Creazione e aggiornamento automatico dell'account SAML per Control Hub

Modifica dell'autenticazione Single Sign-On in Control Hub

Operazioni preliminari

Assicurarsi che siano soddisfatte le seguenti condizioni preliminari:

SSO già configurato. Per informazioni su come utilizzare la configurazione guidata SSO , vedere la sezione " Impostazione SSO " qui: https://help.webex.com/article/lfu88u/.
I domini sono già stati verificati.
I domini vengono richiesti e attivati. Questa funzione garantisce che gli utenti del dominio vengano creati e aggiornati una volta ogni volta che eseguono l'autenticazione con l'IDP.
Se sono abilitati DirSync o AzureAD, la creazione o l'aggiornamento di SAML JIT non funzionerà.
"Blocca aggiornamento profilo utente" è abilitato. La mappatura degli aggiornamenti SAML è consentita poiché questa configurazione controlla la possibilità dell'utente di modificare gli attributi. I metodi di creazione e aggiornamento controllati dall'amministratore sono ancora supportati.

Gli utenti creati non riceveranno automaticamente le licenze a meno che l'organizzazione non disponga di un account modello di licenza automatica impostare.

Il provisioning utente per il provisioning SAML JIT dei gruppi è limitato a un solo gruppo.

Configurazione della mappatura JIT (Just-in-Time) e SAML

Dalla vista cliente inhttps://admin.webex.com , andare a Gestione > Impostazioni organizzazione , scorrere fino a Autenticazione e fare clic Gestire SSO e IdP .

Andare a Provider di identità scheda.

Vai all'IdP e fai clic su.

Selezionare Modifica mappatura SAML .

Configurare le impostazioni Just-in-Time (JIT).

Crea o attiva utente: se non viene trovato nessun utente attivo, Webex Identity crea l'utente e aggiorna gli attributi dopo che l'utente si è autenticato con l'IDP.
Aggiorna utente con attributi SAML: se viene trovato un utente con indirizzo e-mail , Webex Identity aggiorna l'utente con gli attributi associati nell'asserzione SAML .

Verificare che gli utenti possano accedere con un indirizzo e-mail diverso non identificabile.

Configurare gli attributi richiesti per la mappatura SAML.

Tabella 1. Attributi obbligatori
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
Nome utente/ indirizzo e-mail principale	Esempio: UID	Mappa l'attributo UID a indirizzo e-mail, upn o edupersonprincipalname dell'utente predisposto.

Configurare gli attributi di collegamento.

Deve essere univoco per l'utente. Viene utilizzato per ricercare un utente in modo che Webex possa aggiornare tutti gli attributi del profilo, incluso il messaggio e-mail per un utente.

Tabella 2. Collegamento attributi
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
ID esterno	Esempio: IDoggetto.utente	Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.
numerodipendente	Esempio: user.employeeid	Il numero dipendente dell'utente o un numero identificativo all'interno del sistema HR. Tieni presente che non è per `externalid`, perché è possibile riutilizzare o riciclare `employeenumber` per altri utenti.
Attributo interno 1	Esempio: user.extensionattribute1	Mappa questi attributi personalizzati agli attributi estesi in Active Directory, in Azure o nella rubrica personale, per i codici di verifica.
Attributo interno 2	Esempio: attributo.estensione utente2
Attributo interno 3	Esempio: user.extensionattribute3
Attributo interno 4	Esempio: attributo.estensionelutente4
Attributo interno 5	Esempio: user.extensionattribute5

Configurare gli attributi di profilo.

