SSO con più IdP in Webex

L'autenticazione unica (SSO) consente agli utenti di accedere a Webex in modo sicuro autenticandosi tramite il provider di identità comune della tua organizzazione. Un provider di identità (IdP) archivia e gestisce in modo sicuro le identità digitali dei tuoi utenti e fornisce il servizio di autenticazione per gli utenti Webex.

Perché potresti aver bisogno di più IdP

Molte grandi aziende sono coinvolte in fusioni e acquisizioni, e raramente queste aziende condividono la stessa infrastruttura IT e gli stessi fornitori di identità. Le istituzioni governative hanno al loro interno diverse organizzazioni e agenzie. Spesso, queste organizzazioni dispongono di un unico indirizzo email sia per il reparto IT che per l'infrastruttura. Le principali istituzioni educative hanno un ufficio acquisti centrale, ma le diverse università e i vari college hanno organizzazioni e dipartimenti IT differenti.

È frequente che IdP e fornitori di servizi (SP) si federano tra loro. L'IdP è responsabile dell'autenticazione delle credenziali dei tuoi utenti e l'SP si fida dell'autenticazione effettuata dall'IdP. Ciò consente ai tuoi utenti di accedere a diverse applicazioni e servizi SaaS utilizzando la stessa identità digitale. Tuttavia, se per qualche motivo la tua organizzazione non è in grado di federarsi tra gli IdP, Webex offre una soluzione alternativa per supportare più IdP. Per questi motivi, ti offriamo la possibilità di configurare l'SSO per più IdP in Webex e semplificare il processo di autenticazione dei tuoi utenti.

Limiti

Se nella tua organizzazione utilizzi Directory Connector, tutti gli utenti devono essere abilitati. Per ulteriori informazioni, consultare la Guida alla distribuzione di Directory Connector.

Al momento supportiamo solo SAML, OpenID Connect e Webex Identity come provider di identità.

Fuori ambito

Configura le assegnazioni di gruppo.

Verifica del dominio. Consulta Gestisci i tuoi domini per ulteriori informazioni.

Gestione degli utenti. Per ulteriori informazioni, consultare Modalità di aggiunta di utenti all'organizzazione di Control Hub.

Questa sezione illustra come integrare i provider di identità (IdP) con la propria organizzazione Webex. È possibile scegliere gli IdP che meglio si adattano alle esigenze della propria organizzazione.

Se stai cercando l'integrazione SSO di un sito Webex Meetings (gestito in Amministrazione sito), fai riferimento a Configurare l'accesso Single Sign-On per l'amministrazione di Webex.

Prerequisiti

Operazioni preliminari

Assicurarsi che siano soddisfatte le seguenti condizioni:

È necessario disporre del ruolo di Amministratore completo in Control Hub.

Un file di metadati dall'IdP da fornire a Webex e un file di metadati da Webex da fornire all'IdP. Per ulteriori informazioni, fare riferimento a Integrazione del Single Sign-On in Control Hub. Questa opzione è applicabile solo alla configurazione SAML.

È consigliabile pianificare il comportamento delle regole di routing prima di configurare più IdP.

La regola di routing predefinita viene applicata una volta configurato l'IdP iniziale. Ma è possibile impostare un altro IdP come predefinito. Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

Configura SAML

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità e fai clic su Attiva SSO.
4	Seleziona SAML come IdP e fai clic su Avanti.
5	Scegli il tipo di certificato: Firmato da Cisco—Consigliamo questa scelta. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni. Firmato da un'autorità di certificazione pubblica— Più sicuro, ma dovrai aggiornare frequentemente i metadati.
6	Fai clic su Scarica metadati e fai clic su Avanti. Il nome del file dei metadati dell'app Webex è idb-meta-<org-ID>-SP.xml.
7	Carica il file di metadati del tuo IdP oppure compila il modulo di configurazione. Quando si carica il file dei metadati, esistono due modi per convalidare i metadati provenienti dal Customer IdP: L'IdP del cliente fornisce una firma nei metadati realizzata da un'autorità di certificazione radice pubblica. L'IdP del cliente fornisce una autofirma di un'autorità di certificazione privata o non fornisce una firma per i metadati. Questa opzione è meno sicura. In alternativa, nel modulo di configurazione, inserire le informazioni dell'IdP. Fare clic su Avanti.
8	(Facoltativo) È possibile modificare il nome dell'attributo SAML per Nome utente Webex o Indirizzo e-mail principale da `uid` a un nome concordato con il gestore IdP, ad esempio `email`, `upn`, ecc.
9	(Facoltativo) Configurare le impostazioni Just In Time (JIT) e la risposta di mappatura SAML. Fare riferimento a Configurare la mappatura Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
10	Fai clic su Verifica la configurazione SSOe, quando si apre una nuova scheda del browser, autenticati con l'IdP effettuando l'accesso. Verificare la SSO connessione del sistema prima di abilitarla. Questa operazione funziona come un'esecuzione di test e non incide sulle impostazioni dell'organizzazione fino a quando non si abilita la SSO nell'operazione successiva. Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova. Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP. Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra di navigazione in incognito. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.
11	Torna alla scheda del browser Control Hub. Se il test ha esito positivo, selezionare Test completato correttamente. Attiva SSO e IdP e fai clic su Attiva. Se il test non è riuscito, selezionare Test non riuscito. Torna ai passaggi precedenti per correggere gli errori. La configurazione SSO non avrà effetto nella tua organizzazione a meno che tu non selezioni la prima opzione e attivi l'SSO.

