# Guida pratica all'SSO

### Introduzione

L’integrazione di Single Sign-On (SSO) con Zoom offre agli amministratori Gestione degli utenti e opzioni di sicurezza che possono semplificare la gestione dell’account. Una volta configurato, gli utenti si autenticano utilizzando le credenziali della propria azienda sul provider di identità della propria azienda invece di usare metodi di autenticazione alternativi come le integrazioni con Google o Facebook, oppure un Nome utente e password diretti con Zoom.

Questo documento fornisce una panoramica completa delle configurazioni e delle Impostazioni di SSO all’interno di Zoom, oltre a informazioni sulla risoluzione dei problemi e sulla sicurezza.

### Integrazioni SSO

#### <mark style="color:blue;">SSO richiede un URL personalizzato per iniziare</mark>

Un account deve avere un URL personalizzato approvato prima di configurare SSO. Una volta approvato l’URL personalizzato, gli amministratori di Zoom possono accedere alla [configurazione SSO](https://zoom.us/account/sso) pagina tramite il sottomenu delle opzioni avanzate nel portale web. Consulta il nostro articolo di Assistenza su [URL personalizzati](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) per ulteriori informazioni.

#### <mark style="color:blue;">Zoom SSO funziona con qualsiasi provider di identità SAML 2.0</mark>

Zoom può integrarsi con qualsiasi provider di identità che supporti SAML 2.0 per l'autenticazione. Sebbene esistano molte guide documentate di Integrazioni, alcuni provider di identità non forniscono documentazione per l'integrazione con Zoom. Si consiglia agli account che non riescono a trovare istruzioni di configurazione di contattare il proprio provider di identità per ulteriori informazioni.

#### <mark style="color:blue;">Gli amministratori Zoom possono gestire le informazioni del profilo utente e le licenze tramite la mappatura delle risposte SAML o le integrazioni SCIM</mark>

Gli amministratori possono gestire le informazioni del profilo utente e le licenze tramite la mappatura delle risposte SAML o le richieste dell'Interface di programmazione dell'applicazione (API) di System for Cross-Domain Identity Management (SCIM), a seconda delle funzionalità disponibili dal provider di identità. Entrambi i metodi di gestione degli utenti offrono funzionalità pressoché equivalenti per la mappatura delle informazioni del profilo e la gestione delle licenze, ma alcune mappature SCIM richiedono una configurazione manuale.

Per un elenco completo delle funzionalità SCIM, consulta la nostra [documentazione API SCIM](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:blue;">Gli amministratori Zoom possono gestire lo stato dell'account utente tramite SCIM, ma non SAML</mark>

Poiché SCIM consente ai provider di identità di comunicare direttamente con Zoom in qualsiasi momento, gli account utente possono essere *attivati*, *disattivato*, *creato*, o *eliminato* tramite integrazioni SCIM automaticamente. Ad esempio, se l’account di un utente in Active Directory è disattivato oppure se gli è stata rimossa l’assegnazione dell’applicazione, SCIM può inviare una richiesta di disattivazione automatica per l’account dell’utente all’interno di Zoom. Questa Funzionalità dipende dalle funzionalità dell’applicazione SCIM del provider di identità e la funzionalità può variare a seconda del provider.

#### <mark style="color:blue;">I provider di identità limitati offrono SCIM per Zoom</mark>

Molti provider di identità non dispongono di una Integrazioni SCIM creata per Zoom come parte dei loro servizi. Gli account che usano un provider di identità che non supporta SCIM con Zoom devono usare il mapping delle risposte SAML per la Gestione degli utenti automatizzata.

#### <mark style="color:blue;">SCIM richiede un dominio associato per effettuare automaticamente il provisioning degli utenti</mark>

Account che usano SCIM per gestire e provisionare utenti per SSO **deve** associa il dominio e-mail a Zoom. La mancata associazione del dominio comporterà errori nel provisioning dell'utente. Consulta il nostro articolo di Assistenza su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per ulteriori informazioni sul processo.

#### <mark style="color:blue;">Le seguenti integrazioni SSO sono documentate</mark>

{% hint style="success" %}
**Suggerimento di Zoom**

Fai clic su ✔ nella colonna Documentazione del provider o Documentazione di Zoom per aprire una nuova finestra con le istruzioni.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentazione del provider</th><th>Documentazione di Zoom</th><th>Supporta SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>Applicativo AD Sync</td></tr><tr><td>Intelligente</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (precedentemente Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:blue;">La Active Directory on-premises può utilizzare l'Applicativo AD Sync invece di SCIM</mark>

Account che desiderano automatizzare il provisioning degli utenti tramite SCIM ma non hanno un provider di identità basato su cloud possono usare l’applicazione dello strumento di Sincronizza Active Directory (AD) sviluppata da Zoom per gestire i propri utenti. Questa applicazione viene eseguita su Oracle JDK 8 e simula il provisioning SCIM gestendo gli utenti tramite comandi API. Vedi il nostro articolo di Assistenza sull’ [Applicativo AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) per ulteriori informazioni.

{% hint style="success" %}
**Raccomandazione di Zoom**

L’Applicativo AD Sync richiede una configurazione accurata per Gestione degli utenti. Sono richiesti test approfonditi e una revisione della configurazione dell’applicativo prima di una piena implementazione per evitare interruzioni del servizio.
{% endhint %}

#### <mark style="color:blue;">I provider di identità possono persino autenticare i partecipanti alla riunione che non hanno un account Zoom</mark>

Gli account che desiderano richiedere agli utenti di autenticare la propria identità ma non intendono fornire account Zoom possono configurare un profilo di autenticazione esterna con il proprio provider di identità. Quando è abilitato per una riunione, gli utenti che tentano di partecipare devono autenticare le proprie credenziali di accesso presso il provider di identità per ottenere Access. Questa è una configurazione comune per le scuole che non forniscono account a tutti gli studenti ma richiedono l'autenticazione per partecipare alle lezioni. Consulta il nostro articolo di Assistenza su [configurando l'autenticazione esterna](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) per ulteriori informazioni.

