跨域身份管理系统 (SCIM)

目录用户与 Control Hub 的集成使用跨域身份管理系统 ( SCIM) API。 SCIM 是一个开放标准,用于自动在标识域或 IT 系统之间交换用户标识信息。 SCIM 的设计目的是简化在基于云的应用程序和服务中管理用户身份的过程。 SCIM 通过 REST 使用标准化的 API。


 

Entra ID不同步null值。 如果将属性值设置为 NULL,则在 Webex 中不会将其删除或使用 NULL 值修补。 如果此限制影响您的用户,请联系 Microsoft 寻求支持。

Azure AD 向导应用程序

使用 Control Hub 中的 Azure AD 向导应用程序可简化用户和组与 Webex 的同步。 向导应用程序可让您轻松配置要同步的属性、用户和组,并决定是否将用户的头像同步到 Webex。 请参阅在 Control Hub 中设置 Azure AD 向导应用程序以了解有关使用向导的好处的更多信息。

在将Control Hub配置为使用Entra ID进行自动用户预配置之前,您需要将Webex从Entra ID应用程序库添加到托管应用程序列表中。


 

如果您已将Webex Control Hub与用于单点登录(SSO) Entra ID,则Cisco Webex已添加到您的企业应用程序中,您可以跳过此过程。

1

使用您的管理员证书登录到 Azure 门户https://portal.azure.com

2

转至贵组织的Entra ID

3

转至企业应用程序,然后单击添加

4

单击“从库中添加应用程序”。

5

在搜索框中,键入 Cisco Webex

6

在结果面板中选择 Cisco Webex,然后单击添加以添加该应用程序。

此时将显示一条消息:该应用程序已成功添加。

7

为了确保您添加的用于同步的 Webex 应用程序并未在用户门户中显示,请打开新应用程序,转至属性,将对用户可见?设置为

在此过程中,您可以选择要同步到 Webex 云的用户。

Entra ID使用一个称为“分配”的概念来确定哪些用户应该获得对所选应用程序的访问权限。 在自动用户预配置的背景下,只有在Entra ID中“分配”到应用程序的用户和/或用户组会同步到Control Hub。


 

使用Control Hub 中的 ure AD 应用程序同步Entra ID组中的用户和个别组对象。 Webex无法在Azure AD 应用程序之外同步单个组。

如果您是首次配置集成,我们建议您先分配一个用户进行测试,然后在测试成功后添加其他用户和组。

1

在Entra ID门户中打开Webex应用程序,然后转至 和组

2

单击添加分配

3

查找要添加到应用程序中的用户/组:

  • 查找要分配给应用程序的单个用户。
  • 查找要分配给应用程序的一组用户。
4

单击选择,然后单击分配

重复这些步骤,直到将所有需要的组和用户同步到 Webex。

此程序用于从Entra ID设置预配置并为您的组织获取不记名令牌。 这些步骤涵盖了必要和推荐的管理设置。


 
如果您的组织强制要求所有用户都必须拥有已验证的域,则未来的同步将不允许为未验证的域创建用户。 大多数政府版 Webex 组织都需要经过验证的域。

准备工作

从 Control Hub 中的客户视图获取组织标识。 单击左下角您的组织名称,然后复制 组织标识转换为文本文件。 输入租户 URL 时需要使用此值。 我们在本文中使用此值作为示例: a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

登录 Azure门户,然后转至 > 应用程序 > 应用程序

2

从企业应用程序列表中选择 Cisco Webex

3

转至预配置,然后将预配置模式更改为自动

Webex应用程序包含Entra ID用户属性和Webex用户属性之间的一些缺省映射。 这些属性足以创建用户,但您可以如下文中所述添加更多属性。

4

输入租户 URL

下表显示您的 Webex 产品的 URL。 替换 OrgId 替换为您的特定值。

表 1. Webex 的租户 URL
Webex 产品要使用的租户 URL
Webex(缺省值)https://api.ciscospark.com/v1/scim/OrgId
Webex for Governmenthttps://api-usgov.webex.com/v1/scim/OrgId

