Guía de SSO

Introducción

Integrar inicio de sesión único (SSO) con Zoom ofrece a los administradores opciones de gestión de usuarios y seguridad que pueden simplificar la administración de la cuenta. Una vez configurado, los usuarios se autentican usando sus credenciales de la empresa contra el proveedor de identidad de su empresa en lugar de utilizar métodos de autenticación alternativos como integraciones con Google o Facebook, o un nombre de usuario y contraseña directos con Zoom.

Este documento proporciona una visión general completa de las configuraciones y ajustes de SSO dentro de Zoom, además de información sobre resolución de problemas y seguridad.

Integraciones de SSO

SSO requiere una URL mnemónica (Vanity URL) para comenzar

Una cuenta debe tener una URL mnemónica aprobada antes de configurar SSO. Una vez que la Vanity URL esté aprobada, los administradores de Zoom pueden acceder a la configuración de SSO a través del submenú de opciones avanzadas en el portal web. Consulte nuestro artículo de soporte sobre Vanity URLs para más información.

Zoom SSO funciona con cualquier proveedor de identidad SAML 2.0

Zoom puede integrarse con cualquier proveedor de identidad que admita la autenticación Security Assertion Markup Language (SAML) 2.0. Aunque existen muchos recorridos de integración documentados, algunos proveedores de identidad no proporcionan documentación para integrarse con Zoom. Se anima a las cuentas que no puedan localizar instrucciones de configuración a ponerse en contacto con su proveedor de identidad para obtener más información.

Los administradores de Zoom pueden gestionar la información del perfil de usuario y las licencias mediante el mapeo de respuestas SAML o integraciones SCIM

Los administradores pueden gestionar la información del perfil de usuario y las licencias mediante el mapeo de respuestas SAML o solicitudes de la API de System for Cross-Domain Identity Management (SCIM), dependiendo de las funcionalidades disponibles por parte del proveedor de identidad. Ambos métodos de gestión de usuarios ofrecen una funcionalidad casi equivalente para el mapeo de información de perfil y la gestión de licencias, pero algunos mapeos SCIM requieren configuración manual.

Para una lista completa de capacidades de SCIM, consulte nuestra documentación de la API SCIM.

Los administradores de Zoom pueden gestionar el estado de la cuenta de usuario mediante SCIM, pero no con SAML

Debido a que SCIM permite que los proveedores de identidad se comuniquen directamente con Zoom en cualquier momento, las cuentas de usuario pueden ser activadas, desactivadas, creadas, o eliminadas a través de integraciones SCIM automáticamente. Por ejemplo, si la cuenta de un usuario en Active Directory está deshabilitada, o si se le quita la asignación de la aplicación, SCIM puede enviar una solicitud de desactivación automática para la cuenta del usuario en Zoom. Esta función depende de las capacidades de la aplicación SCIM del proveedor de identidad y la funcionalidad puede variar según el proveedor.

Pocos proveedores de identidad ofrecen SCIM para Zoom

Muchos proveedores de identidad no tienen una integración SCIM creada para Zoom como parte de sus servicios. Las cuentas que usan un proveedor de identidad que no admite SCIM con Zoom deben usar el mapeo de respuestas SAML para la gestión automatizada de usuarios.

SCIM requiere un dominio asociado para aprovisionar usuarios automáticamente

Las cuentas que usan SCIM para gestionar y aprovisionar usuarios para SSO deben asociar el dominio de correo electrónico con Zoom. La falta de asociación del dominio provocará fallos en el aprovisionamiento de usuarios. Consulte nuestro artículo de soporte sobre Dominios asociados para más información sobre el proceso.

Las siguientes integraciones de SSO están documentadas

Active Directory local puede usar la Herramienta AD Sync en lugar de SCIM

Las cuentas que deseen automatizar el aprovisionamiento de usuarios mediante SCIM pero no dispongan de un proveedor de identidad basado en la nube pueden utilizar la aplicación Active Directory (AD) Sync Tool desarrollada por Zoom para gestionar sus usuarios. Esta aplicación se ejecuta en Oracle JDK 8 y simula el aprovisionamiento SCIM gestionando usuarios mediante comandos API. Consulte nuestro artículo de soporte sobre el Herramienta AD Sync para más información.

