre.

részleg

Példa: user.department

A felhasználó munkahelyi részlege vagy csapata.

emails.workPélda: munkahelyi e-mailekA felhasználó munkahelyi e-mailjei.
szervezetPélda: felhasználó.szervezetA felhasználó szervezeti azonosítója
10

Konfigurálja a Csoport attribútumait.

  1. Hozzon létre egy csoportot a Control Hubban, és jegyezze fel a Webex csoport azonosítóját.
  2. Lépjen a felhasználói könyvtárába vagy az IdP-jébe, és állítson be egy attribútumot azoknak a felhasználóknak, akiket a Webex csoportazonosítóhoz rendel.
  3. Frissítse az IdP konfigurációját, hogy tartalmazzon egy olyan jogcímet, amely ezt az attribútumnevet és a Webex csoport azonosítóját is tartalmazza (pl. c65f7d85-b691-42b8-a20b-12345xxxx). A külső azonosítót a csoportnevek módosításainak kezelésére vagy a jövőbeli integrációs forgatókönyvekhez is használhatja. Például szinkronizálás az Entra ID-val vagy SCIM csoportszinkronizáció megvalósítása.
  4. Adja meg az SAML-állításban a csoportazonosítóval együtt elküldendő attribútum pontos nevét. Ez a felhasználó csoporthoz való hozzáadására szolgál.
  5. Adja meg a csoportobjektum külső azonosítójának pontos nevét, ha a címtárból származó csoportot használ a tagok küldéséhez az SAML-állításban.

Ha az A felhasználó groupID a 1234-es, a B felhasználó pedig groupID a 4567-es címhez van társítva, akkor külön csoportokba vannak sorolva. Ez a forgatókönyv azt jelzi, hogy egyetlen attribútum lehetővé teszi a felhasználók számára, hogy több csoportazonosítóhoz is társítsák őket. Bár ez nem gyakori, lehetséges, és additív változásnak tekinthető. Például, ha az A felhasználó kezdetben groupID a 1234 címmel jelentkezik be, akkor a megfelelő csoport tagjává válik. Ha az „A” felhasználó később groupID a 4567-es azonosítóval jelentkezik be, akkor őt is hozzáadják ehhez a második csoporthoz.

A SAML JIT kiépítése nem támogatja a felhasználók csoportokból való eltávolítását vagy a felhasználók törlését.

4. táblázat. Csoportattribútumok

Webex Identity attribútum neve

SAML-attribútum neve

Attribútum leírása

csoportazonosító

Példa: csoportazonosító

Rendelje hozzá az IdP-től származó csoportattribútumokat a Webex Identity csoportattribútumaihoz, annak érdekében, hogy a felhasználót egy csoporthoz lehessen hozzárendelni a licenceléshez vagy a beállítási szolgáltatáshoz.

csoportkülső azonosító

Példa: csoportkülső azonosító

Rendelje hozzá az IdP-től származó csoportattribútumokat a Webex Identity csoportattribútumaihoz, annak érdekében, hogy a felhasználót egy csoporthoz lehessen hozzárendelni a licenceléshez vagy a beállítási szolgáltatáshoz.

A Webex-értekezletek SAML helyességifeltétel-attribútumainak listáját lásd: https://help.webex.com/article/WBX67566.