System zarządzania tożsamościami między domenami (SCIM)

Integracja między użytkownikami w katalogu i Centrum sterowania używa interfejsu API System for Cross-domain Identity Management(SCIM). SCIM to otwarty standard automatyzacji wymiany informacji o tożsamości użytkownika między domenami tożsamości lub systemami informatycznymi. Scim ma na celu ułatwienie zarządzania tożsamościami użytkowników w aplikacjach i usługach opartych na chmurze. Scim używa standardowego interfejsu API za pośrednictwem REST.

Przed skonfigurowaniem Usługi Webex Control Hub do automatycznego inicjowania obsługi administracyjnej za pomocą usługi Azure AD należy dodać usługę Cisco Webex z galerii aplikacji usługi Azure AD do listy zarządzanych aplikacji.


Jeśli usługa Webex Control Hub została już zintegrowana z platformą Azure dla logowania jednokrotnego, cisco webex jest już dodawany do aplikacji dla przedsiębiorstw i można pominąć tę procedurę.

1

Zaloguj się do witryny Azure portal https://portal.azure.com przy użyciu poświadczeń administratora.

2

Przejdź do usługi Azure Active Directory w swojej organizacji.

3

Przejdź do aplikacji dla przedsiębiorstw, a następnie kliknij przycisk Dodaj .

4

Kliknij pozycję Dodaj aplikację z galerii.

5

W polu wyszukiwania wpisz Cisco Webex.

6

W okienku wyników wybierz pozycję Cisco Webex, a następnie kliknij przycisk Dodaj, aby dodać aplikację.

Zostanie wyświetlony komunikat informujący, że aplikacja została pomyślnie dodana.

7

Aby upewnić się, że aplikacja Webex dodana do synchronizacji nie jest widoczna w portalu użytkowników, otwórz nową aplikację, przejdź do właściwości i ustaw pozycję Widoczne dla użytkowników?

Ta procedura umożliwia wybranie użytkowników do synchronizacji z chmurą Webex.

Usługa Azure AD używa koncepcji o nazwie "przydziały", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznego inicjowania obsługi administracyjnej tylko użytkownicy i/lub grupy użytkowników, którzy są "przypisani" do aplikacji w usłudze Azure AD są synchronizowane z Centrum sterowania.


Webex można synchronizować użytkowników w grupie usługi Azure AD, ale nie synchronizuje sam obiekt grupy.

Jeśli konfigurujesz integrację po raz pierwszy, zaleca się przypisanie jednego użytkownika do testowania, a następnie dodanie innych użytkowników i grup po pomyślnym teście.

1

Otwórz aplikację Cisco Webex w witrynie Azure portal, a następnie przejdź do witryny Użytkownicy i grupy.

2

Kliknij pozycję Dodaj przypisanie.

3

Znajdź użytkowników/grupy, które chcesz dodać do aplikacji:

  • Znajdź poszczególnych użytkowników do przypisania do aplikacji.
  • Znajdź grupę użytkowników, którzy mają zostać przypisani do aplikacji.
4

Kliknij pozycję Zaznacz, a następnie kliknij pozycję Przypisz.

Powtarzaj te kroki, aż wszystkie grupy i użytkownicy, których chcesz zsynchronizować z webexem.

Ta procedura służy do konfigurowania inicjowania obsługi administracyjnej z usługi Azure AD i uzyskania tokenu nośnika dla organizacji. Kroki obejmują niezbędne i zalecane ustawienia administracyjne.

Przed rozpoczęciem

Pobierz identyfikator organizacji z widoku klienta w Centrum sterowania: kliknij nazwę organizacji w lewym dolnym rogu, a następnie skopiuj ją z identyfikatora organizacji do pliku tekstowego. Ta wartość będzie potrzebna po wprowadzeniu adresu URL dzierżawy. Użyjemy tej wartości jako przykładu: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Zaloguj się do witryny Azure portal, a następnie przejdź do usługi Azure Active Directory > aplikacje enterprise > wszystkie aplikacje.

