L'accesso Single Sign-On (SSO) consente agli utenti di accedere a Webex in modo sicuro autenticandosi presso il provider di identità comune dell'organizzazione. Un provider di identità (IdP) archivia e gestisce in modo sicuro le identità digitali dei tuoi utenti e fornisce il servizio di autenticazione utente per i tuoi utenti Webex.

Perché potrebbero essere necessari più IdP

Molte grandi aziende effettuano fusioni e acquisizioni e raramente dispongono della stessa infrastruttura IT e degli stessi fornitori di identità. Le istituzioni governative hanno al loro interno diverse organizzazioni e agenzie. Spesso queste organizzazioni dispongono di un unico indirizzo e-mail, rispettivamente per i propri reparti IT e per la propria infrastruttura. Le principali istituzioni educative hanno un ufficio acquisti centrale, ma diverse università e college hanno diverse organizzazioni e dipartimenti IT.

È comune vedere IdP e fornitori di servizi (SP) federarsi tra loro. L'IdP è responsabile dell'autenticazione delle credenziali degli utenti e l'SP si fida dell'autenticazione effettuata dall'IdP. Ciò consente ai tuoi utenti di accedere a varie applicazioni e servizi SaaS utilizzando la stessa identità digitale. Tuttavia, se per qualche motivo la tua organizzazione non riesce a federare gli IdP, Webex fornisce una soluzione alternativa per supportare più IdP. Per questi motivi, ti offriamo la possibilità di configurare l'SSO per più IdP in Webex e semplificare il processo di autenticazione dei tuoi utenti.

Limiti

  • Se nella tua organizzazione utilizzi Directory Connector, tutti gli utenti devono disporre di Directory Connector. Per ulteriori informazioni, fare riferimento alla guida alla distribuzione di Directory Connector.
  • Al momento supportiamo solo SAML, OpenID Connect e Webex Identity come provider di identità.

Fuori portata

  • Configurare le assegnazioni di gruppo.

Questa sezione illustra come integrare i provider di identità (IdP) con l'organizzazione Webex. Puoi scegliere gli IdP più adatti alle esigenze della tua organizzazione.

Se si sta cercando l'integrazione SSO di un sito Webex Meetings (gestito in Amministrazione sito), fare riferimento a Configurare Single Sign-On per Amministrazione Webex.

Prerequisiti

Operazioni preliminari

Assicurarsi che siano soddisfatte le seguenti condizioni:

    • È necessario disporre del ruolo di amministratore completo in Control Hub.
    • Un file di metadati dall'IdP da fornire a Webex e un file di metadati da Webex da fornire all'IdP. Per ulteriori informazioni, fare riferimento a Integrazione Single Sign-On in Control Hub. Questo è applicabile solo alla configurazione SAML.
    • Prima di configurare più IdP, è opportuno pianificare il comportamento delle regole di routing.

    La regola di routing predefinita viene applicata una volta configurato l'IdP iniziale. Ma puoi impostare un altro IdP come predefinito. Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

Configurare SAML
1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità e fai clic su Attiva SSO.

4

Seleziona SAML come IdP e fai clic su Avanti.

5

Scegli il tipo di certificato:

  • Autofirmato da Cisco—Consigliamo questa scelta. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica—Più sicuro, ma sarà necessario aggiornare frequentemente i metadati (a meno che il fornitore dell'IdP non supporti gli ancoraggi di trust).

Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

6

Fai clic su Scarica metadati e fai clic su Avanti.

Il nome del file dei metadati dell'app Webex è idb-meta-<org-ID>-SP.xml.

7

Carica il file di metadati IdP o compila il modulo di configurazione.

Quando si carica il file di metadati, ci sono due modi per convalidare i metadati dall'IdP del cliente:

  • L'IdP del cliente fornisce una firma nei metadati realizzata da un'autorità di certificazione radice pubblica.
  • L'IdP del cliente fornisce una autofirma di un'autorità di certificazione privata o non fornisce una firma per i metadati. Questa opzione è meno sicura.
In alternativa, nel modulo di configurazione, immettere le informazioni sull'IdP.

Fare clic su Avanti.