Tabella 3. Attributi di profilo
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
ID esterno	Esempio: IDoggetto.utente	Per identificare questo utente da altri singoli profili. Questo è necessario per la mappatura tra rubriche o per modificare altri attributi di profilo.
numerodipendente	Esempio: user.employeeid	Il numero dipendente di questo utente o un numero identificativo all'interno del sistema HR. Tieni presente che questo non è per "externalid", perché puoi riutilizzare o riciclare "employeenumber" per altri utenti.
lingua preferita	Esempio: user.preferredlanguage	La lingua preferita dell'utente.
locale	Esempio: utente.locale	La posizione di lavoro principale dell'utente.
fuso orario	Esempio: fuso orario.utente	Il fuso orario principale dell'utente.
displayName	Esempio: nomeutente.display	Il nome visualizzato dell'utente in Webex.
nome.givenName	Esempio: nomeutente.givenname	Il nome dell'utente.
nome.familyName	Esempio: cognome.utente	Il cognome dell'utente.
address.streetAddress	Esempio: indirizzo.via.utente	La via della relativa posizione di lavoro principale.
indirizzi.stato	Esempio: stato.utente	Lo stato della posizione di lavoro principale.
area.indirizzi	Esempio: regione.utente	La regione della relativa posizione di lavoro principale.
indirizzi.codicepostale	Esempio: codice postale.utente	Il CAP della relativa posizione di lavoro principale.
indirizzi.paese	Esempio: utente.paese	Il paese della relativa posizione di lavoro principale.
numeriditelefoni.lavoro	Esempio: numero di telefono ufficio	Il numero di telefono di lavoro della relativa posizione di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).
Numeridi.telefono.estensione	Esempio: numero di cellulare	L'interno di lavoro del relativo numero di telefono di lavoro principale. Usa solo il formato E.164 internazionale (15 cifre al massimo).
pronome	Esempio: pronome.utente	I pronomi dell'utente. Questo è un attributo facoltativo e l'utente o l'amministratore può renderlo visibile sul proprio profilo.
title	Esempio: user.jobtitle	La mansione dell'utente.
department	Esempio: reparto.utente	Il reparto o il team dell'utente.
pronome	Esempio: pronome.utente	Questo è il pronome dell'utente. La visibilità di questo attributo è controllata dall'amministratore e dall'utente
manager	Esempio: manager	Il responsabile dell'utente o il responsabile del team.
costcenter	Esempio: centro di costo	Questo è il cognome dell'utente, noto anche come cognome o cognome
e-mail.alternativa1	Esempio: nomeutente.mailnickname	Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa accedere utilizzando tale opzione, associarla all'uid.
e-mail.alternativa2	Esempio: user.primaryauthoritativemail	Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa accedere utilizzando tale opzione, associarla all'uid.
e-mail.alternativa3	Esempio: user.alternativeauthoritativemail	Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa accedere utilizzando tale opzione, associarla all'uid.
e-mail.alternativa4	Esempio: utente.altra posta	Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa accedere utilizzando tale opzione, associarla all'uid.
e-mail.alternativa5	Esempio: utente.altra posta	Un indirizzo e-mail alternativo per l'utente. Se si desidera che l'utente possa accedere utilizzando tale opzione, associarla all'uid.

Configurare gli attributi degli interni.

Mappare questi attributi agli attributi estesi in Active Directory, in Azure o nella rubrica personale, per i codici di verifica.

Tabella 4. Attributi di estensione
Nome attributo identità Webex	Nome attributo SAML
Attributo interno 1	Esempio: user.extensionattribute1
Attributo interno 2	Esempio: attributo.estensione utente2
Attributo interno 3	Esempio: user.extensionattribute3
Attributo interno 4	Esempio: user.extensionattribute4
Attributo interno 5	Esempio: user.extensionattribute5
Attributo interno 6	Esempio: attributo.estensione utente6
Attributo interno 7	Esempio: user.extensionattribute7
Attributo interno 8	Esempio: attributo.estensione utente8
Attributo interno 9	Esempio: attributo.estensione utente9
Attributo interno 10	Esempio: attributo.estensione utente10

Configurare gli attributi di gruppo.

Crea un gruppo in Control Hub e annota l'ID gruppo Webex.
Andare alla rubrica utente o all'IdP e impostare un attributo per gli utenti che verranno assegnati all'ID gruppo Webex.
Aggiornare la configurazione dell'IdP per includere un reclamo che trasporta questo nome di attributo insieme all'ID gruppo Webex (es. c65f7d85-b691-42b8-a20b-12345xxxx). È inoltre possibile utilizzare l'ID esterno per gestire le modifiche ai nomi dei gruppi o per scenari di integrazione futuri. Ad esempio, sincronizzazione con Azure AD o implementazione della sincronizzazione del gruppo SCIM.
Specificare il nome esatto dell'attributo che verrà inviato nell'asserzione SAML con l'ID gruppo. Viene utilizzata per aggiungere l'utente a un gruppo.
Specificare il nome esatto dell'ID esterno dell'oggetto di gruppo se si utilizza un gruppo dalla rubrica per inviare i membri nell'asserzione SAML.

Se l'utente A è associato a groupID 1234 e l'utente B con groupID 4567, sono assegnati a gruppi separati. Questa situazione indica che un singolo attributo consente agli utenti di associarsi a più ID gruppo. Sebbene ciò sia non comune, è possibile e può essere considerato come un cambiamento additivo. Ad esempio, se l'utente A inizialmente accede all'uso groupID 1234, diventano membri del gruppo corrispondente. Se l'utente A accede successivamente all'uso groupID 4567, sono aggiunti anche a questo secondo gruppo.

Il provisioning SAML JIT non supporta la rimozione degli utenti dai gruppi o qualsiasi eliminazione degli utenti.

Tabella 5. Attributi gruppo
Nome attributo identità Webex	Nome attributo SAML	Descrizione attributo
ID gruppo	Esempio: ID gruppo	Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.
groupexternalId	Esempio: groupexternalId	Esegue il mapping degli attributi di gruppo di IdP agli attributi di gruppo Webex Identity allo scopo di associare tale utente a un gruppo per la licenza o il servizio di impostazione.

Per un elenco di attributi di asserzione SAML per Webex Meetings, vederehttps://help.webex.com/article/WBX67566 .