2

Wybierz cisco Webex z listy aplikacji dla przedsiębiorstw.

3

Przejdź do opcji Inicjowanie obsługiadministracyjnej, a następnie zmień tryb inicjowania obsługi administracyjnej na Automatyczny.

Aplikacja Webex jest tworzona przy pomocy niektórych mapowań domyślnych między atrybutami użytkownika usługi Azure AD a atrybutami użytkownika Webex. Te atrybuty są wystarczające do tworzenia użytkowników, ale można dodać więcej, jak opisano w dalszej części tego artykułu.

4

Wprowadź adres URL dzierżawy w tym formularzu:

https://api.ciscospark.com/v1/scim/{OrgId}

Zamień {OrgId} z wartością identyfikatora organizacji, którą otrzymałeś z Centrum sterowania, dzięki czemu adres URL dzierżawy wygląda następująco: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Wykonaj następujące kroki, aby uzyskać wartość tokenu nośnika dla tajnegotokenu:

  1. Skopiuj następujący adres URL i uruchom go na karcie przeglądarki incognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Przeglądarka incognito jest ważne, aby upewnić się, że zalogować się przy użyciu poprawnych poświadczeń administratora. Jeśli użytkownik jest już zalogowany jako użytkownik mniej uprzywilejowany, token nośny, który zwracasz, może nie być autoryzowany do tworzenia użytkowników.

  2. Na wyświetlona strona logowania webex zaloguj się przy za pomocą pełnego konta administratora w organizacji.

    Pojawi się strona błędu z informacją, że nie można osiągnąć witryny, ale jest to normalne.

    Wygenerowany token na okaziciela znajduje się w adresie URL strony błędu. Ten token jest ważny przez 365 dni (po upływie którego wygasa).

  3. Z adresu URL na pasku adresu przeglądarki skopiuj wartość tokenu nośnika z access_token= i &token_type=Bearer.

    Na przykład ten adres URL ma wyróżnioną wartość tokenu: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Okaziciela&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Zaleca się wklejenie tej wartości do pliku tekstowego i zapisanie jej, aby mieć rekord tokenu w przypadku, gdy adres URL nie jest już dostępny.

6

Wróć do witryny Azure portal i wklej wartość tokenu do tajnegotokenu.

7

Kliknij przycisk Testuj połączenie, aby upewnić się, że organizacja i token są rozpoznawane przez usługę Azure AD.

Pomyślny wynik stwierdza, że poświadczenia są autoryzowane do włączania inicjowania obsługi administracyjnej użytkownika.

8

Wprowadź wiadomość e-mail z powiadomieniem i zaznacz pole wyboru, aby otrzymywać wiadomości e-mail, gdy występują błędy inicjowania obsługi administracyjnej.

9

Kliknij opcję Zapisz.

W tym momencie pomyślnie autoryzowano usługę Azure AD do aprowiadania i synchronizowania użytkowników webex, a następnie wykonano kroki konfigurowania synchronizacji.

Co robić dalej

Jeśli chcesz zamapować dodatkowe atrybuty użytkownika usługi Azure AD na atrybuty Webex, przejdź do następnej sekcji.

Aby uzyskać informacje na temat wprowadzania zmian w zsynchronizowanej organizacji, zobacz artykuł Pomocy Zarządzanie synchronizowanymi użytkownikami usługi Azure Active Directory.

Wykonaj tę procedurę, aby zamapować dodatkowe atrybuty użytkownika z platformy Azure na webex lub zmienić istniejące mapowania atrybutów użytkownika.

Zaleca się, aby nie zmieniać domyślnych mapowań atrybutów, chyba że jest to absolutnie konieczne. Wartość mapowana jako nazwa użytkownika jest szczególnie ważna. Webex używa adresu e-mail użytkownika jako nazwy użytkownika. Domyślnie mapujemy userPrincipalName (UPN) w usłudze Azure AD na adres e-mail (nazwę użytkownika) w Centrum sterowania.