#### <mark style="color:blue;">La modifica del provider di identità richiede di riconfigurare l'SSO all'interno di Zoom</mark>

Gli account che stanno modificando provider di identità devono rifare la configurazione SSO all'interno di Zoom. Ciò include l'aggiornamento di tutti i campi nella pagina di configurazione per farli corrispondere al nuovo provider di identità. Gli account sono invitati a confermare che le mappature delle risposte SAML non cambieranno con il nuovo provider di identità.

Non dovrebbero essere necessarie ulteriori configurazioni o modifiche, a condizione che non vi siano ulteriori modifiche.

#### <mark style="color:blue;">I Clienti con sub-account possono Configura l'SSO dall'account principale o dal sub-account</mark>

I Clienti con sub-account hanno due opzioni per Configura l'SSO:

1. Tutti gli utenti si autenticano usando l'URL personalizzato dell'account principale e accedono automaticamente al sub-account tramite mappatura SAML avanzata ([si applicano alcune limitazioni di mappatura](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); oppure
2. Ogni sub-account ha un URL personalizzato univoco e una configurazione SSO indipendente, utilizzati esclusivamente dai membri di quel sub-account

Ogni configurazione offre vantaggi unici, con la seconda opzione che offre la massima flessibilità. I Clienti che valutano l'implementazione di una delle due configurazioni dovrebbero discutere con il proprio team account quale configurazione sia la più adatta alle loro esigenze.

### Impostazioni SSO e Sicurezza

Gli amministratori di Zoom possono Scegli le opzioni ottimali di sicurezza e Impostazioni per la loro Organizzazione quando configurano un'integrazione SSO con Zoom. Questa sezione spiega queste Impostazioni e le loro implicazioni per un'integrazione SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di Impostazioni di integrazione SSO.</p></figcaption></figure>

#### <mark style="color:blue;">Zoom supporta richieste SAML di accesso e logout firmate</mark>

Gli amministratori di Zoom che richiedono ulteriore autenticazione del fornitore di servizi possono Configura Zoom per firmare tutte le richieste di accesso e logout al provider di identità.

Gli account che usano questa impostazione potrebbero richiedere una rotazione del certificato se il loro provider di identità non supporta l'aggiornamento dinamico dei metadati. Vedi il nostro articolo di Assistenza su [rotazione del certificato](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) per ulteriori informazioni.

#### <mark style="color:blue;">Zoom supporta asserzioni SAML crittografate durante l'autenticazione</mark>

Gli amministratori di Zoom possono Configura Zoom per supportare asserzioni crittografate durante l'autenticazione. Se questa impostazione è abilitata, le asserzioni non crittografate verranno scartate. Gli account che usano questa impostazione potrebbero richiedere la rotazione del certificato SSO se il loro provider di identità non supporta l'aggiornamento dinamico dei metadati. Vedi il nostro articolo di Assistenza su [rotazione del certificato](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) per ulteriori informazioni.

#### <mark style="color:blue;">Gli amministratori di Zoom possono imporre la disconnessione automatica dopo una durata definita</mark>

Gli amministratori di Zoom possono Configura Zoom in modo che disconnetta automaticamente gli utenti dalle sessioni attive dopo durate definite, personalizzabili da 15 minuti a 180 giorni. Questo processo imposterà la scadenza del token di Access di Zoom alla durata prestabilita una volta generato il token. Questo token non ha alcuna relazione con un provider di identità ed è univoco per Zoom.

#### <mark style="color:blue;">I registri delle risposte SAML possono essere salvati per la risoluzione dei problemi</mark>

Zoom può salvare i registri delle risposte SAML dei tentativi di autenticazione per sette giorni dopo un'autenticazione. Questi registri delle risposte possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione e degli errori dell'utente, oltre alle configurazioni di mapping delle risposte SAML. Rivedi la sezione su [la risoluzione dei problemi con i registri delle risposte SAML](#using-saml-response-logs-to-troubleshoot) per ulteriori informazioni.

{% hint style="success" %}
**Raccomandazione di Zoom**

Abilita il salvataggio dei registri delle risposte SAML per rendere più facile la risoluzione dei problemi.
{% endhint %}

#### <mark style="color:blue;">Il provisioning all'accesso può creare account all'istante ed è l'opzione di provisioning più semplice</mark>

Quando SSO è impostato per il provisioning *All'accesso* (noto anche come provisioning just-in-time), qualsiasi utente autorizzato all'interno del provider di identità può autenticare in Zoom. Agli utenti che non hanno un account esistente ne verrà creato uno immediatamente al momento dell'accesso.

Il provisioning al momento dell'accesso può semplificare le distribuzioni di Zoom a un'azienda consentendo agli utenti di creare i propri account al momento dell'autenticazione invece di richiedere la creazione proattiva dell'utente. In combinazione con il mapping delle risposte SAML, un intero profilo utente e la licenza sono pronti in pochi secondi dalla prima autenticazione di un utente.

Inoltre, il provisioning al momento dell'accesso può creare dinamicamente il tipo di accesso SSO per account preesistenti. Se un utente ha un account Zoom esistente con un Nome utente e una password, verrà creato un tipo di accesso SSO al momento dell'accesso con questa configurazione.

