Autentificarea unică (SSO) permite utilizatorilor să se conecteze în siguranță la Webex prin autentificarea la furnizorul comun de identitate al organizației dvs. Un furnizor de identitate (IdP) stochează și gestionează în siguranță identitățile digitale ale utilizatorilor dvs. și oferă serviciul de autentificare pentru utilizatorii Webex.

De ce ați putea avea nevoie de mai mulți IdP-uri

Multe companii mari trec prin fuziuni și achiziții, iar aceste companii au rareori aceeași infrastructură IT și furnizori de identitate. Instituțiile guvernamentale au în subordinea lor diverse organizații și agenții. Adesea, aceste organizații au o singură adresă de e-mail pentru propriile departamente IT, respectiv infrastructură. Marile instituții de învățământ au un departament central de achiziții, dar diferite universități și colegii au organizații și departamente IT diferite.

Este obișnuit să vezi IdP-uri și furnizori de servicii (SP) federați între ei. IdP-ul este responsabil pentru autentificarea acreditărilor utilizatorilor, iar SP-ul are încredere în autentificarea efectuată de IdP. Acest lucru permite utilizatorilor să acceseze diverse aplicații și servicii SaaS folosind aceeași identitate digitală. Însă, dacă, dintr-un anumit motiv, organizația dumneavoastră nu se poate conecta între IdP-uri, Webex oferă o soluție pentru a accepta mai mulți IdP-uri. Din aceste motive, vă oferim opțiunea de a configura SSO pentru mai mulți IdP-uri în Webex și de a simplifica procesul de autentificare a utilizatorilor.

Limitări

  • În prezent, acceptăm doar SAML, OpenID Connect și Webex Identity ca furnizori de identitate.

În afara domeniului de aplicare

  • Configurați atribuirile de grup.

Această secțiune prezintă modul în care puteți integra furnizorii de identitate (IdP) cu organizația dvs. Webex. Puteți alege IdP-urile care se potrivesc cel mai bine cerințelor organizației dumneavoastră.

Dacă doriți integrarea SSO a unui site Webex Meetings (gestionat în Administrarea site-ului), consultați Configurarea Single Sign-On pentru Administrarea Webex.

Cerințe preliminare

Înainte de a începe

Asigurați-vă că sunt îndeplinite următoarele condiții:

    • Trebuie să aveți un rol de administrator complet în Control Hub.
    • Un fișier de metadate de la IdP pentru a fi dat către Webex și un fișier de metadate de la Webex, pentru a fi dat către IdP. Pentru mai multe informații, consultați Integrarea Single Sign-On în Control Hub. Acest lucru este aplicabil numai configurației SAML.
    • Ar trebui să planificați comportamentul regulilor de rutare înainte de a configura mai multe IdP-uri.

    Regula de rutare implicită se aplică odată ce configurați IdP-ul inițial. Dar puteți seta un alt IdP ca implicit. Consultați Adăugați sau editați regula de rutare în fila Reguli de rutare din acest articol.

Configurați SAML
1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate și faceți clic pe Activare SSO.

4

Selectați SAML ca IdP și faceți clic pe Următorul.

5

Alegeți tipul de certificat:

  • Autosemnat de Cisco— Recomandăm această opțiune. Permiteți-ne să semnăm certificatul, astfel încât să trebuiască să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate de certificare publică— Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru a verifica certificatul unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

6

Faceți clic Descărcați metadatele și faceți clic pe Înainte.

Numele fișierului de metadate al aplicației Webex este idb-meta-<org-ID>-SP.xml.

7

Încărcați fișierul de metadate IdP-uri sau completați formularul de configurare.

La încărcarea fișierului de metadate, există două modalități de validare a metadatelor de la IdP-ul clientului:

  • IdP clientului furnizează o semnătură în metadate, care este semnată de o autoritate publică de certificare cu rol de rădăcină.
  • IdP-ul clientului furnizează un certificat privat autosemnat de o autoritate de certificare sau nu furnizează o semnătură pentru metadatele lor. Această opțiune nu este la fel de sigură.
Altfel, în formularul de configurare, introduceți informațiile IdP.

