Sistema para Gerenciamento de Identidade de Domínios Cruzados (LTDAM)

A integração entre os usuários no diretório e no Control Hub utiliza o Sistema para a API Gestão de Identidade de Domínio Cruzado (ASM). DASM é um padrão aberto para automatizar a troca de informações de identidade do usuário entre domínios de identidade ou sistemas de IT. LTDM foi desenvolvido para facilitar o gerenciamento das identidades dos usuários em aplicativos e serviços baseados em nuvem. DOSM usa uma API padronizada através de REST.

Antes de configurar o Webex Control Hub para o provisionamento automático de usuários com o Azure AD, você precisa adicionar Cisco Webex da galeria de aplicativos Azure AD à sua lista de aplicativos gerenciados.


Se você já integrou o Webex Control Hub com o Azure para registro único (SSO) , o Cisco Webex já está adicionado aos seus aplicativos empresariais e você pode pular esse procedimento.

1

Entre no portal do Azure em https://portal.azure.com com suas credenciais de administrador.

2

Vá para Ozure Active Directory para sua organização.

3

Vá para Aplicativos empresariais e clique em Adicionar.

4

Clique em Adicionar um aplicativo da galeria.

5

Na caixa pesquisar, digite Cisco Webex .

6

No painel de resultados, selecione o Cisco Webex e clique em Adicionar para adicionar o aplicativo.

Uma mensagem é exibida informando que o aplicativo foi adicionado com êxito.

Este procedimento permite que você escolha os usuários para sincronizar com a nuvem Webex.

O Azure AD usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto de provisionamento automático de usuários, apenas os usuários e/ou grupos que são "atribuídos" a um aplicativo no AD do Azure são sincronizados ao Control Hub.

Se você estiver configurando sua integração pela primeira vez, recomendamos atribuir um usuário para testes e, em seguida, adicionar outros usuários e grupos após um teste bem-sucedido.

1

Abra o Cisco Webex aplicativo no portal Azure e vá para Usuários egrupos.

2

Clique em Adicionar atribuição.

3

Encontre os usuários/grupos que você deseja adicionar ao aplicativo:

  • Encontre usuários individuais para atribuir ao aplicativo.
  • Encontre um grupo de usuários para atribuir ao aplicativo.
4

Clique em Selecionar e, em seguida, clique em Atribuir.

Repita esses passos até que você tenha todos os grupos e usuários que você deseja sincronizar com o Webex.

Use este procedimento para configurar o provisionamento do Azure AD e obtenha um token de portador para sua organização. As etapas cobrem as configurações administrativas necessárias e recomendadas.

Antes de começar

Obter a ID da organização da exibição do cliente no Control Hub: clique no nome da sua organização no canto inferior esquerdo e, em seguida, copie o valor da ID da Organização em um arquivo de texto. Você precisará desse valor quando inserir a URL do locatário. Vamos usar esse valor como um exemplo: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Faça o sign in ao portal do Azure e, em seguida, vá paraOzure Active Directory > Enterprise > todos os aplicativos.

2

Escolha Cisco Webex na sua lista de aplicativos corporativos.

3

Vá para Provisionamentoe, em seguida, altere o Modo de provisionamento para Automático .

O aplicativo Webex é criado com alguns mapeamentos padrão entre os atributos do usuário Azure AD e os atributos do usuário Webex. Esses atributos são suficientes para criar usuários, mas você pode adicionar outros, conforme descrito posteriormente neste artigo.

4

Insira a URL do locatário neste formulário:

https://api.ciscospark.com/v1/scim/{OrgId}

Replace {OrgId} com o valor da ID da organização que você recebeu do Control Hub, para que a URL do locatário se parecer a isto: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Siga estes passos para obter o valor do token do portador para o TokenSegredo:

  1. Copie a URL a seguir e execute-a em uma guia do navegador invisível: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Um navegador de navegação anônima é importante para se certificar de que você efetuou o login com as credenciais de administração corretas. Se você já estiver se inscreveu como um usuário com privilégios menores, o token do usuário que você retorna pode não estar autorizado a criar usuários.

  2. Da página de sign in Webex exibida, entre com uma conta de administrador completa para sua organização.

    Uma página de erro aparece dizendo que o site não pode ser alcançado, mas isso é normal.

    O token do urso gerado está incluído na URL da página de erro. Este token é válido por 365 dias (após o qual ele expira).

  3. A partir da URL na barra de endereços do navegador, copie o valor do token do remetente entre access_token= e &token_type=Bearer.

