Muokkaa kertakirjautumisen todennusta Control Hubissa

Ennen kuin aloitat

Varmista, että seuraavat edellytykset täyttyvät:

  • SSO on jo määritetty. Lisätietoja kertakirjautumisen määritystoiminnon käyttämisestä on kohdassa "Kertakirjautumisen asetukset" täällä: https://help.webex.com/article/lfu88u/.

  • Verkkotunnukset on jo vahvistettu.

  • Verkkotunnukset on varattu ja otettu käyttöön. Tämä ominaisuus varmistaa, että verkkotunnuksesi käyttäjät luodaan ja päivitetään kerran joka kerta, kun he todentuvat IdP:lläsi.

  • Jos DirSync tai AzureAD on käytössä, SAML JIT:n luonti tai päivitys ei toimi.

  • "Estä käyttäjäprofiilin päivitys" on käytössä. SAML-päivitysten yhdistäminen on sallittu, koska tämä määritys hallitsee käyttäjän mahdollisuuksia muokata attribuutteja. Ylläpitäjän ohjaamia luonti- ja päivitysmenetelmiä tuetaan edelleen.

Uudet käyttäjät eivät saa automaattisesti lisenssejä, ellei organisaatiolla ole automaattista lisenssimallia määritettynä.

Käyttäjien varaaminen SAML JIT -ryhmien varaamista varten on rajoitettu vain yhteen ryhmään.

Just-in-Time (JIT)- ja SAML-yhdistämisen määrittäminen
1

Kirjaudu sisään Control Hubiin.

2

Siirry kohtaan Hallinta > Turvallisuus > Todennus.

3

Siirry Tunnistetietojen tarjoaja -välilehdelle.

4

Siirry IdP:hen ja napsauta Lisää-valikko.

5

Valitse Muokkaa SAML-määritystä.

6

Määritä Just-in-Time (JIT) -asetukset.

  • Luo tai aktivoi käyttäjä: Jos aktiivista käyttäjää ei löydy, Webex Identity luo käyttäjän ja päivittää määritteet sen jälkeen, kun käyttäjä on todennut itsensä IdP:n avulla.
  • Päivitä käyttäjä SAML-attribuuteilla: Jos käyttäjä, jolla on sähköpostiosoite, löytyy, Webex Identity päivittää käyttäjän SAML-väitteessä määritellyillä määritteillä.
Varmista, että käyttäjät voivat kirjautua sisään eri, tunnistamattomalla sähköpostiosoitteella.

7

Määritä SAML-kartoituksen pakolliset attribuutit.

Taulukko 1. Pakolliset ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

Käyttäjätunnus / Ensisijainen sähköpostiosoite

Esimerkki: uid-tunnus

Yhdistä UID-attribuutti valmistellun käyttäjän sähköpostiosoitteeseen, UPN-osoitteeseen tai edupersonprincipalname-osoitteeseen.

8

Määritä linkitysattribuutit.

Tämän tulisi olla käyttäjälle ainutlaatuinen. Sitä käytetään käyttäjän hakemiseen, jotta Webex voi päivittää kaikki profiilin ominaisuudet, mukaan lukien käyttäjän sähköpostiosoitteen.
Taulukko 2. Linkitysominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

ulkoinen tunnus

Esimerkki: käyttäjä.objektitunnus

Tämän käyttäjän tunnistamiseksi muiden yksittäisten profiilien perusteella. Tämä on tarpeen, kun hakemistojen välillä muodostetaan kartoitusta tai muutetaan muita profiiliominaisuuksia.

työntekijänumero

Esimerkki: käyttäjä.työntekijätunnus

Käyttäjän työntekijänumero tai tunnistenumero hänen HR-järjestelmässään. Huomaa, että tämä ei ole tarkoitettu externalid:lle , koska voit käyttää employeenumber uudelleen tai kierrättää sen muille käyttäjille.

Laajennusattribuutti 1

Esimerkki: käyttäjä.laajennusattribuutti1

Yhdistä nämä mukautetut määritteet laajennettuihin määritteisiin Active Directoryssa, Azuressa tai omassa hakemistossasi seurantakoodeja varten.

