Modyfikowanie uwierzytelniania jednokrotnego logowania w Control Hub

Przed rozpoczęciem

Upewnij się, że spełnione są następujące warunki wstępne:

  • SSO jest już skonfigurowane. Aby uzyskać informacje na temat korzystania z kreatora konfiguracji SSO , zobacz sekcję „Konfiguracja SSO ” tutaj: https://help.webex.com/article/lfu88u/.

  • Domeny zostały już zweryfikowane.

  • Domeny są zgłaszane i włączane. Ta funkcja zapewnia tworzenie i aktualizowanie użytkowników z domeny za każdym razem, gdy uwierzytelniają się przy użyciu dostawcy tożsamości.

  • Jeśli DirSync lub AzureAD są włączone, tworzenie lub aktualizacja JIT SAML nie będzie działać.

  • Włączono opcję „Zablokuj aktualizację profilu użytkownika”. Mapowanie aktualizacji SAML jest dozwolone, ponieważ ta konfiguracja kontroluje zdolność użytkownika do edytowania atrybutów. Kontrolowane przez administratora metody tworzenia i aktualizacji są nadal obsługiwane.


 

Nowo utworzeni użytkownicy nie otrzymają automatycznie przypisanych licencji, chyba że organizacja ma skonfigurowany automatyczny szablon licencji .

Obsługa administracyjna użytkowników dla obsługi administracyjnej SAML JIT grup jest ograniczona tylko do jednej grupy.

Konfigurowanie mapowania Just-in-Time (JIT) i SAML

1

Zaloguj się do Centrum sterowania .

2

Przejdź do Zarządzanie > Ustawienia organizacji, przewiń do jednokrotnego logowania i kliknij Zarządzaj SSO i IdPs.

3

Przejdź do karty Dostawca tożsamości.

4

Przejdź do dostawcy tożsamości i kliknij.

5

Wybierz opcję Edytuj mapowanie SAML.

6

Skonfiguruj ustawienia Just-in-Time (JIT).

  • Utwórz lub włącz użytkownika: jeśli nie znaleziono aktywnego użytkownika, usługa Webex Identity utworzy użytkownika i zaktualizuje jego atrybuty po uwierzytelnieniu przez użytkownika za pomocą dostawcy tożsamości.
  • Aktualizuj atrybuty SAML: jeśli znaleziono użytkownika z adresem e-mail, usługa Webex Identity aktualizuje użytkownika z atrybutami mapowanymi w usłudze SAML.
Potwierdź, że użytkownicy mogą się zalogować z innym, niezidentyfikowanym adresem e-mail.
7

Skonfiguruj wymagane atrybuty mapowania SAML.

Tabela 1. Wymagane atrybuty

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Nazwa użytkownika/główny adres e-mail

Przykład: uid

Mapuje atrybut UID do właściwości email, upn lub edupersonprincipalname konfigurowanego użytkownika.

8

Skonfiguruj atrybuty łączące.

Powinno to być unikalne dla użytkownika. Służy do wyszukiwania użytkownika, dzięki czemu Webex może aktualizować wszystkie atrybuty profilu, w tym adres e-mail użytkownika.
Tabela 2. Atrybuty łączenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

Zatrudniacz

Przykład: user.employeeid

Numer pracownika użytkownika lub numer identyfikacyjny w systemie zarządzania zasobami ludzkimi. Pamiętaj, że to nie jest dla externalid, ponieważ można ponownie używać lub recyklingu employeenumber dla innych użytkowników.

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Mapuj te atrybuty niestandardowe do atrybutów rozszerzonych w usłudze Active Directory, Azure lub w książce adresowej, aby uzyskać kody monitorowania.

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionlattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

9

Skonfiguruj atrybuty profilu.

Tabela 3. Atrybuty profilu

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

externalId

Przykład: user.objectid

Odróżnia tego użytkownika od profili innych osób. Jest to konieczne w przypadku mapowania między katalogami lub zmiany innych atrybutów profilu.

Zatrudniacz

Przykład: user.employeeid

Numer pracownika tego użytkownika lub numer identyfikacyjny w systemie zarządzania zasobami ludzkimi. Należy pamiętać, że nie jest to "zewnętrzny", ponieważ można ponownie użyć lub recyklingu "Zatrudniacz" dla innych użytkowników.

preferowany język

Przykład: user.preferredlanguage

Preferowany język użytkownika.

ustawienia regionalne

Przykład: user.locale

Główne miejsce pracy użytkownika.

strefa czasowa

Przykład: user.timezone

Główna strefa czasowa użytkownika.

displayName

Przykład: user.displayname

Nazwa wyświetlana użytkownika w usłudze Webex.

nazwa.givenName

Przykład: user.givenname

Imię użytkownika.

nazwa.nazwa_rodziny

Przykład: użytkownik.nazwisko

Nazwisko użytkownika.

address.streetAddress

Przykład: user.streetaddress

Adres głównego miejsca pracy.

address.state

Przykład: user.state

Stan ich głównego miejsca pracy.

address.region

Przykład: user.region

Region głównego miejsca pracy.

address.postalCode

Przykład: kod pocztowy użytkownika.

