SSO com vários IdPs no Webex

O registro único (SSO) permite que os usuários iniciem sessão no Webex com segurança, autenticando-se no provedor de identidade comum da sua organização. Um provedor de identidade (IdP) armazena e gerencia com segurança as identidades digitais de seus usuários e fornece o serviço de autenticação de usuário para seus usuários Webex.

Por que você pode precisar de vários IdPs

Muitas grandes empresas passam por fusões e aquisições, e essas empresas raramente têm a mesma infraestrutura de TI e provedores de identidade. Instituições governamentais têm várias organizações e agências sob eles. Muitas vezes, essas organizações têm um único endereço de e-mail para seus próprios departamentos de TI e infraestrutura, respectivamente. As principais instituições educacionais têm um departamento de compras central, mas diferentes universidades e faculdades com diferentes organizações de TI e departamentos.

É comum ver IdPs e provedores de serviços (SPs) se federarem entre si. O IdP é responsável por autenticar as credenciais dos usuários e o SP confia na autenticação feita pelo IdP. Isso permite que seus usuários acessem vários aplicativos e serviços SaaS usando a mesma identidade digital. Mas, se, por algum motivo, sua organização não puder se federar entre os IdPs, o Webex fornecerá uma solução alternativa para suportar vários IdPs. Por esses motivos, estamos dando a você a opção de configurar o SSO para vários IdPs no Webex e simplificar o processo de autenticação dos usuários.

Limitações

Esse recurso só estará disponível se você tiver adquirido o Webex Extended Security Pack.

Todos os usuários devem ser provisionados com o Conector de diretórios se você estiver usando o Conector de diretórios na sua organização. Consulte o guia de implantação do Conector de diretórios para obter mais informações.

Atualmente, oferecemos suporte apenas para SAML, OpenID Connect e Webex Identity como provedores de identidade.

Fora do escopo

Configure as atribuições de grupo.

Verificação de domínio. Consulte Gerenciar seus domínios para obter mais informações.

Provisionamento de usuários. Consulte Formas de adicionar usuários à sua organização do Control Hub para obter mais informações.

Esta seção aborda como você pode integrar seus provedores de identidade (IdP) com sua organização Webex. Você pode escolher os IdPs que melhor atendem aos requisitos da sua organização.

Se você estiver procurando a integração de SSO de um site Webex Meetings (gerenciado na administração do site), consulte Configurar o registro único para a administração Webex .

Pré-requisitos

Antes de você começar

Certifique-se de que as seguintes condições sejam atendidas:

Você deve ter o Webex Extended Security Pack para configurar o SSO com vários IdPs no Control Hub.

Você deve ter uma função de Administrador completo no Control Hub.

Um arquivo de metadados do IdP para fornecer ao Webex e um arquivo de metadados do Webex, para fornecer ao IdP. Para obter mais informações, consulte Integração de registro único no Control Hub . Isso se aplica apenas à configuração SAML.

Você deve planejar o comportamento das regras de roteamento antes de configurar vários IdPs.

A regra de roteamento padrão será aplicada depois que você configurar seu IdP inicial. Mas você pode definir outro IdP como o padrão. Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento deste artigo.

Configurar SAML

Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Autenticação e clique em Ativar SSO para iniciar o assistente de configuração.

Selecione SAML como seu IdP e clique em Next .

Escolha o tipo de certificado:

Autoassinado pela Cisco —Recomendamos essa escolha. Vamos assinar o certificado para que você só precisa renová-lo uma vez a cada cinco anos.
Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor IdP ofereça suporte a âncoras de confiança).

âncoras de confiança são chaves públicas que atuam como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do seu IdP.

Clique em Baixar metadados e em Próximo.

O nome do arquivo de metadados do aplicativo Webex é idb-meta-SP<org-ID>.xml .

Carregue o arquivo de metadados do IdPs ou preencha o formulário de configuração.

Ao carregar o arquivo de metadados, existem duas maneiras de validar os metadados do IdP do cliente:

O IdP do cliente fornece uma assinatura nos metadados que é assinada por uma CA raiz pública.

O IdP do cliente fornece uma CA privada autoassinada ou não fornece uma assinatura para os metadados. Esta opção é menos segura.

Caso contrário, no formulário de configuração, insira as informações do IdP.

