> For the complete documentation index, see [llms.txt](https://library.zoom.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://library.zoom.com/technical-library/de/administrator-bereich/account-and-endpoint-management/sso-field-guide.md).

# SSO-Leitfaden

### Einleitung

Die Integration von Single Sign-On (SSO) mit Zoom bietet Administratoren Benutzerverwaltung und Sicherheitsoptionen, die die Kontoverwaltung vereinfachen können. Nach der Konfiguration authentifizieren sich Benutzer mit ihren Firmenanmeldedaten gegenüber dem Identitätsanbieter ihres Unternehmens, anstatt alternative Authentifizierungsmethoden wie Google- oder Facebook-Integrationen oder einen direkten Benutzername und Passwort mit Zoom zu verwenden.

Dieses Dokument bietet einen umfassenden Überblick über SSO-Konfigurationen und Einstellungen innerhalb von Zoom sowie Informationen zur Fehlerbehebung und Sicherheit.

### SSO-Integrationen

#### <mark style="color:blau;">SSO benötigt eine Vanity-URL, um loszulegen</mark>

Ein Konto muss vor der Konfiguration von SSO über eine genehmigte Vanity-URL verfügen. Sobald die Vanity-URL genehmigt ist, können Zoom-Administratoren auf die [SSO-Konfiguration](https://zoom.us/account/sso) Seite über das Untermenü für erweiterte Optionen im Webportal zugreifen. Lesen Sie unseren Support-Artikel über [Vanity-URLs](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) für weitere Informationen.

#### <mark style="color:blau;">Zoom SSO funktioniert mit jedem SAML-2.0-Identitätsanbieter</mark>

Zoom kann sich in jeden Identitätsanbieter integrieren, der Security Assertion Markup Language (SAML) 2.0 Authentifizierung unterstützt. Obwohl es viele dokumentierte Integrationsanleitungen gibt, stellen einige Identitätsanbieter keine Dokumentation für die Integration mit Zoom bereit. Konten, die keine Konfigurationsanweisungen finden können, werden ermutigt, sich für weitere Informationen an ihren Identitätsanbieter zu wenden.

#### <mark style="color:blau;">Zoom-Administratoren können Informationen zum Benutzerprofil und die Lizenzierung über SAML-Antwortzuordnung oder SCIM-Integrationen verwalten</mark>

Administratoren können Benutzerprofilinformationen und Lizenzierung über SAML-Antwortzuordnung oder Anfragen an die System for Cross-Domain Identity Management (SCIM) Anwendung-Programmierschnittstelle (API) verwalten, je nach den vom Identitätsanbieter Verfügbar bereitgestellten Funktionen. Beide Benutzerverwaltungsmethoden bieten nahezu gleichwertige Funktionalität für die Zuordnung von Profilinformationen und die Lizenzierungsverwaltung, aber einige SCIM-Zuordnungen erfordern manuelle Konfiguration.

Eine umfassende Liste der SCIM-Funktionen finden Sie in unserem [SCIM API-Dokumentation](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:blau;">Zoom-Administratoren können den Benutzer-Kontostatus über SCIM verwalten, aber nicht SAML</mark>

Da SCIM Identitätsanbietern ermöglicht, jederzeit direkt mit Zoom zu kommunizieren, können Benutzerkonten *aktiviert*, *deaktiviert*, *erstellt*, oder *gelöscht* …dank SCIM-Integrationen automatisch. Wenn zum Beispiel das Konto eines Benutzers in Active Directory deaktiviert ist oder wenn sie die Anwendung nicht zugewiesen haben, kann SCIM eine automatische Deaktivierungsanfrage für das Konto des Benutzers innerhalb von Zoom senden. Diese Funktion ist von den Fähigkeiten der SCIM-Anwendung des Identitätsanbieters abhängig, und die Funktionalität kann je nach Anbieter variieren.

#### <mark style="color:blau;">Nur wenige Identitätsanbieter bieten SCIM für Zoom an</mark>

Viele Identitätsanbieter haben keine SCIM Integration für Zoom als Teil ihrer Dienste. Konten, die einen Identitätsanbieter verwenden, der SCIM mit Zoom nicht unterstützt, müssen die SAML-Antwortzuordnung für die automatisierte Benutzerverwaltung verwenden.

#### <mark style="color:blau;">SCIM erfordert eine zugehörige Domäne, um Benutzer automatisch bereitzustellen</mark>

Konten, die SCIM verwenden, um Benutzer für SSO zu verwalten und bereitzustellen **muss** Ordnen Sie die E-Mail-Domäne Zoom zu. Wenn die Domäne nicht zugeordnet wird, führt dies zu Fehlern bei der Benutzerbereitstellung. Lesen Sie unseren Support-Artikel zu [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen zum Prozess.

#### <mark style="color:blau;">Die folgenden SSO-Integrationen sind dokumentiert</mark>

{% hint style="success" %}
**Zoom-Tipp**

Klicken Sie auf das ✔ in der Spalte Provider oder Zoom-Dokumentation, um ein neues Fenster mit Anweisungen zu öffnen.
{% endhint %}

#### <mark style="color:blau;">On-Premises Active Directory kann das AD Sync-Tool statt SCIM verwenden</mark>

Konten, die die Benutzerbereitstellung mithilfe von SCIM automatisieren möchten, aber keinen cloud-basierten Identitätsanbieter haben, können das Active Directory (AD) Synchronisieren-Tool verwenden, eine Anwendung, die von Zoom für die Verwaltung ihrer Benutzer entwickelt wurde. Diese Anwendung wird auf Oracle JDK 8 ausgeführt und simuliert die SCIM-Bereitstellung, indem sie Benutzer über API-Befehle verwaltet. Siehe unseren Support-Artikel über das [AD Sync-Tool](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) für weitere Informationen.

{% hint style="success" %}
**Zoom-Empfehlung**

Das AD Sync-Tool erfordert eine präzise Konfiguration für Benutzerverwaltung. Um eine Dienstunterbrechung zu vermeiden, sind gründliche Tests und die Überprüfung der Konfiguration des Tools erforderlich, bevor die vollständige Implementierung erfolgt.
{% endhint %}

#### <mark style="color:blau;">Identitätsanbieter können sogar Meeting-Teilnehmer authentifizieren, die kein Zoom-Konto haben</mark>

Konten, die verlangen möchten, dass Benutzer ihre Identität authentifizieren, aber keine Zoom-Konten bereitstellen möchten, können mit ihrem Identitätsanbieter ein externes Authentifizierungsprofil Konfigurieren. Wenn dies für ein Meeting aktiviert ist, müssen Benutzer, die versuchen beizutreten, ihre Anmeldedaten bei Ihrem Identitätsanbieter authentifizieren, um Zugriff zu erhalten. Dies ist eine häufige Konfiguration für Schulen, die nicht allen Schülern Konten bereitstellen, aber eine Authentifizierung zum Beitreten zu Kursen verlangen. Verweisen Sie auf unseren Support-Artikel zu [externe Authentifizierung konfigurieren](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) für weitere Informationen.

