Modifica dell'autenticazione Single Sign-On in Control Hub

Operazioni preliminari

Assicurarsi che le seguenti precondizioni siano soddisfatte:

  • SSO è già configurata. Per informazioni sull'uso della procedura guidata di configurazione SSO, vedere la sezione "Impostazione SSO" qui: https://help.webex.com/article/lfu88u/.

  • I domini sono già stati verificati.

  • I domini vengono richiesti e attivati. Questa funzione assicura che gli utenti del tuo dominio vengano creati e aggiornati una volta ogni volta che eseguono l'autenticazione con il tuo IdP.

  • Se DirSync o AzureAD sono abilitati, la creazione o l'aggiornamento SAML JIT non funzionerà.

  • L'opzione "Profilo utente aggiornamento automatico" è abilitata. La mappatura degli aggiornamenti SAML è consentita poiché questa configurazione controlla la possibilità per l'utente di modificare gli attributi. I metodi di creazione e aggiornamento controllati da amministrazione sono ancora supportati.

Gli utenti creati di recente non otterrà automaticamente le licenze assegnate a meno che l'organizzazione non abbia impostato un modello di licenza automatico.

Il provisioning degli utenti per il provisioning SAML JIT dei gruppi è limitato a un solo gruppo.

Configura mappatura JIT (Just-in-Time) e SAML
1

Accedere a Control Hub.

2

Vai a Gestione > Impostazioni organizzazione, scorri fino a Single Sign-On e fai clic su Gestisci SSO e IdP.

3

Vai alla scheda Provider identità .

4

Andare all'IdP e fare clic su Menu Altro.

5

Selezionare Modifica mappatura SAML.

6

Configurare Impostazioni JIT (Just-in-Time).

  • Crea o attiva utente: se non viene trovato alcun utente attivo, Webex Identity crea l'utente e aggiorna gli attributi una volta che l'utente ha autenticato l'IdP.
  • Aggiorna utente con attributi SAML: se viene trovato un utente con indirizzo e-mail, l'identità Webex aggiorna l'utente con gli attributi mappati all'asserzione SAML.
Conferma che gli utenti possono accedere con un indirizzo e-mail diverso e non identificabile.

7

Configurare attributi richiesti per mappatura SAML.

Tabella 1. Attributi richiesti

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

Nome utente/Indirizzo e-mail principale

Esempio: UID

Mappa l'attributo UID a indirizzo e-mail, upn o edupersonprincipalname dell'utente predisposto.

8

Configurare gli attributi di collegamento.

Questa operazione deve essere univoca per l'utente. Viene utilizzato per ricercare un utente in modo che Webex possa aggiornare tutti gli attributi del profilo, incluso l'e-mail per un utente.
Tabella 2. Attributi di collegamento

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: user.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

numero dipendente

Esempio: user.employeeid

Il numero di dipendenti dell'utente o un numero identificativo all'interno del sistema HR. Tenere presente che non è per externalid, poiché è possibile riutilizzare o riciclare employeenumber per altri utenti.

Attributo estensione 1

Esempio: user.extensionattribute1

Associa questi attributi personalizzati agli attributi estesi in Active Directory, Azure o la tua rubrica per i codici di verifica.

Attributo estensione 2

Esempio: user.extensionattribute2

Attributo estensione 3

Esempio: user.extensionattribute3

Attributo estensione 4

Esempio: user.extensionlattribute4

Attributo estensione 5

Esempio: user.extensionattribute5

9

Configurare Attributi profilo.

Tabella 2. Attributi profilo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID esterno

Esempio: user.objectid

Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.

numero dipendente

Esempio: user.employeeid

Il numero del dipendente di questo utente o un numero identificativo all'interno del sistema HR. Tenere presente che non è per "externalid" poiché è possibile riutilizzare "employeenumber" per altri utenti.

lingua preferita

Esempio: user.preferredlanguage

La lingua preferita dell'utente.

Impostazioni internazionali

Esempio: user.locale

La posizione di lavoro principale dell'utente.

