# SSO-Field-Guide

### Einführung

Die Integration von Single Sign-On (SSO) mit Zoom bietet Administratoren Benutzerverwaltung und Sicherheitsoptionen, die die Verwaltung des Kontos vereinfachen können. Nach der Konfiguration authentifizieren sich Benutzer mit ihren Unternehmensanmeldedaten bei Ihrem Identitätsanbieter anstelle alternativer Authentifizierungsmethoden wie Google- oder Facebook-Integrationen oder eines direkten Benutzernamens und Passworts mit Zoom.

Dieses Dokument bietet einen umfassenden Überblick über SSO-Konfigurationen und Einstellungen in Zoom sowie Informationen zur Fehlerbehebung und Sicherheit.

### SSO-Integrationen

#### <mark style="color:blau;">SSO erfordert eine Vanity-URL, um loszulegen</mark>

Ein Konto muss über eine genehmigte Vanity-URL verfügen, bevor SSO konfiguriert werden kann. Sobald die Vanity-URL genehmigt wurde, können Zoom-Administratoren auf das [SSO-Konfiguration](https://zoom.us/account/sso) Seite über das Untermenü der erweiterten Optionen im Webportal zugreifen. Lesen Sie unseren Support-Artikel zu [Vanity-URLs](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) für weitere Informationen.

#### <mark style="color:blau;">Zoom SSO funktioniert mit jedem SAML-2.0-Identitätsanbieter</mark>

Zoom kann sich mit jedem Identitätsanbieter integrieren, der Security Assertion Markup Language (SAML) 2.0 Authentifizierung unterstützt. Obwohl es viele dokumentierte Integration-Übersichten gibt, stellen einige Identitätsanbieter keine Dokumentation zur Integration mit Zoom bereit. Konten, die keine Konfigurationsanweisungen finden können, werden ermutigt, sich für weitere Informationen an ihren Identitätsanbieter zu wenden.

#### <mark style="color:blau;">Zoom-Administratoren können Benutzerprofilinformationen und Lizenzen über SAML-Antwortzuordnung oder SCIM-Integrationen verwalten</mark>

Administratoren können Benutzerprofilinformationen und Lizenzierung über SAML-Antwortzuordnung oder Anfragen an die Anwendungsprogrammierschnittstelle (API) des System for Cross-Domain Identity Management (SCIM) verwalten, abhängig von den Verfügbar Funktionen des Identitätsanbieters. Beide Benutzerverwaltungsmethoden bieten nahezu die gleiche Funktionalität für die Zuordnung von Profilinformationen und die Lizenzverwaltung, aber einige SCIM-Zuordnungen erfordern eine manuelle Konfiguration.

Für eine umfassende Liste der SCIM-Funktionen lesen Sie unsere [SCIM API-Dokumentation](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:blau;">Zoom-Administratoren können den Status des Benutzerkontos über SCIM verwalten, aber nicht SAML</mark>

Da SCIM Identitätsanbieter jederzeit direkt mit Zoom kommunizieren lässt, können Benutzerkonten *aktiviert*, *deaktiviert*, *erstellt*, oder *gelöscht* durch SCIM-Integrationen automatisch. Zum Beispiel: Wenn ein Benutzerkonto in Active Directory deaktiviert ist oder wenn es der Anwendung nicht zugewiesen wurde, kann SCIM eine automatische Deaktivierungsanfrage für das Benutzerkonto innerhalb von Zoom senden. Diese Funktion ist abhängig von den Möglichkeiten der SCIM-Anwendung des Identity-Providers und die Funktionalität kann je nach Anbieter variieren.

#### <mark style="color:blau;">Begrenzte Identitätsanbieter bieten SCIM für Zoom an</mark>

Viele Identitätsanbieter haben keine für Zoom entwickelte SCIM-Integration als Teil ihrer Dienste. Konten, die einen Identitätsanbieter verwenden, der SCIM mit Zoom nicht unterstützt, müssen das SAML-Response-Mapping für die automatisierte Benutzerverwaltung verwenden.

#### <mark style="color:blau;">SCIM erfordert eine zugehörige Domäne, um Benutzer automatisch bereitzustellen</mark>

Konten, die SCIM verwenden, um Benutzer für SSO zu verwalten und bereitzustellen **muss** Ordnen Sie die E-Mail-Domäne Zoom zu. Wenn die Domäne nicht zugeordnet wird, führt dies zu Fehlern bei der Benutzerbereitstellung. Lesen Sie unseren Support-Artikel über [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen zum Prozess.

#### <mark style="color:blau;">Die folgenden SSO-Integrationen sind dokumentiert</mark>

{% hint style="success" %}
**Zoom-Tipp**

Klicken Sie auf das ✔ in der Spalte Anbieter oder Zoom-Dokumentation, um ein neues Fenster mit Anweisungen zu öffnen.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Anbieter-Dokumentation</th><th>Zoom-Dokumentation</th><th>Unterstützt SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>AD Sync-Tool</td></tr><tr><td>clever</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (ehemals Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:blau;">On-Premises Active Directory kann das AD Sync-Tool statt SCIM verwenden</mark>

Konten, die die Benutzerbereitstellung über SCIM automatisieren möchten, aber keinen cloudbasierten Identitätsanbieter haben, können das Active Directory (AD) Sync Tool Anwendung verwenden, das von Zoom für die Verwaltung ihrer Benutzer entwickelt wurde. Diese Anwendung läuft auf Oracle JDK 8 und simuliert die SCIM-Bereitstellung, indem sie Benutzer über API-Befehle verwaltet. Siehe unseren Support-Artikel zu dem [AD Sync-Tool](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) für weitere Informationen.

{% hint style="success" %}
**Zoom-Empfehlung**

Das AD Sync-Tool erfordert eine präzise Konfiguration für die Benutzerverwaltung. Gründliche Tests und eine Überprüfung der Konfiguration des Tools sind erforderlich, bevor die vollständige Implementierung erfolgt, um Unterbrechungen des Dienstes zu vermeiden.
{% endhint %}

#### <mark style="color:blau;">Identitätsanbieter können sogar Meeting-Teilnehmer authentifizieren, die kein Zoom-Konto haben</mark>

Konten, die verlangen möchten, dass Benutzer ihre Identität authentifizieren, aber keine Zoom-Konten bereitstellen möchten, können mit ihrem Identitätsanbieter ein externes Authentifizierungsprofil Konfigurieren. Wenn dies für ein Meeting aktiviert ist, müssen Benutzer, die versuchen beizutreten, ihre Anmeldeinformationen bei Ihrem Identitätsanbieter authentifizieren, um Access zu erhalten. Dies ist eine gängige Konfiguration für Schulen, die nicht allen Schülern Konten bereitstellen, aber eine Authentifizierung zum Beitreten zu Klassen verlangen. Verweisen Sie auf unseren Support-Artikel über [Konfigurieren externer Authentifizierung](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) für weitere Informationen.

