Modificar a autenticação de single sign-on no Control Hub

Antes de você começar

Certifique-se de que as seguintes pré-condições sejam atendidas:

  • SSO já está configurado. Para obter informações sobre como usar o assistente de configuração SSO, consulte Integração de logon único no Control Hub.

  • Os domínios já foram verificados.

  • Os domínios são reivindicados e ativados. Esse recurso garante que os usuários do seu domínio sejam criados e atualizados uma vez cada vez que forem autenticados com seu IdP.

  • Se DirSync ou Entra ID estiverem habilitados, a criação ou atualização do SAML JIT não funcionará.

  • "Bloquear perfil do usuário atualização" está ativado. O mapeamento de atualização do SAML é permitido porque essa configuração controla a capacidade do usuário de editar os atributos. Métodos controlados pela administração de criação e atualização ainda são suportados.

Os usuários recém-criados não receberão licenças automaticamente, a menos que a organização tenha um modelo de licença automático definido.

O provisionamento de usuários para provisionamento SAML JIT de grupos é limitado a apenas um único grupo.

1

Inicie sessão no Control Hub.

2

Ir para Gestão > Segurança > Autenticação.

3

Vá para a aba Provedor de identidade.

4

Vá para o IdP e clique em Menu “Mais”.

5

Selecione Editar mapeamento SAML.

6

Configurar configurações Just-in-Time (JIT).

  • Crie ou ative um usuário: se nenhum usuário ativo for encontrado, o Webex Identity cria o usuário e atualiza os atributos depois que o usuário for autenticado com o IdP.
  • Atualize o usuário com atributos SAML: se um usuário com endereço de e-mail for encontrado, então a Identidade Webex atualiza o usuário com os atributos mapeados na Declaração SAML.
Confirme se os usuários podem fazer login com um endereço de e-mail diferente e não identificável.

7

Configurar atributos necessários para mapeamento SAML.

Tabela 1. Atributos obrigatórios

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

Nome de usuário/Endereço de e-mail primário

Exemplo: UID

Mapeie o atributo UID no e-mail, upn ou edupersonprincipalname do usuário provisionado.

8

Configurar os atributos de vinculação.

Isso deve ser exclusivo para o usuário. Ele é usado para pesquisar um usuário para que o Webex possa atualizar todos os atributos do perfil, incluindo o e-mail de um usuário.
Tabela 2. Atributos de vinculação

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

ID externa

Exemplo: user.objectid

Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.

Atributo de extensão 1

Exemplo: user.extensionattribute1

Mapeie esses atributos personalizados para atributos estendidos no Entra ID ou no seu diretório, para códigos de rastreamento.

Atributo de extensão 2

Exemplo: user.extensionattribute2

Atributo de extensão 3

Exemplo: user.extensionattribute3

Atributo de extensão 4

Exemplo: usuário.extensionlattribute4

Atributo de extensão 5

Exemplo: user.extensionattribute5

9

Configurar Atributos de perfil.

Tabela 3. Atributos do perfil

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

ID externa

Exemplo: user.objectid

Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.

Idioma preferido

Exemplo: usuário.preferredlanguage

O idioma preferido do usuário.

Localidade

Exemplo: usuário.localidade

O local de trabalho principal do usuário.

Timezone

Exemplo: user.timezone

O fuso horário principal do usuário.

displayName

Exemplo: user.displayname

O nome de exibição do usuário no Webex.

nome.givenName

Exemplo: user.givenname

O primeiro nome do usuário.

nome.famíliaName

Exemplo: usuário.sobrenome

O sobrenome do usuário.

endereços.streetAddress

Exemplo: user.streetaddress

O endereço do local de trabalho principal.

endereços.localidade

Exemplo: usuário.localidadeA localidade do local de trabalho principal.

endereços.região

Exemplo: usuário.região

A região do local de trabalho principal.

endereços.postalCode

Exemplo: user.postalcode

O código postal do local de trabalho principal.

endereços.país

Exemplo: usuário.país

O país do local de trabalho principal.

phoneNumbers.work

Exemplo: número de telefone de trabalho

O número de telefone comercial do local de trabalho principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).

phoneNumbers.extension

Exemplo: número de telefone de extensão

O ramal comercial do número de telefone comercial principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).

Números de telefone.celular

Exemplo: número de telefone móvelO número de telefone celular do local de trabalho principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).

cargo

Exemplo: user.jobtitle

O cargo do usuário.

departamento

Exemplo: usuário.departamento

O departamento ou equipe de trabalho do usuário.

e-mails.trabalhoExemplo: e-mails de trabalhoOs e-mails de trabalho do usuário.
organizaçãoExemplo: usuário.organizaçãoID da organização do usuário
10

Configurar Atributos de grupo.

  1. Crie um grupo no Control Hub e anote o ID do grupo Webex.
  2. Acesse seu diretório de usuários ou IdP e configure um atributo para os usuários que serão atribuídos ao ID do grupo Webex.
  3. Atualize a configuração do seu IdP para incluir uma reivindicação que carregue este nome de atributo junto com o ID do grupo Webex (por exemplo, c65f7d85-b691-42b8-a20b-12345xxxx). Você também pode usar o ID externo para gerenciar alterações em nomes de grupos ou para cenários de integração futuros. Por exemplo, sincronizar com o Entra ID ou implementar a sincronização de grupo SCIM.
  4. Especifique o nome exato do atributo que será enviado na Asserção SAML com o ID do grupo. Isso é usado para adicionar o usuário a um grupo.
  5. Especifique o nome exato do ID externo do objeto de grupo se estiver usando um grupo do seu diretório para enviar membros na Asserção SAML.

Se o usuário A estiver associado a groupID 1234 e o usuário B a groupID 4567, eles serão atribuídos a grupos separados. Este cenário indica que um único atributo permite que os usuários se associem a vários IDs de grupo. Embora isso seja incomum, é possível e pode ser considerado uma mudança aditiva. Por exemplo, se o usuário A fizer login inicialmente usando groupID 1234, ele se tornará um membro do grupo correspondente. Se o usuário A fizer login posteriormente usando groupID 4567, ele também será adicionado a este segundo grupo.

O provisionamento SAML JIT não oferece suporte à remoção de usuários de grupos ou qualquer exclusão de usuários.

Tabela 4. Atributos de grupo

Nome do atributo de identidade Webex

Nome do atributo SAML

Descrição do atributo

ID do grupo

Exemplo: ID do grupo

Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.

IDexterno do grupo

Exemplo: IDexterno do grupo

Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.

Para uma lista de atributos de ass declaração SAML dos Webex Meetings, consulte https://help.webex.com/article/WBX67566.