在 Control Hub 中修改单点登录验证

准备工作

确保满足以下先决条件:

  • 已配置SSO。 有关使用 SSO 配置向导的信息,请参阅此处的“SSO 设置”部分: https://help.webex.com/article/lfu88u/

  • 域已被验证。

  • 已申领并开启域。 此功能可确保域中的用户每次向您的IdP进行验证时都会创建和更新一次。

  • 如果 DirSync 或 AzureAD 已启用,则 SAML JIT create 或 update 将不起作用。

  • “阻止用户配置文件更新”已启用。 允许SAML更新映射,因为此配置控制用户编辑属性的能力。 仍支持管理控制的创建和更新方法。


 

新创建的用户不会自动获得分配的许可证,除非组织设置自动许可证模板

组的SAML JIT预配置的用户预配置仅限于一个组。

配置即时(JIT)和SAML映射

1

登录到 Control Hub。

2

转至 > 设置,滚动到 点登录,然后单击 SSO和IdP

3

转至身份提供程序选项卡。

4

转至IdP并单击

5

选择编辑SAML映射

6

配置即时(JIT)设置

  • 创建或激活用户: 如果找不到活动用户,Webex身份将创建用户并在用户通过IdP验证后更新属性。
  • 使用 SAML 属性更新用户: 如果找到电子邮件地址的用户,Webex身份将使用SAML断言中映射的属性更新用户。
确认用户可以使用其他无法识别的电子邮件地址登录。
7

配置 <UNK> L映射所需属性

表 1. 必需属性

Webex 身份属性名称

SAML 属性名称

属性说明

用户名/主要电子邮件地址

例如: uid

将 UID 属性映射到预配置的用户的电子邮件、upn 或 edupersonprincipalname。

8

配置链接属性

这应该是用户唯一的。 它用于查找用户,以便Webex可以更新所有档案属性,包括用户的电子邮件。
表 2. 关联属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如: 用户。对象

为了将该用户与其他各个档案区分开。 在目录之间映射或更改其他档案属性时,这是必要的。

员工编号

例如: user.employeeeid

用户的员工编号或其人力资源系统中的标识号。 请注意,这不适用于 externalid ,因为您可以重复使用或回收 employeenumber 用于其他用户。

分机属性1

例如: user.extensionattribute1

将这些自定义属性映射到Active Directory、Azure或您的目录中的扩展属性,以跟踪代码。

分机属性2

例如: user.extensionattribute2

分机属性3

例如: user.extensionattribute3

分机属性4

例如: 用户。extensionlattribute4

分机属性5

例如: user.extensionattribute5

9

配置 文件属性

表 3. 配置文件属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如: 用户。对象

为了将该用户与其他各个档案区分开。 在目录之间映射或更改其他档案属性时,这是必要的。

员工编号

例如: user.employeeeid

此用户的员工编号或其人力资源系统中的标识号。 请注意,这不是“external alid”,因为您可以为其他用户重新使用或回收“employeeenumber”。

preferredLanguage

例如: 用户。首选语言

用户的首选语言。

locale

例如: 用户。区域设置

用户的主要工作地点

timezone

例如: 用户。时区

用户的主要时区。

displayName

例如: 用户。displayname

用户在 Webex 中的显示名称。

name.givenName

例如: 用户。givenname

用户的名。

name.familyName

例如: 用户姓名

用户的姓。

地址。street地址

例如: 用户。街地址

其主要工作地点的街道地址。

地址。状态

例如: 用户。状态

其主要工作地点的状态。

地址。区域

例如: 用户。区域

其主要工作地点的区域。

地址。mailCode

例如: 用户。postalcode

其主要工作地点的邮政编码。

地址。国家

例如: 用户。国家

其主要工作地点的国家或地区。

电话号码。工作

例如: 工作电话枚举

其主要工作地点的工作电话号码。 请仅使用国际 E.164 格式(最多 15 位)。

电话号码。分机

例如: 移动电话枚举

其主要工作电话号码的工作分机号。 请仅使用国际 E.164 格式(最多 15 位)。

代词

例如: 用户。代词

用户的代称。 这是一个可选属性,用户或管理员可以将其显示在其档案中。

标题

例如: 用户。工作标题

用户的职位。

部门

例如: 用户。部门

用户的工作部门或团队。

代词

例如: 用户。代词

这是用户的代称。 此属性的可见性由管理员和用户控制

Manager

例如: Manager

用户的经理或团队负责人。

成本中心

例如: 成本中心

这是用户的姓氏,也称为姓氏或家名

电子邮件。alternate1

例如: 用户。邮件昵称

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate2

例如: 用户。原authoritativemail

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate3

例如: 用户。电子邮件

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate4

例如: 用户。其他邮件

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。

电子邮件。alternate5

例如: 用户。其他邮件

用户的备用电子邮件地址。 如果您希望用户能够使用它登录,请将其映射到uid。
10

配置 机属性

将这些属性映射到Active Directory、Azure或您的目录中的扩展属性,以跟踪代码。
表 4. 分机属性

Webex 身份属性名称

SAML 属性名称

分机属性1

例如: user.extensionattribute1

分机属性2

例如: user.extensionattribute2

分机属性3

例如: user.extensionattribute3

分机属性4

例如: user.extensionattribute4

分机属性5

例如: user.extensionattribute5

分机属性6

例如: user.extensionattribute6

分机属性7

例如: user.extensionattribute7

分机属性8

例如: user.extensionattribute8

分机属性9

例如: user.extensionattribute9

分机属性10

例如: user.extensionattribute10

11

配置 属性

  1. 在Control Hub中创建组并记下Webex组标识。
  2. 转至用户目录或IdP并为将分配到Webex组标识的用户设置属性。
  3. 更新您的IdP配置以包含带有此属性名称的声明以及Webex组标识(例如c65f7d85-b691-42b8-a20b-12345xxxx)。 您还可以使用外部ID管理组名称的更改或用于未来的集成场景。 例如,与Azure AD同步或实施SCIM组同步。
  4. 使用组ID指定将在SAML断言中发送的属性的确切名称。 这用于将用户添加到组。
  5. 如果在SAML断言中使用目录中的组发送成员,指定组对象外部ID的确切名称。

 

如果用户A与 groupID 1234和用户B groupID 4567,它们被分配到不同的组。 此场景表示单个属性允许用户与多个组ID关联。 虽然这种情况不常见,但它是可能的,并且可以被视为一种额外的更改。 例如,如果用户A最初使用 groupID 1234年,他们成为相应团体的一员。 如果用户A稍后登录使用 groupID 4567,它们也被添加到第二组。

SAML JIT设置不支持从组中删除用户或删除任何用户。

表 5. 组属性

Webex 身份属性名称

SAML 属性名称

属性说明

组Id

例如: 组Id

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

组外部Id

例如: 组外部Id

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

有关Webex Meetings的SAML断言属性列表,请参阅 https://help.webex.com/article/WBX67566