跨域身份管理系统 (SCIM)

目录用户与 Control Hub 的集成使用跨域身份管理系统 (SCIM) API。 SCIM 是一个开放标准,用于自动在标识域或 IT 系统之间交换用户标识信息。 SCIM 的设计目的是简化在基于云的应用程序和服务中管理用户身份的过程。 SCIM 通过 REST 使用标准化的 API。

在为使用 Azure AD 的自动用户预配置配置 Webex Control Hub 之前, 您需要将 Cisco Webex 从 Azure AD 应用程序库添加到受管应用程序列表中。


如果您已经将 Webex Control Hub 与 Azure 集成以实现单点登录 (SSO),那么 Cisco Webex 已经添加到您的企业应用程序中,您可以跳过此过程。

1

使用您的管理员证书登录到 Azure 门户https://portal.azure.com

2

转至组织的 Azure Active Directory

3

转至企业应用程序,然后单击添加

4

单击“从库中添加应用程序”。

5

在搜索框中,键入 Cisco Webex

6

在结果面板中选择 Cisco Webex,然后单击添加以添加该应用程序。

此时将显示一条消息:该应用程序已成功添加。

在此过程中,您可以选择要同步到 Webex 云的用户。

Azure AD 使用称为“分配”的概念来确定哪些用户应该获得对所选应用程序的访问权。 在自动用户预配置的背景下,只有“分配”到 Azure AD 中应用程序的用户和/或组才会同步到 Control Hub。

如果您是首次配置集成,我们建议您先分配一个用户进行测试,然后在测试成功后添加其他用户和组。

1

在 Azure 门户中打开 Cisco Webex 应用程序,然后转至用户和组

2

单击添加分配

3

查找要添加到应用程序中的用户/组:

  • 查找要分配给应用程序的单个用户。
  • 查找要分配给应用程序的一组用户。
4

单击选择,然后单击分配

重复这些步骤,直到将所有需要的组和用户同步到 Webex。

使用此过程从 Azure AD 设置预配置并获取组织的持有者令牌。 这些步骤涵盖了必要和推荐的管理设置。

准备工作

从 Control Hub 中的客户视图获取您的组织标识: 单击左下角的组织名称,然后从 组织标识将值复制到文本文件中。 当您输入租户 URL 时,将需要此值。 我们将使用此值作为示例:a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

登录 Azure 门户,然后转至 Azure Active Directory > Enterprise 应用程序 > 所有应用程序

2

从企业应用程序列表中选择 Cisco Webex

3

转至预配置,然后将预配置模式更改为自动

创建 Webex 应用程序时,在 Azure AD 用户属性和 Webex 用户属性之间会使用一些缺省映射。 这些属性足以创建用户,但您可以如下文中所述添加更多属性。

4

输入以下格式的租户 URL

https://api.ciscospark.com/v1/scim/{OrgId}

替换 {OrgId} 为您从 Control Hub 获取的组织标识值,以使租户 URL 显示如下: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

按照以下步骤获取机密令牌的持有者令牌值:

  1. 复制以下 URL 并在匿名浏览器标签页中运行: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    必须使用匿名浏览器,以确保使用正确的管理员凭证登录。 如果您已经以较低权限的用户身份登录,则您返回的持有者令牌可能无权创建用户。

  2. 在出现的 Webex 登录页面中,使用组织的完全权限管理员帐户登录。

    会出现错误页面,说明无法联系到站点,但这是正常的。

    生成的持有者令牌包含在错误页的 URL 中。 此令牌的有效期为 365 天(之后将过期)。

  3. 从浏览器地址栏的 URL 中复制持有者令牌值,该令牌值从 access_token=&token_type=Bearer

    例如,此 URL 突出显示了令牌值: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    我们建议您将此值粘贴到文本文件中并保存,以确保在 URL 不可用的情况下您有令牌的记录。

6

返回到 Azure 门户并将令牌值粘贴到机密令牌中。

7

单击测试连接以确保 Azure AD 可识别组织和令牌。

成功的结果表明凭证获得授权,可启用用户预配置。

8

输入通知电子邮件并选中相应的框,以在出现预配置错误时收到电子邮件。

9

单击保存

您已成功授权 Azure AD 预配置/同步 Webex 用户。

下一步

  • 如果只想将部分 Azure AD 用户同步到 Webex,请阅读将用户组添加到 Azure AD 中的应用程序

  • 如果要在同步用户之前将其他 Azure AD 用户属性映射到 Webex 属性,请阅读将用户属性从 Azure 映射到 Webex

  • 完成这些步骤后,您可以启用从 Azure AD 到 Webex 的自动预配置

按照此过程将其他用户属性从 Azure 映射到 Webex,或更改现有用户属性映射。

准备工作

您已将 Cisco Webex 应用程序添加并配置到 Azure Active Directory,并已测试连接。

您可以在开始同步用户之前或之后修改用户属性映射。

1

登录 Azure 门户,然后转至 Azure Active Directory > Enterprise 应用程序 > 所有应用程序

2

打开 Cisco Webex 应用程序。

3

选择预配置页面,然后打开该页中的映射控件。

4

单击将 Azure Active Directory 用户同步到 Cisco Webex

此时将打开新的部分。

5

选中显示高级选项复选框,然后单击编辑 CiscoWebEx 属性列表

在打开的控件中,您可以选择从 Azure 用户属性填充哪些 Webex 属性。 稍后将在此过程中显示属性和映射。

6

选择 Webex 属性后,单击保存,然后单击进行确认。

将打开“属性映射”页面,这样您就可以将 Azure AD 用户属性映射到选择的 Webex 用户属性。

7

在页面底部附近单击添加新映射

8

选择直接映射。 选择源属性(Azure 属性)和目标属性(Webex 属性),然后单击确定

表 1. Azure 到 Webex 的映射

Azure Active Directory 属性(源)