Faceți clic pe Înainte.

8

(Opțional) Puteți schimba numele atributului SAML pentru Nume utilizator Webex sau Adresă de e-mail principală de la uid la ceva convenit cu managerul IdP, cum ar fi email, upnetc.

9

(Opțional) Configurați setările Just In Time (JIT) și răspunsul de mapare SAML.

Consultați Configurarea mapării Just In Time (JIT) și SAML în fila Gestionarea IdP-urilor din acest articol.
10

Faceți clic pe Testați configurarea SSOși, când se deschide o nouă filă de browser, autentificați-vă cu IdP-ul conectându-vă.

Testați conexiunea SSO înainte de a o activa. Acest pas funcționează ca o rulare uscată și nu afectează setările organizației până când nu activați SSO în pasul următor.

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu acreditările. Verificați numele de utilizator și parola și încercați din nou.

O eroare Webex App înseamnă, de obicei, o problemă cu configurarea SSO. În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurarea IdP.

Pentru a vedea experiența de conectare SSO, vă recomandăm să faceți clic pe Copiați adresa URL în clipboard din acest ecran și să o lipiți într-o fereastră privată a browserului. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

11

Reveniți la fila browserului Control Hub .

  • Dacă testul a avut succes, selectați Test de succes. Activați SSO și IdP și faceți clic pe Activare.
  • Dacă testul nu a reușit, selectați Test nereușit. Reveniți la pașii anteriori pentru a corecta erorile.

Configurația SSO nu intră în vigoare în organizația dvs. decât dacă selectați primul buton radio și activați SSO.

Ce este de făcut în continuare

Puteți configura o regulă de rutare. Consultați Adăugați sau editați regula de rutare în fila Reguli de rutare din acest articol.

Puteți urma procedura din Suprimarea e-mailurilor automate pentru a dezactiva e-mailurile trimise noilor utilizatori ai aplicației Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.

Configurați OpenID Connect
1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate și faceți clic pe Activare SSO.

4

Selectați OpenID Connect ca IdP și faceți clic pe Următorul.

5

Introduceți informațiile IdP-ului dumneavoastră.

  • Nume—Numele care identifică IdP-ul.
  • ID client—ID-ul unic pentru a vă identifica pe dumneavoastră și pe IdP-ul dumneavoastră.
  • Secret client—Parola pe care o cunoașteți dumneavoastră și IdP-ul dumneavoastră.
  • Domenii de aplicare— Domeniile de aplicare care vor fi asociate cu IdP-ul dvs.

6

Alegeți cum să adăugați puncte finale. Acest lucru se poate face automat sau manual.

  • Folosește adresa URL de descoperire pentru a adăuga automat puncte finale.

    • Introduceți adresa URL Discovery pentru IdP-ul dvs. Această adresă URL va completa automat endpoint-urile necesare pentru deconectarea unică (SLO) OIDC.
    • Activați Permiteți sesiunii să se deconecteze automat pentru a vă asigura că utilizatorii sunt deconectați din toate aplicațiile și serviciile conectate atunci când se deconectează de la Webex.

  • Dacă preferați să Adăugați manual toate informațiile despre endpoint, atunci adăugați următoarele detalii.

    • Emitent—Introduceți adresa URL a emitentului, așa cum este specificată de IdP-ul dvs.
    • Punct final de autorizare—Introduceți adresa URL pentru punctul final de autorizare.
    • Punct final al tokenului—Introduceți adresa URL pentru punctul final al tokenului.
    • Punct final JWKS—Introduceți adresa URL a setului de chei web JSON (JWKS).
    • Punct final Userinfo—Introduceți adresa URL pentru punctul final cu informații despre utilizator.
    • Dacă este activată opțiunea Permiteți deconectarea automată a sesiunii, atunci trebuie să introduceți adresa URL Punct final de deconectare a sesiunii pentru a activa deconectarea unică (SLO) în toate aplicațiile conectate.
    Pentru mai multe informații, consultați ghidul de configurare OpenID Connect.

7

(Opțional) Configurați setările Just In Time (JIT).

