Sistema per la gestione delle identità tra più domini (SCIM)

L'integrazione tra gli utenti nella directory e Control Hub utilizza il sistema per l'API SCIM (Cross-Domain Identity Management). SCIM è uno standard aperto per automatizzare lo scambio di informazioni di identità utente tra domini di identità o sistemi IT. LA soluzione SCIM è progettata per semplificare la gestione delle identità utente in applicazioni e servizi basati su cloud. LA VERSIONE SCIM utilizza un'API standardizzata attraverso REST.

Prima di configurare Webex Control Hub provisioning automatico degli utenti con Azure AD, è necessario aggiungere le Cisco Webex dalla galleria delle applicazioni Azure AD all'elenco delle applicazioni gestite.


 

Se è già stata Webex Control Hub integrata con Azure per Single Sign-On (SSO), Cisco Webex è già stata aggiunta alle applicazioni aziendali ed è possibile ignorare questa procedura.

1

Accedere al portale Azure su https://portal.azure.com con le credenziali dell'amministratore.

2

Andare a Azure Active Directory per la propria organizzazione.

3

Andare ad Applicazioni aziendali, quindi fare clic su Aggiungi.

4

Fare clic su Add an application from the gallery (Aggiungi un'applicazione dallagalleria).

5

Nella casella di ricerca, digitare Cisco Webex.

6

Nel riquadro dei risultati, selezionare Cisco Webex , quindi fare clic su Aggiungi per aggiungere l'applicazione.

Viene visualizzato un messaggio che indica che l'applicazione è stata aggiunta correttamente.

7

Per accertarsi che l'applicazione Webex aggiunta per la sincronizzazione non sia visualizzata nel portale utenti, aprire la nuova applicazione, andare a Proprietà e impostare Visibile agli utenti? su No .

Questa procedura consente di scegliere gli utenti da sincronizzare con il cloud Webex.

Azure AD utilizza un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli utenti, solo gli utenti e/o i gruppi di utenti "assegnati" a un'applicazione in Azure AD vengono sincronizzati in Control Hub.


 

Webex può sincronizzare gli utenti in un gruppo Azure AD, ma non sincronizza l'oggetto gruppo.

Se si sta configurando l'integrazione per la prima volta, si consiglia di assegnare un utente per il test, quindi aggiungere altri utenti e gruppi dopo un test eseguito correttamente.

1

Aprire l Cisco Webex appalto virtuale nel portale Azure, quindi andare a Utenti egruppi.

2

Fare clic su Add Assignment (Aggiungiassegnazione).

3

Individuare gli utenti/gruppi da aggiungere all'applicazione:

  • Trova i singoli utenti da assegnare all'applicazione.
  • Individuare un gruppo di utenti da assegnare all'applicazione.
4

Fare clic su Select (Seleziona), quindi fare clic su Assign(Assegna).

Ripetere queste operazioni fino a quando non si dispone di tutti i gruppi e gli utenti che si desidera sincronizzare con Webex.

Utilizzare questa procedura per impostare il provisioning da Azure AD e ottenere un token di supporto per la propria organizzazione. Le operazioni descritte riguardano le impostazioni amministrative necessarie e consigliate.

Operazioni preliminari

Ottenere l'ID organizzazione dalla vista del cliente in Control Hub: fare clic sul nome dell'organizzazione in basso a sinistra, quindi copiare il valore da ID organizzazione in un file di testo. Tale valore sarà necessario quando si inserisce l'URL del tenant. Questo valore verrà utilizzato come esempio: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Accedere al portale Azure e andare ad Azure Active Directory > Enterprise > Tutte le applicazioni.

2

Scegliere Cisco Webex dall'elenco di applicazioni aziendali.

3

Andare a Provisioning , quindi modificare la modalità di provisioning in Automatica.

L'app Webex viene creata con alcune mappature predefinite tra gli attributi utente Azure AD e gli attributi utente Webex. Questi attributi sono sufficienti per creare gli utenti, ma è possibile aggiungerne altri come descritto più avanti in questo articolo.

4

Inserire l'URL tenant in questo modulo:

https://api.ciscospark.com/v1/scim/{OrgId}

Replace {OrgId} con il valore dell'ID organizzazione ricevuto da Control Hub, in modo che l'URL del tenant sia simile al seguente: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Attenersi a questa procedura per ottenere il valore del token di risposta per il tokensegreto:

  1. Copiare il seguente URL ed eseguirlo in una scheda del browser in incognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Un browser in incognito è importante accertarsi di accedere con le credenziali di amministrazione corrette. Se è già stato eseguito l'accesso come utente con privilegi inferiori, il token di utente restituito potrebbe non essere autorizzato a creare gli utenti.

  2. Dalla pagina di accesso di Webex visualizzata, accedere con un account di amministrazione completo per la propria organizzazione.

    Viene visualizzata una pagina di errore a confermare che non è possibile raggiungere il sito ma che questo è normale.

    Il token dell'utente generato è incluso nell'URL della pagina di errore. Questo token è valido per 365 giorni (dopo la scadenza).