Operazioni successive

È possibile impostare una regola di routing. Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

È possibile seguire la procedura descritta in Blocca le email automatiche per disabilitare l'invio di email ai nuovi utenti dell'app Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Configurare OpenID Connect

Quando si configura OpenID Connect con Entra ID o un IdP in cui l'indirizzo email non è un identificatore permanente, si consiglia di utilizzare l'attributo di collegamento externalId per mappare a un identificatore univoco. Per Entra ID, suggeriamo di mappare OIDC a externalId. Se riscontriamo che l'indirizzo email non corrisponde all'attributo di collegamento, all'utente viene richiesto di verificare la propria identità o di creare un nuovo utente con l'indirizzo email corretto.

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità e fai clic su Attiva SSO.
4	Seleziona OpenID Connect come IdP e fai clic su Avanti.
5	Inserisci le informazioni del tuo IdP. Nome—Il nome per identificare il tuo IdP. ID client— L'ID univoco che identifica te e il tuo IdP. Segreto del client— La password che tu e il tuo IdP conoscete. Ambiti—Gli ambiti da associare al tuo IdP.
6	(Facoltativo) Attiva la configurazione Consenti chiave di prova per lo scambio di codice (PKCE) per configurare il tuo IdP OIDC con questa estensione di sicurezza. Ciò rafforza la sicurezza delle applicazioni client e garantisce la compatibilità con gli utenti che ne hanno bisogno.
7	Scegli come aggiungere gli endpoint. Questa operazione può essere eseguita automaticamente o manualmente. Utilizzare l'URL di rilevamento per aggiungere automaticamente gli endpoint. Inserisci l' URL di rilevamento per il tuo IdP . Questo URL popolerà automaticamente gli endpoint necessari per il single logout (SLO) di OIDC. Attiva Consenti la disconnessione automatica della sessione per garantire che gli utenti vengano disconnessi da tutte le applicazioni e i servizi connessi quando escono da Webex. Se preferisci Aggiungere manualmente tutte le informazioni sull'endpoint, aggiungi i seguenti dettagli. Emittente—Inserisci l'URL dell'emittente come specificato dal tuo IdP. Endpoint di autorizzazione—Inserisci l'URL per l'endpoint di autorizzazione. Endpoint del token—Inserisci l'URL per l'endpoint del token. Endpoint JWKS—Inserisci l'URL del set di chiavi Web JSON (JWKS). Endpoint informazioni utente—Inserisci l'URL per l'endpoint delle informazioni utente. Se l'opzione Consenti la disconnessione automatica della sessione è attiva, è necessario immettere l'URL dell'endpoint di disconnessione della sessione per abilitare il single logout (SLO) su tutte le applicazioni connesse. Per ulteriori informazioni, fare riferimento alla guida alla configurazione di OpenID Connect.
8	(Facoltativo) Configurare le impostazioni Just In Time (JIT). Fare riferimento a Configurare la mappatura Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
9	Fai clic su Verifica la configurazione SSOe, quando si apre una nuova scheda del browser, autenticati con l'IdP effettuando l'accesso. Verificare la SSO connessione del sistema prima di abilitarla. Questa operazione funziona come un'esecuzione di test e non incide sulle impostazioni dell'organizzazione fino a quando non si abilita la SSO nell'operazione successiva. Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova. Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP. Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra di navigazione in incognito. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.
10	Torna alla scheda del browser Control Hub. Se il test ha esito positivo, selezionare Test completato correttamente. Attiva SSO e IdP e fai clic su Attiva. Se il test non è riuscito, selezionare Test non riuscito. Torna ai passaggi precedenti per correggere gli errori. La configurazione SSO non avrà effetto nella tua organizzazione a meno che tu non selezioni il primo pulsante di opzione e attivi l'SSO.