Kod pocztowy głównego miejsca pracy.

address.country

Przykład: user.country

Kraj głównego miejsca pracy.

phoneNumbers.work

Przykład: fonografia robocza

Numer telefonu służbowego w głównym miejscu pracy. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

phoneNumbers.Extension

Przykład: phonenumber telefonów komórkowych

Numer wewnętrzny głównego numeru telefonu służbowego. Należy używać wyłącznie międzynarodowego formatu E.164 (maksymalnie 15 cyfr).

zaimek

Przykład: user.pronoun

Zaimki użytkownika. Jest to opcjonalny atrybut, a użytkownik lub administrator może go uwidocznić w swoim profilu.

tytuł

Przykład: user.jobtitle

Stanowisko użytkownika.

department

Przykład: user.department

Dział lub zespół użytkownika.

zaimek

Przykład: user.pronoun

To jest zaimek użytkownika. Widoczność tego atrybutu jest kontrolowana przez administratora i użytkownika

manager

Przykład: manager

Kierownik użytkownika lub jego kierownik zespołu.

centrum kosztów

Przykład: centrum kosztów

Jest to nazwisko użytkownika znane również jako nazwisko lub familyname

email.alternate1

Przykład: user.mailnickname

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate2

Przykład: user.primaryauthoritativemail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate3

Przykład: user.alternativeauthoritativemail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate4

Przykład: user.othermail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.

email.alternate5

Przykład: user.othermail

Alternatywny adres e-mail użytkownika. Jeśli chcesz, aby użytkownik mógł się zalogować przy użyciu tej funkcji, zmapuj ją do identyfikatora użytkownika.
10

Skonfiguruj atrybuty numeru wewnętrznego.

Mapuj te atrybuty do atrybutów rozszerzonych w usłudze Active Directory, w usłudze Azure lub w katalogu, aby uzyskać kody monitorowania.
Tabela 4. Atrybuty rozszerzenia

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Atrybut rozszerzenia 1

Przykład: user.extensionattribute1

Atrybut rozszerzenia 2

Przykład: user.extensionattribute2

Atrybut rozszerzenia 3

Przykład: user.extensionattribute3

Atrybut rozszerzenia 4

Przykład: user.extensionattribute4

Atrybut rozszerzenia 5

Przykład: user.extensionattribute5

Atrybut rozszerzenia 6

Przykład: user.extensionattribute6

Atrybut rozszerzenia 7

Przykład: user.extensionattribute7

Atrybut rozszerzenia 8

Przykład: user.extensionattribute8

Atrybut rozszerzenia 9

Przykład: user.extensionattribute9

Atrybut rozszerzenia 10

Przykład: user.extensionattribute10

11

Skonfiguruj atrybuty grupy.

  1. Utwórz grupę w Control Hub i zanotuj identyfikator grupy Webex.
  2. Przejdź do katalogu użytkownika lub dostawcy tożsamości i skonfiguruj atrybut dla użytkowników, którzy zostaną przypisani do identyfikatora grupy Webex.
  3. Zaktualizuj konfigurację dostawcy tożsamości tak, aby zawierała roszczenie o tej nazwie atrybutu wraz z identyfikatorem grupy Webex (np. c65f7d85-b691-42b8-a20b-12345xxxx). Identyfikator zewnętrzny można również używać do zarządzania zmianami nazw grup lub do przyszłych scenariuszy integracji. Na przykład synchronizacja z usługą Azure AD lub wdrażanie synchronizacji grupy SCIM.
  4. Podaj dokładną nazwę atrybutu, który zostanie wysłany w systemie SAML Assertion z identyfikatorem grupy. Służy to do dodawania użytkownika do grupy.
  5. Podaj dokładną nazwę zewnętrznego identyfikatora obiektu grupowego, jeśli używasz grupy z katalogu do wysyłania członków w usłudze SAML.

 

Jeśli użytkownik A jest powiązany z groupID 1234 i użytkownika B z groupID 4567, są one przypisane do oddzielnych grup. Ten scenariusz wskazuje, że jeden atrybut umożliwia użytkownikom powiązanie z wieloma identyfikatorami grup. Choć jest to rzadkość, jest to możliwe i można uznać za zmianę uzupełniającą. Na przykład, jeśli użytkownik Początkowo loguje się do korzystania groupID 1234, stają się członkiem odpowiedniej grupy. Jeśli użytkownik A później zaloguje się do korzystania groupID 4567, są one również dodane do tej drugiej grupy.

Konfiguracja SAML JIT nie obsługuje usuwania użytkowników z grup ani usuwania użytkowników.

Tabela 5. Atrybuty grupy

Nazwa atrybutu tożsamości Webex

Nazwa atrybutu SAML

Opis atrybutu

Identyfikator grupy

Przykład: Identyfikator grupy

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

groupternalId

Przykład: groupternalId

Mapuj atrybuty grupowe od dostawcy tożsamości na atrybuty grupowe usługi Webex Identity na potrzeby mapowania tego użytkownika do grupy w celu licencjonowania lub usługi ustawień.

Aby uzyskać listę atrybutów Afirmacji SAML dla Webex Meetings, zobacz https://help.webex.com/article/WBX67566.