在 Control Hub 中修改單一登入驗證

準備工作

確保滿足下列先決條件:

  • SSO已配置。有關使用 SSO 設定精靈的信息,請參閱此處的「SSO 設定」部分: https://help.webex.com/article/lfu88u/

  • 這些網域已經過驗證。

  • 域名已被聲明並開啟。此功能可確保您網域中的使用者每次透過您的 IdP 進行身份驗證時都會建立並更新一次。

  • 如果啟用了 DirSync 或 AzureAD,則 SAML JIT 建立或更新將無法運作。

  • 「封鎖消費者設定檔更新」已啟用。允許 SAML 更新對圖,因為此配置控制使用者編輯屬性的能力。仍支援由管理員控制的建立和更新方法。

新建立的使用者不會自動獲得授權,除非組織 已設定自動授權 範本。

針對群組的 SAML JIT 配置的使用者配置僅限於單一群組。

設定即時 (JIT) 和 SAML 映射
1

登入 Control Hub。

2

前往 管理 > 安全 > 驗證

3

轉到 身份提供者 選項卡。

4

轉到 IdP 並點擊 「更多」功能表

5

選擇 編輯 SAML 映射

6

配置 即時(JIT)設定

  • 建立或啟用使用者:如果沒有找到活動用戶,則 Webex Identity 會在使用者透過 IdP 進行驗證後建立該使用者並更新屬性。
  • 使用 SAML 屬性更新使用者:如果找到具有電子郵件地址的使用者,則 Webex 身份識別會使用 SAML 聲明中對應的屬性來更新使用者。
確認使用者可以使用不同的、無法辨識的電子郵件地址登入。

7

配置 SAML 映射所需屬性

表 1. 必要屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

使用者名稱/主要電子郵件地址

範例:uid

將 UID 屬性對應至已佈建使用者的電子郵件、UPN 或 edupersonprincipalname。

8

配置 連結屬性

這對用戶來說應該是唯一的。它用於查找用戶,以便 Webex 可以更新所有個人資料屬性,包括用戶的電子郵件。
表 2. 連結屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

使用者的員工編號,或其人力資源系統內的識別號碼。請注意,這不適用於 externalid,因為您可以為其他使用者重複使用或回收 employeenumber

延伸屬性 1

範例:user.extensionattribute1

將這些自訂屬性對應到 Active Directory、Azure 或您的目錄中的擴充屬性,以用於追蹤程式碼。

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:使用者.extensionlattribute4

延伸屬性 5

範例:user.extensionattribute5

9

配置 設定檔屬性

表格 3. 設定檔屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例:user.objectid

從其他個人設定檔中識別該使用者。在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

employeenumber

範例:user.employeeid

此使用者的員工號碼,或其人力資源系統內的標識號。請注意,這不是針對「externalid」的,因為您可以為其他使用者重新使用或回收「employeenumber」。

preferredLanguage

範例:user.preferredlanguage

使用者偏好的語言。

locale

範例:user.locale

使用者的主要工作位置。

timezone

範例:user.timezone

使用者的主要時區。

displayName

範例:user.displayname

Webex 中的使用者顯示名稱。

name.givenName

範例:user.givenname

使用者的名字。

name.familyName

範例:user.姓氏

使用者的姓氏。

addresses.streetAddress

範例:user.streetaddress

使用者主要工作位置的街道地址。

addresses.state

範例:user.state

主要工作位置的狀態。

addresses.region

範例:user.region

使用者主要工作位置的地區。

addresses.postalCode

範例:user.postalcode

使用者主要工作位置的郵遞區號。

address.country

範例:user.country

使用者主要工作位置的國家。

phoneNumbers.work

範例:公司電話號碼

使用者主要工作位置的工作電話號碼。僅使用國際 E.164 格式(最多 15 位)。

phoneNumbers.extension

範例:行動電話號碼

使用者主要工作電話號碼的工作分機號。僅使用國際 E.164 格式(最多 15 位)。

代詞

範例:user.pronoun

使用者的代詞。這是可選屬性,使用者或管理員可以令其設定檔上顯示它。

title

範例:user.jobtitle

使用者的職稱。

department

範例:user.department

使用者的工作部門或團隊。

代詞

範例:user.pronoun

這是使用者的代詞。此屬性的可見度由管理員和使用者控制

manager

範例:manager

使用者的經理或團隊領導。

成本中心

範例:成本中心

這是使用者的姓氏,也稱為姓氏或姓氏

email.alternate1

範例:user.mailnickname

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate2

範例:user.primaryauthorititativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate3

範例:user.alternativeauthoritativemail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate4

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。

email.alternate5

範例:user.othermail

使用者的備用電子郵件地址。如果您希望使用者能夠使用它來登錄,請對圖至 uid。
10

配置 擴充屬性

針對 Active Directory,將這些屬性對Active Directory或您的目錄中的延伸追蹤碼。
表 4. 擴充屬性

Webex 身分屬性名稱

SAML 屬性名稱

延伸屬性 1

範例:user.extensionattribute1

延伸屬性 2

範例:user.extensionattribute2

延伸屬性 3

範例:user.extensionattribute3

延伸屬性 4

範例:user.extensionattribute4

延伸屬性 5

範例:user.extensionattribute5

延伸屬性 6

範例:user.extensionattribute6

延伸屬性 7

範例:user.extensionattribute7

延伸屬性 8

範例:user.extensionattribute8

延伸屬性 9

範例:user.extensionattribute9

延伸屬性 10

範例:user.extensionattribute10

11

配置 組屬性

  1. 在 Control Hub 中建立一個群組並記下 Webex 群組 ID。
  2. 前往您的使用者目錄或 IdP 並為將指派到 Webex 群組 ID 的使用者設定屬性。
  3. 更新您的 IdP 配置以包含帶有此屬性名稱以及 Webex 群組 ID 的聲明(例如 c65f7d85-b691-42b8-a20b-12345xxxx)。您也可以使用外部 ID 來管理群組名稱的變更或用於未來的整合場景。例如,與 Azure AD 同步或實作 SCIM 群組同步。
  4. 指定將在 SAML 斷言中與群組 ID 一起傳送的屬性的確切名稱。這用於將用戶添加到群組。
  5. 如果您使用目錄中的群組來傳送 SAML 斷言中的成員,請指定群組物件外部 ID 的確切名稱。

如果使用者 A 與 groupID 1234 相關聯,而使用者 B 與 groupID 4567 相關聯,則他們將被指派到不同的群組。此場景表示單一屬性允許使用者與多個群組 ID 關聯。雖然這種情況並不常見,但卻是可能的,並且可以被視為一種附加變化。例如,如果使用者 A 最初使用 groupID 1234 登錄,則他們成為對應群組的成員。如果使用者 A 稍後使用 groupID 4567 登錄,他們也會被加入到第二個群組。

SAML JIT 設定不支援從群組中刪除使用者或任何刪除使用者的操作。

表 5. 組屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

群組編號

範例:群組編號

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

群組外部ID

範例:群組外部ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

有關詳細資訊的 SAML 判斷屬性清單Webex Meetings,請參閱 https://help.webex.com/article/WBX67566