Змінення автентифікації єдиного входу в Центрі керування

Перш ніж почати

Забезпечити виконання наступних передумов:

  • ДСО вже налаштовано. Щоб отримати інформацію про використання майстра налаштування SSO, див. розділ «Налаштування SSO» тут: https://help.webex.com/article/lfu88u/.

  • Домени вже перевірені.

  • Домени заявлені та активовані. Ця функція гарантує, що користувачі з вашого домену будуть створені та оновлені щоразу, коли вони пройдуть автентифікацію у вашого постачальника ідентифікаційних даних.

  • Якщо DirSync або AzureAD увімкнено, створення або оновлення SAML JIT не працюватиме.

  • "Блокувати оновлення профілю користувача" включено. Saml Update Mapping дозволено, оскільки ця конфігурація контролює можливість користувача редагувати атрибути. Контрольовані адміністратором методи створення та оновлення як і раніше підтримуються.

Новостворені користувачі не отримають автоматично призначені ліцензії, якщо в організації не настроєно автоматичний шаблон ліцензії.

Надання користувачам можливостей SAML JIT для надання груп обмежене лише однією групою.

Налаштування зіставлення Just-in-Time (JIT) та SAML
1

Увійдіть у Центркерування.

2

Перейти до Управління > Безпека > Аутентифікація.

3

Перейдіть на вкладку Постачальник ідентифікаційних даних.

4

Перейдіть до постачальника ідентифікаційних даних і натисніть Додаткове меню.

5

Виберіть Редагувати зіставлення SAML.

6

Налаштуйте параметри Just-in-Time (JIT).

  • Створити або активувати користувача: Якщо активного користувача не знайдено, Webex Identity створює користувача та оновлює атрибути після того, як користувач пройде автентифікацію за допомогою постачальника ідентифікаційних даних.
  • Оновлення користувача атрибутами SAML: якщо користувач з адресою електронної пошти знайдений, то Webex Identity оновлює користувача атрибутами, зіставленими в SAML Assertion.
Підтвердьте, що користувачі можуть входити, використовуючи іншу, неідентифіковану адресу електронної пошти.

7

Налаштуйте необхідні атрибути зіставлення SAML.

Таблиця 1. Обов’язкові атрибути

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ім'я користувача / Основна адреса електронної пошти

Приклад: uid

Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

8

Налаштуйте атрибути зв'язування.

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, включаючи електронну пошту користувача.
Таблиця 2. Зв'язування атрибутів

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Номер співробітника користувача або ідентифікаційний номер у його системі управління персоналом. Зверніть увагу, що це не для externalid, оскільки ви можете повторно використовувати або переробляти employeenumber для інших користувачів.

Атрибут розширення 1

Приклад: user.extensionattribute1

Зіставте ці користувацькі атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для кодів відстеження.

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionlattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

9

Налаштувати атрибути профілю.

Таблиця 3. Атрибути профілю

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

ExternalId

Приклад: user.objectid

Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.

кількість працівників

Приклад: user.employeeid

Це номер співробітника користувача або ідентифікаційний номер у їхній hr-системі. Зауважте, що це не для параметра "externalid", оскільки ви можете повторно використовувати або повторно використовувати "номер працівника" для інших користувачів.

бажанамовленість

Приклад: user.preferredlanguage

Основна мова користувача.

Локалі

Приклад: user.locale

Основне місце роботи користувача.

часовий пояс

Приклад: user.timezone

Основний часовий пояс користувача.

ім'я дисплея

Приклад: ім'я_користувача

Відображуване ім’я користувача у Webex.

ім'я.givenНайменування

Приклад: ім'я користувача.given

Ім’я користувача.

ім'я.прізвищеНайменування

Приклад: користувач.прізвище

Прізвище користувача.

адреси.streetAddress

Приклад: user.streetaddress

Адреса, вулиця його основного місця роботи.

адреси.держава

Приклад: користувач.держава

Стан їх основного місця роботи.

адреси.регіон

Приклад: користувач.регіон

Регіон його основного місця роботи.

