Изменение аутентификации единого входа в Control Hub

Перед началом работы

Убедитесь в соблюдении следующих предварительных условий:

  • Система единого входа уже настроена. Информацию об использовании мастера настройки системы SSO см. В разделе «Настройка системы SSO » здесь: https://help.webex.com/article/lfu88u/.

  • Домены уже проверены.

  • Домены заявлены и включены. Эта функция обеспечивает создание и обновление пользователей из вашего домена при каждой аутентификации с помощью вашего поставщика удостоверений.

  • Если DirSync или AzureAD включены, создание или обновление SAML JIT работать не будет.

  • Параметр "Блокировать обновление профиля пользователя" включен. Сопоставление обновлений SAML разрешено, поскольку эта конфигурация управляет возможностью пользователя редактировать атрибуты. Поддерживаются управляемые администратором методы создания и обновления.


 

Только что созданные пользователи не будут автоматически получать назначенные лицензии, если в организации не настроен автоматический шаблон лицензий.

Подготовка пользователей для подготовки групп SAML JIT ограничена только одной группой.

Настройка сопоставления точно в срок (JIT) и SAML

1.

Войдите в Control Hub.

2.

Перейти к Управление > Настройки организации, прокрутите страницу до Система единого входа и щелкните Управление SSO и IdPs.

3.

Перейдите на вкладку Поставщик удостоверений .

4.

Перейдите к IdP и щелкните.

5

Выберите Редактировать сопоставление SAML.

6

Настройте параметры точно в срок (JIT).

  • Создать или активировать пользователя: если активный пользователь не найден, система Webex Identity создаст пользователя и обновит атрибуты после аутентификации пользователя с помощью IdP.
  • Обновление пользователя с помощью атрибутов SAML: если пользователь с адресом электронной почты найден, система удостоверений Webex обновляет пользователя с помощью атрибутов, сопоставленных в утверждении SAML.
Убедитесь, что пользователи могут входить в систему с помощью другого стандартного адреса электронной почты.
7.

Настройте необходимые атрибуты сопоставления SAML.

Таблица 1. Обязательные атрибуты

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

Имя пользователя / основной адрес электронной почты

Пример. uid

Сопоставьте атрибут UID с предоставленным адресом электронной почты, именем UPN или именем edupersonprincipalname.

8

Настройте атрибуты связывания.

Это должно быть уникальным для пользователя. Он используется для поиска пользователя, чтобы Webex мог обновить все атрибуты профиля, включая адрес электронной почты пользователя.
Таблица 2. Атрибуты связывания

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

externalId

Пример. user.objectid

Чтобы идентифицировать этого пользователя с учетом отличий от других индивидуальных профилей. Это необходимо при сопоставлении каталогов или изменении других атрибутов профиля.

перечисление

Пример. user. eid

Номер сотрудника пользователя или идентификационный номер в системе управления персоналом. Обратите внимание, что это не для externalid, потому что вы можете повторно использовать или перерабатывать employeenumber для других пользователей.

Атрибут добавочного номера 1

Пример. user.extensionattribute1

Сопоставьте эти пользовательские атрибуты с расширенными атрибутами в Active Directory, Azure или каталоге для кодов слежения.

Атрибут добавочного номера 2

Пример. user.extensionattribute2

Атрибут добавочного номера 3

Пример. user.extensionattribute3

Атрибут добавочного номера 4

Пример. user.extensionlattribute4

Атрибут добавочного номера 5

Пример. user.extensionattribute5

9

Настройте атрибуты профиля.

Таблица 3. Атрибуты профиля

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

externalId

Пример. user.objectid

Чтобы идентифицировать этого пользователя с учетом отличий от других индивидуальных профилей. Это необходимо при сопоставлении каталогов или изменении других атрибутов профиля.

перечисление

Пример. user. eid

Номер сотрудника этого пользователя или идентификационный номер в системе управления персоналом. Обратите внимание, что это не относится к "externalid", поскольку вы можете повторно использовать или повторно использовать " enumber" для других пользователей.

Предпочтительный язык

Пример. user.preferredlanguage

Предпочитаемый язык пользователя.

Региональные параметры

Пример. user.local

Основное рабочее место пользователя.

часовой пояс

Пример. user.timezone

Основной часовой пояс пользователя.

displayName

Пример. user.displayname

Отображаемое имя пользователя в Webex.

name.givenName

Пример. user.givenname

Имя пользователя.

name.familyName

Пример. user.фамилия

Фамилия пользователя.

addresses.streetAddress

Пример. user.streetaddress

Улица и номер дома основного рабочего места пользователя.

addresses.state

Пример. user.state

Состояние их основного рабочего места.

addresses.region

Пример. user.region

Регион основного рабочего места пользователя.

addresses.postalCode

Пример. user.postalcode

Почтовый индекс основного рабочего места пользователя.

addresses.country

Пример. user.country

Страна основного рабочего места пользователя.

phoneNumbers.work

Пример. рабочий телефонный номер

Номер рабочего телефона на основном рабочем месте пользователя. Используйте только международный формат E.164 (максимум 15 цифр).

phoneNumbers.extension

Пример. мобильный телефонный номер

Рабочий добавочный номер основного номера рабочего телефона пользователя. Используйте только международный формат E.164 (максимум 15 цифр).

