Modyfikowanie uwierzytelniania jednokrotnego logowania w Control Hub

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • SSO jest już skonfigurowane. Aby uzyskać informacje na temat korzystania z kreatora konfiguracji SSO , zobacz sekcję „Konfiguracja SSO ” tutaj: https://help.webex.com/article/lfu88u/.

  • Domeny zostały już zweryfikowane.

  • Domeny zostały zgłoszone i włączone. Ta funkcja zapewnia, że użytkownicy z Twojej domeny są tworzeni i aktualizowani po każdym uwierzytelnieniu za pomocą Twojego dostawcy tożsamości.

  • Jeśli DirSync lub AzureAD są włączone, tworzenie lub aktualizacja JIT SAML nie będzie działać.

  • Opcja „Blokuj aktualizację profilu użytkownika” jest włączona. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje możliwość edytowania atrybutów przez użytkownika. Metody tworzenia i aktualizacji kontrolowane przez administratora są nadal obsługiwane.


 

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma: automatyczny szablon licencji skonfigurować.

Obsługa administracyjna użytkowników dla obsługi administracyjnej SAML JIT grup jest ograniczona tylko do jednej grupy.

1

Z widoku klienta whttps://admin.webex.com , przejdź do Zarządzanie > Ustawienia organizacji , przewiń do Uwierzytelnianie i kliknij Zarządzanie SSO i dostawcami tożsamości .

2

Przejdź do Dostawca tożsamości kartę.

3

Przejdź do dostawcy tożsamości i kliknij.

4

Wybierz Edytuj mapowanie SAML .

5

Skonfiguruj ustawienia Just-in-Time (JIT).

  • Utwórz lub aktywuj użytkownika: jeśli nie zostanie znaleziony żaden aktywny użytkownik, Webex Identity utworzy użytkownika i zaktualizuje atrybuty po uwierzytelnieniu użytkownika przy użyciu dostawcy tożsamości.
  • Aktualizuj atrybuty SAML: Jeśli zostanie znaleziony użytkownik z adresem e-mail, aplikacja Webex Identity zaktualizuje go przy użyciu atrybutów odwzorowanych w potwierdzeniu SAML .
Potwierdź, że użytkownicy mogą logować się przy użyciu innego, niemożliwego do zidentyfikowania adresu e-mail.
6

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika / Główny adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

7

Skonfiguruj atrybuty łączące.

Powinna być unikalna dla użytkownika. Służy do wyszukiwania użytkowników, dzięki czemu Webex może aktualizować wszystkie atrybuty profilu, w tym adres e-mail użytkownika.
Tabela 2. Atrybuty łączenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

numerpracownika

Przykład: user.employeeid

Numer pracownika użytkownika lub numer identyfikacyjny w systemie HR. Pamiętaj, że to nie jest dla externalid, ponieważ można ponownie używać lub recyklingu employeenumber dla innych użytkowników.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Zamapuj te atrybuty niestandardowe na atrybuty rozszerzone w Active Directory, platformie Azure lub w katalogu, aby uzyskać kody śledzenia.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionlattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

8

Skonfiguruj atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

numerpracownika

Przykład: user.employeeid

Numer pracownika tego użytkownika lub numer identyfikacyjny w jego systemie HR. Należy pamiętać, że nie dotyczy to identyfikatora „externalid”, ponieważ można ponownie używać lub przetwarzać „numer_pracownika” dla innych użytkowników.

preferowany język

Przykład: user.preferredlanguage

Preferowany język użytkownika.

ustawienia regionalne

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.timezone

Główna strefa czasowa użytkownika.

displayName

Przykład: user.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: nazwa_użytkownika

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

adresy.adres.ulicy

Przykład: adres_użytkownika

Adres głównego miejsca pracy.

adresy.stan

Przykład: user.state

Stan głównej lokalizacji pracy.

adresy.region

Przykład: użytkownik.region

Region głównego miejsca pracy.

adresy.KodPocztowy

Przykład: użytkownik.kod pocztowy

Kod pocztowy głównego miejsca pracy.

adresy.kraj

Przykład: user.country

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: służbowy numer telefonu

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.extension

Przykład: numer telefonu komórkowego

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

zaimek

Przykład: user.zaimek

Zaimki użytkownika. Jest to atrybut opcjonalny, który użytkownik lub administrator może ustawić jako widoczny w swoim profilu.

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

zaimek

Przykład: user.zaimek

To jest zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

manager

Przykład: manager

Menedżer użytkownika lub kierownik zespołu.

centrum kosztów

Przykład: centrum kosztów

Jest to nazwisko użytkownika, znane również jako nazwisko lub nazwisko

email.alternate1

Przykład: user.mailnickname

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

email.alternate2

Przykład: user.primaryauthoritativemail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

email.alternate3

Przykład: user.alternativeauthoritativemail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

email.alternate4

Przykład: user.othermail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.

email.alternate5

Przykład: user.othermail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować, używając go, zamapuj go na identyfikator uid.
9

Skonfiguruj atrybuty numeru wewnętrznego.

Zamapuj te atrybuty na atrybuty rozszerzone w Active Directory, platformie Azure lub w katalogu, aby uzyskać kody śledzenia.
Tabela 4. Atrybuty rozszerzenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

Atrybut rozszerzenia 6

Przykład: user.extensionattribute6

Atrybut rozszerzenia 7

Przykład: user.extensionattribute7

Atrybut rozszerzenia 8

Przykład: user.extensionattribute8

Atrybut rozszerzenia 9

Przykład: user.extensionattribute9

Atrybut rozszerzenia 10

Przykład: user.extensionattribute10

10

Skonfiguruj atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkownika lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którzy zostaną przypisani do identyfikatora grupy Webex.
  3. Zaktualizuj konfigurację dostawcy tożsamości tak, aby zawierała roszczenie o tej nazwie atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Identyfikator zewnętrzny można również używać do zarządzania zmianami nazw grup lub do przyszłych scenariuszy integracji. Na przykład synchronizacja z usługą Azure AD lub wdrażanie synchronizacji grupy SCIM.
  4. Podaj dokładną nazwę atrybutu, który zostanie wysłany w systemie SAML Assertion z identyfikatorem grupy. Służy to do dodawania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupowego, jeśli używasz grupy z katalogu do wysyłania członków w usłudze SAML.
Tabela 5. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Identyfikator grupy

Przykład: Identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

groupternalId

Przykład: groupternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów asercji SAML dla Webex Meetings, zobaczhttps://help.webex.com/article/WBX67566 .