адреси.поштовийкод

Приклад: user.postcode

Поштовий код його основного місця роботи.

адреси.країна

Приклад: користувач.країна

Країна його основного місця роботи.

phoneNumbers.work

Приклад: робочий номер телефону

Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

phoneNumbers.extension

Приклад: номер мобільного телефону

Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).

займенник

Приклад: користувач.займенник

Займенники користувача. Це необов'язковий атрибут, і користувач або адміністратор можуть зробити його видимим у своєму профілі.

заголовок

Приклад: user.jobtitle

Назва посади користувача.

міністерство

Приклад: user.department

Робочий відділ або команда користувача.

займенник

Приклад: користувач.займенник

Це займенник користувача. Видимість цього атрибута контролюється Адміністратором і користувачем

голова

Приклад: голова

Керує менеджер користувача або його команда.

центр витрат

Приклад: центр витрат

Це прізвище користувача, також відоме як прізвище або прізвище

електронна пошта.додаткова1

Приклад: ім'я_користувача.mailnick

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова2

Приклад: user.primaryauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate3

Приклад: user.alternativeauthoritativemail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

email.alternate4

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.

електронна пошта.додаткова5

Приклад: user.othermail

Альтернативна адреса електронної пошти для користувача. Якщо потрібно, щоб користувач міг увійти за допомогою нього, зіставте його з uid.
10

Налаштувати атрибути розширення.

Зіставте ці атрибути з розширеними атрибутами в Active Directory, Azure або вашому каталозі для відстеження кодів.
Таблиця 4. Атрибути розширення

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Атрибут розширення 1

Приклад: user.extensionattribute1

Атрибут розширення 2

Приклад: user.extensionattribute2

Атрибут розширення 3

Приклад: user.extensionattribute3

Атрибут розширення 4

Приклад: user.extensionattribute4

Атрибут розширення 5

Приклад: user.extensionattribute5

Атрибут розширення 6

Приклад: user.extensionattribute6

Атрибут розширення 7

Приклад: user.extensionattribute7

Атрибут розширення 8

Приклад: user.extensionattribute8

Атрибут розширення 9

Приклад: user.extensionattribute9

Атрибут розширення 10

Приклад: user.extensionattribute10

11

Налаштувати атрибути групи.

  1. Створіть групу в Центрі керування та запишіть ідентифікатор групи Webex.
  2. Перейдіть до каталогу користувачів або постачальника ідентифікаційних даних і налаштуйте атрибут для користувачів, яким буде призначено ідентифікатор групи Webex.
  3. Оновіть конфігурацію вашого постачальника ідентифікаційних даних, щоб включити твердження, яке містить цю назву атрибута разом з ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx). Ви також можете використовувати зовнішній ідентифікатор для керування змінами в іменах груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Azure AD або реалізація синхронізації груп SCIM.
  4. Вкажіть точну назву атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Це використовується для додавання користувача до групи.
  5. Вкажіть точну назву зовнішнього ідентифікатора об'єкта групи, якщо ви використовуєте групу зі свого каталогу для надсилання учасників у твердженні SAML.

Якщо користувач A пов'язаний з groupID 1234, а користувач B з groupID 4567, вони призначаються до окремих груп. Цей сценарій вказує на те, що один атрибут дозволяє користувачам пов’язуватися з кількома ідентифікаторами груп. Хоча це рідкість, це можливо і можна розглядати як адитивну зміну. Наприклад, якщо користувач А спочатку входить у систему, використовуючи groupID 1234, він стає членом відповідної групи. Якщо користувач А пізніше ввійде в систему, використовуючи groupID 4567, його також буде додано до цієї другої групи.

Підготовка SAML JIT не підтримує видалення користувачів з груп або будь-яке видалення користувачів.

Таблиця 5. Атрибути групи

Ім’я атрибута Webex Identity

Ім’я атрибута SAML

Опис атрибута

Ідентифікатор групи

Приклад: Ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

зовнішній ідентифікатор групи

Приклад: зовнішній ідентифікатор групи

Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів твердження SAML для Webex Meetings див https://help.webex.com/article/WBX67566.