Consultați Configurarea mapării Just In Time (JIT) și SAML în fila Gestionarea IdP-urilor din acest articol.
8

Faceți clic pe Testați configurarea SSOși, când se deschide o nouă filă de browser, autentificați-vă cu IdP-ul conectându-vă.

Testați conexiunea SSO înainte de a o activa. Acest pas funcționează ca o rulare uscată și nu afectează setările organizației până când nu activați SSO în pasul următor.

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu acreditările. Verificați numele de utilizator și parola și încercați din nou.

O eroare Webex App înseamnă, de obicei, o problemă cu configurarea SSO. În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurarea IdP.

Pentru a vedea experiența de conectare SSO, vă recomandăm să faceți clic pe Copiați adresa URL în clipboard din acest ecran și să o lipiți într-o fereastră privată a browserului. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

9

Reveniți la fila browserului Control Hub .

  • Dacă testul a avut succes, selectați Test de succes. Activați SSO și IdP și faceți clic pe Activare.
  • Dacă testul nu a reușit, selectați Test nereușit. Reveniți la pașii anteriori pentru a corecta erorile.

Configurația SSO nu intră în vigoare în organizația dvs. decât dacă selectați primul buton radio și activați SSO.

Ce este de făcut în continuare

Puteți configura o regulă de rutare. Consultați Adăugați sau editați regula de rutare în fila Reguli de rutare din acest articol.

Puteți urma procedura din Suprimarea e-mailurilor automate pentru a dezactiva e-mailurile trimise noilor utilizatori ai aplicației Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.

Configurați identitatea Webex
1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate și faceți clic pe Activare SSO.

4

Selectați Webex ca IdP și faceți clic pe Următorul.

5

Bifați Am citit și am înțeles cum funcționează Webex IdP și faceți clic pe Următorul.

6

Configurați o regulă de rutare.

Consultați Adăugați sau editați regula de rutare în fila Reguli de rutare din acest articol.

După ce ați adăugat o regulă de rutare, IdP-ul dvs. este adăugat și este afișat în fila Furnizor de identitate.

Ce trebuie să faceți în continuare

Puteți urma procedura din Suprimarea e-mailurilor automate pentru a dezactiva e-mailurile trimise noilor utilizatori ai aplicației Webex din organizația dvs. Documentul conține, de asemenea, cele mai bune practici pentru trimiterea de comunicări către utilizatorii din organizația dvs.

Regulile de rutare sunt aplicabile la configurarea mai multor IdP-uri. Regulile de rutare permit Webex să identifice IdP-ul la care să trimită utilizatorii atunci când ați configurat mai mulți IdP-uri.

Când configurați mai mult de un IdP, puteți defini regulile de rutare în expertul de configurare SSO. Dacă omiteți pasul regulii de rutare, Control Hub adaugă IdP-ul, dar nu îl activează. Trebuie să adăugați o regulă de rutare pentru a activa IdP-ul.

Adăugați sau editați reguli de rutare
1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Reguli de rutare.

Când configurați primul IdP, regula de rutare este adăugată automat și este setată ca Regula implicită. Puteți alege un alt IdP pentru a-l seta ulterior ca regulă implicită.

4

Faceți clic pe Adăugați o nouă regulă de rutare.

5

Introduceți detaliile pentru o regulă de rutare:

  • Nume regulă—Introduceți numele regulii de rutare.
  • Selectați un tip de rutare—Selectați domeniul sau grupul.
  • Dacă acestea sunt ale tale domains/groups—Introduceți domains/groups în cadrul organizației dumneavoastră.
  • Apoi utilizați acest furnizor de identitate—Selectați IdP-ul.

6

Selectați metoda de autentificare cu mai mulți factori (MFA):

  • Păstrează starea MFA curentă—Vă permite să mențineți metoda MFA existentă fără a face modificări.
  • Suprascrie starea curentă a MFA—Vă permite să modificați metoda MFA existentă la o configurație nouă.
  • Permiteți MFA doar pentru această regulă— Activați pentru a activa MFA specific pentru regula de rutare curentă.

Pentru mai multe informații despre configurarea MFA pentru organizația dvs., consultați Activarea integrării autentificării multi-factor în Control Hub.