#### <mark style="color:blau;">Das Ändern des Identitätsanbieters erfordert die Neukonfigurierung von SSO innerhalb von Zoom</mark>

Konten, die den Identitätsanbieter Ändern, müssen ihre SSO-Konfiguration innerhalb von Zoom erneut vornehmen. Dazu gehört die Aktualisierung aller Felder auf der Konfigurationsseite, damit sie mit ihrem neuen Identitätsanbieter übereinstimmen. Konten wird empfohlen, zu bestätigen, dass sich die SAML-Antwortzuordnungen mit dem neuen Identitätsanbieter nicht ändern.

Es sollten keine zusätzlichen Konfigurationen oder Änderungen erforderlich sein, vorausgesetzt, es gibt keine weiteren Änderungen.

#### <mark style="color:blau;">Kunden mit Unterkonten können SSO vom Hauptkonto oder Unterkonto aus Konfigurieren</mark>

Kunden mit Unterkonten haben zwei Optionen zum Konfigurieren von SSO:

1. Alle Benutzer authentifizieren sich über die Vanity-URL des Hauptkontos und werden über erweiterte SAML-Zuordnung automatisch im Unterkonto angemeldet ([es gelten einige Zuordnungseinschränkungen](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); oder
2. Jedes Unterkonto verfügt über eine eindeutige Vanity-URL und eine unabhängige SSO-Konfiguration, die ausschließlich von Mitgliedern dieses Unterkontos verwendet wird

Jede Konfiguration bietet einzigartige Vorteile, wobei die zweite Option die größte Flexibilität bietet. Kunden, die die Implementierung einer der beiden Konfigurationen in Betracht ziehen, sollten mit ihrem Konto-Team besprechen, welche Konfiguration für ihre Anforderungen am besten geeignet ist.

### SSO-Einstellungen & Sicherheit

Zoom-Administratoren können bei der Konfiguration einer SSO-Integration mit Zoom die optimalen Optionen für Sicherheit und Einstellungen für ihr Unternehmen wählen. Dieser Abschnitt erläutert diese Einstellungen und ihre Auswirkungen auf eine SSO-Integration.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SSO-Integrationseinstellungen.</p></figcaption></figure>

#### <mark style="color:blau;">Zoom unterstützt signierte Anmelde- und Abmelde-SAML-Anfragen</mark>

Zoom-Administratoren, die zusätzliche Dienstanbieter-Authentifizierung benötigen, können Zoom so Konfigurieren, dass alle Anmelde- und Abmeldeanfragen an den Identitätsanbieter signiert werden.

Konten, die diese Einstellung verwenden, benötigen möglicherweise eine Zertifikatrotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu [Zertifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) für weitere Informationen.

#### <mark style="color:blau;">Zoom unterstützt verschlüsselte SAML-Assertions bei der Authentifizierung</mark>

Zoom-Administratoren können Zoom so Konfigurieren, dass verschlüsselte Assertions bei der Authentifizierung unterstützt werden. Wenn diese Einstellung aktiviert ist, werden unverschlüsselte Assertions verworfen. Konten, die diese Einstellung verwenden, benötigen möglicherweise eine SSO-Zertifikatrotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu [Zertifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) für weitere Informationen.

#### <mark style="color:blau;">Zoom-Administratoren können eine automatische Abmeldung nach einer festgelegten Zeitdauer erzwingen</mark>

Zoom-Administratoren können Zoom so Konfigurieren, dass Benutzer nach festgelegten Zeiträumen automatisch aus aktiven Sitzungen abgemeldet werden, anpassbar von 15 Minuten bis 180 Tagen. Dieser Prozess legt fest, dass das Zoom-Access-Token bei der Generierung des Tokens nach der vorher festgelegten Zeitspanne abläuft. Dieses Token steht in keiner Beziehung zu einem Identitätsanbieter und ist eindeutig für Zoom.

#### <mark style="color:blau;">SAML-Antwortprotokolle können zur Fehlerbehebung gespeichert werden</mark>

Zoom kann SAML-Antwortprotokolle von Authentifizierungsversuchen sieben Tage nach einer Authentifizierung speichern. Diese Antwortprotokolle können neben den Konfigurationen für die Zuordnung von SAML-Antworten ein unschätzbar wertvolles Hilfsmittel zur Fehlerbehebung bei Konfigurations- und Benutzerfehlern sein. Lesen Sie den Abschnitt über [Fehlerbehebung bei SAML-Antwortprotokollen](#using-saml-response-logs-to-troubleshoot) für weitere Informationen.

{% hint style="success" %}
**Zoom-Empfehlung**

Aktivieren Sie das Speichern von SAML-Antwortprotokollen, um die Fehlerbehebung zu erleichtern.
{% endhint %}

#### <mark style="color:blau;">Die Bereitstellung bei der Anmeldung kann Konten sofort erstellen und ist die einfachste Bereitstellungsoption</mark>

Wenn SSO so eingestellt ist, dass es bei der Anmeldung bereitstellt *Bei der Anmeldung* (auch als Just-in-Time-Bereitstellung bekannt) kann sich jeder autorisierte Benutzer innerhalb des Identitätsanbieters bei Zoom authentifizieren. Benutzer, die noch kein bestehendes Konto haben, erhalten sofort bei der Anmeldung ein Konto erstellt.

Die Bereitstellung bei der Anmeldung kann Zoom-Rollouts für ein Unternehmen vereinfachen, indem sie Benutzern ermöglicht, ihre Konten zum Zeitpunkt der Authentifizierung zu erstellen, anstatt eine proaktive Benutzererstellung zu erfordern. In Kombination mit der SAML-Antwortzuordnung ist ein vollständiges Benutzerprofil und eine Lizenzierung innerhalb von Sekunden nach der ersten Authentifizierung eines Benutzers bereit.

Zusätzlich kann die Bereitstellung bei der Anmeldung den SSO-Anmeldetyp für bereits vorhandene Konten dynamisch erstellen. Wenn ein Benutzer ein vorhandenes Zoom-Konto mit einem Benutzernamen und Passwort hat, wird bei der Anmeldung mit dieser Konfiguration ein SSO-Anmeldetyp erstellt.

