Єдиний вхід (SSO) дозволяє користувачам безпечно входити у Webex за допомогою автентифікації у спільному постачальника посвідчень вашої організації. Постачальник ідентифікаційних даних (IdP) безпечно зберігає цифрові ідентифікаційні дані ваших користувачів і керує ними, а також надає службу автентифікації користувачів для ваших користувачів Webex.

Чому вам може знадобитися кілька IdP

Багато великих компаній зазнають злиття та поглинання, і ці компанії рідко мають однакову ІТ-інфраструктуру та постачальників ідентифікаційних даних. Державні установи мають різні організації та агентства під їх керівництвом. Часто ці організації мають одну адресу електронної пошти для своїх власних ІТ-відділів та інфраструктури відповідно. Основні навчальні заклади мають центральний відділ закупівель, але різні університети та коледжі з різними ІТ-організаціями та відділами.

Зазвичай IdP та постачальники послуг (SP) об’єднуються один з одним. IdP несе відповідальність за автентифікацію облікових даних ваших користувачів, а SP довіряє автентифікації, здійсненій IdP. Це дозволяє вашим користувачам отримувати доступ до різних програм і служб SaaS, використовуючи один і той самий цифровий ідентифікатор. Але якщо з якоїсь причини ваша організація не може федерації між IdP, тоді Webex надасть робочу можливість підтримки кількох IdP. З цих причин ми надаємо вам можливість налаштувати SSO для кількох IdP у Webex і спростити процес автентифікації ваших користувачів.

Обмеження

  • Ця функція доступна, лише якщо ви придбали розширений пакет безпеки Webex.
  • Наразі ми підтримуємо лише SAML, OpenID Connect і Webex Identity як постачальників посвідчень.

Поза межами області

  • Налаштуйте призначення груп.

У цьому розділі описано, як можна інтегрувати постачальників посвідчень (IdP) у свою організацію Webex. Можна вибрати IdP, які якнайкраще відповідають вимогам вашої організації.

Якщо вам потрібна інтеграція SSO вебсайту Webex Meetings (керована в службі адміністрування вебсайту), див. розділ Налаштування єдиного входу для адміністрування Webex.

Обов’язкові умови

Перед початком

Переконайтеся, що виконуються такі умови:

  • Для налаштування SSO з кількома IdP у Control Hub потрібен розширений пакет безпеки Webex.
  • Ви повинні мати роль адміністратора з повними правами в Control Hub.
  • Файл метаданих від IdP, щоб надати Webex, і файл метаданих від Webex, щоб надати IdP. Додаткову інформацію див. в розділі Інтеграція єдиного входу в Control Hub. Це застосовується тільки до конфігурації SAML.
  • Перш ніж налаштувати кілька IdP, необхідно запланувати поведінку правил маршрутизації.
Правило маршрутизації за замовчуванням буде застосовано після налаштування початкового IdP. Але за замовчуванням можна встановити іншого IdP. Див. розділ Додати або змінити правило маршрутизації на вкладці Правила маршрутизації в цій статті.
Налаштувати SAML
1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP , щоб запустити майстер конфігурації.

3

Виберіть SAML як свого IdP і клацніть Далі.

4

Виберіть тип сертифіката.

  • Самопідписаний Cisco — ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано загальнодоступним центром сертифікації — більш безпечний, але вам доведеться часто оновлювати метадані (якщо ваш постачальник ідентифікаційних даних не підтримує прив’язки довіри).
Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.
5

Клацніть Завантажити метадані, потім — Далі.

Ім’я файлу метаданих програми Webex — idb-meta--SP.xml.

6

Передайте файл метаданих IdP або заповніть форму конфігурації.

Під час передавання файлу метаданих існує два способи перевірки метаданих від IdP клієнта:

  • IdP клієнта надає підпис у метаданих, поставлений загальнодоступним кореневим центром сертифікації;
  • IdP клієнта надає самопідписаний сертифікат приватного центру сертифікації або не надає підпис для своїх метаданих. Цей варіант менш безпечний.
В іншому разі в формі конфігурації введіть інформацію IdP.

Клацніть Далі.