#### <mark style="color:blue;">Il provisioning prima dell'accesso richiede account pre-creati con un tipo di accesso SSO</mark>

Provisioning degli utenti per SSO *prima dell'accesso* richiede che gli utenti che si autenticano abbiano **entrambi** un account Zoom esistente e che l'account abbia creato un tipo di accesso SSO. Questo tipo di provisioning è spesso associato al provisioning SCIM a causa del processo automatizzato di creazione dell'account, ma non è esclusivo di esso. Gli utenti Zoom che unificano nell'account aziendale tramite Domini associati o un Invita diretto difficilmente avranno il tipo di accesso SSO.

Gli amministratori di Zoom possono confermare se un account ha un tipo di accesso SSO visualizzando l'account utente in [Gestione degli utenti](https://zoom.us/account/user#/) pagina all'interno del portale web e cercare l'icona “SSO” sotto l'e-mail dell'utente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Posizione dell'icona SSO sotto l'e-mail di un utente.</p></figcaption></figure>

Se l'icona è presente, l'utente è stato provisioned per SSO; se l'icona è assente, l'utente non potrà accedere tramite SSO mentre il pre-provisioning è abilitato finché non viene aggiunta. Un amministratore Zoom può aggiungere questo tipo di accesso aggiungendo utenti in blocco tramite un file CSV e selezionando l'opzione “Utente SSO”, oppure può fare in modo che l'utente si autentichi mentre Provision at Sign-in è abilitato.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio che mostra l'opzione Utente SSO per il caricamento in blocco.</p></figcaption></figure>

{% hint style="success" %}
**Raccomandazione di Zoom**

Per impedire che gli utenti non possano accedere, usa il provisioning all'accesso quando configuri SSO per la prima volta su un account. Passa al pre-provisioning se desideri, una volta confermato che i tuoi utenti sono pre-provisioned e che hai a disposizione metodi di pre-provisioning.
{% endhint %}

#### <mark style="color:blue;">Un dominio deve essere associato e gestito per imporre l'autenticazione SSO</mark>

Gli amministratori Zoom possono imporre l'autenticazione SSO *solo* se il dominio e-mail è associato e gestito all'interno di Zoom. Quando questa opzione è abilitata, tutti gli utenti che si autenticano utilizzando il/i dominio/i della tua azienda verranno automaticamente reindirizzati alla pagina di autenticazione del tuo provider di identità, indipendentemente dalla piattaforma.

Una volta che il dominio è approvato e gestito, un amministratore Zoom può imporre l'autenticazione SSO tramite la [pagina di sicurezza](https://zoom.us/account/setting/security) dell'account sotto **Metodi di accesso**. Fai riferimento al nostro articolo di assistenza su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per ulteriori informazioni sull'associazione e la gestione di un dominio.

#### <mark style="color:blue;">Utenti specificati possono essere esclusi dall'autenticazione SSO imposta</mark>

Gli amministratori Zoom possono escludere utenti specifici dall'autenticazione SSO imposta. Escludere utenti specifici (ad esempio un account amministratore) può essere utile se una configurazione SSO si interrompe e un amministratore dell'account necessita di accesso non SSO all'account Zoom. Gli admin esentati possono accedere a admin.zoom.us in qualsiasi momento in caso di blocco dell'account o configurazione SSO non funzionante (l'utente deve avere il ruolo standard di **admin** ). Se un admin Zoom non riesce ad accedere all'account, deve contattare Assistenza Zoom per ricevere aiuto.

Per abilitare un'eccezione per un utente, vai al [pagina di sicurezza](https://zoom.us/account/setting/security) dell'account nel portale web, sotto le opzioni avanzate, individua l'elenco dei domini imposti e aggiungi un'eccezione tramite l'elenco di modifica.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio di elenco dei domini per SSO.</p></figcaption></figure>

#### <mark style="color:blue;">I client mobili e desktop possono essere configurati per richiedere agli utenti di usare l'autenticazione SSO</mark>

I client Zoom possono essere preconfigurati per automatizzare la funzionalità SSO, inclusi accesso automatico, disconnessione automatica, autenticazione solo SSO sul dispositivo e altro tramite Criteri di gruppo, servizi di gestione dei dispositivi mobili (MDM) e client di distribuzione di massa.

Per un elenco completo delle possibilità di configurazione, fai riferimento alle nostre opzioni di configurazione per [Criteri di gruppo](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) e [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:blue;">Gli utenti di Office 365 possono accedere automaticamente al componente aggiuntivo Zoom per Outlook usando le credenziali SSO</mark>

I clienti che utilizzano Office 365 possono effettuare automaticamente l'accesso dei propri utenti al componente aggiuntivo Zoom per Outlook usando le credenziali SSO. Questo può essere abbinato a un [manifest del componente aggiuntivo personalizzato](https://support.zoom.us/hc/en-us/articles/360041403311) che precompila l'URL personalizzato dell'account, creando un'esperienza di autenticazione fluida per gli utenti. Questa funzionalità usa il token di sessione SSO dell'utente se è attivo, oppure richiederà una nuova autenticazione con il tuo provider di identità se non viene trovata alcuna sessione attiva.

Un admin Zoom può abilitare questa impostazione nella [pagina di sicurezza](https://zoom.us/account/setting/security) dell'account sotto il **menu avanzato** .

