Control Hub 的 SAML 自动帐户创建和更新

在 Control Hub 中修改单点登录验证

准备工作

确保满足以下前提条件：

SSO配置了。有关使用 SSO 配置向导的信息，请参阅此处的“SSO 设置”部分： https://help.webex.com/article/lfu88u/。
这些域已经过验证。
域名已被声明并开启。此功能可确保您域中的用户每次通过您的 IdP 进行身份验证时都会创建并更新一次。
如果启用了 DirSync 或 AzureAD，则 SAML JIT 创建或更新将不起作用。
“阻止用户档案更新”已启用。允许 SAML 更新映射，因为此配置控制用户编辑属性的能力。仍支持由管理员控制的创建和更新方法。

新建用户不会自动获得分配的许可证，除非组织设置了自动许可证模板。

针对群组的 SAML JIT 配置的用户配置仅限于单个群组。

配置即时 (JIT) 和 SAML 映射

登录到 Control Hub。

前往管理 > 安全 > 验证。

转到身份提供者选项卡。

转到 IdP 并点击更多菜单。

选择编辑 SAML 映射。

配置即时（JIT）设置。

创建或激活用户：如果没有找到活动用户，则 Webex Identity 会在用户通过 IdP 进行身份验证后创建该用户并更新属性。
使用 SAML 属性更新用户：如果找到有电子邮件地址的用户，Webex标识会用 SAML 断言中映射的属性更新该用户。

确认用户可以使用不同的、无法识别的电子邮件地址登录。

配置 SAML 映射所需属性。

表 1. 必需属性
Webex 身份属性名称	SAML 属性名称	属性说明
用户名/主电子邮件地址	例如：uid	将 UID 属性映射到预配置的用户的电子邮件、upn 或 edupersonprincipalname。

配置链接属性。

这对于用户来说应该是唯一的。它用于查找用户，以便 Webex 可以更新所有个人资料属性，包括用户的电子邮件。

表 2. 链接属性
Webex 身份属性名称	SAML 属性名称	属性说明
externalId	例如：user.objectid	为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时，这是必要的。
员工数字	例如：user.employeeid	用户的员工编号，或其人力资源系统内的识别号码。请注意，这不适用于 `externalid`，因为您可以为其他用户重复使用或回收 `employeenumber` 。
分机属性 1	例如：user.extensionattribute1	将这些自定义属性映射到 Active Directory、Azure 或您的目录中的扩展属性，以用于跟踪代码。
分机属性 2	例如：user.extensionattribute2
分机属性 3	例如：user.extensionattribute3
分机属性 4	例如：用户.extensionlattribute4
分机属性 5	例如：user.extensionattribute5