Operazioni successive

È possibile impostare una regola di routing. Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

Configurare l'identità Webex

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità e fai clic su Attiva SSO.
4	Seleziona Webex come IdP e fai clic su Avanti.
5	Seleziona Ho letto e compreso come funziona Webex IdP e fai clic su Avanti.
6	Configura una regola di routing. Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

Una volta aggiunta una regola di routing, il tuo IdP viene aggiunto e visualizzato nella scheda Provider di identità.

Operazione successivi

È possibile seguire la procedura descritta in Blocca le email automatiche per disabilitare le email inviate ai nuovi utenti dell'app Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Le regole di routing sono applicabili quando si configura più di un IdP. Le regole di routing consentono a Webex di identificare a quale IdP indirizzare gli utenti quando sono configurati più IdP.

Quando si configurano più IdP, è possibile definire le regole di routing nella procedura guidata di configurazione SSO. Se si salta il passaggio relativo alla regola di routing, Control Hub aggiunge l'IdP ma non lo attiva. È necessario aggiungere una regola di routing per attivare l'IdP.

Aggiungi o modifica le regole di routing

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Regole di routing. Quando si configura il primo IdP, la regola di routing viene aggiunta automaticamente e impostata come Regola predefinita. In seguito potrai scegliere un altro IdP da impostare come regola predefinita.
4	Fai clic su Aggiungi nuova regola di routing.
5	Inserisci i dettagli per una regola di routing: Nome regola—Inserisci il nome della regola di routing. Seleziona un tipo di routing—Seleziona dominio o gruppo. Se questi sono i tuoi domains/groups—Inserisci il domains/groups all'interno della vostra organizzazione. Quindi usa questo provider di identità—Seleziona l'IdP.
6	Seleziona il metodo di autenticazione a più fattori (MFA): Mantieni lo stato attuale dell'autenticazione a più fattori (MFA)—Consente di mantenere il metodo MFA esistente senza apportare modifiche. Sovrascrivi lo stato MFA corrente—Consente di modificare il metodo MFA esistente con una nuova configurazione. Consenti l'autenticazione a più fattori solo per questa regola—Attiva per abilitare l'autenticazione a più fattori specificamente per la regola di routing corrente. Per ulteriori informazioni sulla configurazione dell'autenticazione a più fattori (MFA) per la tua organizzazione, consulta Abilitare l'integrazione dell'autenticazione a più fattori in Control Hub.
7	Fare clic su Aggiungi.
8	Seleziona la nuova regola di routing e fai clic su Attiva.

È possibile modificare l'ordine di priorità delle regole di routing se si dispone di regole di routing per più IdP.

Disattiva o elimina le regole di routing

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Regole di routing.
4	Seleziona la regola di routing.
5	Scegli se desideri Disattivare o Eliminare la regola di routing. Si consiglia di avere un'altra regola di routing attiva per l'IdP. Altrimenti, potresti riscontrare problemi con l'accesso SSO.

La regola predefinitanon può essere disattivata o eliminata, ma è possibile modificare l'IdP instradato.

Gestisci i certificati del tuo provider di identità (IdP).

Operazioni preliminari

Ogni tanto, si potrebbe ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP scadrà. Poiché i fornitori di IdP dispongono della propria documentazione specifica per il rinnovo del certificato, vengono descritti i requisiti di Control Hub e le operazioni generiche per recuperare i metadati IdP aggiornati e caricarlo in Control Hub per rinnovare il certificato.

Questa opzione è applicabile solo alla configurazione SAML.

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità.
4	Vai all'IdP, fai clic su e seleziona Carica metadati IdP. Per scaricare il file dei metadati, fai clic su e seleziona Scarica i metadati dell'Idp.
5	Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.
6	Torna a Control Hub e trascina il file dei metadati dell'IdP nell'area di caricamento oppure fai clic su Scegli un file per caricare i metadati.
7	Scegli Meno sicuro (autofirmato) o Più sicuro (firmato da un'autorità di certificazione pubblica), a seconda di come sono firmati i metadati del tuo IdP e fai clic su Salva.
8	Configura le impostazioni Just In Time (JIT) e la risposta di mappatura SAML. Fare riferimento a Configurare la mappatura Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
9	Fai clic su Verifica la configurazione SSOe, quando si apre una nuova scheda del browser, autenticati con l'IdP effettuando l'accesso. Verificare la SSO connessione del sistema prima di abilitarla. Questa operazione funziona come un'esecuzione di test e non incide sulle impostazioni dell'organizzazione fino a quando non si abilita la SSO nell'operazione successiva. Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova. Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP. Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra di navigazione in incognito. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.
10	Fai clic su Salva.