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di impostazione admin per SSO con il componente aggiuntivo di Outlook.</p></figcaption></figure>

### Mappatura della risposta SAML

Gli attributi SAML sono categorie di dati definite dai valori SAML e vengono utilizzati per trasferire informazioni dal provider di identità a un fornitore di servizi come Zoom. La mappatura di attributi e valori è essenziale per automatizzare le informazioni del profilo utente e gestire le licenze degli utenti.

La mappatura della risposta SAML è suddivisa in due parti: *di base* e *menu avanzato*. La mappatura di base viene utilizzata per mappare le informazioni di base del profilo, inclusi nome, numero di telefono, dipartimento, ecc. La mappatura avanzata viene utilizzata per gestire assegnazioni dinamiche di licenze, assegnazione di gruppi di utenti, ruoli utente e altro.

Questa sezione copre i fondamenti della mappatura della risposta SAML, la mappatura della risposta SAML di base e avanzata, e mette in evidenza le condizioni uniche richieste per alcune funzionalità.

#### <mark style="color:blue;">Fondamenti: attributi e valori SAML</mark>

La maggior parte dei provider di identità trasmette informazioni di base del profilo usando nomi e valori di attributi semplici. Ad esempio, il dipartimento di un dipendente può arrivare tramite SAML con un attributo department e un valore Human Resources. La seguente tabella mostra la relazione tra attributi e valori quando si trasmettono informazioni su un utente.

| Attributo SAML | Valore SAML                    |
| -------------- | ------------------------------ |
| nome           | John                           |
| cognome        | Smith                          |
| e-mail         | <john.smith@companydomain.com> |
| dipartimento   | Risorse Umane                  |

Assegnando correttamente un attributo SAML a una mappatura di risposta, le informazioni dell'utente possono essere applicate automaticamente a un profilo utente per semplificare il processo di creazione e gestione dell'account.

#### <mark style="color:blue;">Basic Mapping: Informazioni del profilo</mark>

SAML Basic Information Mapping viene utilizzato per applicare informazioni del profilo come nome, cognome, reparto, numero di telefono, centro di costo e Posizione da una directory al profilo di un utente. Molte di queste categorie sono autoesplicative e possono essere configurate facilmente; tuttavia, alcune categorie richiedono una spiegazione per una configurazione corretta per bloccare conseguenze impreviste o errori dell'applicazione. La sezione seguente evidenzia opzioni di mapping uniche e Impostazioni di configurazione per il mapping di base. Fare riferimento al nostro [articolo Basic SAML Mapping](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) per un elenco completo degli attributi supportati.

#### <mark style="color:blue;">Il tipo di licenza predefinito si applica solo a</mark> *<mark style="color:blue;">nuovi utenti</mark>*

L'opzione del tipo di licenza predefinito applicherà la licenza designata a tutti gli *nuovi* utenti che vengono provisionati all'interno dell'account tramite SAML. Questo non si applica agli utenti che si autenticano per la seconda volta, agli utenti che sono confluiti nell'account da un account precedente, agli utenti che vengono provisionati tramite SCIM o agli utenti che sono stati invitati manualmente.

Per informazioni su *l'aggiornamento* Per le licenze utente con autenticazione, fare riferimento alla configurazione della licenza in [Mapping SAML avanzato](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blue;">Un tipo di licenza predefinito di</mark> *<mark style="color:blue;">Nessuno</mark>* <mark style="color:blue;">non consentirà ai nuovi utenti di autenticarsi a meno che il mapping avanzato non sia configurato per assegnare una licenza</mark>

Gli utenti Zoom devono avere un tipo di licenza assegnato (Basic, Concesso in licenza o in sede) per accedere al servizio Zoom. Se viene selezionato un tipo di licenza predefinito Nessuno, i nuovi utenti non possono accedere o creare un nuovo account a meno che non ricevano una licenza tramite [Mapping SAML avanzato](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blue;">La maggior parte delle mappature di base verrà riapplicata al login, salvo diversa indicazione</mark>

La maggior parte delle mappature SAML di base verrà aggiornata ogni volta che un utente accede, per impostazione predefinita, *eccetto* *per* nome, cognome, nome da mostrare e Numeri telefonici. Per impostazione predefinita, queste quattro mappature si applicheranno solo la prima volta che un utente si autentica e non verranno riapplicate, anche se Modifica da un utente o da un admin. Gli amministratori Zoom possono Modifica questo comportamento abilitando l'opzione per **Aggiorna a ogni accesso SSO** nella pagina di mappatura della risposta SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio dell'opzione Aggiorna a ogni accesso SSO.</p></figcaption></figure>

#### <mark style="color:blue;">Le mappature dei Numeri telefonici devono includere un prefisso nazionale e il prefisso di zona se al di fuori degli Stati Uniti</mark>

I Numeri telefonici mappati tramite SAML dovrebbero includere il prefisso nazionale e il prefisso di zona dell'utente nell'asserzione SAML, quando possibile. Zoom presumerà un prefisso nazionale di +1 se non definito per impostazione predefinita.

Gli account che non mantengono i prefissi nazionali nella propria directory possono Modifica le proprie asserzioni SAML all'interno del provider di identità per includerli automaticamente, se necessario.

#### <mark style="color:blue;">Ogni utente può avere fino a tre Numeri telefonici e un numero di fax mappati al proprio profilo</mark>

Gli amministratori Zoom possono Configura fino a tre mappature separate di Numeri telefonici e un numero di fax per ciascun utente. Ogni numero di telefono deve essere univoco e non può duplicare il valore di un altro campo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio delle opzioni di Numero telefonico per ciascun utente.</p></figcaption></figure>

#### <mark style="color:blue;">Le immagini del profilo devono essere mappate da un URL accessibile pubblicamente oppure codificate con Base64</mark>

Gli account che desiderano mappare le immagini del profilo dalla propria directory devono mappare le immagini usando un URL accessibile pubblicamente oppure codificare l'immagine in Base64 durante l'asserzione.

