Автоматичне створення та оновлення облікового запису SAML для Центру управління

Змінення автентифікації єдиного входу в Центрі керування

Перш ніж почати

Забезпечити виконання наступних передумов:

ДСО вже налаштовано. Щоб отримати інформацію про використання майстра налаштування SSO, див. Інтеграція єдиного входу в Control Hub.
Домени вже перевірені.
Домени заявлені та активовані. Ця функція гарантує, що користувачі з вашого домену будуть створені та оновлені щоразу, коли вони пройдуть автентифікацію у вашого постачальника ідентифікаційних даних.
Якщо ввімкнено DirSync або Entra ID, створення або оновлення SAML JIT не працюватиме.
Блокування оновлення профілю користувача увімкнено. Saml Update Mapping дозволено, оскільки ця конфігурація контролює можливість користувача редагувати атрибути. Контрольовані адміністратором методи створення та оновлення як і раніше підтримуються.
Має бути ввімкнено опцію «Заборонити користувачам самостійно реєструватися у вашому домені. Створення облікового запису SAML JIT не працюватиме, якщо цей параметр вимкнено. Для отримання додаткової інформації див. Як заборонити користувачам самостійно реєструватися у вашому домені.

Новостворені користувачі не отримають автоматично призначені ліцензії, якщо в організації не настроєно автоматичний шаблон ліцензії.

Надання користувачам можливостей SAML JIT для надання груп обмежене лише однією групою.

Налаштування зіставлення Just-in-Time (JIT) та SAML

Увійдіть у Центркерування.

Перейти до Управління > Безпека > Аутентифікація.

Перейдіть на вкладку Постачальник ідентифікаційних даних.

Перейдіть до постачальника ідентифікаційних даних і натисніть Меню «Додатково» .

Виберіть Редагувати зіставлення SAML.

Налаштуйте параметри Just-in-Time (JIT).

Створити або активувати користувача: Якщо активного користувача не знайдено, Webex Identity створює користувача та оновлює атрибути після того, як користувач пройде автентифікацію за допомогою постачальника ідентифікаційних даних.
Оновлення користувача атрибутами SAML: якщо користувач з адресою електронної пошти знайдений, то Webex Identity оновлює користувача атрибутами, зіставленими в SAML Assertion.

Підтвердьте, що користувачі можуть входити, використовуючи іншу, неідентифіковану адресу електронної пошти.

Налаштуйте необхідні атрибути зіставлення SAML.

Таблиця 1. Обов’язкові атрибути
Ім’я атрибута Webex Identity	Ім’я атрибута SAML	Опис атрибута
Ім'я користувача / Основна адреса електронної пошти	Приклад: uid	Зіставте атрибут UID із наданою електронною поштою користувача, UPN або edupersonprincipalname.

Налаштуйте атрибути зв'язування.

Це має бути унікальним для користувача. Він використовується для пошуку користувача, щоб Webex міг оновити всі атрибути профілю, включаючи електронну пошту користувача.

Таблиця 2. Зв'язування атрибутів
Ім’я атрибута Webex Identity	Ім’я атрибута SAML	Опис атрибута
ExternalId	Приклад: user.objectid	Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.
Атрибут розширення 1	Приклад: user.extensionattribute1	Зіставте ці користувацькі атрибути з розширеними атрибутами в Entra ID або вашому каталозі для кодів відстеження.
Атрибут розширення 2	Приклад: user.extensionattribute2
Атрибут розширення 3	Приклад: user.extensionattribute3
Атрибут розширення 4	Приклад: user.extensionlattribute4
Атрибут розширення 5	Приклад: user.extensionattribute5

Налаштувати атрибути профілю.

