跨域身份管理系统 (SCIM)

目录用户与 Control Hub 的集成使用跨域身份管理系统 ( SCIM) API。SCIM 是一个开放标准,用于自动在标识域或 IT 系统之间交换用户标识信息。SCIM 的设计目的是简化在基于云的应用程序和服务中管理用户身份的过程。SCIM 通过 REST 使用标准化的 API。


 
如果您的组织已使用 目录连接器来同步用户,您无法从 Okta 同步用户。

 

Okta 集成仅支持以下属性:

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

多值属性, PhoneNumber (适用于 ) mobilework ,以及 Address ,不受 Okta 支持,因为 PATCH, PUTDELETE 没有由 Okta 应用程序传递给 Webex。

请从 Okta 映射中删除这些属性,或者从同步配置中删除更新。

支持的功能

该集成在 Okta 中支持下列用户同步功能:

  • 创建用户 - 在将应用程序分配给 Okta Webex应用程序时,在应用程序创建或链接用户。

  • 更新用户属性 - Okta 在分配应用程序后Webex应用程序中更新用户的属性。对 Okta 用户档案的未来属性更改会自动覆盖 Webex 云中的相应属性值。

  • 停用用户 - 在 Okta 中取消Webex用户的 Okta 帐户或停用其 Okta 帐户时,停用用户的 Web 应用程序帐户。如果您在 Okta 中将应用程序重新分配给用户,则可以重新激活帐户。


 
我们不支持将 Okta 中的组与您的组织Webex同步。

将 Webex 添加到 Okta

在配置 Control Hub 以使用 Okta 自动预配置用户之前,您需要将 Webex Okta 应用程序库添加到受管应用程序列表中。您还必须选择一种验证方法。目前,Control Hub 中的 Webex 服务仅支持使用 Okta 的联合 SSO。

准备工作

  • Okta 要求您拥有有效的 Okta 租户和其平台的当前许可证。您还必须拥有当前付费订阅和 Webex 组织。

  • 在Webex组织中,必须配置自动许可证分配模板,否则在 Control 中新同步的用户将不会被分配 Webex 服务许可证。有关详细信息,请参阅在 Control Hub 中设置许可证自动分配模板

  • 本文档未涵盖 Control Hub SSO登录 (SSO) 集成。您应该首先执行 Okta SSO 集成,然后才能配置用户预配置。有关集成SSO,请参阅 Control Hub 单点登录 Okta 集成

1

登录 Okta 租户 ( example.okta.com ,其中 example 是作为管理员的公司或组织名称),请 转至应用程序,然后单击添加 应用程序

2

搜索 Cisco Webex 并将应用程序添加到您的租户。

如果已将 Okta SSO 集成到 Control Hub 组织中,则可以跳过上述步骤,只需在 Okta 应用程序列表中重新打开 Cisco Webex 条目即可。

3

在单独的浏览器标签页中,转至https://admin.webex.com中的客户视图,单击您的组织名称,然后在公司信息旁边,复制您的组织标识

记录组织标识(复制并粘贴到文本文件中)。您将在下一个过程中使用该标识。

为用户同步配置 Okta

准备工作

请确保保留上一过程中的组织标识。

1

在 Okta 租户中,转至预配置,单击配置 API 集成,然后选中启用 API 集成

2

组织标识字段中输入标识值。

3

按照以下步骤获取机密令牌的持有者令牌值:

  1. 复制以下 URL 并在匿名浏览器标签页中运行: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose


     
    上述 URL 适用于缺省 Webex ID 代理。如果您正将令牌Webex,请使用以下 URL 获取不记名令牌:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    必须使用匿名浏览器,以确保使用正确的管理员凭证登录。如果您已经以权限较低、无法创建用户的用户登录,您返回的不记名令牌将无法创建用户。

  2. 在出现的 Webex 登录页面中,使用组织的完全权限管理员帐户登录。

    会出现错误页面,说明无法联系到站点,但这是正常的。

    错误页面的 URL 包含生成的不记名令牌。此令牌的有效期为 365 天(之后将过期)。

  3. 从浏览器地址栏的 URL 中复制持有者令牌值,该令牌值从 access_token=&token_type=Bearer

    例如,此 URL 突出显示了令牌值:http://localhost:3000/auth/code#access_token={}sample_token&token_type=不记名&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose。


     

    我们建议您将此值保存为令牌的记录,以防 URL 不可用。

4

返回到 Okta,将不记名令牌粘贴到 API 令牌字段中,然后单击测试 API 凭证

此时将显示一条消息:Webex 已成功验证。

5

转至预配置 > 设置 > 前往应用程序,然后指定所需的用户同步功能。

6

单击分配,再单击分配,然后选择一项:

  • 分配到人员 - 如果您要将 Webex 分配给个别用户。
  • 分配到组 - 如果您要将 Webex 分配给组中的多个用户。
7

如果配置了 SSO 集成,单击要分配给应用程序的每个用户或组旁边的分配,然后单击完成

您选择的用户会同步到云端,它们将在 Control Hub 中的用户下显示。每当您在 Okta 中移动、添加、更改或删除用户时,Control Hub 都会接收这些更改。


 

如果您没有启用自动分配许可证模板,用户将同步到 Control Hub 而不进行任何许可证分配。为了减少管理开销,我们建议您在将 Okta 用户同步到 Control Hub 之前启用自动分配许可证模板。