Clique em Próximo.

(Opcional) Configure as configurações de Just In Time (JIT) e a resposta de mapeamento SAML.

Consulte Configurar apenas no tempo (JIT) e mapeamento SAML na guia Gerenciar seus IdPs neste artigo.

Clique em Testar configuração de SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Teste a conexão SSO antes de habilitá-la. Esta etapa funciona como uma simulação e não afeta as configurações da sua organização até que você habilite o SSO na próxima etapa.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro no aplicativo Webex geralmente significa um problema com a configuração de SSO. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver a experiência de início de sessão do SSO, recomendamos que você clique em Copiar URL para a área de transferência desta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

Volte para a guia do navegador do Control Hub.

Se o teste for bem-sucedido, selecione Teste bem-sucedido. Ative o SSO e o IdP e clique em Ativar .

Se o teste não for bem-sucedido, selecione Teste malsucedido. Volte para as etapas anteriores para corrigir os erros .

A configuração de SSO não entra em vigor em sua organização, a menos que você escolha o primeiro botão de opção e ative o SSO.

O que fazer em seguida

Você pode configurar uma regra de roteamento. Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento deste artigo.

Você pode seguir o procedimento em Suprimir e-mails automáticos para desativar os e-mails enviados aos novos usuários do aplicativo Webex em sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Configurar o OpenID Connect

Selecione OpenID Connect como seu IdP e clique em Next .

Insira suas informações IdP.

Nome —O nome para identificar seu IdP.

ID do cliente —A ID exclusiva para identificar você e seu IdP.

Segredo do cliente —A senha que você e seu IdP sabem.

Scopes —Os escopos a serem associados ao seu IdP.

Escolha como adicionar terminais. Isso pode ser feito de forma automática ou manual.

Use a URL de descoberta —Insira a URL de configuração do seu IdP.
Adicionar manualmente informações de endpoints —Insira os seguintes detalhes.
- Emissor
- Terminal de autorização
- Terminal de token
- Terminal JWKS
- Terminal Userinfo
Para obter mais informações, consulte o Guia de configuração do OpenID Connect .

(Opcional) Defina as configurações de Just In Time (JIT).

Consulte Configurar apenas no tempo (JIT) e mapeamento SAML na guia Gerenciar seus IdPs neste artigo.

Clique em Testar configuração de SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Teste a conexão SSO antes de habilitá-la. Esta etapa funciona como uma simulação e não afeta as configurações da sua organização até que você habilite o SSO na próxima etapa.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Volte para a guia do navegador do Control Hub.

Se o teste for bem-sucedido, selecione Teste bem-sucedido. Ative o SSO e o IdP e clique em Ativar .

Se o teste não for bem-sucedido, selecione Teste malsucedido. Volte para as etapas anteriores para corrigir os erros .

A configuração de SSO não entra em vigor em sua organização, a menos que você escolha o primeiro botão de opção e ative o SSO.

O que fazer em seguida

Você pode configurar uma regra de roteamento. Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento deste artigo.

Configurar identidade Webex

1	Na exibição do cliente em https://admin.webex.com, vá para Gerenciamento > Configurações da organização , role até Autenticação e clique em Ativar SSO para iniciar o assistente de configuração.
2	Selecione Webex como seu IdP e clique em Next .
3	Verifique Eu li e entendi como o Webex IdP funciona e clique em Next .
4	Configure uma regra de roteamento. Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento deste artigo.

Depois de adicionar uma regra de roteamento, o IdP é adicionado e mostrado na guia Identity provider .

O que fazer em seguida

As regras de roteamento são aplicáveis ao configurar mais de um IdP. As regras de roteamento permitem que o Webex identifique a qual IdP enviar seus usuários quando você tiver configurado vários IdPs.

Ao configurar mais de um IdP, você pode definir suas regras de roteamento no assistente de configuração de SSO. Se você ignorar a etapa da regra de roteamento, o Control Hub adicionará o IdP, mas não ativará o IdP. Você deve adicionar uma regra de roteamento para ativar o IdP.

Adicionar ou editar regras de roteamento

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

Vá para a guia Regras de roteamento .

Ao configurar seu primeiro IdP, a regra de roteamento é automaticamente adicionada e definida como a regra padrão . Você pode escolher outro IdP para definir como a regra padrão posteriormente.

