O logon único (SSO) permite que os usuários efetuem login no Webex com segurança por meio da autenticação no provedor de identidade comum da sua organização. Um provedor de identidade (IdP) armazena e gerencia com segurança as identidades digitais dos seus usuários e fornece o serviço de autenticação de usuário para seus usuários Webex.

Por que você pode precisar de vários IdPs

Muitas grandes empresas passam por fusões e aquisições, e essas empresas raramente têm a mesma infraestrutura de TI e provedores de identidade. As instituições governamentais têm várias organizações e agências subordinadas a elas. Muitas vezes, essas organizações têm um único endereço de e-mail para seus próprios departamentos de TI e infraestrutura, respectivamente. As principais instituições educacionais têm um departamento central de compras, mas diferentes universidades e faculdades têm diferentes organizações e departamentos de TI.

É comum ver IdPs e provedores de serviços (SPs) federados entre si. O IdP é responsável por autenticar as credenciais dos seus usuários e o SP confia na autenticação feita pelo IdP. Isso permite que seus usuários acessem vários aplicativos e serviços SaaS usando a mesma identidade digital. Mas, se por algum motivo sua organização não puder federar entre os IdPs, o Webex fornece uma solução alternativa para oferecer suporte a vários IdPs. Por esses motivos, estamos oferecendo a você a opção de configurar o SSO para vários IdPs no Webex e simplificar o processo de autenticação dos seus usuários.

Limitações

  • Atualmente, oferecemos suporte apenas a SAML, OpenID Connect e Webex Identity como provedores de identidade.

Fora do escopo

  • Configurar atribuições de grupo.

Esta seção aborda como você pode integrar seus provedores de identidade (IdP) à sua organização Webex. Você pode escolher os IdPs que melhor atendem aos requisitos da sua organização.

Se você estiver procurando pela integração SSO de um site Webex Meetings (gerenciado na Administração do Site), consulte Configurar logon único para administração do Webex.

Pré-requisitos

Antes de começar

Certifique-se de que as seguintes condições sejam atendidas:

    • Você deve ter uma função de administrador completo no Control Hub.
    • Um arquivo de metadados do IdP para fornecer ao Webex e um arquivo de metadados do Webex para fornecer ao IdP. Para obter mais informações, consulte Integração de logon único no Control Hub. Isso só se aplica à configuração SAML.
    • Você deve planejar o comportamento das suas regras de roteamento antes de configurar vários IdPs.

    A regra de roteamento padrão é aplicada depois que você configura seu IdP inicial. Mas você pode definir outro IdP como padrão. Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento neste artigo.

Configurar SAML
1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade e clique em Ativar SSO.

4

Selecione SAML como seu IdP e clique em Avançar.

5

Escolha o tipo de certificado:

  • Autoassinado pela Cisco—Recomendamos esta opção. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública—Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor de IdP ofereça suporte a âncoras de confiança).

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

6

Clique em Baixar metadados e em Próximo.

O nome do arquivo de metadados do aplicativo Webex é idb-meta-<org-ID>-SP.xml.

7

Carregue seu arquivo de metadados IdPs ou preencha o formulário de configuração.

Ao carregar o arquivo de metadados, há duas maneiras de validar os metadados do IdP do cliente:

  • O IdP do cliente fornece uma assinatura nos metadados que é assinada por uma CA raiz pública.
  • O IdP do cliente fornece uma CA privada autoassinada ou não fornece uma assinatura para os metadados. Esta opção é menos segura.
Caso contrário, no formulário de configuração, insira as informações do IdP.

Clique em Próximo.

8

(Opcional) Você pode alterar o nome do atributo SAML para Nome de usuário Webex ou Endereço de e-mail principal de uid para algo acordado com o gerente do IdP, como email, upn, etc.

9

(Opcional) Configure as configurações Just In Time (JIT) e a resposta de mapeamento SAML.

Consulte Configurar mapeamento Just In Time (JIT) e SAML na guia Gerenciar seus IdPs neste artigo.
10

Clique em Testar configuração de SSOe, quando uma nova guia do navegador abrir, autentique-se com o IdP fazendo login.

Teste a conexão SSO anterior antes de habilita-la. Esta etapa funciona como uma dry run e não afeta as configurações da sua organização até que você permita SSO próxima etapa.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver a experiência de login do SSO, recomendamos que você clique em Copiar URL para a área de transferência nesta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

11

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ative SSO e IdP e clique em Ativar.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Retorne às etapas anteriores para corrigir erros.

