Modifica dell'autenticazione Single Sign-On in Control Hub

Operazioni preliminari

Assicurarsi che siano soddisfatte le seguenti condizioni preliminari:

  • SSO è già configurato. Per informazioni su come utilizzare la configurazione guidata SSO , vedere la sezione " Impostazione SSO " qui: https://help.webex.com/article/lfu88u/.

  • I domini sono già stati verificati.

  • I domini vengono richiesti e attivati. Questa funzione assicura che gli utenti del tuo dominio vengano creati e aggiornati una volta ogni volta che eseguono l'autenticazione con il tuo IdP.

  • Se sono abilitati DirSync o AzureAD, la creazione o l'aggiornamento di SAML JIT non funzionerà.

  • "Blocca aggiornamento profilo utente" abilitato. Mappatura aggiornamento SAML consentita perché questa configurazione controlla la possibilità dell'utente di modificare gli attributi. I metodi di creazione e aggiornamento controllati dall'amministratore sono ancora supportati.


 

Gli utenti appena creati non riceveranno automaticamente licenze assegnate a meno che l'organizzazione non abbia impostato un modello di licenza automatico.

Il provisioning utente per il provisioning SAML JIT dei gruppi è limitato a un solo gruppo.

Configurazione della mappatura JIT (Just-in-Time) e SAML

1

Accedere a Control Hub.

2

Vai a Gestione > Impostazioni organizzazione, scorrere fino a Single Sign-On e fare clic su Gestisci SSO e IdP.

3

Andare alla scheda Provider identità.

4

Vai all'IdP e fai clic su.

5

Selezionare Modifica mappatura SAML.

6

Configurare le impostazioni Just-in-Time (JIT).

  • Crea o attiva utente: se non viene trovato alcun utente attivo, Webex Identity crea l'utente e aggiorna gli attributi dopo che l'utente ha autenticato con l'IdP.
  • Aggiorna utente con attributi SAML: se viene trovato un utente con indirizzo e-mail, l'identità Webex aggiorna l'utente con gli attributi mappati nell'asserzione SAML.
Conferma che gli utenti possono accedere con un indirizzo e-mail diverso e non identificabile.
7

Configurare gli attributi richiesti per la mappatura SAML.

Tabella 1. Attributi obbligatori

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

Nome utente / Indirizzo e-mail principale

Esempio: UID

Mappa l'attributo UID a indirizzo e-mail, upn o edupersonprincipalname dell'utente predisposto.

8

Configurare gli attributi di collegamento.

Questo deve essere univoco per l'utente. Viene utilizzata per ricercare un utente in modo che Webex possa aggiornare tutti gli attributi del profilo, inclusa l'e-mail per un utente.
Tabella 2. Attributi di collegamento

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: utente.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

datore di lavoro

Esempio: id utente.datori di lavoro

Il numero di dipendente dell'utente o un numero di identificazione all'interno del sistema HR. Tieni presente che non è per externalid, perché è possibile riutilizzare o riciclare employeenumber per altri utenti.

Attributo interno 1

Esempio: utente.extensionattribute1

Associa questi attributi personalizzati a attributi estesi in Active Directory, Azure o nella tua rubrica per i codici di verifica.

Attributo interno 2

Esempio: utente.extensionattribute2

Attributo interno 3

Esempio: utente.extensionattribute3

Attributo interno 4

Esempio: utente.extensionlattribute4

Attributo interno 5

Esempio: utente.extensionattribute5

9

Configurare gli attributi di profilo.

Tabella 3. Attributi di profilo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: utente.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

datore di lavoro

Esempio: id utente.datori di lavoro

Il numero di dipendente di questo utente o un numero di identificazione all'interno del sistema HR. Tieni presente che questo non è per "esternalizzazione", perché puoi riutilizzare o riciclare "datori di lavoro" per altri utenti.

lingua preferita

Esempio: user.preferredlanguage

La lingua preferita dell'utente.

locale

Esempio: utente.locale

La posizione di lavoro principale dell'utente.

fuso orario

Esempio: fuso orario utente

Il fuso orario principale dell'utente.

displayName

Esempio: user.displayname

Il nome visualizzato dell'utente in Webex.

nome.givenName

Esempio: utente.givenname

Il nome dell'utente.

nome.familyName

Esempio: nome utente/cognome

Il cognome dell'utente.

indirizzi.streetIndirizzo

Esempio: user.streetaddress

La via della relativa posizione di lavoro principale.

indirizzi.stato

Esempio: stato utente

Lo stato della posizione di lavoro principale.

indirizzi.regione

Esempio: utente.regione

La regione della relativa posizione di lavoro principale.

indirizzi.codicepostale

Esempio: codice postale utente.