7

(Необов’язково) Ви можете змінити ім’я атрибута SAML для Webex Username або основної адреси електронної пошти з uid на щось, узгоджене з менеджером IdP, як-от email, upn тощо.

8

(Необов’язково) Налаштуйте параметри Just In Time (JIT) і відповідь зіставлення SAML.

"Перегляньте розділ Налаштування вчасно (JIT) і зіставлення SAML на вкладці ""Керування IdP"" в цій статті."
9

Клацніть Перевірити налаштування SSO. Коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.

Перевірте підключення єдиного входу, перш ніж його ввімкнути. Цей крок працює як сухий запуск і не впливає на настройки організації, доки на наступному кроці не буде ввімкнуто єдиний вхід.

Якщо ви отримаєте помилку автентифікації, виникне проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути можливості входу до системи за допомогою системи єдиного входу, рекомендовано клацнути Копіювати URL-адресу для буфера обміну з цього екрана й вставити її в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

10

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активуйте SSO й IdP і клацніть Активувати.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки.
Конфігурація SSO не набуде чинності для вашої організації, якщо тільки ви не вибрали перший перемикач і не активували SSO.

Що далі

Можна налаштувати правило маршрутизації. Див. розділ Додати або змінити правило маршрутизації на вкладці Правила маршрутизації в цій статті.

Щоб вимкнути електронні листи, які надсилаються новим користувачам програми Webex у вашій організації, можна виконати процедуру в розділі Блокувати автоматизовані електронні листи . Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Налаштувати підключення OpenID
1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP , щоб запустити майстер конфігурації.

3

Виберіть OpenID Connect як свого IdP і натисніть Далі.

4

Введіть інформацію про IdP.

  • Ім’я— ім’я для ідентифікації вашого IdP.
  • Ідентифікатор клієнта— унікальний ідентифікатор для ідентифікації вас і вашого IdP.
  • Клієнтський секрет — пароль, який знають ви й ваш IdP.
  • Області— області, які будуть пов’язані з вашим IdP.

5

Виберіть спосіб додавання кінцевих пристроїв. Це можна зробити автоматично або вручну.

  • Використовуйте URL виявлення—введіть URL конфігурації для вашого IdP.
  • Додайте інформацію про кінцеві пристрої вручну. Введіть такі відомості.

    • Емітент
    • Кінцевий пристрій авторизації
    • Токен кінцевого пристрою
    • Кінцевий пристрій JWKS
    • Кінцевий пристрій Userinfo
    Додаткові відомості див. в Посібнику з налаштування OpenID Connect.

6

(Необов’язково) Налаштуйте параметри Just In Time (JIT).

"Перегляньте розділ Налаштування вчасно (JIT) і зіставлення SAML на вкладці ""Керування IdP"" в цій статті."
7

Клацніть Перевірити налаштування SSO. Коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.

Перевірте підключення єдиного входу, перш ніж його ввімкнути. Цей крок працює як сухий запуск і не впливає на настройки організації, доки на наступному кроці не буде ввімкнуто єдиний вхід.

Якщо ви отримаєте помилку автентифікації, виникне проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути можливості входу до системи за допомогою системи єдиного входу, рекомендовано клацнути Копіювати URL-адресу для буфера обміну з цього екрана й вставити її в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

8

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активуйте SSO й IdP і клацніть Активувати.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки.
Конфігурація SSO не набуде чинності для вашої організації, якщо тільки ви не вибрали перший перемикач і не активуєте SSO.

Що далі

Можна налаштувати правило маршрутизації. Див. розділ Додати або змінити правило маршрутизації на вкладці Правила маршрутизації в цій статті.

Щоб вимкнути електронні листи, які надсилаються новим користувачам програми Webex у вашій організації, можна виконати процедуру в розділі Блокувати автоматизовані електронні листи . Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Налаштувати ідентифікацію Webex
1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP , щоб запустити майстер конфігурації.

3

Виберіть Webex як свого IdP і клацніть Далі.

4

Перевірте, як я прочитав(-ла) і зрозумів(-ла), як працює IdP Webex , і клацніть Далі.

