Система междоменного управления удостоверениями (SCIM)

Для интеграции между пользователями в каталоге и Control Hub используется API системы междоменного управления удостоверениями (SCIM). SCIM является открытым стандартом для автоматизации обмена информацией об удостоверениях пользователей между доменами удостоверения или информационными системами. Система SCIM призвана облегчить управление удостоверениями пользователей в облачных приложениях и службах. SCIM использует стандартизованный API с REST.

Прежде чем настроить Webex Control Hub для автоматической подготовки пользователей с помощью Azure AD, необходимо добавить Cisco Webex из коллекции приложений Azure AD в список управляемых приложений.


Если вы уже интегрировали Webex Control Hub с Azure для системы единого входа (SSO), приложение Cisco Webex уже добавлено в список корпоративных приложений и вы можете пропустить эту процедуру.

1

Войдите на портал Azure по адресу https://portal.azure.com, используя свои учетные данные администратора.

2

Перейдите в раздел Active Directory Azure вашей организации.

3

Перейдите в раздел Корпоративные приложения и щелкните Добавить.

4

Щелкните Добавить приложение из коллекции.

5

В поле поиска введите Cisco Webex.

6

В области результатов выберите Cisco Webex, а затем щелкните Добавить, чтобы добавить приложение.

Отобразится сообщение о том, что приложение успешно добавлено.

Эта процедура позволяет выбрать пользователей для синхронизации с облаком Webex.

В Azure AD используется понятие под названием "назначения" для определения пользователей, которые должны получить доступ к выбранным приложениям. В контексте автоматического назначения пользователей с Control Hub синхронизируются только те пользователи и (или) группы, которые "назначены" приложению в Azure AD.

Если настройка интеграции осуществляется впервые, рекомендуется назначить одного пользователя в целях тестирования, а затем добавить других пользователей и группы, если тестирование будет выполнено успешно.

1

Откройте приложение Cisco Webex на портале Azure и перейдите в раздел Пользователи и группы.

2

Щелкните Добавить назначение.

3

Найдите пользователей или группы, которые необходимо добавить в приложение.

  • Найдите отдельных пользователей, которых необходимо назначить приложению.
  • Найдите группу пользователей, которую необходимо назначить приложению.
4

Щелкните Выбрать, затем Назначить.

Повторите эти действия для всех групп и пользователей, которых необходимо синхронизировать с Webex.

Используйте эту процедуру, чтобы настроить подготовку в Azure AD и получить токен носителя для вашей организации. В инструкции описаны необходимые и рекомендуемые административные настройки.

Прежде чем начать

Идентификатор организации можно просмотреть в окне просмотра информации о клиенте в Control Hub. Щелкните название своей организации в нижнем левом углу и скопируйте значение из поля Идентификатор организации в текстовый файл. Это значение потребуется вам при вводе URL клиента. В качестве примера используем значениеa35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Войдите на портал Azure и перейдите в раздел Azure Active Directory > корпоративные приложения > все приложения.

2

В списке корпоративных приложений выберите Cisco Webex.

3

Перейдите в раздел Подготовка, затем измените Режим подготовки на Автоматический.

Приложение Webex создано с учетом некоторых заданных по умолчанию сопоставлений между атрибутами пользователя Azure AD и атрибутами пользователя Webex. Этих атрибутов достаточно для создания пользователей, однако можно добавить дополнительные атрибуты, как описано далее в этой статье.

4

Введите URL клиента в следующем виде:

https://api.ciscospark.com/v1/scim/{OrgId}

Замените {OrgId} значением идентификатора организации, указанным в Control Hub, таким образом, чтобы URL-адрес клиента имел такой вид: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

Выполните приведенные ниже действия, чтобы получить значение токена носителя для секретного токена.

  1. Скопируйте приведенный ниже URL-адрес и запустите его во вкладке браузера, открытой в режиме инкогнито. https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Важно использовать браузер в режиме инкогнито, чтобы убедиться, что вход выполняется с помощью правильных учетных данных администратора. Если вы уже вошли в систему в качестве пользователя с более низким уровнем прав, возвращенный вам токен носителя может быть не авторизован для создания пользователей.

  2. На открывшейся странице входа в Webex войдите в систему, используя учетную запись администратора с полными правами для вашей организации.

    Откроется страница ошибки с сообщением о том, что веб-сайт недоступен, но это нормально.