8

(Facoltativo) È possibile modificare il nome dell'attributo SAML per Nome utente Webex o Indirizzo e-mail principale da uid a qualcosa concordato con il gestore IdP, ad esempio email, upn, ecc.

9

(Facoltativo) Configurare le impostazioni Just In Time (JIT) e la risposta di mappatura SAML.

Fare riferimento a Configurare il mapping Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
10

Fare clic su Test configurazione SSOe, quando si apre una nuova scheda del browser, effettuare l'autenticazione con l'IdP effettuando l'accesso.

Verificare la SSO connessione del sistema prima di abilitarla. Questa operazione funziona come un'esecuzione di test e non incide sulle impostazioni dell'organizzazione fino a quando non si abilita la SSO nell'operazione successiva.

Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

11

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test completato correttamente. Attiva SSO e IdP e clicca su Attiva.
  • Se il test non è riuscito, selezionare Test non riuscito. Torna ai passaggi precedenti per correggere gli errori.

La configurazione SSO non avrà effetto nella tua organizzazione a meno che tu non scelga il primo pulsante di opzione e attivi SSO.

Operazioni successive

È possibile impostare una regola di routing. Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

È possibile seguire la procedura descritta in Sopprimi e-mail automatiche per disabilitare le e-mail inviate ai nuovi utenti dell'app Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Configurare OpenID Connect

Quando si configura OpenID Connect con Entra ID o un IdP in cui l'e-mail non è un identificatore permanente, si consiglia di utilizzare l'attributo di collegamento externalId per mapparlo a un identificatore univoco. Per Entra ID, suggeriamo di mappare OIDC su externalId. Se riscontriamo che l'email non corrisponde all'attributo di collegamento, all'utente viene chiesto di verificare la propria identità o di creare un nuovo utente con l'indirizzo email corretto.

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità e fai clic su Attiva SSO.

4

Seleziona OpenID Connect come IdP e fai clic su Avanti.

5

Inserisci le informazioni del tuo IdP.

  • Nome—Il nome per identificare il tuo IdP.
  • ID cliente— L'ID univoco per identificare te e il tuo IdP.
  • Segreto client—La password che tu e il tuo IdP conoscete.
  • Ambiti—Gli ambiti da associare al tuo IdP.

6

Scegli come aggiungere gli endpoint. Questa operazione può essere eseguita automaticamente o manualmente.

  • Utilizzare l'URL di individuazione per aggiungere automaticamente gli endpoint.

    • Inserisci l'URL di rilevamento per il tuo IdP. Questo URL popolerà automaticamente gli endpoint necessari per il single logout (SLO) OIDC.
    • Attivare Consenti alla sessione di disconnettersi automaticamente per garantire che gli utenti vengano disconnessi da tutte le applicazioni e i servizi connessi quando escono da Webex.

  • Se preferisci Aggiungere manualmente tutte le informazioni sull'endpoint, aggiungi i seguenti dettagli.

    • Emittente—Immettere l'URL dell'emittente specificato dal proprio IdP.
    • Endpoint di autorizzazione—Immettere l'URL per l'endpoint di autorizzazione.
    • Endpoint del token—Immettere l'URL per l'endpoint del token.
    • Endpoint JWKS—Immettere l'URL del JSON Web Key Set (JWKS).
    • Endpoint Userinfo—Immettere l'URL per l'endpoint delle informazioni utente.
    • Se Consenti alla sessione di disconnettersi automaticamente è attivato, è necessario immettere l'URL Endpoint di disconnessione della sessione per abilitare la disconnessione singola (SLO) su tutte le applicazioni connesse.
    Per ulteriori informazioni, fare riferimento alla guida alla configurazione di OpenID Connect.

7

(Facoltativo) Configurare le impostazioni Just In Time (JIT).

Fare riferimento a Configurare il mapping Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
8

Fare clic su Test configurazione SSOe, quando si apre una nuova scheda del browser, effettuare l'autenticazione con l'IdP effettuando l'accesso.

Verificare la SSO connessione del sistema prima di abilitarla. Questa operazione funziona come un'esecuzione di test e non incide sulle impostazioni dell'organizzazione fino a quando non si abilita la SSO nell'operazione successiva.

Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

9

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test completato correttamente. Attiva SSO e IdP e clicca su Attiva.
  • Se il test non è riuscito, selezionare Test non riuscito. Torna ai passaggi precedenti per correggere gli errori.

La configurazione SSO non avrà effetto nella tua organizzazione a meno che tu non scelga il primo pulsante di opzione e attivi SSO.

Operazioni successive

È possibile impostare una regola di routing. Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

È possibile seguire la procedura descritta in Sopprimi e-mail automatiche per disabilitare le e-mail inviate ai nuovi utenti dell'app Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Configurare l'identità Webex
1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità e fai clic su Attiva SSO.

4

Seleziona Webex come IdP e fai clic su Avanti.

5

Selezionare Ho letto e compreso il funzionamento di Webex IdP e fare clic su Avanti.

6

Imposta una regola di routing.

Fare riferimento a Aggiungi o modifica regola di routing nella scheda Regole di routing in questo articolo.

Dopo aver aggiunto una regola di routing, il tuo IdP viene aggiunto e visualizzato nella scheda Provider di identità.

Operazione successivi

È possibile seguire la procedura descritta in Sopprimi e-mail automatiche per disabilitare le e-mail inviate ai nuovi utenti dell'app Webex nella propria organizzazione. Il documento contiene anche le procedure consigliate per l'invio di comunicazioni agli utenti nella tua organizzazione.

Le regole di routing sono applicabili quando si configura più di un IdP. Le regole di routing consentono a Webex di identificare a quale IdP inviare gli utenti quando sono stati configurati più IdP.

Quando si configura più di un IdP, è possibile definire le regole di routing nella procedura guidata di configurazione SSO. Se si salta il passaggio della regola di routing, Control Hub aggiunge l'IdP ma non lo attiva. Per attivare l'IdP è necessario aggiungere una regola di routing.

Aggiungere o modificare le regole di routing
1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Regole di routing.

Quando si configura il primo IdP, la regola di routing viene aggiunta automaticamente e impostata come Regola predefinita. In seguito potrai scegliere un altro IdP da impostare come regola predefinita.

4

Fare clic su Aggiungi nuova regola di routing.

5

Inserisci i dettagli per una regola di routing:

  • Nome regola—Immettere il nome per la regola di routing.
  • Seleziona un tipo di routing—Seleziona dominio o gruppo.
  • Se questi sono i tuoi domains/groups—Inserisci il domains/groups all'interno della tua organizzazione.
  • Quindi utilizzare questo provider di identità—Selezionare l'IdP.

6

Seleziona il metodo di autenticazione a più fattori (MFA):

  • Mantieni lo stato MFA corrente—Consente di mantenere il metodo MFA esistente senza apportare modifiche.
  • Sostituisci lo stato MFA corrente—Consente di modificare il metodo MFA esistente in una nuova configurazione.
  • Consenti MFA solo per questa regola—Attiva per abilitare MFA specificamente per la regola di routing corrente.

Per ulteriori informazioni sulla configurazione dell'autenticazione a più fattori per la tua organizzazione, consulta Abilitare l'integrazione dell'autenticazione a più fattori in Control Hub.

7

Fare clic su Aggiungi.

8

Selezionare la nuova regola di routing e fare clic su Attiva.

È possibile modificare l'ordine di priorità delle regole di routing se si dispone di regole di routing per più IdP.

Disattivare o eliminare le regole di routing
1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Regole di routing.

4

Selezionare la regola di routing.

5

Scegli se vuoi Disattivare o Eliminare la regola di routing.

Si consiglia di avere un'altra regola di routing attiva per l'IdP. In caso contrario, potresti riscontrare problemi con l'accesso SSO.

La regola predefinitanon può essere disattivata o eliminata, ma è possibile modificare l'IdP instradato.

Gestisci i certificati del tuo Identity Provider (IdP)

Operazioni preliminari

Ogni tanto, si potrebbe ricevere una notifica e-mail o visualizzare un avviso in Control Hub che il certificato IdP scadrà. Poiché i fornitori di IdP dispongono della propria documentazione specifica per il rinnovo del certificato, vengono descritti i requisiti di Control Hub e le operazioni generiche per recuperare i metadati IdP aggiornati e caricarlo in Control Hub per rinnovare il certificato.

