Spremenite preverjanje pristnosti z enotno prijavo v Control Hub

Preden začneš

Zagotovite, da so izpolnjeni naslednji predpogoji:

  • SSO je že konfiguriran. Za informacije o uporabi čarovnika za konfiguracijo SSO glejte razdelek »Nastavitev SSO« tukaj: https://help.webex.com/article/lfu88u/.

  • Domene so že preverjene.

  • Domene so zahtevane in vklopljene. Ta funkcija zagotavlja, da so uporabniki iz vaše domene ustvarjeni in posodobljeni enkrat ob vsakem preverjanju pristnosti z vašim IdP.

  • Če sta DirSync ali AzureAD omogočena, ustvarjanje ali posodabljanje SAML JIT ne bo delovalo.

  • »Blokiraj posodobitev uporabniškega profila« je omogočeno. Preslikava posodobitve SAML je dovoljena, ker ta konfiguracija nadzoruje uporabnikovo zmožnost urejanja atributov. Še vedno so podprti načini ustvarjanja in posodabljanja, ki jih nadzoruje skrbnik.


 

Novo ustvarjenim uporabnikom ne bodo samodejno dodeljene licence, razen če jih ima organizacija predlogo samodejne licence nastaviti.

Oskrba uporabnikov za oskrbo skupin SAML JIT je omejena samo na eno skupino.

Konfigurirajte Just-in-Time (JIT) in preslikavo SAML

1

Prijavite se v Nadzorno središče.

2

Pojdi do Upravljanje > Nastavitve organizacije, pomaknite se do Enotna prijava in kliknite Upravljajte SSO in IdP.

3

Pojdi na Ponudnik identitete zavihek.

4

Pojdite na IdP in kliknite.

5

Izberite Uredite preslikavo SAML.

6

Konfiguriraj Nastavitve Just-in-Time (JIT)..

  • Ustvari ali aktiviraj uporabnika: če ni najden noben aktivni uporabnik, Webex Identity ustvari uporabnika in posodobi atribute, potem ko je uporabnik overjen z IdP.
  • Posodobi uporabnika z atributi SAML: če je najden uporabnik z e-poštnim naslovom, Webex Identity posodobi uporabnika z atributi, preslikanimi v SAML Assertion.
Prepričajte se, da se lahko uporabniki prijavijo z drugim, nedoločljivim e-poštnim naslovom.
7

Konfiguriraj Zahtevani atributi za preslikavo SAML.

Tabela 1. Zahtevani atributi

Ime atributa Webex Identity

Ime atributa SAML

Opis lastnosti

Uporabniško ime / primarni e-poštni naslov

primer: uid

Preslikaj atribut UID v e-poštni naslov, upn ali edupersonprincipalname omogočenega uporabnika.

8

Konfigurirajte Povezovanje atributov.

To mora biti edinstveno za uporabnika. Uporablja se za iskanje uporabnika, tako da lahko Webex posodobi vse atribute profila, vključno z e-pošto za uporabnika.
Tabela 2. Povezovalni atributi

Ime atributa Webex Identity

Ime atributa SAML

Opis lastnosti

externalId

primer: user.objectid

Za prepoznavanje tega uporabnika iz drugih posameznih profilov. To je potrebno pri preslikavi med imeniki ali spreminjanju drugih atributov profila.

številka zaposlenega

primer: user.employeeid

Številka zaposlenega uporabnika ali identifikacijska številka v njegovem kadrovskem sistemu. Upoštevajte, da to ni za externalid, saj jih lahko ponovno uporabite ali reciklirate employeenumber za druge uporabnike.

Atribut razširitve 1

primer: user.extensionattribute1

Preslikajte te atribute po meri v razširjene atribute v imeniku Active Directory, Azure ali vašem imeniku za kode za sledenje.

2. atribut razširitve

primer: user.extensionattribute2

Atribut razširitve 3

primer: user.extensionattribute3

Atribut razširitve 4

primer: user.extensionlattribute4

Atribut razširitve 5

primer: user.extensionattribute5

9

Konfiguriraj Atributi profila.

Tabela 3. Atributi profila

Ime atributa Webex Identity

Ime atributa SAML

Opis lastnosti

externalId

primer: user.objectid

Za prepoznavanje tega uporabnika iz drugih posameznih profilov. To je potrebno pri preslikavi med imeniki ali spreminjanju drugih atributov profila.

številka zaposlenega

primer: user.employeeid

Številka zaposlenega tega uporabnika ali identifikacijska številka v njihovem kadrovskem sistemu. Upoštevajte, da to ni za "externalid", ker lahko znova uporabite ali reciklirate "employeenumber" za druge uporabnike.

Želeni jezik

primer: user.preferredlanguage

Uporabnikov želeni jezik.

locale

primer: user.locale

Primarna delovna lokacija uporabnika.

