System zarządzania tożsamościami między domenami (SCIM)

Integracja między użytkownikami w katalogu i Centrum sterowania używa interfejsu API System for Cross-domain Identity Management(SCIM). SCIM to otwarty standard automatyzacji wymiany informacji o tożsamości użytkownika między domenami tożsamości lub systemami informatycznymi. Scim ma na celu ułatwienie zarządzania tożsamościami użytkowników w aplikacjach i usługach opartych na chmurze. Scim używa standardowego interfejsu API za pośrednictwem REST.

Przed skonfigurowaniem Usługi Webex Control Hub do automatycznego inicjowania obsługi administracyjnej za pomocą usługi Azure AD należy dodać usługę Cisco Webex z galerii aplikacji usługi Azure AD do listy zarządzanych aplikacji.


Jeśli usługa Webex Control Hub została już zintegrowana z platformą Azure dla logowania jednokrotnego, cisco webex jest już dodawany do aplikacji dla przedsiębiorstw i można pominąć tę procedurę.

1

Zaloguj się do witryny Azure portal https://portal.azure.com przy użyciu poświadczeń administratora.

2

Przejdź do usługi Azure Active Directory w swojej organizacji.

3

Przejdź do aplikacji dla przedsiębiorstw, a następnie kliknij przycisk Dodaj .

4

Kliknij pozycję Dodaj aplikację z galerii.

5

W polu wyszukiwania wpisz Cisco Webex.

6

W okienku wyników wybierz pozycję Cisco Webex, a następnie kliknij przycisk Dodaj, aby dodać aplikację.

Zostanie wyświetlony komunikat informujący, że aplikacja została pomyślnie dodana.

Ta procedura umożliwia wybranie użytkowników do synchronizacji z chmurą Webex.

Usługa Azure AD używa koncepcji o nazwie "przydziały", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznego inicjowania obsługi administracyjnej tylko użytkownicy i/lub grupy, które są "przypisane" do aplikacji w usłudze Azure AD są synchronizowane z Centrum sterowania.

Jeśli konfigurujesz integrację po raz pierwszy, zaleca się przypisanie jednego użytkownika do testowania, a następnie dodanie innych użytkowników i grup po pomyślnym teście.

1

Otwórz aplikację Cisco Webex w witrynie Azure portal, a następnie przejdź do witryny Użytkownicy i grupy.

2

Kliknij pozycję Dodaj przypisanie.

3

Znajdź użytkowników/grupy, które chcesz dodać do aplikacji:

  • Znajdź poszczególnych użytkowników do przypisania do aplikacji.
  • Znajdź grupę użytkowników, którzy mają zostać przypisani do aplikacji.
4

Kliknij pozycję Zaznacz, a następnie kliknij pozycję Przypisz.

Powtarzaj te kroki, aż wszystkie grupy i użytkownicy, których chcesz zsynchronizować z webexem.

Ta procedura służy do konfigurowania inicjowania obsługi administracyjnej z usługi Azure AD i uzyskania tokenu nośnika dla organizacji. Kroki obejmują niezbędne i zalecane ustawienia administracyjne.

Przed rozpoczęciem

Pobierz identyfikator organizacji z widoku klienta w Centrum sterowania: kliknij nazwę organizacji w lewym dolnym rogu, a następnie skopiuj ją z identyfikatora organizacji do pliku tekstowego. Ta wartość będzie potrzebna po wprowadzeniu adresu URL dzierżawy. Użyjemy tej wartości jako przykładu: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Zaloguj się do witryny Azure portal, a następnie przejdź do usługi Azure Active Directory > aplikacje enterprise > wszystkie aplikacje.

2

Wybierz cisco Webex z listy aplikacji dla przedsiębiorstw.

3

Przejdź do opcji Inicjowanie obsługiadministracyjnej, a następnie zmień tryb inicjowania obsługi administracyjnej na Automatyczny.

Aplikacja Webex jest tworzona przy pomocy niektórych mapowań domyślnych między atrybutami użytkownika usługi Azure AD a atrybutami użytkownika Webex. Te atrybuty są wystarczające do tworzenia użytkowników, ale można dodać więcej, jak opisano w dalszej części tego artykułu.

