# SSO-Feldführer

### Einleitung

Die Integration von Single Sign-On (SSO) mit Zoom bietet Administratoren Benutzerverwaltung und Sicherheitsoptionen, die die Kontoverwaltung vereinfachen können. Nach der Konfiguration authentifizieren sich Benutzer mit ihren Unternehmensanmeldedaten gegenüber dem Identitätsanbieter Ihres Unternehmens, anstatt alternative Authentifizierungsmethoden wie Integrationen mit Google oder Facebook oder einen direkten Benutzernamen und Passwort mit Zoom zu verwenden.

Dieses Dokument bietet einen umfassenden Überblick über SSO-Konfigurationen und Einstellungen in Zoom sowie zusätzliche Informationen zur Fehlerbehebung und Sicherheit.

### SSO-Integrationen

#### <mark style="color:blau;">SSO erfordert eine Vanity-URL, um zu beginnen</mark>

Ein Konto muss eine genehmigte Vanity-URL haben, bevor SSO konfiguriert wird. Sobald die Vanity-URL genehmigt ist, können Zoom-Administratoren auf das [SSO-Konfiguration](https://zoom.us/account/sso) blättern Sie im Webportal durch das Untermenü mit den erweiterten Optionen. Lesen Sie unseren Support-Artikel zu [Vanity-URLs](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) für weitere Informationen.

#### <mark style="color:blau;">Zoom SSO funktioniert mit jedem SAML-2.0-Identitätsanbieter</mark>

Zoom kann sich in jeden Identitätsanbieter integrieren, der Security Assertion Markup Language (SAML) 2.0 Authentifizierung unterstützt. Obwohl es viele dokumentierte Integration-Übersichten gibt, stellen einige Identitätsanbieter keine Dokumentation für die Integration mit Zoom bereit. Konten, die Konfigurationsanweisungen nicht finden können, werden ermutigt, sich für weitere Informationen an ihren Identitätsanbieter zu wenden.

#### <mark style="color:blau;">Zoom-Administratoren können Benutzerprofilinformationen und Lizenzen über SAML-Antwortzuordnung oder SCIM-Integrationen verwalten</mark>

Administratoren können Benutzerprofilinformationen und Lizenzierung über SAML-Antwortzuordnung oder Anfragen an die System for Cross-Domain Identity Management (SCIM) Anwendungsprogrammierschnittstelle (API) verwalten, abhängig von den Verfügbar Funktionen des Identitätsanbieters. Beide Methoden der Benutzerverwaltung bieten nahezu gleichwertige Funktionalität für die Zuordnung von Profilinformationen und die Lizenzverwaltung, aber einige SCIM-Zuordnungen erfordern eine manuelle Konfiguration.

Für eine umfassende Liste der SCIM-Funktionen siehe unsere [SCIM API-Dokumentation](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User).

#### <mark style="color:blau;">Zoom-Administratoren können den Benutzer-Kontostatus über SCIM verwalten, aber nicht über SAML</mark>

Da SCIM es Identitätsanbietern ermöglicht, jederzeit direkt mit Zoom zu kommunizieren, können Benutzerkonten *aktiviert*, *deaktiviert*, *erstellt*, oder *gelöscht* durch SCIM-Integrationen automatisch. Zum Beispiel kann, wenn ein Benutzerkonto in Active Directory deaktiviert ist oder wenn die Anwendung nicht zugewiesen wurde, SCIM eine automatische Deaktivierungsanfrage für das Benutzerkonto innerhalb von Zoom senden. Diese Funktion ist abhängig von den Möglichkeiten der SCIM-Anwendung des Identitätsanbieters, und die Funktionalität kann je nach Anbieter variieren.

#### <mark style="color:blau;">Nur wenige Identitätsanbieter bieten SCIM für Zoom an</mark>

Viele Identitätsanbieter haben keine für Zoom entwickelte SCIM-Integration als Teil ihrer Dienste. Konten, die einen Identitätsanbieter verwenden, der SCIM mit Zoom nicht unterstützt, müssen für die automatisierte Benutzerverwaltung das SAML-Antwort-Mapping verwenden.

#### <mark style="color:blau;">SCIM erfordert eine zugehörige Domäne, um Benutzer automatisch bereitzustellen</mark>

Konten, die SCIM verwenden, um Benutzer für SSO zu verwalten und bereitzustellen **muss** Ordnen Sie die E-Mail-Domäne Zoom zu. Wenn die Domäne nicht zugeordnet wird, führt dies zu Fehlern bei der Bereitstellung von Benutzern. Lesen Sie unseren Support-Artikel über [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen zum Prozess.

#### <mark style="color:blau;">Die folgenden SSO-Integrationen sind dokumentiert</mark>

{% hint style="success" %}
**Zoom-Tipp**

Klicken Sie auf das ✔ in der Spalte Anbieter- oder Zoom-Dokumentation, um ein neues Fenster mit Anweisungen zu öffnen.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Anbieterdokumentation</th><th>Zoom-Dokumentation</th><th>Unterstützt SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>AD Sync-Tool</td></tr><tr><td>Clever</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (ehemals Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:blau;">On-Premises Active Directory kann das AD Sync-Tool anstelle von SCIM verwenden</mark>

Konten, die die Benutzerbereitstellung über SCIM automatisieren möchten, aber keinen cloudbasierten Identitätsanbieter haben, können das Active Directory (AD) Sync Tool Anwendung verwenden, das von Zoom für das Verwalten ihrer Benutzer entwickelt wurde. Diese Anwendung läuft auf Oracle JDK 8 und simuliert die SCIM-Bereitstellung, indem sie Benutzer über API-Befehle verwaltet. Siehe unseren Support-Artikel auf dem [AD Sync-Tool](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) für weitere Informationen.

{% hint style="success" %}
**Zoom-Empfehlung**

Das AD Sync-Tool erfordert eine präzise Konfiguration für Benutzerverwaltung. Um eine Unterbrechung des Dienstes zu vermeiden, sind gründliche Tests und eine Überprüfung der Konfiguration des Tools erforderlich, bevor die vollständige Implementierung erfolgt.
{% endhint %}

#### <mark style="color:blau;">Identitätsanbieter können sogar Meeting-Teilnehmer authentifizieren, die kein Zoom-Konto haben</mark>

Konten, die verlangen möchten, dass Benutzer ihre Identität authentifizieren, aber keine Zoom-Konten bereitstellen wollen, können mit ihrem Identitätsanbieter ein externes Authentifizierungsprofil Konfigurieren. Wenn dies für ein Meeting aktiviert ist, müssen Benutzer, die beitreten möchten, ihre Anmeldedaten gegenüber Ihrem Identitätsanbieter authentifizieren, um Access zu erhalten. Dies ist eine gängige Konfiguration für Schulen, die nicht allen Schülern Konten bereitstellen, aber Authentifizierung verlangen, um an Klassen teilzunehmen. Siehe unseren Support-Artikel zu [externe Authentifizierung konfigurieren](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) für weitere Informationen.

