コントロール ハブのシングル サインオン認証を変更する

始める前に

次の条件が満たされている必要があります。

  • SSO設定済みです。SSO 設定ウィザードの使用方法については、次の「SSO セットアップ」セクションを参照してください:https://help.webex.com/article/lfu88u/

  • ドメインはすでに検証済みです。

  • ドメインは要求され、オンになっています。この機能により、IdP で認証するたびに、ドメインのユーザーが作成され、更新されます。

  • DirSync または AzureAD が有効になっている場合、SAML JIT の作成または更新は機能しません。

  • 「更新ユーザー プロファイルブロックする」が有効になっています。この構成は属性を編集するユーザーの能力をコントロールするために、SAML 更新マッピングが許可されます。管理者が管理する作成および更新の方法は引き続きサポートされています。

新しく作成されたユーザーは、組織が自動 ライセンス テンプレートをセットアップしない限り、割り当てられたライセンスを自動的に 取得しません。

グループの SAML JIT プロビジョニングのためのユーザー プロビジョニングは、1 つのグループのみに制限されます。

Just-in-Time (JIT) および SAML マッピングの設定
1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ID プロバイダー] タブに移動します。

4

IdP に移動し、詳細メニュー をクリックします。

5

[SAML マッピングの編集] を選択します。

6

Just-in-Time (JIT) 設定を設定します。

  • ユーザーを作成または有効化: アクティブなユーザーが見つからない場合、Webex Identity はユーザーを作成し、ユーザーが IdP で認証した後、属性を更新します。
  • SAML 属性でユーザーを更新します: メールアドレスを持つユーザーが見つかった場合、Webex Identity は SAML アサーション中にマップされた属性でユーザーを更新します。
ユーザーが別の身元不明のメールアドレスでサインインできることを確認します。

7

SAML マッピングの必須属性を設定します。

表1。 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名 /メインのメールアドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

[リンク属性] を設定します。

これはユーザに固有である必要があります。Webex がユーザーのメールを含むすべてのプロファイル属性を更新できるように、ユーザーの検索に使用されます。
表 2. リンク属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

ユーザーの従業員番号、または人事システム内の ID 番号。これは externalid 用ではないことに注意してください。他のユーザーの雇用番号 を再使用またはリサイクルできるためです。

内線属性 1

例: user.extensionattribute1

これらのカスタム属性をトラッキング コードのために、Active Directory、Azure、ディレクトリの拡張属性にマッピングします。

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: user.extensionlattribute4

内線属性 5

例: user.extensionattribute5

9

プロファイル属性を設定します。

表 3。 プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

このユーザーの従業員番号または人事システム内の ID 番号です。これは「externalid」用ではないので、他のユーザーに対して「employeenumber」を再利用または再利用することができます。

preferredLanguage

例: user.preferred言語

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: user.タイムゾーン

ユーザーのプライマリ タイムゾーン。

displayName

例: user.displayname

Webex でのユーザーの表示名です。

name.givenName

例: user.givenname

ユーザーの名。

name.familyName

例: user.姓

ユーザーの姓。

addresses.streetAddress

例: user.streetaddress

主な勤務地の住所。

アドレス.州

例: user.state

主な作業場所の状態です。

アドレス.地域

例: user.region

主な勤務地の地域。

addresses.郵便番号

例: user.郵便番号

主な勤務地の郵便番号。

アドレス.国

例: ユーザー.国

主な勤務地の国。

phoneNumbers.work

例: 仕事用電話番号

主な勤務地の電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

phoneNumbers.extension

例: 携帯電話番号

主な勤務先電話番号の内線。国際的な E.164 形式のみを使用します (最大 15 桁)。

代名詞

例: user.pronoun

ユーザーの発表。これはオプションの属性であり、ユーザーまたは管理者はプロファイルで表示可能です。

title

例: user.jobtitle

ユーザーの職位です。

部門

例: user.department

ユーザーの所属する部署またはチームです。

代名詞

例: user.pronoun

これはユーザーの第一例です。この属性の可視性は管理者とユーザーにより制御されます

マネージャー

例: マネージャー

ユーザーのマネージャーまたはチームのリード。

コストセンター

例: コストセンター

これは姓または姓とも呼ばれるユーザーの姓です

メール。代替1

例: user.mailnickname

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替2

例: user.primaryauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代替3

例: user.alternativeauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替4

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代わりの 5

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。
10

内線属性を設定します。

これらの属性を、これらの属性を Active Directory Azure、またはディレクトリの拡張属性にトラッキング コード。
表 4. 内線の属性

Webex Identity 属性名

SAML 属性名

内線属性 1

例: user.extensionattribute1

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: user.extensionattribute4

内線属性 5

例: user.extensionattribute5

内線属性 6

例: user.extensionattribute6

内線属性 7

例: user.extensionattribute7

内線属性 8

例: user.extensionattribute8

内線属性 9

例: user.extensionattribute9

内線属性 10

例: user.extensionattribute10

11

[グループ属性] を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動して、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、この属性名を Webex グループ ID とともに含める必要があります (例: c65f7d85-b691-42b8-a20b-12345xxxx)。また、外部 ID を使用して、グループ名の変更を管理したり、将来のインテグレーションシナリオを管理したりすることもできます。たとえば、Azure AD と同期したり、SCIM グループの同期を実装したりできます。
  4. グループ ID を使用して SAML アサーションで送信される属性の正確な名前を指定します。これは、ユーザをグループに追加するために使用されます。
  5. SAML アサーションでメンバーを送信するためにディレクトリからグループを使用している場合、グループ オブジェクトの外部 ID の正確な名前を指定します。

ユーザー A が groupID 1234 と関連付けられ、ユーザー B が groupID 4567 と関連付けられている場合、それらは別のグループに割り当てられます。このシナリオは、1 つの属性により、ユーザが複数のグループ ID に関連付けることができることを示します。これは珍しいですが、それは可能であり、追加的な変更と見なすことができます。たとえば、ユーザー A が最初に groupID 1234 を使用してサインインすると、そのユーザーは対応するグループのメンバーになります。ユーザー A が後で groupID 4567 を使用してサインインすると、この 2 番目のグループにも追加されます。

SAML JIT プロビジョニングでは、グループからのユーザの削除またはユーザの削除はサポートされません。

表 5. グループ属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループ ID

例:グループ ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループ外部 ID

例:グループ外部 ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

SAML アサーション属性の一覧については、Webex Meetingsを参照してください https://help.webex.com/article/WBX67566