Tartományközi identitáskezelési rendszer (SCIM)

A könyvtár és a Webex Control Hub felhasználói közötti integráció a tartományok közötti identitáskezelés rendszerét(SCIM)használja. A SCIM egy nyílt szabvány a felhasználói azonosítókra vonatkozó információk személyazonossági tartományok vagy informatikai rendszerek közötti cseréjének automatizálására. A SCIM-et úgy tervezték, hogy megkönnyítse a felhasználói identitások kezelését a felhőalapú alkalmazásokban és szolgáltatásokban. A SCIM szabványosított API-t használ a REST-en keresztül.

Ha az Azure AD felhasználói attribútumait módosítja (például megjelenítse a nevet), a módosítások a Webex alkalmazásban akár 72 órát is igénybe vetekednek. (A módosítások a Vezérlőközpontban jelennek meg, amint frissíti a felhasználói nézetet.)

A felhasználók megpróbálhatják törölni a Webex alkalmazás helyi gyorsítótárát a szinkronizálás kikényszerítésére:

Mielőtt konfigurálná a Webex Control Hubot az Azure AD-vel való automatikus felhasználói kiépítéshez, a Cisco Webexet az Azure AD alkalmazásgalériájából fel kell vennie a felügyelt alkalmazások listájára.


Ha a Webex Control Hubot már integrálta az Azure-ral egyetlen bejelentkezéshez (SSO),a Cisco Webex már hozzáadódik a vállalati alkalmazásokhoz, és kihagyhatja ezt az eljárást.

1

Jelentkezzen be az Azure-portálra https://portal.azure.com rendszergazdai hitelesítő adataival.

2

Lépjen a szervezet Azure Active Directory webhelyére.

3

Lépjen a Vállalati alkalmazások elemre, majd kattintson a Hozzáadás gombra.

4

Kattintson a Kép hozzáadása a galériából gombra.

5

A keresőmezőbe írja be a Cisco Webex .

6

Az eredmény ablaktáblában válassza a Cisco Webexlehetőséget, majd kattintson a Hozzáadás gombra az alkalmazás hozzáadásához.

Megjelenik egy üzenet, amely szerint az alkalmazás sikeresen került hozzáadásra.

Ez az eljárás lehetővé teszi a felhasználók kiválasztását a Webex felhővel való szinkronizáláshoz.

Az Azure Active Directory a "hozzárendelések" nevű koncepciót használja annak meghatározására, hogy mely felhasználóknak kell hozzáférést biztosítaniuk a kijelölt alkalmazásokhoz. Az automatikus felhasználói kiépítéssel összefüggésben csak az Azure AD-ben egy alkalmazáshoz "hozzárendelt" felhasználók és/vagy csoportok szinkronizálódnak a Control Hub szolgáltatással.

Ha először konfigurálja az integrációt, javasoljuk, hogy rendeljen hozzá egy felhasználót teszteléshez, majd adjon hozzá más felhasználókat és csoportokat a sikeres teszt után.

1

Nyissa meg a Cisco Webex alkalmazást az Azure-portálon, majd nyissa meg a Felhasználók és csoportoklapot.

2

Kattintson a Hozzárendelés hozzáadásagombra.

3

Keresse meg az alkalmazáshoz hozzáadni kívánt felhasználókat/csoportokat:

  • Keresse meg az alkalmazáshoz hozzárendelendő egyes felhasználókat.
  • Keresse meg az alkalmazáshoz rendelendő felhasználók csoportját.
4

Kattintson a Kijelölés, majd a Hozzárendelésgombra.

Ismételje meg ezeket a lépéseket, amíg meg nem li az összes csoportot és felhasználót, amelyet szinkronizálni szeretne a Webex-szel.

Ezzel az eljárással beállíthatja a kiépítést az Azure AD-ből, és megszerezheti a szervezet bemutató tokenjét. A lépések lefedik a szükséges és ajánlott felügyeleti beállításokat.

Mielőtt elkezdené

A szervezeti azonosítót a Control Hub ügyfélnézetéből kapja meg: kattintson a szervezet nevére a bal alsó sarokban, majd másolja a szervezetazonosító értékét egy szöveges fájlba. Erre az értékre akkor lesz szüksége, amikor megadja a bérlő URL-címét. Ezt az értéket példaként fogjuk használni: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Jelentkezzen be az Azure-portálra, majd lépjen az Azure Active Directory > a Vállalati alkalmazások > az Összes alkalmazás .