Laajennusattribuutti 2

Esimerkki: käyttäjä.laajennusattribuutti2

Laajennusattribuutti 3

Esimerkki: käyttäjä.laajennusattribuutti3

Laajennusattribuutti 4

Esimerkki: käyttäjä.laajennusattribuutti4

Laajennusattribuutti 5

Esimerkki: käyttäjä.laajennusattribuutti5

9

Määritä profiilin määritteet.

Taulukko 3. Profiilin ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

ulkoinen tunnus

Esimerkki: käyttäjä.objektitunnus

Tämän käyttäjän tunnistamiseksi muiden yksittäisten profiilien perusteella. Tämä on tarpeen, kun hakemistojen välillä muodostetaan kartoitusta tai muutetaan muita profiiliominaisuuksia.

työntekijänumero

Esimerkki: käyttäjä.työntekijätunnus

Tämän käyttäjän työntekijänumero tai tunnistenumero hänen HR-järjestelmässään. Huomaa, että tämä ei koske "externalid"-arvoa, koska voit käyttää "employeenumber"-arvoa uudelleen tai kierrättää sen muille käyttäjille.

ensisijainen kieli

Esimerkki: käyttäjän.ensisijainen kieli

Käyttäjän ensisijainen kieli.

kieliasetus

Esimerkki: käyttäjä.kieli

Käyttäjän ensisijainen työpaikka.

aikavyöhyke

Esimerkki: käyttäjä.aikavyöhyke

Käyttäjän ensisijainen aikavyöhyke.

näyttönimi

Esimerkki: käyttäjä.näyttönimi

Käyttäjän näyttönimi Webexissä.

nimi.etunimi

Esimerkki: käyttäjän etunimi

Käyttäjän etunimi.

nimi.sukunimi

Esimerkki: käyttäjä.sukunimi

Käyttäjän sukunimi.

osoitteet.katuosoite

Esimerkki: käyttäjä.katuosoite

Heidän ensisijaisen työpaikkansa katuosoite.

osoitteet.osavaltio

Esimerkki: käyttäjä.tila

Heidän ensisijaisen työpaikkansa osavaltio.

osoitteet.alue

Esimerkki: käyttäjä.alue

Heidän ensisijaisen työpaikkansa alue.

osoitteet.postinumero

Esimerkki: käyttäjä.postinumero

Heidän ensisijaisen työpaikkansa postinumero.

osoitteet.maa

Esimerkki: käyttäjä.maa

Heidän ensisijaisen työpaikkansa maa.

puhelinNumbers.work

Esimerkki: työpuhelinnumero

Ensisijaisen työpaikan työpuhelinnumero. Käytä ainoastaan kansainvälistä E.164-muotoa (enintään 15 numeroa).

puhelinNumbers.extension

Esimerkki: matkapuhelinnumero

Ensisijaisen työpuhelinnumeron työlaajennus. Käytä ainoastaan kansainvälistä E.164-muotoa (enintään 15 numeroa).

pronomini

Esimerkki: käyttäjä.pronomini

Käyttäjän pronominit. Tämä on valinnainen ominaisuus, ja käyttäjä tai ylläpitäjä voi tehdä sen näkyväksi profiilissaan.

otsikko

Esimerkki: käyttäjä.työnimike

Käyttäjän työtehtävänimike.

osasto

Esimerkki: käyttäjä.osasto

Käyttäjän työosasto tai -tiimi.

pronomini

Esimerkki: käyttäjä.pronomini

Tämä on käyttäjän pronomini. Tämän ominaisuuden näkyvyyttä hallitsevat ylläpitäjä ja käyttäjä.

johtaja

Esimerkki: johtaja

Käyttäjän esimies tai tiiminvetäjä.

kustannuspaikka

Esimerkki: kustannuspaikka

Tämä on käyttäjän sukunimi, joka tunnetaan myös sukunimenä tai sukunimenä.

sähköposti.vaihtoehto1

Esimerkki: käyttäjä.sähköpostinlempinimi

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto2

Esimerkki: käyttäjä.ensisijainenauktoriteettisähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto3

Esimerkki: käyttäjä.vaihtoehtoinenauktoriteettisähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto4

Esimerkki: käyttäjä.toinensähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.

sähköposti.vaihtoehto5

Esimerkki: käyttäjä.toinensähköposti

Vaihtoehtoinen sähköpostiosoite käyttäjälle. Jos haluat käyttäjän voivan kirjautua sisään sitä käyttäen, yhdistä se uid:hen.
10

Määritä Laajennusattribuutit.