Los proveedores de identidad pueden incluso autenticar a participantes de reuniones que no tienen una cuenta de Zoom

Las cuentas que deseen exigir a los usuarios que autentiquen su identidad pero no quieran proporcionar cuentas de Zoom pueden configurar un perfil de autenticación externa con su proveedor de identidad. Cuando se habilita para una reunión, los usuarios que intenten unirse deberán autenticar sus credenciales de ingreso contra su proveedor de identidad para obtener acceso. Esta es una configuración común en escuelas que no proporcionan cuentas a todos los estudiantes pero requieren autenticación para unirse a las clases. Consulte nuestro artículo de soporte sobre configurar la autenticación externa para más información.

Cambiar el proveedor de identidad requiere reconfigurar SSO dentro de Zoom

Las cuentas que estén cambiando de proveedor de identidad deben rehacer su configuración de SSO dentro de Zoom. Esto incluye actualizar todos los campos dentro de la página de configuración para que coincidan con su nuevo proveedor de identidad. Se recomienda a las cuentas que confirmen que los mapeos de respuestas SAML no cambiarán con el nuevo proveedor de identidad.

No deberían requerirse configuraciones o cambios adicionales, siempre que no haya más modificaciones.

Los clientes con subcuentas pueden configurar SSO desde la cuenta principal o la subcuenta

Los clientes con subcuentas tienen dos opciones para configurar SSO:

1. Todos los usuarios se autentican usando la Vanity URL de la cuenta principal y se inician sesión automáticamente en la subcuenta mediante mapeo SAML avanzado (se aplican algunas limitaciones de mapeo); o

2. Cada subcuenta tiene una Vanity URL única y una configuración SSO independiente, utilizada exclusivamente por los miembros de esa subcuenta

Cada configuración ofrece beneficios únicos, siendo la segunda opción la que ofrece mayor flexibilidad. Los clientes que consideren implementar cualquiera de las configuraciones deben discutir con su equipo de cuenta cuál es la más adecuada para sus necesidades.

Configuración y seguridad de SSO

Los administradores de Zoom pueden elegir las opciones de seguridad y configuración óptimas para su organización al configurar una integración SSO con Zoom. Esta sección explica estas configuraciones y sus implicaciones para una integración SSO.

Zoom admite solicitudes SAML firmadas para inicio y cierre de sesión

Los administradores de Zoom que requieran autenticación adicional del proveedor de servicios pueden configurar Zoom para firmar todas las solicitudes de inicio y cierre de sesión al proveedor de identidad.

Las cuentas que usan esta configuración pueden necesitar una rotación de certificados si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de soporte sobre rotación de certificados para más información.

Zoom admite aserciones SAML cifradas al autenticar

Los administradores de Zoom pueden configurar Zoom para admitir aserciones cifradas al autenticar. Si esta opción está habilitada, las aserciones sin cifrar serán descartadas. Las cuentas que usan esta configuración pueden necesitar la rotación de certificados SSO si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de soporte sobre rotación de certificados para más información.

Los administradores de Zoom pueden hacer cumplir el cierre de sesión automático después de un tiempo definido

Los administradores de Zoom pueden configurar Zoom para cerrar automáticamente la sesión de los usuarios en sesiones activas tras períodos de tiempo definidos, personalizables entre 15 minutos y 180 días. Este proceso hará que el token de acceso de Zoom caduque en el periodo predeterminado una vez que se genere el token. Este token no tiene relación con un proveedor de identidad y es exclusivo de Zoom.

Los registros de respuesta SAML se pueden guardar para la resolución de problemas

Zoom puede guardar registros de respuesta SAML de intentos de autenticación durante siete días después de una autenticación. Estos registros de respuesta pueden ser una herramienta invaluable para solucionar errores de configuración y de usuario, además de las configuraciones de mapeo de respuestas SAML. Revise la sección sobre resolver errores con registros de respuesta SAML para más información.

El aprovisionamiento en el momento del inicio de sesión puede crear cuentas al instante y es la opción de aprovisionamiento más sencilla

Cuando SSO está configurado para aprovisionar Al iniciar sesión (también conocido como aprovisionamiento justo a tiempo), cualquier usuario autorizado dentro del proveedor de identidad puede autenticarse en Zoom. Los usuarios que no tienen una cuenta existente tendrán una creada inmediatamente al iniciar sesión.