Gestisci i tuoi certificati di fornitore di servizi (SP).

Operazioni preliminari

Si raccomanda di aggiornare tutti gli IdP della propria organizzazione al momento del rinnovo del certificato SP.

Questa opzione è applicabile solo alla configurazione SAML.

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità.
4	Vai all'IdP e fai clic su .
5	Fare clic su Rivedi certificati e data di scadenza. Questo ti porta alla pagina dei certificati del provider di servizi ( SP ). Puoi fare clic su per scaricare i metadati o il certificato SP. Se la tua organizzazione utilizza doppi certificati, hai anche la possibilità di convertire un certificato secondario in un certificato primario o di eliminare un certificato secondario esistente.
6	Fare clic su Rinnova certificato.
7	Scegli il tipo di IdP nella tua organizzazione: IdP che supporta un singolo certificato IdP che supporta più certificati
8	Scegliere il tipo di certificato per il rinnovo: Firmato da Cisco (consigliato)—Consigliamo questa scelta. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni. Firmato da un'autorità di certificazione pubblica— Più sicuro, ma sarà necessario aggiornare frequentemente i metadati.
9	Per confermare la sostituzione del certificato corrente con quello selezionato, spuntare la casella Facendo clic su Sostituisci un certificato, sostituirò il certificato corrente con quello selezionato, e quindi fare clic su Sostituisci un certificato.
10	Nella pagina Rinnova certificati del provider di servizi (SP), fai clic su Scarica metadati o Scarica certificato per scaricare una copia del file di metadati o del certificato aggiornato dal cloud Webex.
11	Accedi all'interfaccia di gestione del tuo IdP per caricare il nuovo file di metadati o il certificato Webex. Questa operazione può essere effettuata attraverso una scheda del browser, il protocollo del desktop remoto (RDP) o attraverso il supporto specifico del provider di cloud, in base all'impostazione IdP e all'eventuale responsabilità di questa operazione da parte dell'utente o di un amministratore IdP separato. Per ulteriori informazioni, consultare le nostre guide all'integrazione SSO oppure contattare l'amministratore del proprio IdP per ricevere assistenza. Se utilizzi Active Directory Federation Services (AD FS), puoi vedere come aggiornare i metadati di Webex in AD FS
12	Torna all'interfaccia del Centro di controllo. Nella pagina Rinnova i certificati del provider di servizi (SP), seleziona Ho già aggiornato i metadati per tutti gli IdPe poi fai clic su Avanti.
13	Fare clic su Chiudi.

Esegui test configurazione SSO

Operazioni preliminari

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità.
4	Vai all'IdP e fai clic su .
5	Seleziona Test IdP.
6	Fai clic su Verifica la configurazione SSOe, quando si apre una nuova scheda del browser, autenticati con l'IdP effettuando l'accesso. Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova. Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP. Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra di navigazione in incognito. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.
7	Torna alla scheda del browser Control Hub. Se il test ha esito positivo, selezionare Test completato correttamente. Attiva SSO e IdP e fai clic su Salva. Se il test non è riuscito, selezionare Test non riuscito. Torna ai passaggi precedenti per correggere gli errori. La SSO della configurazione del sistema non ha effetto nella propria organizzazione a meno che non si sce pulsante di opzione e si attiva SSO.

Configurare la mappatura Just In Time (JIT) e SAML.

Operazioni preliminari

Assicurarsi che le seguenti precondizioni siano soddisfatte:

SSO è già configurata.
I domini sono già stati verificati.
I domini sono stati rivendicati e attivati. Questa funzionalità garantisce che gli utenti del tuo dominio vengano creati e aggiornati una sola volta ogni volta che si autenticano con il tuo IdP.
Se DirSync o Entra ID sono abilitati, la creazione o l'aggiornamento SAML JIT non funzioneranno.
L'opzione "Profilo utente aggiornamento automatico" è abilitata. La mappatura degli aggiornamenti SAML è consentita poiché questa configurazione controlla la possibilità per l'utente di modificare gli attributi. I metodi di creazione e aggiornamento controllati da amministrazione sono ancora supportati.