A configuração do SSO não entrará em vigor na sua organização a menos que você escolha o primeiro botão de opção e ative o SSO.

O que fazer em seguida

Você pode configurar uma regra de roteamento. Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento neste artigo.

Você pode seguir o procedimento em Suprimir e-mails automatizados para desabilitar e-mails enviados a novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Configurar OpenID Connect
1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade e clique em Ativar SSO.

4

Selecione OpenID Connect como seu IdP e clique em Avançar.

5

Insira as informações do seu IdP.

  • Nome—O nome para identificar seu IdP.
  • ID do cliente— O ID exclusivo para identificar você e seu IdP.
  • Segredo do cliente—A senha que você e seu IdP conhecem.
  • Escopos—Os escopos a serem associados ao seu IdP.

6

Escolha como adicionar pontos de extremidade. Isso pode ser feito automaticamente ou manualmente.

  • Use a URL de descoberta para adicionar endpoints automaticamente.

    • Digite o URL de descoberta para seu IdP. Esta URL preencherá automaticamente os endpoints necessários para o logout único do OIDC (SLO).
    • Ative Permitir que a sessão saia automaticamente para garantir que os usuários sejam desconectados de todos os aplicativos e serviços conectados quando fizerem logout do Webex.

  • Se preferir Adicionar manualmente todas as informações do endpoint, adicione os seguintes detalhes.

    • Emissor— Insira o URL do emissor conforme especificado pelo seu IdP.
    • Ponto de extremidade de autorização— Insira a URL para o ponto de extremidade de autorização.
    • Ponto final do token— Insira a URL para o ponto final do token.
    • Ponto de extremidade JWKS— Insira a URL do conjunto de chaves da Web JSON (JWKS).
    • Ponto de extremidade de informações do usuário— Insira a URL para o ponto de extremidade de informações do usuário.
    • Se Permitir que a sessão saia automaticamente estiver ativado, você deverá inserir a URL Ponto de extremidade de saída da sessão para habilitar o logout único (SLO) em todos os aplicativos conectados.
    Para obter mais informações, consulte o Guia de configuração do OpenID Connect.

7

(Opcional) Configure as configurações Just In Time (JIT).

Consulte Configurar mapeamento Just In Time (JIT) e SAML na guia Gerenciar seus IdPs neste artigo.
8

Clique em Testar configuração de SSOe, quando uma nova guia do navegador abrir, autentique-se com o IdP fazendo login.

Teste a conexão SSO anterior antes de habilita-la. Esta etapa funciona como uma dry run e não afeta as configurações da sua organização até que você permita SSO próxima etapa.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver a experiência de login do SSO, recomendamos que você clique em Copiar URL para a área de transferência nesta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

9

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ative SSO e IdP e clique em Ativar.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Retorne às etapas anteriores para corrigir erros.

A configuração do SSO não entrará em vigor na sua organização a menos que você escolha o primeiro botão de opção e ative o SSO.

O que fazer em seguida

Você pode configurar uma regra de roteamento. Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento neste artigo.

Você pode seguir o procedimento em Suprimir e-mails automatizados para desabilitar e-mails enviados a novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

Configurar identidade Webex
1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade e clique em Ativar SSO.

4

Selecione Webex como seu IdP e clique em Avançar.

5

Marque Li e entendi como o Webex IdP funciona e clique em Avançar.

6

Configure uma regra de roteamento.

Consulte Adicionar ou editar regra de roteamento na guia Regras de roteamento neste artigo.

Depois de adicionar uma regra de roteamento, seu IdP é adicionado e exibido na guia Provedor de identidade.

O que fazer em seguida

Você pode seguir o procedimento em Suprimir e-mails automatizados para desabilitar e-mails enviados a novos usuários do aplicativo Webex na sua organização. O documento também contém as melhores práticas para o envio de comunicações aos usuários em sua organização.

As regras de roteamento são aplicáveis ao configurar mais de um IdP. As regras de roteamento permitem que o Webex identifique para qual IdP enviar seus usuários quando você tiver configurado vários IdPs.

Ao configurar mais de um IdP, você pode definir suas regras de roteamento no assistente de configuração de SSO. Se você pular a etapa da regra de roteamento, o Control Hub adicionará o IdP, mas não o ativará. Você deve adicionar uma regra de roteamento para ativar o IdP.

Adicionar ou editar regras de roteamento
1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Regras de roteamento.

