跨網域身分識別管理系統 (SCIM)

目錄中與 Control Hub 的使用者之間的整合會使用「跨網域身分識別管理系統 (SCIM)」API。SCIM 是一種開放式標準,用於自動化在身分網域與 IT 系統之間進行的使用者身分資訊交換作業。SCIM 旨在讓您更輕鬆地管理雲端型應用程式與服務中的使用者身分。SCIM 透過 REST 使用標準化 API。


 
如果您的組織已使用目錄連接器同步使用者,則您無法從 Okta 同步使用者。

 

Okta 整合僅支援下列屬性:

  • userName
  • displayName
  • name.familyName
  • name.givenName
  • externalId
  • title

多值屬性, PhoneNumber (適用於 ) mobilework ,以及 Address 不受 Okta 支援,因為 的作業 PATCH, PUT ,或 DELETE 未由 Okta 應用程式傳遞至 Webex。

請從 Okta 對地圖移除這些屬性,或者從同步組配置移除更新。

支援的功能

此整合支援 Okta 中的以下使用者同步功能:

  • 建立使用者 — 當在 Okta 中將應用程式指定給使用者時,在 Webex 應用程式中建立或連結使用者。

  • 更新消費者屬性 — 當指定應用程式時,Okta 會更新 Webex 應用程式中使用者的屬性。對 Okta 使用者設定檔進行的未來屬性變更會自動覆寫 Webex Cloud 中的相應屬性值。

  • 停用使用者 — 在 Okta 中取消分配使用者的 Webex 應用程式帳戶或停用其 Okta 帳戶時停用該帳戶。如果您將應用程式重新指定給 Okta 中的使用者,則可以重新啟動帳戶。


 
我們不支援從 Okta 與 Webex 組織同步群組。

新增 Webex 至 Okta

在將 Control Hub 配置為使用 Okta 自動提供使用者之前,您需要將 Webex 從 Okta 應用程式藝廊新增到受管理的應用程式清單中。您還必須選擇驗證方法。目前,Control Hub 中的 Webex 服務僅支援使用 Okta 的同盟 SSO。

準備工作

  • Okta 要求您擁有有效的 Okta Tenant 以及對其平台的現行授權。您還必須擁有現行付費訂閱和 Webex 組織。

  • 在您的 Webex 組織中,您必須設定自動授權指定範本,否則在 Control 中新同步的使用者將不會為 Webex 服務指定授權。更多資訊,請參閱 在 Control Hub 中設定自動授權指定範本

  • 本檔未涵蓋 Control Hub SSO單一登入 (SSO) 整合。在您設定使用者佈建之前,應該先從 Okta SSO 整合開始。有關整合SSO,請參閱 Control Hub 單一登入 Okta

1

請登錄 Okta 租使用者 ( example.okta.com ,其中 example 是作為管理員的公司或組織名稱,請 轉至應用程式,然後按一下新增 應用程式

2

搜尋 Cisco Webex 並將應用程式新增至您的租戶。

如果您已將 Okta SSO 整合至您的 Control Hub 組織,則可以跳過上述步驟,然後只需重新開啟 Okta 應用程式清單中的 Cisco Webex 項目。

3

在單獨的瀏覽器標籤中,轉到 https://admin.webex.com 的客戶檢視,按一下您的組織名稱,然後在公司資訊旁邊複製您的組織 ID

記錄組織 ID(複製並貼到文字檔案中)。您將使用該 ID 執行下一個過程。

為使用者同步設定 Okta

準備工作

請務必保留前一過程中的組織 ID。

1

在 Okta Tenant 中,移至佈建,按一下設定 API 整合,然後勾選啟用 API 整合

2

組織 ID 欄位中輸入 ID 值。

3

遵循下列步驟以為秘密權杖取得持有人權杖值:

  1. 複製下列 URL 並在匿名瀏覽器標籤中執行它: https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose


     
    以上 URL 適用於預設 Webex ID 代理。如果您將 Webex 用於政府,請使用以下 URL 來取得無名權杖:

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    匿名瀏覽器對於確保您使用正確的管理員認證進行登入非常重要。如果您已經以無法建立使用者的較低特權使用者登登,您返回的權杖無法建立使用者。

  2. 從顯示的 Webex 登入頁,使用組織的完全管理員帳戶登入。

    即會出現一個錯誤頁面指出無法存取該網站,但這是正常的。

    錯誤頁面的 URL 包括產生的權杖。此權杖的有效期為 365 天(在這段時間後就過期)。

  3. 從瀏覽器網址列中的 URL,複製 access_token=&token_type=Bearer

    例如,下列 URL 中突出顯示了權杖值:HTTP://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose。


     

    我們建議您將此值儲存在文字檔中作為記號的記錄,以防 URL 再不可用。

4

回到 Okta,將持有人權杖貼到 API 權杖欄位,然後按一下測驗 API 憑證

這時會出現一則訊息,指出已成功驗證 Webex。

5

移至 佈建 > 設定 > 至應用程式,然後指定您想要的使用者同步功能。

6

按一下指定內容,按一下指定,然後選擇其中一項:

  • 指定給人員(如果您想將 Webex 指定給個別使用者)。
  • 指定給群組(如果您想將 Webex 指定給某個群組中的多個使用者)。
7

如果您設定 SSO 整合,則按一下要指定給應用程式的每個使用者或群組旁邊的指定,然後按一下完成

您選擇的使用者將同步到雲端中,並且顯示在 Control Hub 中的使用者之下。每當您在 Okta 中移動、新增、變更或刪除使用者時,Control Hub 都會反映這些變更。


 

如果您未啟用自動指定授權範本,則使用者會同步至 Control Hub,而無需任何授權指定。為了減少管理開銷,我們建議您先啟用自動指定授權範本,然後才能將 Okta 使用者同步至 Control Hub。