System do zarządzania tożsamością międzydomenową (SCIM)

Integracja między użytkownikami w katalogu i Centrum sterowania wykorzystuje interfejs API System for Cross-domain Identity Management ( SCIM). SCIM to otwarty standard automatyzacji wymiany informacji o tożsamości użytkowników między domenami tożsamości lub systemami IT. Standard SCIM ma na celu ułatwienie zarządzania tożsamościami użytkowników w aplikacjach i usługach opartych na chmurze. Standard SCIM korzysta ze standardowego interfejsu API za pośrednictwem REST.


 

Usługa Azure AD nie synchronizuje wartości null. Jeśli ustawisz wartość atrybutu na NULL, nie zostanie on usunięty ani załatany wartością NULL w Webex. Jeśli to ograniczenie dotyczy Twoich użytkowników, skontaktuj się z firmą Microsoft w celu uzyskania pomocy.


 

Atrybuty wielowartościowe, PhoneNumber przez mobile oraz work, jak również Address, nie są obsługiwane przez Okta, ponieważ operacja dla PATCH, PUT, lub DELETE nie jest przekazywany przez aplikację Okta do Webex.

Usuń te atrybuty z mapowania Okta lub usuń aktualizację z konfiguracji synchronizacji.

Przed skonfigurowaniem Webex Control Hub do automatycznej aprowizacji użytkowników za pomocą usługi Azure AD należy dodać Cisco Webex z galerii aplikacji usługi Azure AD do listy zarządzanych aplikacji.


 

Jeśli już zintegrowałeś Webex Control Hub z platformą Azure na potrzeby logowania jednokrotnego (SSO), rozwiązanie Cisco Webex zostało już dodane do aplikacji korporacyjnych i możesz pominąć tę procedurę.

1

Zaloguj się do portalu Azure pod adresem https://portal.azure.com przy użyciu poświadczeń administratora.

2

Przejdź do Azure Active Directory w swojej organizacji.

3

Przejdź do sekcji Aplikacje dla przedsiębiorstw, a następnie kliknij Dodaj.

4

Kliknij opcję Dodaj aplikację z galerii.

5

W polu wyszukiwania wpisz Cisco Webex.

6

W okienku wyników wybierz Cisco Webex, a następnie kliknij Dodaj, aby dodać aplikację.

Pojawi się komunikat z informacją, że aplikacja została pomyślnie dodana.

7

Aby upewnić się, że aplikacja Webex dodana do synchronizacji nie pojawia się w portalu użytkownika, otwórz nową aplikację, przejdź do Właściwości i ustaw Widoczny dla użytkowników? do Nie.

Ta procedura pozwala wybrać użytkowników do synchronizacji z chmurą Webex.

Usługa Azure AD używa koncepcji o nazwie "przypisania" w celu określenia, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizowania użytkowników tylko użytkownicy i/lub grupy użytkowników, którzy są "przypisani" do aplikacji w usłudze Azure AD, są synchronizowani z centrum sterowania.


 

Webex może synchronizować użytkowników w grupie usługi Azure AD, ale nie synchronizuje samego obiektu grupy.

Jeśli konfigurujesz integrację po raz pierwszy, zalecamy przypisanie jednego użytkownika do testowania, a następnie dodanie innych użytkowników i grup po pomyślnym teście.

1

Otwórz aplikację Cisco Webex w witrynie Azure Portal, a następnie przejdź do pozycji Użytkownicy igrupy.

2

Kliknij Dodaj przydział.

3

Znajdź użytkowników/grupy, które chcesz dodać do aplikacji:

  • Znajdź poszczególnych użytkowników do przypisania do aplikacji.
  • Znajdź grupę użytkowników do przypisania do aplikacji.
4

Kliknij przycisk Wybierz, a następnie kliknij przycisk Przypisz.

Powtarzaj te kroki, aż otrzymasz wszystkie grupy i użytkowników, których chcesz zsynchronizować z Webex.

Użyj tej procedury, aby skonfigurować obsługę administracyjną z usługi Azure AD i uzyskać token okaziciela dla swojej organizacji. Kroki obejmują niezbędne i zalecane ustawienia administracyjne.