Ao configurar seu primeiro IdP, a regra de roteamento é adicionada automaticamente e definida como Regra padrão. Você pode escolher outro IdP para definir como regra padrão mais tarde.

4

Clique em Adicionar nova regra de roteamento.

5

Insira os detalhes de uma regra de roteamento:

  • Nome da regra— Insira o nome da regra de roteamento.
  • Selecione um tipo de roteamento—Selecione domínio ou grupo.
  • Se estes são seus domains/groups—Entre no domains/groups dentro da sua organização.
  • Em seguida, use este provedor de identidade—Selecione o IdP.

6

Selecione o método de autenticação multifator (MFA):

  • Manter o status atual do MFA—Permite que você mantenha o método MFA existente sem fazer alterações.
  • Substituir o status atual do MFA—Permite que você altere o método MFA existente para uma nova configuração.
  • Permitir MFA somente para esta regra— Ative para habilitar MFA especificamente para a regra de roteamento atual.

Para obter mais informações sobre como configurar o MFA para sua organização, consulte Habilitar integração de autenticação multifator no Control Hub.

7

Clique em Adicionar.

8

Selecione a nova regra de roteamento e clique em Ativar.

Você pode alterar a ordem de prioridade das regras de roteamento se tiver regras de roteamento para vários IdPs.

Desativar ou excluir regras de roteamento
1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Regras de roteamento.

4

Selecione a regra de roteamento.

5

Escolha se deseja Desativar ou Excluir a regra de roteamento.

É recomendável que você tenha outra regra de roteamento ativa para o IdP. Caso contrário, você poderá ter problemas com seu login SSO.

A regra Padrão não pode ser desativada ou excluída, mas você pode modificar o IdP roteado.

Gerencie seus certificados de Provedor de Identidade (IdP)

Antes de começar

De tempos em tempos, você pode receber uma notificação por e-mail ou ver um alerta no Control Hub de que o certificado IdP irá expirar. Como os fornecedores IdP possuem sua própria documentação específica para renovação de certificados, cobrimos o que é necessário no Control Hub, juntamente com passos genéricos para recuperar metadados IdP atualizados e carregue-os no Control Hub para renovar o certificado.

Isso só se aplica à configuração SAML.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP, clique em carregar e selecione Carregar metadados do IdP.

Para baixar o arquivo de metadados, clique em Baixar e selecione Baixar metadados Idp.
5

Navegue até a interface de gerenciamento do IdP para recuperar o novo arquivo de metadados.

6

Retorne ao Control Hub e arraste e solte seu arquivo de metadados IdP na área de upload ou clique em Escolher um arquivo para carregar os metadados.

7

Escolha Menos seguro (autoassinado) ou Mais seguro (assinado por uma CA pública), dependendo de como seus metadados IdP são assinados e clique em Salvar.

8

Configure as configurações Just In Time (JIT) e a resposta de mapeamento SAML.

Consulte Configurar mapeamento Just In Time (JIT) e SAML na guia Gerenciar seus IdPs neste artigo.
9

Clique em Testar configuração de SSOe, quando uma nova guia do navegador abrir, autentique-se com o IdP fazendo login.

Teste a conexão SSO anterior antes de habilita-la. Esta etapa funciona como uma dry run e não afeta as configurações da sua organização até que você permita SSO próxima etapa.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver a experiência de login do SSO, recomendamos que você clique em Copiar URL para a área de transferência nesta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

10

Clique em Salvar.

Gerencie seus certificados de Provedor de Serviços (SP)

Antes de começar

É recomendável que você atualize todos os seus IdPs na sua organização ao renovar seu certificado SP.

Isso só se aplica à configuração SAML.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP e clique em .

5

Clique em Revisar certificados e data de validade.

Isso o levará para a janela Certificados do Provedor de Serviços (SP).
6

Clique em Renovar certificado.

7

Escolha o tipo de IdP em sua organização:

  • Um IdP que suporta múltiplos certificados
  • Um IdP que suporta um único certificado
8

Escolha o tipo de certificado para a renovação:

  • Autoassinado pela Cisco—Recomendamos esta opção. Deixe-nos assinar o certificado, assim você só precisará renová-lo uma vez a cada cinco anos.
  • Assinado por uma autoridade de certificação pública—Mais seguro, mas você precisará atualizar os metadados com frequência (a menos que seu fornecedor de IdP ofereça suporte a âncoras de confiança).

Os âncoras de confiança são as chaves públicas que agem como uma autoridade para verificar o certificado de uma assinatura digital. Para obter mais informações, consulte a documentação do IdP.

