Ändra autentisering vid enkel inloggning i Control Hub

Innan du börjar

Se till att följande förutsättningar är uppfyllda:

  • SSO har redan konfigurerats. Mer information om hur du använder konfigurationsguiden för SSO finns i avsnittet ”SSO-konfiguration” här: https://help.webex.com/article/lfu88u/.

  • Domänerna har redan verifierats.

  • Domänerna har reserverats och aktiverats. Den här funktionen säkerställer att användare från din domän skapas och uppdateras en gång varje gång de autentiserar med din IdP.

  • Om DirSync eller AzureAD är aktiverat kommer inte SAML JIT skapa eller uppdatera att fungera.

  • "Blockera användarprofil uppdatering" är aktiverat. Mappning av SAML-uppdatering är tillåtet eftersom den här konfigurationen styr användarens möjlighet att redigera attributen. Adminstyrda metoder för skapande och uppdatering stöds fortfarande.

Nyskapade användare får inte automatiskt tilldelade licenser om inte organisationen har en automatisk licensmall konfigurerad.

Användaretablering för SAML JIT-etablering av grupper är begränsat till endast en grupp.

Konfigurera Just-in-Time (JIT) och SAML-mappning
1

Logga in på Control Hub.

2

Gå till Hantering > Organisationsinställningar, bläddra till Enkel inloggning och klicka på Hantera SSO och IdP:er.

3

Gå till fliken Identitetsleverantör .

4

Gå till IdP och klicka på Menyn Mer.

5

Välj Redigera SAML-mappning.

6

Konfigurera JIT-inställningar (Just-in-Time).

  • Skapa eller aktivera användare: Om ingen aktiv användare hittas skapar Webex Identity användaren och uppdaterar attributen efter att användaren har autentiserats med IdP.
  • Uppdatera användare med SAML-attribut: Om en användare med e-postadress hittas, uppdaterar Webex Identity användaren med attributen mappade i SAML-försäkran.
Bekräfta att användare kan logga in med en annan och oidentifierbar e-postadress.

7

Konfigurera SAML-mappning av obligatoriska attribut.

Tabell 1. Obligatoriska attribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

Användarnamn/Primär e-postadress

Exempel: Uid

Mappa UID-attributet till den etablerade användarens e-post, upn eller edupersonprincipalname.

8

Konfigurera Länkningsattribut.

Detta bör vara unikt för användaren. Det används för att söka efter en användare så att Webex kan uppdatera alla profilattribut, inklusive e-post för en användare.
Tabell 2. Länkande attribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

externalId

Exempel: user.objectid

För att identifiera den här användaren från andra individuella profiler. Det här är nödvändigt vid mappning mellan kataloger eller ändring av andra profilattribut.

anställningsnummer

Exempel: user.employeeid

Användarens anställdas nummer eller ett identifikationsnummer i användarens HR-system. Observera att detta inte är till för externt eftersom du kan återanvända eller återvinna arbetsgivarnummer för andra användare.

Anknytningsattribut 1

Exempel: user.extensionattribute1

Mappa dessa anpassade attribut till utökade attribut i Active Directory, Azure eller din katalog för spårningskoder.

Anknytningsattribut 2

Exempel: user.extensionattribute2

Anknytningsattribut 3

Exempel: user.extensionattribute3

Anknytningsattribut 4

Exempel: user.extensionlattribute4

Anknytningsattribut 5

Exempel: user.extensionattribute5

9

Konfigurera profilattribut.

Tabell 3. Profilattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

externalId

Exempel: user.objectid

För att identifiera den här användaren från andra individuella profiler. Det här är nödvändigt vid mappning mellan kataloger eller ändring av andra profilattribut.

anställningsnummer

Exempel: user.employeeid

Den här användarens anställningsnummer eller ett identifikationsnummer inom sitt HR-system. Observera att detta inte är för "externalid", eftersom du kan återanvända eller återanvända "employeenumber" för andra användare.

Prioriterat språk

Exempel: användare.prioriterat språk

Användarens önskade språk.

Locale

Exempel: user.locale

Användarens primära arbetsplats.

Tidszon

Exempel: user.timezone

Användarens primära tidszon.