5

Налаштуйте правило маршрутизації.

Див. розділ Додати або змінити правило маршрутизації на вкладці Правила маршрутизації в цій статті.

Після додавання правила маршрутизації ваш IdP буде додано й відображено на вкладці Постачальник посвідчень .

Що далі

Щоб вимкнути електронні листи, які надсилаються новим користувачам програми Webex у вашій організації, можна виконати процедуру в розділі Блокувати автоматизовані електронні листи . Документ також містить практичні поради щодо надсилання повідомлень користувачам у вашій організації.

Правила маршрутизації застосовуються під час налаштування декількох IdP. Правила маршрутизації дають змогу Webex визначити, до якого IdP надсилати користувачів, коли ви налаштували кілька IdP.

У разі налаштування декількох IdP можна визначити правила маршрутизації в майстрі конфігурації SSO. Якщо ви пропустите крок правила маршрутизації, Control Hub додасть IdP, але не активує IdP. Щоб активувати IdP, необхідно додати правило маршрутизації.

Додати або змінити правила маршрутизації
1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Правила маршрутизації .

Під час налаштування першого IdP правило маршрутизації буде автоматично додано й установлено як правило за замовчуванням. Ви можете вибрати іншого IdP, щоб установити як правило за замовчуванням пізніше.

4

Клацніть Додати нове правило маршрутизації.

5

Введіть деталі нового правила:

  • Ім’я правила—Введіть ім’я правила маршрутизації.
  • Виберіть тип маршрутизації— виберіть домен або групу.
  • Якщо це ваші домени/групи— введіть домени/групи у межах організації.
  • Потім використовуйте цього постачальника посвідчень—виберіть IdP.

6

Клацніть Додати.

7

Виберіть нове правило маршрутизації та натисніть Активувати.

Якщо у вас є правила маршрутизації для кількох IdP, можна змінити порядок пріоритету правила маршрутизації.
Деактивувати або видалити правила маршрутизації
1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Правила маршрутизації .

4

Виберіть правило маршрутизації.

5

Виберіть, чи потрібно деактивувати або видалити правило маршрутизації.

Рекомендовано мати інше активне правило маршрутизації для IdP. В іншому разі можуть виникнути проблеми з входом до системи єдиного входу.

Правило За замовчуванням не можна деактивувати або видалити, але ви можете змінити маршрутизованого IdP.
Керування сертифікатами постачальника посвідчень (IdP)

Перед початком

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчиться. Оскільки постачальники IdP мають власну специфічну документацію для подовження сертифіката, ми охоплюємо вимоги Control Hub разом із загальними кроками для отримання оновлених метаданих IdP і передавання їх у Control Hub для подовження сертифіката.

Це застосовується тільки до конфігурації SAML.

1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Постачальник посвідчень .

4

Перейдіть до IdP, клацніть Завантажити і виберіть Передати метадані Idp.

Щоб завантажити файл метаданих, клацніть Завантаження і виберіть Завантажити метадані Idp.
5

Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.

6

Поверніться до Control Hub і перетягніть файл метаданих IdP в область передавання або клацніть Вибрати файл , щоб передати метадані.

7

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписаний загальнодоступним ЦС) залежно від способу підписання метаданих вашого IdP, і клацніть Зберегти.

8

Налаштуйте параметри Just In Time (JIT) і відповідь зіставлення SAML.

"Перегляньте розділ Налаштування вчасно (JIT) і зіставлення SAML на вкладці ""Керування IdP"" в цій статті."
9

Клацніть Перевірити налаштування SSO. Коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.

Перевірте підключення єдиного входу, перш ніж його ввімкнути. Цей крок працює як сухий запуск і не впливає на настройки організації, доки на наступному кроці не буде ввімкнуто єдиний вхід.

Якщо ви отримаєте помилку автентифікації, виникне проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути можливості входу до системи за допомогою системи єдиного входу, рекомендовано клацнути Копіювати URL-адресу для буфера обміну з цього екрана й вставити її в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

10

Клацніть Зберегти.

Керуйте сертифікатами свого постачальника послуг (SP)

Перед початком

Рекомендовано оновити всі свої IdP у організації під час подовження сертифіката SP.