9

Clique em Baixar metadados ou Baixar certificado para baixar uma cópia do arquivo de metadados atualizado ou certificado da nuvem Webex.

10

Navegue até sua interface de gerenciamento de IdP para carregar o novo arquivo de metadados ou certificado do Webex.

Esta etapa pode ser feita através de uma guia do navegador, protocolo de desktop remoto (RDP) ou através do suporte específico do provedor de nuvem, dependendo da configuração do IdP e se você ou um administrador IdP separado são responsáveis por essa etapa.

Para obter mais informações, consulte nossos guias de integração de SSO ou entre em contato com o administrador do seu IdP para obter suporte. Se você estiver no Active Directory Federation Services (AD FS), poderá ver como atualizar os metadados do Webex no AD FS

11

Retorne à interface do Control Hub e clique em Avançar.

12

Selecione Atualizados com sucesso todos os IdPs e clique em Avançar.

Isso carrega o arquivo de metadados do SP ou o certificado para todos os IdPs na sua organização.

13

Clique em Concluir renovação.

Teste sua configuração de SSO

Antes de você começar

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP e clique em Menu “Mais”.

5

Selecione Testar IdP.

6

Clique em Testar configuração de SSOe, quando uma nova guia do navegador abrir, autentique-se com o IdP fazendo login.

Se você receber um erro de autenticação, pode haver um problema com as credenciais. Verifique o nome de usuário e a senha e tente novamente.

Um erro do aplicativo Webex geralmente significa um problema com a SSO configuração completa. Nesse caso, percorra as etapas novamente, especialmente as etapas em que você copia e cola os metadados do Control Hub na configuração do IdP.

Para ver a experiência de login do SSO, recomendamos que você clique em Copiar URL para a área de transferência nesta tela e cole-a em uma janela privada do navegador. A partir daí, você poderá iniciar sessão com o SSO. Isso ajuda a remover qualquer informação armazenada em cache no navegador da web que possa fornecer um resultado falso positivo ao testar sua configuração de SSO.

7

Volte para a guia do navegador do Control Hub.

  • Se o teste foi bem-sucedido, selecione Teste bem-sucedido. Ative SSO e IdP e clique em Salvar.
  • Se o teste foi mal sucedido, selecione Teste malsucedido. Retorne às etapas anteriores para corrigir erros.

A SSO organizador não tem efeito em sua organização, a menos que você escolha a botão de opção nome e ative o SSO.

Configurar mapeamento Just In Time (JIT) e SAML

Antes de você começar

Certifique-se de que as seguintes pré-condições sejam atendidas:

  • SSO já está configurado.

  • Os domínios já foram verificados.

  • Os domínios são reivindicados e ativados. Esse recurso garante que os usuários do seu domínio sejam criados e atualizados uma vez cada vez que forem autenticados com seu IdP.

  • Se o DirSync ou o Azure AD estiverem habilitados, a criação ou atualização do SAML JIT não funcionará.

  • "Bloquear perfil do usuário atualização" está ativado. O mapeamento de atualização do SAML é permitido porque essa configuração controla a capacidade do usuário de editar os atributos. Métodos controlados pela administração de criação e atualização ainda são suportados.

Ao configurar o SAML JIT com o Azure AD ou um IdP em que o email não é um identificador permanente, recomendamos que você use o atributo de vinculação externalId para mapear para um Identificador Exclusivo. Se descobrirmos que o e-mail não corresponde ao atributo de vinculação, o usuário será solicitado a verificar sua identidade ou criar um novo usuário com o endereço de e-mail correto.

Os usuários recém-criados não receberão licenças automaticamente, a menos que a organização tenha um modelo de licença automático definido.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP e clique em Menu “Mais”.

5

Selecione Editar mapeamento SAML.

6

Configurar configurações Just-in-Time (JIT).

  • Crie ou ative um usuário: se nenhum usuário ativo for encontrado, o Webex Identity cria o usuário e atualiza os atributos depois que o usuário for autenticado com o IdP.
  • Atualize o usuário com atributos SAML: se um usuário com endereço de e-mail for encontrado, então a Identidade Webex atualiza o usuário com os atributos mapeados na Declaração SAML.
Confirme se os usuários podem fazer login com um endereço de e-mail diferente e não identificável.

7

Configurar atributos necessários para mapeamento SAML.