#### <mark style="color:blau;">Das Ändern des Identitätsanbieters erfordert eine Neukonfiguration von SSO innerhalb von Zoom</mark>

Konten, die den Identitätsanbieter wechseln, müssen ihre SSO-Konfiguration innerhalb von Zoom erneut durchführen. Dies umfasst die Aktualisierung aller Felder auf der Konfigurationsseite, damit sie mit ihrem neuen Identitätsanbieter übereinstimmen. Konten wird empfohlen zu bestätigen, dass sich die SAML-Antwortzuordnungen mit dem neuen Identitätsanbieter nicht Ändern werden.

Es sollten keine zusätzlichen Konfigurationen oder Änderungen erforderlich sein, sofern keine weiteren Änderungen vorgenommen werden.

#### <mark style="color:blau;">Kunden mit Unterkonten können SSO vom Hauptkonto oder Unterkonto aus Konfigurieren</mark>

Kunden mit Unterkonten haben zwei Optionen für die Konfigurieren von SSO:

1. Alle Benutzer authentifizieren sich über die Vanity-URL des Hauptkonto und werden durch erweitertes SAML-Mapping automatisch beim Unterkonto angemeldet ([es gelten einige Mapping-Einschränkungen](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); oder
2. Jedes Unterkonto hat eine eindeutige Vanity-URL und eine unabhängige SSO-Konfiguration, die ausschließlich von Mitgliedern dieses Unterkontos verwendet wird

Jede Konfiguration bietet eigene Vorteile, wobei die zweite Option die größte Flexibilität bietet. Kunden, die die Implementierung einer der beiden Konfigurationen in Erwägung ziehen, sollten mit ihrem Kontoteam besprechen, welche Konfiguration für ihre Anforderungen am besten geeignet ist.

### SSO Einstellungen & Sicherheit

Zoom-Administratoren können bei der Konfiguration einer SSO-Integration mit Zoom die optimalen Sicherheits- und Einstellungen-Optionen für ihr Unternehmen wählen. Dieser Abschnitt erläutert diese Einstellungen und ihre Auswirkungen auf eine SSO-Integration.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SSO-Integration Einstellungen.</p></figcaption></figure>

#### <mark style="color:blau;">Zoom unterstützt signierte SAML-Anforderungen für Login und Logout</mark>

Zoom-Administratoren, die zusätzliche Dienstanbieter-Authentifizierung benötigen, können Zoom Konfigurieren, um alle Login- und Logout-Anforderungen an den Identitätsanbieter zu signieren.

Konten, die diese Einstellung verwenden, benötigen möglicherweise eine Zertifikat-Rotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu [Zertifikat-Rotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) für weitere Informationen.

#### <mark style="color:blau;">Zoom unterstützt verschlüsselte SAML-Assertions bei der Authentifizierung</mark>

Zoom-Administratoren können Zoom Konfigurieren, um verschlüsselte Assertions bei der Authentifizierung zu unterstützen. Wenn diese Einstellung aktiviert ist, werden unverschlüsselte Assertions verworfen. Konten, die diese Einstellung verwenden, benötigen möglicherweise eine SSO-Zertifikat-Rotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu [Zertifikat-Rotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) für weitere Informationen.

#### <mark style="color:blau;">Zoom-Administratoren können das automatische Abmelden nach einer definierten Zeitdauer erzwingen</mark>

Zoom-Administratoren können Zoom Konfigurieren, um Benutzer nach definierten Zeitdauern automatisch von aktiven Sitzungen abzumelden, anpassbar von 15 Minuten bis 180 Tagen. Dieser Vorgang setzt das Zoom-Access-Token so, dass es nach der festgelegten Dauer abläuft, sobald das Token generiert wird. Dieses Token hat keine Beziehung zu einem Identitätsanbieter und ist eindeutig für Zoom.

#### <mark style="color:blau;">SAML-Antwortprotokolle können zur Fehlerbehebung gespeichert werden</mark>

Zoom kann SAML-Antwortprotokolle aus Authentifizierungsversuchen sieben Tage lang nach einer Authentifizierung speichern. Diese Antwortprotokolle können neben SAML-Antwortzuordnungs-Konfigurationen ein unschätzbares Hilfsmittel zur Fehlerbehebung bei Konfigurations- und Benutzerfehlern sein. Lesen Sie den Abschnitt zu [Fehlerbehebung bei Fehlern mit SAML-Antwortprotokollen](#using-saml-response-logs-to-troubleshoot) für weitere Informationen.

{% hint style="success" %}
**Zoom-Empfehlung**

Aktivieren Sie das Speichern von SAML-Antwortprotokollen, um die Fehlerbehebung zu erleichtern.
{% endhint %}

#### <mark style="color:blau;">Die Bereitstellung bei der Anmeldung kann Konten sofort erstellen und ist die einfachste Bereitstellungsoption</mark>

Wenn SSO so eingestellt ist, dass es bereitstellt *Bei der Anmeldung* (auch als Just-in-Time-Bereitstellung bekannt) kann sich jeder autorisierte Benutzer innerhalb des Identitätsanbieters bei Zoom authentifizieren. Benutzer, die noch kein bestehendes Konto haben, erhalten bei der Anmeldung sofort eines erstellt.

Die Bereitstellung bei der Anmeldung kann die Einführung von Zoom in einem Unternehmen vereinfachen, indem Benutzern ermöglicht wird, ihre Konten zum Zeitpunkt der Authentifizierung zu erstellen, anstatt eine proaktive Benutzererstellung zu erfordern. In Kombination mit der SAML-Antwortzuordnung sind ein vollständiges Benutzerprofil und die Lizenzierung innerhalb von Sekunden nach der ersten Authentifizierung eines Benutzers bereit.

Darüber hinaus kann die Bereitstellung bei der Anmeldung den SSO-Anmeldetyp für bereits vorhandene Konten dynamisch erstellen. Wenn ein Benutzer über ein bestehendes Zoom-Konto mit einem Benutzernamen und Passwort verfügt, wird bei der Anmeldung mit dieser Konfiguration ein SSO-Anmeldetyp erstellt.