Це застосовується тільки до конфігурації SAML.

1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Постачальник посвідчень .

4

Перейдіть до IdP і клацніть .

5

Клацніть Переглянути сертифікати й дату завершення терміну дії.

Це призводить до вікна сертифікатів постачальника послуг (SP) .
6

Клацніть Поновити сертифікат.

7

Виберіть тип IdP у вашій організації:

  • Постачальник ідентифікації, який підтримує кілька сертифікатів
  • Постачальник ідентифікації, який підтримує один сертифікат
8

Виберіть тип сертифіката для подовження:

  • Самопідписаний Cisco — ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, тому вам потрібно продовжувати його лише раз на п'ять років.
  • Підписано загальнодоступним центром сертифікації. Більш безпечний, але вам доведеться часто оновлювати метадані (якщо ваш постачальник IdP не підтримує прив’язки довіри).
Прив'язки довіри – це відкриті ключі, які діють як орган перевірки сертифіката цифрового підпису. Для отримання додаткової інформації зверніться до документації IdP.
9

Клацніть Завантажити метадані або Завантажити сертифікат , щоб завантажити копію оновленого файлу метаданих або сертифіката з хмари Webex.

10

Перейдіть до інтерфейсу керування IdP, щоб передати новий файл метаданих Webex або сертифікат.

Цей крок можна виконати за допомогою вкладки браузера, протоколу віддаленого робочого стола (RDP) або підтримки певного постачальника хмарних послуг залежно від налаштування вашого IdP і від того, чи відповідаєте ви або окремий адміністратор IdP за цей крок.

Щоб отримати додаткову інформацію, перегляньте наші посібники з інтеграції SSO або зверніться до адміністратора IdP за підтримкою. Якщо ви використовуєте служби федерації Active Directory (AD FS), ви можете дізнатися, як оновити метадані Webex в AD FS

11

Поверніться до інтерфейсу Control Hub і натисніть Далі.

12

Виберіть Успішно оновлено всі IdP і натисніть Далі.

Це передає файл метаданих SP або сертифікат на всі IdP у вашій організації.

13

Клацніть Завершити поновлення.

Протестуйте налаштування SSO

Перш ніж почати

1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Постачальник посвідчень .

4

Перейдіть до IdP і клацніть Додаткове меню .

5

Виберіть Test IdP.

6

Клацніть Перевірити налаштування SSO. Коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.

Якщо ви отримаєте помилку автентифікації, виникне проблема з обліковими даними. Перевірте ім'я користувача та пароль і повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням єдиного входу. У цьому випадку виконайте кроки ще раз, особливо кроки, за допомогою яких ви копіюєте та вставляєте метадані Центру керування в налаштування IdP.

Щоб переглянути можливості входу до системи за допомогою системи єдиного входу, рекомендовано клацнути Копіювати URL-адресу для буфера обміну з цього екрана й вставити її в приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

7

Поверніться на вкладку браузера Control Hub .

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активуйте SSO й IdP і клацніть Зберегти.
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки.
Конфігурація єдиного входу не набирає чинності у вашій організації, якщо не вибрати першу перемикач і не активувати єдиний вхід.

Налаштуйте зіставлення Just In Time (JIT) і SAML

Перш ніж почати

Забезпечити виконання наступних передумов:

  • ДСО вже налаштовано.

  • Домени вже перевірені.

  • Домени зарезервовані та ввімкнені. Ця функція гарантує, що користувачі з вашого домену створюються й оновлюються один раз під час автентифікації за допомогою IdP.

  • Якщо DirSync або Azure AD ввімкнено, створення або оновлення SAML JIT не працюватиме.

  • "Блокувати оновлення профілю користувача" включено. Saml Update Mapping дозволено, оскільки ця конфігурація контролює можливість користувача редагувати атрибути. Контрольовані адміністратором методи створення та оновлення як і раніше підтримуються.