7

Faceți clic pe Adăugare.

8

Selectați noua regulă de rutare și faceți clic pe Activare.

Puteți modifica ordinea de prioritate a regulilor de rutare dacă aveți reguli de rutare pentru mai mulți IdP-uri.

Dezactivarea sau ștergerea regulilor de rutare
1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Reguli de rutare.

4

Selectați regula de rutare.

5

Alegeți dacă doriți să Dezactivați sau Ștergeți regula de rutare.

Se recomandă să aveți o altă regulă de rutare activă pentru IdP. Altfel, este posibil să întâmpinați probleme cu autentificarea SSO.

Regula implicită nu poate fi dezactivată sau ștearsă, dar puteți modifica IdP-ul rutat.

Gestionați certificatele furnizorului de identitate (IdP)

Înainte de a începe

Din când în când, este posibil să primiți o notificare prin e-mail sau să vedeți o alertă în Control Hub că certificatul IdP va expira. Deoarece furnizorii IdP au propria documentație specifică pentru reînnoirea certificatului, acoperim ceea ce este necesar în Control Hub , împreună cupașii generici pentru a regăsi metadatele IdP actualizate și a le încărca în Control Hub pentru a reînnoi certificatul.

Acest lucru este aplicabil numai configurației SAML.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Accesați IdP-ul, faceți clic pe încărcare și selectați Încărcați metadatele Idp-ului.

Pentru a descărca fișierul de metadate, faceți clic pe Descărcați și selectați Descărcați metadatele Idp.
5

Navigați la interfața de gestionare IdP pentru a regăsi noul fișier de metadate.

6

Reveniți la Control Hub și trageți și plasați fișierul de metadate IdP în zona de încărcare sau faceți clic pe Alegeți un fișier pentru a încărca metadatele.

7

Alegeți Mai puțin securizat (autosemnat) sau Mai securizat (semnat de o CA publică), în funcție de modul în care sunt semnate metadatele IdP-ului și faceți clic pe Salvare.

8

Configurați setările Just In Time (JIT) și răspunsul de mapare SAML.

Consultați Configurarea mapării Just In Time (JIT) și SAML în fila Gestionarea IdP-urilor din acest articol.
9

Faceți clic pe Testați configurarea SSOși, când se deschide o nouă filă de browser, autentificați-vă cu IdP-ul conectându-vă.

Testați conexiunea SSO înainte de a o activa. Acest pas funcționează ca o rulare uscată și nu afectează setările organizației până când nu activați SSO în pasul următor.

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu acreditările. Verificați numele de utilizator și parola și încercați din nou.

O eroare Webex App înseamnă, de obicei, o problemă cu configurarea SSO. În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurarea IdP.

Pentru a vedea experiența de conectare SSO, vă recomandăm să faceți clic pe Copiați adresa URL în clipboard din acest ecran și să o lipiți într-o fereastră privată a browserului. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

10

Faceți clic pe Salvați.

Gestionați certificatele furnizorului de servicii (SP)

Înainte de a începe

Se recomandă să actualizați toți IdP-urile din organizația dvs. atunci când reînnoiți certificatul SP.

Acest lucru este aplicabil numai configurației SAML.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Accesați IdP-ul și faceți clic pe .

5

Faceți clic pe Verificați certificatele și data de expirare.

Aceasta vă duce la fereastra Certificate furnizor de servicii (SP).
6

Faceți clic pe Reînnoire certificat.

7

Alegeți tipul de IdP din organizația dvs.:

  • Un IdP care acceptă mai multe certificate
  • Un IdP care acceptă un singur certificat
8

Alegeți tipul de certificat pentru reînnoire:

  • Autosemnat de Cisco— Recomandăm această opțiune. Permiteți-ne să semnăm certificatul, astfel încât să trebuiască să îl reînnoiți doar o dată la cinci ani.
  • Semnat de o autoritate de certificare publică— Mai sigur, dar va trebui să actualizați frecvent metadatele (cu excepția cazului în care furnizorul dvs. IdP acceptă ancore de încredere).

