Система междоменного управления удостоверениями (SCIM)

Для интеграции между пользователями в каталоге и Control Hub используется API системы междоменного управления удостоверениями (SCIM). SCIM является открытым стандартом для автоматизации обмена информацией об удостоверениях пользователей между доменами удостоверения или информационными системами. Система SCIM призвана облегчить управление удостоверениями пользователей в облачных приложениях и службах. SCIM использует стандартизованный API с REST.


 
Если ваша организация уже использует Directory Connector для синхронизации пользователей, вы не сможете синхронизировать пользователей из Okta.

 

Интеграция Okta поддерживает только следующие атрибуты:

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

Многозначные атрибуты, PhoneNumber для mobile и work, а также Address, не поддерживаются Okta, поскольку операция для PATCH, PUT, или DELETE Приложение Okta не передается в Webex.

Удалите эти атрибуты из сопоставления Okta или удалите обновление из конфигурации синхронизации.

Поддерживаемые функции

Эта интеграция поддерживает приведенные ниже функции синхронизации пользователей в Okta.

  • Создание пользователей - создание или связывание пользователя в приложении Webex при назначении приложения пользователю в Okta.

  • Обновление атрибутов пользователя. Okta обновляет атрибуты пользователя в приложении Webex при назначении приложения. При последующем изменении атрибута в профиле пользователя Okta произойдет автоматическая перезапись соответствующих значений атрибута в облаке Webex.

  • Деактивировать пользователей - деактивирует учетную запись приложения Webex пользователя, если она не назначена в Okta или если их учетная запись Okta деактивирована. Учетные записи могут быть повторно активированы при повторном назначении приложения пользователю в Okta.


 
Мы не поддерживаем синхронизацию групп из Okta с вашей организацией Webex .

Добавление Webex в Okta

Перед настройкой Control Hub для автоматической синхронизации пользователей с помощью Okta необходимо добавить Webex из галереи приложений Okta в список управляемых приложений. Также необходимо выбрать метод аутентификации. В настоящее время службы Webex в Control Hub поддерживают только систему единого входа федерации с Okta.

Перед началом работы

  • Для использования Okta требуется наличие действующего клиента Okta и текущей лицензии для работы с платформой. У вас также должна быть в наличии действующая платная подписка и организация Webex.

  • В вашей организации Webex необходимо настроить шаблоны для автоматического назначения лицензий, в противном случае новым синхронизированным пользователям в Control не будут назначаться лицензии для служб Webex. Для получения дополнительной информации см. Настройка шаблонов автоматического назначения лицензий в Control Hub

  • В этом документе не рассматривается интеграция системы единого входа (SSO) в Control Hub. Перед настройкой подготовки пользователей необходимо выполнить интеграцию SSO Okta. Инструкции по интеграции SSO см. система единого входа Control Hub с помощью Okta .

1.

Войдите в систему Okta Tenant ( example.okta.com, где example название вашей компании или организации) в качестве администратора перейдите на Приложения , а затем щелкните Добавить приложение .

2.

Найдите Cisco Webex и добавьте приложение к своему клиенту.

Если вы уже интегрировали SSO Okta в организацию Control Hub, можно пропустить приведенные выше шаги и просто повторно открыть запись Cisco Webex в списке приложений Okta.

3.

В отдельной вкладке браузера откройте окно просмотра информации о клиенте на веб-сайте https://admin.webex.com, щелкните название своей организации, а затем рядом с пунктом Информация о компании скопируйте Идентификатор организации.

Запишите идентификатор организации (скопируйте и вставьте в текстовый файл). Идентификатор будет использован в дальнейшем.

Настроить Okta для синхронизации пользователей

Перед началом работы

Убедитесь, что идентификатор вашей организации сохранен из предыдущей процедуры.

При создании токенов носителя для клиентов убедитесь, что у вас есть роль администратора клиента с полными правами.

1.

В клиенте Okta перейдите в раздел Provisioning (Подготовка), щелкните Configure API Integration (Настройка интеграции API), а затем установите флажок Enable API Integration (Включить интеграцию API).

2.

Введите значение идентификатора в поле Идентификатор организации.

3.

Выполните приведенные ниже действия, чтобы получить значение токена носителя для секретного токена.

  1. Скопируйте приведенный ниже URL-адрес и запустите его во вкладке браузера, открытой в режиме инкогнито. https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    Указанный выше URL-адрес относится к брокеру удостоверений Webex по умолчанию. Если вы используете Webex для государственных организаций, используйте следующий URL-адрес -адрес, чтобы получить токен на предъявителя:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Важно использовать браузер в режиме инкогнито, чтобы убедиться, что вход выполняется с помощью правильных учетных данных администратора. Если вы уже вошли в систему как пользователь с меньшими привилегиями, который не может создавать пользователей, возвращаемый вами токен-носитель не может создавать пользователей.

  2. На открывшейся странице входа в Webex войдите в систему, используя учетную запись администратора с полными правами для вашей организации.

    Откроется страница ошибки с сообщением о том, что веб-сайт недоступен, но это нормально.

    URL-адрес -адрес страницы ошибки включает сгенерированный токен-носитель. Этот токен действителен в течение 365 дней (после этого срок его действия истекает).

  3. Из URL-адреса, указанного в адресной строке браузера, скопируйте значение токена носителя, которое размещено между access_token= и &token_type=Bearer.

    Например, в этом URL-адресе значение токена выделено: http: // localhost: 3000 / auth / code #access_token = {sample_token } &token_type = Носитель &expires_in = 3887999 & state = this-should-be-a-random-string-for-security.


     

    Рекомендуется сохранить это значение в текстовом файле как запись токена на тот случай, если URL-адрес -адрес больше не доступен.

4.

Вернитесь к Okta, вставьте токен носителя в поле API Token (Токен API), а затем щелкните Test API Credentials (Тестирование учетных данных API).

Отобразится сообщение о том, что проверка Webex выполнена успешно.

5

Перейдите в пункт меню: Подготовка > Настройки > Для приложения, а затем укажите необходимые параметры синхронизации для пользователя.

6

Щелкните Assignments (Назначения), затем щелкните Assign (Назначить), и выберите один из приведенных ниже параметров.

  • Assign to People (Назначить пользователям), чтобы назначить Webex отдельным пользователям.
  • Assign to Groups (Назначить группам), чтобы назначить Webex нескольким пользователям в группе.
7.

Если настроена интеграция SSO, щелкните Assign (Назначить) рядом с каждым пользователем или группой, которым необходимо назначить приложение, а затем щелкните Done (Готово).

Выбранные пользователи будут синхронизированы с облаком и отображены в Control Hub в разделе Users (Пользователи). При каждом перемещении, добавлении, изменении или удалении пользователей в Okta будут выполнены соответствующие изменения в Control Hub.


 

Если шаблоны автоматического назначения лицензий не включены, пользователи синхронизируются с Control Hub без назначения лицензии. Чтобы сократить затраты на администрирование, рекомендуется включить шаблон автоматического назначения лицензии до синхронизации пользователей Okta с Control Hub.