#### <mark style="color:blau;">Die Bereitstellung vor dem Anmelden erfordert vorab erstellte Konten mit einem SSO-Anmeldetyp</mark>

Benutzer für SSO bereitstellen *vor dem Anmelden* erfordert, dass authentifizierende Benutzer **beides** ein vorhandenes Zoom-Konto und dass für das Konto ein SSO-Anmeldetyp erstellt wurde. Diese Art der Bereitstellung wird aufgrund des automatisierten Kontenerstellungsprozesses häufig mit der SCIM-Bereitstellung kombiniert, ist jedoch nicht darauf beschränkt. Zoom-Benutzer, die über zugehörige Domänen oder eine direkte Einladung in das Firmenkonto konsolidieren, haben wahrscheinlich nicht den SSO-Anmeldetyp.

Zoom-Administratoren können bestätigen, ob ein Konto über einen SSO-Anmeldetyp verfügt, indem sie das Benutzerkonto auf der [Benutzerverwaltung](https://zoom.us/account/user#/) Seite im Webportal anzeigen und nach dem Symbol „SSO“ unter der E-Mail des Benutzers suchen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Standort des SSO-Symbols unter der E-Mail eines Benutzers.</p></figcaption></figure>

Wenn das Symbol vorhanden ist, ist der Benutzer für SSO bereitgestellt; wenn das Symbol fehlt, kann sich der Benutzer bei aktivierter Vorabbereitstellung nicht über SSO anmelden, bis es hinzugefügt wird. Ein Zoom-Administrator kann diesen Anmeldetyp hinzufügen, indem Benutzer stapelweise über eine CSV-Datei hinzugefügt und die Option „SSO-Benutzer“ ausgewählt wird, oder der Benutzer authentifiziert sich, während die Bereitstellung beim Anmelden aktiviert ist.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel, das die Option „SSO-Benutzer“ für den Massen-Upload zeigt.</p></figcaption></figure>

{% hint style="success" %}
**Zoom-Empfehlung**

Um zu verhindern, dass Benutzer sich nicht anmelden können, verwenden Sie bei der ersten Konfiguration von SSO auf einem Konto die Bereitstellung bei der Anmeldung. Wechseln Sie bei Bedarf zu Pre-Provisioning, sobald Sie bestätigt haben, dass Ihre Benutzer vorab bereitgestellt sind und Sie die Methoden für Pre-Provisioning eingerichtet haben.
{% endhint %}

#### <mark style="color:blau;">Eine Domain muss zugeordnet und verwaltet werden, um die SSO-Authentifizierung durchzusetzen</mark>

Zoom-Administratoren können die SSO-Authentifizierung durchsetzen *nur* wenn die E-Mail-Domain innerhalb von Zoom zugeordnet und verwaltet wird. Wenn dies aktiviert ist, werden alle Benutzer, die sich mit Ihrer(n) Firmendomain(s) authentifizieren, unabhängig von der Plattform automatisch zur Authentifizierungsseite Ihres Identitätsanbieters weitergeleitet.

Sobald die Domain genehmigt und verwaltet ist, kann ein Zoom-Administrator die SSO-Authentifizierung über die [Sicherheitsseite](https://zoom.us/account/setting/security) unter **Anmeldemethoden**. Siehe unseren Support-Artikel zu [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen zum Verknüpfen und Verwalten einer Domain.

#### <mark style="color:blau;">Bestimmte Benutzer können von der erzwungenen SSO-Authentifizierung ausgenommen werden</mark>

Zoom Administratoren können bestimmte Benutzer von erzwungener Authentifizierung per SSO ausschließen. Das Ausschließen bestimmter Benutzer (z. B. ein Administrator-Konto) kann nützlich sein, wenn eine SSO-Konfiguration fehlschlägt und ein Kontoadministrator nicht-SSO-Zugriff auf das Zoom-Konto benötigt. Administratoren, die ausgenommen sind, können sich jederzeit unter admin.zoom.us anmelden, falls es zu einer Kontosperrung oder einer fehlerhaften SSO-Konfiguration kommt (der Benutzer muss über das Standard **Administrator** Rolle). Wenn ein Zoom-Administrator keinen Zugriff auf das Konto hat, muss er Kontakt mit dem Zoom-Support aufnehmen, um Unterstützung zu erhalten.

Um eine Benutzer-Ausnahme zu Aktivieren, navigieren Sie zum Konto [Sicherheitsseite](https://zoom.us/account/setting/security) Im Webportal unter den erweiterten Optionen die Liste der erzwungenen Domänen suchen und über die Bearbeitungsliste eine Ausnahme Hinzufügen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel einer Domänenliste für SSO.</p></figcaption></figure>

#### <mark style="color:blau;">Mobile und Desktop-Clients können so konfiguriert werden, dass Benutzer die SSO-Authentifizierung verwenden müssen</mark>

Zoom-Clients können vorkonfiguriert werden, um die SSO-Funktionalität zu automatisieren, einschließlich automatischer Anmeldung, automatischer Abmeldung, ausschließlicher SSO-Authentifizierung auf dem Gerät und mehr über Gruppenrichtlinien, Mobile-Gerät-Management-(MDM)-Dienste und Clients für die Massenbereitstellung.

Für eine vollständige Liste der Konfigurationsmöglichkeiten siehe unsere Konfigurationsoptionen für [Gruppenrichtlinie](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) und [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:blau;">Office 365-Benutzer können sich mit SSO-Anmeldedaten automatisch beim Zoom für Outlook Hinzufügen-In anmelden</mark>

Kunden, die Office 365 verwenden, können ihre Benutzer mithilfe von SSO-Anmeldedaten automatisch beim Zoom für Outlook Hinzufügen-In anmelden. Dies kann mit einem [benutzerdefiniertes Hinzufügen-In-Manifest](https://support.zoom.us/hc/en-us/articles/360041403311) die die Vanity-URL für das Konto vorab ausfüllt und so eine nahtlose Authentifizierung für Benutzer schafft. Diese Funktion verwendet das SSO-Sitzung-Token des Benutzer, wenn es aktiv ist, oder fordert eine neue Authentifizierung bei Ihrem Identitätsanbieter an, wenn keine aktive Sitzung gefunden wird.

Ein Zoom Administrator kann diese Einstellung auf der Seite des Konto [Sicherheitsseite](https://zoom.us/account/setting/security) unter dem **erweitert** Menü, ein Unterkonto hinzufügen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Administrator-Einstellung für SSO mit dem Outlook Hinzufügen-In.</p></figcaption></figure>

### SAML-Antwortzuordnung

SAML-Attribute sind Datenkategorien, die durch SAML-Werte definiert sind, und werden verwendet, um Informationen von dem Identitätsanbieter an einen Dienstanbieter wie Zoom zu übergeben. Die Zuordnung von Attributen und Werten ist entscheidend für die Automatisierung von Benutzer-Profilinformationen und die Verwaltung von Benutzer-Lizenz.

