Úprava overovania jednotného prihlásenia v Control Hub

Predtým, ako začnete

Uistite sa, že sú splnené nasledujúce predpoklady:

  • Jednorazové prihlásenie (SSO) je už nakonfigurované. Informácie o používaní sprievodcu konfiguráciou SSO nájdete v časti Integrácia jednotného prihlásenia v aplikácii Control Hub.

  • Domény už boli overené.

  • Domény sú nárokované a zapnuté. Táto funkcia zabezpečuje, že používatelia z vašej domény sú vytvorení a aktualizovaní raz pri každej autentifikácii u vášho poskytovateľa identity.

  • Ak sú povolené DirSync alebo Entra ID, vytvorenie alebo aktualizácia SAML JIT nebude fungovať.

  • Možnosť „Blokovať aktualizáciu používateľského profilu“ je povolená. Mapovanie aktualizácií SAML je povolené, pretože táto konfigurácia riadi schopnosť používateľa upravovať atribúty. Metódy vytvárania a aktualizácie kontrolované správcom sú stále podporované.

Novovytvoreným používateľom nebudú automaticky priradené licencie, pokiaľ organizácia nemá nastavenú automatickú šablónu licencie.

Poskytovanie používateľov pre poskytovanie skupín pomocou SAML JIT je obmedzené iba na jednu skupinu.

1

Prihláste sa do Control Hubu.

2

Prejsť na Manažment > Bezpečnosť > Autentifikácia.

3

Prejdite na kartu Poskytovateľ identity.

4

Prejdite na stránku IdP a kliknite na Viac menu.

5

Vyberte Upraviť mapovanie SAML.

6

Konfigurácia nastavení Just-in-Time (JIT).

  • Vytvoriť alebo aktivovať používateľa: Ak sa nenájde žiadny aktívny používateľ, Webex Identity ho vytvorí a aktualizuje atribúty po jeho overení u poskytovateľa identity.
  • Aktualizovať používateľa atribútmi SAML: Ak sa nájde používateľ s e-mailovou adresou, Webex Identity aktualizuje používateľa s atribútmi namapovanými v tvrdení SAML.
Potvrďte, že sa používatelia môžu prihlásiť s inou, neidentifikovateľnou e-mailovou adresou.

7

Konfigurácia požadovaných atribútov mapovania SAML.

Tabuľka č. 1 Požadované atribúty

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

Používateľské meno / Primárna e-mailová adresa

Príklad: UID

Namapujte atribút UID na e-mail, názov používateľa alebo meno edupersonprincipalname zriadeného používateľa.

8

Nakonfigurujte atribúty prepojenia.

Toto by malo byť pre používateľa jedinečné. Používa sa na vyhľadanie používateľa, aby Webex mohol aktualizovať všetky atribúty profilu vrátane e-mailu používateľa.
Tabuľka 2. Prepojenie atribútov

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

externéId

Príklad: používateľ.objektid

Na identifikáciu tohto používateľa z profilov iných osôb. Toto je potrebné pri mapovaní medzi adresármi alebo zmene iných atribútov profilu.

Atribút rozšírenia 1

Príklad: atribút_rozšírenia_používateľa1

Namapujte tieto vlastné atribúty na rozšírené atribúty v Entra ID alebo vo vašom adresári pre sledovacie kódy.

Atribút rozšírenia 2

Príklad: atribút_rozšírenia_user2

Atribút rozšírenia 3

Príklad: atribút_rozšírenia_user.extension3

Atribút rozšírenia 4

Príklad: user.extensionlatattribute4

Atribút rozšírenia 5

Príklad: atribút_rozšírenia_používateľa5

9

Konfigurovať atribúty profilu.

Tabuľka 3. Atribúty profilu

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

externéId

Príklad: používateľ.objektid

Na identifikáciu tohto používateľa z profilov iných osôb. Toto je potrebné pri mapovaní medzi adresármi alebo zmene iných atribútov profilu.

preferovaný jazyk

Príklad: user.preferredlanguage

Preferovaný jazyk používateľa.

miesto

Príklad: user.locale

Hlavné pracovisko používateľa.