#### <mark style="color:blau;">Die Bereitstellung vor der Anmeldung erfordert vorab erstellte Konten mit einem SSO-Anmeldetyp</mark>

Benutzer für SSO bereitstellen *vor der Anmeldung* erfordert, dass sich authentifizierende Benutzer **sowohl** ein vorhandenes Zoom-Konto haben und dass für das Konto ein SSO-Anmeldetyp erstellt wurde. Diese Art der Bereitstellung wird aufgrund des automatisierten Kontenerstellungsprozesses häufig mit der SCIM-Bereitstellung kombiniert, ist aber nicht darauf beschränkt. Zoom-Benutzer, die über zugehörige Domänen oder direktes Einladen in das Unternehmenskonto konsolidiert werden, haben wahrscheinlich keinen SSO-Anmeldetyp.

Zoom-Administratoren können bestätigen, ob ein Konto über einen SSO-Anmeldetyp verfügt, indem sie das Benutzerkonto in der [Benutzerverwaltung](https://zoom.us/account/user#/) Seite innerhalb des Webportals und Suchen nach dem „SSO“-Symbol unter der E-Mail des Benutzers.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Standort des SSO-Symbols unter der E-Mail eines Benutzers.</p></figcaption></figure>

Wenn das Symbol präsentieren ist, ist der Benutzer für SSO bereitgestellt; wenn das Symbol fehlt, kann sich der Benutzer nicht über SSO anmelden, solange die Vorabbereitstellung aktiviert ist, bis es hinzugefügt wird. Ein Zoom Administrator kann diesen Anmeldetyp durch Hinzufügen von Benutzern gesammelt über eine CSV-Datei und durch Auswahl der Option „SSO-Benutzer“ hinzufügen oder den Benutzer authentifizieren lassen, während Provisionierung bei der Anmeldung aktiviert ist.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel, das die Option „SSO-Benutzer“ für das Massenhochladen zeigt.</p></figcaption></figure>

{% hint style="success" %}
**Zoom-Empfehlung**

Um zu verhindern, dass Benutzer sich nicht anmelden können, verwenden Sie die Provisionierung bei der Anmeldung, wenn Sie SSO erstmals für ein Konto konfigurieren. Wechseln Sie bei Bedarf zur Vorabbereitstellung, sobald Sie bestätigt haben, dass Ihre Benutzer vorabbereitgestellt sind und Sie Methoden zur Vorabbereitstellung eingerichtet haben.
{% endhint %}

#### <mark style="color:blau;">Eine Domain muss zugeordnet und verwaltet werden, um SSO-Authentifizierung durchzusetzen</mark>

Zoom Administratoren können SSO-Authentifizierung durchsetzen *nur* wenn die E-Mail-Domain innerhalb von Zoom zugeordnet und verwaltet wird. Wenn dies aktiviert ist, werden alle Benutzer, die sich mit Ihrer/Ihren Unternehmensdomain(s) authentifizieren, automatisch zur Authentifizierungsseite Ihres Identitätsanbieters weitergeleitet, unabhängig von der Plattform.

Sobald die Domain genehmigt und verwaltet wird, kann ein Zoom Administrator die SSO-Authentifizierung über die Ihres Kontos durchsetzen [Sicherheitsseite](https://zoom.us/account/setting/security) unter **Anmeldemethoden**. Siehe unseren Support-Artikel zu [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen zum Verknüpfen und Verwalten einer Domain.

#### <mark style="color:blau;">Bestimmte Benutzer können von der erzwungenen SSO-Authentifizierung ausgenommen werden</mark>

Zoom Administratoren können bestimmte Benutzer von erzwungener Authentifizierung per SSO ausschließen. Das Ausschließen bestimmter Benutzer (z. B. ein Administrator-Konto) kann nützlich sein, wenn eine SSO-Konfiguration fehlschlägt und ein Kontoadministrator eine Nicht-SSO-Zugriffsmöglichkeit für das Zoom-Konto benötigt. Administratoren, die ausgenommen sind, können sich jederzeit bei admin.zoom.us anmelden, falls es zu einer Kontosperrung oder einer fehlerhaften SSO-Konfiguration kommt (Benutzer muss den Standard **Administrator** Rolle). Wenn ein Zoom Administrator nicht auf das Konto zugreifen kann, muss er Kontakt mit Zoom-Support aufnehmen, um Unterstützung zu erhalten.

Um eine Benutzer-Ausnahme zu Aktivieren, navigieren Sie zum Konto [Sicherheitsseite](https://zoom.us/account/setting/security) Im Webportal unter den erweiterten Optionen die Liste der erzwungenen Domänen suchen und über die Bearbeitungsliste eine Ausnahme Hinzufügen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel einer Domainliste für SSO.</p></figcaption></figure>

#### <mark style="color:blau;">Mobile und Desktop-Clients können so konfiguriert werden, dass Benutzer die SSO-Authentifizierung verwenden müssen</mark>

Zoom-Clients können vorkonfiguriert werden, um die SSO-Funktionalität zu automatisieren, einschließlich automatischer Anmeldung, automatischer Abmeldung, ausschließlich SSO-basierter Authentifizierung auf dem Gerät und mehr über Gruppenrichtlinien, Mobile-Gerät-Management-(MDM)-Dienste und Clients für die Massenbereitstellung.

Eine vollständige Liste der Konfigurationsmöglichkeiten finden Sie in unseren Konfigurationsoptionen für [Gruppenrichtlinie](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) und [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:blau;">Office 365-Benutzer können sich automatisch beim Zoom für Outlook-Add-in mit SSO-Anmeldeinformationen anmelden</mark>

Kunden, die Office 365 verwenden, können ihre Benutzer mithilfe von SSO-Anmeldeinformationen automatisch beim Zoom für Outlook Hinzufügen-In anmelden. Dies kann mit einem [benutzerdefiniertes Hinzufügen-In-Manifest](https://support.zoom.us/hc/en-us/articles/360041403311) das die Vanity-URL des Kontos vorbefüllt und so ein nahtloses Authentifizierungserlebnis für Benutzer schafft. Diese Funktion verwendet das SSO-Sitzung-Token des Benutzers, wenn es aktiv ist, oder fordert eine neue Authentifizierung mit Ihrem Identitätsanbieter an, wenn keine aktive Sitzung gefunden wird.

Ein Zoom-Administrator kann diese Einstellung für das Konto Aktivieren [Sicherheitsseite](https://zoom.us/account/setting/security) unter dem **fortgeschritten** Menü.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel einer Administrator-Einstellung für SSO mit Outlook-Hinzufügen-in.</p></figcaption></figure>

### SAML-Response-Mapping

SAML-Attribute sind Datenkategorien, die durch SAML-Werte definiert werden, und werden verwendet, um Informationen vom Identitätsanbieter an einen Dienstanbieter wie Zoom weiterzugeben. Das Zuordnen von Attributen und Werten ist entscheidend für die Automatisierung von Benutzerprofilinformationen und die Verwaltung von Benutzerlizenzen.

