Система міждоменного управління ідентифікацією (SCIM)

Інтеграція між користувачами в каталозі і Control Hub використовує System for Cross-Domain Identity Management (SCIM) API. SCIM - це відкритий стандарт для автоматизації обміну інформацією про ідентифікацію користувачів між доменами ідентифікації або ІТ-системами. SCIM призначений для полегшення управління ідентифікаторами користувачів у хмарних додатках та службах. SCIM використовує стандартизований API через REST.


 
Якщо ваша організація вже використовує Directory Connector для синхронізації користувачів, ви не можете синхронізувати користувачів з Okta.

 

Інтеграція Okta підтримує лише наступні атрибути:

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

Багатозначні атрибути, PhoneNumber для mobile і work, а також Address, не підтримуються Okta, тому що операція для PATCH, PUT, або DELETE не передається додатком Okta до Webex.

Видаліть ці атрибути з карти Okta або видаліть оновлення з конфігурації синхронізації.

Підтримувані функції

Ця інтеграція підтримує наступні функції синхронізації користувачів в Okta:

  • Створення користувачів - створює або пов 'язує користувача в додатку Webex під час призначення додатку користувачеві в Okta.

  • Оновлення атрибутів користувача - OKTA оновлює атрибути користувача в додатку Webex, коли додаток призначено. Майбутні зміни атрибутів, внесені до профілю користувача Okta, автоматично перезаписують відповідне значення атрибута в хмарі Webex.

  • Деактивувати користувачів - деактивує обліковий запис користувача Webex App, коли він не призначений в Okta або його обліковий запис Okta деактивовано. Акаунти можна повторно активувати, якщо ви переназначите додаток користувачеві в Okta.


 
Ми не підтримуємо синхронізацію груп з Okta з вашою організацією Webex.

Додати Webex до Okta

Перш ніж налаштовувати Control Hub для автоматичної підготовки користувачів за допомогою Okta, потрібно додати Webex з галереї додатків Okta до списку керованих додатків. Ви також повинні вибрати метод аутентифікації. В даний час сервіси Webex в Control Hub підтримують тільки Federated SSO з Okta.

Перш ніж почати

  • Okta вимагає, щоб у вас був дійсний орендар Okta та поточна ліцензія на їх платформу. Ви також повинні мати поточну платну підписку та організацію Webex.

  • У вашій організації Webex необхідно налаштувати автоматичні шаблони призначення ліцензій, інакше нові синхронізовані користувачі в Control не будуть призначати ліцензії для служб Webex. Докладніші відомості див. у розділі Налаштування шаблонів автоматичного призначення ліцензій у Центрі керування

  • Інтеграція системи єдиного входу (SSO) в Control Hub не розглядається в цьому документі. Перш ніж налаштовувати підготовку користувачів, слід почати з інтеграції Okta SSO. Інструкції щодо інтеграції єдиного входу див. у розділі «Єдиний вхід в Центр керування за допомогою Okta».

1.

Увійдіть в обліковий запис Орендаря Okta (вул. example.okta.com, де example- назва вашої компанії або організації) як адміністратора, перейдіть до розділу Додатки, а потім натисніть Додати додаток.

2.

Знайдіть Cisco Webex і додайте додаток до свого клієнта.

Якщо ви вже інтегрували Okta SSO в організацію Control Hub, ви можете пропустити наведені вище кроки і просто знову відкрити запис Cisco Webex у списку додатків Okta.

3.

На окремій вкладці веб-переглядача перейдіть до перегляду клієнта в розділіhttps://admin.webex.com, натисніть назву організації, а потім поруч із розділом Інформація про компанію скопіюйте ідентифікатор організації.

Запишіть ідентифікатор організації (скопіюйте та вставте в текстовий файл). Ви будете використовувати посвідчення особи для наступної процедури.

Налаштувати Okta для синхронізації користувача

Перш ніж почати

Переконайтеся, що ви зберегли ідентифікатор організації з попередньої процедури.

Переконайтеся, що у вас є роль повного адміністратора клієнта під час створення токенів носія для ваших клієнтів.

1.

У Okta Tenant перейдіть до Надання, натисніть Налаштувати інтеграцію API, а потім перевірте Увімкнути інтеграцію API.

2.

Введіть значення ідентифікатора в поле ідентифікатора організації.

3.

Виконайте наступні дії, щоб отримати значення токена на пред 'явника для Secret Token:

  1. Скопіюйте наступну URL-адресу та запустіть її на вкладці браузера в режимі анонімного перегляду: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.


     
    Вищевказана URL-адреса застосовується до брокеру Webex ID за замовчуванням. Якщо ви використовуєте Webex для уряду, використовуйте наступну URL-адресу, щоб отримати токен-носій:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    Інкогніто-браузер важливий, щоб переконатися, що ви ввійшли в систему з правильними обліковими даними адміністратора. Якщо ви вже увійшли як менш привілейований користувач, який не може створювати користувачів, маркер-носій, який ви повертаєте, не може створювати користувачів.

  2. На сторінці входу в Webex, яка з 'явиться, увійдіть з повним обліковим записом адміністратора для вашої організації.

    З 'являється сторінка з помилкою, яка говорить, що сайт не може бути досягнутий, але це нормально.

    URL-адреса сторінки помилки містить згенерований маркер носія. Цей токен дійсний протягом 365 днів (після чого він закінчується).

  3. З URL-адреси в адресному рядку браузера скопіюйте значення маркера пред 'явиця між access_token= і &token_type=Bearer.

    Наприклад, ця URL-адреса має значення токена, виділене: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose.


     

    Ми рекомендуємо зберегти це значення в текстовому файлі як запис маркера, якщо URL-адреса більше не доступна.

4.

Поверніться до Okta, вставте маркер носія в поле API Token, а потім натиснітьTest API Credentials.

З 'явиться повідомлення про те, що Webex успішно перевірено.

5.

Перейдіть до Provisioning > Settings > To App (Налаштування > Налаштування > До програми), а потім вкажіть потрібні вам функції синхронізації користувача.

6.

Натисніть Assignments (Призначення) і натисніть Assign (Присвоїти), а потім виберіть один з них:

  • Призначте користувачам, якщо ви хочете призначити Webex окремим користувачам.
  • Призначте групам, якщо ви хочете призначити Webex декільком користувачам у групі.
7.

Якщо ви налаштували інтеграцію SSO, натисніть Призначити поруч з кожним користувачем або групою, яку ви хочете призначити програмі, а потім натисніть Готово.

Користувачі, яких ви вибрали, синхронізуються в хмарі, і вони з 'являться в Control Hub під користувачами. Щоразу, коли ви переміщуєте, додаєте, змінюєте або видаляєте користувачів у Okta, Control Hub збирає зміни.


 

Якщо ви не ввімкнули автоматичне призначення шаблонів ліцензій, користувачі синхронізуються з Control Hub без будь-яких призначень ліцензій. Щоб зменшити адміністративні витрати, ми рекомендуємо увімкнути шаблон автоматичного призначення ліцензії, перш ніж синхронізувати користувачів Okta в Control Hub.