El aprovisionamiento en el momento del inicio de sesión puede simplificar el despliegue de Zoom en una empresa al permitir que los usuarios creen sus cuentas en el momento de la autenticación en lugar de requerir la creación proactiva de usuarios. Combinado con el mapeo de respuestas SAML, un perfil de usuario completo y la asignación de licencias estarán listos en segundos desde la primera autenticación del usuario.

Además, el aprovisionamiento en el inicio de sesión puede crear dinámicamente el tipo de inicio de sesión SSO para cuentas preexistentes. Si un usuario tiene una cuenta de Zoom existente con un nombre de usuario y contraseña, se creará un tipo de inicio de sesión SSO al iniciar sesión con esta configuración.

El aprovisionamiento previo al inicio de sesión requiere cuentas precreadas con un tipo de inicio de sesión SSO

Aprovisionar usuarios para SSO antes del inicio de sesión requiere que los usuarios que se autentican tengan ambos una cuenta de Zoom existente y que la cuenta tenga creado un tipo de inicio de sesión SSO. Este tipo de aprovisionamiento suele combinarse con el aprovisionamiento SCIM debido al proceso automatizado de creación de cuentas, pero no es exclusivo de él. Los usuarios de Zoom que se consolidan en la cuenta de la empresa mediante dominios asociados o una invitación directa no suelen tener el tipo de inicio de sesión SSO.

Los administradores de Zoom pueden confirmar si una cuenta tiene un tipo de inicio de sesión SSO viendo la cuenta de usuario en la Administración de usuarios página dentro del portal web y buscando el icono “SSO” debajo del correo electrónico del usuario.

Si el icono está presente, el usuario está aprovisionado para SSO; si el icono falta, el usuario no podrá iniciar sesión vía SSO mientras esté habilitado el aprovisionamiento previo hasta que se añada. Un administrador de Zoom puede añadir este tipo de inicio de sesión agregando usuarios en masa mediante un archivo CSV y seleccionando la opción “Usuario SSO” o hacer que el usuario se autentique mientras está habilitado el aprovisionamiento en el inicio de sesión.

Se debe asociar y administrar un dominio para aplicar la autenticación SSO

Los administradores de Zoom pueden exigir la autenticación SSO solo si el dominio de correo electrónico está asociado y gestionado dentro de Zoom. Cuando esto está habilitado, todos los usuarios que se autentiquen usando el/los dominio(s) de su empresa serán redirigidos automáticamente a la página de autenticación de su proveedor de identidad, independientemente de la plataforma.

Una vez que el dominio esté aprobado y gestionado, un administrador de Zoom puede hacer cumplir la autenticación SSO a través de la página de seguridad de la cuenta bajoMétodos de inicio de sesión Dominios asociados . Consulte nuestro artículo de soporte sobre

para más información sobre cómo asociar y gestionar un dominio.

Usuarios especificados pueden estar exentos de la autenticación SSO obligatoria Los administradores de Zoom pueden excluir usuarios específicos de la autenticación SSO obligatoria. Excluir usuarios específicos (como una cuenta de administrador) puede ser útil si una configuración SSO falla y un administrador de la cuenta necesita acceso no SSO a la cuenta de Zoom. Los administradores exentos pueden iniciar sesión en admin.zoom.us en cualquier momento en caso de un bloqueo de la cuenta o una configuración SSO defectuosa (el usuario debe tener el rol

de administrador estándar). Si un administrador de Zoom no puede acceder a la cuenta, debe ponerse en contacto con el Soporte de Zoom para obtener ayuda. página de seguridad Para habilitar una excepción de usuario, navegue a la

Ejemplo de lista de dominios para SSO.

Los clientes móviles y de escritorio pueden configurarse para exigir que los usuarios usen la autenticación SSO

Los clientes de Zoom pueden preconfigurarse para automatizar la funcionalidad SSO, incluyendo inicio de sesión automático, cierre de sesión automático, autenticación exclusiva por SSO en el dispositivo y más mediante Group Policy, servicios de administración de dispositivos móviles (MDM) y clientes de despliegue masivo. Para una lista completa de posibilidades de configuración, consulte nuestras opciones de configuración para, Group Policy, iOS, Android Mac y.