Clique em Adicionar nova regra de roteamento .

Insira os detalhes de uma nova regra:

Nome da regra —Insira o nome da regra de roteamento.

Selecione um tipo de roteamento —Selecione o domínio ou grupo.

Se estes são seus domínios/grupos —Insira os domínios/grupos dentro da sua organização.

Em seguida, use esse provedor de identidade —Selecione o IdP.

Clique em Adicionar.

Selecione a nova regra de roteamento e clique em Ativar .

Você pode alterar a ordem de prioridade das regras de roteamento se tiver regras de roteamento para vários IdPs.

Desativar ou excluir regras de roteamento

1	Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .
2	Vá para a guia Regras de roteamento .
3	Selecione a regra de roteamento.
4	Escolha se deseja Desativar ou Excluir a regra de roteamento. É recomendável que você tenha outra regra de roteamento ativa para o IdP. Caso contrário, você pode ter problemas com seu logon de SSO.

A regra padrão não pode ser desativada ou excluída, mas você pode modificar o IdP roteado.

Gerenciar os certificados do Provedor de identidade (IdP)

Antes de você começar

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado IdP expirará. Como os fornecedores IdP têm sua própria documentação específica para renovação de certificado, cobrimos o que é necessário no Control Hub, juntamente com etapas genéricas para recuperar metadados IdP atualizados e carregá-los no Control Hub para renovar o certificado.

Isso se aplica apenas à configuração SAML.

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

Vá para a guia Provedor de identidade .

Vá para o IdP, clique em upload e selecione Carregar metadados de Idp .

Para baixar o arquivo de metadados, clique em Download

e selecione Baixar metadados do Idp .

Navegue até a interface de gerenciamento do IdP para recuperar o novo arquivo de metadados.

Retorne ao Control Hub e arraste e solte o arquivo de metadados do IdP na área de carregamento ou clique em Escolher um arquivo para carregar os metadados.

Escolha Less secure (autoassinado) ou More secure (assinado por uma CA pública), dependendo de como seus metadados do IdP são assinados e clique em Save .

Defina as configurações de Just In Time (JIT) e a resposta de mapeamento SAML.

Consulte Configurar apenas no tempo (JIT) e mapeamento SAML na guia Gerenciar seus IdPs neste artigo.

Clique em Testar configuração de SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Teste a conexão SSO antes de habilitá-la. Esta etapa funciona como uma simulação e não afeta as configurações da sua organização até que você habilite o SSO na próxima etapa.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Clique em Salvar.

Gerenciar os certificados do provedor de serviços (SP)

Antes de você começar

Recomenda-se que você atualize todos os seus IdPs em sua organização ao renovar seu certificado SP.

Isso se aplica apenas à configuração SAML.

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

Vá para a guia Provedor de identidade .

Vá para o IdP e clique em.

Clique em Revisar certificados e data de vencimento .

Isso leva você para a janela de Certificados do Provedor de Serviços (SP) .

Clique em Renovar certificado .

Escolha o tipo de IdP em sua organização:

Um IdP que suporta vários certificados
Um IdP que suporte um único certificado

Escolha o tipo de certificado para a renovação:

Autoassinado pela Cisco —Recomendamos essa escolha. Vamos assinar o certificado para que você só precisa renová-lo uma vez a cada cinco anos.
Assinado por uma autoridade de certificação pública —Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor IdP ofereça suporte a âncoras de confiança).

âncoras de confiança são chaves públicas que atuam como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do seu IdP.

Clique em Baixar metadados ou Baixar certificado para baixar uma cópia do arquivo de metadados atualizado ou certificado da nuvem Webex.

Navegue até a interface de gerenciamento do IdP para carregar o novo arquivo de metadados ou certificado Webex.

Essa etapa pode ser feita por meio de uma guia do navegador, protocolo de desktop remoto (RDP) ou por meio de suporte específico do provedor de nuvem, dependendo da configuração do IdP e se você ou um administrador IdP separado são responsáveis por essa etapa.

Para obter mais informações, consulte nossos guias de integração de SSO ou entre em contato com o administrador do IdP para obter suporte. Se você estiver no Active Directory Federation Services (AD FS), poderá ver como atualizar os metadados Webex no AD FS

Retorne à interface do Control Hub e clique em Next .