Przed rozpoczęciem

Uzyskaj identyfikator organizacji z widoku klienta w Control Hub: kliknij nazwę swojej organizacji w lewym dolnym rogu, a następnie skopiuj wartość z identyfikatora organizacji do pliku tekstowego. Ta wartość będzie potrzebna podczas wpisywania adresu URL dzierżawy. Użyjemy tej wartości jako przykładu: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Zaloguj się do portalu Azure, a następnie przejdź do Azure Active Directory > Aplikacje dla przedsiębiorstw > Wszystkie aplikacje.

2

Wybierz Cisco Webex z listy aplikacji dla przedsiębiorstw.

3

Przejdź do Obsługi administracyjnej, a następnie zmień Tryb obsługi administracyjnej na Automatyczny.

Aplikacja Webex jest tworzona z niektórymi domyślnymi mapowaniami między atrybutami użytkownika usługi Azure AD a atrybutami użytkownika Webex. Te atrybuty wystarczą do tworzenia użytkowników, ale możesz dodać więcej, jak opisano w dalszej części tego artykułu.

4

Wprowadź URL dzierżawy.

Poniższa tabela przedstawia adres URL Twojej oferty Webex. Zamień OrgId z Twoją konkretną wartością.

Tabela 1. Adresy URL najemców dla Webex
Oferta WebexAdres URL najemcy do użycia
Webex (domyślnie) https://api.ciscospark.com/v1/scim/OrgId
Webex dla rządu https://api-usgov.webex.com/v1/scim/OrgId

Na przykład adres URL dzierżawy może wyglądać tak: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Wykonaj poniższe czynności, aby uzyskać wartość tokena okaziciela dla Tajnego tokena:

  1. Skopiuj następujący adres URL i uruchom go na karcie przeglądarki w trybie incognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    Powyższy adres URL dotyczy domyślnego brokera identyfikatorów Webex. Jeśli korzystasz z Webex for Government, użyj następującego adresu URL, aby uzyskać token okaziciela:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Przeglądarka incognito jest ważna, aby upewnić się, że logujesz się przy użyciu poprawnych danych logowania. Jeśli jesteś już zalogowany jako mniej uprzywilejowany użytkownik, zwracany token okaziciela może nie mieć uprawnień do tworzenia użytkowników.

  2. Na wyświetlonej stronie logowania Webex zaloguj się przy użyciu pełnego konta administratora swojej organizacji.

    Pojawia się strona błędu z informacją, że nie można uzyskać dostępu do witryny, ale jest to normalne.

    Wygenerowany token okaziciela znajduje się w adresie URL strony błędu. Ten token jest ważny przez 365 dni (po czym wygasa).

  3. Z adresu URL w pasku adresu przeglądarki skopiuj wartość tokena okaziciela z pomiędzy access_token= oraz &token_type=Bearer.

    Na przykład ten adres URL ma podświetloną wartość tokena: http://localhost:3000/auth/code#access_token=sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string -dla celów bezpieczeństwa


     

    Zalecamy wklejenie tej wartości do pliku tekstowego i zapisanie go, aby mieć zapis tokena na wypadek, gdyby adres URL nie był już dostępny.

6

Wróć do portalu Azure i wklej wartość tokena do Secret Token.

7

Kliknij opcję Testuj połączenie, aby upewnić się, że organizacja i token są rozpoznawane przez usługę Azure AD.

Pomyślny wynik oznacza, że poświadczenia są autoryzowane do włączania obsługi administracyjnej użytkowników.

8

Wprowadź wiadomość e-mail z powiadomieniem i zaznacz pole, aby otrzymywać e-maile w przypadku błędów aprowizacji.

9

Kliknij opcję Zapisz.

W tym momencie pomyślnie autoryzujesz usługę Azure AD do udostępniania i synchronizowania użytkowników Webex oraz wykonałeś kroki, aby skonfigurować synchronizację.

Co dalej?

Jeśli chcesz zmapować dodatkowe atrybuty użytkownika usługi Azure AD na atrybuty Webex, przejdź do następnej sekcji.

Aby uzyskać informacje na temat wprowadzania zmian w zsynchronizowanej organizacji, zobacz artykuł pomocy Zarządzanie zsynchronizowanymi użytkownikami usługi Azure Active Directory.

Wykonaj tę procedurę, aby zamapować dodatkowe atrybuty użytkownika z platformy Azure na webex lub zmienić istniejące mapowania atrybutów użytkownika.


