跨網域身分識別管理系統 (SCIM)

目錄中的使用者與 Control Hub 之間的整合使用「跨網域身分識別管理系統 (SCIM)」API。 SCIM 是一種開放式標準,用於自動化在身分網域與 IT 系統之間進行的使用者身分資訊交換作業。 SCIM 旨在讓您更輕鬆地管理雲端型應用程式與服務中的使用者身分。 SCIM 透過 REST 使用標準化 API。

在使用 Azure AD 設定 Webex Control Hub 以自動化使用者佈建之前,您需要從 Azure AD 應用程式資源庫將 Cisco Webex 新增至受管理應用程式清單。


如果您已將 Webex Control Hub 與 Azure 整合在一起進行單一登入 (SSO),則表示 Cisco Webex 已新增至您的企業應用程式並且您可以跳過此過程。

1

使用您的管理員認證在 https://portal.azure.com Azure 入口網站登入。

2

轉至組織的 Azure Active Directory

3

轉至企業應用程式,然後按一下新增

4

按一下從資源庫新增應用程式

5

在搜尋方塊中,輸入 Cisco Webex

6

在結果窗格中,選取 Cisco Webex,然後按一下新增以新增應用程式。

這時會出現一則訊息,指出已成功新增應用程式。

此程序允許您選擇使用者來同步至 Webex 雲端。

Azure AD 使用稱為「指定項目」的概念來確定哪些使用者應該接收對所選應用程式的存取權。 在自動化使用者佈建的情況下,只有「指定」給 Azure AD 中應用程式的使用者及/或群組才能同步至 Control Hub。

如果您是第一次設定整合,我們建議您指定一個使用者進行測試,然後在測試成功後新增其他使用者和群組。

1

在 Azure 入口網站中開啟 Cisco Webex 應用程式,然後轉至使用者和群組

2

按一下新增指定項

3

尋找要新增至應用程式的使用者/群組:

  • 尋找要指定給應用程式的個別使用者。
  • 尋找要指定給應用程式的一組使用者。
4

按一下選取,然後按一下指定

重複這些步驟,直到將所有需要的群組和使用者同步到 Webex。

使用此過程從 Azure AD 設定佈建並取得組織的持有人權杖。 這些步驟涵蓋必要和建議的管理設定。

在開始之前

從 Control Hub 的客戶檢視中取得組織 ID: 按一下左下方的組織名稱,然後將 組織 ID 中的值複製到文字檔案。 輸入租戶 URL 時您將需要此值。 我們將使用此值作為範例:a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

登入 Azure 入口網站,然後轉至 Azure Active Directory > 企業應用程式 > 所有應用程式

2

從企業應用程式清單中選擇 Cisco Webex

3

轉至佈建,然後將佈建模式變更成自動

Webex 應用程式是使用 Azure AD 使用者屬性與 Webex 使用者屬性之間的一些預設對映建立。 這些屬性足以用來建立使用者,但是您可以新增更多屬性,如本文稍後所述。

4

以下列格式輸入租戶 URL

https://api.ciscospark.com/v1/scim/{OrgId}

替換 {OrgId} 成您從 Control Hub 取得的組織 ID 值,以讓租戶 URL 類似如下所示: https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

遵循下列步驟以為秘密權杖取得持有人權杖值:

  1. 複製下列 URL 並在匿名瀏覽器標籤中執行它: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    匿名瀏覽器對於確保您使用正確的管理員認證進行登入非常重要。 如果您已經以較低特權的使用者身分登入,您返回的持有人權杖可能無權建立使用者。

  2. 從顯示的 Webex 登入頁,使用組織的完全管理員帳戶登入。

    即會出現一個錯誤頁面指出無法存取該網站,但這是正常的。

    產生的持有人權杖包含在錯誤頁面的 URL 中。 此權杖的有效期為 365 天(在這段時間後就過期)。

  3. 從瀏覽器網址列中的 URL,複製 access_token=&token_type=Bearer

    例如,下列 URL 中突出顯示了權杖值: http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    建議將此值貼至文字檔案並進行儲存,以便記錄權杖以防 URL 不再可用。

6

回到 Azure 入口網站並將權杖值貼至秘密權杖

7

按一下測試連線以確保 Azure AD 識別組織與權杖。

若結果成功,則表明認證已獲授權來啟用使用者佈建。

8

輸入通知電子郵件,並勾選當發生佈建錯誤時獲取電子郵件的方塊。

9

按一下儲存

您已成功授權 Azure AD 佈建/同步 Webex 使用者。

後續動作

  • 如果您只想將部分 Azure AD 使用者同步至 Webex,請閱讀將使用者群組新增至 Azure AD 中的應用程式

  • 如果您想要先將其他 Azure AD 使用者屬性對映至 Webex 屬性,然後再同步使用者,請閱讀將使用者屬性從 Azure 對映至 Webex

  • 執行這些步驟後,您可以啟用從 Azure AD 到 Webex 的自動化佈建程序

遵循此程式以將其他使用者屬性從 Azure 對映至 Webex,或者變更現有使用者屬性對映。

在開始之前

您已針對 Azure Active Directory 新增並設定了 Cisco Webex 應用程式,然後測試了連線。

您可以在開始同步使用者之前或之後修改使用者屬性對映。

1

登入 Azure 入口網站,然後轉至 Azure Active Directory > 企業應用程式 > 所有應用程式

2

開啟 Cisco Webex 應用程式。

3

選取佈建頁面,然後開啟該頁面上的對映控制項。

4

按一下將 Azure Active Directory 使用者同步至 Cisco Webex

即會開啟新區段。

5

勾選顯示進階選項勾選方塊,然後按一下編輯 Cisco Webex 的屬性清單

在開啟的控制項中,您可以選擇哪些 Webex 屬性會從 Azure 使用者屬性填充。 這些屬性和對映稍後會顯示在此程序中。

6

選取 Webex 屬性後,按一下儲存,然後按一下以確認。

「屬性對映」頁面即會開啟,因此您可以將 Azure AD 使用者屬性對映至您選擇的 Webex 使用者屬性。

7

在頁面底部附近,按一下新增對映

8

選擇直接對映。 選取來源屬性(Azure 屬性)和目標屬性(Webex 屬性),然後按一下確定

表 1. Azure 到 Webex 對映

Azure Active Directory 屬性(來源)