Windows

Los usuarios de Office 365 pueden iniciar sesión automáticamente en el complemento Zoom para Outlook usando credenciales SSO Los clientes que usan Office 365 pueden iniciar sesión automáticamente a sus usuarios en el complemento Zoom para Outlook usando credenciales SSO. Esto puede combinarse con un manifiesto de complemento personalizado

que pre-puebla la Vanity URL de la cuenta, creando una experiencia de autenticación fluida para los usuarios. Esta función usa el token de sesión SSO del usuario si está activo, o solicitará una nueva autenticación con su proveedor de identidad si no se encuentra una sesión activa. página de seguridad Un administrador de Zoom puede habilitar esta configuración en la cuenta bajo el menú

Ejemplo de la configuración de administrador para SSO con el complemento de Outlook.

Mapeo de respuesta SAML

Los atributos SAML son categorías de datos definidas por valores SAML y se usan para pasar información desde el proveedor de identidad a un proveedor de servicios como Zoom. Mapear atributos y valores es esencial para automatizar la información del perfil de usuario y gestionar las licencias de los usuarios. El mapeo de respuestas SAML se divide en dos partes: Mac cuenta bajo elbásico

. El mapeo básico se usa para mapear la información de perfil básica, incluyendo nombre, número de teléfono, departamento, etc. El mapeo avanzado se usa para gestionar asignaciones dinámicas de licencias, asignación de grupos de usuarios, roles de usuario y más.

Esta sección cubre los fundamentos del mapeo de respuestas SAML, el mapeo SAML básico y avanzado, y destaca condiciones únicas requeridas para algunas funciones.

Fundamentos: Atributos y valores SAML

Al asignar correctamente un atributo SAML a un mapeo de respuesta, la información del usuario puede aplicarse automáticamente al perfil del usuario para simplificar el proceso de creación y administración de la cuenta.

Mapeo básico: Información de perfil

El mapeo de información básica SAML se usa para aplicar información de perfil como nombre, apellido, departamento, número de teléfono, centro de costos y ubicación desde un directorio al perfil de un usuario. Muchas de estas categorías son autoexplicativas y pueden configurarse fácilmente; sin embargo, algunas categorías requieren explicación para una configuración adecuada para evitar consecuencias imprevistas o errores de aplicación. La sección siguiente destaca opciones de mapeo únicas y ajustes de configuración para el mapeo básico. Consulte nuestro artículo de mapeo SAML básico para una lista completa de atributos compatibles.

El tipo de licencia predeterminado solo se aplica a usuarios completamente nuevos

La opción de tipo de licencia predeterminada aplicará la licencia designada a todos los usuarios completamente nuevos que se aprovisionen dentro de la cuenta mediante SAML. Esto no se aplica a usuarios que se autentican por segunda vez, usuarios que se han consolidado en la cuenta desde una cuenta anterior, usuarios aprovisionados mediante SCIM o usuarios que han sido invitados manualmente.

Para obtener información sobre actualizar las licencias de usuario con la autenticación, consulte la configuración de licencias en Mapeo SAML avanzado.

Un tipo de licencia predeterminado de Ninguna no permitirá que los usuarios nuevos se autentiquen a menos que el mapeo avanzado esté configurado para asignar una licencia

Los usuarios de Zoom deben tener un tipo de licencia asignado (Básico, Con licencia o Local) para iniciar sesión en el servicio Zoom. Si se selecciona un tipo de licencia predeterminado de Ninguna, los usuarios nuevos no podrán iniciar sesión ni crear una nueva cuenta a menos que reciban una licencia mediante Mapeo SAML avanzado.

La mayoría de los mapeos básicos se volverán a aplicar al iniciar sesión, a menos que se especifique lo contrario

La mayoría de los mapeos SAML básicos se actualizarán cada vez que un usuario inicie sesión por defecto, excepto por nombre, apellido, nombre para mostrar y número de teléfono. De forma predeterminada, estos cuatro mapeos solo se aplicarán la primera vez que un usuario se autentique y no se volverán a aplicar, incluso si son actualizados por un usuario o administrador. Los administradores de Zoom pueden cambiar este comportamiento habilitando la opción Actualizar en cada inicio de sesión SSO en la página de mapeo de respuesta SAML.

Los mapeos de números de teléfono deben incluir el código de país y el código de área si están fuera de los Estados Unidos

Los números de teléfono mapeados mediante SAML deben incluir el código de país y el código de área del usuario en la aserción SAML cuando sea posible. Zoom asumirá un código de país de +1 si no se define por defecto.

Las cuentas que no conservan códigos de país en su directorio pueden editar sus aserciones SAML dentro de su proveedor de identidad para incluirlos automáticamente si es necesario.

