Control Hub のシングル サインオン認証を変更する

始める前に

次の前提条件が満たされていることを確認します。

  • SSOはすでに設定済みです。 SSO設定ウィザードの使用方法については、次の「SSO設定」を参照してください: https://help.webex.com/article/lfu88u/です。

  • これらのドメインはすでに検証されています。

  • ドメインが要求され、オンになります。 この機能により、このドメインのユーザーは IDP で認証するたびに、作成されて更新されます。

  • DirSync または AzureAD が有効になっている場合、 SAML JIT の作成や更新は機能しません。

  • [ユーザー プロファイルの更新をブロック] が有効になっています。 SAMLのマッピングの更新は、この構成がユーザーの属性編集権を制御するため許可されます。 作成と更新の管理者制御方法も引き続きサポートされています。


 

新しく作成されたユーザーに割り当てられたライセンスは、組織に自動ライセンステンプレートをセットアップます。

グループの SAML JIT プロビジョニングのユーザー プロビジョニングは、1 つのグループのみに制限されます。

ジャストインタイム(JIT)および SAML マッピングの設定

1

顧客ビューからhttps://admin.webex.com管理次のリンクをクリックしてください:組織設定を選択し、次にスクロールします。認証に移動して、 SSOと IdP の管理を選択します。

2

次に移動する: ID プロバイダタブの下に表示します。

3

IdP に移動し、です。

4

選択SAMLマッピングを編集を選択します。

5

ジャストインタイム(JIT)設定を設定します。

  • ユーザーの作成またはアクティベート: アクティブなユーザーが見つからない場合、 Webexアイデンティティがユーザーを作成し、ユーザーが IDP で認証された後に属性を更新します。
  • SAML 属性でユーザーを更新: メール アドレスを持つユーザーが見つかった場合、 Webex ID はSAMLアサーションでマッピングされた属性を持つユーザーを更新します。
ユーザーが別の識別不可能なメール アドレスでサインインできることを確認します。
6

SAML マッピング必須属性を設定します。

表 1. 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名/メインのメール アドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

7

リンク属性を設定します。

これはユーザーの固有のものでなければなりません。 Webexがユーザーのメールを含むすべてのプロファイル属性を更新できるようにユーザーを検索するために使用されます。
表 2. 属性のリンク

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。 これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

従業員番号

例: user.employeeid

ユーザーの従業員番号、または人事システム内の識別番号です。 向けではありません externalid 再利用やリサイクルが可能なため employeenumber 他のユーザー用に変更されます。

内線属性 1

例: user.extension属性1

トラッキングコードのために、これらのカスタム属性をActive Directory 、Azure、またはディレクトリの拡張属性にマッピングしてください。

内線属性 2

例: user.extension属性2

内線属性 3

例: user.extension属性3

内線属性 4

例: user.extensionlattribute4

内線属性 5

例: user.extension属性5

8

プロファイル属性を設定します。

表 3. プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。 これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

従業員番号

例: user.employeeid

このユーザーの従業員番号、または人事システム内の ID 番号です。 他のユーザーのために「employeenumber」を再使用または再利用できるため、これは「externalid」に対するものではありません。

preferredLanguage

例: ユーザー.優先言語

ユーザーの優先言語です。

locale

例: user.ロケール

ユーザーの主な勤務地です。

タイムゾーン

例: user.timezone

ユーザーのプライマリ タイムゾーン。

displayName

例: user.表示名

Webex でのユーザーの表示名です。

name.givenName

例: user.指定名

ユーザーの名。

name.familyName

例: ユーザー名

ユーザーの姓。

アドレス.streetAddress

例: user.streetaddress

主な勤務地の住所。

アドレス。 州

例: ユーザーの状態

メインのワークロケーションの状態。

アドレス.地域

例: user.region.