Das SAML-Response-Mapping ist in zwei Hälften unterteilt: *basic* und *fortgeschritten*. Basic-Mapping wird verwendet, um grundlegende Profilinformationen wie Name, Telefonnummer, Abteilung usw. zuzuordnen. Das erweiterte Mapping wird verwendet, um dynamische Lizenzzuweisungen zu verwalten, Benutzergruppen, Benutzerrollen und mehr zuzuweisen.

Dieser Abschnitt behandelt die Grundlagen des SAML-Response-Mappings, das grundlegende und erweiterte SAML-Response-Mapping und hebt besondere Bedingungen hervor, die für einige Funktionen erforderlich sind.

#### <mark style="color:blau;">Grundlagen: SAML-Attribute und -Werte</mark>

Die meisten Identitätsanbieter übermitteln grundlegende Profilinformationen mithilfe einfacher Attributnamen und -werte. Beispielsweise kann die Abteilung eines Mitarbeiters über SAML mit einem Attribut von department und einem Wert von Human Resources übertragen werden. Die folgende Tabelle zeigt die Beziehung zwischen Attributen und Werten beim Übermitteln von Informationen zu einem Benutzer.

| SAML-Attribut | SAML-Wert                      |
| ------------- | ------------------------------ |
| Vorname       | John                           |
| Nachname      | Smith                          |
| E-Mail        | <john.smith@companydomain.com> |
| Abteilung     | Personalwesen                  |

Durch die korrekte Zuordnung eines SAML-Attributs zu einer Antwortzuordnung können Benutzerinformationen automatisch auf ein Benutzerprofil angewendet werden, um den Kontoerstellungs- und Verwaltungsprozess zu vereinfachen.

#### <mark style="color:blau;">Basic-Zuordnung: Profilinformationen</mark>

SAML Basic Information Mapping wird verwendet, um Profilinformationen wie Vorname, Nachname, Abteilung, Telefonnummer, Kostenstelle und Standort aus einem Verzeichnis auf das Profil eines Benutzers anzuwenden. Viele dieser Kategorien sind selbsterklärend und können leicht konfiguriert werden; einige Kategorien erfordern jedoch zur ordnungsgemäßen Konfiguration eine Erklärung, um unvorhergesehene Folgen oder Anwendungsfehler zu verhindern. Der folgende Abschnitt hebt eindeutige Zuordnungsoptionen und Konfigurationseinstellungen für das Basic Mapping hervor. Weitere Informationen finden Sie in unserem [Artikel zu Basic SAML Mapping](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) für eine vollständige Liste der unterstützten Attribute.

#### <mark style="color:blau;">Der standardmäßig Lizenztyp gilt nur für</mark> *<mark style="color:blau;">brandneue Benutzer</mark>*

Die Option für den standardmäßig Lizenztyp wendet die zugewiesene Lizenz auf alle *brandneuen* Benutzer an, die innerhalb des Kontos über SAML bereitgestellt werden. Dies gilt nicht für Benutzer, die sich ein zweites Mal authentifizieren, Benutzer, die aus einem vorherigen Konto in das Konto zusammengeführt wurden, Benutzer, die über SCIM bereitgestellt werden, oder Benutzer, die manuell eingeladen wurden.

Informationen zu *Aktualisieren* Benutzerlizenzen mit Authentifizierung, siehe die Lizenzkonfiguration unter [Erweiterte SAML-Zuordnung](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blau;">Ein standardmäßiger Lizenztyp von</mark> *<mark style="color:blau;">Keine</mark>* <mark style="color:blau;">wird neue Benutzer nicht authentifizieren zulassen, es sei denn, die erweiterte Zuordnung ist so konfiguriert, dass sie eine Lizenz zuweist</mark>

Zoom-Benutzer müssen einen zugewiesenen Lizenztyp (Basic, Lizenziert oder vor Ort) haben, um sich beim Zoom-Dienst anzumelden. Wenn ein standardmäßiger Lizenztyp von Keine ausgewählt ist, können neue Benutzer sich nicht anmelden oder ein neues Konto erstellen, es sei denn, sie erhalten eine Lizenz über [Erweiterte SAML-Zuordnung](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blau;">Die meisten grundlegenden Zuordnungen werden bei der Anmeldung erneut angewendet, sofern nicht anders angegeben</mark>

Die meisten grundlegenden SAML-Zuordnungen werden standardmäßig jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet, *außer* *für* Vorname, Nachname, Anzeigename und Telefonnummer. Standardmäßig werden diese vier Zuordnungen nur beim ersten Authentifizierungsversuch eines Benutzers angewendet und nicht erneut angewendet, selbst wenn sie von einem Benutzer oder Administrator aktualisiert werden. Zoom-Administratoren können dieses Verhalten ändern, indem sie die Option für **Bei jeder SSO-Anmeldung aktualisieren** auf der Seite zur Zuordnung der SAML-Antwort aktivieren.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Option Bei jeder SSO-Anmeldung aktualisieren.</p></figcaption></figure>

#### <mark style="color:blau;">Zuordnungen von Telefonnummern sollten einen Ländercode und eine Ortsvorwahl enthalten, wenn sie außerhalb der Vereinigten Staaten liegen</mark>

Über SAML zugeordnete Telefonnummern sollten nach Möglichkeit den Ländercode und die Ortsvorwahl des Benutzers in der SAML-Assertion enthalten. Zoom nimmt standardmäßig einen Ländercode von +1 an, wenn keiner definiert ist.

Konten, die Ländercodes in ihrem Verzeichnis nicht beibehalten, können ihre SAML-Assertions in ihrem Identitätsanbieter bearbeiten, um diese bei Bedarf automatisch einzuschließen.

#### <mark style="color:blau;">Jeder Benutzer kann bis zu drei Telefonnummern und eine Faxnummer seinem Profil zuordnen</mark>

Zoom-Administratoren können für jeden Benutzer bis zu drei separate Telefonnummern und eine Faxnummer zuordnen. Jede Telefonnummer muss eindeutig sein und darf den Wert eines anderen Feldes nicht duplizieren.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel für Telefonnummernoptionen für jeden Benutzer.</p></figcaption></figure>

#### <mark style="color:blau;">Profilbilder müssen entweder von einer öffentlich zugänglichen URL zugeordnet oder mit Base64 codiert werden</mark>

Konten, die Profilbilder aus ihrem Verzeichnis zuordnen möchten, müssen die Bilder entweder über eine öffentlich zugängliche URL zuordnen oder das Bild beim Ausführen der Assertion in Base64 kodieren.