Die SAML-Antwortzuordnung ist in zwei Hälften unterteilt: *Basic* und *erweitert*. Die Basic-Zuordnung wird verwendet, um Basic-Profilinformationen zuzuordnen, einschließlich Name, Telefonnummer, Abteilung usw. Die erweiterte Zuordnung wird verwendet, um die dynamische Zuweisung von Lizenz zu verwalten, Benutzer-Gruppen, Benutzer-Rollen und mehr zuzuweisen.

Dieser Abschnitt behandelt die Grundlagen des SAML-Antwort-Mappings, grundlegendes und fortgeschrittenes SAML-Antwort-Mapping und hebt eindeutige Bedingungen hervor, die für einige Funktionen erforderlich sind.

#### <mark style="color:blau;">Grundlagen: SAML-Attribute und Werte</mark>

Die meisten Identitätsanbieter übermitteln grundlegende Profilinformationen mithilfe von einfachen Attributnamen und Werten. Beispielsweise kann die Abteilung eines Mitarbeiters über SAML mit dem Attribut department und dem Wert Human Resources übermittelt werden. Die folgende Tabelle zeigt die Beziehung zwischen Attributen und Werten beim Übermitteln von Informationen über einen Benutzer.

| SAML-Attribut | SAML-Wert                      |
| ------------- | ------------------------------ |
| firstName     | John                           |
| lastName      | Smith                          |
| E-Mail        | <john.smith@companydomain.com> |
| Abteilung     | Personalwesen                  |

Durch die korrekte Zuordnung eines SAML-Attributs zu einem Antwort-Mapping können Benutzerinformationen automatisch auf ein Benutzerprofil angewendet werden, um den Prozess der Kontenerstellung und -verwaltung zu vereinfachen.

#### <mark style="color:blau;">Basic Mapping: Profilinformationen</mark>

SAML Basic Information Mapping wird verwendet, um Profilinformationen wie Vorname, Nachname, Abteilung, Telefonnummer, Kostenstelle und Standort aus einem Verzeichnis auf das Profil eines Benutzers anzuwenden. Viele dieser Kategorien sind selbsterklärend und können leicht konfiguriert werden; einige Kategorien erfordern jedoch eine Erklärung, um sie korrekt zu konfigurieren und unvorhergesehene Folgen oder Anwendungsfehler zu verhindern. Der folgende Abschnitt hebt einzigartige Zuordnungsoptionen und Einstellungen für das Basic Mapping hervor. Lesen Sie unseren [Artikel zu Basic SAML Mapping](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) für eine vollständige Liste der unterstützten Attribute.

#### <mark style="color:blau;">Der standardmäßige Lizenztyp gilt nur für</mark> *<mark style="color:blau;">brandneue Benutzer</mark>*

Die Option für den standardmäßigen Lizenztyp wendet die zugewiesene Lizenz auf alle *neuen* Benutzer an, die innerhalb des Kontos über SAML bereitgestellt werden. Dies gilt nicht für Benutzer, die sich zum zweiten Mal authentifizieren, Benutzer, die aus einem vorherigen Konto in das Konto zusammengeführt wurden, Benutzer, die über SCIM bereitgestellt werden, oder Benutzer, die manuell eingeladen wurden.

Für Informationen zum *Aktualisieren* von Benutzerlizenzen mit Authentifizierung, lesen Sie die Lizenzkonfiguration unter [Advanced SAML Mapping](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blau;">Ein standardmäßiger Lizenztyp von</mark> *<mark style="color:blau;">None</mark>* <mark style="color:blau;">wird neue Benutzer nicht zulassen, sich zu authentifizieren, sofern kein erweitertes Mapping konfiguriert ist, um eine Lizenz zuzuweisen</mark>

Zoom-Benutzer müssen einen zugewiesenen Lizenztyp (Basic, Lizenziert oder vor Ort) haben, um sich beim Zoom-Dienst anzumelden. Wenn standardmäßig ein Lizenztyp von Keine ausgewählt ist, können neue Benutzer sich nicht anmelden oder ein neues Konto erstellen, es sei denn, sie erhalten eine Lizenz über [Advanced SAML Mapping](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blau;">Die meisten grundlegenden Zuordnungen werden bei der Anmeldung erneut angewendet, sofern nicht anders angegeben</mark>

Die meisten grundlegenden SAML-Zuordnungen werden standardmäßig jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet, *außer* *für* Vorname, Nachname, anzeigen Name und Telefonnummer. Standardmäßig werden diese vier Zuordnungen nur beim ersten Mal angewendet, wenn sich ein Benutzer authentifiziert, und nicht erneut, selbst wenn sie von einem Benutzer oder Administrator aktualisiert werden. Zoom-Administratoren können dieses Verhalten ändern, indem sie die Option für **Aktualisierung bei jeder SSO-Anmeldung** auf der SAML-Antwortzuordnungsseite.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Option „Aktualisierung bei jeder SSO-Anmeldung“.</p></figcaption></figure>

#### <mark style="color:blau;">Zuordnungen für Telefonnummern sollten einen Ländercode und eine Vorwahl enthalten, wenn sie außerhalb der Vereinigten Staaten liegen</mark>

Telefonnummern, die über SAML zugeordnet werden, sollten nach Möglichkeit die Landesvorwahl und die Ortsvorwahl des Benutzers in der SAML-Assertion enthalten. Zoom geht standardmäßig von der Landesvorwahl +1 aus, wenn sie nicht definiert ist.

Konten, die keine Landesvorwahlen in ihrem Verzeichnis beibehalten, können ihre SAML-Assertions in ihrem Identitätsanbieter bearbeiten, um diese bei Bedarf automatisch einzuschließen.

#### <mark style="color:blau;">Jeder Benutzer kann bis zu drei Telefonnummern und eine Faxnummer haben, die seinem Profil zugeordnet sind</mark>

Zoom-Administratoren können für jeden Benutzer bis zu drei separate Telefonnummern und eine Faxnummer zuordnen konfigurieren. Jede Telefonnummer muss eindeutig sein und darf den Wert eines anderen Feldes nicht duplizieren.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel für Telefonnummernoptionen für jeden Benutzer.</p></figcaption></figure>

#### <mark style="color:blau;">Profilbilder müssen entweder aus einer öffentlich zugänglichen URL zugeordnet oder mit Base64 codiert werden</mark>

Konten, die Profilbilder aus ihrem Verzeichnis zuordnen möchten, müssen die Bilder entweder mithilfe einer öffentlich zugänglichen URL zuordnen oder das Bild bei der Bestätigung in Base64 codieren.