Questo è applicabile solo alla configurazione SAML.

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità.

4

Vai all'IdP, clicca upload e seleziona Carica metadati IdP.

Per scaricare il file dei metadati, fare clic su Scarica e selezionare Scarica metadati Idp.
5

Passare all'interfaccia di gestione IdP per recuperare il nuovo file di metadati.

6

Torna a Control Hub e trascina e rilascia il file dei metadati IdP nell'area di caricamento oppure fai clic su Scegli un file per caricare i metadati.

7

Scegli Meno sicuro (autofirmato) o Più sicuro (firmato da una CA pubblica), a seconda di come sono firmati i metadati dell'IdP e fai clic su Salva.

8

Configurare le impostazioni Just In Time (JIT) e la risposta di mappatura SAML.

Fare riferimento a Configurare il mapping Just In Time (JIT) e SAML nella scheda Gestisci i tuoi IdP in questo articolo.
9

Fare clic su Test configurazione SSOe, quando si apre una nuova scheda del browser, effettuare l'autenticazione con l'IdP effettuando l'accesso.

Verificare la SSO connessione del sistema prima di abilitarla. Questa operazione funziona come un'esecuzione di test e non incide sulle impostazioni dell'organizzazione fino a quando non si abilita la SSO nell'operazione successiva.

Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

10

Fai clic su Salva.

Gestisci i tuoi certificati Service Provider (SP)

Operazioni preliminari

Si consiglia di aggiornare tutti gli IdP nella propria organizzazione quando si rinnova il certificato SP.

Questo è applicabile solo alla configurazione SAML.

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità.

4

Vai all'IdP e clicca .

5

Fare clic su Rivedi certificati e data di scadenza.

Verrà visualizzata la finestra Certificati del fornitore di servizi (SP).
6

Fare clic su Rinnova certificato.

7

Scegli il tipo di IdP nella tua organizzazione:

  • Un IdP che supporta più certificati
  • Un IdP che supporta un singolo certificato
8

Scegliere il tipo di certificato per il rinnovo:

  • Autofirmato da Cisco—Consigliamo questa scelta. Firma il certificato in modo da rinnovarlo una volta ogni cinque anni.
  • Firmato da un'autorità di certificazione pubblica—Più sicuro, ma sarà necessario aggiornare frequentemente i metadati (a meno che il fornitore dell'IdP non supporti gli ancoraggi di trust).

Gli trust anchor sono chiavi pubbliche che agiscono da autorità per verificare il certificato di una firma digitale. Per ulteriori informazioni, fare riferimento alla documentazione IdP.

9

Fare clic su Scarica metadati o Scarica certificato per scaricare una copia del file di metadati aggiornato o del certificato dal cloud Webex.

10

Accedi all'interfaccia di gestione dell'IdP per caricare il nuovo file di metadati o certificato Webex.

Questa operazione può essere effettuata attraverso una scheda del browser, il protocollo del desktop remoto (RDP) o attraverso il supporto specifico del provider di cloud, in base all'impostazione IdP e all'eventuale responsabilità di questa operazione da parte dell'utente o di un amministratore IdP separato.

Per ulteriori informazioni, consulta le nostre guide all'integrazione SSO oppure contatta l'amministratore del tuo IdP per ricevere supporto. Se utilizzi Active Directory Federation Services (AD FS), puoi vedere come aggiornare i metadati Webex in AD FS

11

Tornare all'interfaccia Control Hub e fare clic su Avanti.

12

Selezionare Aggiornati correttamente tutti gli IdP e fare clic su Avanti.

In questo modo il file di metadati SP o il certificato vengono caricati su tutti gli IdP della tua organizzazione.

13

Fare clic su Termina rinnovo.

Esegui test configurazione SSO

Operazioni preliminari

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità.

4

Vai all'IdP e clicca Menu Altro.

5

Seleziona Test IdP.