#### Eindeutige Mitarbeiter-ID

<mark style="color:blau;">**Die eindeutige Mitarbeiter-ID ändert die primäre Kennung, die Zoom verwendet, um Benutzer zu identifizieren**</mark>

Der *Eindeutige Mitarbeiter-ID* ist eine Funktion, die Zoom anbietet, um die Identitätsverwaltung zu unterstützen. Standardmäßig ist die primäre Kennung für einen Zoom-Benutzer ihre **E-Mail** **Adresse**. Dies bedeutet, dass, wenn der Login-Typ für die geschäftliche E-Mail-Adresse **<john.smith@company.com>**, dann wird Zoom diesen Benutzer immer über diese E-Mail-Adresse identifizieren. Diese Kennung ermöglicht es Integrationen wie SSO oder Facebook- und Google OAuth-Konten, den Benutzer mit demselben Zoom-Konto zu verknüpfen.

Dieser Identifizierungsprozess kann jedoch problematisch sein, wenn sich der Name oder die E-Mail eines Benutzers ändert. Zum Beispiel, wenn **<john.smith@company.com>** hat ein E-Mail-Ändern zu **<jonathan.smith@company.com>**, kann Zoom nicht sicher feststellen, dass es sich um dieselbe Person handelt (weil die grundlegende Kennung unterschiedlich ist), daher wird Zoom beim ersten Mal, wenn **<jonathan.smith@company.com>** sich anmeldet, ein neues Konto erstellen.

Zur Vereinfachung dieses Problems bietet Zoom die Funktion „Unique Mitarbeiter ID“ an, die die primäre Kennung eines Benutzers von seiner E-Mail-Adresse auf eine festgelegte eindeutige ID ändert. *Dies ändert nicht den Zoom Benutzername eines Benutzers*, sondern bietet stattdessen ein alternatives identifizierendes Attribut. Dieses Ändern ermöglicht es Zoom, die E-Mail-Adresse eines Benutzers innerhalb von Zoom dynamisch zu aktualisieren, wenn:

* ein *neu* E-Mail-Adresse wird von einer bekannten eindeutigen Mitarbeiter-ID begleitet; und
* die E-Mail-Domäne des betroffenen Benutzers ist innerhalb von Zoom zugeordnet

Wenn zum Beispiel **<john.smith@company.com>** sich authentifiziert und einen SAML-Wert von 12345 (seine Mitarbeiter-Nummer) für das Attribut „Eindeutige Mitarbeiter-ID“ übergibt, wird Zoom den Benutzer nun im Konto anhand des behaupteten Werts identifizieren. Wenn John sich erneut mit der E-Mail authentifiziert **<jonathan.smith@company.com>** während weiterhin die eindeutige Mitarbeiter-ID 12345 übergeben wird, wird Zoom erkennen, dass <john.smith@company.com> jetzt **<jonathan.smith@company.com>** und die E-Mail des Benutzers innerhalb des Kontos dynamisch aktualisieren, wenn die Domäne zugeordnet ist.

Identitätsadministratoren sollten *sicher* dass sich keine zwei Benutzer mit demselben Wert für die eindeutige Mitarbeiter-ID überschneiden, bevor das SAML-Mapping für diese Kategorie eingerichtet wird. Wenn sich ein anderer Benutzer authentifiziert und denselben Wert übergibt, wird die E-Mail erneut auf den neuen Benutzer aktualisiert und kann erhebliche Störungen bei Benutzerdiensten und der Benutzererfahrung verursachen.

<mark style="color:blau;">**Die Funktion „Eindeutige Mitarbeiter-ID“ erfordert zugehörige Domänen, um die E-Mail eines Benutzers zu Ändern**</mark>

Die Funktion „Mitarbeiter Unique ID“ kann die E-Mail-Adresse eines Benutzers nur dann aktualisieren, wenn die E-Mail-Domain offiziell mit Ihrem Kontoprofil verknüpft ist. Lesen Sie dazu unseren Support-Artikel zu [zugehörige Domänen](https://support.zoom.us/hc/en-us/articles/203395207) für weitere Informationen.

<mark style="color:blau;">**Admins und Eigentümer können ihre E-Mail nicht über die Mitarbeiter-Unique-ID aktualisieren**</mark>

Administrator- und Inhaber-E-Mail-Adressen innerhalb von Zoom können nicht über die Mitarbeiter-Eindeutige-ID-Funktion aktualisiert werden. Dies ist als Sicherheitsmaßnahme vorgesehen, um unbefugten Access zu verhindern. Administratoren und Inhaber müssen ihre E-Mail über ihre Profilseite Ändern.

<mark style="color:blau;">**Benutzer-E-Mails können nur einmal pro Tag über die eindeutige Mitarbeiter-ID aktualisiert werden**</mark>

Benutzer-E-Mails können nur einmal alle 24 Stunden über die Funktion Mitarbeiter-Eindeutige ID aktualisiert werden. Ein Benutzer muss einen vollen Kalendertag seit der vorherigen Aktualisierung warten, bevor er seine E-Mail erneut über SSO aktualisieren kann.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramm eines Beispielablaufs zum Aktualisieren von Benutzer-E-Mails.</p></figcaption></figure>

<mark style="color:blau;">**Das Festlegen des SAML-Attributs auf \<NameID> verwendet die bestätigte NameID des Benutzers**</mark>

Zuordnung des SAML-Attributs für die eindeutige Mitarbeiter-ID zu **\<NameID>** wird automatisch den behaupteten NameID-Wert des Benutzers als deren eindeutige Kennung verwenden. Dies kann ein nützliches Tool sein, wenn Ihr Identitätsanbieter einen NameID-Wert behauptet, der nicht der E-Mail eines Benutzers entspricht, z. B. einen User Principal Name (UPN) oder einen ähnlichen Wert, der sich nicht ändert. Verwenden Sie diesen Wert nicht, wenn die NameIDs der Benutzer mit ihrer E-Mail übereinstimmen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die &#x3C;NameID> Administrator-Einstellung.</p></figcaption></figure>

### Erweiterte Zuordnung: Lizenzen, Hinzufügen  und Access

Der Abschnitt „SAML Advanced Information Mapping“ kann dynamisch Lizenzen (einschließlich Zoom Phone), Add-ons und Benutzerzugriffsgruppen auf Benutzer anwenden, wenn sie authentifizieren. Im Gegensatz zur Basic-Zuordnung enthält die Advanced-Zuordnung viele Nuancen, die bei der Konfiguration je nach Komplexität Ihrer Umgebung sorgfältige Aufmerksamkeit erfordern können. Dieser Abschnitt hebt die Nuancen für die Konfiguration der erweiterten SAML-Zuordnung hervor. Siehe unsere [Artikel zur erweiterten SAML-Zuordnung](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) für eine vollständige Liste der unterstützten Attribute.