Fuso orario

Esempio: user.timezone

Il fuso orario principale dell'utente.

displayName

Esempio: user.displayname

Il nome visualizzato dell'utente in Webex.

nome.givenName

Esempio: user.givenname

Il nome dell'utente.

nome.familyName

Esempio: user.surname

Il cognome dell'utente.

indirizzi.streetAddress

Esempio: user.streetaddress

La via della relativa posizione di lavoro principale.

indirizzi.stato

Esempio: user.state

Lo stato della sede di lavoro principale.

indirizzi.region

Esempio: user.region

La regione della relativa posizione di lavoro principale.

indirizzi.postalCode

Esempio: user.postalcode

Il CAP della relativa posizione di lavoro principale.

indirizzi.paese

Esempio: user.country

Il paese della relativa posizione di lavoro principale.

phoneNumbers.work

Esempio: numero di telefono ufficio

Il numero di telefono di lavoro della relativa posizione di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

phoneNumbers.extension

Esempio: numero di telefono cellulare

L'interno di lavoro del relativo numero di telefono di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).

Pronome

Esempio: user.pronoun

I pronomi dell'utente. Questo è un attributo opzionale e l'utente o l'amministratore può renderlo visibile sul relativo profilo.

title

Esempio: titolo utente.jobtitle

La mansione dell'utente.

department

Esempio: user.department

Il reparto o il team dell'utente.

Pronome

Esempio: user.pronoun

Questo è il pronome dell'utente. La visibilità di questo attributo è controllata dall'amministratore e dall'utente

manager

Esempio: manager

Il responsabile dell'utente o il responsabile del relativo team.

centro di costo

Esempio: centro di costo

Questo è il cognome dell'utente anche noto come cognome o nome della famiglia

email.alternate1

Esempio: user.mailnickname

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate2

Esempio: user.primaryauthoritativemail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate3

Esempio: user.alternativeauthoritativemail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate4

Esempio: user.othermail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.

email.alternate5

Esempio: user.othermail

Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa eseguire l'accesso utilizzandolo, associarlo all'uid.
10

Configurare Attributi interni.

Mappare questi attributi ad attributi estesi in Active Directory, Azure o nella directory per gli codici di verifica.
Tabella 4. Attributi estensione

Nome attributo identità Webex

Nome attributo SAML

Attributo estensione 1

Esempio: user.extensionattribute1

Attributo estensione 2

Esempio: user.extensionattribute2

Attributo estensione 3

Esempio: user.extensionattribute3

Attributo estensione 4

Esempio: user.extensionattribute4

Attributo estensione 5

Esempio: user.extensionattribute5

Attributo estensione 6

Esempio: user.extensionattribute6

Attributo estensione 7

Esempio: user.extensionattribute7

Attributo estensione 8

Esempio: user.extensionattribute8

Attributo estensione 9

Esempio: user.extensionattribute9

Attributo estensione 10

Esempio: user.extensionattribute10

11

Configurare Attributi gruppo.

  1. Creare un gruppo in Control Hub e prendere nota dell'ID gruppo Webex.
  2. Andare alla rubrica utente o all'IdP e impostare un attributo per gli utenti che verranno assegnati all'ID gruppo Webex.
  3. Aggiorna la configurazione dell'IdP per includere un'attestazione che trasporta questo nome attributo insieme all'ID gruppo Webex (ad esempio, c65f7d85-b691-42b8-a20b-12345xxxx). Puoi utilizzare l'ID esterno anche per gestire le modifiche ai nomi dei gruppi o per futuri scenari di integrazione. Ad esempio, sincronizzazione con Azure AD o implementazione della sincronizzazione del gruppo SCIM.
  4. Specificare il nome esatto dell'attributo che verrà inviato nell'asserzione SAML con l'ID gruppo. Viene utilizzato per aggiungere l'utente a un gruppo.
  5. Specifica il nome esatto dell'ID esterno dell'oggetto gruppo se si utilizza un gruppo della rubrica per inviare membri nell'asserzione SAML.

Se l'utente A è associato a groupID 1234 e l'utente B con groupID 4567, vengono assegnati a gruppi separati. Questo scenario indica che un singolo attributo consente agli utenti di associare più ID di gruppo. Sebbene questo non sia comune, è possibile e può essere considerato un cambiamento additivo. Ad esempio, se l'utente A esegue inizialmente l'accesso utilizzando groupID 1234, diventa membro del gruppo corrispondente. Se l'utente A successivamente accede utilizzando groupID 4567, vengono aggiunti anche a questo secondo gruppo.

Il provisioning SAML JIT non supporta la rimozione di utenti dai gruppi o qualsiasi eliminazione di utenti.

Tabella 5. Attributi di gruppo

Nome attributo identità Webex

Nome attributo SAML

Descrizione attributo

ID gruppo

Esempio: ID gruppo

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

ID groupexternale

Esempio: ID groupexternale

Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

Per un elenco degli attributi di asserzione SAML Webex Meetings, vedere https://help.webex.com/article/WBX67566.