配置配置文件属性。

表 3. 配置文件属性
Webex 身份属性名称	SAML 属性名称	属性说明
externalId	例如：user.objectid	为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时，这是必要的。
员工数字	例如：user.employeeid	该用户的员工编号或 HR 系统内部的标识号。请注意，这不是用于“externalid”的，因为您可以重新为其他用户使用或回收“employeenumber”。
preferredLanguage	例如：user.preferred语言	用户的首选语言。
locale	例如：user.locale	用户的主要工作地点
timezone	例如：user.timezone	用户的主要时区。
displayName	例如：user.displayname	用户在 Webex 中的显示名称。
name.givenName	例如：user.givenname	用户的名。
name.familyName	例如：用户姓氏	用户的姓。
address.streetAddress	例如：user.streetaddress	其主要工作地点的街道地址。
address.state	例如：user.state	主工作位置的状态。
地址.地区	例如：user.region	其主要工作地点的区域。
address.postalCode	例如：user.postalcode	其主要工作地点的邮政编码。
地址国家/地区	例如：user.country	其主要工作地点的国家或地区。
phoneNumbers.work	例如：工作电话号码	其主要工作地点的工作电话号码。请仅使用国际 E.164 格式（最多 15 位）。
phoneNumbers.extension	例如：移动电话号码	其主要工作电话号码的工作分机号。请仅使用国际 E.164 格式（最多 15 位）。
代词	例如：user.proun	用户的代词。这是可选属性，用户或管理员可以使其在档案中可见。
title	例如：user.jobtitle	用户的职位。
department	例如：user.department	用户的工作部门或团队。
代词	例如：user.proun	这是用户的代词。该属性的可视性受管理员和用户控制
manager	例如：manager	用户经理或团队主管。
成本中心	例如：成本中心	这是用户的姓，也称为姓氏或姓氏
email.alternate1	例如：user.mailnickname	用户的备用电子邮件地址。如果您希望用户使用它登录，请映射到 uid。
email.alternate2	例如：user.primaryauthoritativemail	用户的备用电子邮件地址。如果您希望用户使用它登录，请映射到 uid。
email.alternate3	例如：user.alternativeauthoritativemail	用户的备用电子邮件地址。如果您希望用户使用它登录，请映射到 uid。
email.alternate4	例如：user.othermail	用户的备用电子邮件地址。如果您希望用户使用它登录，请映射到 uid。
email.alternate5	例如：user.othermail	用户的备用电子邮件地址。如果您希望用户使用它登录，请映射到 uid。

配置扩展属性。

将这些属性映射到 Active Directory Azure 或目录中的扩展属性，跟踪代码。

表 4. 扩展属性
Webex 身份属性名称	SAML 属性名称
分机属性 1	例如：user.extensionattribute1
分机属性 2	例如：user.extensionattribute2
分机属性 3	例如：user.extensionattribute3
分机属性 4	例如：user.extensionattribute4
分机属性 5	例如：user.extensionattribute5
分机属性 6	例如：user.extensionattribute6
分机属性 7	例如：user.extensionattribute7
分机属性 8	例如：user.extensionattribute8
分机属性 9	例如：user.extensionattribute9
分机属性 10	例如：user.extensionattribute10

配置组属性。

在 Control Hub 中创建一个组并记下 Webex 组 ID。
转到您的用户目录或 IdP 并为将分配到 Webex 组 ID 的用户设置属性。
更新您的 IdP 配置以包含带有此属性名称以及 Webex 组 ID 的声明（例如 c65f7d85-b691-42b8-a20b-12345xxxx）。您还可以使用外部 ID 来管理组名的更改或用于未来的集成场景。例如，与 Azure AD 同步或实施 SCIM 组同步。
指定将在 SAML 断言中与组 ID 一起发送的属性的确切名称。这用于将用户添加到组。
如果您使用目录中的组来发送 SAML 断言中的成员，请指定组对象外部 ID 的确切名称。

如果用户 A 与 groupID 1234 相关联，而用户 B 与 groupID 4567 相关联，则他们将被分配到不同的组。此场景表明单个属性允许用户与多个组 ID 关联。虽然这种情况并不常见，但却是可能的，并且可以被视为一种附加变化。例如，如果用户 A 最初使用 groupID 1234 登录，则他们成为相应组的成员。如果用户 A 稍后使用 groupID 4567 登录，他们也会被添加到第二个组中。

SAML JIT 配置不支持从组中删除用户或任何删除用户的操作。

表 5. 组属性
Webex 身份属性名称	SAML 属性名称	属性说明
群组编号	例如：群组编号	将组属性从 IdP 映射到 Webex 身份组属性，以用于将该用户映射到组进行许可或设置服务。
组外部ID	例如：组外部ID	将组属性从 IdP 映射到 Webex 身份组属性，以用于将该用户映射到组进行许可或设置服务。

有关用于搜索的 SAML 声明属性Webex Meetings，请参阅 https://help.webex.com/article/WBX67566。

感谢您的反馈。

Control Hub 的 SAML 自动帐户创建和更新

在 Control Hub 中修改单点登录验证

准备工作

小型企业

大型企业

设备

解决方案

资源

公司