Control Hub のシングル サインオン認証を変更する

始める前に

以下の前提条件を満たしていることを確認してください。

  • SSO はすでに設定されています。 SSO設定ウィザードの使用方法については、次の「SSO設定」を参照してください: https://help.webex.com/article/lfu88u/です。

  • ドメインはすでに検証済みです。

  • ドメインが要求され、オンになります。 この機能により、IdP で認証するたびに、ドメインのユーザが作成され、更新されます。

  • DirSync または AzureAD が有効になっている場合、 SAML JIT の作成や更新は機能しません。

  • 「ユーザープロファイルの更新をブロック」が有効になっています。 SAML 更新マッピングは許可されます。この設定はユーザーが属性を編集する機能を制御するためです。 管理者が管理する作成方法と更新方法はまだサポートされています。


 

新しく作成されたユーザーは、組織に自動ライセンステンプレートが設定されていない限り、自動的に割り当てられたライセンスを取得しません。

グループの SAML JIT プロビジョニングのユーザー プロビジョニングは、1 つのグループのみに制限されます。

ジャストインタイム(JIT)および SAML マッピングの設定

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ID プロバイダ] タブに移動します。

4

IdP に移動し、です。

5

[SAML マッピングの編集] を選択します。

6

ジャストインタイム(JIT)設定を設定します。

  • ユーザーを作成または有効化: アクティブなユーザが見つからない場合、Webex ID はユーザを作成し、ユーザが IdP で認証された後、属性を更新します。
  • SAML 属性でユーザーを更新: メール アドレスを持つユーザーが見つかった場合、Webex ID は SAML アサーションでマップされた属性を持つユーザーを更新します。
ユーザーが別の識別できないメールアドレスでサインインできることを確認します。
7

SAML マッピング必須属性を設定します。

表 1. 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名/プライマリ メール アドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

リンク属性を設定します。

これはユーザーに一意である必要があります。 Webex がユーザーのメールを含むすべてのプロファイル属性を更新できるように、ユーザーを検索するために使用されます。
表 2. 属性のリンク

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: ユーザー.objectid

他の個人プロファイルからこのユーザーを識別します。 これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

enumumberとは

例: ユーザー. eid

ユーザーの従業員番号、または人事システム内のID番号。 これは次の目的ではないことに注意してください: externalid 再利用やリサイクルが可能なため employeenumber 他のユーザー向け。

内線属性 1

例: user.extensionattribute1 ユーザー.extensionattribute1

トラッキングコードのために、これらのカスタム属性を Active Directory、Azure、またはディレクトリ内の拡張属性にマッピングします。

内線属性 2

例: user.extensionattribute2 ユーザー.extensionattribute2

内線属性 3

例: user.extensionattribute3 ユーザー.extensionattribute3

内線属性 4

例: user.extensionlattribute4。

内線属性 5

例: user.extensionattribute5 ユーザー

9

プロファイル属性を設定します。

表 3. プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: ユーザー.objectid

他の個人プロファイルからこのユーザーを識別します。 これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

enumumberとは

例: ユーザー. eid

このユーザーの従業員番号、または人事システム内の識別番号。 これは "externalid" のためではなく、他のユーザのために " enumber" を再利用またはリサイクルできるためです。

preferredLanguage

例: ユーザ.preferredlanguage

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: ユーザー.timezone

ユーザーのプライマリ タイムゾーン。

displayName

例: ユーザー.displayname

Webex でのユーザーの表示名です。

name.givenName

例: ユーザー.givenname

ユーザーの名。

name.familyName

例: ユーザー名

ユーザーの姓。

address.streetアドレス

例: ユーザー.streetaddress

主な勤務地の住所。

アドレス.state

例: ユーザー.state

主な勤務地の状態。

アドレス:region

例: ユーザー.region

主な勤務地の地域。

address.postalコード

例: ユーザー.postalcode

主な勤務地の郵便番号。

アドレス:国

例: ユーザー.country

主な勤務地の国。

電話番号.work

例: ワーキング・フォネナンバー

主な勤務地の電話番号。 国際的な E.164 形式のみを使用します (最大 15 桁)。

PhoneNumbers.extensionについて

例: モバイルフォネヌム

主な勤務先電話番号の内線。 国際的な E.164 形式のみを使用します (最大 15 桁)。

プロノウン

例: ユーザー.pronoun

ユーザーの代名詞。 これはオプションの属性であり、ユーザーまたは管理者はプロファイルでそれを表示できます。

title

例: ユーザー.jobtitle

ユーザーの職位です。

部門

例: ユーザー.department

ユーザーの所属する部署またはチームです。

プロノウン

例: ユーザー.pronoun

これはユーザーの代名詞です。 この属性の可視性は、管理者とユーザーによって制御されます。

manager

例: manager

ユーザーのマネージャーまたはチームのリーダー。

コストセンター

例: コストセンター

姓または家族名とも呼ばれるユーザーの姓です。

メール:alternate1

例: user.mailnickname(ユーザー名)

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate2

例: user.primaryauthoritativemailユーザー

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate3

例: user.alternativeauthoritativemailユーザー

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate4

例: ユーザー.othermail

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate5

例: ユーザー.othermail

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。
10

内線属性を設定します。

これらの属性をトラッキングコードのために、Active Directory、Azure、またはディレクトリ内の拡張属性にマッピングします。
表 4. 内線属性

Webex Identity 属性名

SAML 属性名

内線属性 1

例: user.extensionattribute1 ユーザー.extensionattribute1

内線属性 2

例: user.extensionattribute2 ユーザー.extensionattribute2

内線属性 3

例: user.extensionattribute3 ユーザー.extensionattribute3

内線属性 4

例: user.extensionattribute4。

内線属性 5

例: user.extensionattribute5 ユーザー

内線属性 6

例: user.extensionattribute6。

内線属性 7

例: user.extensionattribute7。

内線属性 8

例: user.extensionattribute8。

内線属性 9

例: user.extensionattribute9 ユーザー

内線属性 10

例: user.extensionattribute10 ユーザー

11

グループ属性を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動し、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、Webex グループ ID とともにこの属性名を運ぶ要求を含めます (例: c65f7d85-b691-42b8-a20b-12345xxxx)。 外部 ID を使用して、グループ名の変更を管理したり、将来の統合シナリオを管理したりすることもできます。 たとえば、Azure AD と同期したり、SCIM グループ同期を実装したりします。
  4. SAML アサーションで送信される属性の正確な名前をグループ ID で指定します。 これは、ユーザをグループに追加するために使用されます。
  5. SAML アサーションでメンバーを送信するためにディレクトリからグループを使用している場合は、グループオブジェクトの外部 ID の正確な名前を指定します。

 

ユーザー A が関連付けられている場合 groupID 1234とユーザーB groupID 4567、彼らは別々のグループに割り当てられています。 このシナリオは、単一の属性により、ユーザが複数のグループ ID に関連付けられることを示します。 これは珍しいことではありませんが、それは可能であり、付加的な変化と見なすことができます。 たとえば、ユーザー A が最初にサインインした場合、 groupID 1234年、彼らは対応するグループのメンバーになります。 ユーザー A が後でサインインした場合 groupID 4567、彼らはまた、この第2のグループに追加されます。

SAML JIT プロビジョニングは、グループからのユーザの削除やユーザの削除をサポートしていません。

表 5. グループの属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループId

例: グループId

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループexternalId

例: グループexternalId

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

Webex Meetings の SAML アサーション属性のリストについては、https://help.webex.com/article/WBX67566 を参照してください。