Изменение аутентификации при едином входе в Control Hub

Перед началом работы

Убедитесь в том, что с 2003 г. совмеся следующие предварительные условия:

  • SSO уже настроена. Информацию об использовании мастера настройки системы единого входа см. в разделе "Настройка системы единого входа" по ссылке https://help.webex.com/article/lfu88u/.

  • Домены уже проверены.

  • Домены заявлены и включены. Эта функция обеспечивает создание и обновление пользователей из вашего домена при каждой аутентификации с помощью поставщика удостоверений.

  • Если синхронизация DirSync или AzureAD включена, создание или обновление SAML JIT не будет работать.

  • "Блокировка профиль пользователя обновлений" включена. Сопоставление обновлений SAML разрешено, поскольку эта конфигурация управляет возможностью пользователя редактировать атрибуты. Методы создания и обновления, управляемые администратором, все еще поддерживаются.

Недавно созданные пользователи не будут автоматически получать назначенные лицензии, если в организации не настроен автоматический шаблон лицензии .

Подготовка пользователей для подготовки групп с помощью SAML JIT ограничена только одной группой.

Настройка сопоставления "Точно в срок" (JIT) и SAML
1

Войдите в Control Hub.

2

Перейдите к меню Управление > Настройки организации, прокрутите страницу до раздела Система единого входа и щелкните Управление SSO и IdP.

3

Перейдите на вкладку Поставщик удостоверений .

4

Перейдите к поставщику удостоверений и щелкните Меню "Дополнительно".

5

Выберите Редактировать сопоставление SAML.

6

Настройте параметры "Точно в срок" (JIT).

  • Создать или активировать пользователя: если активный пользователь не найден, то служба удостоверений Webex создаст пользователя и обновит атрибуты после аутентификации пользователя с помощью IdP.
  • Обновление пользователя с помощью атрибутов SAML. При обнаружении пользователя с адресом электронной почты Удостоверение Webex обнорит атрибуты в утверждении SAML.
Подтвердите, что пользователи могут выполнять вход с помощью другого неизвестного адреса электронной почты.

7

Настройте необходимые атрибуты сопоставления SAML.

Таблица 1. Обязательные атрибуты

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

Имя пользователя/основной адрес электронной почты

Пример. uid

Сопоставьте атрибут UID с предоставленным адресом электронной почты, именем UPN или именем edupersonprincipalname.

8

Настройте атрибуты связывания.

Это должно быть уникальным для пользователя. Он используется для поиска пользователя, чтобы Webex мог обновить все атрибуты профиля, включая адрес электронной почты пользователя.
Таблица 2. Атрибуты связывания

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

externalId

Пример. user.objectid

Чтобы идентифицировать этого пользователя с учетом отличий от других индивидуальных профилей. Это необходимо при сопоставлении каталогов или изменении других атрибутов профиля.

employeenumber (число сотрудников)

Пример. user.employeeid

Номер сотрудника или идентификационный номер в системе управления персоналом пользователя. Обратите внимание, что это не относится к externalid, поскольку можно повторно использовать или повторно использовать employeenumber для других пользователей.

Атрибут расширения 1

Пример. user.extensionattribute1

Сопоставьте эти пользовательские атрибуты с расширенными атрибутами в Active Directory, Azure или вашем каталоге для использования кодов слежения.

Атрибут расширения 2

Пример. user.extensionattribute2

Атрибут расширения 3

Пример. user.extensionattribute3

Атрибут расширения 4

Пример. Шаблон: User.extensionlattribute4

Атрибут расширения 5

Пример. user.extensionattribute5

9

Настройте атрибуты профиля.

Таблица 3. Атрибуты профиля

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

externalId

Пример. user.objectid

Чтобы идентифицировать этого пользователя с учетом отличий от других индивидуальных профилей. Это необходимо при сопоставлении каталогов или изменении других атрибутов профиля.

employeenumber (число сотрудников)

Пример. user.employeeid

Номер сотрудника этого пользователя или идентификационный номер в системе управления персоналом. Обратите внимание, что это не для externalid, поскольку можно повторно использовать или повторно использовать "employeenumber" для других пользователей.

Предпочтительный язык

Пример. user.preferredlanguage

Предпочитаемый язык пользователя.

Региональные параметры

Пример. user.locale

Основное рабочее место пользователя.

часовой пояс

Пример. user.timezone

Основной часовой пояс пользователя.

displayName

Пример. имя-пользователя.displayname

Отображаемое имя пользователя в Webex.

name.givenName

Пример. имя-пользователя.givenname

Имя пользователя.

name.familyName

Пример. user.фамилия

Фамилия пользователя.

addresses.streetAddress

Пример. user.streetaddress

Улица и номер дома основного рабочего места пользователя.

addresses.state

Пример. user.state

Состояние их основного места работы.