Yhdistä nämä määritteet laajennettuihin määritteisiin Active Directoryssa, Azuressa tai omassa hakemistossasi seurantakoodeja varten.
Taulukko 4. Laajennusattribuutit

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Laajennusattribuutti 1

Esimerkki: käyttäjä.laajennusattribuutti1

Laajennusattribuutti 2

Esimerkki: käyttäjä.laajennusattribuutti2

Laajennusattribuutti 3

Esimerkki: käyttäjä.laajennusattribuutti3

Laajennusattribuutti 4

Esimerkki: käyttäjä.laajennusattribuutti4

Laajennusattribuutti 5

Esimerkki: käyttäjä.laajennusattribuutti5

Laajennusattribuutti 6

Esimerkki: käyttäjä.laajennusattribuutti6

Laajennusattribuutti 7

Esimerkki: käyttäjä.laajennusattribuutti7

Laajennusattribuutti 8

Esimerkki: käyttäjä.laajennusattribuutti8

Laajennusattribuutti 9

Esimerkki: käyttäjä.laajennusattribuutti9

Laajennusattribuutti 10

Esimerkki: käyttäjä.laajennusattribuutti10

11

Määritä Ryhmän määritteet.

  1. Luo ryhmä Control Hubissa ja kirjoita muistiin Webex-ryhmän tunnus.
  2. Siirry käyttäjähakemistoosi tai IdP:hen ja määritä attribuutti käyttäjille, joille Webex-ryhmätunnus liitetään.
  3. Päivitä IdP:si määritykset lisäämällä vaatimus, jossa on tämä attribuutin nimi sekä Webex-ryhmän tunnus (esim. c65f7d85-b691-42b8-a20b-12345xxxx). Voit käyttää ulkoista tunnusta myös ryhmien nimien muutosten hallintaan tai tulevia integrointiskenaarioita varten. Esimerkiksi synkronointi Azure AD:n kanssa tai SCIM-ryhmäsynkronoinnin toteuttaminen.
  4. Määritä SAML-väitteessä lähetettävän attribuutin tarkka nimi ryhmätunnuksen kanssa. Tätä käytetään käyttäjän lisäämiseen ryhmään.
  5. Määritä ryhmäobjektin ulkoisen tunnuksen tarkka nimi, jos käytät hakemistostasi olevaa ryhmää jäsenten lähettämiseen SAML-väitteessä.

Jos käyttäjä A on liitetty ryhmään groupID 1234 ja käyttäjä B ryhmään groupID 4567, heidät on liitetty eri ryhmiin. Tämä skenaario osoittaa, että yksi attribuutti sallii käyttäjien liittyä useisiin ryhmätunnuksiin. Vaikka tämä on harvinaista, se on mahdollista ja sitä voidaan pitää additiivisena muutoksena. Jos käyttäjä A esimerkiksi kirjautuu sisään aluksi käyttämällä groupID 1234, hänestä tulee vastaavan ryhmän jäsen. Jos käyttäjä A kirjautuu myöhemmin sisään käyttämällä groupID 4567, hänet lisätään myös tähän toiseen ryhmään.

SAML JIT -valmistelu ei tue käyttäjien poistamista ryhmistä tai käyttäjien poistamista kokonaan.

Taulukko 5. Ryhmän ominaisuudet

Webex Identity -attribuutin nimi

SAML-attribuutin nimi

Ominaisuuden kuvaus

ryhmätunnus

Esimerkki: ryhmätunnus

Yhdistä IdP:n ryhmän määritteet Webex Identity -ryhmän määritteisiin, jotta käyttäjä voidaan yhdistää ryhmään lisensointia tai asetuspalvelua varten.

ryhmän ulkoinen tunnus

Esimerkki: ryhmän ulkoinen tunnus

Yhdistä IdP:n ryhmän määritteet Webex Identity -ryhmän määritteisiin, jotta käyttäjä voidaan yhdistää ryhmään lisensointia tai asetuspalvelua varten.

Katso Webex Meetings -kokousten SAML-väittämien luettelo kohdasta https://help.webex.com/article/WBX67566.