#### Mitarbeiter-Eindeutige ID

<mark style="color:blau;">**Die Mitarbeiter-Eindeutige ID ändert die primäre Kennung, die Zoom zur Identifizierung von Benutzern verwendet**</mark>

Die *Mitarbeiter-Eindeutige ID* ist eine Funktion, die Zoom anbietet, um die Identitätsverwaltung zu unterstützen. Standardmäßig ist die primäre Identifizierung für einen Zoom-Benutzer ihre **E-Mail** **Adresse**. Dies bedeutet, dass wenn der Anmeldetyp für die geschäftliche E-Mail-Adresse ist **<john.smith@company.com>**, dann wird Zoom diesen Benutzer immer anhand dieser E-Mail-Adresse identifizieren. Diese Kennung ermöglicht Integrationen wie SSO oder Facebook- und Google OAuth-Konten, den Benutzer demselben Zoom-Konto zuzuordnen.

Allerdings kann dieser Identifizierungsprozess problematisch sein, wenn sich der Name oder die E-Mail eines Benutzers ändert. Zum Beispiel, wenn **<john.smith@company.com>** hat eine E-Mail Ändern zu **<jonathan.smith@company.com>**, Zoom kann nicht sicher feststellen, dass es sich um dieselbe Person handelt (weil die grundlegende Kennung unterschiedlich ist), daher wird Zoom beim ersten Mal ein neues Konto erstellen **<jonathan.smith@company.com>** meldet sich an.

Um dieses Problem zu vereinfachen, bietet Zoom die Funktion „Eindeutige Mitarbeiter-Kennung“ an, die die primäre Kennung eines Benutzers von seiner E-Mail-Adresse in eine festgelegte eindeutige ID ändert. *Dies ändert nicht den Zoom-Benutzernamen eines Benutzers*, sondern bietet stattdessen ein alternatives identifizierendes Attribut. Dieses Ändern ermöglicht es Zoom, die E-Mail-Adresse eines Benutzers in Zoom dynamisch zu aktualisieren, wenn:

* ein *neu* Die E-Mail-Adresse wird von einer bekannten eindeutigen Mitarbeiter-ID begleitet; und
* die E-Mail-Domain des betroffenen Benutzers innerhalb von Zoom zugeordnet ist

Zum Beispiel, wenn **<john.smith@company.com>** authentifiziert wird und einen SAML-Wert von 12345 (seine Mitarbeiternummer) für das Attribut „Eindeutige Mitarbeiter-ID“ übergibt, identifiziert Zoom den Benutzer innerhalb des Kontos nun anhand des bestätigten Werts. Wenn John sich erneut mit der E-Mail authentifiziert **<jonathan.smith@company.com>** während weiterhin die eindeutige Mitarbeiter-ID 12345 übergeben wird, erkennt Zoom, dass <john.smith@company.com> jetzt **<jonathan.smith@company.com>** ist und die E-Mail des Benutzers innerhalb des Kontos dynamisch aktualisiert wird, wenn die Domain zugeordnet ist.

Identitätsadministratoren sollten *positiv* dass sich keine zwei Benutzer mit demselben Mitarbeiter-Unique-ID-Wert überschneiden, bevor für diese Kategorie ein SAML-Mapping eingerichtet wird. Wenn sich ein anderer Benutzer authentifiziert und denselben Wert übermittelt, wird die E-Mail erneut auf den neuen Benutzer aktualisiert und kann erhebliche Störungen für die Benutzerdienste und das Benutzererlebnis verursachen.

<mark style="color:blau;">**Die Mitarbeiter-Unique-ID-Funktion erfordert zugehörige Domänen, um die E-Mail eines Benutzers zu Ändern**</mark>

Die Funktion zur eindeutigen Mitarbeiter-ID kann die E-Mail-Adresse eines Benutzers nicht aktualisieren, es sei denn, die E-Mail-Domain ist offiziell mit Ihrem Kontoprofil verknüpft. Lesen Sie unseren Support-Artikel zu [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen.

<mark style="color:blau;">**Admins und Eigentümer können ihre E-Mail nicht über die Mitarbeiter-Unique-ID aktualisieren**</mark>

Administrator- und Inhaber-E-Mails innerhalb von Zoom können nicht über die Mitarbeiter Unique ID-Funktion aktualisiert werden. Dies ist als Sicherheitsmaßnahme gedacht, um unbefugten Zugriff zu verhindern. Administratoren und Inhaber müssen ihre E-Mail über ihre Profilseite ändern.

<mark style="color:blau;">**Benutzer-E-Mails können nur einmal pro Tag über die Mitarbeiter-Unique-ID aktualisiert werden**</mark>

Benutzer-E-Mails können nur einmal alle 24 Stunden über die Funktion Mitarbeiter-Unique-ID aktualisiert werden. Ein Benutzer muss einen vollen Kalendertag seit der vorherigen Aktualisierung warten, bevor er seine E-Mail erneut über SSO aktualisiert.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramm eines Beispielablaufs zum Aktualisieren von Benutzer-E-Mails.</p></figcaption></figure>

<mark style="color:blau;">**Das Festlegen des SAML-Attributs auf \<NameID> verwendet die zugesicherte NameID des Benutzers**</mark>

Zuordnung des SAML-Attributs „Mitarbeiter Unique ID“ zu **\<NameID>** wird automatisch den behaupteten NameID-Wert des Benutzers als ihre eindeutige Kennung verwenden. Dies kann ein hilfreiches Tool sein, wenn Ihr Identitätsanbieter einen NameID-Wert außer der E-Mail des Benutzers behauptet, z. B. einen User Principal Name (UPN) oder einen ähnlichen Wert, der sich nicht ändert. Verwenden Sie diesen Wert nicht, wenn die NameIDs der Benutzer mit ihrer E-Mail übereinstimmen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die &#x3C;NameID>-Administrator-Einstellung.</p></figcaption></figure>

### Erweiterte Zuordnung: Lizenzen, Hinzufügen  und Access

Der Abschnitt „SAML Advanced Information Mapping“ kann dynamisch Lizenzen (einschließlich Zoom Phone), Add-ons und Benutzerzugriffsgruppen auf Benutzer anwenden, wenn sie authentifizieren. Im Gegensatz zur Basic-Zuordnung enthält die Advanced-Zuordnung viele Nuancen, die bei der Konfiguration je nach Komplexität Ihrer Umgebung sorgfältige Aufmerksamkeit erfordern können. Dieser Abschnitt hebt die Nuancen für die Konfiguration der Advanced-SAML-Zuordnung hervor. Sehen Sie sich unser an [Artikel zur erweiterten SAML-Zuordnung](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) für eine vollständige Liste der unterstützten Attribute.

