Modyfikowanie uwierzytelniania logowania jednokrotnego w centrum sterowania

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • Logowanie jednokrotne jest już skonfigurowane. Informacje na temat korzystania z kreatora konfiguracji logowania jednokrotnego (SSO) można znaleźć w temacie Integracja logowania jednokrotnego w Control Hub.

  • Domeny zostały już zweryfikowane.

  • Domeny zostały zgłoszone i włączone. Funkcja ta zapewnia, że użytkownicy z Twojej domeny zostaną utworzeni i zaktualizowani jednokrotnie po każdym uwierzytelnieniu u Twojego dostawcy tożsamości.

  • Jeśli włączone są DirSync lub Entra ID, tworzenie i aktualizowanie SAML JIT nie będzie działać.

  • "Blokuj aktualizację profilu użytkownika" jest włączona. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje możliwość edytowania atrybutów przez użytkownika. Kontrolowane przez administratora metody tworzenia i aktualizowania są nadal obsługiwane.

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma skonfigurowany szablon licencji automatycznej .

Przydzielanie użytkowników w ramach przydzielania grupom protokołu SAML JIT jest ograniczone tylko do jednej grupy.

Konfigurowanie mapowania Just-in-Time (JIT) i SAML
1

Zaloguj się do centrum sterowania.

2

Przejdź do Zarządzanie > Bezpieczeństwo > Uwierzytelnianie.

3

Przejdź do zakładki Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości i kliknij Menu Więcej.

5

Wybierz Edytuj mapowanie SAML.

6

Skonfiguruj Ustawienia Just-in-Time (JIT).

  • Utwórz lub włącz użytkownika: Jeśli nie zostanie znaleziony żaden aktywny użytkownik, Webex Identity utworzy użytkownika i zaktualizuje atrybuty po uwierzytelnieniu użytkownika u dostawcy tożsamości.
  • Zaktualizuj użytkownika za pomocą atrybutów SAML: Jeśli zostanie znaleziony użytkownik z adresem e-mail, Webex Identity zaktualizuje go o atrybuty zamapowane w potwierdzeniu SAML.
Potwierdź, że użytkownicy mogą logować się przy użyciu innego, niezidentyfikowanego adresu e-mail.

7

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika / Podstawowy adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

8

Skonfiguruj Atrybuty łączenia.

Powinno być ono unikalne dla każdego użytkownika. Służy do wyszukiwania użytkownika, dzięki czemu Webex może aktualizować wszystkie atrybuty profilu, łącznie z adresem e-mail użytkownika.
Tabela 2. Łączenie atrybutów

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Przypisz te niestandardowe atrybuty do rozszerzonych atrybutów w Entra ID lub swoim katalogu, aby uzyskać kody śledzenia.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: użytkownik.rozszerzenieatrybut4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

9

Skonfiguruj Atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

preferredLanguage

Przykład: user.preferredlanguage

Preferowany język użytkownika.

Ustawień regionalnych

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.strefa czasowa

Główna strefa czasowa użytkownika.

displayName

Przykład: nazwa_użytkownika.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: nazwa_użytkownika.givenname

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

adresy.ulicaAdres

Przykład: user.streetadres

Adres głównego miejsca pracy.

adresy.lokalizacja

Przykład: użytkownik.lokalizacjaMiejscowość głównego miejsca pracy.

adresy.region

Przykład: użytkownik.region

Region głównego miejsca pracy.

adresy.postalCode

Przykład: user.kod pocztowy

Kod pocztowy głównego miejsca pracy.

adresy.kraj

Przykład: użytkownik.kraj

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: numer telefonu służbowego

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.extension

Przykład: numer telefonu dodatkowego

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.mobile

Przykład: numer telefonu komórkowegoNumer służbowego telefonu komórkowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

e-maile.pracaPrzykład: służbowe e-maileSłużbowy adres e-mail użytkownika.
organizacjaPrzykład: użytkownik.organizacjaIdentyfikator organizacji użytkownika
10

Konfiguruj Atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkowników lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którym zostanie przypisany identyfikator grupy Webex.
  3. Zaktualizuj konfigurację swojego dostawcy tożsamości, aby uwzględnić roszczenie zawierające nazwę tego atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Identyfikatora zewnętrznego można używać również do zarządzania zmianami nazw grup lub w przyszłych scenariuszach integracji. Na przykład synchronizacja z Entra ID lub wdrożenie synchronizacji grupy SCIM.
  4. Podaj dokładną nazwę atrybutu, który zostanie wysłany w potwierdzeniu SAML wraz z identyfikatorem grupy. Służy do dodania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupy, jeśli używasz grupy ze swojego katalogu do wysyłania członków w potwierdzeniu SAML.

Jeżeli użytkownik A jest powiązany z groupID 1234, a użytkownik B z groupID 4567, to zostaną oni przypisani do oddzielnych grup. Ten scenariusz oznacza, że pojedynczy atrybut umożliwia użytkownikom skojarzenie się z wieloma identyfikatorami grup. Choć zdarza się to rzadko, jest to możliwe i można to uznać za zmianę addytywną. Na przykład, jeśli użytkownik A zaloguje się początkowo przy użyciu groupID 1234, stanie się członkiem odpowiedniej grupy. Jeżeli użytkownik A zaloguje się później za pomocą groupID 4567, zostanie również dodany do tej drugiej grupy.

Protokół SAML JIT nie obsługuje usuwania użytkowników z grup ani kasowania użytkowników.

Tabela 4. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

identyfikator grupy

Przykład: identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

groupexternalId

Przykład: groupexternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów asercji SAML dla spotkań Webex, zobacz https://help.webex.com/article/WBX67566.