 

Mapowanie platformy Azure do Webex nie synchronizuje wszystkich szczegółów użytkownika. Niektóre aspekty danych użytkownika nie są synchronizowane:

  • Awatary

  • Pokoje

  • Atrybuty niewymienione w poniższej tabeli

Zaleca się, aby nie zmieniać domyślnych mapowań atrybutów, chyba że jest to absolutnie konieczne. Wartość mapowana jako nazwa użytkownika jest szczególnie ważna. Webex używa adresu e-mail użytkownika jako nazwy użytkownika. Domyślnie mapujemy userPrincipalName (UPN) w usłudze Azure AD na adres e-mail (nazwę użytkownika) w centrum sterowania.

Jeśli userPrincipalName nie jest mapowany na adres e-mail w centrum sterowania, użytkownicy są aprowiwani do Control Hub jako nowi użytkownicy, zamiast dopasowywać istniejących użytkowników. Jeśli chcesz użyć innego atrybutu użytkownika platformy Azure, który jest w formacie adresu e-mail zamiast nazwy UPN, musisz zmienić to domyślne mapowanie w usłudze Azure AD z userPrincipalName na odpowiedni atrybut użytkownika usługi Azure AD.

Przed rozpoczęciem

Dodano i skonfigurowano aplikację Cisco Webex do usługi Azure Active Directory oraz przetestowano połączenie.

Mapowania atrybutów użytkownika można modyfikować przed lub po rozpoczęciu synchronizacji użytkowników.

1

Zaloguj się do witryny Azure Portal, a następnie przejdź do witryny Azure Active Directory > aplikacje dla przedsiębiorstw > Wszystkieaplikacje.

2

Otwórz aplikację Cisco Webex.

3

Wybierz stronę Inicjowanie obsługi administracyjnej, rozwiń sekcję Mapowania i kliknij pozycję Aprowizuj użytkowników usługi Azure ActiveDirectory.

4

Zaznacz pole wyboru Pokaż opcje zaawansowane, a następnie kliknij przycisk Edytuj listę atrybutów dla CiscoWebEx.

5

Wybierz atrybuty Webex do wypełnienia z atrybutów użytkownika platformy Azure.Choose the Webex attributes to be populated from Azure user attributes. Atrybuty i mapowania są wyświetlane w dalszej części tej procedury.

6

Po wybraniu atrybutów Webex kliknij przycisk Zapisz , a następnie tak, aby potwierdzić.

Zostanie otwarta strona Mapowanie atrybutów, na którą będzie można mapować atrybuty użytkowników usługi Azure AD na wybrane atrybuty użytkownika Webex.The Attribute Mapping page, so you can map Azure AD user attributes to the Webex user attributes you chose.

7

U dołu strony kliknij Dodaj nowe mapowanie.

8

Wybierz opcję Mapowanie bezpośrednie. Wybierz atrybut Source (atrybut platformy Azure) i atrybut Target (atrybut Webex), a następnie kliknij przycisk OK.

Tabela 2. Mapowania platformy Azure na Webex

Atrybut usługi Azure Active Directory (źródło)

Atrybut użytkownika Webex (cel)

Atrybuty wypełnione domyślnie

userPrincipalName

userName

Switch([IsSoftd], , "False"; "True"; "True", "False")

Aktywne:

displayName

displayName

nazwisko

nazwa.nazwa_rodziny

givenName

nazwa.givenName

objectId

externalId

Dodatkowe dostępne atrybuty

jobTitle

tytuł

usageLokalizacja

adresy[wpisz eq "praca"].kraj

miasto

adresy[typ eq "praca"].locality

ulicaAdres

adresy[wpisz eq "praca"].ulicaAdres

stan

adresy[wpisz eq "praca"].region

postalCode

adresy[wpisz eq "praca"].postalCode

numer telefonu

phoneNumbers[wpisz eq "work"].value

przenośne

phoneNumbers[wpisz eq "mobile"].value

faksyleTelefonNumera

phoneNumbers[wpisz eq "fax"].value

9

Powtarzaj poprzednie dwa kroki, aż dodasz lub z zmodyfikowania wszystkich potrzebnych mapowań, a następnie kliknij przycisk Zapisz i Tak, aby potwierdzić nowe mapowania.


 

Możesz przywrócić domyślne mapowania, jeśli chcesz zacząć od nowa.

Twoje mapowania są gotowe, a użytkownicy Webex zostaną utworzeni lub zaktualizowani podczas następnej synchronizacji.