#### <mark style="color:blau;">Das Ändern des Identitätsanbieters erfordert eine Neukonfiguration von SSO in Zoom</mark>

Konten, die den Identitätsanbieter Ändern, müssen ihre SSO-Konfiguration innerhalb von Zoom erneut durchführen. Dazu gehört, alle Felder auf der Konfigurationsseite zu aktualisieren, damit sie mit ihrem neuen Identitätsanbieter übereinstimmen. Konten werden dazu angehalten, zu bestätigen, dass sich die Zuordnungen der SAML-Antworten mit dem neuen Identitätsanbieter nicht Ändern.

Es sollten keine zusätzlichen Konfigurationen oder Änderungen erforderlich sein, vorausgesetzt, es gibt keine weiteren Änderungen.

#### <mark style="color:blau;">Kunden mit Unter-Konten können SSO vom Master- oder Unter-Konto aus Konfigurieren</mark>

Kunden mit Unterkonten haben zwei Optionen für die Konfiguration von SSO:

1. Alle Benutzer authentifizieren sich mithilfe der Vanity-URL des Hauptkontos und werden durch erweitertes SAML-Mapping automatisch im Unterkonto angemeldet ([Es gelten einige Zuordnungsbeschränkungen](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); oder
2. Jedes Unterkonto hat eine eindeutige Vanity-URL und eine unabhängige SSO-Konfiguration, die ausschließlich von Mitgliedern dieses Unterkontos verwendet wird

Jede Konfiguration bietet einzigartige Vorteile, wobei die zweite Option die größte Flexibilität bietet. Kunden, die die Implementierung einer der beiden Konfigurationen in Betracht ziehen, sollten mit ihrem Konto-Team besprechen, welche Konfiguration für ihre Anforderungen am besten geeignet ist.

### SSO-Einstellungen & Sicherheit

Zoom-Administratoren können bei der Konfiguration einer SSO-Integration mit Zoom die optimalen Sicherheits- und Einstellungen-Optionen für ihr Unternehmen Wählen. Dieser Abschnitt erläutert diese Einstellungen und ihre Auswirkungen auf eine SSO-Integration.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SSO-Integrationseinstellungen.</p></figcaption></figure>

#### <mark style="color:blau;">Zoom unterstützt signierte SAML-Anfragen für Anmeldung und Abmeldung</mark>

Zoom-Administratoren, die zusätzliche Dienstanbieter-Authentifizierung benötigen, können Zoom so Konfigurieren, dass alle Anmelde- und Abmeldeanfragen an den Identitätsanbieter signiert werden.

Konten, die diese Einstellung verwenden, benötigen möglicherweise eine Zertifikatsrotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu [Zertifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) für weitere Informationen.

#### <mark style="color:blau;">Zoom unterstützt verschlüsselte SAML-Assertions bei der Authentifizierung</mark>

Zoom-Administratoren können Zoom so Konfigurieren, dass verschlüsselte Assertions bei der Authentifizierung unterstützt werden. Wenn diese Einstellung aktiviert ist, werden unverschlüsselte Assertions verworfen. Konten, die diese Einstellung verwenden, benötigen möglicherweise eine SSO-Zertifikatrotation, wenn ihr Identitätsanbieter keine dynamische Aktualisierung von Metadaten unterstützt. Siehe unseren Support-Artikel zu [Zertifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) für weitere Informationen.

#### <mark style="color:blau;">Zoom-Administratoren können eine automatische Abmeldung nach einer definierten Zeitspanne erzwingen</mark>

Zoom-Administratoren können Zoom so Konfigurieren, dass Benutzer nach definierten Zeiträumen automatisch aus aktiv genutzten Sitzungen abgemeldet werden, anpassbar von 15 Minuten bis 180 Tagen. Dieser Prozess legt fest, dass der Zoom Access Token nach der festgelegten Dauer abläuft, sobald der Token generiert wurde. Dieser Token steht in keinem Zusammenhang mit einem Identitätsanbieter und ist einzigartig für Zoom.

#### <mark style="color:blau;">SAML-Antwortprotokolle können zur Fehlerbehebung gespeichert werden</mark>

Zoom kann SAML-Antwortprotokolle von Authentifizierungsversuchen sieben Tage nach einer Authentifizierung speichern. Diese Antwortprotokolle können ein unschätzbares Hilfsmittel zur Fehlerbehebung bei Konfigurations- und Benutzerfehlern sowie bei SAML-Antwortzuordnungen sein. Siehe den Abschnitt zu [Fehlerbehebung bei Fehlern mit SAML-Antwortprotokollen](#using-saml-response-logs-to-troubleshoot) für weitere Informationen.

{% hint style="success" %}
**Zoom-Empfehlung**

Aktivieren Sie das Speichern von SAML-Antwortprotokollen, um die Fehlerbehebung zu erleichtern.
{% endhint %}

#### <mark style="color:blau;">Provisionierung bei der Anmeldung kann Konten sofort erstellen und ist die einfachste Provisionierungsoption</mark>

Wenn SSO auf Bereitstellung eingestellt ist *Beim Anmelden* (auch als Just-in-Time-Bereitstellung bekannt) kann sich jeder autorisierte Benutzer im Identitätsanbieter bei Zoom authentifizieren. Für Benutzer, die kein bestehendes Konto haben, wird unmittelbar bei der Anmeldung eines erstellt.

Die Bereitstellung bei der Anmeldung kann Rollouts von Zoom für ein Unternehmen vereinfachen, indem sie es Benutzern ermöglicht, ihre Konten zum Zeitpunkt der Authentifizierung zu erstellen, anstatt eine proaktive Benutzererstellung zu erfordern. In Kombination mit der SAML-Antwortzuordnung sind ein vollständiges Benutzerprofil und die Lizenzierung innerhalb von Sekunden nach der ersten Authentifizierung eines Benutzers bereit.

Außerdem kann die Bereitstellung bei der Anmeldung den SSO-Anmeldetyp für bereits vorhandene Konten dynamisch erstellen. Wenn ein Benutzer ein bestehendes Zoom-Konto mit Benutzername und Passwort hat, wird bei der Anmeldung mit dieser Konfiguration ein SSO-Anmeldetyp erstellt.

