Criação e atualização automática da conta SAML para o Control Hub

Modificar a autenticação de registro único no Control Hub

Antes de você começar

Certifique-se de que as seguintes pré-condições sejam atendidas:

O SSO já está configurado. Para obter informações sobre como usar o assistente de configuração de SSO, consulte a seção "Configuração de SSO" aqui: https://help.webex.com/article/lfu88u/.
Os domínios já foram verificados.
Os domínios são reivindicados e ativados. Esse recurso garante que os usuários do seu domínio sejam criados e atualizados uma vez a cada autenticação com seu IDP.
Se DirSync ou AzureAD estiverem ativados, a criação ou atualização do SAML JIT não funcionará.
"Bloquear atualização do perfil de usuário " está ativado. O mapeamento de atualização de SAML é permitido porque essa configuração controla a capacidade do usuário de editar os atributos. Os métodos de criação e atualização controlados pelo administrador ainda são suportados.

Os usuários recém-criados não receberão licenças atribuídas automaticamente, a menos que a organização tenha um modelo de licença automática configurar.

O provisionamento de usuários para o provisionamento SAML JIT de grupos é limitado a um único grupo apenas.

Configurar mapeamento Just-in-Time (JIT) e SAML

A partir da exibição do cliente emhttps://admin.webex.com , ir para Gerenciamento > Configurações da organização , role até Autenticação e clique em Gerenciar SSO e IdPs .

Ir para Provedor de identidade guia.

Vá para o IdP e clique em.

Selecionar Editar mapeamento SAML .

Configurar Configurações Just-in-Time (JIT) .

Criar ou ativar usuário: se nenhum usuário ativo for encontrado, o Webex Identity cria o usuário e atualiza os atributos depois que o usuário for autenticado com o IDP.
Atualize o usuário com atributos SAML: se um usuário com endereço de email de e-mail for encontrado, o Webex Identity atualizará o usuário com os atributos mapeados na Asserção SAML.

Confirme se os usuários podem Iniciar sessão com um endereço de e-endereço de email diferente e não identificável .

Configure Atributos obrigatórios de mapeamento SAML .

Tabela 1. Atributos obrigatórios
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
Nome de usuário/endereço de e-endereço de email	Exemplo: UID	Mapeie o atributo UID no e-mail, upn ou edupersonprincipalname do usuário provisionado.

Configure os Atributos de vinculação .

Isso deve ser exclusivo para o usuário. É usado para pesquisar um usuário para que o Webex possa atualizar todos os atributos de perfil, incluindo o e-mail de um usuário.

Tabela 2. Vinculando atributos
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
ID externa	Exemplo: ID do usuário.objeto	Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.
funcionárionúmero	Exemplo: user.employeeid	O número do funcionário do usuário ou um número de identificação no sistema de RH. Observe que isso não é para `externalid`, porque você pode reutilizar ou reciclar `employeenumber` para outros usuários.
Atributo de ramal 1	Exemplo: atributo user.extension1	Mapeie esses atributos personalizados para atributos estendidos no Active Directory, no Azure ou no seu diretório para obter Códigos de rastreamento.
Atributo de extensão 2	Exemplo: atributo user.extension2
Atributo de ramal 3	Exemplo: atributo user.extension3
Atributo de ramal 4	Exemplo: atributo user.extensionlattribute4
Atributo de ramal 5	Exemplo: atributo user.extension5

Configure Atributos de perfil .

