Система междоменного управления удостоверениями (SCIM)

Для интеграции между пользователями в каталоге и Control Hub используется API системы междоменного управления удостоверениями (SCIM). SCIM является открытым стандартом для автоматизации обмена информацией об удостоверениях пользователей между доменами удостоверения или информационными системами. Система SCIM призвана облегчить управление удостоверениями пользователей в облачных приложениях и службах. SCIM использует стандартизованный API с REST.

Если для синхронизации пользователей в вашей организации уже используется соединитель каталогов, синхронизировать пользователей из Okta будет невозможно.

Интеграция Okta поддерживает только следующие атрибуты:

  • userName
  • Отображаемое имя
  • name.familyName
  • name.givenName
  • externalId
  • заголовок

Многозначные атрибуты, номер телефона для мобильного и рабочего, а также адрес не поддерживаются Okta, поскольку операция для PATCH, PUT или DELETE не передается приложением Okta в Webex.

Удалите эти атрибуты из сопоставления Okta или удалите обновление из конфигурации синхронизации.

Поддерживаемые функции

Эта интеграция поддерживает приведенные ниже функции синхронизации пользователей в Okta.

  • Создание пользователей: создает или связывает пользователя в приложении Webex при назначении приложения пользователю в Okta.

  • Обновление атрибутов пользователя. Okta обновляет атрибуты пользователя в приложении Webex при назначении приложения. При последующем изменении атрибута в профиле пользователя Okta произойдет автоматическая перезапись соответствующих значений атрибута в облаке Webex.

  • Деактивация пользователей. Деактивация учетной записи приложения Webex пользователя при отмене ее назначения в Okta или при деактивации учетной записи пользователя Okta. Учетные записи могут быть повторно активированы при повторном назначении приложения пользователю в Okta.

Синхронизация групп из Okta с вашей организацией Webex не поддерживается.

Добавление Webex в Okta

Прежде чем настроить Control Hub для автоматической подготовка пользователей с помощью Okta, необходимо добавить Webex из коллекции приложений Okta в список управляемых приложений. Также необходимо выбрать метод аутентификации. В настоящее время службы Webex в Control Hub поддерживают только систему единого входа федерации с Okta.

Прежде чем начать

  • Для использования Okta требуется наличие действующего клиента Okta и текущей лицензии для работы с платформой. Кроме того, у вас должна быть текущая платная подписка и организация Webex.

  • В вашей организации Webex необходимо настроить шаблоны автоматического назначения лицензий, в противном случае новым синхронизированным пользователям в Control не будут назначены лицензии для служб Webex. Дополнительную информацию см. в статье Настройка шаблонов автоматического назначения лицензий в Control Hub.

  • Интеграция системы единого SSO в Control Hub не охватывает этот документ. Перед настройкой подготовки пользователей необходимо выполнить интеграцию SSO Okta. Руководство по SSO интеграции см . в система единого входа Control Hub с Okta.

1

Войдите в клиент Okta (example.okta.com, где example – это название вашей компании или организации) в качестве администратора, перейдите к меню Applications (Приложения) и щелкните Add Application (Добавить приложение).

2

Найдите Cisco Webex и добавьте приложение к своему клиенту.

Если вы уже интегрировали SSO Okta в организацию Control Hub, можно пропустить приведенные выше шаги и просто повторно открыть запись Cisco Webex в списке приложений Okta.

3

В отдельной вкладке браузера откройте окно просмотра информации о клиенте на веб-сайте https://admin.webex.com, щелкните название своей организации, а затем рядом с пунктом Информация о компании скопируйте Идентификатор организации.

Запишите идентификатор организации (скопируйте и вставьте в текстовый файл). Идентификатор будет использован в дальнейшем.

Настройка Okta для синхронизации пользователей

Прежде чем начать

Убедитесь, что идентификатор вашей организации сохранен из предыдущей процедуры.

При создании токенов носителя для клиентов убедитесь в наличии роли администратора с полными правами клиента.

1

В клиенте Okta перейдите в раздел Provisioning (Подготовка), щелкните Configure API Integration (Настройка интеграции API), а затем установите флажок Enable API Integration (Включить интеграцию API).

2

Введите значение идентификатора в поле Идентификатор организации.

3

Выполните приведенные ниже действия, чтобы получить значение токена носителя для секретного токена.

  1. Скопируйте следующий URL-адрес и запустите его во вкладке браузера в режиме инкогнито: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    Указанный выше URL-адрес относится к брокеру удостоверений Webex по умолчанию. Если вы используете Webex для правительства, воспользуйтесь следующим URL для получения токена носитера:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Важно использовать браузер в режиме инкогнито, чтобы убедиться, что вход выполняется с помощью правильных учетных данных администратора. Если вы уже вписались в качестве менее привилегированного пользователя, который не может создавать пользователей, то возвращенный токен носитера не сможет создавать пользователей.

  2. На открывшейся странице входа в Webex войдите в систему, используя учетную запись администратора с полными правами для вашей организации.

    Откроется страница ошибки с сообщением о том, что веб-сайт недоступен, но это нормально.

    URL страницы ошибки содержит созданный токен носитера. Этот токен действителен в течение 365 дней (после этого срок его действия истекает).

  3. Из URL-адреса в адресной строке браузера скопируйте значение токена носителя между access_token= и &token_type=Носитель.

    Например, в этом URL-адресе значение токена выделено: http://localhost:3000/auth/code#access_token={sample_token}&token_typeBearer&expires_in=3887999&state=это-должно быть-a-a-random-string-for-security-purpose.

    Рекомендуется сохранить это значение в текстовом файле в качестве записи маркера, если URL больше не доступен.

4

Вернитесь к Okta, вставьте токен носителя в поле API Token (Токен API), а затем щелкните Test API Credentials (Тестирование учетных данных API).

Отобразится сообщение о том, что проверка Webex выполнена успешно.

5

Перейдите в пункт меню: Подготовка > Настройки > Для приложения, а затем укажите необходимые параметры синхронизации для пользователя.

6

Щелкните Assignments (Назначения), затем щелкните Assign (Назначить), и выберите один из приведенных ниже параметров.

  • Назначить пользователям , чтобы назначить Webex отдельным пользователям.
  • Назначить группам , если необходимо назначить Webex нескольким пользователям в группе.
7

Если настроена интеграция SSO, щелкните Assign (Назначить) рядом с каждым пользователем или группой, которым необходимо назначить приложение, а затем щелкните Done (Готово).

Выбранные пользователи будут синхронизированы с облаком и отображены в Control Hub в разделе Users (Пользователи). При каждом перемещении, добавлении, изменении или удалении пользователей в Okta будут выполнены соответствующие изменения в Control Hub.

Если шаблоны автоматического назначения лицензий не включены, пользователи синхронизируются с Control Hub без назначения лицензии. Чтобы сократить затраты на администрирование, рекомендуется включить шаблон автоматического назначения лицензии до синхронизации пользователей Okta с Control Hub.