6

Fare clic su Test configurazione SSOe, quando si apre una nuova scheda del browser, effettuare l'autenticazione con l'IdP effettuando l'accesso.

Se ricevi un errore di autenticazione, potrebbe esserci un problema con le credenziali. Verifica nome utente e password e riprova.

Un errore dell'app Webex solitamente indica un problema con l SSO impostazione. In tal caso, esegui nuovamente la procedura, in particolare fai attenzione ai passaggi in cui devi copiare e incollare i metadati Control Hub nell'impostazione IdP.

Per visualizzare l'esperienza di accesso SSO, ti consigliamo di fare clic su Copia URL negli appunti da questa schermata e incollarlo in una finestra del browser privata. Da qui, puoi eseguire l'accesso con SSO. Questa impostazione consente di rimuovere qualsiasi informazione memorizzata nella cache del browser Web che potrebbe produrre un risultato falso positivo durante il test della configurazione SSO.

7

Torna alla scheda del browser Control Hub.

  • Se il test ha esito positivo, selezionare Test completato correttamente. Attiva SSO e IdP e fai clic su Salva.
  • Se il test non è riuscito, selezionare Test non riuscito. Torna ai passaggi precedenti per correggere gli errori.

La SSO della configurazione del sistema non ha effetto nella propria organizzazione a meno che non si sce pulsante di opzione e si attiva SSO.

Configurare il mapping Just In Time (JIT) e SAML

Operazioni preliminari

Assicurarsi che le seguenti precondizioni siano soddisfatte:

  • SSO è già configurata.

  • I domini sono già stati verificati.

  • I domini sono rivendicati e attivati. Questa funzionalità garantisce che gli utenti del tuo dominio vengano creati e aggiornati una volta ogni volta che si autenticano con il tuo IdP.

  • Se DirSync o Entra ID sono abilitati, la creazione o l'aggiornamento SAML JIT non funzioneranno.

  • L'opzione "Profilo utente aggiornamento automatico" è abilitata. La mappatura degli aggiornamenti SAML è consentita poiché questa configurazione controlla la possibilità per l'utente di modificare gli attributi. I metodi di creazione e aggiornamento controllati da amministrazione sono ancora supportati.

Quando si imposta SAML JIT con Entra ID o un IdP in cui l'e-mail non è un identificatore permanente, si consiglia di utilizzare l'attributo di collegamento externalId per mapparlo a un identificatore univoco. Se riscontriamo che l'email non corrisponde all'attributo di collegamento, all'utente viene chiesto di verificare la propria identità o di creare un nuovo utente con l'indirizzo email corretto.

Gli utenti creati di recente non otterrà automaticamente le licenze assegnate a meno che l'organizzazione non abbia impostato un modello di licenza automatico.

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità.

4

Vai all'IdP e clicca Menu Altro.

5

Seleziona Modifica mappatura SAML.

6

Configurare Impostazioni Just-in-Time (JIT).

  • Crea o attiva utente: Se non viene trovato alcun utente attivo, Webex Identity crea l'utente e aggiorna gli attributi dopo che l'utente si è autenticato con l'IdP.
  • Aggiorna utente con attributi SAML: se viene trovato un utente con indirizzo e-mail, l'identità Webex aggiorna l'utente con gli attributi mappati all'asserzione SAML.
Verificare che gli utenti possano accedere con un indirizzo email diverso e non identificabile.

7

Configurare gli attributi richiesti per la mappatura SAML.

Tabella 1. Attributi richiesti

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

Nome utente/Indirizzo e-mail principale

Esempio: UID

Mappa l'attributo UID a indirizzo e-mail, upn o edupersonprincipalname dell'utente predisposto.

8

Configurare gli attributi di collegamento.

Dovrebbe essere univoco per l'utente. Viene utilizzato per cercare un utente in modo che Webex possa aggiornare tutti gli attributi del profilo, incluso l'indirizzo e-mail di un utente.
Tabella 2. Collegamento degli attributi

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: user.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

numero dipendente

Esempio: user.employeeid

Il numero di matricola dell'utente o un numero di identificazione all'interno del suo sistema HR. Tieni presente che questo non è per externalid, perché puoi riutilizzare o riciclare employeenumber per altri utenti.