Tabela 3. Atributos do perfil
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
ID externa	Exemplo: ID do usuário.objeto	Para identificar este usuário de outros perfis individuais. Isso é necessário ao mapear entre diretórios ou alterar outros atributos do perfil.
funcionárionúmero	Exemplo: user.employeeid	O número do funcionário deste usuário ou um número de identificação dentro do sistema de RH. Observe que isso não é para "externalid", pois você pode reutilizar ou reciclar "employeenumber" para outros usuários.
Idioma preferido	Exemplo: usuário.idioma preferido	O idioma preferido do usuário.
localidade	Exemplo: user.locale	O local de trabalho principal do usuário.
fuso horário	Exemplo: usuário.fuso horário	O fuso horário principal do usuário.
displayName	Exemplo: nomedeusuário.exibição	O nome de exibição do usuário no Webex.
nome.givenName	Exemplo: nomedeusuário.givenname	O primeiro nome do usuário.
nome.famíliaName	Exemplo: usuário.sobrenome	O sobrenome do usuário.
address.streetAddress	Exemplo: usuário.endereço da rua	O endereço do local de trabalho principal.
endereços.estado	Exemplo: user.state	O estado do local de trabalho principal.
endereços.região	Exemplo: usuário.região	A região do local de trabalho principal.
address.postalCódigo	Exemplo: usuário.código postal	O código postal do local de trabalho principal.
endereços.país	Exemplo: usuário.país	O país do local de trabalho principal.
phoneNumbers.work	Exemplo: número de telefone comercial	O número de telefone comercial do local de trabalho principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).
phoneNumbers.extension	Exemplo: número de telefone celular	O ramal comercial do número de telefone comercial principal. Use apenas o formato internacional E.164 (máximo de 15 dígitos).
pronome	Exemplo: usuário.pronome	Os pronomes do usuário. Este é um atributo opcional, e o usuário ou administrador pode torná-lo visível em seu perfil.
cargo	Exemplo: user.jobtitle	O cargo do usuário.
departamento	Exemplo: departamento.usuário	O departamento ou equipe de trabalho do usuário.
pronome	Exemplo: usuário.pronome	Este é o pronome do usuário. A visibilidade deste atributo é controlada pelo administrador e pelo usuário
manager	Exemplo: manager	O gerente do usuário ou o líder de equipe dele.
centro de custo	Exemplo: centro de custo	Este é o sobrenome do usuário, também conhecido como sobrenome ou sobrenome
e-mail.alternativo1	Exemplo: user.mailnickname	Um endereço de e-endereço de email alternativo para o usuário. Se você quiser que o usuário seja capaz de Iniciar sessão usando-o, mapeie-o para o arquivo uid.
e-mail.alternativo2	Exemplo: user.primaryautoritativemail	Um endereço de e-endereço de email alternativo para o usuário. Se você quiser que o usuário seja capaz de Iniciar sessão usando-o, mapeie-o para o arquivo uid.
e-mail.alternativo3	Exemplo: user.alternativeauthoritativemail	Um endereço de e-endereço de email alternativo para o usuário. Se você quiser que o usuário seja capaz de Iniciar sessão usando-o, mapeie-o para o arquivo uid.
e-mail.alternativo4	Exemplo: user.othermail	Um endereço de e-endereço de email alternativo para o usuário. Se você quiser que o usuário seja capaz de Iniciar sessão usando-o, mapeie-o para o arquivo uid.
e-mail.alternativo5	Exemplo: user.othermail	Um endereço de e-endereço de email alternativo para o usuário. Se você quiser que o usuário seja capaz de Iniciar sessão usando-o, mapeie-o para o arquivo uid.

Configure Atributos do ramal .

Mapeie esses atributos para atributos estendidos no Active Directory, no Azure ou em seu diretório para obter Códigos de rastreamento.

Tabela 4. Atributos de extensão
Nome do atributo de identidade Webex	Nome do atributo SAML
Atributo de ramal 1	Exemplo: atributo user.extension1
Atributo de extensão 2	Exemplo: atributo user.extension2
Atributo de ramal 3	Exemplo: atributo user.extension3
Atributo de ramal 4	Exemplo: atributo user.extension4
Atributo de ramal 5	Exemplo: atributo user.extension5
Atributo de ramal 6	Exemplo: atributo user.extension6
Atributo de ramal 7	Exemplo: atributo user.extension7
Atributo de ramal 8	Exemplo: atributo user.extension8
Atributo de ramal 9	Exemplo: atributo user.extension9
Atributo de extensão 10	Exemplo: atributo user.extension10

Configure Atributos do grupo .

Crie um grupo no Control Hub e observe a ID do grupo Webex.
Vá para seu diretório de usuário ou IdP e configure um atributo para usuários que serão atribuídos à ID de grupo Webex.
Atualize a configuração do seu IdP para incluir uma reivindicação que carrega este nome de atributo juntamente com a ID de grupo Webex (por exemplo, c65f7d85-b691-42b8-a20b-12345xxxx). Você também pode usar a ID externa para gerenciar alterações nos nomes dos grupos ou em cenários de integração futuros. Por exemplo, sincronizar com o Azure AD ou implementar a sincronização de grupo SCIM.
Especifique o nome exato do atributo que será enviado na declaração SAML com a ID do grupo. Isso é usado para adicionar o usuário a um grupo.
Especifique o nome exato da ID externa do objeto de grupo se você estiver usando um grupo do seu diretório para enviar membros na asserção SAML.

Se o usuário A estiver associado a groupID 1234 e usuário B com groupID 4567, eles são atribuídos a grupos separados. Esse cenário indica que um único atributo permite que os usuários associem com várias IDs de grupo. Embora isso seja incomum, é possível e pode ser considerado como uma mudança aditiva. Por exemplo, se O usuário Inicialmente iniciar sessão usando groupID 1234, eles se tornam membros do grupo correspondente. Se o usuário A posteriormente iniciar sessão usando groupID 4567, eles também são adicionados a este segundo grupo.

O provisionamento SAML JIT não suporta a remoção de usuários de grupos ou qualquer exclusão de usuários.

Tabela 5. Atributos do grupo
Nome do atributo de identidade Webex	Nome do atributo SAML	Descrição do atributo
groupId	Exemplo: groupId	Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.
groupexternalId	Exemplo: groupexternalId	Associe os atributos de grupo do IdP com os atributos de grupo do Webex Identity com o objetivo de associar esse usuário a um grupo para o serviço de configuração ou licenciamento.

Para obter uma lista de atributos de Asserção SAML do Webex Meetings, consultehttps://help.webex.com/article/WBX67566 .