Єдиний вхід (SSO) дає змогу користувачам здійснювати безпечний вхід у Webex шляхом автентифікації в постачальника спільних посвідчень вашої організації. Постачальник ідентифікаційних даних (IdP) безпечно зберігає цифрові посвідчення ваших користувачів і керує ними, а також надає службу автентифікації користувачів Webex.

Для чого може знадобитися кілька IdP

Багато великих компаній зазнають злиття та поглинання, і ці компанії рідко мають однакову ІТ-інфраструктуру та постачальників ідентифікаційних даних. Урядові установи мають у підпорядкуванні різні організації та установи. Часто ці організації мають єдину адресу електронної пошти для власних ІТ-відділів та інфраструктури відповідно. Основні навчальні заклади мають центральний відділ закупівель, але різні університети й коледжі з різними ІТ-організаціями та відділами.

Зазвичай IdP і постачальників послуг (SP) об’єднуються один з одним. IdP відповідає за автентифікацію облікових даних користувачів, а SP довіряє автентифікації, виконаній IdP. Це дозволяє вашим користувачам отримувати доступ до різних програм і служб SaaS, використовуючи той самий цифровий ідентифікатор. Але якщо з якоїсь причини ваша організація не може об’єднатися між IdP, Webex надає обхідний шлях для підтримки кількох IdP. З цих причин ми надаємо вам можливість налаштувати SSO для кількох IdP у Webex і спростити процес автентифікації користувачів.

Обмеження

  • Ця функція доступна, лише якщо ви придбали пакет розширеної безпеки Webex.
  • Якщо ви використовуєте Directory Connector у своїй організації, усі користувачі мають бути надані з’єднувачем каталогів. Див Посібник із розгортання Directory Connector для отримання додаткової інформації.
  • Зараз ми підтримуємо лише SAML, OpenID Connect і Webex Identity як постачальників посвідчень.

Поза межами

  • Налаштуйте призначення груп.

У цьому розділі описано, як можна інтегрувати своїх постачальників ідентифікаційних даних (IdP) до вашої організації Webex. Можна вибрати IdP, який найкраще відповідає вимогам вашої організації.

Якщо ви шукаєте інтеграцію SSO на вебсайті Webex Meetings (керується в адмініструванні вебсайту), див. Налаштуйте єдиний вхід для адміністрування Webex .

Перш ніж почати

Переконайтеся, що дотримані такі умови:

  • Щоб налаштувати SSO з кількома IdP в Control Hub, необхідно мати розширений пакет безпеки Webex.
  • Ви повинні мати роль повного адміністратора в Control Hub.
  • Файл метаданих від постачальника посвідчень для надання Webex і файл метаданих від Webex для надання постачальнику даних. Додаткову інформацію див Інтеграція єдиного входу в Control Hub . Це стосується лише конфігурації SAML.
  • Перш ніж налаштовувати кілька IdP, потрібно спланувати поведінку правил маршрутизації.

 
Правило маршрутизації за замовчуванням застосовується після налаштування початкового IdP. Але ви можете встановити іншого IdP за замовчуванням. Див Додайте або змініть правило маршрутизації на вкладці Правила маршрутизації в цій статті.
1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP , щоб запустити майстер конфігурації.

3.

Виберіть SAML як постачальника посвідчень і клацніть Далі .

4.

Виберіть тип сертифіката.

  • Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.
  • Підписано загальнодоступним центром сертифікації — Більш безпечний, але вам доведеться часто оновлювати метадані (якщо постачальник IdP не підтримує прив’язки довіри).

 
Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.
5.

Клацніть Завантажити метадані, потім — Далі.

Ім’я файлу метаданих програми Webex: idb-meta-<org-ID> -SP.xml .

6.

Передайте файл метаданих IdP або заповніть форму конфігурації.

Під час передавання файлу метаданих є два способи перевірити метадані від IdP клієнта:

  • IdP клієнта надає підпис у метаданих, поставлений загальнодоступним кореневим центром сертифікації;
  • IdP клієнта надає самопідписаний сертифікат приватного центру сертифікації або не надає підпис для своїх метаданих. Цей варіант менш безпечний.
В іншому разі у формі конфігурації введіть інформацію про постачальника посвідчень.

Клацніть Далі.

7.

(Необов’язково) Можна змінити ім’я атрибута SAML для Ім’я користувача Webex або Основна адреса електронної пошти від uid до чогось, узгодженого з менеджером IdP, наприклад email, upn, тощо

8

(Необов’язково) Налаштуйте параметри Just In Time (JIT) і відповідь зіставлення SAML.

