コントロール ハブのシングル サインオン認証を変更する

始める前に

次の条件が満たされている必要があります。

  • SSO設定済みです。SSO 構成ウィザードの使用方法については、 https://help.webex.com/article/lfu88u/の「SSO セットアップ」セクションを参照してください。

  • ドメインはすでに検証済みです。

  • ドメインが要求され、有効になっています。この機能により、ドメインのユーザーは IdP で認証されるたびに作成され、更新されます。

  • DirSync または AzureAD が有効になっている場合、SAML JIT の作成または更新は機能しません。

  • 「更新ユーザー プロファイルブロックする」が有効になっています。この構成は属性を編集するユーザーの能力をコントロールするために、SAML 更新マッピングが許可されます。管理者が管理する作成および更新の方法は引き続きサポートされています。

新しく作成されたユーザーは、組織が自動 ライセンス テンプレートをセットアップしない限り、割り当てられたライセンスを自動的に 取得しません。

グループの SAML JIT プロビジョニングのユーザー プロビジョニングは、1 つのグループのみに制限されます。

ジャストインタイム(JIT)とSAMLマッピングを構成する
1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

IdPに移動して 詳細メニューをクリックします。

5

SAML マッピングの編集を選択します。

6

ジャストインタイム (JIT) 設定を構成します。

  • ユーザーを作成または有効化: アクティブなユーザーが見つからない場合、Webex Identity はユーザーを作成し、ユーザーが IdP で認証された後に属性を更新します。
  • SAML 属性でユーザーを更新します: メールアドレスを持つユーザーが見つかった場合、Webex Identity は SAML アサーション中にマップされた属性でユーザーを更新します。
ユーザーが別の識別不可能なメール アドレスを使用してサインインできることを確認します。

7

SAMLマッピングの必須属性を構成します。

表1. 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名 /メインのメールアドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

リンク属性を設定します。

これはユーザーごとに一意である必要があります。これは、Webex がユーザーの電子メールを含むすべてのプロファイル属性を更新できるように、ユーザーを検索するために使用されます。
表 2. リンク属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

ユーザーの従業員番号、または HR システム内の識別番号。これは externalid用ではないことに注意してください。 employeenumber は他のユーザーのために再利用またはリサイクルできるためです。

内線属性 1

例: user.extensionattribute1

追跡コードのために、これらのカスタム属性を Active Directory、Azure、またはディレクトリ内の拡張属性にマップします。

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: ユーザー.拡張子属性4

内線属性 5

例: user.extensionattribute5

9

プロファイル属性を構成します。

表 3。 プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

このユーザーの従業員番号または人事システム内の ID 番号です。これは「externalid」用ではないので、他のユーザーに対して「employeenumber」を再利用または再利用することができます。

preferredLanguage

例: user.preferred言語

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: user.タイムゾーン

ユーザーのプライマリ タイムゾーン。

displayName

例: user.displayname

Webex でのユーザーの表示名です。

name.givenName

例: user.givenname

ユーザーの名。

name.familyName

例: user.姓

ユーザーの姓。

addresses.streetAddress

例: user.streetaddress

主な勤務地の住所。

アドレス.州

例: user.state

主な作業場所の状態です。

アドレス.地域

例: user.region

主な勤務地の地域。

addresses.郵便番号

例: user.郵便番号

主な勤務地の郵便番号。

アドレス.国

例: ユーザー.国

主な勤務地の国。

phoneNumbers.work

例: 仕事用電話番号

主な勤務地の電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

phoneNumbers.extension

例: 携帯電話番号

主な勤務先電話番号の内線。国際的な E.164 形式のみを使用します (最大 15 桁)。

代名詞

例: user.pronoun

ユーザーの発表。これはオプションの属性であり、ユーザーまたは管理者はプロファイルで表示可能です。

title

例: user.jobtitle

ユーザーの職位です。

部門

例: user.department

ユーザーの所属する部署またはチームです。

代名詞

例: user.pronoun

これはユーザーの第一例です。この属性の可視性は管理者とユーザーにより制御されます

マネージャー

例: マネージャー

ユーザーのマネージャーまたはチームのリード。

コストセンター

例: コストセンター

これは姓または姓とも呼ばれるユーザーの姓です

メール。代替1

例: user.mailnickname

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替2

例: user.primaryauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代替3

例: user.alternativeauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替4

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代わりの 5

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。
10

拡張属性を構成します。

これらの属性を、これらの属性を Active Directory Azure、またはディレクトリの拡張属性にトラッキング コード。
表 4. 内線の属性

Webex Identity 属性名

SAML 属性名

内線属性 1

例: user.extensionattribute1

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: user.extensionattribute4

内線属性 5

例: user.extensionattribute5

内線属性 6

例: user.extensionattribute6

内線属性 7

例: user.extensionattribute7

内線属性 8

例: user.extensionattribute8

内線属性 9

例: user.extensionattribute9

内線属性 10

例: user.extensionattribute10

11

グループ属性を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動し、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、この属性名と Webex グループ ID (例: c65f7d85-b691-42b8-a20b-12345xxxx) を含むクレームを含めます。外部 ID は、グループ名の変更を管理したり、将来の統合シナリオに使用したりするためにも使用できます。たとえば、Azure AD との同期や SCIM グループ同期の実装などです。
  4. グループ ID とともに SAML アサーションで送信される属性の正確な名前を指定します。これはユーザーをグループに追加するために使用されます。
  5. ディレクトリのグループを使用して SAML アサーションでメンバーを送信する場合は、グループ オブジェクトの外部 ID の正確な名前を指定します。

ユーザー A が groupID 1234 に関連付けられ、ユーザー B が groupID 4567 に関連付けられている場合、それらは別々のグループに割り当てられます。このシナリオは、単一の属性によってユーザーを複数のグループ ID に関連付けることができることを示しています。これはまれですが、起こり得ることであり、追加的な変更として考えることができます。たとえば、ユーザー A が最初に groupID 1234 を使用してサインインすると、対応するグループのメンバーになります。ユーザー A が後で groupID 4567 を使用してサインインすると、この 2 番目のグループにも追加されます。

SAML JIT プロビジョニングでは、グループからのユーザーの削除やユーザーの削除はサポートされていません。

表 5. グループ属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループID

例: グループID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループ外部ID

例: グループ外部ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

SAML アサーション属性の一覧については、Webex Meetingsを参照してください https://help.webex.com/article/WBX67566