Tabela 1. Atributos obrigatórios

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

Nome de usuário/Endereço de e-mail primário

Exemplo: UID

Mapeie o atributo UID no e-mail, upn ou edupersonprincipalname do usuário provisionado.

8

Configurar os atributos de vinculação.

Isso deve ser exclusivo para o usuário. Ele é usado para pesquisar um usuário para que o Webex possa atualizar todos os atributos do perfil, incluindo o e-mail de um usuário.
Tabela 2. Atributos de vinculação

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

ID externa

Exemplo: user.objectid

Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.

Employeenumber

Exemplo: user.employeeid

O número de funcionário do usuário ou um número de identificação no sistema de RH. Observe que isso não é para externalid, porque você pode reutilizar ou reciclar employeenumber para outros usuários.

Atributo de extensão 1

Exemplo: user.extensionattribute1

Mapeie esses atributos personalizados para atributos estendidos no Active Directory, no Azure ou no seu diretório, para códigos de rastreamento.

Atributo de extensão 2

Exemplo: user.extensionattribute2

Atributo de extensão 3

Exemplo: user.extensionattribute3

Atributo de extensão 4

Exemplo: usuário.extensionlattribute4

Atributo de extensão 5

Exemplo: user.extensionattribute5

9

Configurar Atributos de perfil.

Tabela 3. Atributos do perfil

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

ID externa

Exemplo: user.objectid

Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.

Employeenumber

Exemplo: user.employeeid

O número do funcionário deste usuário ou um número de identificação no sistema de RH. Note que isso não é para "externalid", pois você pode reutilar ou reciclar o "número de funcionários" para outros usuários.

Idioma preferido

Exemplo: usuário.preferredlanguage

O idioma preferido do usuário.

Localidade

Exemplo: usuário.localidade

O local de trabalho principal do usuário.

Timezone

Exemplo: user.timezone

O fuso horário principal do usuário.

displayName

Exemplo: user.displayname

O nome de exibição do usuário no Webex.

nome.givenName

Exemplo: user.givenname

O primeiro nome do usuário.

nome.famíliaName

Exemplo: usuário.sobrenome

O sobrenome do usuário.

endereços.streetAddress

Exemplo: user.streetaddress

O endereço do local de trabalho principal.

endereços.state

Exemplo: user.state

O estado de sua localização de trabalho principal.

endereços.região

Exemplo: usuário.região

A região do local de trabalho principal.

endereços.postalCode

Exemplo: user.postalcode

O código postal do local de trabalho principal.

endereços.país

Exemplo: usuário.país

O país do local de trabalho principal.

phoneNumbers.work

Exemplo: número de telefone de trabalho

O número de telefone comercial do local de trabalho principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).

phoneNumbers.extension

Exemplo: número de telefone móvel

O ramal comercial do número de telefone comercial principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).

Pronome

Exemplo: user.pronoun

O pronome do usuário. Este é um atributo opcional e o usuário ou administrador pode torná-lo visível em seu perfil.

cargo

Exemplo: user.jobtitle

O cargo do usuário.

departamento

Exemplo: usuário.departamento

O departamento ou equipe de trabalho do usuário.

Pronome

Exemplo: user.pronoun

Este é o pronome do usuário. A visibilidade deste atributo é controlada pelo Administrador e pelo usuário

gerente

Exemplo: gerente

O gerente do usuário ou o líder da equipe.

centro de custos

Exemplo: centro de custos

Este é o sobrenome do usuário também conhecido como sobrenome ou sobrenome

email.alternate1

Exemplo: user.mailzhname

Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de entrar usando ele, mapeie-o para o uid.

email.alternate2

Exemplo: user.primaryauthoritativemail

Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de entrar usando ele, mapeie-o para o uid.

email.alternate3

Exemplo: user.alternativeauthoritativemail

Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de entrar usando ele, mapeie-o para o uid.

email.alternate4

Exemplo: usuário.othermail

Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de entrar usando ele, mapeie-o para o uid.

email.alternate5

Exemplo: usuário.othermail

Um endereço de e-mail alternativo para o usuário. Se você quiser que o usuário seja capaz de entrar usando ele, mapeie-o para o uid.
10

Configurar Atributos de extensão.