Attributo estensione 1

Esempio: user.extensionattribute1

Mappa questi attributi personalizzati agli attributi estesi nell'ID Entra o nella tua directory, per i codici di tracciamento.

Attributo estensione 2

Esempio: user.extensionattribute2

Attributo estensione 3

Esempio: user.extensionattribute3

Attributo estensione 4

Esempio: utente.estensionelattribute4

Attributo estensione 5

Esempio: user.extensionattribute5

9

Configura Attributi del profilo.

Tabella 2. Attributi profilo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: user.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

numero dipendente

Esempio: user.employeeid

Il numero del dipendente di questo utente o un numero identificativo all'interno del sistema HR. Tenere presente che non è per "externalid" poiché è possibile riutilizzare "employeenumber" per altri utenti.

lingua preferita

Esempio: user.preferredlanguage

La lingua preferita dell'utente.

Impostazioni internazionali

Esempio: user.locale

La posizione di lavoro principale dell'utente.

Fuso orario

Esempio: user.timezone

Il fuso orario principale dell'utente.

displayName

Esempio: user.displayname

Il nome visualizzato dell'utente in Webex.

nome.givenName

Esempio: user.givenname

Il nome dell'utente.

nome.familyName

Esempio: user.surname

Il cognome dell'utente.

indirizzi.streetAddress

Esempio: user.streetaddress

La via della relativa posizione di lavoro principale.

indirizzi.stato

Esempio: user.state

Lo stato della sede di lavoro principale.

indirizzi.region

Esempio: user.region

La regione della relativa posizione di lavoro principale.

indirizzi.postalCode

Esempio: user.postalcode

Il CAP della relativa posizione di lavoro principale.

indirizzi.paese

Esempio: user.country

Il paese della relativa posizione di lavoro principale.

phoneNumbers.work

Esempio: numero di telefono ufficio

Il numero di telefono di lavoro della relativa posizione di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

phoneNumbers.extension

Esempio: numero di telefono cellulare

L'interno di lavoro del relativo numero di telefono di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

Pronome

Esempio: user.pronoun

I pronomi dell'utente. Questo è un attributo opzionale e l'utente o l'amministratore può renderlo visibile sul relativo profilo.

title

Esempio: titolo utente.jobtitle

La mansione dell'utente.

department

Esempio: user.department

Il reparto o il team dell'utente.

Pronome

Esempio: user.pronoun

Questo è il pronome dell'utente. La visibilità di questo attributo è controllata dall'amministratore e dall'utente

manager

Esempio: manager

Il responsabile dell'utente o il responsabile del relativo team.

centro di costo

Esempio: centro di costo

Questo è il cognome dell'utente anche noto come cognome o nome della famiglia

email.alternate1

Esempio: user.mailnickname

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate2

Esempio: user.primaryauthoritativemail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate3

Esempio: user.alternativeauthoritativemail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate4

Esempio: user.othermail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate5

Esempio: user.othermail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.
10

Configura Attributi estensione.

Mappare questi attributi agli attributi estesi nell'ID Entra o nella directory, per i codici di tracciamento.
Tabella 4. Attributi estensione

Nome attributo identità Webex

Nome attributo SAML

Attributo estensione 1

Esempio: user.extensionattribute1

Attributo estensione 2

Esempio: user.extensionattribute2

Attributo estensione 3

Esempio: user.extensionattribute3

Attributo estensione 4

Esempio: user.extensionattribute4

Attributo estensione 5

Esempio: user.extensionattribute5

Attributo estensione 6

Esempio: user.extensionattribute6

Attributo estensione 7

Esempio: user.extensionattribute7

Attributo estensione 8

Esempio: user.extensionattribute8

Attributo estensione 9

Esempio: user.extensionattribute9

Attributo estensione 10

Esempio: user.extensionattribute10

11

Configura Attributi di gruppo.