主な勤務地の地域。

住所 .郵便番号

例: ユーザー . 郵便番号

主な勤務地の郵便番号。

アドレス.国

例: user. 国

主な勤務地の国。

電話番号.work

例: 勤務先電話番号

主な勤務地の電話番号。 国際的な E.164 形式のみを使用します (最大 15 桁)。

phoneNumbers.内線

例: 携帯電話番号

主な勤務先電話番号の内線。 国際的な E.164 形式のみを使用します (最大 15 桁)。

代名詞

例: ユーザー名 (ユーザー名)

ユーザーの代名詞。 これはオプションの属性で、ユーザーまたは管理者はプロファイルに表示することができます。

title

例: user.仕事名

ユーザーの職位です。

部門

例: ユーザー。 部門

ユーザーの所属する部署またはチームです。

代名詞

例: ユーザー名 (ユーザー名)

これはユーザーの代名詞です。 この属性の可視性は、管理者とユーザーによってコントロールされます

manager

例: manager

ユーザーのマネージャーまたはチームリーダーです。

コストセンター

例: コスト センター

これは、姓または名とも呼ばれるユーザーの姓です。

email.alternate1

例: user.mailnickname

ユーザーの代替メールアドレスです。 ユーザーがそれを使用してサインインできるようにする場合は、uid にマッピングします。

email.alternate2

例: ユーザー.プライマリ権限メール

ユーザーの代替メールアドレスです。 ユーザーがそれを使用してサインインできるようにする場合は、uid にマッピングします。

email.alternate3

例: ユーザー.代替権限メール

ユーザーの代替メールアドレスです。 ユーザーがそれを使用してサインインできるようにする場合は、uid にマッピングします。

email.alternate4

例: user.otherメール

ユーザーの代替メールアドレスです。 ユーザーがそれを使用してサインインできるようにする場合は、uid にマッピングします。

email.alternate5

例: user.otherメール

ユーザーの代替メールアドレスです。 ユーザーがそれを使用してサインインできるようにする場合は、uid にマッピングします。
9

内線属性を設定します。

トラッキングコードのために、これらの属性をActive Directory 、Azure、またはディレクトリの拡張属性にマッピングします。
表 4. 内線属性

Webex Identity 属性名

SAML 属性名

内線属性 1

例: user.extension属性1

内線属性 2

例: user.extension属性2

内線属性 3

例: user.extension属性3

内線属性 4

例: user.extensionattribute4

内線属性 5

例: user.extension属性5

内線属性 6

例: user.extension属性6

内線属性 7

例: user.extension 属性 7

内線属性 8

例: user.extension属性8

内線属性 9

例: user.extension 属性 9

内線属性 10

例: user.extension属性10

10

グループ属性を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動し、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、Webex グループ ID とともにこの属性名を運ぶ要求を含めます (例: c65f7d85-b691-42b8-a20b-12345xxxx)。 外部 ID を使用して、グループ名の変更を管理したり、将来の統合シナリオを管理したりすることもできます。 たとえば、Azure AD と同期したり、SCIM グループ同期を実装したりします。
  4. SAML アサーションで送信される属性の正確な名前をグループ ID で指定します。 これは、ユーザをグループに追加するために使用されます。
  5. SAML アサーションでメンバーを送信するためにディレクトリからグループを使用している場合は、グループオブジェクトの外部 ID の正確な名前を指定します。

 

ユーザー A が関連付けられている場合 groupID 1234とユーザーB groupID 4567、彼らは別々のグループに割り当てられています。 このシナリオは、単一の属性により、ユーザが複数のグループ ID に関連付けられることを示します。 これは珍しいことではありませんが、それは可能であり、付加的な変化と見なすことができます。 たとえば、ユーザー A が最初にサインインした場合、 groupID 1234年、彼らは対応するグループのメンバーになります。 ユーザー A が後でサインインした場合 groupID 4567、彼らはまた、この第2のグループに追加されます。

SAML JIT プロビジョニングは、グループからのユーザの削除やユーザの削除をサポートしていません。

表 5. グループの属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループId

例: グループId

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループexternalId

例: グループexternalId

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

Webex MeetingsのSAMLアサーション属性のリストについては、次を参照してください。https://help.webex.com/article/WBX67566を選択します。