跨域身份管理系统 (SCIM)

目录用户与 Control Hub 的集成使用跨域身份管理系统 ( SCIM) API。SCIM 是一个开放标准,用于自动在标识域或 IT 系统之间交换用户标识信息。SCIM 的设计目的是简化在基于云的应用程序和服务中管理用户身份的过程。SCIM 通过 REST 使用标准化的 API。

Entra ID不会同步空值。如果您将属性值设置为 NULL,将不会删除或修补值为空值Webex。如果此限制影响您的用户,请联系 Microsoft 联系支持人员。

进入ID (Azure AD)向导应用程序

使用Control Hub中的Entra ID (Azure AD)向导应用程序简化用户和组与Webex的同步。向导应用程序允许您轻松配置要同步的属性、用户和组,并决定是否将用户的头像同步到Webex。请参阅在Control Hub中设置Entra ID (Azure AD)向导应用程序 以了解有关使用向导的益处的更多信息。

从 Azure 应用程序库添加 Cisco Webex

在配置Control Hub以使用Entra ID自动用户配置之前,您需要将Webex从Entra ID应用程序库添加到托管应用程序列表。

如果您已将 Webex Control Hub与Entra ID for Single Sign-on (SSO) 集成,则Cisco Webex已添加到您的企业应用程序,您可以跳过此程序。

1

使用您的管理员证书登录到 Azure 门户https://portal.azure.com

2

转至您所在组织的 Entra ID

3

转至企业应用程序,然后单击添加

4

单击“从库中添加应用程序”。

5

在搜索框中,键入 Cisco Webex

6

在结果面板中选择 Cisco Webex,然后单击添加以添加该应用程序。

突出显示Cisco Webex应用程序的“添加应用程序屏幕”示例。

此时将显示一条消息:该应用程序已成功添加。

7

为了确保您添加的用于同步的 Webex 应用程序并未在用户门户中显示,请打开新应用程序,转至属性,将对用户可见?设置为

属性页面的屏幕,突出显示用户可见的切换位置。可以在屏幕底部找到,就在“注释”字段的上方。
在Entra ID中向应用程序分配组/用户

在此过程中,您可以选择要同步到 Webex 云的用户。

Entra ID使用称为“分配”的概念来确定哪些用户应该获得对所选应用程序的访问权限。在自动用户配置中,只有Entra ID中“分配”给应用程序的用户和/或用户组与Control Hub同步。

使用 Control Hub中的Entra ID (Azure AD)向导应用程序 与Entra ID组中的两个用户和单个组对象同步。Webex无法在Entra ID (Azure AD)向导应用程序之外同步单个组。

如果您是首次配置集成,我们建议您先分配一个用户进行测试,然后在测试成功后添加其他用户和组。

1

在Entra ID门户中打开Webex应用程序,然后转至用户和组

2

单击添加分配

3

查找要添加到应用程序中的用户/组:

  • 查找要分配给应用程序的单个用户。
  • 查找要分配给应用程序的一组用户。
4

单击选择,然后单击分配

重复这些步骤,直到将所有需要的组和用户同步到 Webex。

授权Entra ID与您的Control Hub组织同步用户

使用此程序从Entra ID设置预配置,并为您的组织获取持有令牌。这些步骤涵盖了必要和推荐的管理设置。

如果您的组织强制要求所有用户都必须拥有已验证域,则未来的同步不允许为未验证域创建用户。大多数Webex需要经过验证的域。

准备工作

从 Control Hub 中的客户视图获取您的组织标识。单击左下角的组织名称,然后将组织 标识 复制到文本文件中。当您输入租户 URL 时需要此值。我们将此值用作本文中的示例:a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

登录 Azure门户 ,然后转至 > 企业应用程序 > 所有应用程序

2

从企业应用程序列表中选择 Cisco Webex

3

转至预配置,然后将预配置模式更改为自动

Cisco Webex配置屏幕在Entra ID中。单击“配置模式”下拉菜单以选择“自动”。

Webex应用程序包括Entra ID用户属性和Webex用户属性之间的某些缺省映射。这些属性足以创建用户,但您可以如下文中所述添加更多属性。

4

输入租户 URL

下表显示您的 Webex 产品的 URL。将 OrgId 替换为您的特定值。

表1。 Webex 的租户 URL
Webex 产品要使用的租户 URL
Webex(缺省值) https://api.ciscospark.com/v1/scim/OrgId
Webex申请 https://api-usgov.webex.com/v1/scim/OrgId