    Созданный токен носителя включен в URL-адрес страницы ошибки. Этот токен действителен в течение 365 дней (после этого срок его действия истекает).

  3. Из URL-адреса, указанного в адресной строке браузера, скопируйте значение токена носителя, которое размещено между access_token= и &token_type=Bearer.

    Например, в этом URL-адресе значение токена выделено: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    Рекомендуется вставить это значение в текстовый файл и сохранить его, чтобы у вас была запись токена на случай, если URL-адрес будет недоступен.

6

Вернитесь на портал Azure и вставьте значение токена в поле секретный токен.

7

Щелкните Тестирование соединения, чтобы убедиться в том, что организация и токен распознаются Azure AD.

Успешный результат указывает на то, что учетные записи имеют права на активацию подготовки пользователя.

8

Введите Уведомление по электронной почте и установите флажок при необходимости получать уведомления обо всех ошибках подготовки.

9

Щелкните Сохранить.

Вы успешно авторизовали Azure AD для подготовки и синхронизации пользователей Webex.

Дальнейшие действия

  • Если необходимо синхронизировать с Webex только часть пользователей Azure AD, см. статью Добавление группы пользователей в приложение в Azure AD.

  • Если необходимо сопоставить дополнительные атрибуты пользователя Azure AD с атрибутами Webex до синхронизации пользователей, см. статью Сопоставление атрибутов пользователей из Azure с Webex.

  • После выполнения этих действий можно включить автоматическую подготовку из Azure AD в Webex.

Эта процедура используется для сопоставления дополнительных атрибутов пользователя из Azure с Webex или изменения существующих сопоставлений атрибутов пользователя.

Прежде чем начать

Необходимо добавить приложение Cisco Webex в Azure Active Directory и настроить его, а также протестировать соединение.

Изменить сопоставления атрибутов пользователя можно до или после начала синхронизации пользователей.

1

Войдите на портал Azure и перейдите в раздел Azure Active Directory > корпоративные приложения > все приложения.

2

Откройте приложение Cisco Webex.

3

Выберите страницу Подготовка и откройте на этой странице элемент управления Сопоставления.

4

Щелкните Синхронизировать пользователей Azure Active Directory с Cisco Webex

Откроется новый раздел.

5

Установите флажок в поле Показать дополнительные параметры и щелкните Редактировать список атрибутов для Cisco Webex.

На открывшейся панели управления можно выбрать, какие атрибуты Webex будут подставлены из атрибутов пользователя Azure. Атрибуты и сопоставления будут отображены далее в этой процедуре.

6

После выбора атрибутов Webex щелкните Сохранить, а затем нажмите Да для подтверждения.

Откроется страница "Сопоставление атрибутов", на которой можно сопоставить атрибуты пользователя Azure AD с выбранными атрибутами пользователя Webex.

7

В нижней части страницы щелкните Добавить новое сопоставление.

8

Выберите прямое сопоставление. Выберите Исходный атрибут (атрибут Azure) и Целевой атрибут (атрибут Webex), а затем щелкните ОК.

Таблица 1. Сопоставления Azure с Webex

Атрибут Azure Active Directory (исходный)

Атрибут Cisco Webex (целевой)

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenname.

name.givenName

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

TelephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

objectId

externalId

9

Повторяйте два предыдущих шага, пока не будут добавлены или изменены все необходимые сопоставления, щелкните Сохранить, а затем нажмите Да, чтобы подтвердить новые сопоставления.


 

Рекомендуется не изменять сопоставления атрибутов по умолчанию. Важным является сопоставление userPrincipalName (UPN) в Azure AD с адресом электронной почты (userName) в Control Hub. Если необходимо начать заново, можно Восстановить сопоставления по умолчанию.

Если userPrincipalName не является адресом электронной почты в Control Hub, будут подготавливаться новые пользователи и сопоставление с существующими пользователями в Control Hub выполнено не будет. При необходимости использовать адрес электронной почты Azure вместо UPN в Azure AD необходимо изменить сопоставление по умолчанию с userPrincipalName на адрес электронной почты.

Сопоставление закончено. Пользователи Webex будут созданы или обновлены при следующей синхронизации.

Прежде чем начать

Выполните перечисленные ниже действия.