#### <mark style="color:blau;">Erweiterte Zuordnung gilt jedes Mal, wenn sich ein Benutzer authentifiziert</mark>

Im Gegensatz zu Basic Mapping, das für einige Kategorien optionale Aktualisierungen hat, werden erweiterte Mapping-Konfigurationen jedes Mal angewendet, wenn sich ein Benutzer authentifiziert, gemäß der Top-down-Reihenfolge der Anwendung.

Wenn beispielsweise ein Benutzer eine Basic-Lizenz hat und sich dann über SSO authentifiziert, wobei ein SAML-Attribut und ein Wert übergeben werden, die der Zuweisung einer Voll-Lizenz zugeordnet sind, wird dem Benutzer sofort die Voll-Lizenz zugewiesen. Wenn das Profil des Benutzers anschließend innerhalb des Identitätsanbieters geändert wird, um ihn wieder auf eine Basic-Lizenz zurückzusetzen, wird ihm nach der erneuten Authentifizierung innerhalb von Zoom erneut die Basic-Lizenz zugewiesen.

#### <mark style="color:blau;">Erweiterte Zuordnung ermöglicht mehrere SAML-Attribute und Werte pro Kategorie</mark>

Im Gegensatz zur einfachen Zuordnung, die nur ein SAML-Attribut pro Kategorie zulässt, kann die erweiterte Zuordnung mehrere Attribute und Werte für jede Kategorie unterstützen. Dies bietet erhebliche Flexibilität bei der Verwaltung von Benutzerlizenzierung und Access über Sicherheitsgruppen in Ihrem Identitätsanbieter, wie in der folgenden Konfiguration zu sehen ist.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Attributzuordnung für SAML.</p></figcaption></figure>

{% hint style="success" %}
**Zoom-Tipp**

SAML-Attribute können je nach Identitätsanbieter variieren, insbesondere bei Sicherheitsgruppen. Bestätigen Sie dies mit Ihrem Identitätsanbieter oder über [SAML-Antwortprotokolle](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) wie SAML-Attribute bestätigt werden.
{% endhint %}

#### <mark style="color:blau;">Die erweiterte Zuordnung wendet Lizenzen von oben nach unten an, wenn mehrere Attribute bestätigt werden</mark>

Wenn ein Benutzer mehrere SAML-Attribute oder -Werte übermittelt, die für die erweiterte SAML-Zuordnung konfiguriert sind, ordnet Zoom die Lizenzen von oben nach unten zu. Siehe das folgende Beispiel:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Auswahl des Lizenztyps in den Administrator-Einstellungen.</p></figcaption></figure>

Gemäß der obigen Konfiguration, wenn ein Benutzer ein Attribut für beide übergeben würde **global\_users** und **Marketing**, weil **Marketing** die höchste Priorität in der Konfiguration hat, wird dieses Attribut auf den Benutzer angewendet, und die übrigen anwendbaren Attribute werden ignoriert.

Alternativ, wenn die Konfiguration mit **global\_users** als höchste festgelegt wurde, wie im folgenden Screenshot zu sehen ist, wenn die Assertion eines Benutzers **global\_users**, **Marketing**, **Personal** **Ressourcen**, und **IT**, weil **global\_users** die höchste Priorität hat, wird nur eine Basic-Lizenz zugewiesen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Anpassung der Prioritätsreihenfolge</p></figcaption></figure>

Zoom-Administratoren können die Reihenfolge der Anwendung anpassen, wenn sie die Mapping-Werte mithilfe der ↑↓-Pfeile im Editor bearbeiten.

{% hint style="success" %}
**Zoom-Empfehlung**

Konfigurieren Sie die erweiterten Konfigurationen von der spezifischsten bis zur allgemeinsten, um eine Fehlanwendung der Lizenz zu verhindern.
{% endhint %}

#### <mark style="color:blau;">Webinar und Large Meeting Zuordnungen können einen gemeinsamen Wert teilen, um beide Add-ons hinzuzufügen</mark>

Um den Anwendungsvorgang zu vereinfachen, können Zoom-Administratoren das gleiche SAML-Attribut und den gleichen Wert zweimal Konfigurieren, um sowohl Webinar- als auch Large Meeting-Add-ons auf die Benutzer anzuwenden, wie in der folgenden Abbildung mit dem **global\_users** Wert. Diese Hinzufügen-ons können bei Bedarf auch unabhängig konfiguriert werden, wie am **Webinar\_only** und **großes\_Meeting\_nur** Werte.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SAML-Attribute für large_Meeting_only und Webinar_only.</p></figcaption></figure>

#### <mark style="color:blau;">Benutzer können mithilfe eines SAML-Werts zu mehreren Benutzer Gruppen hinzugefügt werden</mark>

Zoom Administratoren können die Zuordnung von Benutzer Gruppen konfigurieren, um einen Benutzer mit einem SAML-Wert zu mehreren Gruppen hinzuzufügen.

Die zuerst hinzugefügte Benutzer Gruppe wird als die Primärgruppe des Benutzers festgelegt und bestimmt die standardmäßig Einstellungen des Benutzers *es sei denn, eine zugrunde liegende Gruppe hat eine Einstellung gesperrt*. Weitere Informationen zu Benutzer Gruppen finden Sie in unserem [Support-Artikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Zuordnung mehrerer Benutzer Gruppen.</p></figcaption></figure>

#### <mark style="color:blau;">Angegebene Benutzer und Benutzer Gruppen können von bestimmten SAML-Zuordnungen ausgenommen werden</mark>

Jede Option unter Erweiterte SAML-Zuordnung kann so konfiguriert werden, dass bestimmte Benutzer und Benutzer Gruppen vom Zuordnungsverhalten ausgenommen werden. Dies kann nützlich sein, um VIP-Benutzer vor Dienstunterbrechungen aufgrund einer möglichen Änderung der Lizenzierung zu schützen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Benutzerausnahmen.</p></figcaption></figure>

#### <mark style="color:blau;">Auto Mapping weist automatisch Benutzer einer Benutzer-, Kanal- oder IM-Gruppe zu, die nach ihrem angegebenen SAML-Wert benannt ist, wenn der Wert zuvor keiner Gruppe zugeordnet wurde</mark>

Auto Mapping kann verwendet werden, um Benutzer automatisch einer Benutzergruppe, Kanal und IM-Gruppe zuzuweisen, die nach ihrem angegebenen SAML-Wert benannt sind. Im Gegensatz zu anderen erweiterten Zuordnungskomponenten, die so konfiguriert werden können, dass sie einem Benutzer basierend auf dem SAML-Wert eine beliebige Gruppe zuweisen, weist Auto Mapping einen Benutzer immer einer Gruppe basierend auf dem exakten SAML-Wert zu. Wenn die Gruppe zuvor nicht vorhanden war, wird sie automatisch erstellt.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SAML Auto Mapping.</p></figcaption></figure>