Cada usuario puede tener hasta tres números de teléfono y un número de fax mapeados en su perfil

Los administradores de Zoom pueden configurar hasta tres números de teléfono separados y un número de fax por usuario. Cada número de teléfono debe ser único y no puede duplicar el valor de otro campo.

Las imágenes de perfil deben mapearse desde una URL accesible públicamente o codificadas en Base64

Las cuentas que deseen mapear imágenes de perfil desde su directorio deben mapear las imágenes usando una URL de acceso público o codificar la imagen en Base64 al afirmar.

ID único de empleado

El ID único de empleado cambia el identificador principal que Zoom usa para identificar a los usuarios

El ID único de empleado es una función que ofrece Zoom para ayudar con la gestión de identidades. Por defecto, la identificación principal de un usuario de Zoom es su email dirección de correo electrónico. Esto significa que si el tipo de inicio de sesión por correo de trabajo es [email protected], entonces Zoom siempre identificará a este usuario por esa dirección de correo electrónico. Este identificador es lo que permite que integraciones como SSO o cuentas OAuth de Facebook y Google asocien al usuario con la misma cuenta de Zoom.

Sin embargo, este proceso de identificación puede ser problemático si cambia el nombre o el correo electrónico de un usuario. Por ejemplo, si [email protected] tiene un cambio de correo electrónico a [email protected], Zoom no puede determinar con seguridad que se trata de la misma persona (porque el identificador fundamental es diferente) por lo que Zoom creará una nueva cuenta la primera vez que [email protected] inicie sesión.

Para simplificar este problema, Zoom ofrece la función ID único de empleado, que cambia el identificador principal de un usuario de su dirección de correo electrónico a un ID único establecido. Esto no cambia el nombre de usuario del usuario en Zoom, sino que ofrece un atributo identificador alternativo. Este cambio permite que Zoom actualice dinámicamente la dirección de correo electrónico de un usuario dentro de Zoom si:

• una nueva dirección de correo electrónico va acompañada de un ID único de empleado conocido; y

• el dominio de correo electrónico del usuario afectado está asociado dentro de Zoom

Por ejemplo, si [email protected] se autentica y transmite un valor SAML de 12345 (su número de empleado) para el atributo ID único de empleado, Zoom ahora identificará al usuario dentro de la cuenta por el valor afirmado. Si John se autentica nuevamente usando el correo [email protected] mientras sigue pasando el ID único de empleado 12345, Zoom identificará que [email protected] ahora es [email protected] y actualizará dinámicamente el correo electrónico del usuario dentro de la cuenta si el dominio está asociado.

Los administradores de identidades deben estar seguros de que no haya dos usuarios con el mismo valor de ID único de empleado antes de establecer el mapeo SAML para esta categoría. Si otro usuario se autentica y proporciona el mismo valor, el correo electrónico se actualizará nuevamente al nuevo usuario y puede causar una perturbación significativa en los servicios y la experiencia del usuario.

La función ID único de empleado requiere dominios asociados para cambiar el correo electrónico de un usuario

La función ID único de empleado no puede actualizar la dirección de correo electrónico de un usuario a menos que el dominio de correo electrónico esté oficialmente asociado con el perfil de su cuenta. Consulte nuestro artículo de soporte sobre Dominios asociados para más información.

Los administradores y propietarios no pueden actualizar su correo electrónico mediante el ID único de empleado

Los correos electrónicos de administradores y propietarios dentro de Zoom no pueden actualizarse mediante la función ID único de empleado. Esto se pretende como una medida de seguridad para evitar accesos no autorizados. Los administradores y propietarios deben cambiar su correo electrónico a través de su página de perfil.

Los correos electrónicos de usuario solo pueden actualizarse una vez al día mediante el ID único de empleado

Los correos electrónicos de usuario solo pueden actualizarse una vez cada 24 horas mediante la función ID único de empleado. Un usuario debe esperar un día calendario completo desde la actualización anterior antes de actualizar su correo electrónico mediante SSO nuevamente.

Configurar el atributo SAML en <NameID> usará el NameID afirmado del usuario

Mapear el atributo SAML ID único de empleado a <NameID> usará automáticamente el valor NameID afirmado del usuario como su identificador único. Esto puede ser una herramienta beneficiosa si su proveedor de identidad afirma un NameID distinto al correo electrónico del usuario, como un User Principal Name (UPN) u otro valor similar que no cambie. No utilice este valor si los NameID de los usuarios coinciden con su correo electrónico.