Quando si configura SAML JIT con Entra ID o un IdP in cui l'indirizzo email non è un identificatore permanente, si consiglia di utilizzare l'attributo di collegamento externalId per mappare a un identificatore univoco. Se riscontriamo che l'indirizzo email non corrisponde all'attributo di collegamento, all'utente viene richiesto di verificare la propria identità o di creare un nuovo utente con l'indirizzo email corretto.

Gli utenti creati di recente non otterrà automaticamente le licenze assegnate a meno che l'organizzazione non abbia impostato un modello di licenza automatico.

Accedere a Control Hub.

Vai a Gestione > Sicurezza > Autenticazione.

Vai alla scheda Provider di identità.

Vai all'IdP e fai clic su Menu Altro .

Seleziona Modifica mappatura SAML.

Configura Impostazioni Just-in-Time (JIT).

Crea o attiva utente: Se non viene trovato alcun utente attivo, Webex Identity crea l'utente e aggiorna gli attributi dopo che l'utente si è autenticato con l'IdP.
Aggiorna utente con attributi SAML: se viene trovato un utente con indirizzo e-mail, l'identità Webex aggiorna l'utente con gli attributi mappati all'asserzione SAML.

Confermare che gli utenti possono accedere con un indirizzo email diverso e non identificabile.

Configura attributi richiesti per la mappatura SAML.

Tabella 1. Attributi richiesti
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
Nome utente/Indirizzo e-mail principale	Esempio: UID	Mappa l'attributo UID a indirizzo e-mail, upn o edupersonprincipalname dell'utente predisposto.

Configura gli attributi di collegamento .

Questa informazione dovrebbe essere univoca per ciascun utente. Viene utilizzato per cercare un utente in modo che Webex possa aggiornare tutti gli attributi del profilo, incluso l'indirizzo email dell'utente.

Tabella 2. Collegamento degli attributi
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
ID esterno	Esempio: user.objectid	Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.
Attributo estensione 1	Esempio: user.extensionattribute1	Associa questi attributi personalizzati agli attributi estesi in Entra ID o nella tua directory, per i codici di tracciamento.
Attributo estensione 2	Esempio: user.extensionattribute2
Attributo estensione 3	Esempio: user.extensionattribute3
Attributo estensione 4	Esempio: utente.estensioneattributo4
Attributo estensione 5	Esempio: user.extensionattribute5

Configura Attributi del profilo.

Tabella 2. Attributi profilo
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
ID esterno	Esempio: user.objectid	Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.
lingua preferita	Esempio: user.preferredlanguage	La lingua preferita dell'utente.
Impostazioni internazionali	Esempio: user.locale	La posizione di lavoro principale dell'utente.
Fuso orario	Esempio: user.timezone	Il fuso orario principale dell'utente.
displayName	Esempio: user.displayname	Il nome visualizzato dell'utente in Webex.
nome.givenName	Esempio: user.givenname	Il nome dell'utente.
nome.familyName	Esempio: user.surname	Il cognome dell'utente.
indirizzi.streetAddress	Esempio: user.streetaddress	La via della relativa posizione di lavoro principale.
indirizzi località	Esempio: località dell'utente	La località della relativa posizione di lavoro principale.
indirizzi.region	Esempio: user.region	La regione della relativa posizione di lavoro principale.
indirizzi.postalCode	Esempio: user.postalcode	Il CAP della relativa posizione di lavoro principale.
indirizzi.paese	Esempio: user.country	Il paese della relativa posizione di lavoro principale.
phoneNumbers.work	Esempio: numero di telefono ufficio	Il numero di telefono di lavoro della relativa posizione di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).
phoneNumbers.extension	Esempio: numero di telefono interno	L'interno di lavoro del relativo numero di telefono di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).
numeri di telefono.cellulare	Esempio: numero di telefono cellulare	Il numero del cellulare della sede di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).
title	Esempio: titolo utente.jobtitle	La mansione dell'utente.
department	Esempio: user.department	Il reparto o il team dell'utente.
email.lavoro	Esempio: email di lavoro	Gli indirizzi e-mail di lavoro dell'utente.
organizzazione	Esempio: utente.organizzazione	ID dell'organizzazione dell'utente

Configura Attributi del gruppo.