časové pásmo

Príklad: používateľ.časové pásmo

Primárne časové pásmo používateľa.

zobrazenýName

Príklad: používateľ.zobrazované_meno

Zobrazované meno používateľa vo Webexe.

meno.krstenéMeno

Príklad: používateľ.krstné_meno

Krstné meno používateľa.

meno.priezvisko

Príklad: priezvisko používateľa

Priezvisko používateľa.

adresy.ulicaAddress

Príklad: používateľ.ulicaaddress

Adresa ich hlavného pracoviska.

adresy.lokalita

Príklad: user.localityLokalita ich hlavného pracoviska.

adresy.región

Príklad: user.region

Región ich hlavného pracoviska.

adresy.poštovnésmerové číslo

Príklad: používateľ.poštovné_smerovacie číslo

PSČ ich hlavného pracoviska.

adresy.krajina

Príklad: user.country

Krajina ich hlavného pracoviska.

telefónne_čísla.práca

Príklad: pracovné telefónne číslo

Pracovné telefónne číslo ich hlavného pracoviska. Používajte iba medzinárodný formát E.164 (maximálne 15 číslic).

telefónne_čísla.rozšírenie

Príklad: telefónne číslo klapky

Pracovná klapka ich hlavného pracovného telefónneho čísla. Používajte iba medzinárodný formát E.164 (maximálne 15 číslic).

telefónne_čísla.mobil

Príklad: číslo mobilného telefónuČíslo mobilného telefónu ich hlavného pracoviska. Používajte iba medzinárodný formát E.164 (maximálne 15 číslic).

titul

Príklad: používateľ.názov_práce

Názov pracovnej pozície používateľa.

oddelenie

Príklad: používateľské oddelenie

Pracovné oddelenie alebo tím používateľa.

emaily.prácaPríklad: pracovné e-mailyPracovné e-maily používateľa.
organizáciaPríklad: používateľ.organizáciaID organizácie používateľa
10

Konfigurovať atribúty skupiny.

  1. Vytvorte skupinu v aplikácii Control Hub a poznačte si ID skupiny Webex.
  2. Prejdite do adresára používateľov alebo poskytovateľa identity a nastavte atribút pre používateľov, ktorí budú priradení k ID skupiny Webex.
  3. Aktualizujte konfiguráciu vášho poskytovateľa identity (IdP) tak, aby obsahovala deklaráciu totožnosti s týmto názvom atribútu spolu s ID skupiny Webex (napr. c65f7d85-b691-42b8-a20b-12345xxxx). Externé ID môžete použiť aj na správu zmien názvov skupín alebo pre budúce scenáre integrácie. Napríklad synchronizácia s Entra ID alebo implementácia synchronizácie skupiny SCIM.
  4. Zadajte presný názov atribútu, ktorý sa odošle v tvrdení SAML s ID skupiny. Toto sa používa na pridanie používateľa do skupiny.
  5. Ak na odosielanie členov v tvrdení SAML používate skupinu z vášho adresára, zadajte presný názov externého ID objektu skupiny.

Ak je používateľ A priradený k groupID 1234 a používateľ B k groupID 4567, sú priradení do samostatných skupín. Tento scenár naznačuje, že jeden atribút umožňuje používateľom priradiť sa k viacerým ID skupín. Aj keď je to nezvyčajné, je to možné a možno to považovať za aditívnu zmenu. Napríklad, ak sa používateľ A pôvodne prihlási pomocou groupID 1234, stane sa členom príslušnej skupiny. Ak sa používateľ A neskôr prihlási pomocou groupID 4567, bude tiež pridaný do tejto druhej skupiny.

Poskytovanie SAML JIT nepodporuje odstraňovanie používateľov zo skupín ani žiadne vymazanie používateľov.

Tabuľka 4. Atribúty skupiny

Názov atribútu Webex Identity

Názov atribútu SAML

Popis atribútu

ID skupiny

Príklad: ID skupiny

Mapujte atribúty skupiny z IdP na atribúty skupiny Webex Identity za účelom mapovania daného používateľa do skupiny pre licencovanie alebo nastavenie služby.

externéId skupiny

Príklad: externéId skupiny

Mapujte atribúty skupiny z IdP na atribúty skupiny Webex Identity za účelom mapovania daného používateľa do skupiny pre licencovanie alebo nastavenie služby.

Zoznam atribútov tvrdení SAML pre Webex Meetings nájdete v https://help.webex.com/article/WBX67566.