Sistema per la gestione delle identità tra più domini (SCIM)

L'integrazione tra gli utenti nella directory e Control Hub utilizza il sistema per l'API SCIM (Cross-Domain IdentityManagement). SCIM è uno standard aperto per automatizzare lo scambio di informazioni di identità utente tra domini di identità o sistemi IT. LA soluzione SCIM è progettata per semplificare la gestione delle identità utente in applicazioni e servizi basati su cloud. SCIM utilizza un'API standardizzata attraverso REST.

Prima di configurare le Webex Control Hub per il provisioning automatico degli utenti con Azure AD, è necessario aggiungere le Cisco Webex dalla galleria dell'applicazione Azure AD all'elenco delle applicazioni gestite.


Se è già stata Webex Control Hub integrata con Azure per Single Sign-On (SSO), Cisco Webex è già stata aggiunta alle applicazioni aziendali ed è possibile ignorare questa procedura.

1

Accedere al portale Azure su https://portal.azure.com con le credenziali dell'amministratore.

2

Andare a Azure Active Directory per la propria organizzazione.

3

Andare ad Applicazioni aziendali, quindi fare clic su Aggiungi.

4

Fare clic su Add an application from the gallery (Aggiungi un'applicazione dallagalleria).

5

Nella casella di ricerca, digitare Cisco Webex.

6

Nel riquadro dei risultati, selezionare Cisco Webex , quindi fare clic su Aggiungi per aggiungere l'applicazione.

Viene visualizzato un messaggio che indica che l'applicazione è stata aggiunta correttamente.

Questa procedura consente di scegliere gli utenti da sincronizzare con il cloud Webex.

Azure AD utilizza un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli utenti, solo gli utenti e/o i gruppi "assegnati" a un'applicazione in Azure AD vengono sincronizzati in Control Hub.

Se si sta configurando l'integrazione per la prima volta, si consiglia di assegnare un utente per il test, quindi aggiungere altri utenti e gruppi dopo un test eseguito correttamente.

1

Aprire l Cisco Webex appalta video nel portale Azure, quindi andare a Utenti egruppi.

2

Fare clic su Add Assignment (Aggiungiassegnazione).

3

Individuare gli utenti/gruppi che si desidera aggiungere all'applicazione:

  • Trova i singoli utenti da assegnare all'applicazione.
  • Individuare un gruppo di utenti da assegnare all'applicazione.
4

Fare clic su Select (Seleziona), quindi fare clic su Assign(Assegna).

Ripetere queste operazioni fino a quando non si dispone di tutti i gruppi e gli utenti che si desidera sincronizzare con Webex.

Utilizzare questa procedura per impostare il provisioning da Azure AD e ottenere un token di gestione per la propria organizzazione. Le operazioni descritte per le impostazioni amministrative necessarie e consigliate.

Operazioni preliminari

Ottenere l'ID organizzazione dalla vista del cliente in Control Hub: fare clic sul nome dell'organizzazione in basso a sinistra, quindi copiare il valore da ID organizzazione in un file di testo. Tale valore sarà necessario quando si inserisce l'URL del tenant. Questo valore verrà utilizzato come esempio: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Accedere al portale Azure e andare ad Azure Active Directory > Enterprise > tutte le applicazioni.

2

Scegliere Cisco Webex dall'elenco di applicazioni aziendali.

3

Andare a Provisioning , quindi modificare la Modalità di provisioning in Automatica.

L'app Webex viene creata con alcune mappature predefinite tra gli attributi utente Azure AD e gli attributi utente Webex. Questi attributi sono sufficienti per creare gli utenti, ma è possibile aggiungerne altri come descritto più avanti in questo articolo.

4

Inserire l'URL del tenant in questo modulo:

https://api.ciscospark.com/v1/scim/{OrgId}

Replace {OrgId} con il valore dell'ID organizzazione ricevuto da Control Hub, in modo che l'URL del tenant sia simile al seguente: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Attenersi a questa procedura per ottenere il valore del token di risposta per il tokensegreto:

  1. Copiare il seguente URL ed eseguirlo in una scheda del browser in incognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Un browser in incognito è importante accertarsi di accedere con le credenziali di amministrazione corrette. Se è già stato eseguito l'accesso come utente con privilegi inferiori, il token di utente restituito potrebbe non essere autorizzato a creare gli utenti.

  2. Dalla pagina di accesso di Webex visualizzata, accedere con un account di amministrazione completo per la propria organizzazione.

    Viene visualizzata una pagina di errore a confermare che non è possibile raggiungere il sito ma che questo è normale.

    Il token del tosore generato è incluso nell'URL della pagina di errore. Questo token è valido per 365 giorni (dopo la scadenza).