  • Добавьте приложение Cisco Webex

  • Авторизуйте Azure для автоматического создания пользователей Webex и протестируйте соединение

  • (Необязательно) Назначьте определенных пользователей и группы приложению Webex

  • (Необязательно) Сопоставьте (дополнительные, не заданные по умолчанию) атрибуты Azure с атрибутами Webex

1

Откройте приложение Cisco Webex на портале Azure и перейдите на страницу Подготовка.

2

Если приложению назначены определенные пользователи или группы, установите для параметра Область подготовки значение Синхронизация только назначенных пользователей и групп.

Если этот параметр выбран, но пользователи и группы еще не назначены, необходимо следовать требованиям, описанным в разделе Назначение групп или пользователей приложению в Azure AD, перед включением подготовки.

3

Переведите переключатель Состояние подготовки в положение Включено.

Это действие обеспечивает запуск автоматической подготовки/синхронизации пользователей Webex из Azure AD. Это может занять до 40 минут.

Если при тестировании необходимо уменьшить время ожидания, можно использовать функцию подготовки по запросу. См. https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand.

Другой способ перезапуска процесса подготовки: переведите переключатель Состояние подготовки в положение Выключено, нажмите Сохранить, а затем верните переключатель обратно в состояние Включено и снова нажмите Сохранить. В результате будет принудительно запущена новая синхронизация.


 

Настоятельно рекомендуется не использовать параметр Очистить текущее состояние и перезапустить синхронизацию.

4

Выполните вход на веб-сайте https://admin.webex.com, перейдите к меню Пользователи и проверьте учетные записи пользователей Azure Active Directory.

Эта синхронизация выполняется с помощью API, поэтому индикатор состояния в Control Hub отсутствует. Состояние синхронизации пользователей можно посмотреть в журналах на портале Azure.


 

Чтобы получить запись об изменениях, связанных с синхронизацией пользователей Azure AD, и выявить возможные проблемы, откройте журналы аудита. В разделе Активность щелкните Журналы аудита. В этом представлении отображаются все журналы, также в нем можно применять фильтры по определенным категориям, например, Подготовка учетной записи в качестве фильтра служб и Управление пользователями в качестве фильтра категорий.

Можно удалить назначения пользователей из Azure AD. При этом учетные записи пользователя Azure AD сохраняются, но с их помощью нельзя будет получить доступ к приложениям и службам Webex в вашей организации.

Если удалить назначение пользователей, Webex пометит пользователей как неактивных.

1

На портале Azure перейдите в раздел Корпоративные приложения и выберите добавленное вами приложение Webex.

2

Выберите пользователя или группу пользователей из списка назначенных приложению.

3

Щелкните Удалить, затем щелкните Да, чтобы подтвердить удаление.

При следующей синхронизации пользователь или группа пользователей будут удалены из приложения Webex.

1

Перейдите в раздел Пользователи, установите флажок рядом с каждой учетной записью пользователя, которые необходимо удалить, и щелкните Удалить пользователя.

Пользователи перемещаются во вкладку Удаленные пользователи.

В Control Hub пользователи перемещаются в состояние "обратимого удаления" и не удаляются незамедлительно. Они также переименовываются. Azure AD отправляет эти изменения в облако Webex. Control Hub затем отражает эти изменения и помечает пользователя как неактивного. Все маркеры для этого пользователя аннулируются.

2

Чтобы проверить все записи об удалении пользователей, перейдите в раздел Журналы аудита и выполните поиск в категории Управление пользователями или в активности Удаление пользователей.


 

При открытии журнала аудита удаленного пользователя и выборе Цель(-и) вы увидите, что Имя участника-пользователя перед "@" содержит строку цифр и символов.

При выполнении каких-либо действий по обнаружению электронных данных в Control Hub вам необходимо узнать имя участника-пользователя из журналов аудита в Azure AD. Дополнительную информацию об обнаружении электронных данных см. в статье Обеспечение соответствия нормативным требованиям контента совещаний и приложения Webex.

Дальнейшие действия

Пользователей, удаленных с помощью функции обратимого удаления, можно восстановить в течение 30 дней, прежде чем они будут окончательно удалены. При восстановлении пользователя в Azure AD Control Hub повторно активирует пользователя и переименовывает его на исходный адрес электронной почты или UPN.

Если пользователь не будет восстановлен, он будет безвозвратно удален из Azure AD. Пользователь удаляется из организации Webex и больше не будет отображаться в Control Hub. Если позднее вы повторно добавите адрес электронной почты в Azure AD, Webex создаст для пользователя совершенно новую учетную запись.