4

Wprowadź adres URL dzierżawy w tym formularzu:

https://api.ciscospark.com/v1/scim/{OrgId}

Zamień {OrgId} z wartością identyfikatora organizacji, którą otrzymałeś z Centrum sterowania, dzięki czemu adres URL dzierżawy wygląda następująco: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Wykonaj następujące kroki, aby uzyskać wartość tokenu nośnika dla tajnegotokenu:

  1. Skopiuj następujący adres URL i uruchom go na karcie przeglądarki incognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Przeglądarka incognito jest ważne, aby upewnić się, że zalogować się przy użyciu poprawnych poświadczeń administratora. Jeśli użytkownik jest już zalogowany jako użytkownik mniej uprzywilejowany, token nośny, który zwracasz, może nie być autoryzowany do tworzenia użytkowników.

  2. Na wyświetlona strona logowania webex zaloguj się przy za pomocą pełnego konta administratora w organizacji.

    Pojawi się strona błędu z informacją, że nie można osiągnąć witryny, ale jest to normalne.

    Wygenerowany token na okaziciela znajduje się w adresie URL strony błędu. Ten token jest ważny przez 365 dni (po upływie którego wygasa).

  3. Z adresu URL na pasku adresu przeglądarki skopiuj wartość tokenu nośnika z access_token= i &token_type=Bearer.

    Na przykład ten adres URL ma wyróżnioną wartość tokenu: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Okaziciela&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Zaleca się wklejenie tej wartości do pliku tekstowego i zapisanie jej, aby mieć rekord tokenu w przypadku, gdy adres URL nie jest już dostępny.

6

Wróć do witryny Azure portal i wklej wartość tokenu do tajnegotokenu.

7

Kliknij przycisk Testuj połączenie, aby upewnić się, że organizacja i token są rozpoznawane przez usługę Azure AD.

Pomyślny wynik stwierdza, że poświadczenia są autoryzowane do włączania inicjowania obsługi administracyjnej użytkownika.

8

Wprowadź wiadomość e-mail z powiadomieniem i zaznacz pole wyboru, aby otrzymywać wiadomości e-mail, gdy występują błędy inicjowania obsługi administracyjnej.

9

Kliknij opcję Zapisz.

Pomyślnie autoryzowano usługę Azure AD do inicjowania obsługi administracyjnej/synchronizowania użytkowników webex.

Co robić dalej

  • Jeśli chcesz zsynchronizować tylko podzbiór użytkowników usługi Azure AD z webexem, przeczytaj artykuł Dodawanie grupy użytkowników do aplikacji w usłudze Azure AD.

  • Jeśli chcesz zamapować dodatkowe atrybuty użytkownika usługi Azure AD na atrybuty Webex przed synchronizacją użytkowników, przeczytaj artykuł Mapuj atrybuty użytkownika z platformy Azure do Webex.

  • Po tych krokach można włączyć automatyczne inicjowanie obsługi administracyjnej z usługi Azure AD do webex.

Wykonaj tę procedurę, aby zamapować dodatkowe atrybuty użytkownika z platformy Azure na webex lub zmienić istniejące mapowania atrybutów użytkownika.

Przed rozpoczęciem

Aplikacja Cisco Webex została dodana i skonfigurowana do usługi Azure Active Directory i przetestowano połączenie.

Mapowania atrybutów użytkownika można modyfikować przed rozpoczęciem synchronizacji użytkowników lub po jego rozpoczęciu.

1

Zaloguj się do witryny Azure portal, a następnie przejdź do usługi Azure Active Directory > aplikacje enterprise > wszystkie aplikacje.

2

Otwórz aplikację Cisco Webex.

3

Wybierz stronę inicjowania obsługi administracyjnej i otwórz kontrolka Mapowania na tej stronie.

4

Kliknij pozycję Synchronizuj użytkowników usługi Azure Active Directory z usługą CiscoWebEx

Zostanie otwarta nowa sekcja.

5

Zaznacz pole wyboru Pokaż opcje zaawansowane, a następnie kliknij pozycję Edytuj listę atrybutów dla programu CiscoWebEx.

W formancie, który zostanie otwarty, można wybrać, które atrybuty Webex będą wypełniane z atrybutów użytkownika platformy Azure. Atrybuty i mapowania są wyświetlane w dalszej części tej procedury.