  3. Dall'URL nella barra degli indirizzi del browser, copiare il valore del token di connessione da tra access_token= e &token_type=Bearer.

    Ad esempio, questo URL presenta il valore del token evidenziato: http://localhost:3000/auth/code#access_token={ } &sample_tokentoken_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Si consiglia di incollare questo valore in un file di testo e salvarlo in modo da disporre di un record del token nel caso in cui l'URL non sia più disponibile.

6

Tornare al portale Azure e incollare il valore del token in Token segreto.

7

Fare clic su Prova connessione per assicurarsi che l'organizzazione e il token siano riconosciuti da Azure AD.

Un risultato corretto indica che le credenziali sono autorizzate a abilitare il provisioning utente.

8

Inserire un messaggio e-mail di notifica e selezionare la casella per ricevere un messaggio e-mail in caso di errori di provisioning.

9

Fare clic su Salva.

A questo punto, Azure AD è stato autorizzato a eseguire correttamente il provisioning e la sincronizzazione degli utenti Webex e sono state completate le operazioni per l'impostazione della sincronizzazione.

Operazione successivi

Se si desidera associare attributi utente Azure AD aggiuntivi agli attributi Webex, continuare alla sezione successiva.

Per informazioni su come apportare modifiche all'organizzazione sincronizzata, vedere l'articolo guida Gestione di utenti Azure Active Directory sincronizzati.

Seguire questa procedura per associare attributi utente aggiuntivi da Azure a Webex o per modificare le mappature degli attributi utente esistenti.

Si consiglia di non modificare le mappature degli attributi predefinite se non diversamente necessario. Il valore che si associa come nome utente è particolarmente importante. Webex utilizza l'indirizzo e-mail dell'utente come nome utente. Per impostazione predefinita, viene mappato userPrincipalName (UPN) in Azure AD all'indirizzo e-mail (nome utente) in Control Hub.

Se userPrincipalName non esegue la mappatura all'indirizzo e-mail in Control Hub, gli utenti vengono predisposti in Control Hub come nuovi utenti anziché utenti esistenti corrispondenti. Se si desidera utilizzare un altro attributo utente Azure in formato di indirizzo e-mail anziché UPN, è necessario modificare l'associazione predefinita in Azure AD da userPrincipalName nell'attributo utente Azure AD appropriato.

Operazioni preliminari

È stata aggiunta e configurata l'app Cisco Webex nella pagina Azure Active Directory ed è stata testata la connessione.

È possibile modificare le mappature degli attributi utente prima o dopo aver avviato la sincronizzazione degli utenti.

1

Accedere al portale Azure e andare ad Azure Active Directory > Enterprise > Tutte le applicazioni.

2

Aprire l Cisco Webex appalta.

3

Selezionare la pagina Provisioning, espandere la sezione Mappature e fare clic su Provisioning Azure Active Directory utenti.

4

Selezionare la casella di controllo Mostra opzioni avanzate, quindi fare clic su Modifica elenco attributi per CiscoWebEx.

5

Scegliere gli attributi Webex da precomporre dagli attributi utente Azure. Gli attributi e le mappature sono mostrati successivamente in questa procedura.

6

Dopo aver selezionato gli attributi Webex, fare clic su Salva , quindi su Sì per confermare.

Viene visualizzata la pagina Mappatura attributi, che consente di associare gli attributi utente Azure AD agli attributi utente Webex scelti.

7

Nella parte inferiore della pagina, fare clic su Add new mapping (Aggiungi nuovaassociazione).

8

Scegliere Mappatura diretta. Selezionare l'attributo Source (attributo Azure) e l'attributo Target (attributo Webex) e fare clic su OK.

Tabella 1. Mappature Azure a Webex

Attributo Azure Active Directory (origine)

Attributo utente Webex (target)

Attributi compilati per impostazione predefinita

Userprincipalname

userName

Switch([IsSoftd], , "False", "True", "True", "False")

Attivo

displayName

displayName

Cognome

nome.familyName

Givenname

nome.givenName

Objectid

ID esterno

Attributi aggiuntivi disponibili

titolo attività

title

utilizzoLocation

indirizzi[tipo eq "work"].country

città

indirizzi[tipo eq "work"].locality

indirizzo

indirizzi[tipo eq "work"].streetAddress

stato

indirizzi[tipo eq "lavoro"].regione

Postalcode

indirizzi[tipo eq "work"].postalCode

numero di telefono

phoneNumbers[tipo eq "work"].valore

cellulare

phoneNumbers[tipo eq "mobile"].valore

fac faqileTelephoneNumber

phoneNumbers[tipo eq "fax"].valore

9

Ripetere le due operazioni precedenti fino a quando non sono state aggiunte o modificate tutte le mappature necessarie, quindi fare clic su Salva e Sì per confermare le nuove mappature.


 

Per ricominciare è possibile ripristinare le mappature predefinite.

Le mappature vengono eseguite e gli utenti Webex verranno creati o aggiornati alla successiva sincronizzazione.