Змінення автентифікації єдиного входу в Центрі керування

Перш ніж почати

Забезпечити виконання наступних передумов:

  • ДСО вже налаштовано. Інформацію про використання майстра конфігурації SSO див. в розділі «Налаштування SSO» тут: https://help.webex.com/article/lfu88u/.

  • Домени вже перевірені.

  • Домени зарезервовані та ввімкнені. Ця функція гарантує, що користувачі з вашого домену створюються й оновлюються один раз під час автентифікації за допомогою IdP.

  • Якщо DirSync або AzureAD увімкнено, створення або оновлення JIT SAML не працюватиме.

  • "Блокувати оновлення профілю користувача" включено. Saml Update Mapping дозволено, оскільки ця конфігурація контролює можливість користувача редагувати атрибути. Контрольовані адміністратором методи створення та оновлення як і раніше підтримуються.

Новостворені користувачі не отримають автоматично призначені ліцензії, якщо в організації не настроєно автоматичний шаблон ліцензії.

Підготовка користувачів для підготовки груп SAML JIT обмежена лише однією групою.

1

Увійдіть у Центркерування.

2

Перейдіть до розділу Керування > Налаштування організації, прокрутіть до Єдиний вхід і клацніть Керування SSO й IdP.

3

Перейдіть на вкладку Постачальник посвідчень .

4

Перейдіть до IdP і клацніть Додаткове меню.

5

Виберіть Змінити зіставлення SAML.

6

Налаштуйте параметри функції «Вчасно» (JIT).

  • Створити або активувати користувача: Якщо активного користувача не знайдено, служба Webex Identity створить користувача й оновіть атрибути після автентифікації за допомогою IdP.
  • Оновлення користувача атрибутами SAML: якщо користувач з адресою електронної пошти знайдений, то Webex Identity оновлює користувача атрибутами, зіставленими в SAML Assertion.
Підтвердьте, що користувачі можуть ввійти за допомогою іншої невідомої адреси електронної пошти.

7

Налаштуйте обов’язкові атрибути зіставлення SAML.

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім'я користувача / Основна адреса електронної пошти

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

8

Налаштуйте атрибути зв’язування.

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, зокрема адресу електронної пошти користувача.
Таблиця 2. Атрибути прив’язки

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Номер працівника користувача або ідентифікаційний номер у його кадровій системі. Зауважте, що це не стосується зовнішніх користувачів, оскільки ви можете повторно використовувати або повторно використовувати номер співробітника для інших користувачів.

Атрибут розширення 1

Приклад: user.extensionattribute1

Зіставте ці користувацькі атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

9

Налаштуйте атрибути профілю.

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Це номер співробітника користувача або ідентифікаційний номер у їхній hr-системі. Зауважте, що це не для параметра "externalid", оскільки ви можете повторно використовувати або повторно використовувати "номер працівника" для інших користувачів.

бажанамовленість

Приклад: user.preferredlanguage

Основна мова користувача.

Локалі

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

ім'я дисплея

Приклад: ім'я_користувача

Відображуване ім’я користувача у Webex.

ім'я.givenНайменування

Приклад: ім'я користувача.given

Ім’я користувача.

ім'я.прізвищеНайменування

Приклад: користувач.прізвище

Прізвище користувача.

адреси.streetAddress

Приклад: user.streetaddress

Адреса, вулиця його основного місця роботи.

адреси.держава

Приклад: користувач.держава

Стан їх основного місця роботи.

адреси.регіон

Приклад: користувач.регіон

Регіон його основного місця роботи.

адреси.поштовийкод

Приклад: user.postcode

Поштовий код його основного місця роботи.

адреси.країна

Приклад: користувач.країна

Країна його основного місця роботи.

phoneNumbers.work

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

phoneNumbers.extension

Приклад: номер мобільного телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

займенник

Приклад: користувач.займенник

Займенники користувача. Це необов'язковий атрибут, і користувач або адміністратор можуть зробити його видимим у своєму профілі.

заголовок

Приклад: user.jobtitle

Назва посади користувача.

міністерство

Приклад: user.department

Робочий відділ або команда користувача.

займенник

Приклад: користувач.займенник

Це займенник користувача. Видимість цього атрибута контролюється Адміністратором і користувачем

голова

Приклад: голова

Керує менеджер користувача або його команда.

центр витрат

Приклад: центр витрат

Це прізвище користувача, також відоме як прізвище або прізвище

електронна пошта.додаткова1

Приклад: ім'я_користувача.mailnick

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова2

Приклад: user.primaryauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate3

Приклад: user.alternativeauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate4

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова5

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.
10

Налаштуйте атрибути додаткового номера.

Зіставте ці атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для відстеження кодів.
Таблиця 4. Атрибути розширення

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Атрибут розширення 1

Приклад: user.extensionattribute1

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

Атрибут розширення 6

Приклад: user.extensionattribute6

Атрибут розширення 7

Приклад: user.extensionattribute7

Атрибут розширення 8

Приклад: user.extensionattribute8

Атрибут розширення 9

Приклад: user.extensionattribute9

Атрибут розширення 10

Приклад: user.extensionattribute10

11

Налаштуйте атрибути групи.

  1. Створіть групу в Control Hub і зверніть увагу на ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувача або IdP і налаштуйте атрибут для користувачів, яких буде призначено ідентифікатору групи Webex.
  3. Оновіть конфігурацію свого IdP, щоб включити запит, який носить це ім’я атрибута разом з ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx). Зовнішній ідентифікатор також можна використовувати для керування змінами в іменах груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Azure AD або реалізація синхронізації групи SCIM.
  4. Укажіть точне ім’я атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Цей параметр використовується для додавання користувача до групи.
  5. Укажіть точне ім’я зовнішнього ідентифікатора об’єкта групи, якщо ви використовуєте групу зі свого каталогу, щоб надсилати учасників у твердженні SAML.

Якщо користувач A пов’язаний з groupID 1234, а користувач B — з groupID 4567, їх призначено окремим групам. Цей сценарій вказує, що один атрибут дозволяє користувачам асоціювати з кількома ідентифікаторами групи. Хоча це незвично, це можливо і можна розглядати як адитивну зміну. Наприклад, якщо користувач А спочатку ввійшов до системи за допомогою groupID 1234, він стає учасником відповідної групи. Якщо користувач А пізніше ввійде на використання groupID 4567, він також буде доданий до цієї другої групи.

Підготовка JIT SAML не підтримує видалення користувачів із груп або видалення користувачів.

Таблиця 5. Групові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ідентифікаторГрупи

Приклад: ідентифікаторГрупи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

групозовнішнійІдентифікаторКористувача

Приклад: групозовнішнійІдентифікаторКористувача

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів твердження SAML для Webex Meetings див https://help.webex.com/article/WBX67566.