Система междоменного управления удостоверениями (SCIM)

Для интеграции между пользователями в каталоге и Control Hub используется API системы междоменного управления удостоверениями (SCIM). SCIM является открытым стандартом для автоматизации обмена информацией об удостоверениях пользователей между доменами удостоверения или информационными системами. Система SCIM призвана облегчить управление удостоверениями пользователей в облачных приложениях и службах. SCIM использует стандартизованный API с REST.


 

Azure AD не синхронизирует значения NULL. Если задать значение атрибута NULL, оно не будет удалено или исправлено с помощью значения NULL в Webex. Если это ограничение влияет на ваших пользователей, обратитесь в Microsoft за поддержкой.

Приложение мастера Azure AD

Используйте приложение мастера Azure AD в Control Hub, чтобы упростить синхронизацию пользователей и групп с Webex. Приложение Wizard позволяет легко настроить, какие атрибуты, пользователей и группы необходимо синхронизировать, а также решить, следует ли синхронизировать аватары пользователей с Webex. См. Настройка приложения мастера Azure AD в Control Hub чтобы узнать больше о преимуществах использования мастера.

Прежде чем настроить Webex Control Hub для автоматической подготовки пользователей с помощью Azure AD, необходимо добавить Cisco Webex из коллекции приложений Azure AD в список управляемых приложений.


 

Если вы уже интегрировали Webex Control Hub с Azure для системы единого входа (SSO), приложение Cisco Webex уже добавлено в список корпоративных приложений и вы можете пропустить эту процедуру.

1

Войдите на портал Azure по адресу https://portal.azure.com, используя свои учетные данные администратора.

2

Перейдите в раздел Active Directory Azure вашей организации.

3

Перейдите в раздел Корпоративные приложения и щелкните Добавить.

4

Щелкните Добавить приложение из коллекции.

5

В поле поиска введите Cisco Webex.

6

В области результатов выберите Cisco Webex, а затем щелкните Добавить, чтобы добавить приложение.

Отобразится сообщение о том, что приложение успешно добавлено.

7

Чтобы убедиться, что приложение Webex, добавленное для синхронизации, не отображается на портале пользователя, откройте новое приложение, перейдите в раздел Свойства и задайте для параметра Отображается для пользователей? значение Нет.

Эта процедура позволяет выбрать пользователей для синхронизации с облаком Webex.

В Azure AD используется понятие под названием "назначения" для определения пользователей, которые должны получить доступ к выбранным приложениям. В контексте автоматического назначения пользователей с Control Hub синхронизируются только те пользователи и (или) группы пользователей, которые "назначены" приложению в Azure AD.


 

Webex может синхронизировать пользователей в группе Azure AD, но не сам объект группы.

Если настройка интеграции осуществляется впервые, рекомендуется назначить одного пользователя в целях тестирования, а затем добавить других пользователей и группы, если тестирование будет выполнено успешно.

1

Откройте приложение Cisco Webex на портале Azure и перейдите в раздел Пользователи и группы.

2

Щелкните Добавить назначение.

3

Найдите пользователей или группы, которые необходимо добавить в приложение.

  • Найдите отдельных пользователей, которых необходимо назначить приложению.
  • Найдите группу пользователей, которую необходимо назначить приложению.
4

Щелкните Выбрать, затем Назначить.

Повторите эти действия для всех групп и пользователей, которых необходимо синхронизировать с Webex.

Используйте эту процедуру, чтобы настроить подготовку в Azure AD и получить токен носителя для вашей организации. В инструкции описаны необходимые и рекомендуемые административные настройки.


 
Если ваша организация требует, чтобы у всех пользователей был подтвержденный домен, то будущая синхронизация не позволит создавать пользователей для непроверенных доменов. Большинству Webex для государственных организаций требуются проверенные домены.

Перед началом работы

Получите идентификатор своей организации из представления клиентов в Control Hub. Щелкните название своей организации в левом нижнем углу и скопируйте идентификатор организации в текстовый файл. Это значение потребуется при вводе URL-адрес-адреса клиента. Мы используем это значение в качестве примера в этой статье: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Войдите на портал Azure и перейдите в раздел Azure Active Directory > Корпоративные приложения > Все приложения.

2

В списке корпоративных приложений выберите Cisco Webex.

3

Перейдите в раздел Подготовка, затем измените Режим подготовки на Автоматический.

Приложение Webex включает некоторые сопоставления по умолчанию между атрибутами пользователя Azure AD и атрибутами пользователя Webex . Этих атрибутов достаточно для создания пользователей, однако можно добавить дополнительные атрибуты, как описано далее в этой статье.

4

Введите URL-адрес клиента.

В таблице ниже указан URL-адрес вашего предложения Webex. Замените OrgId своим конкретным значением.

Таблица 1. URL-адреса клиентов для Webex
Предложение WebexURL-адрес клиента для использования
Webex (по умолчанию) https://api.ciscospark.com/v1/scim/OrgId
Webex for Government https://api-usgov.webex.com/v1/scim/OrgId

Например, URL-адрес клиента может выглядеть так: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c.

5

Выполните приведенные ниже действия, чтобы получить значение токена носителя для секретного токена.