Selecione Todos os IdPs atualizados com êxito e clique em Próximo .

Isso carrega o arquivo de metadados SP ou certificado para todos os IdPs em sua organização.

Clique em Concluir renovação .

Teste sua configuração de SSO

Antes de você começar

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

Vá para a guia Provedor de identidade .

Vá para o IdP e clique em.

Selecione Testar IdP .

Clique em Testar configuração de SSO e, quando uma nova guia do navegador for aberta, autentique-se com o IdP iniciando sessão.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Volte para a guia do navegador do Control Hub.

Se o teste for bem-sucedido, selecione Teste bem-sucedido. Ative o SSO e o IdP e clique em Salvar .

Se o teste não for bem-sucedido, selecione Teste malsucedido. Volte para as etapas anteriores para corrigir os erros .

A configuração de SSO não entra em vigor em sua organização, a menos que você escolha o primeiro botão de opção e ative o SSO.

Configurar o mapeamento Just In Time (JIT) e SAML

Antes de você começar

Certifique-se de que as seguintes pré-condições sejam atendidas:

O logon único já está configurado.
Os domínios já foram verificados.
Os domínios são reivindicados e ativados. Este recurso garante que os usuários do seu domínio sejam criados e atualizados uma vez que se autenticarem com o seu IdP.
Se o DirSync ou o Azure AD estiverem ativados, a criação ou atualização do SAML JIT não funcionará.
A opção "Bloquear atualização do perfil de usuário" está ativada. O mapeamento de atualização SAML é permitido porque essa configuração controla a capacidade do usuário de editar os atributos. Os métodos de criação e atualização controlados pelo administrador ainda são suportados.

Ao configurar o SAML JIT com o Azure AD ou um IdP em que o e-mail não seja um identificador permanente, recomendamos que você use o externalId vinculando atributo para mapear para um Identificador Exclusivo. Se descobrirmos que o e-mail não corresponde ao atributo de vinculação, o usuário será solicitado a verificar sua identidade ou criar um novo usuário com o endereço de e-mail correto.

Os usuários recém-criados não receberão licenças atribuídas automaticamente, a menos que a organização tenha um modelo de licença automática configurado.

Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

Vá para a guia Provedor de identidade .

Vá para o IdP e clique em.

Selecione Editar mapeamento SAML .

Configurar Configurações Just-in-Time (JIT) .

Crie ou ative um usuário: se nenhum usuário ativo for encontrado, a Identidade Webex criará o usuário e atualizará os atributos depois que o usuário for autenticado com o IdP.
Atualize o usuário com atributos SAML: se um usuário com endereço de e-mail for encontrado, a Identidade Webex atualizará o usuário com os atributos mapeados na asserção SAML.

Confirme se os usuários podem iniciar sessão com um endereço de e-mail diferente e não identificável.

Configure Atributos obrigatórios de mapeamento SAML .

Tabela 1. Atributos obrigatórios
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
Nome de usuário/Endereço de e-mail principal	Exemplo: UID	Mapeie o atributo UID no e-mail, upn ou edupersonprincipalname do usuário provisionado.

Configure os Atributos de vinculação .

Isso deve ser exclusivo para o usuário. Ele é usado para procurar um usuário para que o Webex possa atualizar todos os atributos de perfil, incluindo e-mail de um usuário.

Tabela 2. Atributos de vinculação
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
ID externa	Exemplo: usuário.objectid	Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.
funcionário/a	Exemplo: usuário.Employeeid	O número de funcionário do usuário ou um número de identificação dentro do sistema de RH. Observe que isso não é para `externalid`, porque você pode reutilizar ou reciclar `employeenumber` para outros usuários.
Atributo da extensão 1	Exemplo: user.extensionattribute1	Mapeie esses atributos personalizados para atributos estendidos no Active Directory, no Azure ou no seu diretório, para códigos de rastreamento.
Atributo de ramal 2	Exemplo: user.extensionattribute2
Atributo da extensão 3	Exemplo: user.extensionattribute3
Atributo da extensão 4	Exemplo: usuário.extensionlattribute4
Atributo da extensão 5	Exemplo: user.extensionattribute5

Configure Atributos de perfil .

