Modifica dell'autenticazione Single Sign-On in Control Hub

Operazioni preliminari

Assicurarsi che le seguenti precondizioni siano soddisfatte:

  • SSO è già configurata. Per informazioni sull'utilizzo della procedura guidata di configurazione SSO, vedere la sezione "Configurazione SSO" qui: https://help.webex.com/article/lfu88u/.

  • I domini sono già stati verificati.

  • I domini sono rivendicati e attivati. Questa funzionalità garantisce che gli utenti del tuo dominio vengano creati e aggiornati una volta ogni volta che si autenticano con il tuo IdP.

  • Se DirSync o AzureAD sono abilitati, la creazione o l'aggiornamento SAML JIT non funzioneranno.

  • L'opzione "Profilo utente aggiornamento automatico" è abilitata. La mappatura degli aggiornamenti SAML è consentita poiché questa configurazione controlla la possibilità per l'utente di modificare gli attributi. I metodi di creazione e aggiornamento controllati da amministrazione sono ancora supportati.

Gli utenti creati di recente non otterrà automaticamente le licenze assegnate a meno che l'organizzazione non abbia impostato un modello di licenza automatico.

Il provisioning degli utenti per il provisioning SAML JIT dei gruppi è limitato a un singolo gruppo.

Configurare il mapping Just-in-Time (JIT) e SAML
1

Accedere a Control Hub.

2

Vai a Gestione > Sicurezza > Autenticazione.

3

Vai alla scheda Fornitore di identità.

4

Vai all'IdP e clicca su Menu Altro.

5

Selezionare Modifica mappatura SAML.

6

Configurare Impostazioni Just-in-Time (JIT).

  • Crea o attiva utente: Se non viene trovato alcun utente attivo, Webex Identity crea l'utente e aggiorna gli attributi dopo che l'utente si è autenticato con l'IdP.
  • Aggiorna utente con attributi SAML: se viene trovato un utente con indirizzo e-mail, l'identità Webex aggiorna l'utente con gli attributi mappati all'asserzione SAML.
Verificare che gli utenti possano accedere con un indirizzo email diverso e non identificabile.

7

Configurare gli attributi richiesti per il mapping SAML.

Tabella 1. Attributi richiesti

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

Nome utente/Indirizzo e-mail principale

Esempio: UID

Mappa l'attributo UID a indirizzo e-mail, upn o edupersonprincipalname dell'utente predisposto.

8

Configurare gli attributi di collegamento.

Dovrebbe essere univoco per l'utente. Viene utilizzato per cercare un utente in modo che Webex possa aggiornare tutti gli attributi del profilo, incluso l'indirizzo e-mail di un utente.
Tabella 2. Collegamento degli attributi

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: user.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

numero dipendente

Esempio: user.employeeid

Il numero di matricola dell'utente o un numero di identificazione nel suo sistema HR. Tieni presente che questo non vale per externalid, perché puoi riutilizzare o riciclare employeenumber per altri utenti.

Attributo estensione 1

Esempio: user.extensionattribute1

Mappare questi attributi personalizzati agli attributi estesi in Active Directory, Azure o nella directory per monitorare i codici.

Attributo estensione 2

Esempio: user.extensionattribute2

Attributo estensione 3

Esempio: user.extensionattribute3

Attributo estensione 4

Esempio: utente.estensionelattribute4

Attributo estensione 5

Esempio: user.extensionattribute5

9

Configura Attributi del profilo.

Tabella 2. Attributi profilo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: user.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

numero dipendente

Esempio: user.employeeid

Il numero del dipendente di questo utente o un numero identificativo all'interno del sistema HR. Tenere presente che non è per "externalid" poiché è possibile riutilizzare "employeenumber" per altri utenti.

lingua preferita

Esempio: user.preferredlanguage

La lingua preferita dell'utente.

Impostazioni internazionali

Esempio: user.locale

La posizione di lavoro principale dell'utente.

