Sistema per la gestione delle identità tra più domini (SCIM)

L'integrazione tra gli utenti nella directory e Control Hub utilizza il sistema per l'API SCIM( Cross-Domain Identity Management). SCIM è uno standard aperto per automatizzare lo scambio di informazioni di identità utente tra domini di identità o sistemi IT. LA soluzione SCIM è progettata per semplificare la gestione delle identità utente in applicazioni e servizi basati su cloud. LA VERSIONE SCIM utilizza un'API standardizzata attraverso REST.

Se la tua organizzazione già utilizza il Connettore directory per sincronizzare gli utenti, non puoi sincronizzare gli utenti da Okta.

L'integrazione Okta supporta solo i seguenti attributi:

  • userName
  • displayName
  • nome.familyName
  • nome.givenName
  • ID esterno
  • titolo

Gli attributi multivalued, il Numero di telefono per cellulare e lavoro e l'Indirizzo non sono supportati da Okta poiché l'operazione per PATCH, PUT o DELETE non è passata dall'applicazione Okta a Webex.

Rimuovere questi attributi dall'associazione Okta o rimuovere l'aggiornamento dalla configurazione della sincronizzazione.

Funzioni supportate

Questa integrazione supporta le seguenti funzioni di sincronizzazione utenti in Okta:

  • Crea utenti: crea o collega un utente nell'app Webex quando si assegna l'app a un utente in Okta.

  • Aggiorna attributi utente: Okta aggiorna gli attributi di un utente nell'app Webex quando l'app viene assegnata. Modifiche future agli attributi apportate al profilo utente Okta sovrascriveranno automaticamente il valore dell'attributo corrispondente nel cloud Webex.

  • Disattiva utenti: disattiva l'account dell'app Webex di un utente quando viene annullata l'assegnazione in Okta oppure il relativo account Okta viene disattivato. Gli account possono essere riattivati se si riassegna l'app a un utente in Okta.

La sincronizzazione dei gruppi da Okta con l'organizzazione Webex non è supportate.

Aggiungi Webex a Okta

Prima di configurare Control Hub per il provisioning automatico degli utenti con Okta, è necessario aggiungere Webex dalla galleria delle applicazioni Okta all'elenco delle applicazioni gestite. È necessario anche scegliere un metodo di autenticazione. Attualmente, i servizi Webex in Control Hub supportano solo le organizzazioni SSO con Okta.

Operazioni preliminari

  • Okta richiede di disporre di un tenant Okta valido e di una licenza corrente con la relativa piattaforma. È necessario disporre anche di un abbonamento a pagamento corrente e di un'organizzazione Webex.

  • Nell'organizzazione Webex, è necessario configurare i modelli di assegnazione automatica delle licenze, altrimenti gli utenti appena sincronizzati nel controllo non assegneranno licenze per i servizi Webex. Per ulteriori informazioni, vedi Impostazione dei modelli di assegnazione automatica delle licenze in Control Hub

  • L'integrazione Single Sign-On (SSO) in Control Hub non è coperta in questo documento. Prima di configurare il provisioning utente, SSO l'integrazione della funzionalità Okta. Per informazioni sull'SSO integrazione, vedere Controllo Hub Single Sign-On con Okta.

1

Accedere al tenant Okta (example.okta.com, dovead esempio è il nome della società o dell'organizzazione) come amministratore, andare a Applicazioni, quindi fare clic su Aggiungi applicazione.

2

Cercare le Cisco Webex e aggiungere l'applicazione al tenant.

Se Okta è già stato SSO integrato nell'organizzazione Control Hub, è possibile ignorare le operazioni precedenti e riaprire la voce Cisco Webex nell'elenco delle applicazioni Okta.

3

In una scheda del browser separata, andare alla vista del cliente in https://admin.webex.com, fare clic sul nome dell'organizzazione, quindi accanto a Informazioni società, copiare l'ID organizzazione.

Registrare l'ID organizzazione (copiare e incollare in un file di testo). Si utilizzerà l'ID per la procedura successiva.

Configura Okta per la sincronizzazione utenti

Operazioni preliminari

Accertarsi di mantenere l'ID organizzazione dalla procedura precedente.

Assicurati di disporre del ruolo di Amministratore completo cliente quando crei token di connessione per i tuoi clienti.

1

In Tenant OKta, andare a Provisioning, fare clic su Configura integrazione API, quindi selezionare Abilita integrazione API.

2

Inserire il valore ID nel campo ID organizzazione.

3

Attenersi a questa procedura per ottenere il valore del token di risposta per il token segreto:

  1. Copiare il seguente URL ed eseguirlo in una scheda del browser in incognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    L'URL precedente si applica al broker ID Webex predefinito. Se si sta utilizzando Webex per il governo, utilizzare il seguente URL per ottenere il token di controllo:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Un browser in incognito è importante accertarsi di accedere con le credenziali di amministrazione corrette. Se è già stato eseguito l'accesso come utente con meno privilegi che non può creare gli utenti, il token di utente che viene restituito non può creare gli utenti.

  2. Dalla pagina di accesso di Webex visualizzata, accedere con un account di amministrazione completo per la propria organizzazione.

    Viene visualizzata una pagina di errore a confermare che non è possibile raggiungere il sito, ma questo è normale.

    L'URL della pagina di errore include il token dell'utente generato. Questo token è valido per 365 giorni (dopo la scadenza).

  3. Dall'URL nella barra degli indirizzi del browser, copiare il valore del token di connessione tra access_token= e &token_type=Portatore.

    Ad esempio, questo URL presenta il valore del token evidenziato: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose.

    Si consiglia di salvare questo valore in un file di testo come record del token nel caso in cui l'URL non sia più disponibile.

4

Tornare a Okta, incollare il token di connessione nel campo Token API, quindi fare clic suTest credenziali API.

Viene visualizzato un messaggio a confermare che Webex è stato verificato correttamente.

5

Andare a Provisioning > impostazioni > appapp, quindi specificare le funzioni di sincronizzazione degli utenti desiderate.

6

Fare clic su Assegnazioni, quindi fare clic su Assegna, quindi sceglierne una:

  • Assegna a Persone se desideri assegnare Webex a singoli utenti.
  • Assegna a gruppi se desideri assegnare Webex a più utenti in un gruppo.
7

Se è stata configurata SSO integrzione, fare clic su Assegna accanto a ciascun utente o gruppo che si desidera assegnare all'applicazione, quindi fare clic su Fatto.

Gli utenti scelti vengono sincronizzati nel cloud e vengono visualizzati in Control Hub in Utenti. Ogni volta che si sposta, si aggiungono, si modificano o si eliminano gli utenti in Okta, Control Hub seleziona le modifiche.

Se non è stata abilitata l'assegnazione automatica dei modelli di licenza, gli utenti vengono sincronizzati in Control Hub senza alcuna assegnazione di licenza. Per ridurre il sovraccarico amministrativo, si consiglia di abilitare un modello di licenza ad assegnazione automatica prima di sincronizzare gli utenti Okta in Control Hub.