在 Control Hub 中修改單一登入驗證

準備工作

確保滿足以下先決條件:

  • 已設定SSO 。 有關使用SSO設定精靈的資訊,請參閱這裡的「SSO設定」一節: https://help.webex.com/article/lfu88u/

  • 網域已驗證。

  • 已宣告並開啟網域。 此功能可確保您網域中的使用者每次使用您的 IdP 進行驗證時都建立和更新一次。

  • 如果已啟用 DirSync 或 AzureAD,則SAML JIT 建立或更新將無法正常運作。

  • 「封鎖使用者設定檔更新」已啟用。 允許SAML更新對映,因為此組態控制使用者編輯屬性的能力。 仍支援管理員控制的建立和更新方法。


 

新建使用者不會自動獲得指派的授權,除非組織具有自動授權範本"安裝;設定"。

群組的SAML JIT 佈建的使用者佈建僅限於單個群組。

配置即時 (JIT) 和SAML對映

1

登入 Control Hub。

2

轉至管理>組織設定,捲動至單一登入並按一下管理SSO和 IdP

3

轉至身分識別提供者標籤。

4

移至 IdP 並按一下

5

選取編輯SAML映

6

設定即時 (JIT) 設定

  • 建立或啟用使用者: 如果找不到使用中的使用者,則Webex Identity 會建立該使用者,並在使用者已使用 IdP 進行驗證後更新屬性。
  • 更新使用者的 SAML 屬性: 如果找到具有電子郵件地址的使用者,則Webex身分使用SAML聲明中所對應的屬性更新該使用者。
確認使用者可以使用其他無法識別的電子郵件地址登入。
7

設定SAML映所需屬性

表 1. 必要屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

使用者名稱/主要電子郵件地址

範例: uid

將 UID 屬性對應至已佈建使用者的電子郵件、UPN 或 edupersonprincipalname。

8

設定鏈結屬性

這對於使用者應該是獨一無二的。 它用於查找使用者,以便Webex可以更新所有設定檔屬性,包括使用者的電子郵件地址。
表格 2. 鏈結屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例: 使用者.物件 ID

從其他個人設定檔中識別該使用者。 在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

員工號

範例: 使用者.員工 ID

使用者的員工號或其 HR 系統中的識別號。 請注意,這不適用於 externalid ,因為您可以重複使用或循環利用 employeenumber 供其他使用者使用。