Crea un gruppo in Control Hub e annota l'ID del gruppo Webex.
Accedi alla tua directory utenti o al tuo IdP e configura un attributo per gli utenti che verranno assegnati all'ID del gruppo Webex.
Aggiorna la configurazione del tuo IdP per includere un claim che contenga questo nome di attributo insieme all'ID del gruppo Webex (ad esempio c65f7d85-b691-42b8-a20b-12345xxxx). È inoltre possibile utilizzare l'ID esterno per gestire le modifiche ai nomi dei gruppi o per futuri scenari di integrazione. Ad esempio, la sincronizzazione con Entra ID o l'implementazione della sincronizzazione di gruppo SCIM.
Specificare il nome esatto dell'attributo che verrà inviato nell'asserzione SAML con l'ID del gruppo. Questo serve per aggiungere l'utente a un gruppo.
Specifica il nome esatto dell'ID esterno dell'oggetto gruppo se stai utilizzando un gruppo dalla tua directory per inviare i membri nell'asserzione SAML.

Se l'utente A è associato a groupID 1234 e l'utente B a groupID 4567, vengono assegnati a gruppi separati. Questo scenario indica che un singolo attributo consente agli utenti di associarsi a più ID di gruppo. Sebbene sia raro, è possibile e può essere considerato come una modifica additiva. Ad esempio, se l'utente A effettua inizialmente l'accesso utilizzando groupID 1234, diventa membro del gruppo corrispondente. Se l'utente A effettua successivamente l'accesso utilizzando groupID 4567, viene aggiunto anche a questo secondo gruppo.

Il provisioning SAML JIT non supporta la rimozione degli utenti dai gruppi né la cancellazione degli stessi.

Tabella 4. Attributi di gruppo
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
ID gruppo	Esempio: ID gruppo	Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.
groupexternalId	Esempio: groupexternalId	Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

Per un elenco degli attributi di asserzione SAML per Webex Meetings, vedere Attributi di asserzione SAML per Webex Meetings e Jabber.

Elimina il tuo provider di identità (IdP)

Operazioni preliminari

Si consiglia di disattivare o eliminare prima le regole di routing dell'IdP prima di eliminare l'IdP stesso.

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità.
4	Vai all'IdP e fai clic su .
5	Selezionare Elimina.

1	Accedere a Control Hub.
2	Vai a Gestione > Sicurezza > Autenticazione.
3	Vai alla scheda Provider di identità.
4	Fai clic su Disattiva SSO. Confermare la disattivazione dell'SSO.

Una volta confermato, l'SSO viene disattivato per tutti gli IdP della tua organizzazione.

Si riceveranno avvisi in Control Hub prima che i certificati scadano, ma è possibile anche impostare in modo proattivo le regole di avviso. Queste regole consentono di intuire in anticipo che i certificati SP o IdP stanno per scadere. È possibile inviarle all'utente tramite e-mail, uno spazio nell'app Webexo entrambi.

Indipendentemente dal canale di consegna configurato, tutti gli avvisi vengono sempre visualizzati in Control Hub. Per ulteriori informazioni, vedere Centro avvisi in Control Hub.

1	Accedere a Control Hub.
2	Vai al Centro avvisi.
3	Scegliere Gestisci quindi Tutte le regole .
4	Dall'elenco Regole, scegliere una SSO delle regole che si desidera creare: SSO scadenza del certificato IDP SSO scadenza del certificato SP
5	Nella sezione Canale di consegna, selezionare la casella E-mail, Spazio Webex oentrambi. Se si sceglie E-mail, inserire l'indirizzo e-mail a cui inviare la notifica. Se si sceglie l'opzione dello spazio Webex, si viene aggiunti automaticamente a uno spazio all'interno dell'app Webex e vengono consegnate le notifiche in questo punto.
6	Salva le modifiche.

Operazione successivi

Vengono inviati avvisi di scadenza del certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (Riceverai notifiche al 60°, 45°, 30° e 15° giorno.) Le notifiche cessano al rinnovo del certificato.

Se riscontri problemi con l'accesso SSO, puoi utilizzare l'opzione di ripristino automatico SSO per accedere alla tua organizzazione Webex gestita in Control Hub. L'opzione di ripristino automatico consente di aggiornare o disabilitare l'SSO in Control Hub.

Cisco AI Assistant

Grazie per il feedback.

SSO con più IdP in Webex

Perché potresti aver bisogno di più IdP

Limiti

Fuori ambito

Small Business

Aziendale

Dispositivi

Soluzioni per

Risorse

Società