#### <mark style="color:blau;">Die Bereitstellung vor der Anmeldung erfordert vorab erstellte Konten mit einem SSO-Anmeldetyp</mark>

Benutzer für SSO bereitstellen *vor der Anmeldung* erfordert, dass sich authentifizierende Benutzer haben **beide** ein bestehendes Zoom-Konto, und dass für das Konto ein SSO-Anmeldetyp erstellt wurde. Diese Art der Bereitstellung wird aufgrund des automatisierten Prozesses zur Kontoerstellung häufig mit der SCIM-Bereitstellung kombiniert, ist aber nicht darauf beschränkt. Zoom-Benutzer, die sich über zugehörige Domänen oder eine direkte Einladung in das Firmenkonto konsolidieren, haben den SSO-Anmeldetyp wahrscheinlich nicht.

Zoom-Administratoren können bestätigen, ob ein Konto einen SSO-Anmeldetyp hat, indem sie das Benutzerkonto auf der [Benutzerverwaltung](https://zoom.us/account/user#/) Seite innerhalb des Webportals anzeigen und nach dem „SSO“-Symbol unter der E-Mail des Benutzers suchen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Standort des SSO-Symbols unter der E-Mail eines Benutzers.</p></figcaption></figure>

Wenn das Symbol sich präsentieren lässt, ist der Benutzer für SSO bereitgestellt; wenn das Symbol fehlt, kann der Benutzer sich über SSO nicht anmelden, solange die Vorabbereitstellung aktiviert ist, bis es hinzugefügt wird. Ein Zoom-Administrator kann diesen Anmeldetyp durch Hinzufügen von Benutzern in großen Mengen über eine CSV-Datei und durch Auswahl der Option „SSO-Benutzer“ hinzufügen oder den Benutzer authentifizieren lassen, während Provision at Sign-in aktiviert ist.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel, das die Option „SSO-Benutzer“ für das Hochladen in großen Mengen zeigt.</p></figcaption></figure>

{% hint style="success" %}
**Zoom-Empfehlung**

Um zu verhindern, dass Benutzer sich nicht anmelden können, verwenden Sie die Bereitstellung beim Anmelden, wenn Sie SSO erstmals für ein Konto konfigurieren. Wechseln Sie bei Bedarf zur Vorabbereitstellung, sobald Sie bestätigt haben, dass Ihre Benutzer vorab bereitgestellt sind und Sie Methoden zur Vorabbereitstellung eingerichtet haben.
{% endhint %}

#### <mark style="color:blau;">Eine Domäne muss zugeordnet und verwaltet werden, um SSO-Authentifizierung zu erzwingen</mark>

Zoom-Administratoren können SSO-Authentifizierung erzwingen *nur* wenn die E-Mail-Domäne mit Zoom verknüpft und innerhalb von Zoom verwaltet wird. Wenn dies aktiviert ist, werden alle Benutzer, die sich mit Ihrer Unternehmensdomäne(n) authentifizieren, unabhängig von der Plattform automatisch zur Authentifizierungsseite Ihres Identitätsanbieters weitergeleitet.

Sobald die Domain genehmigt und verwaltet ist, kann ein Zoom-Administrator die SSO-Authentifizierung über Ihr Konto durchsetzen [Sicherheitsseite](https://zoom.us/account/setting/security) unter **Anmeldemethoden**. Siehe unseren Support-Artikel zu [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen zum Zuordnen und Verwalten einer Domain.

#### <mark style="color:blau;">Bestimmte Benutzer können von der erzwungenen SSO-Authentifizierung ausgenommen werden</mark>

Zoom Administratoren können bestimmte Benutzer von der erzwungenen SSO-Authentifizierung ausschließen. Bestimmte Benutzer auszuschließen (z. B. ein Administrator-Konto) kann hilfreich sein, wenn eine SSO-Konfiguration fehlerhaft ist und ein Kontoadministrator nicht-SSO Access für das Zoom-Konto benötigt. Von der Regel ausgenommene Administratoren können sich jederzeit bei admin.zoom.us anmelden, wenn es zu einer Kontosperrung kommt oder die SSO-Konfiguration defekt ist (Benutzer muss die Standard **Administrator** Rolle). Wenn ein Zoom Administrator keinen Access auf das Konto hat, muss er Kontakt mit Zoom-Support aufnehmen, um Unterstützung zu erhalten.

Um eine Benutzer-Ausnahme zu Aktivieren, navigieren Sie zum Konto [Sicherheitsseite](https://zoom.us/account/setting/security) im Webportal unter den erweiterten Optionen die Liste der erzwungenen Domains suchen und über die Bearbeitungsliste eine Ausnahme mit „Hinzufügen“ eintragen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel einer Domainliste für SSO.</p></figcaption></figure>

#### <mark style="color:blau;">Mobile- und Desktop-Clients können so konfiguriert werden, dass Benutzer zur Verwendung der SSO-Authentifizierung verpflichtet sind</mark>

Zoom-Clients können vorkonfiguriert werden, um die SSO-Funktionalität zu automatisieren, einschließlich automatischer Anmeldung, automatischer Abmeldung, ausschließlicher SSO-Authentifizierung auf dem Gerät und mehr über Gruppenrichtlinien, Mobile-Gerät-Management-(MDM)-Dienste und Clients für die Massenbereitstellung.

Eine vollständige Liste der Konfigurationsmöglichkeiten finden Sie in unseren Konfigurationsoptionen für [Gruppenrichtlinie](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) und [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:blau;">Office 365-Benutzer können sich mithilfe von SSO-Anmeldeinformationen automatisch beim Zoom für Outlook Hinzufügen-In anmelden</mark>

Kunden, die Office 365 verwenden, können ihre Benutzer mithilfe von SSO-Anmeldedaten automatisch beim Zoom für Outlook-Hinzufügen-In anmelden. Dies kann mit einem [benutzerdefiniertes Hinzufügen-in-Manifest](https://support.zoom.us/hc/en-us/articles/360041403311) das die Vanity-URL des Kontos vorausfüllt und so eine nahtlose Authentifizierungserfahrung für Benutzer schafft. Diese Funktion verwendet das SSO-Sitzungs-Token des Benutzers, wenn es aktiv ist, oder fordert eine neue Authentifizierung bei Ihrem Identitätsanbieter an, wenn keine aktive Sitzung gefunden wird.

Ein Zoom-Administrator kann das Aktivieren dieser Einstellung im Konto [Sicherheitsseite](https://zoom.us/account/setting/security) unter dem **erweitert** Menü.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Administrator-Einstellung für SSO mit dem Outlook-Hinzufügen-In.</p></figcaption></figure>

### SAML-Antwortzuordnung

SAML-Attribute sind Datenkategorien, die durch SAML-Werte definiert werden, und werden verwendet, um Informationen vom Identitätsanbieter an einen Dienstanbieter wie Zoom zu übermitteln. Die Zuordnung von Attributen und Werten ist wesentlich für die Automatisierung von Benutzer-Profilinformationen und die Verwaltung von Benutzer-Lizenzzuweisungen.