Tabela 3. Atributos do perfil
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
ID externa	Exemplo: usuário.objectid	Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.
funcionário/a	Exemplo: usuário.Employeeid	O número de funcionário deste usuário ou um número de identificação dentro do sistema de RH. Observe que isso não é para "externalid", porque você pode reutilizar ou reciclar "Employeenumber" para outros usuários.
preferredLanguage	Exemplo: usuário.preferredlanguage	O idioma preferido do usuário.
localidade	Exemplo: usuário.localidade	O local de trabalho principal do usuário.
fuso horário	Exemplo: usuário.timezone	O fuso horário principal do usuário.
displayName	Exemplo: user.displayname	O nome de exibição do usuário no Webex.
nome.givenName	Exemplo: usuário.givenname	O primeiro nome do usuário.
nome.famíliaName	Exemplo: usuário.surname	O sobrenome do usuário.
endereços.streetAddress	Exemplo: usuário.streetaddress	O endereço do local de trabalho principal.
endereços.estado	Exemplo: usuário.estado	O estado do local de trabalho principal.
endereços.região	Exemplo: usuário.região	A região do local de trabalho principal.
endereços.postalCode	Exemplo: user.postalcode	O código postal do local de trabalho principal.
endereços.país	Exemplo: usuário.país	O país do local de trabalho principal.
phoneNumbers.work	Exemplo: foneumber de trabalho	O número de telefone comercial do local de trabalho principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).
phoneNumbers.extension	Exemplo: foneumber móvel	O ramal comercial do número de telefone comercial principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).
pronome	Exemplo: usuário.pronoun	Os pronomes do usuário. Este é um atributo opcional e o usuário ou administrador pode torná-lo visível em seu perfil.
cargo	Exemplo: user.jobtitle	O cargo do usuário.
departamento	Exemplo: usuário.departamento	O departamento ou equipe de trabalho do usuário.
pronome	Exemplo: usuário.pronoun	Este é o pronome do usuário. A visibilidade desse atributo é controlada pelo administrador e pelo usuário
manager	Exemplo: manager	O gerente do usuário ou o líder da equipe.
costcenter	Exemplo: central de custos	Este é o sobrenome do usuário também conhecido como sobrenome ou sobrenome
e-mail.alternativo1	Exemplo: usuário.mailnickname	Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de iniciar sessão usando-o, mapeie-o para o uid.
e-mail.alternativo2	Exemplo: user.primaryauthoritativemail	Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de iniciar sessão usando-o, mapeie-o para o uid.
e-mail.alternativo3	Exemplo: usuário.alternativeauthoritativemail	Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de iniciar sessão usando-o, mapeie-o para o uid.
e-mail.alternativo4	Exemplo: usuário.othermail	Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de iniciar sessão usando-o, mapeie-o para o uid.
e-mail.alternativo5	Exemplo: usuário.othermail	Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de iniciar sessão usando-o, mapeie-o para o uid.

Configure Atributos do ramal .

Mapeie esses atributos para atributos estendidos no Active Directory, no Azure ou no seu diretório para códigos de rastreamento.

Tabela 4. Atributos do ramal
Nome do atributo de identidade Webex	Nome do atributo SAML
Atributo da extensão 1	Exemplo: user.extensionattribute1
Atributo de ramal 2	Exemplo: user.extensionattribute2
Atributo da extensão 3	Exemplo: user.extensionattribute3
Atributo da extensão 4	Exemplo: user.extensionattribute4
Atributo da extensão 5	Exemplo: user.extensionattribute5
Atributo da extensão 6	Exemplo: user.extensionattribute6
Atributo da extensão 7	Exemplo: user.extensionattribute7
Atributo da extensão 8	Exemplo: user.extensionattribute8
Atributo da extensão 9	Exemplo: user.extensionattribute9
Atributo da extensão 10	Exemplo: user.extensionattribute10

Configure Atributos do grupo .

Crie um grupo no Control Hub e observe a ID do grupo Webex.
Vá para seu diretório de usuário ou IdP e configure um atributo para usuários que serão atribuídos à ID de grupo Webex.
Atualize a configuração do seu IdP para incluir uma reivindicação que carrega este nome de atributo juntamente com a ID de grupo Webex (por exemplo, c65f7d85-b691-42b8-a20b-12345xxxx). Você também pode usar a ID externa para gerenciar alterações nos nomes dos grupos ou em cenários de integração futuros. Por exemplo, sincronizar com o Azure AD ou implementar a sincronização de grupo SCIM.
Especifique o nome exato do atributo que será enviado na declaração SAML com a ID do grupo. Isso é usado para adicionar o usuário a um grupo.
Especifique o nome exato da ID externa do objeto de grupo se você estiver usando um grupo do seu diretório para enviar membros na asserção SAML.