  3. Dall'URL nella barra degli indirizzi del browser, copiare il valore del token dell'utente da tra access_token= e &token_type=Bearer.

    Ad esempio, questo URL presenta il valore del token evidenziato: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Si consiglia di incollare questo valore in un file di testo e salvarlo in modo da disporre di un record del token nel caso in cui l'URL non sia più disponibile.

6

Tornare al portale Azure e incollare il valore del token in Token segreto.

7

Fare clic su Prova connessione per accertarsi che l'organizzazione e il token siano riconosciuti da Azure AD.

Un risultato corretto indica che le credenziali sono autorizzate per abilitare il provisioning utente.

8

Inserire un messaggio e-mail di notifica e selezionare la casella per ricevere un messaggio e-mail in caso di errori di provisioning.

9

Fare clic su Salva.

Azure AD è stato autorizzato a eseguire il provisioning o la sincronizzazione degli utenti Webex.

Operazione successivi

  • Se si desidera sincronizzare solo un sottogruppo di utenti Azure AD con Webex, leggere Aggiungi gruppo di utenti all'applicazione in Azure AD.

  • Se si desidera associare attributi utente Azure AD aggiuntivi agli attributi Webex prima di sincronizzare gli utenti, leggere Mapping attributi utente da Azure aWebex.

  • Dopo tali operazioni, è possibile abilitare il provisioning automatizzato da Azure AD a Webex.

Seguire questa procedura per associare attributi utente aggiuntivi da Azure a Webex o per modificare le mappature degli attributi utente esistenti.

Operazioni preliminari

È stata aggiunta e configurata l'app Cisco Webex nella pagina Azure Active Directory ed è stata testata la connessione.

È possibile modificare le mappature degli attributi utente prima o dopo aver avviato la sincronizzazione degli utenti.

1

Accedere al portale Azure e andare ad Azure Active Directory > Enterprise > tutte le applicazioni.

2

Aprire l'Cisco Webex appalta.

3

Selezionare la pagina Provisioning e aprire il controllo Mappature su tale pagina.

4

Fare clic su Sincronizza Active Directory Azure con CiscoWebex

Si apre una nuova sezione.

5

Selezionare la casella di controllo Mostra opzioni avanzate, quindi fare clic su Modifica elenco attributi per CiscoWebEx.

Nel controllo visualizzato, è possibile scegliere quali attributi Webex saranno compilati con attributi utente Azure. Gli attributi e le mappature sono mostrati successivamente in questa procedura.

6

Dopo aver selezionato gli attributi Webex, fare clic su Salva , quindi su Sì per confermare.

Viene visualizzata la pagina Mappatura attributi, che consente di associare attributi utente Azure AD agli attributi utente Webex scelti.

7

Nella parte inferiore della pagina, fare clic su Add new mapping (Aggiungi nuovaassociazione).

8

Scegliere Mappatura diretta. Selezionare l'attributo Source (attributo Azure) e l'attributo Target (attributo Webex) e fare clic su OK.

Tabella 1. Mappature Da Azure a Webex

Attributo Azure Active Directory (origine)

Cisco Webex attributo (target)

Userprincipalname

Nome utente

Switch([IsSoftd], , "False", "True", "True", "False")

attivo

Displayname

Displayname

Cognome

nome.familyName

Givenname

nome.givenName

titolo attività

title

utilizzoLocation

indirizzi[tipo eq "work"].country

città

indirizzi[tipo eq "work"].locality

indirizzo

indirizzi[tipo eq "work"].streetAddress

stato

indirizzi[tipo eq "work"].region

Postalcode

indirizzi[tipo eq "work"].postalCode

numero di telefono

phoneNumbers[type eq "work"].value

cellulare

phoneNumbers[tipo eq "mobile"].valore

fac faqileTelephoneNumber

phoneNumbers[tipo eq "fax"].valore

Objectid

ID esterno

9

Ripetere le due operazioni precedenti fino a quando non sono state aggiunte o modificate tutte le mappature necessarie, quindi fare clic su Salva e Sì per confermare le nuove mappature.


 

Si consiglia di non modificare le mappature degli attributi predefinite. Un'associazione importante è userPrincipalName (UPN) in Azure AD all'indirizzo e-mail (nome utente) in Control Hub. Per ricominciare è possibile ripristinare le mappature predefinite.

Se userPrincipalName non è l'e-mail in Control Hub, gli utenti vengono predisposti come nuovi utenti e non corrispondono agli utenti esistenti in Control Hub. Se si desidera utilizzare l'indirizzo e-mail Azure anziché UPN, è necessario modificare l'associazione predefinita in Azure AD da userPrincipalName in Email.

Le mappature vengono eseguite e gli utenti Webex verranno creati o aggiornati alla successiva sincronizzazione.