#### <mark style="color:blau;">Erweiterte Zuordnung wird jedes Mal angewendet, wenn sich ein Benutzer authentifiziert</mark>

Im Gegensatz zum Basic-Mapping, das optional für einige Kategorien Aktualisierungen hat, werden erweiterte Mapping-Konfigurationen jedes Mal angewendet, wenn sich ein Benutzer authentifiziert, entsprechend der Top-down-Reihenfolge der Anwendung.

Zum Beispiel, wenn ein Benutzer eine Basic-Lizenz hat und sich dann über SSO authentifiziert, wobei ein SAML-Attribut und ein zugewiesener Wert übergeben werden, der die Vergabe einer vollständigen Lizenz auslöst, wird dem Benutzer sofort die vollständige Lizenz zugewiesen. Wenn das Profil des Benutzers anschließend im Identitätsanbieter geändert wird, um ihn wieder auf eine Basic-Lizenz zurückzusetzen, wird ihm die Basic-Lizenz erneut zugewiesen, sobald er sich erneut bei Zoom authentifiziert.

#### <mark style="color:blau;">Die erweiterte Zuordnung ermöglicht mehrere SAML-Attribute und Werte pro Kategorie</mark>

Im Gegensatz zu Basic-Mapping, das nur ein SAML-Attribut pro Kategorie zulässt, kann das erweiterte Mapping mehrere Attribute und Werte für jede Kategorie Supporten. Dies ermöglicht eine erhebliche Flexibilität bei der Verwaltung von Benutzerlizenzen und Access über Sicherheitsgruppen innerhalb Ihres Identitätsanbieters, wie in der folgenden Konfiguration zu sehen ist.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Attributzuordnung für SAML.</p></figcaption></figure>

{% hint style="success" %}
**Zoom-Tipp**

SAML-Attribute können je nach Identitätsanbieter variieren, insbesondere bei Sicherheitsgruppen. Bestätigen Sie dies mit Ihrem Identitätsanbieter oder über [SAML-Antwortprotokolle](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) wie SAML-Attribute bestätigt werden.
{% endhint %}

#### <mark style="color:blau;">Die erweiterte Zuordnung wendet Lizenzen von oben nach unten an, wenn mehrere Attribute bestätigt werden</mark>

Wenn ein Benutzer mehrere SAML-Attribute oder Werte übergibt, die für die erweiterte SAML-Zuordnung konfiguriert sind, ordnet Zoom die Lizenzen von oben nach unten zu. Siehe das folgende Beispiel:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Auswahl des Lizenztyps in den Administrator-Einstellungen.</p></figcaption></figure>

Gemäß der obigen Konfiguration, wenn ein Benutzer ein Attribut für beide übergeben würde **global\_users** und **marketing**, weil **marketing** ist in der Konfiguration am höchsten, dieses Attribut wird auf den Benutzer angewendet, und die übrigen anwendbaren Attribute werden ignoriert.

Alternativ, wenn die Konfiguration mit **global\_users** als höchstem festgelegt wurde, wie im folgenden Screenshot zu sehen ist, wenn die Assertion eines Benutzers **global\_users**, **marketing**, **menschlich** **Ressourcen**, und **IT**, weil **global\_users** die höchste Priorität hat, wird nur eine Basic-Lizenz zugewiesen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel zum Anpassen der Prioritätsreihenfolge</p></figcaption></figure>

Zoom-Administratoren können die Reihenfolge der Anwendung beim Bearbeiten der Zuordnungswerte mithilfe der ↑↓-Pfeile im Editor anpassen.

{% hint style="success" %}
**Zoom-Empfehlung**

Konfigurieren Sie die erweiterten Konfigurationen von den spezifischsten bis zu den allgemeinsten, um eine Fehlanwendung der Lizenz zu verhindern.
{% endhint %}

#### <mark style="color:blau;">Zuordnungen für Webinar und Large Meeting können einen gemeinsamen Wert teilen, um beide Hinzufügen-ons anzuwenden</mark>

Zur Vereinfachung des Anwendungsprozesses können Zoom-Administratoren dasselbe SAML-Attribut und denselben Wert zweimal Konfigurieren, um sowohl Webinar- als auch große Meeting-Hinzufügen für die Benutzer anzuwenden, wie im folgenden Bild mit dem zu sehen ist **global\_users** Wert. Diese Hinzufügen-Ons können bei Bedarf auch unabhängig konfiguriert werden, wie mit dem **Webinar\_only** und **groß\_Meeting\_nur** Werte.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SAML-Attribute für large_Meeting_only und Webinar_only.</p></figcaption></figure>

#### <mark style="color:blau;">Benutzer können mit einem SAML-Wert zu mehreren Benutzergruppen hinzugefügt werden</mark>

Zoom-Administratoren können die Zuordnung von Benutzer zu Gruppe Konfigurieren, um einen Benutzer mit einem SAML-Wert zu mehreren Gruppen Hinzufügen.

Die erste hinzugefügte Benutzer Gruppe wird als die primäre Gruppe des Benutzers festgelegt und bestimmt die standardmäßigen Einstellungen des Benutzers *sofern eine zugrunde liegende Gruppe eine gesperrte Einstellung hat*. Weitere Informationen zu Benutzer Gruppen finden Sie in unserem [Support-Artikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für mehrere Zuordnungen von Benutzer Gruppen.</p></figcaption></figure>

#### <mark style="color:blau;">Angegebene Benutzer und Benutzer Gruppen können von bestimmten SAML-Zuordnungen ausgenommen werden</mark>

Jede Option unter Erweitertes SAML-Mapping kann so konfiguriert werden, dass bestimmte Benutzer und Benutzer Gruppen vom Zuordnungsverhalten ausgenommen werden. Dies kann nützlich sein, um VIP-Benutzer vor Serviceunterbrechungen aufgrund einer möglichen Änderung der Lizenzierung zu schützen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Benutzerausnahmen.</p></figcaption></figure>

#### <mark style="color:blau;">Auto Mapping weist Benutzer automatisch einem Benutzer-, Kanal- oder IM-Gruppe mit dem Namen ihres angegebenen SAML-Werts zu, wenn der Wert nicht zuvor einer Gruppe zugeordnet wurde</mark>

Auto Mapping kann verwendet werden, um Benutzer automatisch einer Benutzer Gruppe, einem Kanal und einer IM-Gruppe mit dem Namen ihres angegebenen SAML-Werts zuzuweisen. Im Gegensatz zu anderen erweiterten Mapping-Komponenten, die so konfiguriert werden können, dass ein Benutzer basierend auf dem SAML-Wert einer beliebigen Gruppe zugewiesen wird, weist Auto Mapping einen Benutzer immer einer Gruppe basierend auf dem exakten SAML-Wert zu. Wenn die Gruppe zuvor nicht existierte, wird sie automatisch erstellt.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für SAML-Autozuordnung.</p></figcaption></figure>