Див Налаштуйте зіставлення Just In Time (JIT) і SAML на вкладці Керування IdP у цій статті.
9

Клацніть Перевірте налаштування SSO , а коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.


 

Перевірте з 'єднання SSO, перш ніж ввімкнути його. На цьому кроці виконується пробний запуск, що не впливає на налаштування вашої організації, поки не буде ввімкнено SSO на наступному кроці.

Якщо з’являється помилка автентифікації, можливо, проблема з обліковими даними. Перевірте ім 'я користувача та пароль та повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням SSO. У цьому випадку повторіть кроки, особливо кроки, коли ви копіюєте та вставляєте метадані Control Hub в налаштування IdP.


 

Щоб переглянути можливості входу в систему SSO, радимо клацнути Скопіювати URL-адресу до буфера обміну з цього екрана й вставте його у приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

10

Поверніться на вкладку браузера Control Hub.

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активація SSO та IdP і клацніть Активувати .
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки .

 
Конфігурація SSO не набуде чинності у вашій організації, якщо ви не виберете перший перемикач і не активуєте SSO.

Що далі

Можна налаштувати правило маршрутизації. Див Додайте або змініть правило маршрутизації на вкладці Правила маршрутизації в цій статті.

Процедуру можна виконати в Блокувати автоматичні повідомлення електронної пошти щоб вимкнути електронні листи, надіслані новим користувачам програми Webex у вашій організації. Документ також містить найкращі практики для розсилки повідомлень користувачам у вашій організації.

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP , щоб запустити майстер конфігурації.

3.

Виберіть OpenID Connect як постачальника посвідчень і клацніть Далі .

4.

Введіть інформацію про IdP.

  • Ім’я —Ім’я для ідентифікації вашого IdP.
  • Ідентифікатор клієнта —Унікальний ідентифікатор для ідентифікації вас і вашого IdP.
  • Секрет клієнта —Пароль, який знаєте ви та ваш IdP.
  • Області — Області, які будуть пов’язані з вашим IdP.
5.

Виберіть спосіб додавання кінцевих пристроїв. Це можна зробити автоматично або вручну.

  • Використовуйте URL виявлення —Введіть URL-адресу конфігурації для IdP.
  • Додайте інформацію про кінцеві пристрої вручну —Введіть такі відомості.

    • Постачальник
    • Кінцевий пристрій авторизації
    • Токен кінцевого пристрою
    • Кінцевий пристрій JWKS
    • Кінцевий пристрій Userinfo
    Додаткову інформацію див. в розділі Посібник із конфігурації OpenID Connect .
6.

(Необов’язково) Налаштуйте параметри Just In Time (JIT).

Див Налаштуйте зіставлення Just In Time (JIT) і SAML на вкладці Керування IdP у цій статті.
7.

Клацніть Перевірте налаштування SSO , а коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.


 

Перевірте з 'єднання SSO, перш ніж ввімкнути його. На цьому кроці виконується пробний запуск, що не впливає на налаштування вашої організації, поки не буде ввімкнено SSO на наступному кроці.

Якщо з’являється помилка автентифікації, можливо, проблема з обліковими даними. Перевірте ім 'я користувача та пароль та повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням SSO. У цьому випадку повторіть кроки, особливо кроки, коли ви копіюєте та вставляєте метадані Control Hub в налаштування IdP.


 

Щоб переглянути можливості входу в систему SSO, радимо клацнути Скопіювати URL-адресу до буфера обміну з цього екрана й вставте його у приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

8

Поверніться на вкладку браузера Control Hub.

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активація SSO та IdP і клацніть Активувати .
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки .

 
Конфігурація SSO не набуде чинності у вашій організації, доки ви не виберете перший перемикач і не активуєте SSO.

Що далі

Можна налаштувати правило маршрутизації. Див Додайте або змініть правило маршрутизації на вкладці Правила маршрутизації в цій статті.

Процедуру можна виконати в Блокувати автоматичні повідомлення електронної пошти щоб вимкнути електронні листи, надіслані новим користувачам програми Webex у вашій організації. Документ також містить найкращі практики для розсилки повідомлень користувачам у вашій організації.

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP , щоб запустити майстер конфігурації.

3.

Виберіть Webex як постачальника посвідчень і клацніть Далі .

4.

Перевірте Я прочитав(-ла) і розумію, як працює Webex IdP і клацніть Далі .

