跨域身份管理系统 (SCIM)

目录用户与 Control Hub 的集成使用跨域身份管理系统 ( SCIM) API。 SCIM 是一个开放标准,用于自动在标识域或 IT 系统之间交换用户标识信息。 SCIM 的设计目的是简化在基于云的应用程序和服务中管理用户身份的过程。 SCIM 通过 REST 使用标准化的 API。


 
如果您的组织已使用 Directory Connector 同步用户,则无法从 Okta 同步用户。

 

Okta 集成仅支持以下属性:

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

多值属性, PhoneNumber 关于 mobilework ,以及 Address ,Okta 不支持,因为 PATCHPUTDELETE 不会通过 Okta 应用程序传递到 Webex。

请从 Okta 映射中删除这些属性,或从同步配置中删除更新。

支持的功能

该集成在 Okta 中支持下列用户同步功能:

  • 创建用户 - 在将 Webex 应用程序分配给 Okta 中的用户时,在 Webex 应用程序中创建或链接用户。

  • 更新用户属性 - 分配 Webex 应用程序时,Okta 会更新 Webex 应用程序中的用户属性。 对 Okta 用户档案的未来属性更改会自动覆盖 Webex 云中的相应属性值。

  • 停用用户 - 当在 Okta 中取消分配用户的 Webex 应用程序帐户或其 Okta 帐户已停用时,将停用用户的 Webex 应用程序帐户。 如果您在 Okta 中将应用程序重新分配给用户,则可以重新激活帐户。


 
我们不支持将 Okta 中的组与您的 Webex 组织同步。

将 Webex 添加到 Okta

在配置 Control Hub 以使用 Okta 进行自动用户预配置之前,您需要将 Okta 应用程序库中的 Webex 添加到托管应用程序列表中。 您还必须选择一种验证方法。 目前,Control Hub 中的 Webex 服务仅支持使用 Okta 的联合 SSO。

准备工作

  • Okta 要求您拥有有效的 Okta 租户和其平台的当前许可证。 您还必须拥有当前付费订阅和 Webex 组织。

  • 在Webex组织中,必须配置自动许可证分配模板,否则在 Control 中新同步的用户将不会被分配 Webex 服务许可证。 有关更多信息,请参阅在 Control Hub 中设置自动许可证分配模板

  • 本文档不涉及 Control Hub 中的单点登录 (SSO) 集成。 您应该首先执行 Okta SSO 集成,然后才能配置用户预配置。 有关 SSO 集成的指南,请参阅使用 Okta 的 Control Hub单点登录

1

登录到 Okta 租户( example.okta.com ,其中 example 是您的公司或组织名称),以管理员身份,转至 应用程序,然后单击添加应用程序

2

搜索 Cisco Webex 并将应用程序添加到您的租户。

如果已将 Okta SSO 集成到 Control Hub 组织中,则可以跳过上述步骤,只需在 Okta 应用程序列表中重新打开 Cisco Webex 条目即可。

3

在单独的浏览器标签页中,转至https://admin.webex.com中的客户视图,单击您的组织名称,然后在公司信息旁边,复制您的组织标识

记录组织标识(复制并粘贴到文本文件中)。 您将在下一个过程中使用该标识。

配置 Okta 以进行用户同步

准备工作

请确保保留上一过程中的组织标识。

在为客户创建不记名令牌时,请确保您具有客户完全权限管理员角色。

1

在 Okta 租户中,转至预配置,单击配置 API 集成,然后选中启用 API 集成

2

组织标识字段中输入标识值。

3

按照以下步骤获取机密令牌的持有者令牌值:

  1. 复制以下 URL 并在匿名浏览器标签页中运行: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose


     
    上述 URL 适用于缺省 Webex ID 代理。 如果您使用的是政府版 Webex,请使用以下 URL 获取持有者令牌:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    必须使用匿名浏览器,以确保使用正确的管理员凭证登录。 如果您已作为无法创建用户的低权限用户登录,则返回的持有者令牌无法创建用户。

  2. 在出现的 Webex 登录页面中,使用组织的完全权限管理员帐户登录。

    会出现错误页面,说明无法联系到站点,但这是正常的。

    错误页面的 URL 包含生成的持有者令牌。 此令牌的有效期为 365 天(之后将过期)。

  3. 从浏览器地址栏的 URL 中复制持有者令牌值,该令牌值从 access_token=&token_type=Bearer

    例如,此 URL 突出显示了令牌值: http://localhost:3000/auth/code#access_token = {sample_token } &token_type =承载者&expires_in =3887999&state=这应该是一个随机字符串,用于安全目的。


     

    我们建议您将此值保存在文本文件中作为令牌的记录,以防 URL 不再可用。

4

返回到 Okta,将不记名令牌粘贴到 API 令牌字段中,然后单击测试 API 凭证

此时将显示一条消息:Webex 已成功验证。

5

转至预配置 > 设置 > 前往应用程序,然后指定所需的用户同步功能。

6

单击分配,再单击分配,然后选择一项:

  • 分配到人员 - 如果您要将 Webex 分配给个别用户。
  • 分配到组 - 如果您要将 Webex 分配给组中的多个用户。
7

如果配置了 SSO 集成,单击要分配给应用程序的每个用户或组旁边的分配,然后单击完成

您选择的用户会同步到云端,它们将在 Control Hub 中的用户下显示。 每当您在 Okta 中移动、添加、更改或删除用户时,Control Hub 都会接收这些更改。


 

如果您没有启用自动分配许可证模板,用户将同步到 Control Hub 而不进行任何许可证分配。 为了减少管理开销,我们建议您在将 Okta 用户同步到 Control Hub 之前启用自动分配许可证模板。