Ancorele de încredere sunt chei publice care acționează ca o autoritate pentru a verifica certificatul unei semnături digitale. Pentru mai multe informații, consultați documentația IdP.

9

Faceți clic pe Descărcați metadate sau pe Descărcați certificat pentru a descărca o copie a fișierului de metadate actualizat sau a certificatului din cloud-ul Webex.

10

Navigați la interfața de gestionare a IdP-ului pentru a încărca noul fișier sau certificat de metadate Webex.

Acest pas poate fi efectuat printr-o filă de browser, un protocol desktop la distanță (RDP) sau printr-un anumit suport pentru furnizorul de cloud, în funcție de configurarea IdP și dacă dumneavoastră sau un administrator IdP separat sunteți responsabil pentru acest pas.

Pentru mai multe informații, consultați ghidurile noastre de integrare SSO sau contactați administratorul IdP pentru asistență. Dacă utilizați Active Directory Federation Services (AD FS), puteți vedea cum să actualizați metadatele Webex în AD FS

11

Reveniți la interfața Control Hub și faceți clic pe Următorul.

12

Selectați Toți IdP-urile au fost actualizate cu succes și faceți clic pe Următorul.

Aceasta încarcă fișierul sau certificatul SP către toți IdP-urile din organizația dvs.

13

Faceți clic pe Finalizați reînnoirea.

Testați configurația SSO

Înainte de a începe

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Accesați IdP-ul și faceți clic pe Mai multe opțiuni meniu.

5

Selectați Testare IdP.

6

Faceți clic pe Testați configurarea SSOși, când se deschide o nouă filă de browser, autentificați-vă cu IdP-ul conectându-vă.

Dacă primiți o eroare de autentificare, este posibil să existe o problemă cu acreditările. Verificați numele de utilizator și parola și încercați din nou.

O eroare Webex App înseamnă, de obicei, o problemă cu configurarea SSO. În acest caz, parcurgeți din nou pașii, în special pașii în care copiați și lipiți metadatele Control Hub în configurarea IdP.

Pentru a vedea experiența de conectare SSO, vă recomandăm să faceți clic pe Copiați adresa URL în clipboard din acest ecran și să o lipiți într-o fereastră privată a browserului. De acolo, puteți parcurge conectarea cu SSO. Acest lucru ajută la eliminarea oricăror informații memorate în cache în browserul dvs. web care ar putea furniza un rezultat fals pozitiv la testarea configurației SSO.

7

Reveniți la fila browserului Control Hub .

  • Dacă testul a avut succes, selectați Test de succes. Activați SSO și IdP și faceți clic pe Salvare.
  • Dacă testul nu a reușit, selectați Test nereușit. Reveniți la pașii anteriori pentru a corecta erorile.

Configurația SSO nu are efect în organizația dvs., cu excepția cazului în care alegeți primul buton radio și activați SSO.

Configurați maparea Just In Time (JIT) și SAML

Înainte de a începe

Asigurați-vă că sunt îndeplinite următoarele condiții prealabile:

  • SSO este deja configurat.

  • Domeniile au fost deja verificate.

  • Domeniile sunt revendicate și activate. Această funcție asigură că utilizatorii din domeniul dvs. sunt creați și actualizați de fiecare dată când se autentifică cu IdP-ul dvs.

  • Dacă DirSync sau Azure AD sunt activate, crearea sau actualizarea SAML JIT nu va funcționa.

  • Este activată opțiunea "Blocați actualizarea profilului de utilizator". SAML Update Mapping este permisă deoarece această configurație controlează capacitatea utilizatorului de a edita atributele. Metodele de creare și actualizare controlate de administratori sunt încă acceptate.

Când configurați SAML JIT cu Azure AD sau un IdP unde e-mailul nu este un identificator permanent, vă recomandăm să utilizați atributul de legătură externalId pentru a-l mapa la un identificator unic. Dacă constatăm că adresa de e-mail nu corespunde atributului de linking, utilizatorului i se solicită să își verifice identitatea sau să creeze un utilizator nou cu adresa de e-mail corectă.