Таблиця 3. Атрибути профілю
Ім’я атрибута Webex Identity	Ім’я атрибута SAML	Опис атрибута
ExternalId	Приклад: user.objectid	Для ідентифікації цього користувача серед інших індивідуальних профілів. Цей крок є необхідним під час зіставлення директорій або зміни інших атрибутів профілю.
бажанамовленість	Приклад: user.preferredlanguage	Основна мова користувача.
Локалі	Приклад: user.locale	Основне місце роботи користувача.
часовий пояс	Приклад: user.timezone	Основний часовий пояс користувача.
ім'я дисплея	Приклад: ім'я_користувача	Відображуване ім’я користувача у Webex.
ім'я.givenНайменування	Приклад: ім'я користувача.given	Ім’я користувача.
ім'я.прізвищеНайменування	Приклад: користувач.прізвище	Прізвище користувача.
адреси.streetAddress	Приклад: user.streetaddress	Адреса, вулиця його основного місця роботи.
адреси.населений пункт	Приклад: користувач.населений пункт	Населений пункт його основного місця роботи.
адреси.регіон	Приклад: користувач.регіон	Регіон його основного місця роботи.
адреси.поштовийкод	Приклад: user.postcode	Поштовий код його основного місця роботи.
адреси.країна	Приклад: користувач.країна	Країна його основного місця роботи.
phoneNumbers.work	Приклад: робочий номер телефону	Робочий номер телефону його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).
phoneNumbers.extension	Приклад: додатковий номер телефону	Внутрішній робочий номер його номера телефону основної роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).
Номери телефонів.мобільний	Приклад: номер мобільного телефону	Номер мобільного телефона його основного місця роботи. Використовуйте тільки міжнародний формат E.164 (не більше 15 цифр).
заголовок	Приклад: user.jobtitle	Назва посади користувача.
міністерство	Приклад: user.department	Робочий відділ або команда користувача.
електронні листи.робота	Приклад: робочі електронні листи	Робочі електронні пошти користувача.
організація	Приклад: user.organic	Ідентифікатор організації користувача

Налаштувати атрибути групи.

Створіть групу в Центрі керування та запишіть ідентифікатор групи Webex.
Перейдіть до каталогу користувачів або постачальника ідентифікаційних даних і налаштуйте атрибут для користувачів, яким буде призначено ідентифікатор групи Webex.
Оновіть конфігурацію вашого постачальника ідентифікаційних даних, щоб включити твердження, яке містить цю назву атрибута разом з ідентифікатором групи Webex (наприклад, c65f7d85-b691-42b8-a20b-12345xxxx). Ви також можете використовувати зовнішній ідентифікатор для керування змінами в іменах груп або для майбутніх сценаріїв інтеграції. Наприклад, синхронізація з Entra ID або реалізація синхронізації групи SCIM.
Вкажіть точну назву атрибута, який буде надіслано в твердженні SAML з ідентифікатором групи. Це використовується для додавання користувача до групи.
Вкажіть точну назву зовнішнього ідентифікатора об'єкта групи, якщо ви використовуєте групу зі свого каталогу для надсилання учасників у твердженні SAML.

Якщо користувач A пов'язаний з groupID 1234, а користувач B з groupID 4567, вони призначаються до окремих груп. Цей сценарій вказує на те, що один атрибут дозволяє користувачам пов’язуватися з кількома ідентифікаторами груп. Хоча це рідкість, це можливо і можна розглядати як адитивну зміну. Наприклад, якщо користувач А спочатку входить у систему, використовуючи groupID 1234, він стає членом відповідної групи. Якщо користувач А пізніше ввійде в систему, використовуючи groupID 4567, його також буде додано до цієї другої групи.

Підготовка SAML JIT не підтримує видалення користувачів з груп або будь-яке видалення користувачів.

Таблиця 4. Атрибути групи
Ім’я атрибута Webex Identity	Ім’я атрибута SAML	Опис атрибута
Ідентифікатор групи	Приклад: Ідентифікатор групи	Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.
зовнішній ідентифікатор групи	Приклад: зовнішній ідентифікатор групи	Зіставлення групових атрибутів з IdP з груповими атрибутами служби посвідчень Webex із метою зіставлення цього користувача з групою для ліцензування або служби налаштувань.

Список атрибутів тверджень SAML для Webex Meetings див. у статті Атрибути тверджень SAML для Webex Meetings та Jabber.

Cisco AI Assistant

Дякуємо за відгук.

Автоматичне створення та оновлення облікового запису SAML для Центру управління

Змінення автентифікації єдиного входу в Центрі керування

Перш ніж почати

Налаштування зіставлення Just-in-Time (JIT) та SAML

Малий бізнес

Enterprise

Пристрої

Рішення для

Ресурси

Компанія