Visningsnamn

Exempel: user.displayname (användarnamn)

Användarens visningsnamn i Webex.

namn.givenName

Exempel: user.givenname

Användarens förnamn.

namn.familyName

Exempel: användare.efternamn

Användarens efternamn.

adresser.streetAddress

Exempel: user.streetaddress

Gatuadressen för den primära arbetsplatsen.

adresser.stat

Exempel: användare.stat

Statusen på den primära arbetsplatsen.

adresser.region

Exempel: användare.region

Regionen för den primära arbetsplatsen.

adresser.postalCode

Exempel: user.postalcode

Postnumret för den primära arbetsplatsen.

adresser.land

Exempel: användare.land

Landet för den primära arbetsplatsen.

phoneNumbers.work

Exempel: arbetstelefonnummer

Arbetstelefonnumret för den primära arbetsplatsen. Använd endast det internationella E.164-formatet (högst 15 siffror).

phoneNumbers.extension

Exempel: mobiltelefonnummer

Arbetsanknytningen för det primära telefonnumret till arbetet. Använd endast det internationella E.164-formatet (högst 15 siffror).

Pronomen

Exempel: användare.pronoun

Användarens pronouner. Detta är ett valfritt attribut och användaren eller administratören kan göra det synligt i sin profil.

namn

Exempel: user.jobtitle

Användarens befattning.

avdelning

Exempel: user.department

Användarens arbetsavdelning eller team.

Pronomen

Exempel: användare.pronoun

Detta är användarens pronoun. Översikten över attributet styrs av administratören och användaren

chef

Exempel: chef

Användarens chef eller deras teamledare.

kostnadscenter

Exempel: kostnadscenter

Det här är efternamnet på användaren, även kallat efternamn eller efternamn.

e-post.alternativ 1

Exempel: user.mailnickname

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med den ska du mappa den till uid.

e-post.alternativ 2

Exempel: user.primaryauthoritativemail

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med den ska du mappa den till uid.

e-post.alternativ3

Exempel: user.alternativeauthoritativemail

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med den ska du mappa den till uid.

e-post.alternativ4

Exempel: användare.annan e-post

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med den ska du mappa den till uid.

e-post.alternativ5

Exempel: användare.annan e-post

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med den ska du mappa den till uid.
10

Konfigurera anknytningsattribut.

Mappa dessa attribut till utökade attribut Active Directory, Azure eller din katalog för spårningskoder.
Tabell 4. Anknytningsattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Anknytningsattribut 1

Exempel: user.extensionattribute1

Anknytningsattribut 2

Exempel: user.extensionattribute2

Anknytningsattribut 3

Exempel: user.extensionattribute3

Anknytningsattribut 4

Exempel: user.extensionattribute4

Anknytningsattribut 5

Exempel: user.extensionattribute5

Anknytningsattribut 6

Exempel: user.extensionattribute6

Anknytningsattribut 7

Exempel: user.extensionattribute7

Anknytningsattribut 8

Exempel: user.extensionattribute8

Anknytningsattribut 9

Exempel: user.extensionattribute9

Anknytningsattribut 10

Exempel: user.extensionattribute10

11

Konfigurera gruppattribut.

  1. Skapa en grupp i Control Hub och anteckna grupp-ID för Webex.
  2. Gå till din användarkatalog eller IdP och konfigurera ett attribut för användare som ska tilldelas till grupp-ID:t för Webex.
  3. Uppdatera din IdP-konfiguration för att inkludera ett anspråk med det här attributnamnet tillsammans med Webex-gruppens ID (t.ex. c65f7d85-b691-42b8-a20b-12345xxxx). Du kan även använda det externa ID:t för att hantera ändringar av gruppnamn eller för framtida integreringsscenarier. Till exempel synkronisera med Azure AD eller implementera synkronisering av SCIM-grupper.
  4. Ange det exakta namnet på attributet som ska skickas i SAML-kontrollen med grupp-ID:t. Detta används för att lägga till användaren i en grupp.
  5. Ange det exakta namnet på det externa ID:t för gruppobjektet om du använder en grupp från din katalog för att skicka medlemmar i SAML-kontrollen.

Om användare A är associerad med gruppID 1234 och användare B med gruppID 4567 tilldelas de separata grupper. Det här scenariot indikerar att ett enda attribut gör det möjligt för användare att associera med flera grupp-ID:n. Även om detta är ovanligt är det möjligt och kan betraktas som en additiv förändring. Om användare A till exempel loggar in med gruppID 1234 blir de medlem i motsvarande grupp. Om användare A senare loggar in med groupID 4567 läggs de även till i den här andra gruppen.

SAML JIT-etablering stöder inte borttagning av användare från grupper eller någon borttagning av användare.

Tabell 5. Gruppattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

gruppId

Exempel: gruppId

Mappa gruppattribut från IdP till Webex Identity-gruppattribut så att användaren kan mappas till en grupp för licensiering eller inställningstjänst.

gruppexternalId

Exempel: gruppexternalId

Mappa gruppattribut från IdP till Webex Identity-gruppattribut så att användaren kan mappas till en grupp för licensiering eller inställningstjänst.

En lista över SAML-kontrollens attribut för Webex Meetings finns i https://help.webex.com/article/WBX67566.