Die SAML-Antwortzuordnung ist in zwei Hälften unterteilt: *grundlegend* und *erweitert*. Basic-Zuordnung wird verwendet, um grundlegende Profilinformationen einschließlich Name, Telefonnummer, Abteilung usw. zuzuordnen. Die erweiterte Zuordnung wird verwendet, um dynamische Lizenzzuweisungen zu verwalten, Benutzergruppen, Benutzerrollen und mehr zuzuweisen.

Dieser Abschnitt behandelt die Grundlagen der SAML-Antwortzuordnung, der grundlegenden und erweiterten SAML-Antwortzuordnung und hebt besondere Bedingungen hervor, die für einige Funktionen erforderlich sind.

#### <mark style="color:blau;">Grundlagen: SAML-Attribute und -Werte</mark>

Die meisten Identitätsanbieter übergeben grundlegende Profilinformationen mithilfe einfacher Attributnamen und -werte. Beispielsweise kann die Abteilung eines Mitarbeiters über SAML mit dem Attribut Abteilung und dem Wert Personalabteilung übermittelt werden. Die folgende Tabelle veranschaulicht die Beziehung zwischen Attributen und Werten beim Übermitteln von Informationen über einen Benutzer.

| SAML-Attribut | SAML-Wert                      |
| ------------- | ------------------------------ |
| Vorname       | John                           |
| Nachname      | Smith                          |
| E-Mail        | <john.smith@companydomain.com> |
| Abteilung     | Personalwesen                  |

Durch die korrekte Zuordnung eines SAML-Attributs zu einer Antwortzuordnung können Benutzerinformationen automatisch auf ein Benutzerprofil angewendet werden, um den Prozess der Kontoerstellung und -verwaltung zu vereinfachen.

#### <mark style="color:blau;">Basic-Zuordnung: Profilinformationen</mark>

SAML Basic-Informationszuordnung wird verwendet, um Profilinformationen wie Vorname, Nachname, Abteilung, Telefonnummer, Kostenstelle und Standort aus einem Verzeichnis auf das Profil eines Benutzers anzuwenden. Viele dieser Kategorien sind selbsterklärend und können leicht konfiguriert werden; einige Kategorien erfordern jedoch eine Erklärung für die korrekte Konfiguration, um unvorhergesehene Konsequenzen oder Anwendungsfehler zu verhindern. Der folgende Abschnitt hebt einzigartige Zuordnungsoptionen und Konfigurationseinstellungen für die Basic-Zuordnung hervor. Weitere Informationen finden Sie in unserem [Artikel zur Basic-SAML-Zuordnung](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) für eine vollständige Liste der unterstützten Attribute.

#### <mark style="color:blau;">Der standardmäßig ausgewählte Lizenztyp gilt nur für</mark> *<mark style="color:blau;">ganz neue Benutzer</mark>*

Die Option für den standardmäßig verwendeten Lizenztyp wendet die zugewiesene Lizenz auf alle *ganz neu* Benutzer, die innerhalb des Kontos über SAML bereitgestellt werden. Dies gilt nicht für Benutzer, die sich ein zweites Mal authentifizieren, Benutzer, die aus einem früheren Konto in das Konto zusammengeführt wurden, Benutzer, die über SCIM bereitgestellt werden, oder Benutzer, die manuell eingeladen wurden.

Informationen zu *Aktualisieren* Benutzerlizenzen mit Authentifizierung finden Sie in der Lizenzkonfiguration unter [Erweiterte SAML-Zuordnung](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blau;">Ein standardmäßig festgelegter Lizenztyp von</mark> *<mark style="color:blau;">Keine</mark>* <mark style="color:blau;">wird neuen Benutzern die Authentifizierung nicht zulassen, es sei denn, eine erweiterte Zuordnung ist konfiguriert, um eine Lizenz zuzuweisen</mark>

Zoom-Benutzer müssen einen zugewiesenen Lizenztyp (Basic, Lizenziert oder vor Ort) haben, um sich beim Zoom-Dienst anzumelden. Wenn ein standardmäßig festgelegter Lizenztyp von Keine ausgewählt ist, können neue Benutzer sich nicht anmelden oder ein neues Konto erstellen, es sei denn, sie erhalten eine Lizenz über [Erweiterte SAML-Zuordnung](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blau;">Die meisten grundlegenden Zuordnungen werden bei der Anmeldung erneut angewendet, sofern nicht anders angegeben</mark>

Die meisten grundlegenden SAML-Zuordnungen werden standardmäßig jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet, *außer* *bei* Vorname, Nachname, Anzeigename und Telefonnummer. standardmäßig werden diese vier Zuordnungen nur beim ersten Mal angewendet, wenn sich ein Benutzer authentifiziert, und werden nicht erneut angewendet, selbst wenn sie von einem Benutzer oder Administrator aktualisiert werden. Zoom-Administratoren können dieses Verhalten durch das Ändern der Option für **Bei jeder SSO-Anmeldung aktualisieren** auf der SAML-Antwortzuordnungsseite.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Option „Bei jeder SSO-Anmeldung aktualisieren“.</p></figcaption></figure>

#### <mark style="color:blau;">Zuordnungen von Telefonnummern sollten einen Ländercode und eine Vorwahl enthalten, wenn sie außerhalb der Vereinigten Staaten liegen</mark>

Telefonnummern, die über SAML zugeordnet werden, sollten nach Möglichkeit den Ländercode und die Vorwahl des Benutzers in der SAML-Assertion enthalten. Zoom geht standardmäßig von einem Ländercode von +1 aus, wenn keiner definiert ist.

Konten, die Ländercodes in ihrem Verzeichnis nicht beibehalten, können ihre SAML-Assertions in ihrem Identitätsanbieter bearbeiten, um diese bei Bedarf automatisch einzufügen.

#### <mark style="color:blau;">Jeder Benutzer kann bis zu drei Telefonnummern und eine Faxnummer seinem Profil zugeordnet haben</mark>

Zoom-Administratoren können für jeden Benutzer bis zu drei separate Telefonnummern und eine Faxnummer-Zuordnung Konfigurieren. Jede Telefonnummer muss eindeutig sein und darf den Wert eines anderen Felds nicht duplizieren.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel für Telefonnummernoptionen für jeden Benutzer.</p></figcaption></figure>

#### <mark style="color:blau;">Profilbilder müssen entweder von einer öffentlich zugänglichen URL zugeordnet oder mit Base64 kodiert werden</mark>

Konten, die Profilbilder aus ihrem Verzeichnis zuordnen möchten, müssen die Bilder mithilfe einer öffentlich zugänglichen URL oder durch Kodierung des Bildes in Base64 zuordnen, wenn sie dies bestätigen.

