Змінити автентифікацію єдиного входу в Центр керування

Перш ніж почати

Переконайтеся, що дотримані такі передумови:

  • SSO вже налаштовано. Для отримання інформації про використання майстра конфігурації SSO див. розділ "Налаштування SSO" тут: https://help.webex.com/article/lfu88u/.

  • Домени вже підтверджено.

  • Домени заявлено та ввімкнено. Ця функція гарантує, що користувачів із вашого домену буде створено й оновлено один раз щоразу, коли вони автентифікуються у вашого IdP.

  • Якщо DirSync або AzureAD увімкнено, то створення або оновлення SAML JIT не працюватиме.

  • Параметр "Блокувати оновлення профілю користувача" ввімкнено. Зіставлення оновлень SAML дозволено, оскільки ця конфігурація контролює можливість користувача змінювати атрибути. Керовані адміністратором методи створення й оновлення все ще підтримуються.


 

Щойно створені користувачі не отримають автоматично призначені ліцензії, якщо організація не має ліцензії шаблон автоматичної ліцензії налаштувати.

Підготовка користувачів для підготовки груп SAML JIT обмежена лише однією групою.

Налаштуйте зіставлення Just-in-Time (JIT) і SAML

1.

Увійдіть в Control Hub.

2.

Перейти до Керування > Налаштування організації , перейдіть до Єдиний вхід і клацніть Керуйте SSO та IdP .

3.

Перейдіть до Постачальник ідентифікаційних даних вкладка.

4.

Перейдіть до IdP і клацніть.

5.

Виберіть Змініть зіставлення SAML .

6.

Налаштувати Налаштування вчасно (JIT). .

  • Створити або активувати користувача: Якщо активних користувачів не знайдено, Webex Identity створить користувача та оновить атрибути після того, як користувач пройде автентифікацію за допомогою IdP.
  • Оновіть атрибути SAML в даних про клієнта: якщо буде знайдено користувача з адресою електронної пошти, Webex Identity оновить користувача за допомогою атрибутів, зіставлених у твердженні SAML.
Підтвердьте, що користувачі можуть входити за допомогою іншої невизначеної адреси електронної пошти.
7.

Налаштувати Обов’язкові атрибути зіставлення SAML .

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім’я користувача / основна адреса електронної пошти

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

8

Налаштуйте Атрибути прив’язки .

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, зокрема електронну пошту користувача.
Таблиця 2. Атрибути прив’язки

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

externalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

номер співробітника

Приклад: user.employeeid

Номер співробітника користувача або ідентифікаційний номер у його системі персоналу. Зауважте, що це не для externalid, оскільки їх можна використовувати повторно або переробляти employeenumber для інших користувачів.

Атрибут розширення 1

Приклад: атрибут user.extensionattribute1

Зіставте ці користувацькі атрибути з розширеними атрибутами в Active Directory, Azure або у вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: атрибут user.extensionattribute2

Атрибут розширення 3

Приклад: атрибут user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: атрибут user.extension5

9

Налаштувати Атрибути профілю .

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

externalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

номер співробітника

Приклад: user.employeeid

Номер співробітника цього користувача або ідентифікаційний номер у його системі персоналу. Зауважте, що це не для "externalid", оскільки ви можете повторно використовувати або переробити "employeenumber" для інших користувачів.

preferredLanguage

Приклад: user.preferredlanguage

Основна мова користувача.

локаль

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

displayName

Приклад: user.displayname

Відображуване ім’я користувача у Webex.

name.givenName

Приклад: user.givenname

Ім’я користувача.

name.familyName

Приклад: користувач.прізвище

Прізвище користувача.

адреси.вулицяАдреса

Приклад: адресавулиці користувача

Адреса, вулиця його основного місця роботи.

адреси.стан

Приклад: стан користувача

Стан їхнього основного місця роботи.

адреси.регіон

Приклад: user.region

Регіон його основного місця роботи.

адреси.поштовийКод

Приклад: поштовий індекс користувача

Поштовий код його основного місця роботи.

адреси.країна

Приклад: країна користувача

Країна його основного місця роботи.

номери телефону.робота

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

номери телефону.додатковий номер

Приклад: номер мобільного телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

займенник

Приклад: користувач.займенник

Займенники користувача. Це необов’язковий атрибут, і користувач або адміністратор може зробити його видимим у своєму профілі.

заголовок

Приклад: user.jobtitle

Назва посади користувача.

відділу

Приклад: користувач.відділ

Робочий відділ або команда користувача.

займенник

Приклад: користувач.займенник

Це займенник користувача. Видимість цього атрибута контролюється адміністратором і користувачем

керівник

Приклад: керівник

Менеджер користувача або керівник його команди.

центр витрат

Приклад: місце виникнення витрат

Це прізвище користувача, також відоме як прізвище або прізвище

email.alternate1

Приклад: user.mailnickname

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate2

Приклад: user.primaryauthoritativemail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate3

Приклад: user.alternativeauthoritativemail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate4

Приклад: user.othermail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate5

Приклад: user.othermail

Альтернативна адреса електронної пошти користувача. Якщо ви хочете, щоб користувач міг увійти за допомогою нього, зіставте його з uid.
10

Налаштувати Атрибути розширення .

Зіставте ці атрибути з розширеними атрибутами в Active Directory, Azure або у вашому каталозі для кодів відстеження.
Таблиця 4. Атрибути розширення

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Атрибут розширення 1

Приклад: атрибут user.extensionattribute1

Атрибут розширення 2

Приклад: атрибут user.extensionattribute2

Атрибут розширення 3

Приклад: атрибут user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionattribute4

Атрибут розширення 5

Приклад: атрибут user.extension5

Атрибут розширення 6

Приклад: атрибут user.extensionattribute6

Атрибут розширення 7

Приклад: атрибут user.extension7

Атрибут розширення 8

Приклад: атрибут user.extension8

Атрибут розширення 9

Приклад: атрибут user.extensionattribute9

Атрибут розширення 10

Приклад: атрибут user.extensionattribute10

11

Налаштувати Атрибути групи .

  1. Створіть групу в Control Hub і запишіть ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувачів або IdP і налаштуйте атрибут для користувачів, яким буде призначено ідентифікатор групи Webex.
  3. Оновіть конфігурацію IdP, щоб включити заявку, яка містить це ім’я атрибута разом із ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx ). Ви також можете використовувати зовнішній ідентифікатор для керування змінами імен груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Azure AD або впровадження синхронізації групи SCIM.
  4. Укажіть точне ім’я атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Використовується для додавання користувача до групи.
  5. Укажіть точне ім’я зовнішнього ідентифікатора об’єкта групи, якщо ви використовуєте групу з вашого каталогу для надсилання учасників у твердженні SAML.

 

Якщо користувач A пов’язаний із groupID 1234 та користувач B з groupID 4567, їх призначено до окремих груп. Цей сценарій вказує, що один атрибут дозволяє користувачам пов’язувати кілька ідентифікаторів груп. Хоча це нечасто, але це можливо, і його можна розглядати як додаткову зміну. Наприклад, якщо користувач A спочатку входить до системи за допомогою groupID 1234, вони стають членом відповідної групи. Якщо користувач A пізніше ввійде в систему за допомогою groupID 4567, їх також додано до цієї другої групи.

Підготовка JIT SAML не підтримує видалення користувачів із груп або будь-яке видалення користувачів.

Таблиця 5. Атрибути групи

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ідентифікатор групи

Приклад: ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

зовнішній ідентифікатор групи

Приклад: зовнішній ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів тверджень SAML для Webex Meetings дивhttps://help.webex.com/article/WBX67566 .