Úprava overovania jednotného prihlásenia v Control Hub

Predtým, ako začnete

Uistite sa, že sú splnené nasledujúce predpoklady:

  • Jednorazové prihlásenie (SSO) je už nakonfigurované. Informácie o používaní sprievodcu konfiguráciou SSO nájdete v časti „Nastavenie SSO“ tu: https://help.webex.com/article/lfu88u/.

  • Domény už boli overené.

  • Domény sú nárokované a zapnuté. Táto funkcia zabezpečuje, že používatelia z vašej domény sú vytvorení a aktualizovaní raz pri každej autentifikácii u vášho poskytovateľa identity.

  • Ak sú povolené DirSync alebo AzureAD, vytvorenie alebo aktualizácia SAML JIT nebude fungovať.

  • Možnosť „Blokovať aktualizáciu používateľského profilu“ je povolená. Mapovanie aktualizácií SAML je povolené, pretože táto konfigurácia riadi schopnosť používateľa upravovať atribúty. Metódy vytvárania a aktualizácie kontrolované správcom sú stále podporované.

Novovytvoreným používateľom nebudú automaticky priradené licencie, pokiaľ organizácia nemá nastavenú automatickú šablónu licencie.

Poskytovanie používateľov pre poskytovanie skupín pomocou SAML JIT je obmedzené iba na jednu skupinu.

Konfigurácia mapovania Just-in-Time (JIT) a SAML
1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Prejdite na stránku IdP a kliknite na Viac menu.

5

Vyberte Upraviť mapovanie SAML.

6

Konfigurácia nastavení Just-in-Time (JIT).

  • Vytvoriť alebo aktivovať používateľa: Ak sa nenájde žiadny aktívny používateľ, Webex Identity ho vytvorí a aktualizuje atribúty po jeho overení u poskytovateľa identity.
  • Aktualizovať používateľa atribútmi SAML: Ak sa nájde používateľ s e-mailovou adresou, Webex Identity aktualizuje používateľa s atribútmi namapovanými v tvrdení SAML.
Potvrďte, že sa používatelia môžu prihlásiť s inou, neidentifikovateľnou e-mailovou adresou.

7

Konfigurácia požadovaných atribútov mapovania SAML.

Tabuľka č. 1 Požadované atribúty

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

Používateľské meno / Primárna e-mailová adresa

Príklad: UID

Namapujte atribút UID na e-mail, názov používateľa alebo meno edupersonprincipalname zriadeného používateľa.

8

Nakonfigurujte atribúty prepojenia.

Toto by malo byť pre používateľa jedinečné. Používa sa na vyhľadanie používateľa, aby Webex mohol aktualizovať všetky atribúty profilu vrátane e-mailu používateľa.
Tabuľka 2. Prepojenie atribútov

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

externéId

Príklad: používateľ.objektid

Na identifikáciu tohto používateľa z profilov iných osôb. Toto je potrebné pri mapovaní medzi adresármi alebo zmene iných atribútov profilu.

číslo zamestnanca

Príklad: používateľ.idzamestnanca

Zamestnanecké číslo používateľa alebo identifikačné číslo v jeho HR systéme. Upozorňujeme, že toto nie je pre externalid, pretože employeenumber môžete znova použiť alebo recyklovať pre iných používateľov.

Atribút rozšírenia 1

Príklad: atribút_rozšírenia_používateľa1

Namapujte tieto vlastné atribúty na rozšírené atribúty v službe Active Directory, Azure alebo vo vašom adresári pre sledovacie kódy.

Atribút rozšírenia 2

Príklad: atribút_rozšírenia_user2

Atribút rozšírenia 3

Príklad: atribút_rozšírenia_user.extension3

Atribút rozšírenia 4

Príklad: user.extensionlatattribute4

Atribút rozšírenia 5

Príklad: atribút_rozšírenia_používateľa5

9

Konfigurovať atribúty profilu.

Tabuľka 3. Atribúty profilu

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

externéId

Príklad: používateľ.objektid

Na identifikáciu tohto používateľa z profilov iných osôb. Toto je potrebné pri mapovaní medzi adresármi alebo zmene iných atribútov profilu.

číslo zamestnanca

Príklad: používateľ.idzamestnanca

Zamestnanecké číslo tohto používateľa alebo identifikačné číslo v jeho HR systéme. Upozorňujeme, že toto sa netýka „externalid“, pretože „employeenumber“ môžete znova použiť alebo recyklovať pre iných používateľov.

preferovaný jazyk

Príklad: user.preferredlanguage

Preferovaný jazyk používateľa.

miesto

Príklad: user.locale

Hlavné pracovisko používateľa.