#### ID univoco dipendente

<mark style="color:blue;">**L’ID univoco del dipendente modifica l’identificativo primario che Zoom usa per identificare gli utenti**</mark>

Il *ID univoco dipendente* è una Funzionalità offerta da Zoom per assistere nella gestione dell'identità. Per impostazione predefinita, l'identificazione principale per un utente Zoom è il suo **e-mail** **indirizzo**. Ciò significa che se il tipo di accesso e-mail di lavoro è **<john.smith@company.com>**, allora Zoom identificherà sempre questo utente tramite quell'indirizzo e-posta. Questo identificativo è ciò che consente a integrazioni come SSO o agli account OAuth di Facebook e Google di associare l'utente allo stesso account Zoom.

Tuttavia, questo processo di identificazione può essere problematico se il nome di un utente o la sua e-mail cambia. Ad esempio, se **<john.smith@company.com>** ha una modifica dell'e-mail a **<jonathan.smith@company.com>**, Zoom non può determinare in modo sicuro che si tratti della stessa persona (perché l'identificativo fondamentale è diverso), quindi Zoom creerà un nuovo account la prima volta che **<jonathan.smith@company.com>** accede.

Per semplificare questo problema, Zoom offre la Funzionalità ID dipendente univoco, che modifica l'identificativo primario di un utente dal suo indirizzo e-mail a un ID univoco stabilito. *Questo non modifica il Nome utente di Zoom di un utente*, ma offre invece un attributo identificativo alternativo. Questa Modifica consente a Zoom di aggiornare dinamicamente l'indirizzo e-mail di un utente all'interno di Zoom se:

* un *nuovo* l’indirizzo e-mail è accompagnato da un noto ID Unico dipendente; e
* il dominio e-mail dell’utente interessato è associato all’interno di Zoom

Ad esempio, se **<john.smith@company.com>** si autentica e fornisce un valore SAML di 12345 (il proprio numero dipendente) per l’attributo ID Unico dipendente, Zoom identificherà ora l’utente all’interno dell’account in base al valore dichiarato. Se John si autentica di nuovo usando l’e-mail **<jonathan.smith@company.com>** pur continuando a fornire l’ID Unico dipendente di 12345, Zoom identificherà che <john.smith@company.com> ora è **<jonathan.smith@company.com>** e aggiornerà dinamicamente l’e-mail dell’utente all’interno dell’account se il dominio è associato.

Gli amministratori dell’identità dovrebbero essere *certi* che nessun due utenti si sovrapporrà con lo stesso valore di ID Unico dipendente prima di stabilire il mapping SAML per questa categoria. Se un altro utente si autentica e fornisce lo stesso valore, l’e-mail verrà aggiornata di nuovo al nuovo utente e può causare notevoli interruzioni ai servizi e all’esperienza dell’utente.

<mark style="color:blue;">**La Funzionalità ID Unico dipendente richiede Domini associati per Modifica l’e-mail di un utente**</mark>

La Funzionalità di ID univoco del dipendente non può aggiornare l’indirizzo e-mail di un utente a meno che il dominio e-mail non sia ufficialmente associato al profilo dell'account. Consulta il nostro articolo di Assistenza su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per ulteriori informazioni.

<mark style="color:blue;">**Gli amministratori e i proprietari non possono aggiornare la loro e-mail tramite l'ID univoco del dipendente**</mark>

Le e-mail di admin e Titolare all'interno di Zoom non possono essere aggiornate tramite la Funzionalità ID univoco dipendente. Ciò è previsto come misura di sicurezza per bloccare accessi non autorizzati. Gli admin e i Titolari devono effettuare la Modifica della propria e-mail tramite la pagina del profilo.

<mark style="color:blue;">**Le email dell’utente possono essere aggiornate solo una volta al giorno tramite l’ID univoco del dipendente**</mark>

Le e-mail dell’utente possono essere aggiornate solo una volta ogni 24 ore tramite la Funzionalità ID univoco del dipendente. Un utente deve attendere un intero giorno di calendario dall’aggiornamento precedente prima di aggiornare di nuovo la propria e-mail tramite SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramma di un flusso di esempio per l'aggiornamento delle email dell'utente.</p></figcaption></figure>

<mark style="color:blue;">**Impostando l'attributo SAML su \<NameID> verrà utilizzato il NameID asserito dell'utente**</mark>

Mappatura dell'attributo SAML ID univoco del dipendente a **\<NameID>** utilizzerà automaticamente il valore NameID asserito dell’utente come identificativo univoco. Questo può essere uno strumento vantaggioso se il tuo provider di identità asserisce un NameID diverso dall’e-mail dell’utente, come un User Principal Name (UPN) o un valore simile che non cambia. Non usare questo valore se i NameID degli utenti corrispondono alla loro e-mail.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio dell'impostazione admin &#x3C;NameID>.</p></figcaption></figure>

### Mappatura avanzata: licenze, componenti aggiuntivi e Access

La sezione Mappatura delle informazioni avanzate SAML può applicare dinamicamente licenze (incluso Zoom Phone), componenti aggiuntivi e gruppi di Access degli utenti agli utente mentre si autenticano. A differenza della mappatura di base, la mappatura avanzata contiene molte sfumature che possono richiedere un'attenzione diligente durante la configurazione, a seconda della complessità del proprio ambiente. Questa sezione evidenzia le sfumature per configurare la mappatura avanzata SAML. Fare riferimento al nostro [articolo sulla mappatura avanzata SAML](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) per un elenco completo degli attributi supportati.