#### Eindeutige Mitarbeiter-ID

<mark style="color:blau;">**Die Eindeutige Mitarbeiter-ID ändert die primäre Kennung, die Zoom verwendet, um Benutzer zu identifizieren**</mark>

Die *Eindeutige Mitarbeiter-ID* ist eine Funktion, die Zoom zur Unterstützung der Identitätsverwaltung anbietet. standardmäßig ist die primäre Kennung für einen Zoom-Benutzer seine **E-Mail** **Adresse**. Dies bedeutet, dass, wenn der Anmeldetyp der geschäftlichen E-Mail-Adresse ist **<john.smith@company.com>**, dann wird Zoom diesen Benutzer immer über diese E-Mail-Adresse identifizieren. Diese Kennung ist es, was Integrationen wie SSO oder Facebook und Google OAuth ermöglicht, den Benutzer mit demselben Zoom-Konto zu verknüpfen.

Allerdings kann dieser Identifizierungsprozess problematisch sein, wenn sich der Name oder die E-Mail eines Benutzers ändert. Wenn zum Beispiel **<john.smith@company.com>** hat ein E-Mail-Ändern zu **<jonathan.smith@company.com>**, Zoom kann nicht mit Sicherheit feststellen, dass es sich um dieselbe Person handelt (weil die grundlegende Kennung unterschiedlich ist), daher wird Zoom beim ersten Mal ein neues Konto erstellen **<jonathan.smith@company.com>** meldet sich an.

Um dieses Problem zu vereinfachen, bietet Zoom die Funktion „Eindeutige Mitarbeiter-ID“, die die primäre Kennung eines Benutzers von seiner E-Mail-Adresse auf eine festgelegte eindeutige ID ändert. *Dies dient nicht dazu, den Zoom-Benutzernamen eines Benutzers zu Ändern.*, bietet stattdessen jedoch ein alternatives Identifikationsmerkmal an. Diese Ändern ermöglicht Zoom, die E-Mail-Adresse eines Benutzers innerhalb von Zoom dynamisch zu aktualisieren, wenn:

* ein *neue* E-Mail-Adresse wird von einer bekannten eindeutigen Mitarbeiter-ID begleitet; und
* die E-Mail-Domäne des betroffenen Benutzers ist in Zoom verknüpft

Zum Beispiel, wenn **<john.smith@company.com>** sich authentifiziert und einen SAML-Wert von 12345 (seine Mitarbeiternummer) für das Attribut zur eindeutigen Mitarbeiter-ID übermittelt, identifiziert Zoom den Benutzer im Konto nun anhand des übermittelten Werts. Wenn John sich erneut mit der E-Mail **<jonathan.smith@company.com>** während weiterhin die Mitarbeiter-Unique-ID von 12345 übermittelt wird, wird Zoom erkennen, dass <john.smith@company.com> jetzt **<jonathan.smith@company.com>** und wird die E-Mail des Benutzers im Konto dynamisch aktualisieren, wenn die Domäne verknüpft ist.

Identitätsadministratoren sollten *positiv* dass sich keine zwei Benutzer mit demselben Mitarbeiter-Unique-ID-Wert überschneiden, bevor das SAML-Mapping für diese Kategorie eingerichtet wird. Wenn sich ein anderer Benutzer authentifiziert und denselben Wert übergibt, wird die E-Mail erneut auf den neuen Benutzer aktualisiert und kann zu erheblichen Störungen der Benutzerdienste und der Benutzererfahrung führen.

<mark style="color:blau;">**Die Mitarbeiter-Unique-ID-Funktion erfordert zugehörige Domänen für das Ändern der E-Mail eines Benutzers**</mark>

Die Mitarbeiter-Unique-ID-Funktion kann die E-Mail-Adresse eines Benutzers nur aktualisieren, wenn die E-Mail-Domäne offiziell mit Ihrem Kontoprofil verknüpft ist. Lesen Sie unseren Support-Artikel zu [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen.

<mark style="color:blau;">**Administrator und Inhaber können ihre E-Mail nicht über die Mitarbeiter-Unique-ID aktualisieren**</mark>

Administrator- und Inhaber-E-Mails innerhalb von Zoom können nicht über die Mitarbeiter-Unique-ID-Funktion aktualisiert werden. Dies ist als Sicherheitsmaßnahme vorgesehen, um unbefugten Access zu verhindern. Administratoren und Inhaber müssen für das Ändern ihrer E-Mail ihre Profilseite verwenden.

<mark style="color:blau;">**Benutzer-E-Mails können über die Mitarbeiter-Unique-ID nur einmal pro Tag aktualisiert werden**</mark>

Benutzer-E-Mails können über die Mitarbeiter-Unique-ID-Funktion nur einmal alle 24 Stunden aktualisiert werden. Ein Benutzer muss nach der vorherigen Aktualisierung einen vollen Kalender-Tag warten, bevor die E-Mail erneut über SSO aktualisiert wird.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramm eines Beispielflusses zum Aktualisieren von Benutzer-E-Mails.</p></figcaption></figure>

<mark style="color:blau;">**Wenn das SAML-Attribut auf \<NameID> gesetzt wird, wird die bestätigte NameID des Benutzers verwendet**</mark>

Zuordnung des SAML-Attributs Mitarbeiter-Eindeutige-ID zu **\<NameID>** wird automatisch den behaupteten NameID-Wert des Benutzer als ihre eindeutige Kennung verwenden. Dies kann ein nützliches Tool sein, wenn Ihr Identitätsanbieter einen NameID-Wert behauptet, der nicht die E-Mail des Benutzer ist, z. B. einen User Principal Name (UPN) oder einen ähnlichen Wert, der sich nicht ändert. Verwenden Sie diesen Wert nicht, wenn NameIDs der Benutzer mit ihrer E-Mail übereinstimmen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die &#x3C;NameID>-Administrator-Einstellung.</p></figcaption></figure>

### Erweiterte Zuordnung: Lizenzen, Hinzufügen-ons und Access

Der Abschnitt „SAML Advanced Information Mapping“ kann dynamisch Lizenzen (einschließlich Zoom Phone), Hinzufügen-ons und Benutzerzugriffsgruppen auf Benutzer anwenden, während sie sich authentifizieren. Im Gegensatz zum einfachen Mapping enthält das erweiterte Mapping viele Nuancen, die bei der Konfiguration je nach Komplexität Ihrer Umgebung sorgfältige Aufmerksamkeit erfordern können. Dieser Abschnitt hebt die Nuancen bei der Konfiguration des erweiterten SAML-Mappings hervor. Siehe unser [Artikel zu fortgeschrittenem SAML-Mapping](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) für eine vollständige Liste der unterstützten Attribute.