Під час налаштування SAML JIT за допомогою Azure AD або IdP, де електронна пошта не є постійним ідентифікатором, рекомендовано використовувати атрибут зв’язування externalId для зіставлення з Унікальним ідентифікатором. Якщо буде виявлено, що адреса електронної пошти не відповідає атрибуту зв’язування, користувачеві буде запропоновано перевірити його особу або створити нового користувача з правильною адресою електронної пошти.

Новостворені користувачі не отримають автоматично призначені ліцензії, якщо в організації не настроєно автоматичний шаблон ліцензії.

1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Постачальник посвідчень .

4

Перейдіть до IdP і клацніть Додаткове меню .

5

Виберіть Змінити зіставлення SAML.

6

Налаштуйте параметри функції «Вчасно» (JIT).

  • Створити або активувати користувача: Якщо активного користувача не знайдено, служба Webex Identity створить користувача й оновіть атрибути після автентифікації за допомогою IdP.
  • Оновлення користувача атрибутами SAML: якщо користувач з адресою електронної пошти знайдений, то Webex Identity оновлює користувача атрибутами, зіставленими в SAML Assertion.
Підтвердьте, що користувачі можуть ввійти за допомогою іншої невідомої адреси електронної пошти.

7

Налаштуйте обов’язкові атрибути зіставлення SAML.

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім'я користувача / Основна адреса електронної пошти

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

8

Налаштуйте атрибути зв’язування.

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, зокрема адресу електронної пошти користувача.
Таблиця 2. Атрибути прив’язки

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Номер працівника користувача або ідентифікаційний номер у його кадровій системі. Зауважте, що це не стосується зовнішніх користувачів, оскільки ви можете повторно використовувати або повторно використовувати номер співробітника для інших користувачів.

Атрибут розширення 1

Приклад: user.extensionattribute1

Зіставте ці користувацькі атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

9

Налаштуйте атрибути профілю.

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Це номер співробітника користувача або ідентифікаційний номер у їхній hr-системі. Зауважте, що це не для параметра "externalid", оскільки ви можете повторно використовувати або повторно використовувати "номер працівника" для інших користувачів.

бажанамовленість

Приклад: user.preferredlanguage

Основна мова користувача.

Локалі

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

ім'я дисплея

Приклад: ім'я_користувача

Відображуване ім’я користувача у Webex.

ім'я.givenНайменування

Приклад: ім'я користувача.given

Ім’я користувача.

ім'я.прізвищеНайменування

Приклад: користувач.прізвище

Прізвище користувача.

адреси.streetAddress

Приклад: user.streetaddress

Адреса, вулиця його основного місця роботи.

адреси.держава

Приклад: користувач.держава

Стан їх основного місця роботи.

адреси.регіон

Приклад: користувач.регіон

Регіон його основного місця роботи.

адреси.поштовийкод

Приклад: user.postcode

Поштовий код його основного місця роботи.

адреси.країна

Приклад: користувач.країна

Країна його основного місця роботи.

phoneNumbers.work

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

phoneNumbers.extension

Приклад: номер мобільного телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

займенник

Приклад: користувач.займенник

Займенники користувача. Це необов'язковий атрибут, і користувач або адміністратор можуть зробити його видимим у своєму профілі.

заголовок

Приклад: user.jobtitle

Назва посади користувача.

міністерство

Приклад: user.department

Робочий відділ або команда користувача.

займенник

Приклад: користувач.займенник

Це займенник користувача. Видимість цього атрибута контролюється Адміністратором і користувачем

голова

Приклад: голова

Керує менеджер користувача або його команда.

центр витрат

Приклад: центр витрат

Це прізвище користувача, також відоме як прізвище або прізвище

електронна пошта.додаткова1

Приклад: ім'я_користувача.mailnick

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова2

Приклад: user.primaryauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate3

Приклад: user.alternativeauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate4

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова5

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.
10

Налаштуйте атрибути додаткового номера.

Зіставте ці атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для відстеження кодів.
Таблиця 4. Атрибути розширення

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Атрибут розширення 1

Приклад: user.extensionattribute1

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

Атрибут розширення 6

Приклад: user.extensionattribute6

Атрибут розширення 7

Приклад: user.extensionattribute7

Атрибут розширення 8

Приклад: user.extensionattribute8

Атрибут розширення 9

Приклад: user.extensionattribute9

Атрибут розширення 10

Приклад: user.extensionattribute10

11

Налаштуйте атрибути групи.