    Por exemplo, esta URL tem o valor token destacado: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=388799&state=this-should-be-a-random-string-for-security-purpose


     

    Recomendamos que você colar este valor em um arquivo de texto e salvá-lo, para que você tenha um registro do token, no caso da URL não estar mais disponível.

6

Retorne ao portal do Azure e paste o valor do token em Token segredo.

7

Clique em Testar Conexão para garantir que a organização e o token sejam reconhecidos pelo Azure AD.

Um resultado bem-sucedido afirma que as credenciais estão autorizadas para permitir o provisionamento de usuários.

8

Insira um e-mail de notificação e marque a caixa para receber e-mail quando houver erros de provisionamento.

9

Clique em Salvar.

Você autorizou com sucesso o Azure AD para provisionar/sincronizar usuários Webex.

O que fazer em seguida

  • Se você deseja sincronizar apenas um subconjunto de seus usuários do Azure AD ao Webex, leia Adicionar grupo de usuários ao aplicativo no AzureAD.

  • Se você quiser mapear atributos de usuários adicionais do Azure AD aos atributos Webex antes de sincronizar os usuários, leia a versão do Map atributos do usuário do Azure para oWebex.

  • Após essas etapas, você pode ativar o provisionamento automatizado do Azure AD para o Webex.

Siga este procedimento para mapear atributos de usuários adicionais do Azure para Webex ou para alterar os mapeamentos de atributos de usuários existentes.

Antes de começar

Você adicionou e configurou o aplicativo Cisco Webex ao seu Active Directory Azure e testou a conexão.

Você pode modificar os mapeamentos de atributos do usuário antes ou depois de iniciar a sincronização dos usuários.

1

Faça o sign in ao portal do Azure e, em seguida, vá paraOzure Active Directory > Enterprise > todos os aplicativos.

2

Abra o aplicativo Cisco Webex aplicativo.

3

Selecione a página Provisionamento e abra o controle de Mapeamentos nessa página.

4

Clique em Sincronizar os Active Directory Azure com o CiscoWebex

Uma nova seção é aberta.

5

Marque a caixa de seleção Mostrar opções avançadas e clique em Editar lista de atributos para CiscoWebex.

No controle que é aberto, você pode escolher quais atributos Webex serão preenchidos dos atributos do usuário do Azure. Os atributos e os mapeamentos são mostrados mais tarde neste procedimento.

6

Depois de selecionar os atributos Webex, clique emSalvar e, em seguida, em Sim para confirmar.

A página Mapeamento de Atributos é aberta, assim você pode mapear os atributos do usuário AD do Azure aos atributos do usuário Webex escolhidos.

7

Perto da parte inferior da página, clique em Adicionar novo mapeamento.

8

Escolha Mapeamento direto. Selecione o atributo Fonte (atributo Azure) e o atributo Alvo (atributo Webex) e clique em OK.

Tabela 1. Azure para Mapeamentos Webex

Atributo Active Directory Azure (fonte)

Cisco Webex (destino)

Userprincipalname

Username

Alternar([IsSoftd], , "Falso", "Verdadeiro", "Verdadeiro", "Falso")

ativos

Displayname

Displayname

Sobrenome

nome.famíliaName

Givenname

nome.givenName

Jobtitle

cargo

alocação de uso

endereços[digite eq "trabalho"].país

cidade

endereços[digite eq "trabalho"].localidade

Streetaddress

endereços[digite eq "trabalho"].streetAddress

estado

endereços[digite eq "trabalho"].região

Postalcode

endereços[digite eq "trabalho"].postalCode

Telephonenumber

phoneNumbers[type eq "trabalho"].value

móvel

phoneNumbers[type eq "mobile"].value

ileileTelephoneNumber

phoneNumbers[type eq "fax"].value

Objectid

ID externa

9

Repita as duas etapas anteriores até ter adicionado ou modificado todos os mapeamentos de que você precisa, depois clique em Salvar e Sim para confirmar seus novos mapeamentos.


 

Recomendamos que você não altere os mapeamentos de atributos padrão. Um mapeamento importante é o userPrincipalName (UPN) no AD do Azure para o endereço de e-mail (nome de usuário) no Control Hub. Você pode Restaurar os mapeamentos padrão se você deseja iniciar novamente.

Se o userPrincipalName não for o e-mail no Control Hub, os usuários serão provisionados como novos usuários e não corresponderão aos usuários existentes no Control Hub. Se você quiser usar o endereço de e-mail Azure em vez do UPN, você deve alterar esse mapeamento padrão no Azure AD de userPrincipalName parae-mail.