Wenn Auto Mapping beispielsweise so eingestellt ist, dass ein Benutzer anhand seiner Abteilung den Gruppen zugeordnet wird und der Wert seiner Abteilung für die Benutzergruppe, Kanal oder IM-Gruppe noch nicht definiert ist, werden Benutzer automatisch einer Gruppe zugewiesen, die dem Namen ihrer Abteilung entspricht, wie in der folgenden Tabelle dargestellt:

| SAML-Attribut | SAML-Wert     | Existiert die Zoom-Gruppe bereits? | Ergebnis                                                                |
| ------------- | ------------- | ---------------------------------- | ----------------------------------------------------------------------- |
| Abteilung     | Personalwesen | Ja                                 | Benutzer der Human-Resources-Gruppe hinzugefügt                         |
| Abteilung     | Marketing     | Ja                                 | Benutzer zur Marketing-Gruppe hinzugefügt                               |
| Abteilung     | Vertrieb      | Nein                               | Vertrieb-Gruppe wird erstellt, Benutzer zur Vertrieb-Gruppe hinzugefügt |

#### Zoom unterstützt bis zu fünf benutzerdefinierte SAML-Attribute

Zoom-Administratoren können bis zu *fünf* benutzerdefinierte SAML-Attribute zum Hinzufügen von Benutzerdaten zu ihrem Zoom-Profil unter der [erweiterten Benutzerverwaltung](https://zoom.us/account/user#/advanced) Seite Konfigurieren. Nachdem die benutzerdefinierten Felder hinzugefügt wurden, können Zoom-Administratoren das Mapping auf der [SAML-Antwortzuordnung](https://zoom.us/account/sso/mapping) Seite.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel benutzerdefinierter SAML-Attribute</p></figcaption></figure>

#### <mark style="color:blau;">Das Zuordnen von Benutzern zu einem Unterkonto wird</mark> *<mark style="color:blau;">nur</mark>* <mark style="color:blau;">eine Meeting-Lizenz und Hinzufügen-ons anwenden</mark>

Die Zuordnung eines Benutzer zu einem Unter-Konto bewirkt nur, dass die Meeting-Lizenz und Zusatzfunktionen wie Webinar und Große Meetings eines Benutzer auf das Unter-Konto angewendet werden. Benutzergruppen, IM-Gruppen, Benutzerrollen usw. werden nicht angewendet und müssen innerhalb des Unter-Konto konfiguriert werden.

Kunden, die mehr Flexibilität für das SAML-Antwort-Mapping mit Unterkonten benötigen, benötigen eine eindeutige Vanity-URL und eine neue SSO-Konfiguration innerhalb des Unterkontos.

### Fehlerbehebung bei SSO

#### <mark style="color:blau;">Verwenden von SAML-Antwortprotokollen zur Fehlerbehebung</mark>

Gespeicherte SAML-Antwortprotokolle können ein unschätzbares Hilfsmittel bei der Fehlerbehebung von Konfigurations- und Benutzerfehlern sein, zusätzlich zu SAML-Antwortzuordnungskonfigurationen. Wenn Ihre SSO-Konfiguration so eingestellt ist, dass SAML-Antwortprotokolle gespeichert werden, können sie über die [SAML-Antwortprotokoll](https://zoom.us/account/sso/saml_logs) Registerkarte verfügbar auf der SSO-Konfigurationsseite in den erweiterten Einstellungen. Um SAML-Antwortprotokolle anzuzeigen, klicken Sie auf **Details anzeigen** neben einem Authentifizierungsversuch.

#### <mark style="color:blau;">Die meisten Authentifizierungen werden in den Antwortprotokollen angezeigt</mark>

Die meisten fehlgeschlagenen oder erfolglosen Authentifizierungsversuche werden auf der Seite der Antwortprotokolle angezeigt. Wenn ein Authentifizierungsversuch nicht angezeigt wird, hat Zoom höchstwahrscheinlich keine SAML-Assertion von Ihrem Identitätsanbieter erhalten, oder das Speichern von SAML-Antwortprotokollen ist deaktiviert.

#### <mark style="color:blau;">Antwortprotokolle können Ihnen mitteilen, ob Ihre Konfiguration falsch ist oder Ihr Zertifikat veraltet ist</mark>

Wenn SAML-Antwortprotokolle aktiviert sind, werden die Informationen des Identitätsanbieters an Zoom übermittelt, um Identitäten für jede Partei zu authentifizieren. Wenn eine übermittelte Einstellung oder Zeichenfolge von Informationen, wie das X509-Zertifikat oder die Aussteller-ID, von der aktuellen Konfiguration von Zoom abweicht, erscheint eine Fehlermeldung mit dem Hinweis, dass die Informationen „nicht mit den aktuellen SSO-Einstellungen übereinstimmen“. Ein Zoom-Administrator kann die SSO-Konfiguration so aktualisieren, dass sie mit diesen übermittelten Werten übereinstimmt, wenn sie korrekt sind, um den Fehler zu beheben.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Warnungen bei falscher Konfiguration.</p></figcaption></figure>

#### <mark style="color:blau;">Antwortprotokolle zeigen Ihnen, welche SAML-Werte und Attribute übermittelt werden</mark>

Das Prüfen von Antwortprotokollen kann bei der Behebung von SAML-Antwort-Zuordnungskonfigurationen helfen, indem verifiziert wird, welche Attribute und Werte von Benutzern bei der Authentifizierung übermittelt werden. Diese können mit der Konfiguration verglichen werden, um sicherzustellen, dass die Attribute und Werte übereinstimmen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Informationen, die vom Identitätsanbieter-Dienst bestätigt werden.</p></figcaption></figure>

Wenn SAML-Attribute oder -Werte fehlen, werden die Informationen nicht vom Identitätsanbieter-Dienst bestätigt. Benutzern, die auf dieses Problem stoßen, wird empfohlen, sich für weitere Unterstützung an den Support ihres Identitätsanbieters zu wenden.

#### <mark style="color:blau;">Antwortprotokolle enthalten bei einem Fehler einen Fehlercode und eine kurze Erklärung.</mark>

Wenn sich ein Benutzer nicht authentifizieren kann oder eine Fehlermeldung erhält, enthalten die SAML-Antwortprotokolle einen Fehlercode und eine kurze Erklärung des Fehlers.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für einen Fehlercode und eine Erklärung.</p></figcaption></figure>

Die meisten Probleme können mithilfe dieser Fehlermeldungen identifiziert und behoben werden. Wenn Sie den Fehler nicht beheben können, wenden Sie sich für zusätzliche Unterstützung an den Zoom-Support.

