Modyfikowanie uwierzytelniania logowania jednokrotnego w centrum sterowania

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • Logowanie jednokrotne jest już skonfigurowane. Aby uzyskać informacje o korzystaniu z kreatora konfiguracji jednokrotnego logowania, zobacz sekcję „Konfiguracja jednokrotnego logowania” tutaj: https://help.webex.com/article/lfu88u/.

  • Domeny zostały już zweryfikowane.

  • Domeny są przejęte i włączone. Ta funkcja zapewnia, że użytkownicy z Twojej domeny są tworzeni i aktualizowani raz za każdym razem, gdy uwierzytelniają się przy użyciu IdP.

  • Jeśli DirSync lub AzureAD są włączone, tworzenie lub aktualizacja SAML JIT nie będzie działać.

  • "Blokuj aktualizację profilu użytkownika" jest włączona. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje możliwość edytowania atrybutów przez użytkownika. Kontrolowane przez administratora metody tworzenia i aktualizowania są nadal obsługiwane.

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma skonfigurowany szablon licencji automatycznej .

Obsługa administracyjna użytkowników w przypadku obsługi administracyjnej grup SAML JIT jest ograniczona tylko do jednej grupy.

Konfiguracja mapowania Just In Time (JIT) i SAML
1

Zaloguj się do centrum sterowania.

2

Wybierz kolejno opcje Zarządzanie > Ustawienia organizacji, przewiń do opcji Jednokrotne logowanie i kliknij opcję Zarządzaj logowaniem SSO i dostawcami tożsamości.

3

Przejdź do karty Dostawca tożsamości .

4

Przejdź do dostawcy tożsamości i kliknij przycisk Menu Więcej.

5

Wybierz pozycję Edytuj mapowanie SAML.

6

Skonfiguruj ustawienia funkcji Just In Time (JIT).

  • Utwórz lub włącz użytkownika: Jeśli nie znaleziono aktywnego użytkownika, usługa Webex Identity utworzy użytkownika i zaktualizuje atrybuty po uwierzytelnieniu użytkownika przez dostawcę tożsamości.
  • Zaktualizuj użytkownika za pomocą atrybutów SAML: Jeśli zostanie znaleziony użytkownik z adresem e-mail, Webex Identity zaktualizuje go o atrybuty zamapowane w potwierdzeniu SAML.
Potwierdź, że użytkownicy mogą logować się przy użyciu innego, niezidentyfikowanego adresu e-mail.

7

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika / Podstawowy adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

8

Skonfiguruj atrybuty łączenia.

Powinno to być unikalne dla użytkownika. Służy do wyszukiwania użytkownika, aby usługa Webex mogła zaktualizować wszystkie atrybuty profilu, w tym adres e-mail danego użytkownika.
Tabela 2. Atrybuty łączenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika użytkownika lub numer identyfikacyjny w systemie HR użytkownika. Pamiętaj, że nie jest to dla usług zewnętrznych, ponieważ możesz użyć ponownie lub ponownie pracowników dla innych użytkowników.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Mapuj te atrybuty niestandardowe do atrybutów rozszerzonych w usłudze Active Directory, na platformie Azure lub w Twoim katalogu w celu uzyskania kodów monitorowania.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionlattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

9

Skonfiguruj atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

liczba pracowników

Przykład: user.employeeid

Numer pracownika tego użytkownika lub numer identyfikacyjny w jego systemie HR. Pamiętaj, że nie jest to "externalid", ponieważ możesz ponownie użyć lub odtworzyć "employeenumber" dla innych użytkowników.

preferredLanguage

Przykład: user.preferredlanguage

Preferowany język użytkownika.

Ustawień regionalnych

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.strefa czasowa

Główna strefa czasowa użytkownika.

displayName

Przykład: nazwa_użytkownika.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: nazwa_użytkownika.givenname

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

adresy.ulicaAdres

Przykład: user.streetadres

Adres głównego miejsca pracy.

adres.stan

Przykład: stan użytkownika

Stan ich podstawowej lokalizacji pracy.

adresy.region

Przykład: użytkownik.region

Region głównego miejsca pracy.

adresy.postalCode

Przykład: user.kod pocztowy

Kod pocztowy głównego miejsca pracy.

adresy.kraj

Przykład: użytkownik.kraj

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: numer telefonu służbowego

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.extension

Przykład: numer telefonu komórkowego

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

zaimek

Przykład: zaimek użytkownika.

Zaimki użytkownika. Jest to atrybut opcjonalny, a użytkownik lub administrator może uczynić go widocznym w swoim profilu.

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

zaimek

Przykład: zaimek użytkownika.

Jest to zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

manager

Przykład: manager

Menedżer użytkownika lub kierownik zespołu.

costcenter

Przykład: centrum kosztów

Jest to nazwisko użytkownika znane również jako nazwisko lub nazwisko

email.alternate1

Przykład: nazwa użytkownika.mailnickname

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate2

Przykład: user.primaryauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate3

Przykład: user.alternativeauthoritativemail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternatywny4

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.

email.alternate5

Przykład: user.othermail

Alternatywny adres e-mail dla użytkownika. Jeśli chcesz, aby użytkownik mógł się za jego pomocą zalogować, zamapuj go na identyfikator uid.
10

Skonfiguruj atrybuty numeru wewnętrznego.

Zamapuj te atrybuty na atrybuty rozszerzone w usłudze Active Directory, na platformie Azure lub w katalogu na potrzeby kodów śledzenia.
Tabela 4. Atrybuty rozszerzeń

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

Atrybut rozszerzenia 6

Przykład: user.extensionattribute6

Atrybut rozszerzenia 7

Przykład: user.extensionattribute7

Atrybut rozszerzenia 8

Przykład: user.extensionattribute8

Atrybut rozszerzenia 9

Przykład: user.extensionattribute9

Atrybut rozszerzenia 10

Przykład: user.extensionattribute10

11

Skonfiguruj atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkowników lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którzy zostaną przypisani do identyfikatora grupy Webex.
  3. Zaktualizuj konfigurację dostawcy tożsamości, aby uwzględnić oświadczenie, które zawiera tę nazwę atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Identyfikator zewnętrzny można również używać do zarządzania zmianami w nazwach grup lub do przyszłych scenariuszy integracji. Na przykład synchronizowanie z usługą Azure AD lub wdrażanie synchronizacji grupy SCIM.
  4. Podaj dokładną nazwę atrybutu, który będzie wysyłany w potwierdzeniu SAML z identyfikatorem grupy. Służy do dodawania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupy, jeśli używasz grupy z katalogu do wysyłania członków w potwierdzeniu SAML.

Jeśli użytkownik A jest powiązany z groupID 1234, a użytkownik B z groupID 4567, jest on przypisany do oddzielnych grup. Ten scenariusz wskazuje, że jeden atrybut umożliwia użytkownikom powiązanie z wieloma identyfikatorami grup. Choć jest to rzadkie, jest to możliwe i można je uznać za dodatkową zmianę. Na przykład jeśli użytkownik A początkowo loguje się przy użyciu groupID 1234, staje się członkiem odpowiedniej grupy. Jeśli użytkownik A zaloguje się później przy użyciu identyfikatora groupID 4567, zostanie również dodany do tej drugiej grupy.

Konfiguracja SAML JIT nie obsługuje usuwania użytkowników z grup ani żadnego usuwania użytkowników.

Tabela 5. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Identyfikator grupy

Przykład: Identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

identyfikator grupexternalId

Przykład: identyfikator grupexternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów asercji SAML dla spotkań Webex, zobacz https://help.webex.com/article/WBX67566.