Змінення автентифікації єдиного входу в Центрі керування

Перш ніж почати

Забезпечити виконання наступних передумов:

  • ДСО вже налаштовано. Щоб отримати інформацію про використання майстра налаштування єдиного входу, див. Інтеграція єдиного входу в Control Hub.

  • Домени вже перевірені.

  • Домени заявлені та активовані. Ця функція гарантує, що користувачі з вашого домену будуть створені та оновлені щоразу, коли вони пройдуть автентифікацію у вашого постачальника ідентифікаційних даних.

  • Якщо ввімкнено DirSync або Entra ID, створення або оновлення SAML JIT не працюватиме.

  • "Блокувати оновлення профілю користувача" включено. Saml Update Mapping дозволено, оскільки ця конфігурація контролює можливість користувача редагувати атрибути. Контрольовані адміністратором методи створення та оновлення як і раніше підтримуються.

Новостворені користувачі не отримають автоматично призначені ліцензії, якщо в організації не настроєно автоматичний шаблон ліцензії.

Надання користувачам можливостей для JIT-підготовки груп за допомогою SAML обмежене лише однією групою.

Налаштування зіставлення Just-in-Time (JIT) та SAML
1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних і натисніть Додаткове меню.

5

Виберіть Редагувати зіставлення SAML.

6

Налаштуйте параметри Just-in-Time (JIT).

  • Створити або активувати користувача: Якщо активного користувача не знайдено, Webex Identity створює користувача та оновлює атрибути після того, як користувач пройде автентифікацію за допомогою постачальника ідентифікаційних даних.
  • Оновлення користувача атрибутами SAML: якщо користувач з адресою електронної пошти знайдений, то Webex Identity оновлює користувача атрибутами, зіставленими в SAML Assertion.
Підтвердіть, що користувачі можуть входити, використовуючи іншу, неідентифіковану адресу електронної пошти.

7

Налаштуйте необхідні атрибути зіставлення SAML.

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім'я користувача / Основна адреса електронної пошти

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

8

Налаштуйте атрибути зв'язування.

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, включаючи електронну пошту користувача.
Таблиця 2. Зв'язування атрибутів

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

Атрибут розширення 1

Приклад: user.extensionattribute1

Зіставте ці користувацькі атрибути з розширеними атрибутами в Entra ID або вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

9

Налаштувати атрибути профілю.

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

бажанамовленість

Приклад: user.preferredlanguage

Основна мова користувача.

Локалі

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

ім'я дисплея

Приклад: ім'я_користувача

Відображуване ім’я користувача у Webex.

ім'я.givenНайменування

Приклад: ім'я користувача.given

Ім’я користувача.

ім'я.прізвищеНайменування

Приклад: користувач.прізвище

Прізвище користувача.

адреси.streetAddress

Приклад: user.streetaddress

Адреса, вулиця його основного місця роботи.

адреси.населений пункт

Приклад: користувач.населений пунктНаселений пункт його основного місця роботи.

адреси.регіон

Приклад: користувач.регіон

Регіон його основного місця роботи.

адреси.поштовийкод

Приклад: user.postcode

Поштовий код його основного місця роботи.

адреси.країна

Приклад: користувач.країна

Країна його основного місця роботи.

phoneNumbers.work

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

phoneNumbers.extension

Приклад: додатковий номер телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

Номери телефонів.мобільний

Приклад: номер мобільного телефонуНомер мобільного телефона його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

заголовок

Приклад: user.jobtitle

Назва посади користувача.

міністерство

Приклад: user.department

Робочий відділ або команда користувача.

електронні листи.роботаПриклад: робочі електронні листиРобочі електронні пошти користувача.
організаціяПриклад: user.organicІдентифікатор організації користувача
10

Налаштувати атрибути групи.

  1. Створіть групу в Центрі керування та запишіть ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувачів або постачальника ідентифікаційних даних і налаштуйте атрибут для користувачів, яким буде призначено ідентифікатор групи Webex.
  3. Оновіть конфігурацію вашого постачальника ідентифікаційних даних, щоб включити твердження, яке містить цю назву атрибута разом з ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx). Ви також можете використовувати зовнішній ідентифікатор для керування змінами в іменах груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Entra ID або реалізація синхронізації групи SCIM.
  4. Вкажіть точну назву атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Це використовується для додавання користувача до групи.
  5. Вкажіть точну назву зовнішнього ідентифікатора об'єкта групи, якщо ви використовуєте групу зі свого каталогу для надсилання учасників у твердженні SAML.

Якщо користувач A пов'язаний з groupID 1234, а користувач B з groupID 4567, вони призначаються до окремих груп. Цей сценарій вказує на те, що один атрибут дозволяє користувачам пов’язуватися з кількома ідентифікаторами груп. Хоча це рідкість, це можливо і можна розглядати як адитивну зміну. Наприклад, якщо користувач А спочатку входить у систему, використовуючи groupID 1234, він стає членом відповідної групи. Якщо користувач А пізніше ввійде в систему, використовуючи groupID 4567, його також буде додано до цієї другої групи.

Підготовка SAML JIT не підтримує видалення користувачів з груп або будь-яке видалення користувачів.

Таблиця 4. Атрибути групи

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ідентифікатор групи

Приклад: Ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

зовнішній ідентифікатор групи

Приклад: зовнішній ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів твердження SAML для Webex Meetings див https://help.webex.com/article/WBX67566.