5.

Налаштуйте правило маршрутизації.

Див Додайте або змініть правило маршрутизації на вкладці Правила маршрутизації в цій статті.

Після додавання правила маршрутизації ваш IdP буде додано та відображено під Постачальник ідентифікаційних даних вкладка.

Що далі

Щоб вимкнути електронні листи, які надсилаються новим користувачам додатка Webex у вашій організації, виконайте процедуру, описану в розділі Придушити автоматизовані електронні листи. Документ також містить найкращі практики для розсилки повідомлень користувачам у вашій організації.

Правила маршрутизації застосовуються в разі налаштування кількох IdP. Правила маршрутизації дозволяють Webex визначати, до якого IdP надсилати користувачів, якщо ви налаштували кілька IdP.

Під час налаштування кількох IdP можна визначити правила маршрутизації в майстрі конфігурації SSO. Якщо пропустити крок правила маршрутизації, Control Hub додасть IdP, але не активує IdP. Щоб активувати IdP, необхідно додати правило маршрутизації.

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Правила маршрутизації вкладка.


 

Під час налаштування вашого першого IdP правило маршрутизації автоматично додається та встановлюється як Правило за замовчуванням . Ви можете вибрати іншого постачальника посвідчень, щоб установити як правило за замовчуванням пізніше.

4.

Клацніть Додати нове правило маршрутизації .

5.

Введіть відомості для нового правила:

  • Ім’я правила —Введіть ім’я правила маршрутизації.
  • Виберіть тип маршрутизації —Виберіть домен або групу.
  • Якщо це ваші домени/групи —Введіть домени/групи в межах організації.
  • Потім використовуйте цього постачальника посвідчень —Виберіть IdP.
6.

Клацніть Додати.

7.

Виберіть нове правило маршрутизації та клацніть Активувати .


 
Можна змінити порядок пріоритету правил маршрутизації, якщо у вас є правила маршрутизації для кількох IdP.
1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Правила маршрутизації вкладка.

4.

Виберіть правило маршрутизації.

5.

Виберіть, якщо хочете Деактивувати або Видалити правило маршрутизації.

Рекомендовано мати інше активне правило маршрутизації для IdP. В іншому випадку можуть виникнути проблеми з реєстрацією в системі єдиного входу.


 
, Правило за замовчуванням не можна деактивувати або видалити, але ви можете змінити маршрутизованого IdP.

Перш ніж почати


 

Час від часу ви можете отримувати сповіщення електронною поштою або бачити сповіщення в Control Hub про те, що термін дії сертифіката IdP закінчиться. Оскільки постачальники IdP мають власну спеціальну документацію для поновлення сертифіката, ми розглянемо всі необхідні дії в Control Hub, а також загальні кроки для отримання оновлених метаданих IdP та їх передавання в Control Hub для поновлення дії сертифіката.

Це стосується лише конфігурації SAML.

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP, клацнітьuploadі виберіть Передати метадані Idp .

Щоб завантажити файл метаданих, клацнітьDownloadі виберіть Завантажити метадані Idp .
5.

Перейдіть до інтерфейсу керування IdP, щоб отримати новий файл метаданих.

6.

Поверніться до Control Hub і перетягніть файл метаданих IdP в область передавання або клацніть Виберіть файл щоб передати метадані.

7.

Виберіть Менш безпечний (самопідписаний) або Більш безпечний (підписано загальнодоступним CA), залежно від того, як підписані метадані вашого IdP, і клацніть Зберегти .

8

Налаштуйте параметри Just In Time (JIT) і відповідь зіставлення SAML.

Див Налаштуйте зіставлення Just In Time (JIT) і SAML на вкладці Керування IdP у цій статті.
9

Клацніть Перевірте налаштування SSO , а коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.


 

Перевірте з 'єднання SSO, перш ніж ввімкнути його. На цьому кроці виконується пробний запуск, що не впливає на налаштування вашої організації, поки не буде ввімкнено SSO на наступному кроці.

Якщо з’являється помилка автентифікації, можливо, проблема з обліковими даними. Перевірте ім 'я користувача та пароль та повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням SSO. У цьому випадку повторіть кроки, особливо кроки, коли ви копіюєте та вставляєте метадані Control Hub в налаштування IdP.


 

Щоб переглянути можливості входу в систему SSO, радимо клацнути Скопіювати URL-адресу до буфера обміну з цього екрана й вставте його у приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

10

Клацніть Зберегти.

