Ändra autentisering vid enkel inloggning i Control Hub

Innan du börjar

Se till att följande förutsättningar är uppfyllda:

  • SSO har redan konfigurerats. Information om hur du använder konfigurationsguiden för SSO finns i Integrering av enkel inloggning i Control Hub.

  • Domänerna har redan verifierats.

  • Domänerna är anspråktagna och aktiverade. Den här funktionen säkerställer att användare från din domän skapas och uppdateras varje gång de autentiserar sig med din IdP.

  • Om DirSync eller Entra ID är aktiverade fungerar det inte att skapa eller uppdatera SAML JIT.

  • "Blockera användarprofil uppdatering" är aktiverat. Mappning av SAML-uppdatering är tillåtet eftersom den här konfigurationen styr användarens möjlighet att redigera attributen. Adminstyrda metoder för skapande och uppdatering stöds fortfarande.

Nyskapade användare får inte automatiskt tilldelade licenser om inte organisationen har en automatisk licensmall konfigurerad.

Användarprovisionering för SAML JIT-provisionering av grupper är begränsad till endast en enda grupp.

Konfigurera Just-in-Time (JIT) och SAML-mappning
1

Logga in på Control Hub.

2

Gå till Ledning > Säkerhet > Autentisering.

3

Gå till fliken Identitetsleverantör.

4

Gå till IdP:n och klicka på Menyn Mer.

5

Välj Redigera SAML-mappning.

6

Konfigurera Just-in-Time (JIT)-inställningar.

  • Skapa eller aktivera användare: Om ingen aktiv användare hittas skapar Webex Identity användaren och uppdaterar attributen efter att användaren har autentiserat sig med IdP:n.
  • Uppdatera användare med SAML-attribut: Om en användare med e-postadress hittas, uppdaterar Webex Identity användaren med attributen mappade i SAML-försäkran.
Bekräfta att användare kan logga in med en annan, oidentifierbar e-postadress.

7

Konfigurera SAML-mappnings obligatoriska attribut.

Tabell 1. Obligatoriska attribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

Användarnamn/Primär e-postadress

Exempel: Uid

Mappa UID-attributet till den etablerade användarens e-post, upn eller edupersonprincipalname.

8

Konfigurera Länkningsattributen.

Detta bör vara unikt för användaren. Den används för att söka efter en användare så att Webex kan uppdatera alla profilattribut, inklusive e-postadress för en användare.
Tabell 2. Länka attribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

externalId

Exempel: user.objectid

För att identifiera den här användaren från andra individuella profiler. Det här är nödvändigt vid mappning mellan kataloger eller ändring av andra profilattribut.

Anknytningsattribut 1

Exempel: user.extensionattribute1

Mappa dessa anpassade attribut till utökade attribut i Entra ID eller din katalog, för spårningskoder.

Anknytningsattribut 2

Exempel: user.extensionattribute2

Anknytningsattribut 3

Exempel: user.extensionattribute3

Anknytningsattribut 4

Exempel: användare.tilläggattribut4

Anknytningsattribut 5

Exempel: user.extensionattribute5

9

Konfigurera Profilattribut.

Tabell 3. Profilattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

externalId

Exempel: user.objectid

För att identifiera den här användaren från andra individuella profiler. Det här är nödvändigt vid mappning mellan kataloger eller ändring av andra profilattribut.

Prioriterat språk

Exempel: användare.prioriterat språk

Användarens önskade språk.

Locale

Exempel: user.locale

Användarens primära arbetsplats.

Tidszon

Exempel: user.timezone

Användarens primära tidszon.

Visningsnamn

Exempel: user.displayname (användarnamn)

Användarens visningsnamn i Webex.

namn.givenName

Exempel: user.givenname

Användarens förnamn.

namn.familyName

Exempel: användare.efternamn

Användarens efternamn.

adresser.streetAddress

Exempel: user.streetaddress

Gatuadressen för den primära arbetsplatsen.

adresser.ort

Exempel: användare.lokalitetPlatsen för den primära arbetsplatsen.

adresser.region

Exempel: användare.region

Regionen för den primära arbetsplatsen.

adresser.postalCode

Exempel: user.postalcode

Postnumret för den primära arbetsplatsen.

adresser.land

Exempel: användare.land

Landet för den primära arbetsplatsen.

phoneNumbers.work

Exempel: arbetstelefonnummer

Arbetstelefonnumret för den primära arbetsplatsen. Använd endast det internationella E.164-formatet (högst 15 siffror).

phoneNumbers.extension

Exempel: anknytningstelefonnummer

Arbetsanknytningen för det primära telefonnumret till arbetet. Använd endast det internationella E.164-formatet (högst 15 siffror).

telefonnummer.mobil

Exempel: mobiltelefonnummerMobiltelefonnumret för den primära arbetsplatsen. Använd endast det internationella E.164-formatet (högst 15 siffror).

namn

Exempel: user.jobtitle

Användarens befattning.

avdelning

Exempel: user.department

Användarens arbetsavdelning eller team.

e-postmeddelanden.arbeteExempel: jobbmejlAnvändarens e-postadresser för arbetet.
organisationExempel: användare.organisationAnvändarens organisations-ID
10

Konfigurera Gruppattribut.

  1. Skapa en grupp i Control Hub och anteckna Webex-grupp-ID:t.
  2. Gå till din användarkatalog eller IdP och konfigurera ett attribut för användare som ska tilldelas Webex-grupp-ID:t.
  3. Uppdatera din IdP:s konfiguration för att inkludera ett anspråk som bär detta attributnamn tillsammans med Webex-grupp-ID:t (t.ex. c65f7d85-b691-42b8-a20b-12345xxxx). Du kan också använda det externa ID:t för att hantera ändringar av gruppnamn eller för framtida integrationsscenarier. Till exempel synkronisering med Entra ID eller implementering av SCIM-gruppsynkronisering.
  4. Ange det exakta namnet på attributet som ska skickas i SAML-assertionen med grupp-ID:t. Detta används för att lägga till användaren i en grupp.
  5. Ange det exakta namnet på gruppobjektets externa ID om du använder en grupp från din katalog för att skicka medlemmar i SAML-assertionen.

Om användare A är associerad med groupID 1234 och användare B med groupID 4567, tilldelas de separata grupper. Det här scenariot indikerar att ett enda attribut tillåter användare att associera med flera grupp-ID:n. Även om detta är ovanligt är det möjligt och kan betraktas som en additiv förändring. Om till exempel användare A initialt loggar in med groupID 1234 blir de medlem i motsvarande grupp. Om användare A senare loggar in med groupID 4567 läggs de också till i den andra gruppen.

SAML JIT-provisionering har inte stöd för borttagning av användare från grupper eller någon radering av användare.

Tabell 4. Gruppattribut

Attributnamn för Webex-identitet

Attributnamn för SAML

Attributbeskrivning

grupp-ID

Exempel: grupp-ID

Mappa gruppattribut från IdP till Webex Identity-gruppattribut så att användaren kan mappas till en grupp för licensiering eller inställningstjänst.

gruppexterntId

Exempel: gruppexterntId

Mappa gruppattribut från IdP till Webex Identity-gruppattribut så att användaren kan mappas till en grupp för licensiering eller inställningstjänst.

En lista över SAML-kontrollens attribut för Webex Meetings finns i https://help.webex.com/article/WBX67566.