Seus mapeamentos são feitos e os usuários Webex serão criados ou atualizados na próxima sincronização.

Antes de começar

Você tem:

  • Adicionado o aplicativo Cisco Webex adicionado

  • Azure autorizado para criar usuários Webex automaticamente e testar a conexão

  • (Opcional) Atribuiu usuários e grupos específicos ao aplicativo Webex

  • (Opcional) Atributos Azure mapeados (additonal, não padrão) aos atributos Webex

1

Abra a Cisco Webex de aplicação no portal Azure e vá para a página de Provisionamento.

2

Se você atribuiu usuários ou grupos específicos ao aplicativo, de definir o Escopo de provisionamento para Sincronizar apenas usuários e grupos atribuídos.

Se você escolher essa opção, mas ainda não atribuiu usuários e grupos, deverá seguir Atribuir grupos/usuários ao aplicativo no AD do Azure antes de alternar o provisionamento.

3

Alternar status de provisionamento para Em .

Esta ação inicia o provisionamento/sincronização automático dos usuários Webex do Azure AD. Isto pode levar até 40 minutos.

Se você estiver testando e precisar reduzir a espera, poderá usar o provisionamento sob demanda. Consulte .https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand

Outra opção é reiniciar o provisionamento: alterne o Status de provisionamento para Off , Salvar e, em seguida, para Em , Salvar (novamente). Isso força uma nova sincronização.


 

Aconselhamos fortemente não usar a opção Limpar estado atual e reiniciar a sincronização.

4

Entre em https://admin.webex.com, vá para usuários e verifique se há as contas de Active Directory doAzure.

Essa sincronização acontece pela API, de modo que não há nenhuma indicação de status no Control Hub. Você pode verificar os registros no portal do Azure para ver o status da sincronização do usuário.


 

Para obter um registro de quaisquer alterações relacionadas à sincronização de usuários do Azure AD e isolar quaisquer problemas potenciais, acesse os registros de auditoria: em Atividade, clique em Registros de auditoria. Essa exibição mostra todos os registros, e você pode filtrar em categorias específicas, tais como Provisionamento de conta para o filtro Serviço e Gestão de Usuários para um filtro de Categoria.

Você pode remover as atribuições do usuário do Azure AD. Isso mantém as contas de usuários do Azure AD, mas remove sua capacidade de acessar aplicativos e serviços na organização Webex.

Quando você remove a atribuição de usuário vídeo, o Webex marca o usuário comoInativo.

1

No portal Azure, vá para Aplicativos empresariaise escolha o aplicativo Webex que você adicionou.

2

Escolha um usuário ou grupo de usuários da lista dos atribuídos ao aplicativo.

3

Clique emRemover e, em seguida, clique em Sim para confirmar a remoção.

Após o próximo evento de sincronização, o usuário ou grupo de usuários é removido do aplicativo Webex.

1

Vá para Usuários, marque uma caixa de seleção ao lado de cada conta de usuário que você deseja excluir e clique em Excluir usuário.

Os usuários são movidos para a guia de Usuários excluídos.

No Control Hub, os usuários são movidos para um estado de "exclusão soft" e não são excluídos imediatamente. Eles também são renomeados. O Azure AD envia essas alterações para a nuvem Webex. O Control Hub então reflete essas alterações e marca o usuário como Inativo. Todos os tokens são revogados para o usuário.

2

Para verificar todos os registros da exclusão do usuário, vá para Registros de auditoria e execute uma pesquisa na categoria Gerenciamento de usuários ou na opção Excluir atividade do usuário.


 

Quando você abrir um registro de auditoria de usuário excluído e clicar em Destino(s), você verá o Nome principal do usuário tem uma sequência de números e caracteres antes do @.

Se você estiver realizando quaisquer ações do eDiscovery no Control Hub, será necessário obter o Nome principal de usuário dos registros de auditoria no Azure AD. Para obter mais informações sobre o eDiscovery, consulte Garantir o cumprimento das leis do aplicativo Webex e do conteúdo doMeetings.

O que fazer em seguida

Você tem 30 dias para recuperar usuários "soft" excluídos antes que eles sejam permanentemente excluídos. Se você recuperar o usuário no Azure AD, o Control Hub reativa o usuário e renomeia o usuário para o endereço de e-mail/UPN original.

Se você não recuperar o usuário, o Azure AD faz uma exclusão difícil. Sua organização Webex remove o usuário e você não vê mais o usuário no Control Hub. Se você tiver lido o endereço de e-mail no Azure AD, o Webex cria uma conta totalmente nova para o usuário.