časové pásmo

Príklad: používateľ.časové pásmo

Primárne časové pásmo používateľa.

zobrazenýName

Príklad: používateľ.zobrazované_meno

Zobrazované meno používateľa vo Webexe.

meno.krstenéMeno

Príklad: používateľ.krstné_meno

Krstné meno používateľa.

meno.priezvisko

Príklad: priezvisko používateľa

Priezvisko používateľa.

adresy.ulicaAddress

Príklad: používateľ.ulicaaddress

Adresa ich hlavného pracoviska.

adresy.štát

Príklad: stav_používateľa

Štát ich hlavného pracoviska.

adresy.región

Príklad: user.region

Región ich hlavného pracoviska.

adresy.poštovnésmerové číslo

Príklad: poštové smerovacie číslo používateľa

PSČ ich hlavného pracoviska.

adresy.krajina

Príklad: user.country

Krajina ich hlavného pracoviska.

telefónne_čísla.práca

Príklad: pracovné telefónne číslo

Pracovné telefónne číslo ich hlavného pracoviska. Používajte iba medzinárodný formát E.164 (maximálne 15 číslic).

telefónne_čísla.rozšírenie

Príklad: číslo mobilného telefónu

Pracovná klapka ich hlavného pracovného telefónneho čísla. Používajte iba medzinárodný formát E.164 (maximálne 15 číslic).

zámeno

Príklad: používateľské zámeno

Zámená používateľa. Toto je voliteľný atribút a používateľ alebo administrátor ho môže nastaviť ako viditeľný vo svojom profile.

titul

Príklad: používateľ.názov_práce

Názov pracovnej pozície používateľa.

oddelenie

Príklad: používateľské oddelenie

Pracovné oddelenie alebo tím používateľa.

zámeno

Príklad: používateľské zámeno

Toto je zámeno používateľa. Viditeľnosť tohto atribútu je riadená správcom a používateľom.

manažér

Príklad: manažér

Manažér používateľa alebo vedúci jeho tímu.

nákladové stredisko

Príklad: nákladové stredisko

Toto je priezvisko používateľa, známe aj ako priezvisko alebo rodinné priezvisko

email.alternate1

Príklad: používateľ.mailprezývka

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate2

Príklad: user.primaryautoritativemail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate3

Príklad: používateľ.alternatívnyautoritatívnymail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate4

Príklad: používateľ.inýmail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.

email.alternate5

Príklad: používateľ.inýmail

Alternatívna e-mailová adresa pre používateľa. Ak chcete, aby sa používateľ mohol prihlásiť pomocou neho, namapujte ho na UID.
10

Konfigurovať atribúty rozšírenia.

Namapujte tieto atribúty na rozšírené atribúty v službe Active Directory, Azure alebo vo vašom adresári pre sledovacie kódy.
Tabuľka 4. Atribúty rozšírenia

Názov atribútu Webex Identity

Názov atribútu SAML

Atribút rozšírenia 1

Príklad: atribút_rozšírenia_používateľa1

Atribút rozšírenia 2

Príklad: atribút_rozšírenia_user2

Atribút rozšírenia 3

Príklad: atribút_rozšírenia_user.extension3

Atribút rozšírenia 4

Príklad: atribút_rozšírenia_user.extension4

Atribút rozšírenia 5

Príklad: atribút_rozšírenia_používateľa5

Atribút rozšírenia 6

Príklad: atribút_používateľa_rozšírenia6

Atribút rozšírenia 7

Príklad: atribút_rozšírenia_user.extension7

Atribút rozšírenia 8

Príklad: atribút_používateľa.rozšírenie8

Atribút rozšírenia 9

Príklad: atribút_rozšírenia_používateľa9

Atribút rozšírenia 10

Príklad: atribút_používateľa.rozšírenie10

11

Konfigurovať atribúty skupiny.

  1. Vytvorte skupinu v aplikácii Control Hub a poznačte si ID skupiny Webex.
  2. Prejdite do adresára používateľov alebo poskytovateľa identity a nastavte atribút pre používateľov, ktorí budú priradení k ID skupiny Webex.
  3. Aktualizujte konfiguráciu vášho poskytovateľa identity (IdP) tak, aby obsahovala deklaráciu totožnosti s týmto názvom atribútu spolu s ID skupiny Webex (napr. c65f7d85-b691-42b8-a20b-12345xxxx). Externé ID môžete použiť aj na správu zmien názvov skupín alebo pre budúce scenáre integrácie. Napríklad synchronizácia s Azure AD alebo implementácia synchronizácie skupín SCIM.
  4. Zadajte presný názov atribútu, ktorý sa odošle v tvrdení SAML s ID skupiny. Toto sa používa na pridanie používateľa do skupiny.
  5. Ak na odosielanie členov v tvrdení SAML používate skupinu z vášho adresára, zadajte presný názov externého ID objektu skupiny.

Ak je používateľ A priradený k groupID 1234 a používateľ B k groupID 4567, sú priradení do samostatných skupín. Tento scenár naznačuje, že jeden atribút umožňuje používateľom priradiť sa k viacerým ID skupín. Aj keď je to nezvyčajné, je to možné a možno to považovať za aditívnu zmenu. Napríklad, ak sa používateľ A pôvodne prihlási pomocou groupID 1234, stane sa členom príslušnej skupiny. Ak sa používateľ A neskôr prihlási pomocou groupID 4567, bude tiež pridaný do tejto druhej skupiny.

Poskytovanie SAML JIT nepodporuje odstraňovanie používateľov zo skupín ani žiadne vymazanie používateľov.

Tabuľka 5. Atribúty skupiny

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

ID skupiny

Príklad: ID skupiny

Mapujte atribúty skupiny z IdP na atribúty skupiny Webex Identity za účelom mapovania daného používateľa do skupiny pre licencovanie alebo nastavenie služby.

externéId skupiny

Príklad: externéId skupiny

Mapujte atribúty skupiny z IdP na atribúty skupiny Webex Identity za účelom mapovania daného používateľa do skupiny pre licencovanie alebo nastavenie služby.

Zoznam atribútov tvrdení SAML pre Webex Meetings nájdete v https://help.webex.com/article/WBX67566.