2

Válassza a Cisco Webex-et a vállalati alkalmazások listájából.

3

Lépjen a Kiépítésra , majd módosítsa a Kiépítés módotautomatikusra.

A Webex alkalmazás az Azure AD felhasználói attribútumai és a Webex felhasználói attribútumai közötti alapértelmezett leképezésekkel jön létre. Ezek az attribútumok elegendőek a felhasználók létrehozásához, de a cikk későbbi részében leírtak szerint többet is hozzáadhat.

4

Adja meg a Bérlő URL-címét ebben az űrlapban:

https://api.ciscospark.com/v1/scim/{OrgId}

Csere {OrgId} a Control Hubtól kapott szervezeti azonosítóértékkel, így a bérlő URL-címe így néz ki: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Kövesse az alábbi lépéseket, hogy megkapja a titkos token token értékét:

  1. Másolja a következő URL-t, és futtassa egy inkognitó böngésző fülön: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Az inkognitó böngésző fontos, hogy megbizonyosodjon arról, hogy a megfelelő rendszergazdai hitelesítő adatokkal jelentkezik be. Ha már bejelentkezett kevésbé privilegizált felhasználóként, előfordulhat, hogy a visszaadott token nem jogosult felhasználók létrehozására.

  2. A megjelenő Webex bejelentkezési oldalról jelentkezzen be a szervezet teljes rendszergazdai fiókjával.

    Megjelenik egy hibaoldal, amely azt mondja, hogy a webhely nem érhető el, de ez normális.

    A generált bemutató token a hibaoldal URL-jében található. Ez a token 365 napig érvényes (ezt követően lejár).

  3. A böngésző címsorában található URL-ről másolja a bemutatóra szóló token értékét a access_token= és &token_type=Bearer.

    Ez az URL például a token értékét emeli ki: http://localhost:3000/auth/code#access_token={sample_token}és token_type=Hordozó&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Javasoljuk, hogy ezt az értéket illessze be egy szövegfájlba, és mentse el, hogy rögzíthesse a tokent abban az esetben, ha az URL már nem érhető el.

6

Térjen vissza az Azure-portálra, és illessze be a token értékét a Titkostokenbe.

7

Kattintson a Tesztkapcsolat gombra annak érdekében, hogy a szervezetet és a tokent az Azure AD felismerje.

A sikeres eredmény azt állítja, hogy a hitelesítő adatok jogosultak a felhasználók kiépítésének engedélyezésére.

8

Írjon be egy értesítő e-mailt, és jelölje be a jelölőnégyzetet, hogy e-mailt kapjon, ha kiépítési hibák vannak.

9

Kattintson a Mentés lehetőségre.

Sikeresen engedélyezte az Azure AD-t a Webex-felhasználók biztosításához és szinkronizálásához.

A következő teendők:

  • Ha az Azure-AD-felhasználóknak csak egy részét szeretné szinkronizálni a Webex-fel, olvassa el a Felhasználók csoportjának hozzáadása az Azure AD alkalmazáshoz címűrészt.

  • Ha a felhasználók szinkronizálása előtt további Azure AD-felhasználói attribútumokat szeretne leképezni a Webex-attribútumokra, olvassa el a Térkép felhasználói attribútumok az Azure-tól a Webexig című webhelyet.

  • A lépések után engedélyezheti az automatikus kiépítést az Azure AD-ből a Webexbe.

Kövesse ezt az eljárást további felhasználói attribútumok Azure-ból Webex-be való leképezéséhez, vagy a meglévő felhasználói attribútum-leképezések módosításához. A felhasználók szinkronizálása előtt vagy után módosíthatja a felhasználói attribútum leképezéseit.

Mielőtt elkezdené

Hozzáadta és konfigurálta a Cisco Webex alkalmazást az Azure Active Directoryhoz, és tesztelte a kapcsolatot.

1

Jelentkezzen be az Azure-portálra, majd lépjen az Azure Active Directory > a Vállalati alkalmazások > az Összes alkalmazás .

2

Nyissa meg a Cisco Webex alkalmazást.