časovni pas

primer: uporabnik.časovni pas

Uporabnikov primarni časovni pas.

prikazno ime

primer: uporabniško.prikazno ime

Prikazno ime uporabnika v Webexu.

name.givenName

primer: user.givenname

Uporabnikovo ime.

ime.priimek

primer: uporabnik.priimek

Priimek uporabnika.

naslovi.naslov ulice

primer: user.streetaddress

Ulični naslov njihove primarne službe.

naslovi.država

primer: uporabnik.stanje

Stanje njihove primarne delovne lokacije.

naslovi.regija

primer: uporabnik.regija

Regija njihove primarne delovne lokacije.

naslovi.postalCode

primer: user.postalcode

Poštna številka njihove primarne službe.

naslovi.država

primer: uporabnik.država

Država njihove primarne lokacije dela.

phoneNumbers.work

primer: službena telefonska številka

Službena telefonska številka njihove primarne službe. Uporabljajte samo mednarodni format E.164 (največ 15 mest).

phoneNumbers.extension

primer: Številka mobilnega telefona

Službena razširitev njihove primarne službene telefonske številke. Uporabljajte samo mednarodni format E.164 (največ 15 mest).

zaimek

primer: uporabnik.zaimek

Uporabnikovi zaimki. To je neobvezen atribut in uporabnik ali skrbnik ga lahko prikaže v svojem profilu.

naslov

primer: user.jobtitle

Naziv delovnega mesta uporabnika.

oddelek

primer: uporabnik.oddelek

Uporabnikov delovni oddelek ali ekipa.

zaimek

primer: uporabnik.zaimek

To je zaimek uporabnika. Vidnost tega atributa nadzirata skrbnik in uporabnik

vodja

primer: vodja

Uporabnikov vodja ali vodja njegove ekipe.

stroškovno središče

primer: stroškovno mesto

To je priimek uporabnika, znan tudi kot priimek ali družinsko ime

email.alternate1

primer: uporabnik.mailnickname

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte v uid.

email.alternate2

primer: user.primaryauthoritativemail

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte v uid.

email.alternate3

primer: user.alternativeauthoritativemail

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte v uid.

email.alternate4

primer: uporabnik.othermail

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte v uid.

email.alternate5

primer: uporabnik.othermail

Alternativni e-poštni naslov za uporabnika. Če želite, da se uporabnik lahko prijavi z njim, ga preslikajte v uid.
10

Konfiguriraj Atributi razširitve.

Preslikajte te atribute v razširjene atribute v imeniku Active Directory, Azure ali vašem imeniku za kode za sledenje.
Tabela 4. Atributi razširitve

Ime atributa Webex Identity

Ime atributa SAML

Atribut razširitve 1

primer: user.extensionattribute1

2. atribut razširitve

primer: user.extensionattribute2

Atribut razširitve 3

primer: user.extensionattribute3

Atribut razširitve 4

primer: user.extensionattribute4

Atribut razširitve 5

primer: user.extensionattribute5

Atribut razširitve 6

primer: user.extensionattribute6

Atribut razširitve 7

primer: user.extensionattribute7

Atribut razširitve 8

primer: user.extensionattribute8

Atribut razširitve 9

primer: user.extensionattribute9

Atribut razširitve 10

primer: user.extensionattribute10

11

Konfiguriraj Atributi skupine.

  1. Ustvarite skupino v Control Hubu in zabeležite ID skupine Webex.
  2. Pojdite v imenik uporabnikov ali IdP in nastavite atribut za uporabnike, ki bodo dodeljeni ID-ju skupine Webex.
  3. Posodobite konfiguracijo svojega IdP-ja, da vključuje zahtevek, ki nosi to ime atributa skupaj z ID-jem skupine Webex (npr. c65f7d85-b691-42b8-a20b-12345xxxx). Zunanji ID lahko uporabite tudi za upravljanje sprememb imen skupin ali za prihodnje scenarije integracije. Na primer sinhronizacija z Azure AD ali implementacija skupinske sinhronizacije SCIM.
  4. Podajte natančno ime atributa, ki bo poslan v izjavi SAML z ID-jem skupine. To se uporablja za dodajanje uporabnika v skupino.
  5. Podajte natančno ime zunanjega ID-ja predmeta skupine, če uporabljate skupino iz svojega imenika za pošiljanje članov v trditvi SAML.

 

Če je uporabnik A povezan z groupID 1234 in uporabnik B z groupID 4567, so razporejeni v ločene skupine. Ta scenarij kaže, da en sam atribut omogoča uporabnikom, da se povežejo z več ID-ji skupin. Čeprav je to neobičajno, je možno in se lahko obravnava kot dodatna sprememba. Na primer, če se uporabnik A najprej prijavi z uporabo groupID 1234, postanejo člani ustrezne skupine. Če se uporabnik A kasneje prijavi z uporabo groupID 4567, so dodani tudi tej drugi skupini.

Omogočanje SAML JIT ne podpira odstranjevanja uporabnikov iz skupin ali kakršnega koli izbrisa uporabnikov.

Tabela 5. Atributi skupine

Ime atributa Webex Identity

Ime atributa SAML

Opis lastnosti

groupId

primer: groupId

Preslikava atributov skupine iz IdP v atribute skupine Webex Identity za namene preslikave tega uporabnika v skupino za licenciranje ali storitev nastavitev.

groupexternalId

primer: groupexternalId

Preslikava atributov skupine iz IdP v atribute skupine Webex Identity za namene preslikave tega uporabnika v skupino za licenciranje ali storitev nastavitev.

Za seznam atributov trditev SAML za Webex Meetings glejte https://help.webex.com/article/WBX67566.