Cisco Webex 属性(目标)

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

objectId

externalId

9

重复前两步,直到已添加或修改所有需要的映射,然后单击保存以确认新映射。


 

我们建议您不要更改缺省属性映射。 一个重要的映射是从 Azure AD 中的 userPrincipalName (UPN) 到 Control Hub 中的电子邮件地址 (username)。 如果要重新开始,可以恢复缺省映射

如果 userPrincipalName 不是 Control Hub 中的电子邮件,用户将被预配置为新用户,而不会与 Control Hub 中的现有用户进行匹配。 如果要使用 Azure 电子邮件地址而不使用 UPN,那么必须将 Azure AD 中的缺省映射从 userPrincipalName 更改为 Email

映射完成后,Webex 用户将在下次同步时创建或更新。

准备工作

您已经:

  • 添加 Cisco Webex 应用程序

  • 授权 Azure 自动创建 Webex 用户并已测试连接

  • (可选)将特定用户和组分配到 Webex 应用程序

  • (可选)将(其他非缺省)Azure 属性映射到 Webex 属性

1

在 Azure 门户中打开 Cisco Webex 应用程序,然后转至预配置页面。

2

如果已将特定用户或组分配给应用程序,请将预配置范围设置为仅同步已分配的用户和组

如果选择该选项,但尚未分配用户和组,则必须按照将组/用户分配到 Azure AD 中的应用程序然后才能切换预配置。

3

预配置状态切换为

该操作将启动从 Azure AD 自动预配置/同步 Webex 用户。 该操作最多可能需要 40 分钟。

如果您在进行测试并需要减少等待时间,可使用随需预配置。 请参阅 https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand

另一个选项是重新开始预配置: 将预配置状态切换为保存,然后重新切换为,再次保存。 这将强制进行新的同步。


 

我们强烈建议不要使用清除当前状态并重新开始同步选项。

4

登录到 https://admin.webex.com,转至用户,然后检查 Azure Active Directory 用户帐户。

由于此同步操作是通过 API 进行的,因此 Control Hub 中没有状态指示。 您可以查看 Azure 门户中的日志,了解用户同步状态。


 

要获取与 Azure AD 用户同步相关的任何更改记录,并剔出所有潜在问题,请访问审核日志: 在活动下,单击审核日志。 此视图显示每个日志,您可以针对特定类别过滤,例如服务过滤器的帐户预配置和类别过滤器的用户管理

您可以从 Azure AD 中删除用户分配。 这将保留 Azure AD 用户帐户,但会使这些帐户无法访问 Webex 组织中的应用程序和服务。

删除用户分配时,Webex 会将用户标记为非活动

1

在 Azure 门户中,转至 企业应用程序,然后选择您添加的 Webex 应用程序。

2

从分配给应用程序的用户列表中选择用户或用户组。

3

单击删除,然后单击确认删除。

在下一次同步事件中,系统将从 Webex 应用程序删除用户或用户组。

1

转至用户,选中您要删除的每个用户帐户旁边的复选框,然后单击删除用户

用户将被移至已删除的用户标签页。

在 Control Hub 中,用户将被转入“软删除”状态,但不会立即被删除。 还会对这些用户进行重命名。 Azure AD 将这些更改发送到 Webex 云。 随后,Control Hub 会反映出此更改并将用户标记为非活动状态。 将撤销该用户的所有令牌。

2

要验证关于用户删除操作的任何记录,请转至审核日志,然后针对用户管理类别或删除用户活动运行搜索。


 

当您打开已删除的用户审核日志并单击目标时,将会看到用户主体名称中的 @ 前面有一个包含数字和字符的字符串。

如果您要在 Control Hub 中执行任何 eDiscovery 操作,则必须从 Azure AD 中的审核日志获取用户主体名称。 有关 eDiscovery 的更多信息,请参阅确保 Webex 应用程序和 Webex Meetings 内容的监管合规性

下一步

在被永久删除之前,有 30 天时间可供您恢复“软”删除的用户。 如果在 Azure AD 中恢复用户,Control Hub 会重新激活该用户,并将该用户重命名为原始电子邮件/UPN 地址。

如果不恢复用户,Azure AD 将执行硬删除。 Webex 组织将删除该用户,您在 Control Hub 中不会再看到该用户。 如果您稍后向 Azure AD 重新添加电子邮件地址,Webex 将为用户创建一个全新的帐户。