在 Control Hub 中修改單一登入驗證

準備工作

確保滿足下列先決條件:

  • SSO已配置。有關使用SSO設定精靈的資訊,請參閱這裡的「SSO設定」一節:https://help.webex.com/article/lfu88u/

  • 這些網域已經過驗證。

  • 已宣告並開啟網域。此功能可確保您網域中的使用者每次使用您的 IdP 進行驗證時都建立和更新一次。

  • 如果已啟用 DirSync 或 AzureAD,則SAML JIT 建立或更新將無法正常運作。

  • 「封鎖消費者設定檔更新」已啟用。允許 SAML 更新對圖,因為此配置控制使用者編輯屬性的能力。仍支援由管理員控制的建立和更新方法。

新建立的使用者不會自動獲得授權,除非組織 已設定自動授權 範本。

群組的SAML JIT 佈建的使用者佈建僅限於單個群組。

配置即時 (JIT) 和SAML對映
1

登入 Control Hub。

2

轉至管理 >組織設定,捲動至單一登入 並按一下管理SSO和 IdP

3

轉至身分識別提供者 標籤。

4

移至 IdP 並按一下「更多」功能表

5

選取編輯SAML映

6

設定即時 (JIT) 設定

  • 建立或啟用使用者:如果找不到使用中的使用者,則Webex Identity 會建立該使用者,並在使用者已使用 IdP 進行驗證後更新屬性。
  • 使用 SAML 屬性更新使用者:如果找到具有電子郵件地址的使用者,則 Webex 身份識別會使用 SAML 聲明中對應的屬性來更新使用者。
確認使用者可以使用其他無法識別的電子郵件地址登入。

7

設定SAML映所需屬性

表 1. 必要屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

使用者名稱/主要電子郵件地址

範例:uid

將 UID 屬性對應至已佈建使用者的電子郵件、UPN 或 edupersonprincipalname。

8

設定鏈結屬性

這對於使用者應該是獨一無二的。它用於查找使用者,以便Webex可以更新所有設定檔屬性,包括使用者的電子郵件地址。
表 2. 鏈結屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

使用者的員工號或其 HR 系統中的識別號。請注意,這不適用於外部 ID ,因為您可以重複使用或循環利用員工號 供其他使用者使用。

延伸屬性 1

範例:user.extensionattribute1

將這些自訂屬性對映至Active Directory、Azure 或您的目錄中的擴展屬性,以獲取追蹤碼。

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:使用者.擴充功能屬性4

延伸屬性 5

範例:user.extensionattribute5

9

設定設定檔屬性

表格 3. 設定檔屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

此使用者的員工號碼,或其人力資源系統內的標識號。請注意,這不是針對「externalid」的,因為您可以為其他使用者重新使用或回收「employeenumber」。

preferredLanguage

範例:user.preferredlanguage

使用者偏好的語言。

locale

範例:user.locale

使用者的主要工作位置。

timezone

範例:user.timezone

使用者的主要時區。

displayName

範例:user.displayname

Webex 中的使用者顯示名稱。

name.givenName

範例:user.givenname

使用者的名字。

name.familyName

範例:user.姓氏

使用者的姓氏。

addresses.streetAddress

範例:user.streetaddress

使用者主要工作位置的街道地址。

addresses.state

範例:user.state

主要工作位置的狀態。

addresses.region

範例:user.region

使用者主要工作位置的地區。

addresses.postalCode

範例:user.postalcode

使用者主要工作位置的郵遞區號。

address.country

範例:user.country

使用者主要工作位置的國家。

phoneNumbers.work

範例:公司電話號碼

使用者主要工作位置的工作電話號碼。僅使用國際 E.164 格式(最多 15 位)。

phoneNumbers.extension

範例:行動電話號碼

使用者主要工作電話號碼的工作分機號。僅使用國際 E.164 格式(最多 15 位)。

代詞

範例:user.pronoun

使用者的代詞。這是可選屬性,使用者或管理員可以令其設定檔上顯示它。

title

範例:user.jobtitle

使用者的職稱。

department

範例:user.department

使用者的工作部門或團隊。

代詞

範例:user.pronoun

這是使用者的代詞。此屬性的可見度由管理員和使用者控制

manager

範例:manager

使用者的經理或團隊領導。

成本中心

範例:成本中心

這是使用者的姓氏,也稱為姓氏或姓氏

email.alternate1

範例:user.mailnickname

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate2

範例:user.primaryauthorititativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate3

範例:user.alternativeauthoritativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate4

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate5

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。
10

設定分機屬性

針對 Active Directory,將這些屬性對Active Directory或您的目錄中的延伸追蹤碼。
表 4. 擴充屬性

Webex 身分屬性名稱

SAML 屬性名稱

延伸屬性 1

範例:user.extensionattribute1

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:user.extensionattribute4

延伸屬性 5

範例:user.extensionattribute5

延伸屬性 6

範例:user.extensionattribute6

延伸屬性 7

範例:user.extensionattribute7

延伸屬性 8

範例:user.extensionattribute8

延伸屬性 9

範例:user.extensionattribute9

延伸屬性 10

範例:user.extensionattribute10

11

設定群組屬性

  1. 在 Control Hub 中建立群組,並記下Webex群組ID。
  2. 轉至您的使用者目錄或 IdP,然後為將被指派給Webex群組ID的使用者"安裝;設定"屬性。
  3. 更新 IdP 的設定以包含帶有此屬性名稱以及Webex群組ID的宣告(例如 c65f7d85-b691-42b8-a20b-12345xxxx )。您還可以使用外部ID來管理群組名稱的變更或用於未來的整合場景。例如,與 Azure AD 同步或實施 SCIM 群組同步。
  4. 使用群組ID指定將在SAML聲明中傳送的屬性的確切名稱。這用於將使用者新增至群組。
  5. 如果您使用目錄中的群組在SAML聲明中傳送成員,請指定群組物件的外部ID的確切名稱。

如果使用者 A 與群組 ID 1234 和使用者 B 的群組 ID 4567 時,它們會被指定給不同的群組。此情境表示單一屬性允許使用者與多個群組 ID 建立關聯。雖然這並不常見,但有可能而且可被視為附加變更。例如,如果使用者 A 最初使用 來登入群組 ID 1234,他們成為相應群組的成員。如果使用者 A 稍後使用群組 ID 4567 時,它們也會新增至第二個群組。

SAML JIT 佈建不支援從群組中移除使用者,或對使用者進行任何刪除。

表 5. 群組屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

群組 ID

範例:群組 ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

群組外部 ID

範例:群組外部 ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

有關詳細資訊的 SAML 判斷屬性清單Webex Meetings,請參閱 https://help.webex.com/article/WBX67566