在此文章中
在 Control Hub 中修改单点登录验证
配置即时 (JIT) 和 SAML 映射
2025年12月12日 | 832 次查看 | 0 人认为有帮助

Control Hub 的 SAML 自动帐户创建和更新

list-menu在此文章中
list-menu反馈?

您可以使用 SAML 将 IdP 中的用户属性映射到 Webex身份属性,并启用使用 SAML 断言的即时 (JIT) 自动帐户更新。

在 Control Hub 中修改单点登录验证

准备工作

确保满足以下前提条件:

  • SSO配置了 。有关使用 SSO 配置向导的信息,请参阅 Control Hub 中的单点登录集成

  • 这些域已经过验证。

  • 域名已认领并启用。此功能可确保您域中的用户每次通过您的身份提供商进行身份验证时都会创建并更新一次。

  • 如果启用了 DirSync 或 Entra ID,则 SAML JIT 创建或更新将无法工作。

  • 已启用阻止用户配置文件更新 功能。允许 SAML 更新映射,因为此配置控制用户编辑属性的能力。仍支持由管理员控制的创建和更新方法。

  • 必须启用“阻止用户使用您的域名自行注册 ”功能。如果禁用此设置,则 SAML JIT 帐户创建将无法正常工作。有关更多信息,请参阅 防止用户使用您的域名自行注册

新建用户不会自动获得分配的许可证,除非组织设置了自动 许可证模板。

SAML JIT 用户组配置仅限于单个组。

配置即时 (JIT) 和 SAML 映射

1

登录到 Control Hub。

2

前往 管理 > 安全 > 验证

3

转到 “身份提供商 ”选项卡。

4

前往身份提供商 (IdP) 并点击 更多菜单

5

选择 编辑 SAML 映射

6

配置 即时 (JIT) 设置

  • 创建或激活用户:如果未找到活跃用户,则 Webex Identity 会在用户通过 IdP 进行身份验证后创建用户并更新属性。
  • 使用 SAML 属性更新用户:如果找到有电子邮件地址的用户,Webex标识会用 SAML 断言中映射的属性更新该用户。
确认用户可以使用其他无法识别的电子邮件地址登录。

7

配置 SAML 映射所需属性

表1。 必需属性

Webex 身份属性名称

SAML 属性名称

属性说明

用户名/主电子邮件地址

例如:uid

将 UID 属性映射到预配置的用户的电子邮件、upn 或 edupersonprincipalname。

8

配置 链接属性

这应该是用户独有的。它用于查找用户,以便 Webex 可以更新用户的所有个人资料属性,包括电子邮件。
表 2. 链接属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如:user.objectid

为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时,这是必要的。

分机属性 1

例如:user.extensionattribute1

将这些自定义属性映射到 Entra ID 或您的目录中的扩展属性,以生成跟踪代码。

分机属性 2

例如:user.extensionattribute2

分机属性 3

例如:user.extensionattribute3

分机属性 4

例如:用户.扩展属性4

分机属性 5

例如:user.extensionattribute5

9

配置 配置文件属性

表 3. 配置文件属性

Webex 身份属性名称

SAML 属性名称

属性说明

externalId

例如:user.objectid

为了将该用户与其他各个档案区分开。在目录之间映射或更改其他档案属性时,这是必要的。

preferredLanguage

例如:user.preferred语言

用户的首选语言。

locale

例如:user.locale

用户的主要工作地点

timezone

例如:user.timezone

用户的主要时区。

displayName

例如:user.displayname

用户在 Webex 中的显示名称。

name.givenName

例如:user.givenname

用户的名。

name.familyName

例如:用户姓氏

用户的姓。

address.streetAddress

例如:user.streetaddress

其主要工作地点的街道地址。

地址.位置

例如:用户位置其主要工作地点的地区。

地址.地区

例如:user.region

其主要工作地点的区域。

address.postalCode

例如:user.postalcode

其主要工作地点的邮政编码。

地址国家/地区

例如:user.country

其主要工作地点的国家或地区。

phoneNumbers.work

例如:工作电话号码

其主要工作地点的工作电话号码。请仅使用国际 E.164 格式(最多 15 位)。

phoneNumbers.extension

例如:分机号码

其主要工作电话号码的工作分机号。请仅使用国际 E.164 格式(最多 15 位)。

phoneNumbers.mobile

例如:移动电话号码其主要工作地点的移动电话号码。请仅使用国际 E.164 格式(最多 15 位)。

title

例如:user.jobtitle

用户的职位。

department

例如:user.department

用户的工作部门或团队。

邮件工作例如:工作邮件用户的工作电子邮件。
组织例如:用户.组织用户的组织 ID
10

配置 组属性

  1. 在 Control Hub 中创建一个群组,并记下 Webex 群组 ID。
  2. 前往您的用户目录或身份提供商 (IdP),并为将分配给 Webex 组 ID 的用户设置属性。
  3. 更新您的 IdP 配置,以包含一个声明,该声明带有此属性名称以及 Webex 组 ID(例如 c65f7d85-b691-42b8-a20b-12345xxxx)。您还可以使用外部 ID 来管理组名称的更改或用于未来的集成方案。例如,与 Entra ID 同步或实施 SCIM 组同步。
  4. 指定要与组 ID 一起在 SAML 断言中发送的属性的确切名称。此命令用于将用户添加到组。
  5. 如果您使用目录中的组来向 SAML 断言发送成员,请指定组对象的外部 ID 的确切名称。

如果用户 A 与 groupID 1234 相关联,用户 B 与 groupID 4567 相关联,则他们将被分配到不同的组。这种情况表明,单个属性允许用户关联多个组 ID。虽然这种情况不常见,但并非不可能,并且可以被视为一种附加变化。例如,如果用户 A 最初使用 groupID 1234 登录,则他们将成为相应组的成员。如果用户 A 稍后使用 groupID 4567 登录,则也会被添加到第二个组中。

SAML JIT 配置不支持从组中移除用户或删除任何用户。

表 4. 组属性

Webex 身份属性名称

SAML 属性名称

属性说明

组 ID

例如:组 ID

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

groupexternalId

例如:groupexternalId

将组属性从 IdP 映射到 Webex 身份组属性,以用于将该用户映射到组进行许可或设置服务。

有关 Webex Meetings 的 SAML 断言属性列表,请参阅 Webex Meetings 和 Jabber 的 SAML 断言属性

这篇文章对您有帮助吗?
这篇文章对您有帮助吗?
定价Webex 应用程序MeetingsCalling消息传递屏幕共享
Webex SuiteCallingMeetings消息传递SlidoWebinarsEventsContact CenterCPaaS安全性Control Hub
头戴式耳机摄像头Desk 系列Room 系列Board 系列Phone 系列配件
教育医疗保健政府财务体育与娱乐一线员工非营利组织新兴公司混合式工作
下载加入测试会议在线课程集成辅助功能包容性直播和点播网络研讨会Webex 社区Webex 开发人员新闻和创新
Cisco联系技术支持联系销售Webex BlogWebex 思想领导力Webex 商店职业
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
条款和条件隐私权声明Cookie商标
©2025 Cisco 和/或其附属公司。保留所有权利。
条款和条件隐私权声明Cookie商标