#### <mark style="color:blau;">Fehler bei der Webverfolgungs-ID</mark>

Wenn ein Benutzer bei der SSO-Authentifizierung scheitert, erhält er einen Fehlercode für die WEB-Verfolgungs-ID. Diese Codes sind keine Fehlermeldung zu einem bestimmten Fehler, sondern eine eindeutige Protokoll-ID, die in der SAML-Antwortzuordnung zur Identifizierung von Authentifizierungsproblemen überprüft werden kann.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für einen benutzerseitigen Fehler mit einem Fehlercode für die WEB-Verfolgungs-ID.</p></figcaption></figure>

Um den Fehler zu identifizieren, navigieren Sie, wenn die SAML-Antwortprotokollierung aktiviert ist, zu der [SAML-Antwortprotokoll](https://zoom.us/account/sso/saml_logs) Registerkarte, die auf der Seite der SSO-Konfiguration in den erweiterten Einstellungen verfügbar ist. Geben Sie dort die WEB-Tracking-ID in das Feld Tracking-ID ein und suchen Sie, um das Antwortprotokoll zu füllen

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Suche im SAML-Antwortprotokoll mit dem oben genannten Fehlercode der WEB-Tracking-ID.</p></figcaption></figure>

Die SAML-Antwortprotokolle sollten die SAML-Assertion sowie einen Fehlercode und eine Meldung am unteren Rand der Antwort anzeigen, die für zusätzliche Fehlerbehebung verwendet werden können.

### SCIM-Fehler

#### <mark style="color:blau;">Benutzer existiert nicht oder gehört nicht zu diesem Konto</mark>

Dieser Fehler tritt auf, wenn die E-Mail-Adresse eines Zielbenutzers aufgrund eines bereits vorhandenen Kontos nicht bereitgestellt werden kann. Zoom-Administratoren wird empfohlen, den Benutzer direkt zu kontaktieren und ihn manuell zum Konto einzuladen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für einen Bereitstellungsfehler.</p></figcaption></figure>

#### <mark style="color:blau;">Sie können keine kostenpflichtigen Benutzer hinzufügen</mark>

Dieser Fehler tritt auf, wenn SCIM versucht, einen Benutzer bereitzustellen, obwohl auf dem Konto nicht genügend Lizenzen vorhanden sind. Um den Fehler zu beheben, muss der Benutzer als Basic-Benutzer bereitgestellt werden, oder es muss eine Lizenz für die Bereitstellung verfügbar gemacht werden.

### SCIM-Protokolle zur Fehlerbehebung bei der Benutzerbereitstellung verwenden

Zoom stellt die 100 neuesten API-Anforderungsprotokolle im [Zoom Marketplace](https://marketplace.zoom.us/). Ein Zoom-Administrator kann diese Protokolle verwenden, um zu bestätigen, welche Informationen über Bereitstellungs-APIs gesendet und empfangen werden. Um auf die Protokolle zuzugreifen, melden Sie sich als Zoom-Administrator beim Zoom Marketplace an und klicken Sie auf **Verwalten**. Wählen Sie auf der folgenden Seite **Anrufprotokolle** unter **Verwaltung persönlicher Apps**. Klicken Sie dort auf einen Eintrag, um die API-Protokolle zu erweitern und den Inhalt zu überprüfen.

Das folgende Bild zeigt ein Beispiel für eine SCIM-Bereitstellungsanforderung für Benutzer, wobei die Identitäts- und Lizenzierungsattribute des Benutzers zur Referenz hervorgehoben sind.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für eine SCIM-Bereitstellungsanforderung für Benutzer.</p></figcaption></figure>

Wie beim SAML-Antwort-Mapping kann Zoom nur Informationen anwenden, die vom Identitätsanbieter in der Bereitstellungsanforderung übermittelt werden. Verwenden Sie diese Protokolle, um zu bestätigen, dass Benutzeridentitäts- und Lizenzierungsattribute vom Identitätsanbieter übermittelt werden. Wenn erwartete Informationen in diesen Assertions fehlen, wenden Sie sich an Ihren Identitätsanbieter, um Support zu erhalten.

### Datenflüsse und Authentifizierung

#### <mark style="color:blau;">SAML-Authentifizierung</mark>

Das folgende Diagramm beschreibt den SAML-Authentifizierungsfluss eines Benutzers beim Starten einer Single Sign-On-Sitzung mit Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramm eines Beispiel-SAML-Authentifizierungsflusses.</p></figcaption></figure>

#### <mark style="color:blau;">SSO-Webanmelde-Token</mark>

Nachdem sich ein Benutzer über SAML authentifiziert hat, wird die Sitzung des Benutzers in seinem Browser erstellt und hat

standardmäßig eine Lebensdauer von zwei Stunden. Wenn der Benutzer seine Zoom-Webseite weiterhin aktiv nutzt, wird die Sitzung aktualisiert; wenn der Benutzer seine Webseite jedoch zwei Stunden lang nicht nutzt, läuft das Token ab und der Benutzer muss sich erneut authentifizieren. Zoom-Administratoren können diese aktive Sitzungsdauer auf der [Sicherheit](https://zoom.us/account/setting/security) Seite unter Benutzer müssen sich nach einer Zeit der Inaktivität erneut anmelden und **Zeitraum für Inaktivität im Web festlegen (Minuten)**.

#### <mark style="color:blau;">Client-Anmelde-Token</mark>

Wenn ein Benutzer versucht, sich innerhalb eines Clients über SSO zu authentifizieren, öffnet der Computer des Benutzers einen Web-Browser und leitet ihn zur Anmeldeseite des Identitätsanbieters weiter. Nachdem sich ein Benutzer authentifiziert hat, erhält der Browser des Benutzers ein Start-Token für die Zoom-Anwendung. Sobald ein Benutzer auf die Schaltfläche „Öffnen“ oder „Starten“ klickt, verwendet der Browser das URL-Schema zusammen mit dem Start-Token, um die Zoom-Anwendung zu öffnen.

Die Zoom-Anwendung verwendet das Start-Token, um das Access-Token und das Aktualisierungs-Token vom Zoom-Server abzurufen. Der Client verwendet das Access-Token jeweils für eine Dauer von zwei Stunden und verwendet nach Ablauf das Aktualisierungs-Token, um einen neuen Satz von Token zu erhalten, die in der lokalen Datenbank des Clients gespeichert werden. Dieser Aktualisierungsvorgang ist standardmäßig unbegrenzt und kann Token fortlaufend durchlaufen, bis sich ein Benutzer abmeldet oder die Token ablaufen. Zoom-Administratoren können die Sitzungsdauer auf der [SSO-Einstellungen](https://zoom.us/account/sso) Seite unter [*automatische Abmeldung erzwingen*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).