6

Po wybraniu atrybutów Webex kliknij przycisk Zapisz , a następnietak, aby potwierdzić.

Zostanie otwarta strona Mapowanie atrybutów, dzięki czemu można mapować atrybuty użytkownika usługi Azure AD na wybrane atrybuty użytkownika Webex.

7

U dołu strony kliknij pozycję Dodaj nowe mapowanie.

8

Wybierz polecenie Mapowanie bezpośrednie. Wybierz atrybut Źródło (atrybut Azure) i atrybut Target (atrybut Webex), a następnie kliknij przycisk OK.

Tabela 1. Mapowania platformy Azure na webex

Atrybut usługi Azure Active Directory (źródło)

Atrybut Cisco Webex (obiekt docelowy)

userPrincipalName

userName

Switch([IsSoftd], "False", "True", "True", "False")

Aktywne:

nazwa displayname

nazwa displayname

nazwisko

nazwa.familyName

givenName (Nazwa)

name.givenName

jobTitle (Tytuł pracy)

tytuł

usageLocation (korzystanieLokalizacja)

adresy[wpisz eq "praca"].kraj

miasto

adresy[wpisz eq "praca"].miejscowość

ulicaAddress

adresy[wpisz eq "praca"].streetAddress

stan

adresy[wpisz eq "praca"].region

kod pocztowy

adresy[wpisz eq "praca"].postalCode

numer telefonuNumer

phoneNumbers[wpisz eq "praca"].wartość

przenośne

phoneNumbers[wpisz eq "mobile"].wartość

numer telefonu faksymiiltelephoneNumber

phoneNumbers[wpisz eq "fax"].wartość

identyfikator obiektu

identyfikator zewnętrzny

9

Powtarzaj poprzednie dwa kroki, aż do dodania lub zmodyfikowania wszystkich potrzebnych mapowań, a następnie kliknij przycisk Zapisz i Tak, aby potwierdzić nowe mapowania.


 

Zaleca się, aby nie zmieniać domyślnych mapowań atrybutów. Ważnym mapowaniem jest userPrincipalName (UPN) w usłudze Azure AD na adres e-mail (nazwa użytkownika) w Centrum sterowania. Jeśli chcesz ponownie uruchomić mapowania domyślne, można przywrócić mapy domyślne.

Jeśli userPrincipalName nie jest e-mail w Centrum sterowania, użytkownicy są aprowizacji jako nowych użytkowników i nie będzie odpowiadać istniejących użytkowników w Centrum sterowania. Jeśli chcesz użyć adresu e-mail platformy Azure zamiast nazwy UPN, musisz zmienić to domyślne mapowanie w usłudze Azure AD z userPrincipalName na Email.

Mapowania są wykonywane, a użytkownicy Webex zostaną utworzeni lub zaktualizowani przy następnej synchronizacji.

Przed rozpoczęciem

Masz:

  • Dodano aplikację Cisco Webex

  • Autoryzowana platforma Azure do automatycznego tworzenia użytkowników Webex i przetestowanie połączenia

  • (Opcjonalnie) Przypisywanie określonych użytkowników i grup do aplikacji Webex

  • (Opcjonalnie) Mapowane (additonal, non-default) atrybuty platformy Azure do atrybutów Webex

1

Otwórz aplikację Cisco Webex w witrynie Azure portal i przejdź do strony inicjowania obsługi administracyjnej.

2

Jeśli do aplikacji przypisano określonych użytkowników lub grupy, ustaw zakres inicjowania obsługi administracyjnej na Synchronizowanie tylko przypisanych użytkowników i grup.

Jeśli wybierzesz tę opcję, ale nie masz jeszcze przypisanych użytkowników i grup, należy wykonać przypisanie grup/użytkowników do aplikacji w usłudze Azure ADprzed przełączeniem inicjowania obsługi administracyjnej.

3

Przełącz stan inicjowania obsługi administracyjnej na wł.

Ta akcja rozpoczyna automatyczne inicjowanie obsługi administracyjnej / synchronizowanie użytkowników webex z usługi Azure AD. Może to potrwać do 40 minut.

Jeśli testujesz i trzeba zmniejszyć oczekiwanie, można użyć inicjowania obsługi administracyjnej na żądanie. Zobacz https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand.