местоимение

Пример. user.pronoun

Местоимения пользователя. Это дополнительный атрибут, и пользователь или администратор может сделать его видимым в своем профиле.

title

Пример. user.jobtitle

Должность пользователя.

отдел

Пример. user.department

Отдел или рабочая группа пользователя.

местоимение

Пример. user.pronoun

Это местоимение пользователя. Видимость этого атрибута контролируется администратором и пользователем

manager;

Пример. manager;

Руководит менеджер пользователя или его команда.

costcenter

Пример. центр затрат

Это фамилия пользователя, также известная как фамилия или фамилия

email.alternate1

Пример. user.mailnickname

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог войти с помощью него, сопоставьте его с UID.

email.alternate2

Пример. user.primary yauthoritativemail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог войти с помощью него, сопоставьте его с UID.

email.alternate3

Пример. user.alternativeauthoritativemail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог войти с помощью него, сопоставьте его с UID.

email.alternate4

Пример. user.othermail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог войти с помощью него, сопоставьте его с UID.

email.alternate5

Пример. user.othermail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог войти с помощью него, сопоставьте его с UID.
10

Настройте атрибуты добавочного номера.

Сопоставьте эти атрибуты с расширенными атрибутами в Active Directory, Azure или каталоге для кодов слежения.
Таблица 4. Атрибуты добавочного номера

Имя атрибута удостоверения Webex

Имя атрибута SAML

Атрибут добавочного номера 1

Пример. user.extensionattribute1

Атрибут добавочного номера 2

Пример. user.extensionattribute2

Атрибут добавочного номера 3

Пример. user.extensionattribute3

Атрибут добавочного номера 4

Пример. user.extensionattribute4

Атрибут добавочного номера 5

Пример. user.extensionattribute5

Атрибут добавочного номера 6

Пример. user.extensionattribute6

Атрибут добавочного номера 7

Пример. user.extensionattribute7

Атрибут добавочного номера 8

Пример. user.extensionattribute8

Атрибут добавочного номера 9

Пример. user.extensionattribute9

Атрибут добавочного номера 10

Пример. user.extensionattribute10

11

Настройте атрибуты группы.

  1. Создайте группу в Control Hub и запишите идентификатор группы Webex.
  2. Перейдите в каталог пользователей или IdP и настройте атрибут для пользователей, которым будет назначен идентификатор группы Webex.
  3. Обновите конфигурацию поставщика удостоверений, чтобы включить утверждение, которое содержит имя атрибута вместе с идентификатором группы Webex (например, c65f7d85-b691-42b8-a20b-12345xxxx). Внешний идентификатор также можно использовать для управления изменениями имен групп или сценариев интеграции в будущем. Например, синхронизация с Azure AD или реализация синхронизации групп SCIM.
  4. Укажите точное имя атрибута, который будет отправлен в утверждении SAML с идентификатором группы. Это используется для добавления пользователя в группу.
  5. Укажите точное имя внешнего идентификатора объекта группы, если вы используете группу из каталога для отправки участников в утверждении SAML.

 

Если пользователь A связан с groupID 1234 и пользователь B с groupID 4567, они отнесены к отдельным группам. В этом сценарии указывается, что один атрибут позволяет пользователям связываться с несколькими идентификаторами групп. Хотя это редкость, это возможно и может рассматриваться как изменение добавки. Например, если пользователь A изначально входит в систему с помощью groupID 1234, они становятся членами соответствующей группы. Если пользователь А позже войдет в систему с помощью groupID 4567, они также добавлены во вторую группу.

Подготовка SAML JIT не поддерживает удаление пользователей из групп или удаление пользователей.

Таблица 5. Атрибуты группы

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

groupId

Пример. groupId

Сопоставление групповых атрибутов из IdP с групповыми атрибутами службы удостоверений Webex с целью сопоставления этого пользователя с группой для лицензирования или службы настроек.

groupexternalId

Пример. groupexternalId

Сопоставление групповых атрибутов из IdP с групповыми атрибутами службы удостоверений Webex с целью сопоставления этого пользователя с группой для лицензирования или службы настроек.

Список атрибутов утверждения SAML для Webex Meetings см. в разделе https://help.webex.com/article/WBX67566.