Se o usuário A estiver associado a groupID 1234 e usuário B com groupID 4567, eles são atribuídos a grupos separados. Esse cenário indica que um único atributo permite que os usuários associem com várias IDs de grupo. Embora isso seja incomum, é possível e pode ser considerado como uma mudança aditiva. Por exemplo, se O usuário Inicialmente iniciar sessão usando groupID 1234, eles se tornam membros do grupo correspondente. Se o usuário A posteriormente iniciar sessão usando groupID 4567, eles também são adicionados a este segundo grupo.

O provisionamento SAML JIT não suporta a remoção de usuários de grupos ou qualquer exclusão de usuários.

Tabela 5. Atributos do grupo
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
groupId	Exemplo: groupId	Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.
groupexternalId	Exemplo: groupexternalId	Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.

Para obter uma lista de atributos de Asserção SAML do Webex Meetings, consulte https://help.webex.com/article/WBX67566.

Excluir seu Provedor de identidade (IdP)

Antes de você começar

É recomendável primeiro desativar ou excluir as regras de roteamento do IdP antes de excluir o IdP.

1	Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .
2	Vá para a guia Provedor de identidade .
3	Vá para o IdP e clique em.
4	Selecione Excluir.

1	Na exibição do cliente em https://admin.webex.com, vá para Management > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .
2	Vá para a guia Provedor de identidade .
3	Clique em Desativar SSO . Confirme a desativação do logon único.

Depois de confirmado, o logon único é desativado para todos os IdPs em sua organização.

Você receberá alertas no Control Hub antes que os certificados sejam definidos para expirar, mas você também pode configurar regras de alerta proativamente. Essas regras permitem que você saiba com antecedência que seus certificados SP ou IdP expirarão. Podemos enviá-los por e-mail, um espaço no aplicativo Webex ou ambos.

Independentemente do canal de entrega configurado, todos os alertas sempre aparecem no Control Hub. Consulte Central de alertas no Control Hub para obter mais informações.

Na exibição do cliente em https://admin.webex.com, vá para Centro de alertas .

Escolha Gerenciar e depois Todas as regras .

Na lista de Regras, escolha qualquer uma das regras de SSO que você deseja criar:

Expiração do certificado IDP de SSO
Expiração do certificado SSO SP

Na seção do canal de entrega, marque a caixa Email , Espaço Webex , ou ambos.

Se você escolher E-mail, insira o endereço de e-mail que deve receber a notificação.

Se você escolher a opção de espaço Webex, será automaticamente adicionado a um espaço dentro do aplicativo Webex e forneceremos as notificações lá.

Salve suas alterações.

O que fazer em seguida

Enviamos alertas de expiração do certificado uma vez a cada 15 dias, começando 60 dias antes da expiração. (Você pode esperar alertas no dia 60, 45, 30 e 15.) Os alertas são interrompidos quando você renova o certificado.

Se você tiver problemas com seu logon de SSO, poderá usar a opção de autorecuperação de SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de autorecuperação permite que você atualize ou desative o SSO no Control Hub.

Por que você pode precisar de vários IdPs

Limitações

Fora do escopo

Pré-requisitos

Antes de você começar

Configurar SAML

O que fazer em seguida

Configurar o OpenID Connect

O que fazer em seguida

Configurar identidade Webex

O que fazer em seguida

Adicionar ou editar regras de roteamento

Desativar ou excluir regras de roteamento

Gerenciar os certificados do Provedor de identidade (IdP)

Antes de você começar

Gerenciar os certificados do provedor de serviços (SP)

Antes de você começar

Teste sua configuração de SSO

Antes de você começar

Configurar o mapeamento Just In Time (JIT) e SAML

Antes de você começar

Excluir seu Provedor de identidade (IdP)

Antes de você começar

O que fazer em seguida

Pequena empresa

Empresa

Dispositivos

Soluções para

Recursos

Empresa