Mapeo avanzado: Licencias, complementos y acceso

La sección de mapeo de información SAML avanzada puede aplicar dinámicamente licencias (incluido Zoom Phone), complementos y grupos de acceso de usuario a los usuarios cuando se autentican. A diferencia del mapeo básico, el mapeo avanzado contiene muchas sutilezas que pueden requerir atención diligente al configurarlo, dependiendo de la complejidad de su entorno. Esta sección destaca las sutilezas para configurar el mapeo SAML avanzado. Consulte nuestro artículo de Mapeo SAML avanzado para una lista completa de atributos compatibles.

El mapeo avanzado se aplica cada vez que un usuario se autentica

A diferencia del mapeo básico, que tiene actualizaciones opcionales para algunas categorías, las configuraciones de mapeo avanzado se aplicarán cada vez que un usuario se autentique, de acuerdo con el orden de aplicación de arriba hacia abajo.

Por ejemplo, si un usuario tiene una licencia básica y luego se autentica mediante SSO proporcionando un atributo y valor SAML mapeado para otorgar una licencia completa, al usuario se le concederá instantáneamente la licencia completa. Si el perfil del usuario se cambia posteriormente dentro del proveedor de identidad para devolverlo a una licencia básica, se le reasignará la licencia básica una vez que vuelva a autenticarse en Zoom.

El mapeo avanzado permite múltiples atributos y valores SAML por categoría

A diferencia del mapeo básico, que permite solo un atributo SAML por categoría, el mapeo avanzado puede admitir múltiples atributos y valores para cada categoría. Esto permite una flexibilidad significativa al gestionar la concesión de licencias y el acceso de usuarios a través de grupos de seguridad dentro de su proveedor de identidad, como se ve en la siguiente configuración.

El mapeo avanzado aplica las licencias de arriba hacia abajo cuando se afirman múltiples atributos

Si un usuario proporciona múltiples atributos o valores SAML que están configurados para el mapeo SAML avanzado, Zoom mapeará las licencias de arriba hacia abajo. Vea el siguiente ejemplo:

De acuerdo con la configuración anterior, si un usuario proporcionara un atributo tanto para global_users Mac marketing, debido a que marketing es el más alto en la configuración, este atributo se aplicará al usuario y los atributos aplicables restantes serán ignorados.

Alternativamente, si la configuración se estableciera con global_users como el más alto, como se ve en la siguiente captura de pantalla, si la aserción de un usuario contenía global_users, marketing, human resources, y IT, debido a que global_users tiene la prioridad más alta, solo se afirmará una licencia básica.

Los administradores de Zoom pueden ajustar el orden de aplicación al editar los valores de mapeo usando las flechas ↑↓ dentro del editor.

Los mapeos de Webinar y Reunión grande pueden compartir un valor común para aplicar ambos complementos

Para simplificar el proceso de aplicación, los administradores de Zoom pueden configurar el mismo atributo y valor SAML dos veces para aplicar tanto los complementos de webinar como de reunión grande a los usuarios, como se ve en la siguiente imagen con el global_users valor. Estos complementos también pueden configurarse de forma independiente si se desea, como se muestra con los webinar_only Mac large_meeting_only valores.

Los usuarios se pueden agregar a múltiples Grupos de usuarios usando un valor SAML

Los administradores de Zoom pueden configurar el mapeo de Grupos de usuarios para agregar a un usuario a múltiples grupos con un valor SAML.

El primer grupo de usuarios agregado se establecerá como el Grupo primario del usuario y determinará la configuración predeterminada del usuario a menos que un grupo subyacente tenga una configuración bloqueada. Para obtener más información sobre Grupos de usuarios, consulte nuestro artículo de soporte.

Usuarios y Grupos de usuarios especificados pueden estar exentos de mapeos SAML específicos

Cada opción en el Mapeo SAML avanzado puede configurarse para excluir usuarios y Grupos de usuarios específicos del comportamiento de mapeo. Esto puede ser beneficioso para evitar que usuarios VIP sufran interrupciones del servicio debido a un posible cambio en la asignación de licencias.