Il CAP della relativa posizione di lavoro principale.

indirizzi.paese

Esempio: utente.paese

Il paese della relativa posizione di lavoro principale.

phoneNumbers.work

Esempio: fonoassorbente di lavoro

Il numero di telefono di lavoro della relativa posizione di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

telefonoNumeri.interno

Esempio: fondotinta mobile

L'interno di lavoro del relativo numero di telefono di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

pronunciare

Esempio: utente.pronome

I pronomi dell'utente. Questo è un attributo opzionale e l'utente o l'amministratore può renderlo visibile sul relativo profilo.

title

Esempio: utente.jobtitle

La mansione dell'utente.

department

Esempio: utente.reparto

Il reparto o il team dell'utente.

pronunciare

Esempio: utente.pronome

Questo è il pronome dell'utente. La visibilità di questo attributo è controllata da amministratore e utente

manager

Esempio: manager

Il responsabile dell'utente o il relativo responsabile del team.

centro di costo

Esempio: centro di costo

È il cognome dell'utente noto anche come cognome o nome familiare

e-mail.alternate1

Esempio: nome utente.mailnickname

Indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, mappare l'UID.

e-mail.alternate2

Esempio: utente.primaryauthoritativemail

Indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, mappare l'UID.

e-mail.alternate3

Esempio: utente.alternativeautoritativemail

Indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, mappare l'UID.

e-mail.alternate4

Esempio: utente.othermail

Indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, mappare l'UID.

e-mail.alternate5

Esempio: utente.othermail

Indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, mappare l'UID.
10

Configurare gli attributi degli interni.

Associa questi attributi a attributi estesi in Active Directory, Azure o nella tua rubrica per i codici di verifica.
Tabella 4. Attributi interni

Nome attributo identità Webex

Nome attributo SAML

Attributo interno 1

Esempio: utente.extensionattribute1

Attributo interno 2

Esempio: utente.extensionattribute2

Attributo interno 3

Esempio: utente.extensionattribute3

Attributo interno 4

Esempio: utente.extensionattribute4

Attributo interno 5

Esempio: utente.extensionattribute5

Attributo interno 6

Esempio: utente.extensionattribute6

Attributo interno 7

Esempio: utente.extensionattribute7

Attributo interno 8

Esempio: utente.extensionattribute8

Attributo interno 9

Esempio: utente.extensionattribute9

Attributo interno 10

Esempio: utente.extensionattribute10

11

Configurare gli attributi di gruppo.

  1. Crea un gruppo in Control Hub e annota l'ID gruppo Webex.
  2. Andare alla rubrica utente o all'IdP e impostare un attributo per gli utenti che verranno assegnati all'ID gruppo Webex.
  3. Aggiornare la configurazione dell'IdP per includere un reclamo che trasporta questo nome di attributo insieme all'ID gruppo Webex (es. c65f7d85-b691-42b8-a20b-12345xxxx). È inoltre possibile utilizzare l'ID esterno per gestire le modifiche ai nomi dei gruppi o per scenari di integrazione futuri. Ad esempio, sincronizzazione con Azure AD o implementazione della sincronizzazione del gruppo SCIM.
  4. Specificare il nome esatto dell'attributo che verrà inviato nell'asserzione SAML con l'ID gruppo. Viene utilizzata per aggiungere l'utente a un gruppo.
  5. Specificare il nome esatto dell'ID esterno dell'oggetto di gruppo se si utilizza un gruppo dalla rubrica per inviare i membri nell'asserzione SAML.

 

Se l'utente A è associato a groupID 1234 e l'utente B con groupID 4567, sono assegnati a gruppi separati. Questa situazione indica che un singolo attributo consente agli utenti di associarsi a più ID gruppo. Sebbene ciò sia non comune, è possibile e può essere considerato come un cambiamento additivo. Ad esempio, se l'utente A inizialmente accede all'uso groupID 1234, diventano membri del gruppo corrispondente. Se l'utente A accede successivamente all'uso groupID 4567, sono aggiunti anche a questo secondo gruppo.

Il provisioning SAML JIT non supporta la rimozione degli utenti dai gruppi o qualsiasi eliminazione degli utenti.

Tabella 5. Attributi gruppo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID gruppo

Esempio: ID gruppo

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

groupexternalId

Esempio: groupexternalId

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

Per un elenco degli attributi dell'asserzione SAML per Webex Meetings, vedere https://help.webex.com/article/WBX67566.