Inną opcją jest ponowne uruchomienie inicjowania obsługi administracyjnej: przełącz stan inicjowania obsługi administracyjnej na Wyłączone, Zapisz , a następnie z powrotem do włączone , Zapisz (ponownie). Wymusza to nową synchronizację.


 

Zdecydowanie odradzamy używanie opcji Wyczyść bieżący stan i uruchom ponownie opcję synchronizacji.

4

Zaloguj się do https://admin.webex.com, przejdź do użytkowników isprawdź, czy konta użytkowników usługi Azure Active Directory.

Ta synchronizacja odbywa się za pomocą interfejsu API, więc nie ma żadnych wskazań stanu w Centrum sterowania. Można sprawdzić dzienniki w witrynie Azure portal, aby zobaczyć stan synchronizacji użytkownika.


 

Aby uzyskać rekord wszelkich zmian związanych z synchronizacją użytkowników usługi Azure AD i wyizolować wszelkie potencjalne problemy, należy uzyskać dostęp do dzienników inspekcji: w obszarze Aktywnośćkliknij pozycję Inspekcja dzienników. Ten widok pokazuje każdy dziennik i można filtrować według określonych kategorii, takich jak inicjowanie obsługi administracyjnej dla filtru usługi i usermanagement dla filtru kategorii.

Można usunąć przypisania użytkowników z usługi Azure AD. Spowoduje to zachowanie kont użytkowników usługi Azure AD, ale usuwa te konta z możliwości uzyskiwania dostępu do aplikacji i usług w organizacji Webex.

Po usunięciu przypisania użytkownika webex oznacza użytkownika jako nieaktywnego.

1

W witrynie Azure portal przejdź do aplikacji dlaprzedsiębiorstw, a następnie wybierz dodaną aplikację Webex.

2

Wybierz użytkownika lub grupę użytkowników z listy osób przypisanych do aplikacji.

3

Kliknij przycisk Usuń , a następnie kliknij przycisk Tak, aby potwierdzić usunięcie.

Po następnym zdarzeniu synchronizacji użytkownik lub grupa użytkowników zostanie usunięta z aplikacji Webex.

1

Przejdź do pozycji Użytkownicy, zaznacz pole wyboru obok każdego konta użytkownika, które chcesz usunąć, a następnie kliknij pozycję Usuń użytkownika.

Użytkownicy są przenoszeni na kartę Usunięci użytkownicy.

W Centrum sterowania użytkownicy są przenoszeni do stanu "usuwania nietrwałego" i nie są natychmiast usuwani. Są one również zmieniane. Usługa Azure AD wysyła te zmiany do chmury Webex. Centrum sterowania następnie odzwierciedla te zmiany i oznacza użytkownika jako nieaktywne. Wszystkie tokeny są odwoływane dla użytkownika.

2

Aby zweryfikować wszelkie rekordy usunięcia użytkownika, przejdź do dzienników inspekcji, a następnie uruchom wyszukiwanie w kategorii Zarządzanie użytkownikami lub w uchodźń działanie użytkownika.


 

Po otwarciu usuniętego dziennika inspekcji użytkownika i kliknięciu przycisków docelowychzostanie wyświetlona nazwa główna użytkownika, która ma ciąg liczb i znaków przed @.

Jeśli wykonujesz akcje zbierania elektronicznych materiałów dowodowych w Centrum sterowania, musisz uzyskać nazwę główną użytkownika z dzienników inspekcji w usłudze Azure AD. Aby uzyskać więcej informacji na temat zbierania elektronicznych materiałów dowodowych, zobacz Zapewnienie zgodności z przepisami zawartości aplikacji i spotkań Webex.

Co robić dalej

Masz 30 dni na odzyskanie "miękkich" usuniętych użytkowników, zanim zostaną trwale usunięci. Jeśli odzyskasz użytkownika w usłudze Azure AD, Usługa Control Hub ponownie uaktywnie użytkownika i zmieni nazwę użytkownika na oryginalny adres e-mail/NAZWY UPN.

Jeśli użytkownik nie zostanie odzyskany, usługa Azure AD spowoduje usunięcie twarde. Organizacja Webex usuwa użytkownika i nie jest już widoczny w Centrum sterowania. Jeśli później odczytano adres e-mail do usługi Azure AD, Webex utworzy zupełnie nowe konto dla użytkownika.