El mapeo automático asigna automáticamente usuarios a un Grupo de usuarios, Canal o IM con el nombre de su valor SAML afirmado si el valor no está previamente mapeado a un grupo

El mapeo automático puede usarse para asignar automáticamente usuarios a un Grupo de usuarios, Canal y Grupo de IM llamado según su valor SAML afirmado. A diferencia de otros componentes de mapeo avanzado, que pueden configurarse para asignar un usuario a cualquier grupo basado en el valor SAML, el mapeo automático siempre asigna a un usuario a un grupo basado exactamente en el valor SAML. Si el grupo no existía previamente, se creará automáticamente.

Por ejemplo, si el mapeo automático está configurado para mapear a un usuario en los grupos según su departamento, si el valor de su departamento no está ya definido para el Grupo de usuarios, Canal o Grupo de IM, los usuarios se asignarán automáticamente a un grupo que coincida con el nombre de su departamento, como se muestra en la siguiente tabla:

Zoom admite hasta cinco atributos SAML personalizados

Los administradores de Zoom pueden configurar hasta cinco atributos SAML personalizados para agregar datos de usuario a su perfil de Zoom en la página de gestión avanzada de usuarios . Después de agregar los campos personalizados, los administradores de Zoom pueden configurar el mapeo en la Ejemplo de la configuración de administrador para SSO con el complemento de Outlook. página.

Mapear usuarios a una subcuenta solo aplicará una licencia de reunión y complementos

Mapear a un usuario a una subcuenta solo aplicará la licencia de reunión del usuario y complementos como Webinar y Reuniones grandes a la subcuenta. Los Grupos de usuarios, Grupos de IM, Roles de usuario, etc., no se aplicarán y deben configurarse dentro de la subcuenta.

Los clientes que requieran más flexibilidad para el mapeo de respuestas SAML con subcuentas necesitarán una Vanity URL única y una nueva configuración SSO dentro de la subcuenta.

Resolución de problemas de SSO

Usar registros de respuesta SAML para la resolución de problemas

Los registros de respuesta SAML guardados pueden ser una herramienta invaluable para solucionar errores de configuración y de usuario, además de las configuraciones de mapeo de respuestas SAML. Si su configuración SSO está configurada para guardar registros de respuesta SAML, se puede acceder a ellos a través de la Pestaña de registros de respuesta SAML disponible dentro de la página de configuración SSO en Ajustes avanzados. Para ver los registros de respuesta SAML, haga clic en Ver detalles junto a un intento de autenticación.

La mayoría de las autenticaciones aparecerán en los registros de respuesta

La mayoría de los intentos de autenticación fallidos o no exitosos aparecerán en la página de registros de respuesta. Si un intento de autenticación no aparece, lo más probable es que Zoom no haya recibido una aserción SAML de su proveedor de identidad, o que la opción de guardar registros de respuesta SAML esté deshabilitada.

Los registros de respuesta pueden indicar si su configuración es incorrecta o su certificado está desactualizado

Cuando los registros de respuesta SAML están habilitados, la información del proveedor de identidad se afirma a Zoom para autenticar identidades de cada parte. Si un ajuste o cadena de información afirmada, como el certificado X509 o el ID del emisor, es diferente de la configuración actual de Zoom, aparecerá un error indicando que la información “no coincide con la configuración SSO actual”. Un administrador de Zoom puede actualizar la configuración SSO para que coincida con estos valores afirmados si son correctos para resolver el error.

Los registros de respuesta le indican qué valores y atributos SAML se están afirmando

Revisar los registros de respuesta puede ayudar a resolver las configuraciones de mapeo de respuestas SAML verificando qué atributos y valores están siendo afirmados por los usuarios al autenticarse. Estos pueden compararse con la configuración para asegurar que los atributos y valores coincidan.

Si faltan atributos o valores SAML, la información no está siendo afirmada por el servicio del proveedor de identidad. Se anima a los usuarios que experimentan este problema a ponerse en contacto con los servicios de soporte de su proveedor de identidad para obtener más ayuda.

Los registros de respuesta incluyen un código de error y una breve explicación, si no tienen éxito

Si un usuario no puede autenticarse o recibe un error, los registros de respuesta SAML contienen un código de error y una breve explicación del error.

La mayoría de los problemas pueden identificarse y resolverse usando estos mensajes de error. Si no puede resolver el error, póngase en contacto con el Soporte de Zoom para obtener asistencia adicional.

