Ändra autentisering med enkel inloggning i Control Hub

Innan du börjar

Kontrollera att följande förutsättningar är uppfyllda:

  • SSO har redan konfigurerats. Information om hur du använder SSO-konfigurationsguiden finns i avsnittet ”SSO-installation” här: https://help.webex.com/article/lfu88u/.

  • Domänerna har redan verifierats.

  • Domänerna görs anspråk och aktiveras. Den här funktionen säkerställer att användare från din domän skapas och uppdateras en gång varje gång de autentiserar med ditt IDP.

  • Om DirSync eller AzureAD är aktiverat fungerar inte skapa eller uppdatera SAML JIT.

  • ”Blockera uppdatering av användarprofil” är aktiverat. SAML-uppdateringsmappning är tillåten eftersom den här konfigurationen styr användarens förmåga att redigera attribut. Administratörskontrollerade metoder för skapande och uppdatering stöds fortfarande.


 

Nyskapade användare får inte automatiskt tilldelade licenser om inte organisationen har en automatisk licensmall konfigurerad.

Användaretablering för SAML JIT-etablering av grupper är begränsad till endast en enda grupp.

Konfigurera just-in-time-mappning (JIT) och SAML

1

Logga in på Control Hub.

2

Gå till Hantering > Organisationsinställningar, bläddra till Enkel inloggning och klicka på Hantera SSO och ID.

3

Gå till fliken Identitetsleverantör.

4

Gå till IDP och klicka.

5

Välj Redigera SAML-mappning.

6

Konfigurera Just-in-Time-inställningar (JIT).

  • Skapa eller aktivera användare: Om ingen aktiv användare hittas skapar Webex Identity användaren och uppdaterar attribut efter att användaren har autentiserat med IDP.
  • Uppdatera användare med SAML-attribut: Om en användare med e-postadress hittas uppdaterar Webex Identity användaren med de attribut som har mappats i SAML-kontrollen.
Bekräfta att användare kan logga in med en annan, oidentifierbar e-postadress.
7

Konfigurera obligatoriska attribut för SAML-mappning.

Tabell 1. Obligatoriska attribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

Användarnamn/primär e-postadress

Exempel: Uid

Mappa UID-attributet till den etablerade användarens e-post, upn eller edupersonprincipalname.

8

Konfigurera Länka attribut.

Detta bör vara unikt för användaren. Den används för att söka upp en användare så att Webex kan uppdatera alla profilattribut, inklusive e-post för en användare.
Tabell 2. Länka attribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

externalId

Exempel: user.objectid

För att identifiera den här användaren från andra individuella profiler. Det här är nödvändigt vid mappning mellan kataloger eller ändring av andra profilattribut.

anställningsnummer

Exempel: user.anställd

Användarens anställningsnummer eller ett identifikationsnummer i sitt HR-system. Observera att detta inte är för externalid, eftersom du kan återanvända eller återvinna employeenumber för andra användare.

Anknytningsattribut 1

Exempel: användar.anknytningsattribut1

Mappa dessa anpassade attribut till utökade attribut i Active Directory, Azure eller din katalog för spårningskoder.

Anknytningsattribut 2

Exempel: användar.anknytningsattribut2

Anknytningsattribut 3

Exempel: användar.anknytningsattribut3

Anknytningsattribut 4

Exempel: user.anknytninglattribute4

Anknytningsattribut 5

Exempel: användar.anknytningsattribut5

9

Konfigurera profilattribut.

Tabell 3. Profilattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

externalId

Exempel: user.objectid

För att identifiera den här användaren från andra individuella profiler. Det här är nödvändigt vid mappning mellan kataloger eller ändring av andra profilattribut.

anställningsnummer

Exempel: user.anställd

Den här användarens anställningsnummer eller ett identifikationsnummer i sitt HR-system. Observera att detta inte är för ”extern” eftersom du kan återanvända eller återanvända ”anställningsnummer” för andra användare.

Prioriterat språk

Exempel: användare.föredragningsspråk

Användarens önskade språk.

Locale

Exempel: användare.språk

Användarens primära arbetsplats.

Tidszon

Exempel: användare.tidszon

Användarens primära tidszon.