#### <mark style="color:blue;">La mappatura avanzata si applica ogni volta che un utente si autentica</mark>

A differenza della mappatura di base, che prevede aggiornamenti Facoltativo per alcune categorie, le configurazioni di mappatura avanzata si applicheranno ogni volta che un utente si autentica, in base all'ordine di applicazione dall'alto verso il basso.

Ad esempio, se un utente ha una licenza di base e poi si autentica tramite SSO passando un attributo e un valore SAML mappati all'assegnazione di una licenza completa, all'utente verrà immediatamente assegnata la licenza completa. Se il profilo dell'utente viene poi modificato all'interno del provider di identità per riportarlo a una licenza di base, gli verrà riassegnata la licenza di base una volta eseguita nuovamente l'autenticazione in Zoom.

#### <mark style="color:blue;">La mappatura avanzata consente più attributi e valori SAML per categoria</mark>

A differenza della mappatura di base, che consente un solo attributo SAML per categoria, la mappatura avanzata può supportare più attributi e valori per ciascuna categoria. Ciò offre una notevole flessibilità nella gestione della licenza e dell'Access degli utente tramite gruppi di sicurezza all'interno del provider di identità, come mostrato nella seguente configurazione.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di mappatura degli attributi per SAML.</p></figcaption></figure>

{% hint style="success" %}
**Suggerimento di Zoom**

Gli attributi SAML possono variare a seconda del provider di identità, in particolare per i gruppi di sicurezza. Confermare con il provider di identità o tramite [i registri delle risposte SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) come vengono dichiarati gli attributi SAML.
{% endhint %}

#### <mark style="color:blue;">La mappatura avanzata applica le licenze dall’alto verso il basso quando vengono dichiarati più attributi</mark>

Se un utente passa più attributi SAML o valori configurati per la mappatura avanzata SAML, Zoom mapperà le licenze dall’alto verso il basso. Vedere l’esempio seguente:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di selezione del tipo di licenza nelle Impostazioni admin.</p></figcaption></figure>

In base alla configurazione sopra, se un utente dovesse passare un attributo per entrambi **global\_users** e **marketing**, perché **marketing** è il più alto nella configurazione, questo attributo verrà applicato all'utente e gli altri attributi applicabili verranno ignorati.

In alternativa, se la configurazione è stata impostata con **global\_users** come il più alto, come si vede nella seguente schermata, se l'asserzione di un utente conteneva **global\_users**, **marketing**, **umano** **risorse**, e **IT**, perché **global\_users** ha la massima priorità, verrà asserita solo una licenza Basic.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di regolazione dell'ordine di priorità</p></figcaption></figure>

Gli amministratori di Zoom possono regolare l'ordine di applicazione quando modificano i valori di mappatura usando le frecce ↑↓ all'interno dell'editor.

{% hint style="success" %}
**Raccomandazione di Zoom**

Configura le configurazioni avanzate dalla più specifica alla più generale per bloccare un'applicazione errata della licenza.
{% endhint %}

#### <mark style="color:blue;">Le mappature di webinar e Grande riunione possono condividere un valore comune per applicare entrambi gli Aggiungi-on</mark>

Per semplificare il processo di applicazione, gli amministratori di Zoom possono Configura lo stesso attributo SAML e valore due volte per applicare sia i componenti aggiuntivi webinar sia quelli Grande riunione agli utenti, come mostrato nella seguente immagine con il **global\_users** valore. Questi componenti aggiuntivi possono anche essere configurati in modo indipendente, se lo si desidera, come mostrato con il **solo webinar** e **solo\_riunione\_grande** valori.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di attributi SAML per large_riunione_only e webinar_only.</p></figcaption></figure>

#### <mark style="color:blue;">Gli utenti possono essere aggiunti a più gruppi di utenti utilizzando un solo valore SAML</mark>

Gli amministratori di Zoom possono Configura il mapping del gruppo utente per Aggiungi un utente a più gruppi con un valore SAML.

Il primo gruppo di utenti aggiunto verrà impostato come Gruppo principale dell’utente e determinerà le Impostazioni predefinite dell’utente *a meno che un gruppo sottostante non abbia un’Impostazione bloccata*. Per ulteriori informazioni sui Gruppi di utenti, consultare il nostro [articolo di Assistenza](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di mappatura di più Gruppi di utenti.</p></figcaption></figure>

#### <mark style="color:blue;">Gli utenti specificati e i Gruppi di utenti possono essere esentati da mappature SAML specifiche</mark>

Tutte le opzioni in Mapping SAML avanzato possono essere configurate per esentare utenti specifici e Gruppi di utenti dal comportamento di mappatura. Questo può essere utile per prevenire interruzioni del servizio per gli utenti VIP a causa di una potenziale Modifica della licenza.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di esenzioni per gli utenti.</p></figcaption></figure>

#### <mark style="color:blue;">La mappatura automatica Assegna automaticamente gli utenti a un utente, a un canale o a un gruppo IM denominato in base al rispettivo valore SAML dichiarato, se il valore non è stato precedentemente mappato a un gruppo</mark>