Utilizatorii nou creați nu vor primi automat licențe atribuite decât dacă organizația are configurat un șablon de licență automat.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Accesați IdP-ul și faceți clic pe Mai multe opțiuni meniu.

5

Selectați Editați maparea SAML.

6

Configurați setările Just-in-Time (JIT).

  • Creați sau activați un utilizator: Dacă nu se găsește niciun utilizator activ, Webex Identity creează utilizatorul și actualizează atributele după ce utilizatorul s-a autentificat cu IdP-ul.
  • Actualizați utilizatorul cu atribute SAML: dacă se găsește un utilizator cu adresă de e-mail, atunci Identitatea Webex actualizează utilizatorul cu atributele mapate în aserțiunea SAML.
Confirmați că utilizatorii se pot conecta cu o adresă de e-mail diferită, neidentificabilă.

7

Configurați maparea SAML a atributelor necesare.

Tabelul 1. Atribute necesare

Nume atribut identitate Webex

Nume atribut SAML

Descriere atribut

Nume utilizator / Adresa de e-mail principală

Exemplu: uid

Asocierea atributului UID la e-mailul de utilizator furnizat, upn sau edupersonprincipalname.

8

Configurați atributele de legătură .

Acesta ar trebui să fie unic pentru utilizator. Se utilizează pentru a căuta un utilizator, astfel încât Webex să poată actualiza toate atributele profilului, inclusiv adresa de e-mail pentru un utilizator.
Tabelul 2. Legarea atributelor

Nume atribut identitate Webex

Nume atribut SAML

Descriere atribut

externalId

Exemplu: user.objectid

Pentru a identifica acest utilizator din alte profiluri individuale. Acest lucru este necesar atunci când se face asocierea între directoare sau se modifică alte atribute ale profilului.

număr de angajați

Exemplu: user.employeeid

Numărul de angajat al utilizatorului sau un număr de identificare din sistemul său de resurse umane. Rețineți că acest lucru nu este pentru externalid, deoarece puteți reutiliza sau recicla employeenumber pentru alți utilizatori.

Atributul extensiei 1

Exemplu: user.extensionattribute1

Mapați aceste atribute personalizate la atribute extinse în Active Directory, Azure sau în directorul dvs., pentru coduri de urmărire.

Atributul extensiei 2

Exemplu: user.extensionattribute2

Atributul extensiei 3

Exemplu: user.extensionattribute3

Atribut extensie 4

Exemplu: atributul extensiei utilizator4

Atribut extensie 5

Exemplu: user.extensionattribute5

9

Configurați Atributele profilului.

Tabelul 3. Atribute de profil

Nume atribut identitate Webex

Nume atribut SAML

Descriere atribut

externalId

Exemplu: user.objectid

Pentru a identifica acest utilizator din alte profiluri individuale. Acest lucru este necesar atunci când se face asocierea între directoare sau se modifică alte atribute ale profilului.

număr de angajați

Exemplu: user.employeeid

Numărul de angajat al acestui utilizator sau un număr de identificare în cadrul sistemului său de resurse umane. Rețineți că acest lucru nu este pentru "externalid", deoarece puteți reutiliza sau recicla "numărul angajaților" pentru alți utilizatori.

preferatLanguage

Exemplu: user.preferredlanguage

Limba preferată a utilizatorului.

setări regionale

Exemplu: user.locale

Locația principală de lucru a utilizatorului.

fus orar

Exemplu: user.timezone

Fusul orar principal al utilizatorului.

nume afișat

Exemplu: user.displayname

Numele afișat al utilizatorului în Webex.

name.givenName

Exemplu: user.givenname

Prenumele utilizatorului.

name.familyName

Exemplu: nume de utilizator

Numele de familie al utilizatorului.

addresses.streetAddress

Exemplu: user.streetaddress

Adresa de la locația principală de lucru.

addresses.state

Exemplu: user.state

Starea locației lor principale de lucru.

adrese.regiune

Exemplu: user.region

Regiunea locației principale de lucru.

addresses.postalCode

Exemplu: user.postalcode

Codul poștal al locației principale de lucru.

adrese.țară

Exemplu: user.country

Țara locației principale de lucru.