  1. Crea un gruppo in Control Hub e prendi nota dell'ID del gruppo Webex.
  2. Accedere alla directory degli utenti o all'IdP e impostare un attributo per gli utenti a cui verrà assegnato l'ID del gruppo Webex.
  3. Aggiorna la configurazione del tuo IdP per includere un claim che porta questo nome di attributo insieme all'ID del gruppo Webex (ad esempio c65f7d85-b691-42b8-a20b-12345xxxx). È possibile utilizzare l'ID esterno anche per gestire le modifiche ai nomi dei gruppi o per futuri scenari di integrazione. Ad esempio, la sincronizzazione con l'ID Entra o l'implementazione della sincronizzazione del gruppo SCIM.
  4. Specificare il nome esatto dell'attributo che verrà inviato nell'asserzione SAML con l'ID del gruppo. Serve per aggiungere l'utente a un gruppo.
  5. Specificare il nome esatto dell'ID esterno dell'oggetto gruppo se si utilizza un gruppo dalla directory per inviare membri nell'asserzione SAML.

Se l'utente A è associato a groupID 1234 e l'utente B a groupID 4567, vengono assegnati a gruppi separati. Questo scenario indica che un singolo attributo consente agli utenti di associarsi a più ID di gruppo. Sebbene ciò sia raro, è possibile e può essere considerato un cambiamento additivo. Ad esempio, se l'utente A inizialmente accede utilizzando groupID 1234, diventa membro del gruppo corrispondente. Se l'utente A accede in seguito utilizzando groupID 4567, verrà aggiunto anche a questo secondo gruppo.

Il provisioning SAML JIT non supporta la rimozione degli utenti dai gruppi né l'eliminazione degli utenti.

Tabella 5. Attributi di gruppo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID gruppo

Esempio: ID gruppo

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

ID esternogruppo

Esempio: ID esternogruppo

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

Per un elenco degli attributi di asserzione SAML Webex Meetings, vedere https://help.webex.com/article/WBX67566.

Elimina il tuo Identity Provider (IdP)

Operazioni preliminari

Si consiglia di disattivare o eliminare prima le regole di routing dell'IdP prima di eliminarlo.

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità.

4

Vai all'IdP e clicca Menu Altro.

5

Selezionare Elimina.

1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Provider di identità.

4

Fare clic su Disattiva SSO.

Conferma la disattivazione dell'SSO.

Una volta confermato, l'SSO viene disattivato per tutti gli IdP nella tua organizzazione.

Si riceveranno avvisi in Control Hub prima che i certificati scadano, ma è possibile anche impostare in modo proattivo le regole di avviso. Queste regole consentono di intuire in anticipo che i certificati SP o IdP stanno per scadere. È possibile inviarle all'utente tramite e-mail, uno spazio nell'app Webexo entrambi.

Indipendentemente dal canale di consegna configurato, tutti gli avvisi vengono sempre visualizzati in Control Hub. Per ulteriori informazioni, vedere Centro avvisi in Control Hub.

1

Accedere a Control Hub.

2

Vai a Centro avvisi.

3

Scegliere Gestisci quindi Tutte le regole .

4

Dall'elenco Regole, scegliere una SSO delle regole che si desidera creare:

  • SSO scadenza del certificato IDP
  • SSO scadenza del certificato SP
5

Nella sezione Canale di consegna, selezionare la casella E-mail, Spazio Webex oentrambi.

Se si sceglie E-mail, inserire l'indirizzo e-mail a cui inviare la notifica.

Se si sceglie l'opzione dello spazio Webex, si viene aggiunti automaticamente a uno spazio all'interno dell'app Webex e vengono consegnate le notifiche in questo punto.

6

Salva le modifiche.

Operazione successivi

Vengono inviati avvisi di scadenza del certificato una volta ogni 15 giorni, a partire da 60 giorni prima della scadenza. (È possibile ricevere avvisi nei giorni 60, 45, 30 e 15.) Gli avvisi si interrompono quando si rinnova il certificato.

Se riscontri problemi con l'accesso SSO, puoi utilizzare l'opzione di ripristino automatico SSO per ottenere l'accesso alla tua organizzazione Webex gestita in Control Hub. L'opzione di ripristino automatico consente di aggiornare o disabilitare l'SSO in Control Hub.