#### <mark style="color:blau;">Erweiterte Zuordnung wird jedes Mal angewendet, wenn sich ein Benutzer authentifiziert</mark>

Anders als beim Basic-Mapping, das Aktualisierungen für einige Kategorien optional bereitstellt, werden erweiterte Mapping-Konfigurationen jedes Mal angewendet, wenn sich ein Benutzer authentifiziert, gemäß der Top-down-Reihenfolge der Anwendung.

Zum Beispiel: Wenn ein Benutzer über eine Basic-Lizenz verfügt und sich dann über SSO authentifiziert und dabei ein SAML-Attribut und einen Wert übergibt, der der Zuweisung einer vollständigen Lizenz zugeordnet ist, wird dem Benutzer sofort die vollständige Lizenz zugewiesen. Wenn das Profil des Benutzers dann im Identitätsanbieter geändert wird, um ihn wieder auf eine Basic-Lizenz zurückzustufen, wird ihm die Basic-Lizenz erneut zugewiesen, sobald er sich erneut bei Zoom authentifiziert.

#### <mark style="color:blau;">Erweiterte Zuordnung ermöglicht mehrere SAML-Attribute und Werte pro Kategorie</mark>

Im Gegensatz zur Basic-Zuordnung, die nur ein SAML-Attribut pro Kategorie zulässt, kann die erweiterte Zuordnung mehrere Attribute und Werte für jede Kategorie unterstützen. Dies ermöglicht erhebliche Flexibilität bei der Verwaltung von Benutzerlizenzen und Zugriff über Sicherheitsgruppen innerhalb Ihres Identitätsanbieters, wie in der folgenden Konfiguration zu sehen ist.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Attributzuordnung für SAML.</p></figcaption></figure>

{% hint style="success" %}
**Zoom-Tipp**

SAML-Attribute können je nach Identitätsanbieter variieren, insbesondere bei Sicherheitsgruppen. Bestätigen Sie dies mit Ihrem Identitätsanbieter oder über [SAML-Antwortprotokolle](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) wie SAML-Attribute bestätigt werden.
{% endhint %}

#### <mark style="color:blau;">Erweiterte Zuordnung wendet Lizenzen von oben nach unten an, wenn mehrere Attribute bestätigt werden</mark>

Wenn ein Benutzer mehrere SAML-Attribute oder Werte übermittelt, die für die erweiterte SAML-Zuordnung konfiguriert sind, ordnet Zoom die Lizenzen von oben nach unten zu. Siehe das folgende Beispiel:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Auswahl des Lizenztyps in Administrator-Einstellungen.</p></figcaption></figure>

Gemäß der obigen Konfiguration, wenn ein Benutzer ein Attribut für beide übermitteln würde **global\_Benutzer** und **Marketing**, weil **Marketing** das höchste in der Konfiguration ist, wird dieses Attribut auf den Benutzer angewendet, und die übrigen anwendbaren Attribute werden ignoriert.

Alternativ, wenn die Konfiguration mit **global\_Benutzer** als das höchste festgelegt wurde, wie im folgenden Screenshot zu sehen ist, wenn die Assertion eines Benutzers enthielt **global\_Benutzer**, **Marketing**, **menschlich** **Ressourcen**, und **IT**, weil **global\_Benutzer** ist die höchste Priorität, es wird nur eine Basic-Lizenz beansprucht.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Anpassung der Prioritätsreihenfolge</p></figcaption></figure>

Zoom-Administratoren können die Anwendungsreihenfolge beim Bearbeiten der Zuordnungswerte mithilfe der Pfeile ↑↓ im Editor anpassen.

{% hint style="success" %}
**Zoom-Empfehlung**

Konfigurieren Sie die erweiterten Konfigurationen von der spezifischsten zur allgemeinsten, um eine falsche Lizenzzuweisung zu verhindern.
{% endhint %}

#### <mark style="color:blau;">Webinar- und Large Meeting-Zuordnungen können einen gemeinsamen Wert teilen, um beide Hinzufügen-Module anzuwenden</mark>

Um den Anwendungsvorgang zu vereinfachen, können Zoom-Administratoren dasselbe SAML-Attribut und denselben Wert zweimal Konfigurieren, um sowohl Webinar- als auch Large Meeting-Hinzufügen-Module für die Benutzer anzuwenden, wie im folgenden Bild mit dem **global\_Benutzer** Wert. Diese Hinzufügen-Module können bei Bedarf auch unabhängig voneinander Konfiguriert werden, wie beim **webinar\_only** und **large\_meeting\_only** Werten.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SAML-Attribute für large_Meeting_only und Webinar_only.</p></figcaption></figure>

#### <mark style="color:blau;">Benutzer können zu mehreren Benutzer-Gruppen mit einem SAML-Wert hinzugefügt werden</mark>

Zoom-Administratoren können die Zuordnung von Benutzer-Gruppen konfigurieren, um einen Benutzer mit einem SAML-Wert zu mehreren Gruppen hinzuzufügen.

Die zuerst hinzugefügte Benutzer-Gruppen wird als die primäre Gruppe des Benutzers festgelegt und bestimmt die standardmäßig festgelegten Einstellungen des Benutzers *es sei denn, eine zugrunde liegende Gruppe hat eine Einstellung gesperrt*. Weitere Informationen zu Benutzer-Gruppen finden Sie in unserem Support-Artikel [Support-Artikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Zuordnung mehrerer Benutzer-Gruppen.</p></figcaption></figure>

#### <mark style="color:blau;">Angegebene Benutzer und Benutzer-Gruppen können von bestimmten SAML-Zuordnungen ausgenommen werden</mark>

Jede Option unter Erweiterte SAML-Zuordnung kann so konfiguriert werden, dass bestimmte Benutzer und Benutzer-Gruppen vom Zuordnungsverhalten ausgenommen werden. Dies kann hilfreich sein, um VIP-Benutzer vor Dienstunterbrechungen aufgrund einer möglichen Änderung der Lizenzierung zu schützen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Benutzerausnahmen.</p></figcaption></figure>

#### <mark style="color:blau;">Auto Mapping weist Benutzer automatisch einem Benutzer-, Kanal- oder IM-Gruppe zu, die nach ihrem angegebenen SAML-Wert benannt ist, wenn der Wert zuvor keiner Gruppe zugeordnet wurde</mark>

Auto Mapping kann verwendet werden, um Benutzer automatisch einer Benutzergruppe, einem Kanal und einer IM-Gruppe zuzuweisen, die nach ihrem angegebenen SAML-Wert benannt sind. Im Gegensatz zu anderen erweiterten Mapping-Komponenten, die so konfiguriert werden können, dass sie einem Benutzer basierend auf dem SAML-Wert eine beliebige Gruppe zuweisen, weist Auto Mapping einen Benutzer immer einer Gruppe basierend auf dem genauen SAML-Wert zu. Wenn die Gruppe zuvor nicht vorhanden war, wird sie automatisch erstellt.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SAML Auto Mapping.</p></figcaption></figure>

