クロスドメイン アイデンティティ管理のシステム (SCIM)

ディレクトリのユーザーと Control Hub の間のインテグレーションは、クロスドメイン アイデンティティ管理システム (SCIM) API を使用します。 SCIM は、アイデンティティ ドメインまたは IT システム間のユーザー アイデンティティ情報の交換を自動化するオープン標準です。 SCIM は、クラウドベースのアプリケーションおよびサービスでのユーザー アイデンティティの管理を容易にするように設計されています。 SCIM は、REST を通じて標準化された API を使用しています。


 
組織がすでに Directory Connector を使用してユーザーを同期している場合、Okta からユーザーを同期することはできません。

 

Okta インテグレーションは、以下の属性のみをサポートしています。

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

複数値属性、 PhoneNumbermobile および work 、さらに Address は、に対する操作が行われるため、Okta ではサポートされていません PATCH, PUT 、または DELETE は、OktaアプリケーションからWebexに渡されていません。

Okta マッピングからこれらの属性を削除するか、同期設定から更新を削除してください。

サポートされている機能

この統合は、Okta の次のユーザー同期機能をサポートしています。

  • ユーザーの作成 - Okta でアプリをユーザーに割り当てる際に、 Webexアプリのユーザーを作成またはリンクします。

  • ユーザー属性の更新 -Okta はアプリが割り当てられたときに、 Webexアプリのユーザーの属性を更新します。 Okta ユーザー プロファイルに対する今後の属性変更は、Webex クラウドの対応する属性値を自動的に上書きします。

  • ユーザーの非アクティブ化 - Okta または Okta アカウントが非アクティブ化された場合に、ユーザーのWebexアプリ アカウントを非アクティブ化します。 Okta でアプリをユーザーに再割り当てすると、アカウントを再アクティブ化することができます。


 
Okta からWebex組織とのグループの同期はサポートされていません。

Okta に Webex を追加する

Okta で自動的にユーザーをプロビジョニングするために Control Hub を設定する前に、Oktaアプリケーションギャラリーから管理対象アプリケーションのリストにWebexを追加する必要があります。 認証方法も選択する必要があります。 現在、Control Hub の Webex サービスは、Okta とのフェデレーション SSO のみをサポートしています。

始める前に

  • Okta では、有効な Okta テナントとそのプラットフォームの現在のライセンスをもつことが必要です。 また、有料サブスクリプションと Webex 組織がある必要があります。

  • Webex 組織では、自動ライセンス割り当てテンプレートを設定する必要があります。設定しない場合、Control で新しく同期したユーザーは Webex サービスのライセンスを割り当てられません。 詳細については、次のサイトを参照してください。 Control Hub で自動ライセンス割り当てテンプレートをセットアップする

  • Control Hub でのシングル サインオン (SSO) のインテグレーションは、このドキュメントでは取り上げられていません。 ユーザー プロビジョニングを設定する前に、Okta SSO 統合から開始する必要があります。 SSO統合の詳細については、次を参照してくださいOkta での Control Hub シングル サインオンを選択します。

1

Okta テナントにサイン インします ( example.okta.com が表示されます。ここで、 example が自分の会社または組織名です) が管理者の場合、次にアクセスします。 アプリケーションを選択し、 [アプリケーションの追加を選択します。

2

Cisco Webex を検索して、アプリケーションをあなたのテナントに追加します。

すでに Control Hub 組織に Okta SSO を統合している場合は、上記の手順をスキップして、Okta アプリケーション リストで Cisco Webex エントリを再度開くだけでかまいません。

3

別のブラウザー タブで、https://admin.webex.com の顧客ビューに移動し、組織名をクリックして、[会社情報] のとなりに組織 ID をコピーします。

組織 ID を記録します (テキスト ファイルにコピーして貼り付けます)。 次の手順でその ID を使用します。

ユーザー同期のために Okta を設定する

始める前に

前の手順で組織 ID を保持していることを確認してください。

顧客のベアラートークンを作成するときに、顧客のフル管理者ロールがあることを確認してください。

1

Okta テナントで、[プロビジョニング] に移動し、次に [API 統合を設定] をクリックして、[API 統合を有効にする] をオンにします。

2

[組織 ID] フィールドに ID 値を入力します。

3

以下の手順に従って、秘密トークンのベアラー トークン値を確認します。

  1. 次の URL をコピーし、シークレット ブラウザ タブで実行します。 https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose です。


     
    上記の URL はデフォルトの Webex ID ブローカーに適用されます。 政府Webexを使用している場合、以下のURLを使用してベアラー トークンを確認します。

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    正しい管理者資格情報を使用して確実にサインインするには、シークレット ブラウザを使うことが重要です。 すでにユーザーを作成できない、権限のないユーザーとしてサインインしている場合、返されるベアラー トークンではユーザーを作成できません。

  2. 表示される [Webex サインイン] ページから、組織のフル管理者アカウントでログインします。

    サイトに到達できないという内容のエラーページが表示されますが、これは通常のものです。

    エラー ページのURLには、生成されたベアラー トークンが含まれています。 このトークンは 365 日間有効です (期限が過ぎると失効します)。

  3. このブラウザのアドレス バーにある URL から、ベアラー トークンの値を次の二者間でコピーします。 access_token= および &token_type=Bearer です。

    たとえば、次の URL のトークン値が強調表示されています。 http://localhost:3000/auth/code#access_token = {sample_token } (&)token_type =保持者(&)expires_in =3887999&state=これはセキュリティのためのランダム文字列である必要があります。


     

    URLが使用できなくなった場合に備えて、この値をトークンのレコードとしてテキスト ファイルに保存することをお勧めします。

4

Okta に戻り、ベアラー トークンを [API トークン] フィールドに貼り付け、[API 資格情報をテスト] をクリックします。

Webex が正常に検証されたことを示すメッセージが表示されます。

5

[プロビジョニング] > [設定] > [アプリ] に進み、必要なユーザーの同期機能を指定します。

6

[割り当て] をクリックし、[割り当て] をクリックして、次のいずれかを選択します。

  • [ユーザーへの割り当て] Webex を個々のユーザーに割り当てる場合。
  • [グループへの割り当て] Webex をグループの複数のユーザーに割り当てる場合。
7

SSO 統合を設定している場合、アプリケーションに割り当てた各ユーザーまたはグループの隣の [割り当て] をクリックして、[完了] をクリックします。

選択したユーザーはクラウドに同期され、[ユーザー] の下の Control Hub に表示されます。 Okta のユーザーを移動、追加、変更、または削除するといつでも、Control Hub が変更をピックアップします。


 

ライセンスの自動割り当てテンプレートを有効にしなかった場合、ユーザーはライセンスの割り当てなしに Control Hub に同期されます。 管理オーバーヘッドを削減するには、Okta ユーザーを Control Hub に同期する前に、自動割り当てライセンス テンプレートを有効にすることをお勧めします。