3

Jelölje ki a Kiépítés lapot, és nyissa meg az oldal Leképezések vezérlőt.

4

Kattintson az Azure Active Directory felhasználóinak szinkronizálása a CiscoWebEx-re

Új szakasz nyílik meg.

5

Jelölje be a Speciális beállítások megjelenítése jelölőnégyzetet, majd kattintson a CiscoWebEx attribútumlistájának szerkesztésegombra.

A megnyíló vezérlőben kiválaszthatja, hogy mely Webex-attribútumok lesznek feltöltve az Azure felhasználói attribútumaiból. Az attribútumok és leképezések később jelennek meg ebben az eljárásban.

6

A Webex-attribútumok kijelölése után kattintson a Mentésgombra, majd az Igen gombra a megerősítéshez.

Megnyílik az Attribútum-leképezés lap, így az Azure AD felhasználói attribútumait a kiválasztott Webex-felhasználói attribútumokhoz térképezheti fel.

7

Kattintson az Új leképezés hozzáadása gombra (az oldal alján).

8

Válassza a Közvetlen leképezés lehetőséget. Jelölje ki a Forrás attribútumot (Azure attribútum) és a Cél attribútumot (Webex attribútum), majd kattintson az OKgombra.

1. táblázat. Azure–Webex-leképezések

Azure Active Directory attribútum (forrás)

Cisco Webex attribútum (cél)

felhasználóPrincipalName

felhasználóNév

Switch([IsSoftd], , "Hamis", "Igaz", "Igaz", "Hamis")

aktív

megjelenítésNév

megjelenítésNév

vezetéknév

name.familyNév

adott név

name.givenNév

jobTitle

munkakör

használatHelyezés

címek[eq "munka" típus].ország

város

címek[eq "munka" típus].helység

utcaCímke

címek[eq "munka" típus].utcaCímke

állam

címek[eq "munka" típus].régió

irányítószám

címek[eq "munka" típus].postalCode

telefonSzám

phoneNumbers[írja be az eq "munka"]értéket

mobil

phoneNumbers[írja be az eq "mobile"]értéket

telefaxTelephoneNumber

phoneNumbers[type eq "fax"].érték

objectId

externalId

9

Ismételje meg az előző két lépést, amíg hozzá nem tette / módosította az összes szükséges leképezést, majd kattintson a Mentés és az Igen gombra az új leképezések megerősítéséhez.


 

Javasoljuk, hogy ne módosítsa az alapértelmezett attribútum-leképezéseket. Fontos leképezés az Azure AD-ben a UserPrincipalName e-mail címhez (felhasználónévhez) a Control Hubban. Visszaállíthatja az alapértelmezett leképezéseket, ha újra szeretné indítani.

Ha a userPrincipalName nem az e-mail a Control Hubban, a felhasználók új felhasználókként vannak kihelyezve, és nem egyeznek meg a Control Hub meglévő felhasználóival. Ha upn helyett az Azure-e-mail címet szeretné használni, az Azure AD alapértelmezett leképezését UPN-ről e-mailre kell módosítania.

A leképezések elkészültek, és a Webex-felhasználók a következő szinkronizálással jönnek létre vagy frissülnek.

Mielőtt elkezdené

Ön:

  • Hozzáadta a Cisco Webex alkalmazást

  • Engedélyezett Azure a Webex-felhasználók automatikus létrehozásához, és tesztelte a kapcsolatot

  • (Nem kötelező) Konkrét felhasználók és csoportok hozzárendelése a Webex alkalmazáshoz

  • (Nem kötelező) Leképezett (additonal, nem alapértelmezett) Azure-attribútumok Webex-attribútumokhoz

1

Nyissa meg a Cisco Webex-szorzást az Azure-portálon, és nyissa meg a Kiépítés lapot.

2

Ha bizonyos felhasználókat vagy csoportokat rendelt az alkalmazáshoz, állítsa be a kiépítési hatókörta csak hozzárendelt felhasználók és csoportokszinkronizálására.

Ha ezt a beállítást választja, de még nem rendelt felhasználókat és csoportokat, a kiépítés váltása előtt követnie kell a Csoportok/felhasználók hozzárendelése az Azure AD alkalmazásához.

3

A kiépítési állapot beváltása.