Mapeie esses atributos para atributos estendidos Active Directory, Azure ou seu diretório para códigos de rastreamento.
Tabela 4. Atributos da extensão

Nome do atributo de identidade Webex

Nome do atributo SAML

Atributo de extensão 1

Exemplo: user.extensionattribute1

Atributo de extensão 2

Exemplo: user.extensionattribute2

Atributo de extensão 3

Exemplo: user.extensionattribute3

Atributo de extensão 4

Exemplo: user.extensionattribute4

Atributo de extensão 5

Exemplo: user.extensionattribute5

Atributo de extensão 6

Exemplo: user.extensionattribute6

Atributo de extensão 7

Exemplo: user.extensionattribute7

Atributo de extensão 8

Exemplo: user.extensionattribute8

Atributo de extensão 9

Exemplo: user.extensionattribute9

Atributo de extensão 10

Exemplo: user.extensionattribute10

11

Configurar Atributos de grupo.

  1. Crie um grupo no Control Hub e anote o ID do grupo Webex.
  2. Acesse seu diretório de usuários ou IdP e configure um atributo para os usuários que serão atribuídos ao ID do grupo Webex.
  3. Atualize a configuração do seu IdP para incluir uma reivindicação que carregue este nome de atributo junto com o ID do grupo Webex (por exemplo, c65f7d85-b691-42b8-a20b-12345xxxx). Você também pode usar o ID externo para gerenciar alterações em nomes de grupos ou para cenários de integração futuros. Por exemplo, sincronizar com o Azure AD ou implementar a sincronização de grupo SCIM.
  4. Especifique o nome exato do atributo que será enviado na Asserção SAML com o ID do grupo. Isso é usado para adicionar o usuário a um grupo.
  5. Especifique o nome exato do ID externo do objeto de grupo se estiver usando um grupo do seu diretório para enviar membros na Asserção SAML.

Se o usuário A estiver associado a groupID 1234 e o usuário B a groupID 4567, eles serão atribuídos a grupos separados. Este cenário indica que um único atributo permite que os usuários se associem a vários IDs de grupo. Embora isso seja incomum, é possível e pode ser considerado uma mudança aditiva. Por exemplo, se o usuário A fizer login inicialmente usando groupID 1234, ele se tornará um membro do grupo correspondente. Se o usuário A fizer login posteriormente usando groupID 4567, ele também será adicionado a este segundo grupo.

O provisionamento SAML JIT não oferece suporte à remoção de usuários de grupos ou qualquer exclusão de usuários.

Tabela 5. Atributos de grupo

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

ID do grupo

Exemplo: ID do grupo

Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.

IDexterno do grupo

Exemplo: IDexterno do grupo

Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.

Para uma lista de atributos de ass declaração SAML dos Webex Meetings, consulte https://help.webex.com/article/WBX67566.

Exclua seu Provedor de Identidade (IdP)

Antes de começar

É recomendável que você primeiro desative ou exclua as regras de roteamento do IdP antes de excluí-lo.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP e clique em Menu “Mais”.

5

Selecione Excluir.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Clique em Desativar SSO.

Confirme a desativação do SSO.

Uma vez confirmado, o SSO é desativado para todos os IdPs na sua organização.

Você receberá alertas no Control Hub antes que os certificados sejam definidos para expirar, mas você também pode configurar proativamente regras de alerta. Estas regras permitem que você saiba com antecedência que os seus certificados SP ou IdP vão expirar. Podemos enviá-los por e-mail, um espaço no aplicativoWebex, ou ambos.

Independentemente do canal de entrega configurado, todos os alertas sempre aparecem no ControlHub. Consulte o Centro de alertas no Control Hub para obter mais informações.

1

Inicie sessão no Control Hub.

2

Vá para Central de alertas.

3

Escolha Gerenciar, então Todas as regras.

4

Na lista Regras, escolha qualquer uma SSO regras específicas que você gostaria de criar:

  • SSO IDP expirou
  • SSO SP expirado
5

Na seção Canal de entrega, marque a caixa para E-mail, espaçoWebex, ou ambos.

Se você escolher E-mail, insira o endereço de e-mail que deve receber a notificação.

Se você escolher a opção do espaço Webex, você será automaticamente adicionado a um espaço dentro do aplicativo Webex e entregaremos as notificações lá.

6

Salve suas alterações.

O que fazer em seguida

Enviamos alertas de expiração do certificado uma vez a cada 15 dias, iniciando 60 dias antes de expirar. (Você pode esperar alertas nos dias 60, 45, 30 e 15.) Os alertas param quando você renova o certificado.

Caso tenha problemas com seu login SSO, você pode usar a opção Auto-recuperação SSO para obter acesso à sua organização Webex gerenciada no Control Hub. A opção de autorecuperação permite que você atualize ou desabilite o SSO no Control Hub.