例如,您的租户 URL 可能如下所示: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

按照以下步骤获取机密令牌的持有者令牌值:

  1. 复制以下 URL 并在匿名浏览器标签页中运行: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose


     
    上述 URL 适用于缺省 Webex ID 代理。 如果您使用的是政府版 Webex,请使用以下 URL 获取持有者令牌:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    必须使用匿名浏览器,以确保使用正确的管理员凭证登录。 如果您已作为无法创建用户的低权限用户登录,则返回的持有者令牌无法创建用户。

  2. 在出现的 Webex 登录页面中,使用组织的完全权限管理员帐户登录。

    会出现错误页面,说明无法联系到站点,但这是正常的。

    错误页面的 URL 包含生成的持有者令牌。 此令牌的有效期为 365 天(之后将过期)。

  3. 从浏览器地址栏的 URL 中复制持有者令牌值,该令牌值从 access_token=&token_type=Bearer

    例如,此 URL 突出显示了令牌值: http://localhost:3000/auth/code#access_token = {sample_token } &token_type =承载者&expires_in =3887999&state=这应该是一个随机字符串,用于安全目的。


     

    我们建议您将此值保存在文本文件中作为令牌的记录,以防 URL 不再可用。

6

返回到 Azure 门户并将令牌值粘贴到机密令牌中。

7

单击测试连接以确保Entra ID能够识别组织和令牌。

成功的结果表明凭证获得授权,可启用用户预配置。

8

输入通知电子邮件并选中相应的框,以在出现预配置错误时收到电子邮件。

9

单击保存

此时,您已成功授权Entra ID来预配置和同步Webex用户,并完成了设置同步的步骤。

下一步

如果要将更多Entra ID用户属性映射到Webex属性,请继续下一部分。

有关更改同步组织的信息,请参阅 同步入站ID用户 帮助文章。

此程序可将其他用户属性从Entra ID映射到Webex,或更改现有用户属性映射。


 

Entra ID到Webex映射不会同步每个用户的详细信息。 用户数据的某些方面没有同步:

  • 头像

  • 会议室

  • 下表中未列出的属性

除非绝对必要,否则我们建议您不要更改缺省属性映射。 映射为用户名的值尤为重要。 Webex 使用用户的电子邮件地址作为其用户名。 在默认情况下,我们将 Azure AD 中的 userPrincipalName (UPN) 映射到 Control Hub 中的电子邮件地址 (username)。

如果 userPrincipalName 未映射到 Control Hub 中的电子邮件,则将用户作为新用户预配置 Control Hub,而非匹配现有用户。 如果要使用电子邮件地址格式而不是UPN的其他Azure用户属性,必须将Entra ID中的默认映射从 userPrincipalName 更改为相应的Entra ID用户属性。

准备工作

您已将Cisco Webex应用程序添加并配置到Entra ID中,并测试了连接。

您可以在开始同步用户之前或之后修改用户属性映射。

1

登录 Azure门户,然后转至企业应用程序>所有应用程序

2

打开 Cisco Webex 应用程序。

3

选择预配页面,展开映射部分,然后单击预配 Azure Active Directory 用户

4

选中显示高级选项复选框,然后单击编辑 CiscoWebEx 属性列表

5

选择要从Entra ID用户属性填充的Webex属性。 稍后将在此过程中显示属性和映射。

6

选择 Webex 属性后,单击保存,然后单击进行确认。

此时将打开“属性映射”页面,以便您可以将Entra ID用户属性映射到所选的Webex用户属性。

7

在页面底部附近单击添加新映射

8

选择直接映射。 选择源属性(Azure 属性)和目标属性(Webex 属性),然后单击确定

表 2. Webex映射的Entra ID

Entra ID属性(源)

Webex 用户属性(目标)

默认填充属性

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

objectId

externalId

其他可用属性

jobTitle

标题

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

移动设备

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

重复前两步,直到已添加或修改所有需要的映射,然后单击保存以确认新映射。


 

如果要重新开始,可以恢复缺省映射

映射完成后,Webex 用户将在下次同步时创建或更新。