Ez a művelet elindítja a Webex-felhasználók automatikus kiépítését / szinkronizálását az Azure AD-ből. Ez akár 40 percet is igénybe vehet.

Ha tesztel, és csökkentenie kell a várakozást, használhatja az igény szerinti kiépítést. Lásd https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand:

Egy másik lehetőség a kiépítés újraindítása: váltás a Kiépítési állapotki -kikapcsolására , mentés , majd vissza a Be , Mentés (újra). Ez új szinkronizálást kényszerít ki.


 

Javasoljuk, hogy ne használja az Aktuális állapot törlése és a szinkronizálás újraindítása lehetőséget.

4

Jelentkezzen be a https://admin.webex.comFelhasználók lapra, és ellenőrizze az Azure Active Directory felhasználóifiókjait.

Ez a szinkronizálás API-val történik, így a Control Hubban nincs állapotjelzés. A felhasználói szinkronizálás állapotának megtekintéséhez az Azure-portál naplóit is ellenőrizheti.


 

Az Azure AD-felhasználók szinkronizálásával kapcsolatos módosítások rögzítéséhez és az esetleges problémák elkülönítéséhez hozzáférjen az ellenőrzési naplókhoz: a Tevékenységgombra kattintva a Naplók naplózásaparancsra. Ez a nézet minden naplót megjeleníti, és szűrhet bizonyos kategóriákra, például a Szolgáltatásszűrő fiókkiépítésére és a Kategóriaszűrő felhasználóinak vezetésére.

A felhasználói hozzárendelések eltávolíthatók az Azure AD-ből. Ez megtartja az Azure AD felhasználói fiókjait, de eltávolítja azokat a fiókokat, amelyek hozzáférhetnek a Webex-szervezet alkalmazásaihoz.

1

Az Azure-portálról lépjen az Enterprisealkalmazásokhoz, majd válassza a hozzáadott Webex alkalmazást.

2

Válasszon felhasználót vagy felhasználói csoportot az alkalmazáshoz rendeltek listájából.

3

Kattintson az Eltávolításgombra, majd az Igen gombra az eltávolítás megerősítéséhez.

A következő szinkronizálási esemény után a felhasználó vagy felhasználói csoport törlődik a Webex alkalmazásból.

1

Lépjen a Felhasználókelemre, jelölje be a törölni kívánt felhasználói fiók melletti jelölőnégyzetet, majd kattintson a Felhasználó törlése gombra.

A felhasználók a Törölt felhasználók fülre kerülnek.

A Control Hubban a felhasználók "soft delete" állapotba kerülnek, és nem törlődnek azonnal. Átnevezik őket is. Az Azure Active Directory ezeket a módosításokat a Webex-felhőbe küldi. A Vezérlőközpont ezután tükrözi ezt a módosítást, és inaktívként jelöli meg a felhasználót. Az összes tokent visszavonják a felhasználó számára.

2

A felhasználó törléséről szóló rekordok ellenőrzéséhez lépjen az Ellenőrzési naplókba, majd futtass keresést a Felhasználókezelés kategóriában vagy a Felhasználói tevékenység törlése kategóriában.


 

Amikor megnyit egy törölt felhasználói ellenőrzési naplót, és a Target(ek) gombrakattint, látni fogja, hogy a felhasználó főnévnek van egy számsorozata és karaktersorozata a @előtt.

Ha bármilyen eDiscovery műveletet hajt végre a Control Hubban, a felhasználói főnevet az Azure AD naplózási naplóiból kell megkapnia. Az eDiscovery-ről további információt a Cisco Webex Teams tartalom szabályozási megfelelőjének biztosítása című webhelyentalál.

A következő teendők:

30 napja van arra, hogy helyreállítsa a "puha" törölt felhasználókat, mielőtt véglegesen törlődnének. Ha helyreállítja a felhasználót az Azure Active Directoryban, a Control Hub újraaktiválja a felhasználót, és átnevezi a felhasználót az eredeti e-mail/UPN címre.

Ha nem tér vissza a felhasználó, az Azure Active Directory kemény törlést végez, és a felhasználó is törlődik a Vezérlőközpontból. Ha az e-mail-címet az Azure Active Directoryba olvassák, új felhasználói fiók jön létre.