Wenn die Autozuordnung beispielsweise so eingestellt ist, dass ein Benutzer den Gruppen basierend auf seiner Abteilung zugeordnet wird, und der Wert seiner Abteilung für die Benutzer Gruppe, den Kanal oder die IM Gruppe noch nicht definiert ist, werden Benutzer automatisch einer Gruppe zugewiesen, die ihrem Abteilungsnamen entspricht, wie in der folgenden Tabelle gezeigt:

| SAML-Attribut | SAML-Wert     | Existiert die Zoom Gruppe bereits? | Ergebnis                                                                |
| ------------- | ------------- | ---------------------------------- | ----------------------------------------------------------------------- |
| Abteilung     | Personalwesen | Ja                                 | Benutzer zur Gruppe Human Resources hinzugefügt                         |
| Abteilung     | Marketing     | Ja                                 | Benutzer zur Marketing Gruppe hinzugefügt                               |
| Abteilung     | Vertrieb      | Nein                               | Vertriebsgruppe wird erstellt, Benutzer zur Vertriebsgruppe hinzugefügt |

#### Zoom unterstützt bis zu fünf benutzerdefinierte SAML-Attribute

Zoom-Administratoren können bis zu *fünf* benutzerdefinierte SAML-Attribute für das Hinzufügen von Benutzerdaten zu ihrem Zoom-Profil unter der [erweiterten Benutzerverwaltung](https://zoom.us/account/user#/advanced) Seite konfigurieren. Nachdem die benutzerdefinierten Felder hinzugefügt wurden, können Zoom-Administratoren das Mapping auf der [SAML-Response-Mapping](https://zoom.us/account/sso/mapping) Seite konfigurieren.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Beispiel für benutzerdefinierte SAML-Attribute</p></figcaption></figure>

#### <mark style="color:blau;">Das Zuordnen von Benutzern zu einem Unterkonto wird</mark> *<mark style="color:blau;">nur</mark>* <mark style="color:blau;">eine Meeting-Lizenz und Hinzufügen-ons anwenden</mark>

Die Zuordnung eines Benutzers zu einem Unterkonto wirkt sich nur auf die Meeting-Lizenz eines Benutzers und Erweiterungen wie Webinar und große Meeting für das Unterkonto aus. Benutzergruppen, IM-Gruppen, Benutzerrollen usw. werden nicht übernommen und müssen innerhalb des Unterkontos konfiguriert werden.

Kunden, die mehr Flexibilität für das SAML-Antwort-Mapping mit Unterkonten benötigen, benötigen eine eindeutige Vanity-URL und eine neue SSO-Konfiguration innerhalb des Unterkontos.

### SSO-Fehlerbehebung

#### <mark style="color:blau;">Verwenden von SAML-Antwortprotokollen zur Fehlerbehebung</mark>

Gespeicherte SAML-Antwortprotokolle können zusätzlich zu SAML-Antwortzuordnungskonfigurationen ein unschätzbares Hilfsmittel bei der Fehlerbehebung von Konfigurations- und Benutzerfehlern sein. Wenn Ihre SSO-Konfiguration so eingestellt ist, dass SAML-Antwortprotokolle gespeichert werden, können sie über das [SAML-Antwortprotokoll](https://zoom.us/account/sso/saml_logs) Registerkarte verfügbar innerhalb der SSO-Konfigurationsseite in Erweiterte Einstellungen. Um SAML-Antwortprotokolle anzuzeigen, klicken Sie **Details anzeigen** neben einem Authentifizierungsversuch.

#### <mark style="color:blau;">Die meisten Authentifizierungen werden in den Antwortprotokollen angezeigt</mark>

Die meisten fehlgeschlagenen oder erfolglosen Authentifizierungsversuche werden auf der Seite mit den Antwortprotokollen angezeigt. Wenn ein Authentifizierungsversuch nicht angezeigt wird, hat Zoom höchstwahrscheinlich keine SAML-Assertion von Ihrem Identitätsanbieter erhalten, oder das Speichern von SAML-Antwortprotokollen ist deaktiviert.

#### <mark style="color:blau;">Antwortprotokolle können Ihnen sagen, ob Ihre Konfiguration falsch ist oder Ihr Zertifikat veraltet ist</mark>

Wenn SAML-Antwortprotokolle aktiviert sind, werden die Informationen des Identitätsanbieters an Zoom übermittelt, um Identitäten für jede Partei zu authentifizieren. Wenn eine übermittelte Einstellung oder ein Informationsstring, wie das X509-Zertifikat oder die Aussteller-ID, sich von der aktuellen Zoom-Konfiguration unterscheidet, wird ein Fehler angezeigt, der darauf hinweist, dass die Informationen „nicht mit den aktuellen SSO-Einstellungen übereinstimmen“. Ein Zoom-Administrator kann die SSO-Konfiguration aktualisieren, damit sie mit diesen übermittelten Werten übereinstimmt, wenn diese korrekt sind, um den Fehler zu beheben.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Warnungen bei einer falschen Konfiguration.</p></figcaption></figure>

#### <mark style="color:blau;">Antwortprotokolle zeigen Ihnen, welche SAML-Werte und -Attribute übermittelt werden</mark>

Das Prüfen von Antwortprotokollen kann bei der Behebung von SAML-Antwortzuordnungen helfen, indem verifiziert wird, welche Attribute und Werte von Benutzern bei der Authentifizierung übermittelt werden. Diese können mit der Konfiguration verglichen werden, um sicherzustellen, dass die Attribute und Werte übereinstimmen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Informationen, die vom Identitätsanbieter-Dienst übermittelt werden.</p></figcaption></figure>

Wenn SAML-Attribute oder -Werte fehlen, werden die Informationen vom Identitätsanbieter-Dienst nicht übermittelt. Benutzern, die von diesem Problem betroffen sind, wird empfohlen, sich für weitere Unterstützung an die Support-Dienste ihres Identitätsanbieters zu wenden.

#### <mark style="color:blau;">Antwortprotokolle enthalten einen Fehlercode und eine kurze Erklärung, falls der Vorgang nicht erfolgreich war</mark>

Wenn sich ein Benutzer nicht authentifizieren kann oder einen Fehler erhält, enthalten die SAML-Antwortprotokolle einen Fehlercode und eine kurze Erklärung des Fehlers.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für Fehlercode und Erklärung.</p></figcaption></figure>

Die meisten Probleme können mithilfe dieser Fehlermeldungen identifiziert und behoben werden. Wenn Sie den Fehler nicht beheben können, wenden Sie sich für zusätzliche Unterstützung an den Zoom-Support.