Jeśli userPrincipalName nie mapuje do wiadomości e-mail w Centrum sterowania, użytkownicy są aprowizacji do Centrum sterowania jako nowych użytkowników, a nie pasujące do istniejących użytkowników. Jeśli chcesz użyć innego atrybutu użytkownika platformy Azure, który jest w formacie adresu e-mail zamiast nazwy UPN, należy zmienić to domyślne mapowanie w usłudze Azure AD z userPrincipalName na odpowiedni atrybut użytkownika usługi Azure AD.

Przed rozpoczęciem

Aplikacja Cisco Webex została dodana i skonfigurowana do usługi Azure Active Directory i przetestowano połączenie.

Mapowania atrybutów użytkownika można modyfikować przed rozpoczęciem synchronizacji użytkowników lub po jego rozpoczęciu.

1

Zaloguj się do witryny Azure portal, a następnie przejdź do usługi Azure Active Directory > aplikacje enterprise > wszystkie aplikacje.

2

Otwórz aplikację Cisco Webex.

3

Wybierz stronę Inicjowania obsługi administracyjnej, rozwiń sekcję Mapowania i kliknij pozycję Aprowizuj użytkowników usługi Azure Active Directory.

4

Zaznacz pole wyboru Pokaż opcje zaawansowane, a następnie kliknij pozycję Edytuj listę atrybutów dla programu CiscoWebEx.

5

Wybierz atrybuty Webex, które mają być wypełniane z atrybutów użytkowników platformy Azure. Atrybuty i mapowania są wyświetlane w dalszej części tej procedury.

6

Po wybraniu atrybutów Webex kliknij przycisk Zapisz , a następnietak, aby potwierdzić.

Zostanie otwarta strona Mapowanie atrybutów, dzięki czemu można mapować atrybuty użytkownika usługi Azure AD na wybrane atrybuty użytkownika Webex.

7

U dołu strony kliknij pozycję Dodaj nowe mapowanie.

8

Wybierz polecenie Mapowanie bezpośrednie. Wybierz atrybut Źródło (atrybut Azure) i atrybut Target (atrybut Webex), a następnie kliknij przycisk OK.

Tabela 1. Mapowania platformy Azure na webex

Atrybut usługi Azure Active Directory (źródło)

Atrybut użytkownika Webex (obiekt docelowy)

Atrybuty wypełnione domyślnie

userPrincipalName

userName

Switch([IsSoftd], "False", "True", "True", "False")

Aktywne:

nazwa displayname

nazwa displayname

nazwisko

nazwa.familyName

givenName (Nazwa)

name.givenName

identyfikator obiektu

identyfikator zewnętrzny

Dodatkowe dostępne atrybuty

jobTitle (Tytuł pracy)

tytuł

usageLocation (korzystanieLokalizacja)

adresy[wpisz eq "praca"].kraj

miasto

adresy[wpisz eq "praca"].miejscowość

ulicaAddress

adresy[wpisz eq "praca"].streetAddress

stan

adresy[wpisz eq "praca"].region

kod pocztowy

adresy[wpisz eq "praca"].postalCode

numer telefonuNumer

phoneNumbers[wpisz eq "praca"].wartość

przenośne

phoneNumbers[wpisz eq "mobile"].wartość

numer telefonu faksymiiltelephoneNumber

phoneNumbers[wpisz eq "fax"].wartość

9

Powtarzaj poprzednie dwa kroki, aż do dodania lub zmodyfikowania wszystkich potrzebnych mapowań, a następnie kliknij przycisk Zapisz i Tak, aby potwierdzić nowe mapowania.


 

Jeśli chcesz ponownie uruchomić mapowania domyślne, można przywrócić mapy domyślne.

Mapowania są wykonywane, a użytkownicy Webex zostaną utworzeni lub zaktualizowani przy następnej synchronizacji.