  1. Створіть групу в Control Hub і зверніть увагу на ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувача або IdP і налаштуйте атрибут для користувачів, яких буде призначено ідентифікатору групи Webex.
  3. Оновіть конфігурацію свого IdP, щоб включити запит, який носить це ім’я атрибута разом з ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx). Зовнішній ідентифікатор також можна використовувати для керування змінами в іменах груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Azure AD або реалізація синхронізації групи SCIM.
  4. Укажіть точне ім’я атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Цей параметр використовується для додавання користувача до групи.
  5. Укажіть точне ім’я зовнішнього ідентифікатора об’єкта групи, якщо ви використовуєте групу зі свого каталогу, щоб надсилати учасників у твердженні SAML.

Якщо користувач A пов’язаний з groupID 1234, а користувач B — з groupID 4567, їх призначено окремим групам. Цей сценарій вказує, що один атрибут дозволяє користувачам асоціювати з кількома ідентифікаторами групи. Хоча це незвично, це можливо і можна розглядати як адитивну зміну. Наприклад, якщо користувач А спочатку ввійшов до системи за допомогою groupID 1234, він стає учасником відповідної групи. Якщо користувач А пізніше ввійде на використання groupID 4567, він також буде доданий до цієї другої групи.

Підготовка JIT SAML не підтримує видалення користувачів із груп або видалення користувачів.

Таблиця 5. Групові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ідентифікаторГрупи

Приклад: ідентифікаторГрупи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

групозовнішнійІдентифікаторКористувача

Приклад: групозовнішнійІдентифікаторКористувача

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів твердження SAML для Webex Meetings див https://help.webex.com/article/WBX67566.

Видалити постачальника ідентифікаційних даних (IdP)

Перед початком

Перш ніж видалити IdP, рекомендовано спочатку деактивувати або видалити правила маршрутизації IdP.
1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Постачальник посвідчень .

4

Перейдіть до IdP і клацніть Додаткове меню.

5

Виберіть Delete (Видалити).

1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Постачальник посвідчень .

4

Клацніть Деактивувати SSO.

Підтвердьте деактивацію SSO.

Після підтвердження SSO буде деактивовано для всіх IdP у вашій організації.

Ви отримаєте сповіщення в Control Hub, перш ніж термін дії сертифікатів закінчиться, але також можна упереджено налаштувати правила сповіщень. Ці правила заздалегідь повідомляють вам, що термін дії ваших сертифікатів SP або IdP закінчиться. Ми можемо надіслати їх вам електронною поштою, за простором у програмі Webex або за тим і іншим.

Незалежно від налаштованого каналу доставки, усі сповіщення завжди відображаються в Control Hub. Додаткову інформацію див. в центрі оповіщень у Control Hub .

1

Увійдіть у Центркерування.

2

Перейдіть до центру сповіщень.

3

Потім виберіть КеруватиУсіма правилами.

4

У списку правил виберіть будь-яке правило системи єдиного входу, яке потрібно створити.

  • Завершення терміну дії сертифіката SSO IDP
  • Термін дії сертифіката SSO SP завершується
5

У розділі «Канал доставки» поставте прапорець для Електронної пошти, простору Webex або того й іншого.

Якщо ви виберете Електронна пошта, введіть адресу електронної пошти, яка має отримувати сповіщення.

Якщо ви виберете параметр простору Webex, вас автоматично додадуть до простору всередині програми Webex, і ми надішлемо сповіщення там.

6

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката один раз на 15 днів, починаючи з 60 днів до завершення терміну дії. (Ви можете очікувати на сповіщення 60, 45, 30 і 15 днів.) Сповіщення зупиняються під час подовження сертифіката.

Якщо у вас виникли проблеми з входом до SSO, можна використовувати параметр самовідновлення SSO , щоб отримати доступ до організації Webex, керованої в Control Hub. Параметр самостійного відновлення дозволяє оновити або вимкнути SSO в Control Hub.