Fuso orario

Esempio: user.timezone

Il fuso orario principale dell'utente.

displayName

Esempio: user.displayname

Il nome visualizzato dell'utente in Webex.

nome.givenName

Esempio: user.givenname

Il nome dell'utente.

nome.familyName

Esempio: user.surname

Il cognome dell'utente.

indirizzi.streetAddress

Esempio: user.streetaddress

La via della relativa posizione di lavoro principale.

indirizzi.stato

Esempio: user.state

Lo stato della sede di lavoro principale.

indirizzi.region

Esempio: user.region

La regione della relativa posizione di lavoro principale.

indirizzi.postalCode

Esempio: user.postalcode

Il CAP della relativa posizione di lavoro principale.

indirizzi.paese

Esempio: user.country

Il paese della relativa posizione di lavoro principale.

phoneNumbers.work

Esempio: numero di telefono ufficio

Il numero di telefono di lavoro della relativa posizione di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

phoneNumbers.extension

Esempio: numero di telefono cellulare

L'interno di lavoro del relativo numero di telefono di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

Pronome

Esempio: user.pronoun

I pronomi dell'utente. Questo è un attributo opzionale e l'utente o l'amministratore può renderlo visibile sul relativo profilo.

title

Esempio: titolo utente.jobtitle

La mansione dell'utente.

department

Esempio: user.department

Il reparto o il team dell'utente.

Pronome

Esempio: user.pronoun

Questo è il pronome dell'utente. La visibilità di questo attributo è controllata dall'amministratore e dall'utente

manager

Esempio: manager

Il responsabile dell'utente o il responsabile del relativo team.

centro di costo

Esempio: centro di costo

Questo è il cognome dell'utente anche noto come cognome o nome della famiglia

email.alternate1

Esempio: user.mailnickname

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate2

Esempio: user.primaryauthoritativemail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate3

Esempio: user.alternativeauthoritativemail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate4

Esempio: user.othermail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate5

Esempio: user.othermail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.
10

Configura Attributi estensione.

Mappare questi attributi ad attributi estesi in Active Directory, Azure o nella directory per gli codici di verifica.
Tabella 4. Attributi estensione

Nome attributo identità Webex

Nome attributo SAML

Attributo estensione 1

Esempio: user.extensionattribute1

Attributo estensione 2

Esempio: user.extensionattribute2

Attributo estensione 3

Esempio: user.extensionattribute3

Attributo estensione 4

Esempio: user.extensionattribute4

Attributo estensione 5

Esempio: user.extensionattribute5

Attributo estensione 6

Esempio: user.extensionattribute6

Attributo estensione 7

Esempio: user.extensionattribute7

Attributo estensione 8

Esempio: user.extensionattribute8

Attributo estensione 9

Esempio: user.extensionattribute9

Attributo estensione 10

Esempio: user.extensionattribute10

11

Configura Attributi del gruppo.

  1. Crea un gruppo in Control Hub e prendi nota dell'ID del gruppo Webex.
  2. Accedere alla directory utenti o all'IdP e impostare un attributo per gli utenti a cui verrà assegnato l'ID gruppo Webex.
  3. Aggiorna la configurazione del tuo IdP per includere un claim che porta questo nome di attributo insieme all'ID del gruppo Webex (ad esempio c65f7d85-b691-42b8-a20b-12345xxxx). È possibile utilizzare l'ID esterno anche per gestire le modifiche ai nomi dei gruppi o per futuri scenari di integrazione. Ad esempio, la sincronizzazione con Azure AD o l'implementazione della sincronizzazione del gruppo SCIM.
  4. Specificare il nome esatto dell'attributo che verrà inviato nell'asserzione SAML con l'ID del gruppo. Serve per aggiungere l'utente a un gruppo.
  5. Specificare il nome esatto dell'ID esterno dell'oggetto gruppo se si utilizza un gruppo dalla directory per inviare membri nell'asserzione SAML.

Se l'utente A è associato a groupID 1234 e l'utente B a groupID 4567, vengono assegnati a gruppi separati. Questo scenario indica che un singolo attributo consente agli utenti di associarsi a più ID di gruppo. Sebbene ciò sia poco comune, è possibile e può essere considerato un cambiamento additivo. Ad esempio, se l'utente A inizialmente accede utilizzando groupID 1234, diventa membro del gruppo corrispondente. Se l'utente A accede in seguito utilizzando groupID 4567, verrà aggiunto anche a questo secondo gruppo.

Il provisioning SAML JIT non supporta la rimozione degli utenti dai gruppi né l'eliminazione degli utenti.

Tabella 5. Attributi di gruppo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID gruppo

Esempio: ID gruppo

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

ID esterno gruppo

Esempio: ID esterno gruppo

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

Per un elenco degli attributi di asserzione SAML Webex Meetings, vedere https://help.webex.com/article/WBX67566.