адресов.region

Пример. user.region

Регион основного рабочего места пользователя.

адреса.Почтовый индекс

Пример. user.postalcode

Почтовый индекс основного рабочего места пользователя.

addresses.country

Пример. user.country

Страна основного рабочего места пользователя.

phoneNumbers.work

Пример. рабочий номер телефона

Номер рабочего телефона на основном рабочем месте пользователя. Используйте только международный формат E.164 (максимум 15 цифр).

phoneNumbers.extension

Пример. номер мобильного телефона

Рабочий добавочный номер основного номера рабочего телефона пользователя. Используйте только международный формат E.164 (максимум 15 цифр).

Местоимение

Пример. user.pronoun

Pronouns пользователя. Это дополнительный атрибут, и пользователь или администратор может сделать его видимым в своем профиле.

title

Пример. user.jobtitle

Должность пользователя.

отдел

Пример. user.department

Отдел или рабочая группа пользователя.

Местоимение

Пример. user.pronoun

Это pronoun пользователя. Прозрачность этого атрибута управляется администратором и пользователем

менеджер

Пример. менеджер

Руководителя пользователя или руководителя его команды.

центр обработки затрат

Пример. центр затрат

Это фамилия пользователя, также известная как фамилия или фамилия

email.alternate1

Пример. имя-пользователя.mailnickname

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate2

Пример. user.primaryauthoritativemail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate3

Пример. user.alternativeauthoritativemail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate4

Пример. user.othermail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.

email.alternate5

Пример. user.othermail

Альтернативный адрес электронной почты пользователя. Если вы хотите, чтобы пользователь мог в него войти, сопишите его с UID.
10

Настройте атрибуты добавочного номера.

Соустановите эти атрибуты с расширенными атрибутами в Active Directory, Azure или каталоге для коды слежения.
Таблица 4. Атрибуты расширения

Имя атрибута удостоверения Webex

Имя атрибута SAML

Атрибут расширения 1

Пример. user.extensionattribute1

Атрибут расширения 2

Пример. user.extensionattribute2

Атрибут расширения 3

Пример. user.extensionattribute3

Атрибут расширения 4

Пример. user.extensionattribute4

Атрибут расширения 5

Пример. user.extensionattribute5

Атрибут расширения 6

Пример. user.extensionattribute6

Атрибут расширения 7

Пример. user.extensionattribute7

Атрибут расширения 8

Пример. user.extensionattribute8

Атрибут расширения 9

Пример. user.extensionattribute9

Атрибут расширения 10

Пример. user.extensionattribute10

11

Настройте атрибуты группы.

  1. Создайте группу в Control Hub и обратите внимание на идентификатор группы Webex.
  2. Перейдите к каталогу пользователей или IdP и настройте атрибут для пользователей, которым будет назначен идентификатор группы Webex.
  3. Обновите конфигурацию поставщика удостоверений, чтобы включить заявление, которое несет это имя атрибута вместе с идентификатором группы Webex (например, c65f7d85-b691-42b8-a20b-12345xxxx). Внешний идентификатор также можно использовать для управления изменениями названий групп или будущих сценариев интеграции. Например, синхронизация с Azure AD или реализация синхронизации группы SCIM.
  4. Укажите точное имя атрибута, который будет отправлен в утверждении SAML с идентификатором группы. Используется для добавления пользователя в группу.
  5. Укажите точное имя внешнего идентификатора объекта группы, если группа из вашего каталога используется для отправки участников в утверждении SAML.

Если пользователь A связан с groupID 1234, а пользователь B с groupID 4567, он будет назначен в отдельные группы. Этот сценарий указывает, что с помощью одного атрибута пользователи могут связываться с несколькими идентификаторами группы. Хотя это редкость, это возможно и может рассматриваться как аддитивное изменение. Например, если пользователь А изначально входит в систему с помощью параметра groupID 1234, он становится участником соответствующей группы. Если пользователь А войдет в систему позже с помощью groupID 4567, он также будет добавлен во вторую группу.

Подготовка SAML JIT не поддерживает удаление пользователей из групп и удаление пользователей.

Таблица 5. Групповые атрибуты

Имя атрибута удостоверения Webex

Имя атрибута SAML

Описание атрибута

идентификатор группы

Пример: идентификатор группы

Сопоставление групповых атрибутов из IdP с групповыми атрибутами службы удостоверений Webex с целью сопоставления этого пользователя с группой для лицензирования или службы настроек.

идентификатор группыName

Пример: идентификатор группыName

Сопоставление групповых атрибутов из IdP с групповыми атрибутами службы удостоверений Webex с целью сопоставления этого пользователя с группой для лицензирования или службы настроек.

Список атрибутов утверждения SAML для Webex Meetings см. в . https://help.webex.com/article/WBX67566