跨網域身分識別管理系統 (SCIM)

目錄中與 Control Hub 的使用者之間的整合會使用「跨網域身分識別管理系統 (SCIM)」API。 SCIM 是一種開放式標準,用於自動化在身分網域與 IT 系統之間進行的使用者身分資訊交換作業。 SCIM 旨在讓您更輕鬆地管理雲端型應用程式與服務中的使用者身分。 SCIM 透過 REST 使用標準化 API。


 
如果您的組織已使用 Directory Connector 來同步使用者,您將無法從 Okta 同步使用者。

 

Okta 整合僅支援以下屬性:

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

多值屬性, PhoneNumber 關於 mobilework ,以及 Address ,Okta 不支援,因為 PATCHPUT ,或 DELETE 未由 Okta 應用程式傳遞至Webex。

請從 Okta 對映中移除這些屬性,或從同步設定中移除更新。

支援的功能

此整合支援 Okta 中的以下使用者同步功能:

  • 建立使用者 — 當在 Okta 中將應用程式指定給使用者時,在Webex應用程式中建立或鏈結使用者。

  • 更新使用者屬性 — Okta 會在指派Webex應用程式時更新使用者的屬性。 對 Okta 使用者設定檔進行的未來屬性變更會自動覆寫 Webex Cloud 中的相應屬性值。

  • 停用使用者 — 當在 Okta 中取消指定使用者或其 Okta 帳戶被停用時,停用使用者的Webex應用程式帳戶。 如果您將應用程式重新指定給 Okta 中的使用者,則可以重新啟動帳戶。


 
我們不支援從 Okta 將群組與您的Webex組織同步。

新增 Webex 至 Okta

在設定 Control Hub 以使用 Okta 進行自動使用者佈建之前,您需要將 Okta 應用程式庫中的Webex新增到您的受管理應用程式清單。 您還必須選擇驗證方法。 目前,Control Hub 中的 Webex 服務僅支援使用 Okta 的同盟 SSO。

準備工作

  • Okta 要求您擁有有效的 Okta Tenant 以及對其平台的現行授權。 您還必須擁有現行付費訂閱和 Webex 組織。

  • 在您的 Webex 組織中,您必須設定自動授權指定範本,否則在 Control 中新同步的使用者將不會為 Webex 服務指定授權。 如需相關資訊,請參閱在 Control Hub 中設定自動授權指定範本

  • 本文件未涵蓋 Control Hub 中的單一登入 (SSO) 整合。 在您設定使用者佈建之前,應該先從 Okta SSO 整合開始。 如需SSO整合的相關指南,請參閱使用 Okta的 單一登入

1

登入 Okta 租戶( example.okta.com ,其中 example 是您的公司或組織名稱)作為管理員,請轉至 應用程式,然後按一下新增應用程式

2

搜尋 Cisco Webex 並將應用程式新增至您的租戶。

如果您已將 Okta SSO 整合至您的 Control Hub 組織,則可以跳過上述步驟,然後只需重新開啟 Okta 應用程式清單中的 Cisco Webex 項目。

3

在單獨的瀏覽器標籤中,轉到 https://admin.webex.com 的客戶檢視,按一下您的組織名稱,然後在公司資訊旁邊複製您的組織 ID

記錄組織 ID(複製並貼到文字檔案中)。 您將使用該 ID 執行下一個過程。

設定 Okta 以進行使用者同步

準備工作

請務必保留前一過程中的組織 ID。

當為客戶建立持有人權杖時,請確保您具有客戶完全管理員角色。

1

在 Okta Tenant 中,移至佈建,按一下設定 API 整合,然後勾選啟用 API 整合

2

組織 ID 欄位中輸入 ID 值。

3

遵循下列步驟以為秘密權杖取得持有人權杖值:

  1. 複製下列 URL 並在匿名瀏覽器標籤中執行它: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose


     
    以上 URL 適用於預設 Webex ID 代理。 如果您使用的是政府Webex ,請使用以下URL來獲取持有人權杖:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    匿名瀏覽器對於確保您使用正確的管理員認證進行登入非常重要。 如果您已以無法建立使用者的較低特權使用者的身分登入,則您返回的持有人權杖無法建立使用者。

  2. 從顯示的 Webex 登入頁,使用組織的完全管理員帳戶登入。

    即會出現一個錯誤頁面指出無法存取該網站,但這是正常的。

    錯誤頁面的URL包含產生的持有人權杖。 此權杖的有效期為 365 天(在這段時間後就過期)。

  3. 從瀏覽器網址列中的 URL,複製 access_token=&token_type=Bearer

    例如,下列 URL 中突出顯示了權杖值: http://localhost:3000/auth/code#access_token = {sample_token } (&)token_type =持有人&expires_in =3887999&state=這應該是一個隨機字串,以出於安全性目的。


     

    我們建議您將此值儲存在文字檔案中作為權杖的記錄,以防URL不再可用。

4

回到 Okta,將持有人權杖貼到 API 權杖欄位,然後按一下測驗 API 憑證

這時會出現一則訊息,指出已成功驗證 Webex。

5

移至 佈建 > 設定 > 至應用程式,然後指定您想要的使用者同步功能。

6

按一下指定內容,按一下指定,然後選擇其中一項:

  • 指定給人員(如果您想將 Webex 指定給個別使用者)。
  • 指定給群組(如果您想將 Webex 指定給某個群組中的多個使用者)。
7

如果您設定 SSO 整合,則按一下要指定給應用程式的每個使用者或群組旁邊的指定,然後按一下完成

您選擇的使用者將同步到雲端中,並且顯示在 Control Hub 中的使用者之下。 每當您在 Okta 中移動、新增、變更或刪除使用者時,Control Hub 都會反映這些變更。


 

如果您未啟用自動指定授權範本,則使用者會同步至 Control Hub,而無需任何授權指定。 為了減少管理開銷,我們建議您先啟用自動指定授權範本,然後才能將 Okta 使用者同步至 Control Hub。