Sistem de gestionare a identității între domenii (SCIM)

Integrarea între utilizatorii din director și Hubul de control Webex utilizează API-ul System for Cross-domain Identity Management (SCIM). SCIM este un standard deschis pentru automatizarea schimbului de informații privind identitatea utilizatorilor între domeniile de identitate sau sistemele IT. SCIM este conceput pentru a facilita gestionarea identităților utilizatorilor în aplicațiile și serviciile din cloud. SCIM utilizează un API standardizat prin REST.

Când modificați atributele utilizatorului în Azure AD (de exemplu, numele afișat), modificările durează până la 72 de ore pentru a fi afișate în aplicația Webex. (Modificările se afișează în Control Hub imediat ce reîmprospătați vizualizarea utilizatorului.)

Utilizatorii pot încerca să goliți memoria cache locală a aplicației Webex pentru a forța sincronizarea:

Înainte de a configura Webex Control Hub pentru asigurarea automată a accesului utilizatorilor cu Azure AD, trebuie să adăugați Cisco Webex din galeria de aplicații Azure AD la lista de aplicații gestionate.


Dacă ați integrat deja Webex Control Hub cu Azure pentru sign-on unic (SSO),Cisco Webex este deja adăugat la aplicațiile de întreprindere și puteți sări peste această procedură.

1

Conectați-vă la portalul Azure https://portal.azure.com cu acreditările de administrator.

2

Accesați Azure Active Directory pentru organizația dvs.

3

Accesați Aplicații întreprindere, apoi faceți clic pe Adăugare.

4

Faceți clic pe Adăugare aplicație din galerie.

5

În caseta de căutare, tastați Cisco Webex.

6

În panoul de rezultate, selectați Cisco Webex, apoi faceți clic pe Adăugare pentru a adăuga aplicația.

Apare un mesaj care spune că aplicația a fost adăugată cu succes.

Această procedură vă permite să alegeți utilizatorii care să se sincronizeze cu cloud-ul Webex.

Azure Active Directory utilizează un concept numit "atribuiri" pentru a determina ce utilizatori ar trebui să primească acces la aplicațiile selectate. În contextul furnizării automate de utilizatori, numai utilizatorii și /sau grupurile care sunt "atribuite" la o aplicație în Azure AD sunt sincronizate la Control Hub.

Dacă configurați integrarea pentru prima dată, vă recomandăm să atribuiți un utilizator pentru testare, apoi să adăugați alți utilizatori și grupuri după un test reușit.

1

Deschideți aplicația Cisco Webex în portalul Azure, apoi accesați Utilizatori și grupuri.

2

Faceți clic pe Adăugare asociere.

3

Găsiți utilizatorii/grupurile pe care doriți să le adăugați la aplicație:

  • Găsiți utilizatori individuali de atribuit aplicației.
  • Găsiți un grup de utilizatori de asociat aplicației.
4

Faceți clic pe Selectare, apoi faceți clic pe Asociere.

Repetați acești pași până când aveți toate grupurile și utilizatorii pe care doriți să îi sincronizați cu Webex.

Utilizați această procedură pentru a configura asigurarea accesului de la Azure AD și pentru a obține un simbol purtător pentru organizația dvs. Pașii acoperă setările administrative necesare și recomandate.

Înainte de a începe

Obțineți ID-ul organizației din vizualizarea client din Control Hub: faceți clic pe numele organizației din stânga jos, apoi copiați valoarea din ID organizație într-un fișier text. Veți avea nevoie de această valoare atunci când introduceți adresa URL a entității găzduite. Vom folosi această valoare ca exemplu: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Conectați-vă la portalul Azure, apoi accesați Aplicații Azure Active Directory > Enterprise > Toate aplicațiile.

2

Alegeți Cisco Webex din lista de aplicații pentru întreprinderi.

3

Treceți la Asigurare acces , apoimodificați Modul de asigurare a accesului la Automat.

Aplicația Webex este creată cu unele mapări implicite între atributele utilizatorului Azure AD și atributele utilizatorului Webex. Aceste atribute sunt suficiente pentru a crea utilizatori, dar puteți adăuga mai multe așa este descris mai târziu în acest articol.

4

Introduceți URL-ul entității găzduite în acest formular:

https://api.ciscospark.com/v1/scim/{OrgId}

Înlocuire {OrgId} cu valoarea ID-ului organizației pe care ați primit-o din Control Hub, astfel încât URL-ul entității găzduite să arate astfel: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Urmați acești pași pentru a obține valoarea simbolului purtător pentru simbolulsecret:

  1. Copiați următorul URL și rulați-l într-o filă de browser incognito: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Un browser incognito este important pentru a vă asigura că vă conectați cu acreditările de administrator corecte. Dacă v-ați conectat deja ca utilizator mai puțin privilegiat, este posibil ca simbolul purtător pe care îl returnați să nu fie autorizat să creeze utilizatori.

  2. Din pagina de conectare Webex care apare, conectați-vă cu un cont de administrator complet pentru organizația dvs.

    Apare o pagină de eroare care spune că site-ul nu poate fi accesat, dar acest lucru este normal.