Wenn Auto Mapping beispielsweise so eingestellt ist, dass ein Benutzer basierend auf seiner Abteilung den Gruppen zugeordnet wird, und der Abteilungswert für die Benutzergruppe, den Kanal oder die IM-Gruppe noch nicht definiert ist, werden Benutzer automatisch einer Gruppe zugewiesen, die ihrem Abteilungsnamen entspricht, wie in der folgenden Tabelle dargestellt:

| SAML-Attribut | SAML-Wert     | Existiert die Zoom-Gruppe bereits? | Ergebnis                                                                |
| ------------- | ------------- | ---------------------------------- | ----------------------------------------------------------------------- |
| Abteilung     | Personalwesen | Ja                                 | Benutzer zur Gruppe Personalwesen hinzugefügt                           |
| Abteilung     | Marketing     | Ja                                 | Benutzer zur Marketing-Gruppe hinzugefügt                               |
| Abteilung     | Vertrieb      | Nein                               | Vertrieb-Gruppe wird erstellt, Benutzer zur Vertrieb-Gruppe hinzugefügt |

#### Zoom unterstützt bis zu fünf benutzerdefinierte SAML-Attribute

Zoom-Administratoren können bis zu Konfigurieren *fünf* benutzerdefinierte SAML-Attribute zum Hinzufügen von Daten für Benutzer zu ihrem Zoom-Profil unter der [erweiterte Benutzerverwaltung](https://zoom.us/account/user#/advanced) Seite. Nachdem die benutzerdefinierten Felder hinzugefügt wurden, können Zoom-Administratoren die Zuordnung auf der Konfigurieren [SAML-Antwortzuordnung](https://zoom.us/account/sso/mapping) Seite.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel für benutzerdefinierte SAML-Attribute</p></figcaption></figure>

#### <mark style="color:blau;">Das Zuordnen von Benutzern zu einem Unter-Konto wird</mark> *<mark style="color:blau;">nur</mark>* <mark style="color:blau;">eine Meeting-Lizenz und Zusatzmodule anwenden</mark>

Das Zuordnen eines Benutzers zu einem Unter-Konto wendet nur die Meeting-Lizenz und Hinzufügen-ons eines Benutzers, wie Webinar und große Meetings, auf das Unter-Konto an. Benutzergruppen, IM-Gruppen, Benutzerrollen usw. werden nicht angewendet und müssen innerhalb des Unter-Kontos konfiguriert werden.

Kunden, die mehr Flexibilität für das SAML-Antwort-Mapping mit Unterkonten benötigen, benötigen eine eindeutige Vanity-URL und eine neue SSO-Konfiguration innerhalb des Unterkontos.

### SSO-Fehlerbehebung

#### <mark style="color:blau;">Verwenden von SAML-Antwortprotokollen zur Fehlerbehebung</mark>

Gespeicherte SAML-Antwortprotokolle können neben SAML-Antwortzuordnungskonfigurationen ein unschätzbares Hilfsmittel bei der Fehlerbehebung von Konfigurations- und Benutzerfehlern sein. Wenn Ihre SSO-Konfiguration so eingestellt ist, dass SAML-Antwortprotokolle gespeichert werden, können sie über die [SAML-Antwortprotokoll](https://zoom.us/account/sso/saml_logs) Registerkarte, die auf der SSO-Konfigurationsseite in den erweiterten Einstellungen verfügbar ist. Um SAML-Antwortprotokolle anzuzeigen, klicken Sie auf **Details anzeigen** neben einem Authentifizierungsversuch.

#### <mark style="color:blau;">Die meisten Authentifizierungen werden in den Antwortprotokollen angezeigt</mark>

Die meisten fehlgeschlagenen oder erfolglosen Authentifizierungsversuche werden auf der Seite mit den Antwortprotokollen angezeigt. Wenn ein Authentifizierungsversuch nicht angezeigt wird, hat Zoom höchstwahrscheinlich keine SAML-Assertion von Ihrem Identitätsanbieter erhalten oder das Speichern von SAML-Antwortprotokollen ist deaktiviert.

#### <mark style="color:blau;">Antwortprotokolle können Ihnen sagen, ob Ihre Konfiguration falsch ist oder Ihr Zertifikat veraltet ist</mark>

Wenn SAML-Antwortprotokolle aktiviert sind, werden die Informationen des Identitätsanbieters an Zoom übermittelt, um Identitäten für jede Partei zu authentifizieren. Wenn eine übermittelte Einstellung oder Zeichenfolge von Informationen, wie das X509-Zertifikat oder die Issuer-ID, sich von der aktuellen Konfiguration von Zoom unterscheidet, wird ein Fehler angezeigt, der darauf hinweist, dass die Informationen „nicht mit den aktuellen SSO-Einstellungen übereinstimmen.“ Ein Zoom-Administrator kann die SSO-Konfiguration aktualisieren, um diese übermittelten Werte anzugleichen, wenn sie korrekt sind, und so den Fehler zu beheben.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Warnungen bei einer fehlerhaften Konfiguration.</p></figcaption></figure>

#### <mark style="color:blau;">Antwortprotokolle zeigen Ihnen, welche SAML-Werte und Attribute übermittelt werden</mark>

Das Überprüfen von Antwortprotokollen kann bei der Behebung von SAML-Antwortzuordnungskonfigurationen helfen, indem verifiziert wird, welche Attribute und Werte von Benutzern bei der Authentifizierung übermittelt werden. Diese können mit der Konfiguration verglichen werden, um sicherzustellen, dass die Attribute und Werte übereinstimmen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Informationen, die vom Dienst des Identitätsanbieters übermittelt werden.</p></figcaption></figure>

Wenn SAML-Attribute oder -Werte fehlen, werden die Informationen vom Dienst des Identitätsanbieters nicht übermittelt. Benutzern, die auf dieses Problem stoßen, wird empfohlen, sich für weitere Unterstützung an den Support ihres Identitätsanbieters zu wenden.

#### <mark style="color:blau;">Antwortprotokolle enthalten bei einem Fehlschlag einen Fehlercode und eine kurze Erklärung</mark>

Wenn sich ein Benutzer nicht authentifizieren kann oder einen Fehler erhält, enthalten die SAML-Antwortprotokolle einen Fehlercode und eine kurze Erklärung des Fehlers.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Fehlercode und Erklärung.</p></figcaption></figure>

Die meisten Probleme können mithilfe dieser Fehlermeldungen identifiziert und behoben werden. Wenn Sie den Fehler nicht beheben können, wenden Sie sich für zusätzliche Unterstützung an den Zoom-Support.

