Modyfikowanie uwierzytelniania logowania jednokrotnego w centrum sterowania

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • Logowanie jednokrotne jest już skonfigurowane. Informacje na temat korzystania z kreatora konfiguracji SSO można znaleźć w sekcji „Konfiguracja SSO” tutaj: https://help.webex.com/article/lfu88u/.

  • Domeny zostały już zweryfikowane.

  • Domeny są zgłoszone i włączone. Funkcja ta zapewnia, że użytkownicy z Twojej domeny są tworzeni i aktualizowani za każdym razem, gdy uwierzytelniają się u Twojego dostawcy tożsamości.

  • Jeśli włączony jest DirSync lub AzureAD, tworzenie i aktualizowanie SAML JIT nie będzie działać.

  • "Blokuj aktualizację profilu użytkownika" jest włączona. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje możliwość edytowania atrybutów przez użytkownika. Kontrolowane przez administratora metody tworzenia i aktualizowania są nadal obsługiwane.

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma skonfigurowany szablon licencji automatycznej .

Przydzielanie użytkowników w ramach przydzielania grupom protokołu SAML JIT jest ograniczone tylko do jednej grupy.

Konfigurowanie mapowania Just-in-Time (JIT) i SAML
1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do IdP i kliknij Menu Więcej.

5

Wybierz Edytuj mapowanie SAML.

6

Skonfiguruj Ustawienia Just-in-Time (JIT).

  • Utwórz lub włącz użytkownika: jeśli nie zostanie znaleziony żaden aktywny użytkownik, Webex Identity utworzy użytkownika i zaktualizuje atrybuty po uwierzytelnieniu użytkownika u dostawcy tożsamości.
  • Zaktualizuj użytkownika za pomocą atrybutów SAML: Jeśli zostanie znaleziony użytkownik z adresem e-mail, Webex Identity zaktualizuje go o atrybuty zamapowane w potwierdzeniu SAML.
Potwierdź, że użytkownicy mogą logować się przy użyciu innego, niezidentyfikowanego adresu e-mail.

7

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika / Podstawowy adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

8

Skonfiguruj Atrybuty łączenia.

Powinno być ono unikalne dla każdego użytkownika. Służy do wyszukiwania użytkownika, dzięki czemu Webex może aktualizować wszystkie atrybuty profilu, łącznie z adresem e-mail użytkownika.
Tabela 2. Łączenie atrybutów

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika użytkownika lub numer identyfikacyjny w jego systemie HR. Należy pamiętać, że nie dotyczy to externalid, ponieważ można ponownie wykorzystać lub poddać recyklingowi employeenumber dla innych użytkowników.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Zamapuj te niestandardowe atrybuty na rozszerzone atrybuty w usłudze Active Directory, usłudze Azure lub swoim katalogu, aby śledzić kody.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: użytkownik.rozszerzenieatrybut4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

9

Skonfiguruj Atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika tego użytkownika lub numer identyfikacyjny w jego systemie HR. Pamiętaj, że nie jest to "externalid", ponieważ możesz ponownie użyć lub odtworzyć "employeenumber" dla innych użytkowników.

preferredLanguage

Przykład: user.preferredlanguage

Preferowany język użytkownika.

Ustawień regionalnych

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.strefa czasowa

Główna strefa czasowa użytkownika.

displayName

Przykład: nazwa_użytkownika.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: nazwa_użytkownika.givenname

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

adresy.ulicaAdres

Przykład: user.streetadres

Adres głównego miejsca pracy.

adres.stan

Przykład: stan użytkownika

Stan ich podstawowej lokalizacji pracy.

adresy.region

Przykład: użytkownik.region

Region głównego miejsca pracy.

adresy.postalCode

Przykład: user.kod pocztowy

Kod pocztowy głównego miejsca pracy.

adresy.kraj

Przykład: użytkownik.kraj

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: numer telefonu służbowego

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.extension

Przykład: numer telefonu komórkowego

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

zaimek

Przykład: zaimek użytkownika.

Zaimki użytkownika. Jest to atrybut opcjonalny, a użytkownik lub administrator może uczynić go widocznym w swoim profilu.

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

zaimek

Przykład: zaimek użytkownika.

Jest to zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

manager

Przykład: manager

Menedżer użytkownika lub kierownik zespołu.

costcenter

Przykład: centrum kosztów

Jest to nazwisko użytkownika znane również jako nazwisko lub nazwisko

email.alternate1

Przykład: nazwa użytkownika.mailnickname

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate2

Przykład: user.primaryauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate3

Przykład: user.alternativeauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternatywny4

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate5

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.
10

Skonfiguruj Atrybuty rozszerzenia.

Zamapuj te atrybuty na atrybuty rozszerzone w usłudze Active Directory, na platformie Azure lub w katalogu na potrzeby kodów śledzenia.
Tabela 4. Atrybuty rozszerzeń

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

Atrybut rozszerzenia 6

Przykład: user.extensionattribute6

Atrybut rozszerzenia 7

Przykład: user.extensionattribute7

Atrybut rozszerzenia 8

Przykład: user.extensionattribute8

Atrybut rozszerzenia 9

Przykład: user.extensionattribute9

Atrybut rozszerzenia 10

Przykład: user.extensionattribute10

11

Skonfiguruj Atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkowników lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którym zostanie przypisany identyfikator grupy Webex.
  3. Zaktualizuj konfigurację swojego dostawcy tożsamości, aby uwzględnić roszczenie zawierające nazwę tego atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Można również używać zewnętrznego identyfikatora do zarządzania zmianami nazw grup lub w przyszłych scenariuszach integracji. Na przykład synchronizacja z usługą Azure AD lub wdrożenie synchronizacji grup SCIM.
  4. Podaj dokładną nazwę atrybutu, który zostanie wysłany w potwierdzeniu SAML wraz z identyfikatorem grupy. Służy do dodawania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupy, jeśli używasz grupy ze swojego katalogu do wysyłania członków w potwierdzeniu SAML.

Jeżeli użytkownik A jest powiązany z groupID 1234, a użytkownik B z groupID 4567, są oni przypisani do oddzielnych grup. Ten scenariusz oznacza, że pojedynczy atrybut umożliwia użytkownikom skojarzenie się z wieloma identyfikatorami grup. Choć zdarza się to rzadko, jest możliwe i można to uznać za zmianę addytywną. Na przykład, jeśli użytkownik A zaloguje się początkowo przy użyciu groupID 1234, stanie się członkiem odpowiedniej grupy. Jeżeli użytkownik A zaloguje się później przy użyciu groupID 4567, zostanie on również dodany do tej drugiej grupy.

Protokół SAML JIT nie obsługuje usuwania użytkowników z grup ani kasowania użytkowników.

Tabela 5. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Identyfikator grupy

Przykład: Identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

groupexternalId

Przykład: groupexternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów asercji SAML dla spotkań Webex, zobacz https://help.webex.com/article/WBX67566.