Visningsnamn

Exempel: användare.visningsnamn

Användarens visningsnamn i Webex.

namn.givenName

Exempel: user.givennamn

Användarens förnamn.

namn.familyName

Exempel: user.efternamn

Användarens efternamn.

addresses.streetAdress

Exempel: user.streetadress

Gatuadressen för den primära arbetsplatsen.

addresses.status

Exempel: användare.status

Status för deras primära arbetsplats.

adresser.region

Exempel: användare.region

Regionen för den primära arbetsplatsen.

addresses.postalKod

Exempel: användare.postnummer

Postnumret för den primära arbetsplatsen.

adresser.land

Exempel: användare.land

Landet för den primära arbetsplatsen.

telefonNumbers.work

Exempel: arbetssofenummer

Arbetstelefonnumret för den primära arbetsplatsen. Använd endast det internationella E.164-formatet (högst 15 siffror).

telefonnummer.anknytning

Exempel: mobiltelefonnummer

Arbetsanknytningen för det primära telefonnumret till arbetet. Använd endast det internationella E.164-formatet (högst 15 siffror).

pronomen

Exempel: user.pronomen

Användarens pronomen. Detta är ett valfritt attribut och användaren eller administratören kan göra det synligt på sin profil.

namn

Exempel: användare.jobbenämning

Användarens befattning.

avdelning

Exempel: user.avdelning

Användarens arbetsavdelning eller team.

pronomen

Exempel: user.pronomen

Detta är användarens pronomen. Detta attribut kontrolleras av administratören och användaren

Chef

Exempel: Chef

Användarens chef eller deras team leder.

kostcenter

Exempel: kostnadscenter

Detta är användarens efternamn, även känt som efternamn eller familjenamn

e-post.alternativt1

Exempel: användare.e-postsmeknamn

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med hjälp av den ska du mappa den till uid.

e-post.alternativt2

Exempel: user.primaryauthoritativemail

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med hjälp av den ska du mappa den till uid.

e-post.alternativt3

Exempel: user.alternativeauktortativemail

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med hjälp av den ska du mappa den till uid.

e-post.alternativt4

Exempel: användare.othermail

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med hjälp av den ska du mappa den till uid.

e-post.alternativt5

Exempel: användare.othermail

En alternativ e-postadress för användaren. Om du vill att användaren ska kunna logga in med hjälp av den ska du mappa den till uid.
10

Konfigurera anknytningsattribut.

Mappa dessa attribut till utökade attribut i Active Directory, Azure eller din katalog för spårningskoder.
Tabell 4. Anknytningsattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Anknytningsattribut 1

Exempel: användar.anknytningsattribut1

Anknytningsattribut 2

Exempel: användar.anknytningsattribut2

Anknytningsattribut 3

Exempel: användar.anknytningsattribut3

Anknytningsattribut 4

Exempel: användar.anknytningsattribut4

Anknytningsattribut 5

Exempel: användar.anknytningsattribut5

Anknytningsattribut 6

Exempel: användar.anknytningsattribut6

Anknytningsattribut 7

Exempel: användar.anknytningsattribut7

Anknytningsattribut 8

Exempel: användar.anknytningsattribut8

Anknytningsattribut 9

Exempel: användar.anknytningsattribut9

Anknytningsattribut 10

Exempel: användar.anknytningsattribut10

11

Konfigurera gruppattribut.

  1. Skapa en grupp i Control Hub och anteckna Webex-grupp-ID.
  2. Gå till din användarkatalog eller IDP och konfigurera ett attribut för användare som kommer att tilldelas Webex-grupp-ID.
  3. Uppdatera konfigurationen av ditt ID-P för att inkludera ett anförande som bär det här attributnamnet tillsammans med Webex-gruppens ID (t.ex. c65f7d85-b691-42b8-a20b-12345xxxx). Du kan även använda externt ID för att hantera ändringar av gruppnamn eller för framtida integrationsscenarier. Till exempel synkronisering med Azure AD eller implementera synkronisering av SCIM-grupp.
  4. Ange det exakta namnet på attributet som ska skickas i SAML-kontrollen med grupp-ID. Detta används för att lägga till användaren i en grupp.
  5. Ange det exakta namnet på det externa ID-numret för gruppobjektet om du använder en grupp från din katalog för att skicka medlemmar i SAML-kontrollen.

 

Om användare A är associerad med groupID 1234 och användare B med groupID 4567 är de tilldelade till separata grupper. Det här scenariot indikerar att ett enda attribut tillåter användare att associera flera grupp-ID:er. Även om detta är ovanligt är det möjligt och kan betraktas som en additiv förändring. Om användare A till exempel loggar in med hjälp av groupID 1234 blev de medlemmar i motsvarande grupp. Om användare A loggar in senare med hjälp av groupID 4567, de läggs också till i den andra gruppen.

SAML JIT-etablering stöder inte borttagning av användare från grupper eller borttagning av användare.

Tabell 5. Gruppattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

gruppID

Exempel: gruppID

Mappa gruppattribut från IdP till Webex Identity-gruppattribut så att användaren kan mappas till en grupp för licensiering eller inställningstjänst.

gruppexterntID

Exempel: gruppexterntID

Mappa gruppattribut från IdP till Webex Identity-gruppattribut så att användaren kan mappas till en grupp för licensiering eller inställningstjänst.

En lista över SAML-kontrollattribut för Webex Meetings finns i https://help.webex.com/article/WBX67566.