#### <mark style="color:blau;">Fehler bei der Web-Tracking-ID</mark>

Wenn ein Benutzer die SSO-Authentifizierung nicht besteht, erhält er einen WEB-Tracking-ID-Fehlercode. Diese Codes sind keine Fehlermeldung, die sich auf einen bestimmten Fehler bezieht, sondern eine eindeutige Protokoll-ID, die in der SAML-Antwortzuordnung zur Identifizierung von Authentifizierungsproblemen überprüft werden kann.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für einen benutzerseitigen Fehler mit einem WEB-Tracking-ID-Fehlercode.</p></figcaption></figure>

Um den Fehler zu identifizieren, navigieren Sie, wenn die SAML-Antwortprotokollierung aktiviert ist, zur [SAML-Antwortprotokoll](https://zoom.us/account/sso/saml_logs) Registerkarte Verfügbar in der SSO-Konfigurationsseite in den erweiterten Einstellungen. Geben Sie dort die WEB-Tracking-ID in das Feld „Tracking-ID“ ein und suchen Sie, um das Antwortprotokoll zu füllen

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für die Suche im SAML-Antwortprotokoll mit dem oben genannten WEB-Tracking-ID-Fehlercode.</p></figcaption></figure>

Die SAML-Antwortprotokolle sollten die SAML-Assertion sowie unten in der Antwort einen Fehlercode und eine Fehlermeldung anzeigen, die für zusätzliche Fehlerbehebung verwendet werden können.

### SCIM-Fehler

#### <mark style="color:blau;">Benutzer existiert nicht oder gehört nicht zu diesem Konto</mark>

Dieser Fehler tritt auf, wenn die E-Mail-Adresse eines Ziel-Benutzers aufgrund eines bereits vorhandenen Kontos nicht bereitgestellt werden kann. Zoom-Administratoren werden ermutigt, den Benutzer direkt zu kontaktieren und den Benutzer manuell zum Konto einzuladen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel für einen Bereitstellungsfehler.</p></figcaption></figure>

#### <mark style="color:blau;">Sie können keine kostenpflichtigen Benutzer hinzufügen</mark>

Dieser Fehler tritt auf, wenn SCIM versucht, einen Benutzer bereitzustellen, obwohl im Konto unzureichende Lizenzen vorhanden sind. Um den Fehler zu beheben, muss der Benutzer als Basic-Benutzer bereitgestellt werden, oder für die Bereitstellung muss eine Lizenz verfügbar gemacht werden.

### Verwenden von SCIM-Protokollen zur Fehlerbehebung bei der Benutzerbereitstellung

Zoom stellt die 100 neuesten API-Anforderungsprotokolle im [Zoom Marketplace](https://marketplace.zoom.us/). Ein Zoom Administrator kann diese Protokolle verwenden, um zu bestätigen, welche Informationen über Bereitstellungs-API übermittelt und empfangen werden. Um auf die Protokolle zuzugreifen, melden Sie sich beim Zoom Marketplace als Zoom Administrator an und klicken Sie auf **Verwalten**. Wählen Sie auf der folgenden Seite **Anrufprotokolle** unter **Persönliche App-Verwaltung**. Klicken Sie dort auf einen Eintrag, um die API-Protokolle zu erweitern und den Inhalt zu überprüfen.

Das folgende Bild zeigt ein Beispiel für eine SCIM-Benutzerbereitstellungsanforderung, wobei die Identitäts- und Lizenzattribute des Benutzers zur Referenz hervorgehoben sind.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Beispiel einer SCIM-Benutzerbereitstellungsanforderung.</p></figcaption></figure>

Wie beim SAML-Antwortmapping kann Zoom nur Informationen anwenden, die vom Identitätsanbieter in der Bereitstellungsanforderung übermittelt werden. Verwenden Sie diese Protokolle, um zu bestätigen, dass Identitäts- und Lizenzattribute des Benutzers vom Identitätsanbieter übermittelt werden. Wenn erwartete Informationen in diesen Assertions fehlen, wenden Sie sich an Ihren Identitätsanbieter, um Support zu erhalten.

### Datenflüsse und Authentifizierung

#### <mark style="color:blau;">SAML-Authentifizierung</mark>

Das folgende Diagramm zeigt den detaillierten Ablauf der SAML-Authentifizierung für einen Benutzer bei der Initiierung einer Single Sign-On Sitzung mit Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramm eines Beispielablaufs der SAML-Authentifizierung.</p></figcaption></figure>

#### <mark style="color:blau;">SSO Web-Anmelde-Token</mark>

Nachdem sich ein Benutzer über SAML authentifiziert hat, wird die Sitzung des Benutzers in ihrem Browser aufgebaut und hat

standardmäßig eine Laufzeit von zwei Stunden. Wenn der Benutzer seine Zoom-Webseite weiterhin aktiv nutzt, wird die Sitzung aktualisiert; wenn der Benutzer seine Webseite jedoch zwei Stunden lang nicht nutzt, läuft das Token ab und der Benutzer muss sich erneut authentifizieren. Zoom-Administratoren können diese aktive Sitzungsdauer auf der [Sicherheit](https://zoom.us/account/setting/security) Seite unter Benutzer müssen sich nach einer Phase der Inaktivität erneut Anmelden und **Inaktivitätszeitraum im Web festlegen (Minuten)**.

#### <mark style="color:blau;">Client-Anmelde-Token</mark>

Wenn ein Benutzer versucht, sich in einem Client per SSO zu authentifizieren, öffnet das Gerät des Benutzers einen Browser und leitet ihn zur Anmeldeseite des Identitätsanbieters weiter. Nachdem sich ein Benutzer authentifiziert hat, erhält der Browser des Benutzers ein Zoom-Client-Start-Token. Sobald ein Benutzer auf die Schaltfläche „öffnen“ oder „starten“ klickt, verwendet der Browser das URL-Schema zusammen mit dem Start-Token, um den Zoom-Client zu öffnen.

Der Zoom-Client verwendet das Start-Token, um das Access-Token und das Refresh-Token vom Zoom-Server abzurufen. Der Client verwendet das Access-Token jeweils für eine Dauer von zwei Stunden und nutzt nach Ablauf das Refresh-Token, um einen neuen Satz von Token zu erhalten, die in der lokalen Datenbank des Clients gespeichert werden. Dieser Aktualisierungsprozess ist standardmäßig unbegrenzt und kann fortlaufend zwischen Token wechseln, bis sich ein Benutzer abmeldet oder die Token ablaufen. Zoom-Administratoren können die Sitzungsdauer auf der [SSO-Einstellungen](https://zoom.us/account/sso) Seite unter [*automatische Abmeldung erzwingen*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://library.zoom.com/technical-library/de/administratorbereich/account-and-endpoint-management/sso-field-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.