La mappatura automatica può essere utilizzata per Assegna automaticamente gli utenti a un Gruppo di utenti, a un canale e a un Gruppo IM denominati in base al rispettivo valore SAML dichiarato. A differenza di altri componenti di mappatura avanzata, che possono essere configurati per Assegna un utente a qualsiasi gruppo in base al valore SAML, la mappatura automatica Assegna sempre un utente a un gruppo in base all’esatto valore SAML. Se il gruppo non esisteva in precedenza, verrà creato automaticamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di mappatura automatica SAML.</p></figcaption></figure>

Ad esempio, se la Mappatura automatica è impostata per assegnare un utente ai gruppi in base al reparto di appartenenza, se il valore del reparto non è già definito per il gruppo utenti, il canale o il gruppo IM, gli utenti verranno assegnati automaticamente a un gruppo che corrisponde al nome del loro reparto, come mostrato nella tabella seguente:

| Attributo SAML | Valore SAML     | Il gruppo Zoom esiste già? | Risultato                                                                                   |
| -------------- | --------------- | -------------------------- | ------------------------------------------------------------------------------------------- |
| Reparto        | Risorse Umane   | Sì                         | Utente aggiunto al gruppo Risorse umane                                                     |
| Reparto        | Marketing       | Sì                         | Utente aggiunto al gruppo Marketing                                                         |
| Reparto        | Reparto vendite | No                         | Il gruppo del Reparto vendite è stato creato, utente aggiunto al gruppo del Reparto vendite |

#### Zoom supporta fino a cinque attributi SAML personalizzati

Gli amministratori di Zoom possono Configura fino a *cinque* attributi SAML personalizzati per aggiungere i dati utente al proprio profilo Zoom nella [Gestione degli utenti avanzata](https://zoom.us/account/user#/advanced) pagina. Dopo aver aggiunto i campi personalizzati, gli amministratori di Zoom possono Configura la mappatura sulla [Mappatura della risposta SAML](https://zoom.us/account/sso/mapping) pagina.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio di attributi SAML personalizzati</p></figcaption></figure>

#### <mark style="color:blue;">La mappatura degli utenti a un sub-account</mark> *<mark style="color:blue;">solo</mark>* <mark style="color:blue;">applicherà una licenza riunione e componenti aggiuntivi</mark>

La mappatura di un utente a un sub-account applicherà al sub-account solo la licenza riunione dell’utente e componenti aggiuntivi come Webinar e Riunioni grandi. Gruppi di utenti, gruppi IM, ruoli utente, ecc. non verranno applicati e devono essere configurati all’interno del sub-account.

I clienti che richiedono maggiore flessibilità per la mappatura delle risposte SAML con i sub-account avranno bisogno di un URL personalizzato univoco e di una nuova configurazione SSO all’interno del sub-account.

### Risoluzione dei problemi di SSO

#### <mark style="color:blue;">Uso dei registri delle risposte SAML per la risoluzione dei problemi</mark>

I registri delle risposte SAML salvati possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione e degli errori utente, oltre che per le configurazioni di mappatura delle risposte SAML. Se la configurazione SSO è impostata per salvare i registri delle risposte SAML, è possibile accedervi tramite la [scheda Registro delle risposte SAML](https://zoom.us/account/sso/saml_logs) disponibile nella pagina di configurazione SSO in Impostazioni avanzate. Per visualizzare i registri delle risposte SAML, fare clic su **Mostra dettagli** accanto a un tentativo di autenticazione.

#### <mark style="color:blue;">La maggior parte delle autenticazioni verrà mostrata nei registri delle risposte</mark>

La maggior parte dei tentativi di autenticazione non riusciti o falliti verrà mostrata nella pagina dei registri delle risposte. Se un tentativo di autenticazione non viene mostrato, è molto probabile che Zoom non abbia ricevuto un’asserzione SAML dal provider di identità oppure che il salvataggio dei registri delle risposte SAML sia disattivato.

#### <mark style="color:blue;">I registri delle risposte possono indicare se la configurazione non è corretta o se il certificato è obsoleto</mark>

Quando i registri delle risposte SAML sono abilitati, le informazioni del provider di identità vengono asserite a Zoom per autenticare le identità di ciascuna parte. Se un’impostazione asserita o una stringa di informazioni, come il certificato X509 o l’ID dell’emittente, è diversa dalla configurazione attuale di Zoom, verrà visualizzato un errore che indica che le informazioni “non corrispondono alle impostazioni SSO correnti”. Un amministratore Zoom può aggiornare la configurazione SSO in modo che corrisponda a questi valori asseriti, se sono corretti, per risolvere l’errore.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di avvisi di configurazione non corretta.</p></figcaption></figure>

#### <mark style="color:blue;">I registri delle risposte indicano quali valori e attributi SAML vengono asseriti</mark>

La revisione dei registri delle risposte può aiutare a risolvere le configurazioni di mappatura delle risposte SAML verificando quali attributi e valori vengono asseriti dagli utenti durante l’autenticazione. Questi possono essere confrontati con la configurazione per assicurarsi che gli attributi e i valori corrispondano.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di informazioni asserite dal servizio del provider di identità.</p></figcaption></figure>

Se gli attributi o i valori SAML mancano, le informazioni non vengono asserite dal servizio del provider di identità. Agli utenti che riscontrano questo problema si consiglia di contattare il servizio di Assistenza del provider di identità per ulteriore supporto.

#### <mark style="color:blue;">I registri delle risposte includono un codice di errore e una breve spiegazione, se il tentativo non è riuscito</mark>

Se un utente non riesce ad autenticare o riceve un errore, i registri delle risposte SAML contengono un codice di errore e una breve spiegazione dell’errore.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di codice di errore e spiegazione.</p></figcaption></figure>

La maggior parte dei problemi può essere identificata e risolta utilizzando questi messaggi di errore. Se non riesci a risolvere l’errore, contatta l’Assistenza Zoom per ulteriore supporto.