    Simbolul purtător generat este inclus în URL-ul paginii de eroare. Acest simbol este valabil timp de 365 de zile (după care expiră).

  3. Din URL-ul din bara de adrese a browserului, copiați valoarea simbolului purtător dintre access_token= și &token_type=Bearer.

    De exemplu, acest URL are valoarea simbol evidențiată: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Purtător&expires_in=3887999&abre; stat=acesta-ar trebui-sa-fie-un-aleator-string-for-security-purpose


     

    Vă recomandăm să lipiți această valoare într-un fișier text și să o salvați, astfel încât să aveți o înregistrare a simbolului în cazul în care URL-ul nu mai este disponibil.

6

Reveniți la portalul Azure și lipiți valoarea simbolului în Token secret.

7

Faceți clic pe Testare conexiune pentru a vă asigura că organizația și simbolul sunt recunoscute de Azure AD.

Un rezultat reușit afirmă că acreditările sunt autorizate pentru a permite asigurarea accesului utilizatorilor.

8

Introduceți un e-mail de notificare și bifați caseta pentru a primi e-mail atunci când există erori de asigurare a accesului.

9

Faceți clic pe Salvare.

Ați autorizat cu succes Azure AD pentru furnizarea / sincronizarea utilizatorilor Webex.

Ce trebuie să faceți în continuare

  • Dacă doriți să sincronizați numai un subset al utilizatorilor Azure AD la Webex, citiți Adăugare grup de utilizatori la aplicație în Azure AD.

  • Dacă doriți să mapați atribute suplimentare de utilizator Azure AD la atribute webex înainte de a sincroniza utilizatorii, citiți Mapați atributele utilizatorului de la Azure la Webex.

  • După acești pași, aveți posibilitatea să activați asigurarea automată a accesului de la Azure AD la Webex.

Urmați această procedură pentru a mapa atribute de utilizator suplimentare de la Azure la Webex sau pentru a modifica mapările existente ale atributelor utilizatorului. Aveți posibilitatea să modificați mapările atributelor utilizator înainte sau după sincronizarea utilizatorilor.

Înainte de a începe

Ați adăugat și configurat aplicația Cisco Webex la Azure Active Directory și ați testat conexiunea.

1

Conectați-vă la portalul Azure, apoi accesați Aplicații Azure Active Directory > Enterprise > Toate aplicațiile.

2

Deschideți aplicația Cisco Webex.

3

Selectați pagina Asigurare acces și deschideți controlul Mapări din pagina respectivă.

4

Faceți clic pe Sincronizare utilizatori Azure Active Directory la CiscoWebEx

Se deschide o nouă secțiune.

5

Bifați caseta Afișați opțiunile complexe, apoi faceți clic pe Editare listă de atribute pentru CiscoWebEx.

În controlul care se deschide, aveți posibilitatea să alegeți ce atribute Webex vor fi populate din atributele utilizatorului Azure. Atributele și mapările sunt afișate mai târziu în această procedură.

6

După selectarea atributelor Webex, faceți clic pe Salvare , apoi pe Da pentru confirmare.

Se deschide pagina Mapare atribute, astfel încât să puteți mapa atributele utilizatorului Azure AD la atributele de utilizator Webex pe care le-ați ales.

7

Faceți clic pe Adăugare mapare nouă (în partea de jos a paginii).

8

Alegeți Mapare directă. Selectați atributul Sursă (atributul Azure) și atributul Țintă (atributul Webex), apoi faceți clic pe OK.

Tabelul 1. Mapări Azure la Webex

Atribut Azure Active Directory (sursă)

Atribut Cisco Webex (țintă)

userPrincipalName

numeUtilizatoruserName

Switch([IsSoftd], , "False", "True", "True", "False")

activ

afișare Nume

afișare Nume

nume de familie

nume.familyName

givenName

nume.prenume

jobTitle

titlu

utilizareLocalizare

adrese[tip eq "work"].țară

oraș

adrese[tip eq "work"].localitate

stradăAdresă

adrese[tip eq "work"].streetAddress

stat

adrese[tip eq "work"].regiune

cod poștal

adrese[tip eq "work"].cod postal

număr de telefon

numere de telefon[tip eq "work"].valoare

mobil

numere de telefon[tip eq "mobile"].valoare

facsimilTelephoneNumăr

numere de telefon[tip eq "fax"].valoare

id obiect

externalId

9

Repetați cei doi pași anteriori până când ați adăugat / modificat toate mapările de care aveți nevoie, apoi faceți clic pe Salvare și da pentru a confirma noile mapări.


 

Vă recomandăm să nu modificați mapările implicite ale atributelor. O mapare importantă este userPrincipalName în Azure AD la adresa de e-mail (nume de utilizator) în Control Hub. Aveți posibilitatea să restaurați mapările implicite dacă doriți să o porniți din nou.

Dacă userPrincipalName nu este e-mailul din Control Hub, utilizatorii sunt furnizați ca utilizatori noi și nu se vor potrivi cu utilizatorii existenți în Control Hub. Dacă doriți să utilizați adresa de e-mail Azure în loc de UPN, trebuie să modificați acea mapare implicită în Azure AD de la UPN la E-mail.

