クロスドメイン アイデンティティ管理のシステム (SCIM)

ディレクトリのユーザーと Control Hub の間のインテグレーションは、クロスドメイン アイデンティティ管理システム (SCIM) API を使用します。SCIM は、アイデンティティ ドメインまたは IT システム間のユーザー アイデンティティ情報の交換を自動化するオープン標準です。SCIM は、クラウドベースのアプリケーションおよびサービスでのユーザー アイデンティティの管理を容易にするように設計されています。SCIM は、REST を通じて標準化された API を使用しています。

組織でユーザーを同期するためにすでに Directory Connector を使用している場合は、Okta からユーザーを同期できません。

Okta インテグレーションは、次の属性のみをサポートします。

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • 役職

モバイル およびワーク 用の PhoneNumberアドレス、および PATCHPUTDELETE の操作が Okta アプリケーションから Webex に渡されていないため、Okta ではサポートされていません。

Okta マッピングからこれらの属性を削除するか、同期構成から更新を削除してください。

サポートされている機能

この統合は、Okta の次のユーザー同期機能をサポートしています。

  • ユーザーの作成 - Okta でアプリをユーザーに割り当てるときに、Webex アプリでユーザーを作成またはリンクします。

  • ユーザー属性の更新 - Okta は、アプリが割り当てられたときに Webex アプリでユーザーの属性を更新します。Okta ユーザー プロファイルに対する今後の属性変更は、Webex クラウドの対応する属性値を自動的に上書きします。

  • ユーザーの非アクティブ化 - Okta で割り当てが解除されているか、Okta アカウントが非アクティブ化されたときに、ユーザーの Webex アプリ アカウントを非アクティブ化します。Okta でアプリをユーザーに再割り当てすると、アカウントを再アクティブ化することができます。

Okta からの Webex 組織との同期グループはサポートされていません。

Okta に Webex を追加する

Okta で自動的にユーザーをプロビジョニングするために Control Hub を設定する前に、Okta アプリケーション ギャラリーから管理対象アプリケーションのリストに Webex を追加する必要があります。認証方法も選択する必要があります。現在、Control Hub の Webex サービスは、Okta とのフェデレーション SSO のみをサポートしています。

始める前に

  • Okta では、有効な Okta テナントとそのプラットフォームの現在のライセンスをもつことが必要です。また、有料サブスクリプションと Webex 組織がある必要があります。

  • Webex 組織では、自動ライセンス割り当てテンプレートを設定する必要があります。設定しない場合、Control で新しく同期したユーザーは Webex サービスのライセンスを割り当てられません。詳細については、「Control Hub で自動ライセンス割り当てテンプレートを設定する」を参照してください。

  • Control Hub でのシングル サインオン (SSO) 統合は、この文書では説明できません。ユーザー プロビジョニングを設定する前に、Okta SSO 統合から開始する必要があります。インテグレーションの詳細についてはSSO、 Okta で Control Hub シングル サインオンを参照してください

1

Okta テナント (example.okta.com で、example は社名または組織名) に管理者としてサイン インし、アプリケーション に移動して、[アプリケーションの追加] をクリックし ます。

2

Cisco Webex を検索して、アプリケーションをあなたのテナントに追加します。

すでに Control Hub 組織に Okta SSO を統合している場合は、上記の手順をスキップして、Okta アプリケーション リストで Cisco Webex エントリを再度開くだけでかまいません。

3

別のブラウザー タブで、https://admin.webex.com の顧客ビューに移動し、組織名をクリックして、[会社情報] のとなりに組織 ID をコピーします。

組織 ID を記録します (テキスト ファイルにコピーして貼り付けます)。次の手順でその ID を使用します。

ユーザーの同期のために Okta を設定する

始める前に

前の手順で組織 ID を保持していることを確認してください。

顧客のためにベアラー トークンを作成するときに、顧客のフル管理者のロールを持っていることを確認します。

1

Okta テナントで、[プロビジョニング] に移動し、次に [API 統合を設定] をクリックして、[API 統合を有効にする] をオンにします。

2

[組織 ID] フィールドに ID 値を入力します。

3

以下の手順に従って、秘密トークンのベアラー トークン値を確認します。

  1. 次の URL をコピーして、シークレット ブラウザー タブで実行します。 https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    上記の URL はデフォルトの Webex ID ブローカーに適用されます。政府向け Webex を使用している場合、以下の URL を使用して、ベアラー トークンを得る必要があります。

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    正しい管理者資格情報を使用して確実にサインインするには、シークレット ブラウザを使うことが重要です。ユーザーを作成できない権限の低いユーザーとしてすでにサインインしている場合、戻るベアラー トークンはユーザーを作成できます。

  2. 表示される [Webex サインイン] ページから、組織のフル管理者アカウントでログインします。

    サイトに到達できないという内容のエラーページが表示されますが、これは通常のものです。

    エラー ページの URL には生成されたベアラー トークンが含まれます。このトークンは 365 日間有効です (期限が過ぎると失効します)。

  3. ブラウザのアドレスバーの URL から、access_token=&token_type=ベアラー の間でベアラー トークン値をコピーします。

    たとえば、次の URL のトークン値が強調表示されています。http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose

    URL がもう利用できない場合に備え、この値をテキスト ファイルにトークンのレコードとして保存することを推奨します。

4

Okta に戻り、ベアラー トークンを [API トークン] フィールドに貼り付け、[API 資格情報をテスト] をクリックします。

Webex が正常に検証されたことを示すメッセージが表示されます。

5

[プロビジョニング] > [設定] > [アプリ] に進み、必要なユーザーの同期機能を指定します。

6

[割り当て] をクリックし、[割り当て] をクリックして、次のいずれかを選択します。

  • Webex を個々のユーザーに割り当てる場合は、ユーザーに割り当てる ことができます。
  • グループ内の複数のユーザーに Webex を割り当てる場合は、グループに割り当てる ことができます。
7

SSO 統合を設定している場合、アプリケーションに割り当てた各ユーザーまたはグループの隣の [割り当て] をクリックして、[完了] をクリックします。

選択したユーザーはクラウドに同期され、[ユーザー] の下の Control Hub に表示されます。Okta のユーザーを移動、追加、変更、または削除するといつでも、Control Hub が変更をピックアップします。

ライセンスの自動割り当てテンプレートを有効にしなかった場合、ユーザーはライセンスの割り当てなしに Control Hub に同期されます。管理オーバーヘッドを削減するには、Okta ユーザーを Control Hub に同期する前に、自動割り当てライセンス テンプレートを有効にすることをお勧めします。