Operazioni preliminari

Hai:

  • Aggiunta dell'Cisco Webex applicazione

  • Azure autorizzato per la creazione automatica di utenti Webex e per la verifica della connessione

  • (Opzionale) Sono stati assegnati utenti e gruppi specifici all'applicazione Webex

  • (Opzionale) Attributi Azure mappati (aggiunti, non predefiniti) ad attributi Webex

1

Aprire l Cisco Webex applicazione principale nel portale Azure e andare alla pagina Provisioning.

2

Se sono stati assegnati utenti o gruppi specifici all'applicazione, impostare l'ambito di provisioning su Sincronizza solo utenti e gruppiassegnati.

Se si sceglie questa opzione ma non sono stati ancora assegnati utenti e gruppi, è necessario seguire l'opzione Assegna gruppi/utenti all'applicazione in Azure AD prima di attivare il provisioning.

3

Attiva stato provisioning .

Questa azione avvia il provisioning/sincronizzazione automatici degli utenti Webex da Azure AD. Questa operazione può richiedere fino a 40 minuti.

Se si sta testando e occorre ridurre l'attesa, è possibile utilizzare il provisioning su richiesta. Consultare .https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand

In altro modo, è possibile riavviare il provisioning: attivare/disattivare Stato provisioning suDisattivato, Salva , quindi di nuovosu Attivato , Salva (di nuovo). Questa forza una nuova sincronizzazione.


 

Si consiglia vivamente di non utilizzare l'opzione Cancella stato corrente e riavvia la sincronizzazione.

4

Accedere a https://admin.webex.com, andare a utenti e controllare gli account utente AzureActive Directory.

Questa sincronizzazione viene eseguita dall'API, pertanto non è presente alcuna indicazione dello stato in Control Hub. È possibile controllare i registri nel portale Azure per visualizzare lo stato della sincronizzazione utenti.


 

Per ottenere una registrazione di qualsiasi modifica correlata alla sincronizzazione utenti Azure AD e isolare qualsiasi potenziale problema, accedere ai registri di audit: sotto Attività , fare clic su Log di audit. Questa visualizzazione mostra ogni log ed è possibile filtrare per determinate categorie come Provisioning account per filtro Servizio e UtenteGestione per un filtro Categoria.

È possibile rimuovere le assegnazioni utente da Azure AD. In questo modo, vengono conservati gli account utente Azure AD, ma vengono rimossi tali account dalla possibilità di accedere ad applicazioni e servizi nella propria organizzazione Webex.

Quando si rimuove il assegnazione utente, Webex contrassegna l'utente comeInattivo.

1

Dal portale Azure, andare ad Applicazioni Enterprise e sceglierel'applicazione Webex aggiunta.

2

Scegliere un utente o un gruppo di utenti dall'elenco di tali utenti assegnati all'applicazione.

3

Fare clic su Rimuovi , quindi fare clic su Sì per confermare la rimozione.

Al successivo evento di sincronizzazione, l'utente o il gruppo di utenti viene rimosso dall'applicazione Webex.

1

Andare a Utenti , selezionare una casella di controllo accanto a account utente che si desidera eliminare, quindi fare clic su Eliminautente.

Gli utenti vengono spostati nella scheda Utenti eliminati.

In Control Hub, gli utenti vengono spostati in uno stato di "eliminazione soft" e non vengono eliminati immediatamente. Anche gli elementi sono stati rinominati. Azure AD invia queste modifiche al cloud Webex. Control Hub riflette quindi queste modifiche e contrassegna l'utente come Inattivo. Tutti i token vengono revocati all'utente.

2

Per verificare qualsiasi record dell'eliminazione degli utenti, andare a Registri di audit ed eseguire una ricerca nella categoria Gestione utenti o nell'attività Elimina utente.


 

Quando si apre un registro di audit utente eliminato e si fa clic su Target(i) , viene visualizzato il nome entità utente con una stringa di numeri e caratteri prima di @.

Se si sta eseguendo un'azione eDiscovery in Control Hub, è necessario ottenere il nome entità utente dai registri di audit in Azure AD. Per ulteriori informazioni su eDiscovery, vedere Verifica della conformità alle normative dell'app Webex e del contenuto delle riunioni.

Operazione successivi

Sono disponibili 30 giorni per recuperare gli utenti eliminati "in modo permanente" prima dell'eliminazione permanente. Se si recupera l'utente in Azure AD, Control Hub riattiva l'utente e lo rinomina nell'indirizzo e-mail/UPN originale.

Se non si recupera l'utente, Azure AD non esegue un'eliminazione hard. L'organizzazione Webex rimuove l'utente e l'utente non viene più visualizzato in Control Hub. Se successivamente l'indirizzo e-mail è stato letto in Azure AD, Webex crea un account completamente nuovo per l'utente.