Mapările s-au terminat și utilizatorii Webex vor fi creați sau actualizați la următoarea sincronizare.

Înainte de a începe

Aveți:

  • Adăugat aplicația Cisco Webex

  • Azure autorizat să creeze automat utilizatori Webex și a testat conexiunea

  • (Opțional) A atribuit anumiți utilizatori și grupuri aplicației Webex

  • (Opțional) Atribute Azure mapate (additonal, non-implicit) la atribute Webex

1

Deschideți aplicație Cisco Webex în portalul Azure și accesați pagina De asigurare a accesului.

2

Dacă ați asociat anumiți utilizatori sau grupuri aplicației, setați domeniul de asigurare a accesului la Sincronizare numai utilizatori și grupuri atribuite.

Dacă alegeți această opțiune, dar nu ați atribuit încă utilizatori și grupuri, trebuie să urmați Atribuire grupuri/utilizatori aplicației în Azure ADînainte de a comuta asigurarea accesului.

3

Comutare stare asigurare aprovizionare la Activat.

Această acțiune pornește furnizarea / sincronizarea automată a utilizatorilor Webex din Azure AD. Acest lucru poate dura până la 40 de minute.

Dacă testați și trebuie să reduceți așteptarea, puteți utiliza asigurarea accesului la cerere. A se vedea https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand.

O altă opțiune este repornirea provizionării: comutați Stare asigurare acces la Dezactivat , Salvare , apoi înapoi la Activat , Salvare (din nou). Acest lucru forțează o nouă sincronizare.


 

Vă sfătuim să nu utilizați opțiunea Golire stare curentă și repornire sincronizare.

4

Conectați-vă la https://admin.webex.com, accesați Utilizatori șicăutați conturile de utilizator Azure Active Directory.

Această sincronizare se întâmplă prin API, deci nu există nicio indicație de stare în Control Hub. Aveți posibilitatea să verificați jurnalele din portalul Azure pentru a vedea starea sincronizării utilizatorului.


 

Pentru a obține o înregistrare a oricăror modificări care se referă la sincronizarea utilizatorului Azure AD și pentru a izola orice probleme potențiale, accesați jurnalele de audit: sub Activitate , faceți clic peJurnale audit. Această vizualizare afișează fiecare jurnal și puteți filtra pe anumite categorii, ar fi Asigurarea accesului la cont pentru filtrul Serviciu și UserManagement pentru un filtru Categorie.

Aveți posibilitatea să eliminați atribuirile de utilizator din Azure AD. Acest lucru păstrează conturile de utilizator Azure AD, dar elimină acele conturi de la posibilitatea de a accesa aplicațiile din organizația Webex.

1

Din portalul Azure, accesați Aplicații Enterprise , apoialegeți aplicația Webex pe care ați adăugat-o.

2

Alegeți un utilizator sau un grup de utilizatori din lista celor atribuite aplicației.

3

Faceți clic pe Eliminare, apoi faceți clic pe Da pentru a confirma eliminarea.

La următorul eveniment de sincronizare, utilizatorul sau grupul de utilizatori este eliminat din aplicația Webex.

1

Accesați Utilizatori, bifați o casetă de selectare de lângă fiecare cont de utilizator pe care doriți să îl ștergeți, apoi faceți clic pe Ștergere utilizator.

Utilizatorii sunt mutați în fila Utilizatori ștearsă.

În Control Hub, utilizatorii sunt mutați într-o stare de "ștergere moale" și nu sunt ștergeți imediat. Ele sunt, de asemenea, redenumite. Azure Active Directory trimite aceste modificări în cloud-ul Webex. Control Hub reflectă apoi aceste modificări și marchează utilizatorul ca inactiv. Toate simbolurile sunt revocate pentru utilizator.

2

Pentru a verifica orice înregistrări ale ștergerii utilizatorului, accesați Jurnalele de auditare, apoi executați o căutare în categoria Gestionare utilizator sau în activitatea Ștergere utilizator.


 

Când deschideți un jurnal de audit utilizator șters și faceți clic pe Țintă, veți vedea că numele principal de utilizator are un șir de numere și caractere înainte de @.

Dacă efectuați orice acțiuni de descoperire electronică în Control Hub, trebuie să obțineți numele principal de utilizator din jurnalele de audit în Azure AD. Pentru mai multe informații despre descoperirea informațiilor electronice, consultați Asigurarea conformității cu reglementările a conținutului Cisco Webex Teams.

Ce trebuie să faceți în continuare

Aveți 30 de zile pentru a recupera utilizatorii "moi" ștearse înainte ca acestea să fie șterse definitiv. Dacă recuperați utilizatorul în Azure Active Directory, Control Hub reactivează utilizatorul și redenumește utilizatorul la adresa inițială de e-mail / UPN.

Dacă nu recuperați utilizatorul, Azure Active Directory face o ștergere greu și utilizatorul este, de asemenea, eliminat din Control Hub. Dacă adresa de e-mail este citită în Azure Active Directory, se creează un cont de utilizator nou.