Перш ніж почати


 

Рекомендовано оновити всіх IdP у вашій організації під час поновлення дії сертифіката SP.

Це стосується лише конфігурації SAML.

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP і клацніть.

5.

Клацніть Перегляньте сертифікати та дату закінчення терміну дії .

Ви перейдете до Сертифікати постачальника послуг (SP). вікно.
6.

Клацніть Поновити сертифікат .

7.

Виберіть тип IdP у вашій організації:

  • IdP, який підтримує кілька сертифікатів
  • IdP, який підтримує один сертифікат
8

Виберіть тип сертифіката для подовження:

  • Самостійно підписаний Cisco- Ми рекомендуємо цей вибір. Дозвольте нам підписати сертифікат, щоб вам потрібно було поновлювати його лише раз на п 'ять років.
  • Підписано державним органом сертифікації - Більш безпечно, але вам потрібно буде часто оновлювати метадані (якщо ваш постачальник IdP не підтримує якорі довіри).

 
Якоря довіри - це відкриті ключі, які діють як повноваження для перевірки сертифіката цифрового підпису. Щоб отримати додаткову інформацію, зверніться до документації свого призначеного лікаря.
9

Клацніть Завантажити метадані або Завантажити сертифікат щоб завантажити копію оновленого файлу метаданих або сертифіката з хмари Webex.

10

Перейдіть до інтерфейсу керування IdP, щоб передати новий файл метаданих або сертифікат Webex.

Цей крок можна виконати на вкладці браузера, протоколі віддаленого робочого стола (RDP) або за допомогою підтримки конкретних постачальників хмарних послуг залежно від налаштувань вашого IdP і від того, чи несете відповідальність за цей крок ви чи окремий адміністратор IdP.

Щоб отримати додаткову інформацію, див. наші посібники з інтеграції SSO або зверніться до адміністратора IdP за підтримкою. Якщо ви використовуєте служби федерації Active Directory (AD FS), ви можете дізнайтеся, як оновити метадані Webex у AD FS

11

Поверніться до інтерфейсу Control Hub і клацніть Далі .

12

Виберіть Усі IdP успішно оновлено і клацніть Далі .

Це передає файл метаданих SP або сертифікат до всіх IdP у вашій організації.

13

Клацніть Завершити поновлення .

Перш ніж почати

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP і клацніть.

5.

Виберіть Тестування IdP .

6.

Клацніть Перевірте налаштування SSO , а коли відкриється нова вкладка браузера, виконайте автентифікацію за допомогою IdP, увійшовши.


 

Якщо з’являється помилка автентифікації, можливо, проблема з обліковими даними. Перевірте ім 'я користувача та пароль та повторіть спробу.

Помилка Webex App зазвичай означає проблему з налаштуванням SSO. У цьому випадку повторіть кроки, особливо кроки, коли ви копіюєте та вставляєте метадані Control Hub в налаштування IdP.


 

Щоб переглянути можливості входу в систему SSO, радимо клацнути Скопіювати URL-адресу до буфера обміну з цього екрана й вставте його у приватне вікно браузера. Після цього можна виконати вхід за допомогою SSO. Це дає змогу видалити будь-яку інформацію, кешовану у вашому веббраузері, яка може призвести до отримання хибнопозитивного результату під час тестування конфігурації SSO.

7.

Поверніться на вкладку браузера Control Hub.

  • Якщо тест пройшов успішно, виберіть Успішний тест. Активація SSO та IdP і клацніть Зберегти .
  • Якщо тест виявився невдалим, виберіть Невдалий тест. Поверніться до попередніх кроків, щоб виправити помилки .

 
Конфігурація SSO не набуває чинності у вашій організації, якщо ви не виберете першу перемикач і не активуєте SSO.

Перш ніж почати

Переконайтеся, що дотримані такі передумови:

  • SSO вже налаштовано.

  • Домени вже підтверджено.

  • Домени заявлено та ввімкнено. Ця функція гарантує, що користувачів із вашого домену буде створено й оновлено один раз щоразу, коли вони автентифікуються у вашого IdP.

  • Якщо DirSync або Azure AD ввімкнено, створення або оновлення SAML JIT не працюватиме.

  • Параметр "Блокувати оновлення профілю користувача" ввімкнено. Зіставлення оновлень SAML дозволено, оскільки ця конфігурація контролює можливість користувача змінювати атрибути. Керовані адміністратором методи створення й оновлення все ще підтримуються.