phoneNumbers.work

Exemplu: număr de telefon de lucru

Numărul de telefon de serviciu de la locația principală de lucru. Utilizați doar formatul internațional E.164 (maximum 15 cifre).

phoneNumbers.extension

Exemplu: număr de telefon mobil

Extensia de la locul de muncă a numărului de telefon principal de serviciu. Utilizați doar formatul internațional E.164 (maximum 15 cifre).

pronume

Exemplu: user.pronume

Pronumele utilizatorului. Acesta este un atribut opțional, iar utilizatorul sau administratorul îl poate face vizibil în profilul său.

titlu

Exemplu: user.jobtitle

Funcția utilizatorului.

departament

Exemplu: user.department

Departamentul sau echipa utilizatorului.

pronume

Exemplu: user.pronume

Acesta este pronumele utilizatorului. Vizibilitatea acestui atribut este controlată de administrator și de utilizator

manager

Exemplu: manager

Managerul utilizatorului sau conducerea echipei acestuia.

centru de cost

Exemplu: centru de cost

Acesta este numele de familie al utilizatorului, de asemenea, cunoscut sub numele de nume de familie sau nume de familie

e-mail.alternate1

Exemplu: user.mailnickname

O adresă de e-mail alternativă pentru utilizator. Dacă doriți ca utilizatorul să se poată conecta utilizându-l, mapați-l la uid.

email.alternate2

Exemplu: user.primaryauthoritativemail

O adresă de e-mail alternativă pentru utilizator. Dacă doriți ca utilizatorul să se poată conecta utilizându-l, mapați-l la uid.

e-mail.alternate3

Exemplu: user.alternativeauthoritativemail

O adresă de e-mail alternativă pentru utilizator. Dacă doriți ca utilizatorul să se poată conecta utilizându-l, mapați-l la uid.

e-mail.alternate4

Exemplu: user.othermail

O adresă de e-mail alternativă pentru utilizator. Dacă doriți ca utilizatorul să se poată conecta utilizându-l, mapați-l la uid.

email.alternate5

Exemplu: user.othermail

O adresă de e-mail alternativă pentru utilizator. Dacă doriți ca utilizatorul să se poată conecta utilizându-l, mapați-l la uid.
10

Configurați atributele extensiei.

Mapați aceste atribute la atribute extinse în Active Directory, Azure sau directorul dvs., pentru coduri de urmărire.
Tabelul 4. Atribute de extensie

Nume atribut identitate Webex

Nume atribut SAML

Atributul extensiei 1

Exemplu: user.extensionattribute1

Atributul extensiei 2

Exemplu: user.extensionattribute2

Atributul extensiei 3

Exemplu: user.extensionattribute3

Atribut extensie 4

Exemplu: user.extensionattribute4

Atribut extensie 5

Exemplu: user.extensionattribute5

Atribut extensie 6

Exemplu: user.extensionattribute6

Atribut extensie 7

Exemplu: user.extensionattribute7

Atribut extensie 8

Exemplu: user.extensionattribute8

Atribut extensie 9

Exemplu: user.extensionattribute9

Atribut extensie 10

Exemplu: user.extensionattribute10

11

Configurați Atributele grupului.

  1. Creați un grup în Control Hub și notați ID-ul grupului Webex.
  2. Accesați directorul de utilizatori sau IdP-ul și configurați un atribut pentru utilizatorii cărora li se va atribui ID-ul de grup Webex.
  3. Actualizați configurația IdP-ului dvs. pentru a include o revendicare care poartă acest nume de atribut împreună cu ID-ul grupului Webex (de exemplu, c65f7d85-b691-42b8-a20b-12345xxxx). De asemenea, puteți utiliza ID-ul extern pentru gestionarea modificărilor aduse numelor de grupuri sau pentru scenarii viitoare de integrare. De exemplu, sincronizarea cu Azure AD sau implementarea sincronizării grupurilor SCIM.
  4. Specificați numele exact al atributului care va fi trimis în aserțiunea SAML cu ID-ul grupului. Aceasta este utilizată pentru a adăuga utilizatorul la un grup.
  5. Specificați numele exact al ID-ului extern al obiectului de grup dacă utilizați un grup din directorul dvs. pentru a trimite membri în aserțiunea SAML.