  1. Скопируйте приведенный ниже URL-адрес и запустите его во вкладке браузера, открытой в режиме инкогнито. https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    Указанный выше URL-адрес относится к брокеру удостоверений Webex по умолчанию. Если вы используете Webex для государственных организаций, используйте следующий URL-адрес -адрес, чтобы получить токен на предъявителя:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Важно использовать браузер в режиме инкогнито, чтобы убедиться, что вход выполняется с помощью правильных учетных данных администратора. Если вы уже вошли в систему как пользователь с меньшими привилегиями, который не может создавать пользователей, возвращаемый вами токен-носитель не может создавать пользователей.

  2. На открывшейся странице входа в Webex войдите в систему, используя учетную запись администратора с полными правами для вашей организации.

    Откроется страница ошибки с сообщением о том, что веб-сайт недоступен, но это нормально.

    URL-адрес -адрес страницы ошибки включает сгенерированный токен-носитель. Этот токен действителен в течение 365 дней (после этого срок его действия истекает).

  3. Из URL-адреса, указанного в адресной строке браузера, скопируйте значение токена носителя, которое размещено между access_token= и &token_type=Bearer.

    Например, в этом URL-адресе значение токена выделено: http: // localhost: 3000 / auth / code #access_token = {sample_token } &token_type = Носитель &expires_in = 3887999 & state = this-should-be-a-random-string-for-security.


     

    Рекомендуется сохранить это значение в текстовом файле как запись токена на тот случай, если URL-адрес -адрес больше не доступен.

6

Вернитесь на портал Azure и вставьте значение токена в поле секретный токен.

7

Щелкните Тестовое соединение чтобы убедиться, что Azure AD распознает организацию и токен.

Успешный результат указывает на то, что учетные записи имеют права на активацию подготовки пользователя.

8

Введите Уведомление по электронной почте и установите флажок при необходимости получать уведомления обо всех ошибках подготовки.

9

Щелкните Сохранить.

На этом этапе вы успешно предоставили Azure AD право на подготовку и синхронизацию пользователей Webex и выполнили шаги для настройки синхронизации.

Дальнейшие действия

Если вы хотите сопоставить дополнительные атрибуты пользователей Azure AD с атрибутами Webex , перейдите к следующему разделу.

Информацию о внесении изменений в синхронизированную организацию см. в статье справки Управление синхронизированными пользователями Azure Active Directory.

Эта процедура используется для сопоставления дополнительных атрибутов пользователя из Azure с Webex или изменения существующих сопоставлений атрибутов пользователя.


 

Сопоставление Azure с Webex не синхронизирует все детали пользователя. Некоторые аспекты пользовательских данных не синхронизируются:

  • Аватары

  • Комнаты

  • Атрибуты, не указанные в таблице ниже

Рекомендуется не изменять сопоставления атрибутов по умолчанию, если в этом нет острой необходимости. Значение, которое сопоставляется в качестве имени пользователя, особенно важно. В качестве имени пользователя Webex использует его адрес электронной почты. По умолчанию выполняется сопоставление userPrincipalName (UPN) в Azure AD с адресом электронной почты (username) в Control Hub.

Если атрибут userPrincipalName не сопоставлен с адресом электронной почты в Control Hub, пользователи будут подготовлены в Control Hub в качестве новых пользователей, а не сопоставлены с существующими пользователями. Чтобы использовать другой атрибут пользователя Azure в формате адреса электронной почты вместо UPN, необходимо изменить атрибут сопоставления по умолчанию в Azure AD с userPrincipalName на соответствующий атрибут пользователя Azure AD.

Перед началом работы

Необходимо добавить приложение Cisco Webex в Azure Active Directory и настроить его, а также протестировать соединение.

Изменить сопоставления атрибутов пользователя можно до или после начала синхронизации пользователей.

1

Войдите на портал Azure и перейдите в раздел Azure Active Directory > корпоративные приложения > все приложения.

2

Откройте приложение Cisco Webex.

3

Выберите страницу Подготовка, раскройте раздел Сопоставления и щелкните Подготовка пользователей Azure Active Directory.

4

Установите флажок в поле Показать дополнительные параметры и щелкните Редактировать список атрибутов для Cisco Webex.

5

Выберите атрибуты Webex, которые необходимо заполнить атрибутами пользователя Azure. Атрибуты и сопоставления будут отображены далее в этой процедуре.

6

После выбора атрибутов Webex щелкните Сохранить, а затем нажмите Да для подтверждения.

Откроется страница "Сопоставление атрибутов", на которой можно сопоставить атрибуты пользователя Azure AD с выбранными атрибутами пользователя Webex.

7

В нижней части страницы щелкните Добавить новое сопоставление.

8

Выберите прямое сопоставление. Выберите Исходный атрибут (атрибут Azure) и Целевой атрибут (атрибут Webex), а затем щелкните ОК.

Таблица 2. Сопоставления Azure с Webex

Атрибут Azure Active Directory (исходный)

Атрибут пользователя Webex (целевой объект)

Атрибуты, заполняемые по умолчанию

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenname.

name.givenName

objectId

externalId

Дополнительные доступные атрибуты

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

TelephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

Повторяйте два предыдущих шага, пока не будут добавлены или изменены все необходимые сопоставления, щелкните Сохранить, а затем нажмите Да, чтобы подтвердить новые сопоставления.


 

Если необходимо начать заново, можно Восстановить сопоставления по умолчанию.

Сопоставление закончено. Пользователи Webex будут созданы или обновлены при следующей синхронизации.