Cisco Webex 屬性(目標)

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

objectId

externalId

9

重複先前的兩個步驟,直到您新增或修改了您需要的所有對映,然後按一下儲存以確認您的新對映。


 

我們建議您不要變更預設屬性對映。 一個重要對映是 Azure AD 中 userPrincipalName (UPN) 到 Control Hub 中電子郵件地址 (username) 的對映。 如果您想要重新開始,則可以還原預設對映

如果 userPrincipalName 不是 Control Hub 中的電子郵件,則會將使用者佈建為新使用者,而不會與 Control Hub 中的現有使用者相符。 如果您想要使用 Azure 電子郵件地址而不是 UPN,則必須將 Azure AD 中的那個預設對映從 userPrincipalName 變更為電子郵件

對映完成後,將在下一次同步時建立或更新 Webex 使用者。

在開始之前

您已經:

  • 新增 Cisco Webex 應用程式

  • 授權 Azure 自動建立 Webex 使用者,並測試了連線

  • (選用)將特定使用者和群組指定給 Webex 應用程式

  • (選用)將(其他非預設)Azure 屬性對映至 Webex 屬性

1

在 Azure 入口網站中開啟 Cisco Webex 應用程式,然後轉至佈建頁面。

2

如果您已將特定使用者或群組指定給應用程式,請將佈建範圍設為只同步指定的使用者和群組

如果您選擇此選項,但您尚未指定使用者和群組,則必須遵循將群組/使用者指定給 Azure AD 中的應用程式然後才能切換佈建。

3

佈建狀態切換成開啟

此動作會啟動從 Azure AD 自動化佈建/同步 Webex 使用者的程序。 此程序可能需要長達 40 分鐘。

如果您是在測試,需要縮短等待時間,則可以使用按需佈建。 請參閱 https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand

另一個選項是重新開始佈建: 將佈建狀態切換至關閉,按一下儲存,然後切換回開啟,然後再按一下儲存。 這會強制執行新同步。


 

我們強烈建議不要使用清除目前狀態並重新開始同步選項。

4

登入 https://admin.webex.com,轉至使用者,然後檢查 Azure Active Directory 使用者帳戶。

此同步透過 API 進行,因此 Control Hub 中沒有狀態指示。 您可以檢查 Azure 入口網站中的記錄,以查看使用者同步的狀態。


 

若要取得與 Azure AD 使用者同步相關的任何變更的記錄並隔離任何潛在問題,請存取稽核記錄: 在活動之下,按一下稽核記錄。 此視圖會顯示每個記錄,您可以依特定的類別進行篩選,例如帳戶佈建代表服務篩選器,使用者管理代表類別篩選器。

您可以從 Azure AD 中移除使用者指定項目。 這會保留 Azure AD 使用者帳戶,但會使這些帳戶無法存取 Webex 組織中的應用程式及服務。

如果您移除使用者指派,Webex 會將使用者標記為不活動

1

從 Azure 入口網站轉至企業應用程式,然後選擇您新增的 Webex 應用程式。

2

從指定給應用程式的那些項目清單中選擇一個使用者或一組使用者。

3

按一下移除,然後按一下確認移除。

在下次同步活動時,會從 Webex 應用程式中移除該使用者或使用者群組。

1

轉至使用者,勾選您要刪除之每個使用者帳戶旁邊的勾選方塊,然後按一下刪除使用者

使用者即會移至已刪除使用者標籤。

在 Control Hub 中,使用者會移至「軟刪除」狀態,且不會立即刪除。 它們也會重新命名。 Azure AD 會將這些變更傳送至 Webex 雲端。 然後,Control Hub 會反映此變更並將使用者標記為「不活動」。 系統會撤銷使用者的所有權杖。

2

若要驗證對使用者刪除作業的任何記錄,請轉至稽核記錄,然後根據使用者管理類別或刪除使用者活動來執行搜尋。


 

開啟已刪除使用者稽核記錄並按一下目標時,您將看到使用者主體名稱的 @ 前面有一串數字和字元。

如果您正在 Control Hub 中執行任何 eDiscovery 動作,則必須從 Azure AD 的稽核記錄中取得「使用者主體名稱」。 如需 eDiscovery 的相關資訊,請參閱確保 Webex 應用程式和會議內容合規

後續動作

在「軟」刪除的使用者永久刪除之前,您有 30 天的時間來復原這些使用者。 如果您復原 Azure AD 中的使用者,則 Control Hub 會重新啟動使用者,並將使用者重新命名為原始電子郵件/UPN 位址。

如果您未復原使用者,Azure AD 會執行實刪除。 您的 Webex 組織會移除使用者,而且您在 Control Hub 中再也看不到該使用者。 如果您稍後將電子郵件地址重新新增至 Azure AD,則 Webex 會為使用者建立一個全新的帳戶。