Errores de ID de seguimiento web

Si un usuario falla en la autenticación SSO, recibirá un código de error WEB Tracking ID. Estos códigos no son un mensaje de error relacionado con una falla específica, sino un ID de registro único que puede revisarse en el mapeo de respuestas SAML para identificar problemas de autenticación.

Para identificar el error, si el registro de respuestas SAML está habilitado, navegue a la Pestaña de registros de respuesta SAML pestaña disponible dentro de la página de configuración SSO en Ajustes avanzados. Desde allí, introduzca el ID de seguimiento WEB en el campo Tracking ID y busque para rellenar el registro de respuesta

Los registros de respuesta SAML deberían mostrar la aserción SAML y un código de error y mensaje en la parte inferior de la respuesta que pueden usarse para una resolución adicional de problemas.

Errores SCIM

Usuario no existe o no pertenece a esta cuenta

Este error ocurre cuando la dirección de correo electrónico del usuario objetivo falla al aprovisionarse debido a una cuenta ya existente. Se anima a los administradores de Zoom a ponerse en contacto con el usuario directamente e invitar manualmente al usuario a la cuenta.

No puede agregar usuarios pagos

Este error ocurre cuando SCIM intenta aprovisionar a un usuario cuando no hay licencias adecuadas en la cuenta. Para resolver el error, el usuario debe aprovisionarse como usuario básico, o debe disponerse de una licencia para el aprovisionamiento.

Usar registros SCIM para solucionar el aprovisionamiento de usuarios

Zoom proporciona los 100 registros más recientes de solicitudes API en el Zoom Marketplace. Un administrador de Zoom puede usar estos registros para confirmar qué información se envía y recibe mediante las API de aprovisionamiento. Para acceder a los registros, inicie sesión en el Zoom Marketplace como administrador de Zoom y haga clic en Administrar. En la página siguiente, seleccione Registros de llamadas de la cuenta Gestión de aplicaciones personales. Desde allí, haga clic en una entrada para expandir los registros de la API y revisar el contenido.

La imagen siguiente muestra un ejemplo de una solicitud de aprovisionamiento de usuario SCIM, con la identidad y los atributos de licencia del usuario resaltados para referencia.

Al igual que con el mapeo de respuestas SAML, Zoom solo puede aplicar la información que se envía desde el proveedor de identidad en la solicitud de aprovisionamiento. Use estos registros para confirmar que los atributos de identidad y licencia del usuario se envían desde el proveedor de identidad. Si falta información esperada en estas aserciones, póngase en contacto con su proveedor de identidad para obtener soporte.

Flujos de datos y autenticación

Autenticación SAML

El siguiente diagrama detalla el flujo de autenticación SAML de un usuario al iniciar una sesión de inicio de sesión único con Zoom.

Token web de inicio de sesión SSO

Después de que un usuario se authentica mediante SAML, la sesión del usuario se construye en su navegador y tiene

una duración de dos horas por defecto. Si el usuario continúa usando activamente su página web de Zoom, la sesión se actualizará; sin embargo, si el usuario no usa su página web durante dos horas, el token caducará y el usuario deberá volver a autenticarse. Los administradores de Zoom pueden configurar la longitud de esta sesión activa en la Seguridad página bajo Los usuarios necesitan iniciar sesión de nuevo después de un periodo de inactividad y Establecer periodo de inactividad en la web (minutos).

Token de inicio de sesión del cliente

Cuando un usuario intenta autenticarse vía SSO dentro de un cliente, la máquina del usuario abrirá un navegador web y lo redirigirá a la página de inicio de sesión del proveedor de identidad. Después de que un usuario se autentique, el navegador del usuario recibirá un token de lanzamiento del cliente de Zoom. Una vez que el usuario haga clic en el botón “abrir” o “lanzar”, el navegador usa el esquema de URL combinado con el token de lanzamiento para abrir el cliente de Zoom.

El cliente de Zoom usará el token de lanzamiento para obtener el token de acceso y el token de refresco del servidor de Zoom. El cliente usará el token de acceso durante un periodo de dos horas a la vez y, al expirar, usará el token de refresco para obtener un nuevo conjunto de tokens, que se almacenan en la base de datos local del cliente. Este proceso de refresco es ilimitado por defecto y puede ciclar continuamente los tokens hasta que un usuario cierre sesión o los tokens caduquen. Los administradores de Zoom pueden personalizar la duración de la sesión en la configuración SSO página bajo hacer cumplir el cierre de sesión automático.