在 Control Hub 中修改单点登录验证

准备工作

确保满足以下前提条件:

  • SSO配置了 。有关使用SSO配置向导的信息,请参阅此处“SSO设置”部分:https://help.webex.com/article/lfu88u/

  • 这些域已经过验证。

  • 域名已声明并开启。此功能可确保您域中的用户每次使用您的IdP进行身份验证时都会创建并更新一次。

  • 如果启用了DirSync或AzureAD,则SAML JIT创建或更新将无法工作。

  • “阻止用户档案更新”已启用。允许 SAML 更新映射,因为此配置控制用户编辑属性的能力。仍支持由管理员控制的创建和更新方法。

新建用户不会自动获得分配的许可证,除非组织设置了自动 许可证模板。

组的SAML JIT配置的用户配置仅限单个组。

配置即时(JIT)和SAML映射
1

登录到 Control Hub。

2

转至管理 > 组织设置,滚动至单点登录 ,然后单击管理SSO和IdPs

3

转至身份提供者 选项卡。

4

转至IdP,然后单击 更多菜单

5

选择编辑SAML映射

6

配置即时(JIT)设置

  • 创建或激活用户:如果找不到活动用户,则Webex Identity将创建用户,并在用户使用IdP验证后更新属性。
  • 使用 SAML 属性更新用户:如果找到有电子邮件地址的用户,Webex标识会用 SAML 断言中映射的属性更新该用户。
确认用户可以使用不同的、无法识别的电子邮件地址登录。

7

配置 SAML映射所需的属性

表1。 必需属性

Webex 身份属性名称

SAML 属性名称

属性说明

用户名/主电子邮件地址

例如:uid

将 UID 属性映射到预配置的用户的电子邮件、upn 或 edupersonprincipalname。

8

配置链接属性

这对用户来说应该是独一无二的。它用于查找用户,以便Webex可以更新所有配置文件属性,包括用户的电子邮件。
表 2. 链接属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如:user.objectid

为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时,这是必要的。

员工数字

例如:user.employeeid

用户的员工号码,或人力资源系统中的识别号码。请注意,这不适用于外包,因为您可以为其他用户重复或回收雇主名

分机属性 1

例如:user.extensionattribute1

将这些自定义属性映射到Active Directory、Azure或目录中的扩展属性,以便跟踪代码。

分机属性 2

例如:user.extensionattribute2

分机属性 3

例如:user.extensionattribute3

分机属性 4

例如:user.extensionlattribute4

分机属性 5

例如:user.extensionattribute5

9

配置配置文件属性

表 3. 配置文件属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如:user.objectid

为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时,这是必要的。

员工数字

例如:user.employeeid

该用户的员工编号或 HR 系统内部的标识号。请注意,这不是用于“externalid”的,因为您可以重新为其他用户使用或回收“employeenumber”。

preferredLanguage

例如:user.preferred语言

用户的首选语言。

locale

例如:user.locale

用户的主要工作地点

timezone

例如:user.timezone

用户的主要时区。

displayName

例如:user.displayname

用户在 Webex 中的显示名称。

name.givenName

例如:user.givenname

用户的名。

name.familyName

例如:用户姓氏

用户的姓。

address.streetAddress

例如:user.streetaddress

其主要工作地点的街道地址。

address.state

例如:user.state

主工作位置的状态。

地址.地区

例如:user.region

其主要工作地点的区域。

address.postalCode

例如:user.postalcode

其主要工作地点的邮政编码。

地址国家/地区

例如:user.country

其主要工作地点的国家或地区。

phoneNumbers.work

例如:工作电话号码

其主要工作地点的工作电话号码。请仅使用国际 E.164 格式(最多 15 位)。

phoneNumbers.extension

例如:移动电话号码

其主要工作电话号码的工作分机号。请仅使用国际 E.164 格式(最多 15 位)。

代词

例如:user.proun

用户的代词。这是可选属性,用户或管理员可以使其在档案中可见。

title

例如:user.jobtitle

用户的职位。

department

例如:user.department

用户的工作部门或团队。

代词

例如:user.proun

这是用户的代词。该属性的可视性受管理员和用户控制

manager

例如:manager

用户经理或团队主管。

成本中心

例如:成本中心

这是用户的姓,也称为姓氏或姓氏

email.alternate1

例如:user.mailnickname

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate2

例如:user.primaryauthoritativemail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate3

例如:user.alternativeauthoritativemail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate4

例如:user.othermail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。

email.alternate5

例如:user.othermail

用户的备用电子邮件地址。如果您希望用户使用它登录,请映射到 uid。
10

配置扩展属性

将这些属性映射到 Active Directory Azure 或目录中的扩展属性,跟踪代码。
表 4. 扩展属性

Webex 身份属性名称

SAML 属性名称

分机属性 1

例如:user.extensionattribute1

分机属性 2

例如:user.extensionattribute2

分机属性 3

例如:user.extensionattribute3

分机属性 4

例如:user.extensionattribute4

分机属性 5

例如:user.extensionattribute5

分机属性 6

例如:user.extensionattribute6

分机属性 7

例如:user.extensionattribute7

分机属性 8

例如:user.extensionattribute8

分机属性 9

例如:user.extensionattribute9

分机属性 10

例如:user.extensionattribute10

11

配置组属性

  1. 在Control Hub中创建群组并记录Webex群组ID。
  2. 转至您的用户目录或ID,并为将被分配到Webex组ID的用户设置属性。
  3. 更新您的IdP配置,以包含带有此属性名称与Webex组ID的声明(例如c65f7d85-b691-42b8-a20b-12345xxxx)。您还可以使用外部ID来管理对群组名称的更改或未来的集成场景。例如,与Azure AD同步或实现SCIM组同步。
  4. 指定将在SAML断言中发送的属性的确切名称,并将使用组ID。用于将用户添加到组。
  5. 如果您使用目录中的组在SAML断言中发送成员,请指定组对象的外部ID的确切名称。

如果用户A与 groupID 1234关联,用户B与 groupID 4567关联,则将分配给单独的组。此场景表明单个属性允许用户与多个组ID关联。虽然这不常见,但它是可能的,并且可以被视为添加剂变化。例如,如果用户A最初登录使用 groupID 1234,他们将成为相应组的成员。如果用户A以后在使用 GroupID 4567时签名,则他们也将添加到该第二组。

SAML JIT配置不支持从组中删除用户或任何删除用户。

表 5. 组属性

Webex 身份属性名称

SAML 属性名称

属性说明

组ID

例如:组ID

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

群外部标识符

例如:群外部标识符

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

有关用于搜索的 SAML 声明属性Webex Meetings,请参阅 https://help.webex.com/article/WBX67566