Змінити автентифікацію єдиного входу в Центр керування

Перш ніж почати

Переконайтеся, що виконуються наступні передумови:

  • SSO вже налаштовано. Для отримання інформації про використання майстра конфігурації SSO див. розділ "Налаштування SSO" тут: https://help.webex.com/article/lfu88u/.

  • Домени вже перевірено.

  • Домени заявлено та увімкнено. Ця функція гарантує, що користувачі з вашого домену створюються та оновлюються один раз кожного разу, коли вони автентифікуються з вашим IDP.

  • Якщо DirSync або AzureAD увімкнено, то створення або оновлення SAML JIT не працюватиме.

  • "Блокувати оновлення профілю користувача" увімкнено. SAML Update Mapping дозволено, оскільки ця конфігурація контролює здатність користувача редагувати атрибути. Адмін-контрольовані методи створення та оновлення все ще підтримуються.


 

Нещодавно створені користувачі автоматично не отримуватимуть призначені ліцензії, якщо в організації не налаштовано автоматичний шаблон ліцензії.

Підготовка користувачів для підготовки груп SAML JIT обмежена лише однією групою.

Налаштуйте зіставлення Just-in-Time (JIT) і SAML

1.

У вікні клієнта https://admin.webex.comперейдіть до Керування > Налаштування організації, перейдіть до автентифікації та натисніть Керування SSO та IdP.

2.

Перейдіть на вкладку Постачальник ідентифікаційних даних.

3.

Перейдіть до IdP і клацніть.

4.

Виберіть Редагувати зіставлення SAML.

5.

Налаштувати Налаштування вчасно (JIT). .

  • Створити або активувати користувача: якщо активний користувач не знайдено, то Webex Identity створює користувача і оновлює атрибути після того, як користувач пройшов аутентифікацію за допомогою IDP.
  • Оновіть атрибути SAML в даних про клієнта: якщо знайдено користувача з адресою електронної пошти, Webex Identity оновлює користувача атрибутами, відображеними в SAML Assertion.
Підтвердьте, що користувачі можуть входити за допомогою іншої електронної адреси, яку не можна ідентифікувати.
6.

Налаштувати Обов’язкові атрибути зіставлення SAML .

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім 'я користувача / основна електронна адреса

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

7.

Налаштуйте Атрибути прив’язки .

Він повинен бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, включаючи електронну пошту для користувача.
Таблиця 2. Зв 'язування атрибутів

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

externalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

зайнятістьномер

Приклад: user.employeeid

Номер працівника користувача або ідентифікаційний номер у системі управління персоналом. Зверніть увагу, що це не для externalid, оскільки їх можна використовувати повторно або переробляти employeenumber для інших користувачів.

Атрибут розширення 1

Приклад: user.extensionattribute1

Відновіть ці користувацькі атрибути до розширених атрибутів у Active Directory, Azure або у вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

8

Налаштувати Атрибути профілю .

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

externalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

зайнятістьномер

Приклад: user.employeeid

Номер працівника цього користувача або ідентифікаційний номер у системі управління персоналом. Зверніть увагу, що це не для "externalid", тому що ви можете повторно використовувати або переробляти "Employeenumber" для інших користувачів.

preferredLanguage

Приклад: user.preferredlanguage

Основна мова користувача.

локаль

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

displayName

Приклад: user.displayname

Відображуване ім’я користувача у Webex.

name.givenName

Приклад: user.givenname

Ім’я користувача.

name.familyName

Приклад: user.surname

Прізвище користувача.

address.streetAddress

Приклад: user.streetaddress

Адреса, вулиця його основного місця роботи.

addresses.state

Приклад: user.state

Стан їх основного місця роботи.

address.region

Приклад: user.region

Регіон його основного місця роботи.

addresses.postalCode

Приклад: user.postalcode

Поштовий код його основного місця роботи.

address.country

Приклад: user.country

Країна його основного місця роботи.

phoneNumbers.work

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

phoneNumbers.extension

Приклад: номер мобільного телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

займенник

Приклад: user.pronoun

Займенники користувача. Це необов 'язковий атрибут, і користувач або адміністратор може зробити його видимим у своєму профілі.

назва

Приклад: user.jobtitle

Назва посади користувача.

відділ

Приклад: user.department

Робочий відділ або команда користувача.

займенник

Приклад: user.pronoun

Це займенник користувача. Видимість цього атрибута контролюється Адміністратором та користувачем

керівник

Приклад: керівник

Керівник користувача або керівник його команди.

costcenter

Приклад: центр витрат

Це прізвище користувача, також відоме як прізвище або прізвище

email.alternate1

Приклад: user.mailnickname

Альтернативна адреса електронної пошти для користувача. Якщо ви хочете, щоб користувач міг увійти, використовуючи його, позначте його в uid.

email.alternate2

Приклад: user.primaryauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо ви хочете, щоб користувач міг увійти, використовуючи його, позначте його в uid.

email.alternate3

Приклад: user.alternativeавторитетнийmail

Альтернативна адреса електронної пошти для користувача. Якщо ви хочете, щоб користувач міг увійти, використовуючи його, позначте його в uid.

email.alternate4

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо ви хочете, щоб користувач міг увійти, використовуючи його, позначте його в uid.

email.alternate5

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо ви хочете, щоб користувач міг увійти, використовуючи його, позначте його в uid.
9

Налаштувати Атрибути розширення .

Зв 'яжіть ці атрибути з розширеними атрибутами в Active Directory, Azure або у вашому каталозі для кодів відстеження.
Таблиця 4. Атрибути розширення

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Атрибут розширення 1

Приклад: user.extensionattribute1

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

Атрибут розширення 6

Приклад: user.extensionattribute6

Атрибут розширення 7

Приклад: user.extensionattribute7

Атрибут розширення 8

Приклад: user.extensionattribute8

Атрибут розширення 9

Приклад: user.extensionattribute9

Атрибут розширення 10

Приклад: user.extensionattribute10

10

Налаштувати Атрибути групи .

  1. Створіть групу в Control Hub і запишіть ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувачів або IdP і налаштуйте атрибут для користувачів, яким буде призначено ідентифікатор групи Webex.
  3. Оновіть конфігурацію IdP, щоб включити заявку, яка містить це ім’я атрибута разом із ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx ). Ви також можете використовувати зовнішній ідентифікатор для керування змінами імен груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Azure AD або впровадження синхронізації групи SCIM.
  4. Укажіть точне ім’я атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Використовується для додавання користувача до групи.
  5. Укажіть точне ім’я зовнішнього ідентифікатора об’єкта групи, якщо ви використовуєте групу з вашого каталогу для надсилання учасників у твердженні SAML.

 

Якщо користувач A пов’язаний із groupID 1234 та користувач B з groupID 4567, їх призначено до окремих груп. Цей сценарій вказує, що один атрибут дозволяє користувачам пов’язувати кілька ідентифікаторів груп. Хоча це нечасто, але це можливо, і його можна розглядати як додаткову зміну. Наприклад, якщо користувач A спочатку входить до системи за допомогою groupID 1234, вони стають членом відповідної групи. Якщо користувач A пізніше ввійде в систему за допомогою groupID 4567, їх також додано до цієї другої групи.

Підготовка JIT SAML не підтримує видалення користувачів із груп або будь-яке видалення користувачів.

Таблиця 5. Атрибути групи

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ідентифікатор групи

Приклад: ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

зовнішній ідентифікатор групи

Приклад: зовнішній ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів твердження SAML для зустрічей Webex див. у розділіhttps://help.webex.com/article/WBX67566.