 

Під час налаштування SAML JIT за допомогою Azure AD або IdP, якщо адреса електронної пошти не є постійним ідентифікатором, ми рекомендуємо використовувати externalId атрибут зв’язування для зіставлення з унікальним ідентифікатором. Якщо виявиться, що адреса електронної пошти не відповідає атрибуту зв’язування, користувачеві буде запропоновано підтвердити свою особу або створити нового користувача з правильною адресою електронної пошти.

Щойно створені користувачі не отримають автоматично призначені ліцензії, якщо організація не має ліцензії шаблон автоматичної ліцензії налаштувати.

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP і клацніть.

5.

Виберіть Змініть зіставлення SAML .

6.

Налаштувати Налаштування вчасно (JIT). .

  • Створити або активувати користувача: Якщо активних користувачів не знайдено, Webex Identity створить користувача та оновить атрибути після того, як користувач пройде автентифікацію за допомогою IdP.
  • Оновіть атрибути SAML в даних про клієнта: якщо буде знайдено користувача з адресою електронної пошти, Webex Identity оновить користувача за допомогою атрибутів, зіставлених у твердженні SAML.
Підтвердьте, що користувачі можуть входити за допомогою іншої невизначеної адреси електронної пошти.
7.

Налаштувати Обов’язкові атрибути зіставлення SAML .

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім’я користувача / основна адреса електронної пошти

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

8

Налаштуйте Атрибути прив’язки .

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, зокрема електронну пошту користувача.
Таблиця 2. Атрибути прив’язки

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

externalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

номер співробітника

Приклад: user.employeeid

Номер співробітника користувача або ідентифікаційний номер у його системі персоналу. Зауважте, що це не для externalid, оскільки їх можна використовувати повторно або переробляти employeenumber для інших користувачів.

Атрибут розширення 1

Приклад: атрибут user.extensionattribute1

Зіставте ці користувацькі атрибути з розширеними атрибутами в Active Directory, Azure або у вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: атрибут user.extensionattribute2

Атрибут розширення 3

Приклад: атрибут user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: атрибут user.extension5

9

Налаштувати Атрибути профілю .

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

externalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

номер співробітника

Приклад: user.employeeid

Номер співробітника цього користувача або ідентифікаційний номер у його системі персоналу. Зауважте, що це не для "externalid", оскільки ви можете повторно використовувати або переробити "employeenumber" для інших користувачів.

preferredLanguage

Приклад: user.preferredlanguage

Основна мова користувача.

локаль

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

displayName

Приклад: user.displayname

Відображуване ім’я користувача у Webex.

name.givenName

Приклад: user.givenname

Ім’я користувача.

name.familyName

Приклад: користувач.прізвище

Прізвище користувача.

адреси.вулицяАдреса

Приклад: адресавулиці користувача

Адреса, вулиця його основного місця роботи.

адреси.стан

Приклад: стан користувача

Стан їхнього основного місця роботи.

адреси.регіон

Приклад: user.region

Регіон його основного місця роботи.

адреси.поштовийКод

Приклад: поштовий індекс користувача

Поштовий код його основного місця роботи.

адреси.країна

Приклад: країна користувача

Країна його основного місця роботи.

номери телефону.робота

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

номери телефону.додатковий номер

Приклад: номер мобільного телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

займенник

Приклад: користувач.займенник

Займенники користувача. Це необов’язковий атрибут, і користувач або адміністратор може зробити його видимим у своєму профілі.

заголовок

Приклад: user.jobtitle

Назва посади користувача.

відділу

Приклад: користувач.відділ

Робочий відділ або команда користувача.

займенник

Приклад: користувач.займенник

Це займенник користувача. Видимість цього атрибута контролюється адміністратором і користувачем

керівник

Приклад: керівник

Менеджер користувача або керівник його команди.

центр витрат

Приклад: місце виникнення витрат

Це прізвище користувача, також відоме як прізвище або прізвище

email.alternate1

Приклад: user.mailnickname

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate2

Приклад: user.primaryauthoritativemail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate3

Приклад: user.alternativeauthoritativemail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate4

Приклад: user.othermail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate5

Приклад: user.othermail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.
10

Налаштувати Атрибути розширення .