Dacă utilizatorul A este asociat cu groupID 1234, iar utilizatorul B cu groupID 4567, aceștia sunt atribuiți unor grupuri separate. Acest scenariu indică faptul că un singur atribut permite utilizatorilor să se asocieze cu mai multe ID-uri de grup. Deși acest lucru este neobișnuit, este posibil și poate fi considerat o modificare aditivă. De exemplu, dacă utilizatorul A se conectează inițial folosind groupID 1234, acesta devine membru al grupului corespunzător. Dacă utilizatorul A se conectează ulterior folosind groupID 4567, acesta este adăugat și el la acest al doilea grup.

Provisionarea SAML JIT nu acceptă eliminarea utilizatorilor din grupuri sau ștergerea utilizatorilor.

Tabelul 5. Atribute de grup

Nume atribut identitate Webex

Nume atribut SAML

Descriere atribut

ID grup

Exemplu: ID grup

Mapați atributele de grup de la IdP la atributele de grup pentru identitatea Webex în scopul mapării acestui utilizator la un grup pentru alocarea licenței sau pentru configurarea serviciului.

ID extern al grupului

Exemplu: ID extern al grupului

Mapați atributele de grup de la IdP la atributele de grup pentru identitatea Webex în scopul mapării acestui utilizator la un grup pentru alocarea licenței sau pentru configurarea serviciului.

Pentru o listă de atribute de aserțiune SAML pentru Webex Meetings, consultați https://help.webex.com/article/WBX67566.

Ștergeți furnizorul de identitate (IdP)

Înainte de a începe

Se recomandă să dezactivați sau să ștergeți mai întâi regulile de rutare ale IdP-ului înainte de a șterge IdP-ul.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Accesați IdP-ul și faceți clic pe Mai multe opțiuni meniu.

5

Selectați Ștergere.

1

Conectați-vă la Control Hub.

2

Accesați Management > Securitate > Autentificare.

3

Accesați fila Furnizor de identitate.

4

Faceți clic pe Dezactivați SSO.

Confirmați dezactivarea SSO.

Odată confirmat, SSO-ul este dezactivat pentru toți IdP-urile din organizația dumneavoastră.

Veți primi alerte în Control Hub înainte ca certificatele să expire, dar puteți, de asemenea, să configurați proactiv reguli de alertă. Aceste reguli vă anunță în prealabil că certificatele SP sau IdP vor expira. Vă putem trimite acestea prin e-mail, un spațiu în Webex Appsau ambele.

Indiferent de canalul de livrare configurat, toate alertele apar întotdeauna în Control Hub. Consultați Centrul de avertizări din Control Hub pentru mai multe informații.

1

Conectați-vă la Control Hub.

2

Accesați Centrul de alerte.

3

Alegeți Gestionare, apoi Toate regulile.

4

Din lista Reguli, alegeți oricare dintre regulile SSO pe care doriți să le creați:

  • Expirarea certificatului IDP SSO
  • EXPIRAREA certificatului SSO SP
5

În secțiunea Canal de livrare, bifați caseta pentru E-mail, spațiu Webex sauambele.

Dacă alegeți E-mail, introduceți adresa de e-mail care ar trebui să primească notificarea.

Dacă alegeți opțiunea spațiu Webex, sunteți adăugat automat într-un spațiu din interiorul aplicației Webex și livrăm notificările acolo.

6

Salvați modificările.

Ce trebuie să faceți în continuare

Trimitem alerte de expirare a certificatului o dată la 15 zile, începând cu 60 de zile înainte de expirare. (Vă puteți aștepta la alerte în zilele 60, 45, 30 și 15.) Alertele se opresc la reînnoirea certificatului.

Dacă întâmpinați probleme cu conectarea SSO, puteți utiliza opțiunea de recuperare automată SSO pentru a obține acces la organizația Webex gestionată în Control Hub. Opțiunea de auto-recuperare vă permite să actualizați sau să dezactivați SSO în Control Hub.