分機屬性 1

範例: 使用者.擴充功能屬性 1

將這些自訂屬性對映至Active Directory、Azure 或您的目錄中的擴展屬性,以獲取追蹤碼。

分機屬性 2

範例: 使用者.擴充功能屬性 2

分機屬性 3

範例: 使用者.擴充功能屬性3

分機屬性 4

範例: 使用者.擴充功能屬性4

分機屬性 5

範例: 使用者.擴充功能屬性5

9

設定設定檔屬性

表 3. 設定檔屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

externalId

範例: 使用者.物件 ID

從其他個人設定檔中識別該使用者。 在目錄之間對應或變更其他設定檔屬性時,這是必需步驟。

員工號

範例: 使用者.員工 ID

此使用者的員工號或其 HR 系統中的識別號。 請注意,這不適用於「externalid」,因為您可以為其他使用者重複使用或循環「員工號碼」。

preferredLanguage

範例: 使用者.偏好語言

使用者偏好的語言。

locale

範例: 使用者.locale

使用者的主要工作位置。

timezone

範例: 使用者.時區

使用者的主要時區。

displayName

範例: 使用者.顯示名稱

Webex 中的使用者顯示名稱。

name.givenName

範例: 使用者.給定名稱

使用者的名字。

name.familyName

範例: 使用者姓氏

使用者的姓氏。

地址.街道地址

範例: 使用者.街道地址

使用者主要工作位置的街道地址。

地址.狀態

範例: 使用者狀態

其主要工作位置的狀態。

地址.區域

範例: 使用者.區域

使用者主要工作位置的地區。

地址.郵遞區號

範例: 使用者.郵遞區號

使用者主要工作位置的郵遞區號。

地址.國家/地區

範例: 使用者.國家

使用者主要工作位置的國家。

phoneNumbers.工作

範例: 工作電話號碼

使用者主要工作位置的工作電話號碼。 僅使用國際 E.164 格式(最多 15 位)。

phoneNumbers.ex 分機

範例: 行動電話號碼

使用者主要工作電話號碼的工作分機號。 僅使用國際 E.164 格式(最多 15 位)。

代詞

範例: 使用者代詞

使用者的代詞。 這是可選屬性,使用者或管理員可以在其設定檔中將其設為可見。

標題

範例: 使用者.工作標題

使用者的職稱。

部門

範例: 使用者.部門

使用者的工作部門或團隊。

代詞

範例: 使用者代詞

這是使用者的代詞。 此屬性的可見性由管理員和使用者控制

manager

範例: manager

使用者的經理或其團隊主管。

成本中心

範例: 成本中心

這是使用者的姓氏,也稱為姓氏或姓氏。

電子郵件.替代1

範例: 使用者.郵件別名

使用者的替代電子郵件地址。 如果您希望使用者能夠使用它來登入,請將其對映至 uid。

電子郵件.替代2

範例: user.primary授權郵件

使用者的替代電子郵件地址。 如果您希望使用者能夠使用它來登入,請將其對映至 uid。

電子郵件.替代3

範例: 使用者.替代授權郵件

使用者的替代電子郵件地址。 如果您希望使用者能夠使用它來登入,請將其對映至 uid。

email.alternate4

範例: 使用者.其他郵件

使用者的替代電子郵件地址。 如果您希望使用者能夠使用它來登入,請將其對映至 uid。

電子郵件.alternate5

範例: 使用者.其他郵件

使用者的替代電子郵件地址。 如果您希望使用者能夠使用它來登入,請將其對映至 uid。
10

設定分機屬性

將這些屬性對映至Active Directory、Azure 或目錄中的擴展屬性,以獲取追蹤碼。
表 4. 分機屬性

Webex 身分屬性名稱

SAML 屬性名稱

分機屬性 1

範例: 使用者.擴充功能屬性 1

分機屬性 2

範例: 使用者.擴充功能屬性 2

分機屬性 3

範例: 使用者.擴充功能屬性3

分機屬性 4

範例: 使用者.擴充功能屬性4

分機屬性 5

範例: 使用者.擴充功能屬性5

分機屬性 6

範例: 使用者.擴充功能屬性6

分機屬性 7

範例: 使用者.擴充功能屬性7

分機屬性 8

範例: 使用者.擴充功能屬性8

分機屬性 9

範例: 使用者.擴充功能屬性9

分機屬性 10

範例: 使用者.擴充功能屬性 10

11

設定群組屬性

  1. 在 Control Hub 中建立群組,並記下Webex群組ID。
  2. 轉至您的使用者目錄或 IdP,然後為將被指派給Webex群組ID的使用者"安裝;設定"屬性。
  3. 更新 IdP 的設定以包含帶有此屬性名稱以及Webex群組ID的宣告(例如 c65f7d85-b691-42b8-a20b-12345xxxx )。 您還可以使用外部ID來管理群組名稱的變更或用於未來的整合場景。 例如,與 Azure AD 同步或實施 SCIM 群組同步。
  4. 使用群組ID指定將在SAML聲明中傳送的屬性的確切名稱。 這用於將使用者新增至群組。
  5. 如果您使用目錄中的群組在SAML聲明中傳送成員,請指定群組物件的外部ID的確切名稱。

 

如果使用者 A 與 groupID 1234 和使用者 B 的 groupID 4567 時,它們會被指定給不同的群組。 此情境表示單一屬性允許使用者與多個群組 ID 建立關聯。 雖然這並不常見,但有可能而且可被視為附加變更。 例如,如果使用者 A 最初使用 來登入 groupID 1234,他們成為相應群組的成員。 如果使用者 A 稍後使用 groupID 4567 時,它們也會新增至第二個群組。

SAML JIT 佈建不支援從群組中移除使用者,或對使用者進行任何刪除。

表 5. 群組屬性

Webex 身分屬性名稱

SAML 屬性名稱

屬性說明

群組 ID

範例: 群組 ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

群組外部 ID

範例: 群組外部 ID

將 IdP 中的群組屬性對應至 Webex 身份識別群組屬性,以便將該使用者對應至某個群組進行授權或設定服務。

如需Webex Meetings的SAML判斷提示屬性的清單,請參閱https://help.webex.com/article/WBX67566