Зіставте ці атрибути з розширеними атрибутами в Active Directory, Azure або у вашому каталозі для кодів відстеження.
Таблиця 4. Атрибути розширення

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Атрибут розширення 1

Приклад: атрибут user.extensionattribute1

Атрибут розширення 2

Приклад: атрибут user.extensionattribute2

Атрибут розширення 3

Приклад: атрибут user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionattribute4

Атрибут розширення 5

Приклад: атрибут user.extension5

Атрибут розширення 6

Приклад: атрибут user.extensionattribute6

Атрибут розширення 7

Приклад: атрибут user.extension7

Атрибут розширення 8

Приклад: атрибут user.extension8

Атрибут розширення 9

Приклад: атрибут user.extensionattribute9

Атрибут розширення 10

Приклад: атрибут user.extensionattribute10

11

Налаштувати Атрибути групи .

  1. Створіть групу в Control Hub і запишіть ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувачів або IdP і налаштуйте атрибут для користувачів, яким буде призначено ідентифікатор групи Webex.
  3. Оновіть конфігурацію IdP, щоб включити заявку, яка містить це ім’я атрибута разом із ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx ). Ви також можете використовувати зовнішній ідентифікатор для керування змінами імен груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Azure AD або впровадження синхронізації групи SCIM.
  4. Укажіть точне ім’я атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Використовується для додавання користувача до групи.
  5. Укажіть точне ім’я зовнішнього ідентифікатора об’єкта групи, якщо ви використовуєте групу з вашого каталогу для надсилання учасників у твердженні SAML.

 

Якщо користувач A пов’язаний із groupID 1234 та користувач B з groupID 4567, їх призначено до окремих груп. Цей сценарій вказує, що один атрибут дозволяє користувачам пов’язувати кілька ідентифікаторів груп. Хоча це нечасто, але це можливо, і його можна розглядати як додаткову зміну. Наприклад, якщо користувач A спочатку входить до системи за допомогою groupID 1234, вони стають членом відповідної групи. Якщо користувач A пізніше ввійде в систему за допомогою groupID 4567, їх також додано до цієї другої групи.

Підготовка JIT SAML не підтримує видалення користувачів із груп або будь-яке видалення користувачів.

Таблиця 5. Атрибути групи

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ідентифікатор групи

Приклад: ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

зовнішній ідентифікатор групи

Приклад: зовнішній ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів тверджень SAML для Webex Meetings дивhttps://help.webex.com/article/WBX67566 .

Перш ніж почати


 
Рекомендовано спочатку деактивувати або видалити правила маршрутизації IdP, перш ніж видаляти IdP.
1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP і клацніть.

5.

Виберіть Видалити.

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

4.

Клацніть Деактивувати SSO .

Підтвердьте деактивацію SSO.

Після підтвердження SSO деактивується для всіх IdP у вашій організації.

Ви отримуватимете сповіщення в Control Hub до закінчення терміну дії сертифікатів, але ви також можете завчасно налаштувати правила сповіщень. Ці правила заздалегідь повідомляють про те, що термін дії ваших сертифікатів SP або IdP закінчиться. Ми можемо надіслати їх вам електронною поштою, через простір у програмі Webex або обидва варіанти.


 

Незалежно від налаштованого каналу доставки, усі оповіщення завжди відображаються в Control Hub. Див Центр сповіщень у Control Hub для отримання додаткової інформації.

1.

Увійдіть в Control Hub.

2.

Перейти до Центр сповіщень .

3.

Виберіть Керування потім Усі правила .

4.

У списку Правил виберіть будь-яке з правил SSO, які потрібно створити:

  • Термін дії сертифіката IDP SSO
  • Термін дії сертифіката SP SSO
5.

У розділі Канал доставки встановіть прапорець для Електронна пошта , Простір Webex , або обидва.

Якщо ви вибрали Електронна пошта, введіть адресу електронної пошти, на яку потрібно отримати сповіщення.


 

Якщо вибрати параметр простору Webex, вас буде автоматично додано до простору в програмі Webex, і ми надішлемо сповіщення туди.

6.

Збережіть зміни.

Що далі

Ми надсилаємо сповіщення про закінчення терміну дії сертифіката кожні 15 днів, починаючи з 60 днів до закінчення терміну дії. (Ви можете очікувати сповіщення на 60, 45, 30 і 15 день.) Сповіщення припиняються, коли ви поновлюєте сертифікат.

Якщо під час входу в систему SSO виникнуть проблеми, скористайтеся Параметр самостійного відновлення SSO щоб отримати доступ до вашої організації Webex, керованої в Control Hub. Параметр самостійного відновлення дозволяє оновити або вимкнути SSO в Control Hub.