#### <mark style="color:blau;">Fehler bei der Web-Tracking-ID</mark>

Wenn ein Benutzer die SSO-Authentifizierung nicht erfolgreich abschließt, erhält er einen Fehlercode für die WEB-Tracking-ID. Diese Codes sind keine Fehlermeldung, die sich auf einen bestimmten Fehler bezieht, sondern eine eindeutige Protokoll-ID, die in der SAML-Antwortzuordnung zur Identifizierung von Authentifizierungsproblemen überprüft werden kann.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für einen benutzerseitigen Fehler mit einem Fehlercode für die WEB-Tracking-ID.</p></figcaption></figure>

Um den Fehler zu identifizieren, navigieren Sie, wenn die SAML-Antwortprotokollierung aktiviert ist, zur [SAML-Antwortprotokoll](https://zoom.us/account/sso/saml_logs) Registerkarte, die auf der SSO-Konfigurationsseite in den erweiterten Einstellungen Verfügbar ist. Geben Sie dort die WEB-Tracking-ID in das Feld „Tracking-ID“ ein und suchen Sie, um das Antwortprotokoll zu füllen

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Suche im SAML-Antwortprotokoll mit dem zuvor genannten Fehlercode für die WEB-Tracking-ID.</p></figcaption></figure>

Die SAML-Antwortprotokolle sollten die SAML-Assertion sowie am unteren Rand der Antwort einen Fehlercode und eine Fehlermeldung anzeigen, die für weitere Problembehandlungen verwendet werden können.

### SCIM-Fehler

#### <mark style="color:blau;">Benutzer existiert nicht oder gehört nicht zu diesem Konto</mark>

Dieser Fehler tritt auf, wenn die E-Mail-Adresse eines Zielbenutzers aufgrund eines bereits vorhandenen Kontos nicht bereitgestellt werden kann. Zoom-Administratoren wird empfohlen, den Benutzer direkt zu kontaktieren und ihn manuell zum Konto einzuladen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für einen Bereitstellungsfehler.</p></figcaption></figure>

#### <mark style="color:blau;">Sie können keine bezahlten Benutzer hinzufügen</mark>

Dieser Fehler tritt auf, wenn SCIM versucht, einen Benutzer bereitzustellen, obwohl auf dem Konto nicht genügend Lizenzen vorhanden sind. Um den Fehler zu beheben, muss der Benutzer als Basic-Benutzer bereitgestellt werden oder eine Lizenz für die Bereitstellung verfügbar gemacht werden.

### SCIM-Protokolle zur Fehlerbehebung bei der Benutzerbereitstellung verwenden

Zoom stellt die neuesten 100 API-Anfrageprotokolle in der [Zoom Marketplace](https://marketplace.zoom.us/). Ein Zoom-Administrator kann diese Protokolle verwenden, um zu bestätigen, welche Informationen über Bereitstellungs-APIs gesendet und empfangen werden. Um auf die Protokolle zuzugreifen, melden Sie sich als Zoom-Administrator beim Zoom Marketplace an und klicken Sie auf **Verwalten**. Auf der folgenden Seite auswählen **Anrufprotokolle** unter **Persönliche App-Verwaltung**. Klicken Sie dort auf einen Eintrag, um die API-Protokolle zu erweitern und den Inhalt zu überprüfen.

Das folgende Bild zeigt ein Beispiel für eine SCIM-Bereitstellungsanfrage für Benutzer, wobei die Identitäts- und Lizenzattribute des Benutzers als Referenz hervorgehoben sind.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für eine SCIM-Bereitstellungsanfrage für Benutzer.</p></figcaption></figure>

Wie bei der SAML-Antwortzuordnung kann Zoom nur Informationen anwenden, die vom Identitätsanbieter in der Bereitstellungsanfrage übermittelt werden. Verwenden Sie diese Protokolle, um zu bestätigen, dass Identitäts- und Lizenzattribute des Benutzers vom Identitätsanbieter übermittelt werden. Wenn erwartete Informationen in diesen Assertions fehlen, wenden Sie sich an Ihren Identitätsanbieter, um Unterstützung zu erhalten.

### Datenflüsse und Authentifizierung

#### <mark style="color:blau;">SAML-Authentifizierung</mark>

Das folgende Diagramm beschreibt den SAML-Authentifizierungsablauf eines Benutzers beim Starten einer Single Sign-On-Sitzung mit Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramm eines beispielhaften SAML-Authentifizierungsablaufs.</p></figcaption></figure>

#### <mark style="color:blau;">SSO-Web-Login-Token</mark>

Nachdem sich ein Benutzer über SAML authentifiziert hat, wird seine Sitzung in seinem Browser erstellt und hat

standardmäßig eine Laufzeit von zwei Stunden. Wenn der Benutzer seine Zoom-Webseite weiterhin aktiv nutzt, wird die Sitzung aktualisiert; wenn der Benutzer seine Webseite jedoch zwei Stunden lang nicht nutzt, läuft das Token ab und der Benutzer muss sich erneut authentifizieren. Zoom-Admins können diese aktive Sitzungsdauer auf der Seite „Konfigurieren“ [Sicherheit](https://zoom.us/account/setting/security) Seite unter Benutzer müssen sich nach einer Phase der Inaktivität erneut Anmelden und **Zeitraum für Inaktivität im Web festlegen (Minuten)**.

#### <mark style="color:blau;">Client-Login-Token</mark>

Wenn ein Benutzer versucht, sich innerhalb eines Clients per SSO zu authentifizieren, öffnet sein Computer einen Browser und leitet ihn zur Anmeldeseite des Identitätsanbieters weiter. Nachdem sich ein Benutzer authentifiziert hat, erhält sein Browser ein Start-Token für die Zoom-Anwendung. Sobald ein Benutzer auf die Schaltfläche „Öffnen“ oder „Starten“ klickt, verwendet der Browser das URL-Schema zusammen mit dem Start-Token, um die Zoom-Anwendung zu öffnen.

Die Zoom-Anwendung verwendet das Start-Token, um das Access-Token und das Refresh-Token vom Zoom-Server abzurufen. Die Anwendung verwendet das Access-Token jeweils für einen Zeitraum von zwei Stunden und nutzt nach Ablauf das Refresh-Token, um einen neuen Satz von Tokens zu erhalten, die in der lokalen Datenbank des Clients gespeichert werden. Dieser Aktualisierungsprozess ist standardmäßig unbegrenzt und kann die Tokens fortlaufend durchlaufen, bis sich ein Benutzer abmeldet oder die Tokens ablaufen. Zoom-Administratoren können die Sitzungsdauer auf der [SSO-Einstellungen](https://zoom.us/account/sso) Seite unter [*automatische Abmeldung erzwingen*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://library.zoom.com/technical-library/de/administrator-bereich/account-and-endpoint-management/sso-field-guide.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.