Criação automática de conta SAML e atualização do Control Hub

Modificar a autenticação de single sign-on no Control Hub

Antes de você começar

Certifique-se de que as seguintes pré-condições sejam atendidas:

SSO já está configurado. Para obter informações sobre como usar o assistente de configuração SSO, consulte Integração de Single Sign-On no Control Hub.
Os domínios já foram verificados.
Os domínios já foram reivindicados e estão ativados. Essa funcionalidade garante que os usuários do seu domínio sejam criados e atualizados apenas uma vez a cada autenticação com o seu IdP.
Se o DirSync ou o Entra ID estiverem ativados, a criação ou atualização do SAML JIT não funcionará.
Bloquear atualização do perfil do usuário está ativado. O mapeamento de atualização do SAML é permitido porque essa configuração controla a capacidade do usuário de editar os atributos. Métodos controlados pela administração de criação e atualização ainda são suportados.
Impedir que os usuários se registrem sozinhos com seu domínio deve estar ativado. A criação de contas SAML JIT não funcionará se essa configuração estiver desativada. Para obter mais informações, consulte Impedir que os usuários se registrem sozinhos em seu domínio.

Os usuários recém-criados não receberão licenças automaticamente, a menos que a organização tenha um modelo de licença automático definido.

O provisionamento de usuários para o provisionamento SAML JIT de grupos é limitado a um único grupo.

Configure o mapeamento Just-in-Time (JIT) e SAML.

Inicie sessão no Control Hub.

Acesse Gerenciamento > Segurança > Autenticação.

Acesse a guia Provedor de identidade.

Acesse o IdP e clique em Menu “Mais” .

Selecione Editar mapeamento SAML.

Configurar Configurações Just-in-Time (JIT).

Crie ou ative um usuário: Caso nenhum usuário ativo seja encontrado, o Webex Identity cria o usuário e atualiza os atributos após o usuário se autenticar com o IdP.
Atualize o usuário com atributos SAML: se um usuário com endereço de e-mail for encontrado, então a Identidade Webex atualiza o usuário com os atributos mapeados na Declaração SAML.

Confirme se os usuários podem fazer login com um endereço de e-mail diferente e não identificável.

Configure os atributos necessários para o mapeamento SAML.

Tabela 1. Atributos obrigatórios
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
Nome de usuário/Endereço de e-mail primário	Exemplo: UID	Mapeie o atributo UID no e-mail, upn ou edupersonprincipalname do usuário provisionado.

Configure os atributos de vinculação .

Isso deve ser exclusivo para cada usuário. É utilizado para localizar um usuário para que o Webex possa atualizar todos os atributos do perfil, incluindo o e-mail do usuário.

Tabela 2. Atributos de ligação
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
ID externa	Exemplo: user.objectid	Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.
Atributo de extensão 1	Exemplo: user.extensionattribute1	Mapeie esses atributos personalizados para atributos estendidos no Entra ID ou em seu diretório, para códigos de rastreamento.
Atributo de extensão 2	Exemplo: user.extensionattribute2
Atributo de extensão 3	Exemplo: user.extensionattribute3
Atributo de extensão 4	Exemplo: atributo de extensão do usuário4
Atributo de extensão 5	Exemplo: user.extensionattribute5

Configurar Atributos de perfil.

Tabela 3. Atributos do perfil
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
ID externa	Exemplo: user.objectid	Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.
Idioma preferido	Exemplo: usuário.preferredlanguage	O idioma preferido do usuário.
Localidade	Exemplo: usuário.localidade	O local de trabalho principal do usuário.
Timezone	Exemplo: user.timezone	O fuso horário principal do usuário.
displayName	Exemplo: user.displayname	O nome de exibição do usuário no Webex.
nome.givenName	Exemplo: user.givenname	O primeiro nome do usuário.
nome.famíliaName	Exemplo: usuário.sobrenome	O sobrenome do usuário.
endereços.streetAddress	Exemplo: user.streetaddress	O endereço do local de trabalho principal.
endereços.localidade	Exemplo: usuário.localidade	A localidade do local de trabalho principal.
endereços.região	Exemplo: usuário.região	A região do local de trabalho principal.
endereços.postalCode	Exemplo: user.postalcode	O código postal do local de trabalho principal.
endereços.país	Exemplo: usuário.país	O país do local de trabalho principal.
phoneNumbers.work	Exemplo: número de telefone de trabalho	O número de telefone comercial do local de trabalho principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).
phoneNumbers.extension	Exemplo: número de telefone do ramal	O ramal comercial do número de telefone comercial principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).
números de telefone.celular	Exemplo: número de telefone móvel	O número de telefone celular do local de trabalho principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).
cargo	Exemplo: user.jobtitle	O cargo do usuário.
departamento	Exemplo: usuário.departamento	O departamento ou equipe de trabalho do usuário.
emails.trabalho	Exemplo: e-mails de trabalho	Os e-mails de trabalho do usuário.
organização	Exemplo: usuário.organização	O ID da organização do usuário

Configurar Atributos de grupo.

Crie um grupo no Control Hub e anote o ID do grupo Webex.
Acesse seu diretório de usuários ou IdP e configure um atributo para os usuários que serão atribuídos ao ID do grupo Webex.
Atualize a configuração do seu IdP para incluir uma declaração que contenha o nome deste atributo juntamente com o ID do Grupo Webex (por exemplo, c65f7d85-b691-42b8-a20b-12345xxxx). Você também pode usar o ID externo para gerenciar alterações nos nomes dos grupos ou para futuros cenários de integração. Por exemplo, sincronizar com o Entra ID ou implementar a sincronização de grupos SCIM.
Especifique o nome exato do atributo que será enviado na declaração SAML com o ID do grupo. Isso é usado para adicionar o usuário a um grupo.
Especifique o nome exato do ID externo do objeto de grupo se estiver usando um grupo do seu diretório para enviar membros na declaração SAML.

Se o usuário A estiver associado a groupID 1234 e o usuário B a groupID 4567, eles serão atribuídos a grupos separados. Este cenário indica que um único atributo permite que os usuários se associem a vários IDs de grupo. Embora seja incomum, isso é possível e pode ser considerado uma mudança aditiva. Por exemplo, se o usuário A fizer login inicialmente usando groupID 1234, ele se tornará membro do grupo correspondente. Se o usuário A fizer login posteriormente usando groupID 4567, ele também será adicionado a este segundo grupo.

O provisionamento SAML JIT não suporta a remoção de usuários de grupos nem a exclusão de usuários.

Tabela 4. Atributos do grupo
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
ID do grupo	Exemplo: ID do grupo	Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.
groupexternalId	Exemplo: groupexternalId	Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.

Para obter uma lista de atributos de declaração SAML para Webex Meetings, consulte Atributos de declaração SAML para Webex Meetings e Jabber.

Cisco AI Assistant

Obrigado pelos seus comentários.

Criação automática de conta SAML e atualização do Control Hub

Modificar a autenticação de single sign-on no Control Hub

Antes de você começar

Configure o mapeamento Just-in-Time (JIT) e SAML.

Pequena empresa

Empresa

Dispositivos

Soluções para

Recursos

Empresa