#### <mark style="color:blue;">Errori ID di tracciamento Web</mark>

Se un utente non supera l’autenticazione SSO, riceverà un codice di errore WEB Tracking ID. Questi codici non sono un messaggio di errore relativo a un fallimento specifico, ma un ID di log univoco che può essere esaminato in SAML Response Mapping per identificare i problemi di autenticazione.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di errore visibile all’utente con un codice di errore WEB Tracking ID.</p></figcaption></figure>

Per identificare l’errore, se la registrazione delle risposte SAML è abilitata, vai alla [scheda Registro delle risposte SAML](https://zoom.us/account/sso/saml_logs) scheda disponibile nella pagina di configurazione SSO in Impostazioni avanzate. Da lì, inserisci il WEB tracking ID nel campo Tracking ID e cerca per popolare il registro delle risposte

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di ricerca nel Registro delle risposte SAML con il suddetto codice di errore WEB Tracking ID.</p></figcaption></figure>

I registri delle risposte SAML dovrebbero mostrare l’asserzione SAML e un codice di errore e un messaggio nella parte inferiore della risposta che possono essere utilizzati per ulteriori attività di risoluzione dei problemi.

### Errori SCIM

#### <mark style="color:blue;">L’utente non esiste o non appartiene a questo account</mark>

Questo errore si verifica quando l’indirizzo e-mail di un utente di destinazione non riesce a essere provisionato a causa di un account già esistente. Si consiglia agli amministratori Zoom di contattare direttamente l’utente e invitarlo manualmente all’account.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di errore di provisioning.</p></figcaption></figure>

#### <mark style="color:blue;">Non puoi aggiungere utenti a pagamento</mark>

Questo errore si verifica quando SCIM tenta di effettuare il provisioning di un utente quando non ci sono licenze sufficienti nell’account. Per risolvere l’errore, l’utente deve essere provisionato come utente Basic, oppure deve essere resa disponibile una licenza per il provisioning.

### Uso dei log SCIM per la risoluzione dei problemi di provisioning degli utenti

Zoom fornisce i 100 log di richiesta API più recenti in [Zoom Marketplace](https://marketplace.zoom.us/). Un amministratore Zoom può utilizzare questi log per confermare quali informazioni vengono inviate e ricevute tramite le API di provisioning. Per accedere ai log, accedi a Zoom Marketplace come amministratore Zoom e fai clic su **Gestisci**. Nella pagina seguente, seleziona **Log delle chiamate** dell'account sotto **Gestione app personali**. Da lì, fai clic su una voce per espandere i log API e rivedere il contenuto.

L’immagine seguente mostra un esempio di una richiesta di provisioning utente SCIM, con gli attributi di identità e di licenza dell’utente evidenziati per riferimento.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di richiesta di provisioning utente SCIM.</p></figcaption></figure>

Come la mappatura delle risposte SAML, Zoom può applicare solo le informazioni inviate dal provider di identità nella richiesta di provisioning. Usa questi log per confermare che gli attributi di identità e di licenza dell’utente vengano inviati dal provider di identità. Se le informazioni previste mancano da queste asserzioni, contatta il tuo provider di identità per assistenza.

### Flussi di dati e autenticazione

#### <mark style="color:blue;">Autenticazione SAML</mark>

Il seguente diagramma illustra nel dettaglio il flusso di autenticazione SAML di un utente quando avvia una sessione Single Sign-On con Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramma di un esempio di flusso di autenticazione SAML.</p></figcaption></figure>

#### <mark style="color:blue;">Token di accesso web SSO</mark>

Dopo che un utente si autentica tramite SAML, la sessione dell'utente viene creata all'interno del suo browser e ha

una durata di due ore per impostazione predefinita. Se l'utente continua a usare attivamente la propria pagina web Zoom, la sessione si aggiornerà; tuttavia, se l'utente non usa la propria pagina web per due ore, il token scadrà e l'utente dovrà eseguire nuovamente l'autenticazione. Gli amministratori Zoom possono configurare la durata di questa sessione attiva nella [Sicurezza](https://zoom.us/account/setting/security) pagina, sotto Gli utenti devono accedere di nuovo dopo un periodo di inattività e **Imposta il periodo di inattività sul web (minuti)**.

#### <mark style="color:blue;">Token di accesso del client</mark>

Quando un utente tenta di autenticarsi tramite SSO all'interno di un client, il computer dell'utente aprirà un browser e lo reindirizzerà alla pagina di accesso del provider di identità. Dopo che un utente si autentica, il browser dell'utente riceverà un token di avvio del client Zoom. Una volta che l'utente fa clic sul pulsante “apri” o “avvia”, il browser usa lo schema URL combinato con il token di avvio per aprire il client Zoom.

Il client Zoom userà il token di avvio per ottenere il token di accesso e il token di aggiornamento dal server Zoom. Il client userà il token di accesso per un periodo di due ore alla volta e, alla scadenza, userà il token di aggiornamento per ottenere un nuovo insieme di token, che vengono archiviati nel database locale del client. Questo processo di aggiornamento è illimitato per impostazione predefinita e può continuare a ciclare tra i token finché un utente non esegue la disconnessione o i token non scadono. Gli amministratori Zoom possono personalizzare la durata della sessione nella [Impostazioni SSO](https://zoom.us/account/sso) pagina sotto [*forza disconnessione automatica*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://library.zoom.com/technical-library/it/angolo-admin/account-and-endpoint-management/sso-field-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.