例如,您的租户 URL 可能如下所示:https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

按照以下步骤获取机密令牌的持有者令牌值:

  1. 复制以下URL,然后在Incognito浏览器标签页中运行: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    上述 URL 适用于缺省 Webex ID 代理。如果您正将令牌Webex,请使用以下 URL 获取不记名令牌:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    必须使用匿名浏览器,以确保使用正确的管理员凭证登录。如果您已经以权限较低、无法创建用户的用户登录,您返回的不记名令牌将无法创建用户。

  2. 在出现的 Webex 登录页面中,使用组织的完全权限管理员帐户登录。

    会出现错误页面,说明无法联系到站点,但这是正常的。

    错误页面的 URL 包含生成的不记名令牌。此令牌的有效期为 365 天(之后将过期)。

    突出显示生成的持有者令牌的错误页面URL示例。复制在“access_token=”和“&token_type=Bearer”之间找到的持有人令牌值。

  3. 从浏览器地址栏中的URL,从 access_token=&token_type=Bearer 之间复制持有者令牌值。

    例如,此 URL 突出显示了令牌值:http://localhost:3000/auth/code#access_token={}sample_token&token_type=不记名&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose。

    我们建议您将此值保存为令牌的记录,以防 URL 不可用。

6

返回到 Azure 门户并将令牌值粘贴到机密令牌中。

7

单击测试连接 以确保Entra ID识别组织和令牌。

成功的结果表明凭证获得授权,可启用用户预配置。

8

输入通知电子邮件并选中相应的框,以在出现预配置错误时收到电子邮件。

9

单击保存

此时,您已成功授权Entra ID提供和同步Webex用户,并完成了设置同步的步骤。

下一步

如果要将更多Entra ID用户属性映射到Webex属性,请继续到下一部分。

有关对同步组织进行更改的信息,请参阅管理同步的Entra ID用户 帮助文章。

将用户属性从Entra ID映射到Webex

按照此步骤将其他用户属性从Entra ID映射到Webex,或更改现有的用户属性映射。

Enter ID到Webex映射不会同步每个用户详细信息。用户数据的某些方面没有同步:

  • 头像

  • 聊天室

  • 下表中未列出的属性

除非绝对必要,否则我们建议您不要更改缺省属性映射。映射为用户名的值尤为重要。Webex 使用用户的电子邮件地址作为其用户名。在默认情况下,我们将 Azure AD 中的 userPrincipalName (UPN) 映射到 Control Hub 中的电子邮件地址 (username)。

如果 userPrincipalName 未映射到 Control Hub 中的电子邮件,则将用户作为新用户预配置 Control Hub,而非匹配现有用户。如果您想使用电子邮件地址格式的其他Azure用户属性而不是UPN,您必须将Entra ID中的默认映射从 userPrincipalName 更改为适当的Entra ID用户属性。

开始之前

您已将Cisco Webex应用程序添加到您的Entra ID中,并测试了连接。

您可以在开始同步用户之前或之后修改用户属性映射。

1

登录 Azure门户 ,然后转至企业应用程序>所有应用程序

2

打开 Cisco Webex 应用程序。

3

选择预配页面,展开映射部分,然后单击预配 Azure Active Directory 用户

预配置页面的屏幕,突出显示“映射”标签页的位置。映射选项卡可直接在Provisioning页面顶部的Admin Credentials选项卡下找到。

4

选中显示高级选项复选框,然后单击编辑 CiscoWebEx 属性列表

单击“设置Azure Active Directory用户”页面上的“显示高级选项”时出现的选项的图像。
5

选择要从Entra ID用户属性填充的Webex属性。稍后将在此过程中显示属性和映射。

属性列表的图像。该列表包括属性名称和类型,除了允许您选择属性是主要密钥还是必填项。
6

选择 Webex 属性后,单击保存,然后单击进行确认。

属性映射页面会打开,因此您可以将Entra ID用户属性映射到您选择的Webex用户属性。

7

在页面底部附近单击添加新映射

8

选择直接映射。选择源属性(Azure 属性)和目标属性(Webex 属性),然后单击确定

关于新映射属性应该如何看法的示例。在“映射”类型下,选择“直接”。需要源属性和目标属性。

表2。 输入Webex映射ID

输入ID属性(源)

Webex 用户属性(目标)

默认填充属性

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

objectId

externalId

其他可用属性

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

重复前两步,直到已添加或修改所有需要的映射,然后单击保存以确认新映射。

如果要重新开始,可以恢复缺省映射

映射完成后,Webex 用户将在下次同步时创建或更新。