# Guida sul campo SSO

### Introduzione

L’integrazione del single sign-on (SSO) con Zoom offre agli amministratori opzioni di gestione utenti e sicurezza che possono semplificare la gestione dell’account. Una volta configurato, gli utenti si autenticano utilizzando le credenziali aziendali presso il provider di identità della tua azienda invece di utilizzare metodi di autenticazione alternativi come integrazioni con Google o Facebook, o un nome utente e una password diretti con Zoom.

Questo documento fornisce una panoramica completa delle configurazioni e delle impostazioni SSO all’interno di Zoom, oltre a informazioni su risoluzione dei problemi e sicurezza.

### Integrazioni SSO

#### <mark style="color:blu;">Per iniziare, l’SSO richiede un Vanity URL</mark>

Un account deve avere un Vanity URL approvato prima di configurare l’SSO. Una volta approvato il Vanity URL, gli amministratori Zoom possono accedere alla [configurazione SSO](https://zoom.us/account/sso) pagina tramite il sottomenu opzioni avanzate nel portale web. Consulta il nostro articolo di supporto su [Vanity URL](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) per maggiori informazioni.

#### <mark style="color:blu;">Zoom SSO funziona con qualsiasi provider di identità SAML 2.0</mark>

Zoom può integrarsi con qualsiasi provider di identità che supporti l’autenticazione Security Assertion Markup Language (SAML) 2.0. Sebbene esistano molte guide all’integrazione documentate, alcuni provider di identità non forniscono documentazione per l’integrazione con Zoom. Agli account che non riescono a trovare istruzioni di configurazione si consiglia di rivolgersi al proprio provider di identità per ulteriori informazioni.

#### <mark style="color:blu;">Gli amministratori Zoom possono gestire le informazioni del profilo utente e le licenze tramite il mapping della risposta SAML o integrazioni SCIM</mark>

Gli amministratori possono gestire le informazioni del profilo utente e le licenze tramite il mapping della risposta SAML o richieste API del System for Cross-Domain Identity Management (SCIM), a seconda delle funzionalità offerte dal provider di identità. Entrambi i metodi di gestione utenti offrono funzionalità quasi equivalenti per il mapping delle informazioni del profilo e la gestione delle licenze, ma alcuni mapping SCIM richiedono configurazione manuale.

Per un elenco completo delle capacità SCIM, consulta la nostra [documentazione API SCIM](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User).

#### <mark style="color:blu;">Gli amministratori Zoom possono gestire lo stato dell’account utente tramite SCIM, ma non tramite SAML</mark>

Poiché SCIM consente ai provider di identità di comunicare direttamente con Zoom in qualsiasi momento, gli account utente possono essere *attivati*, *disattivati*, *creati*, o *eliminati* tramite integrazioni SCIM in modo automatico. Ad esempio, se l’account di un utente in Active Directory viene disabilitato o se gli viene revocata l’assegnazione dell’applicazione, SCIM può inviare automaticamente una richiesta di disattivazione per l’account dell’utente in Zoom. Questa funzione dipende dalle capacità dell’applicazione SCIM del provider di identità e la funzionalità può variare a seconda del provider.

#### <mark style="color:blu;">Pochi provider di identità offrono SCIM per Zoom</mark>

Molti provider di identità non dispongono di un’integrazione SCIM progettata per Zoom come parte dei loro servizi. Gli account che utilizzano un provider di identità che non supporta SCIM con Zoom devono utilizzare il mapping della risposta SAML per la gestione utenti automatizzata.

#### <mark style="color:blu;">SCIM richiede un dominio associato per il provisioning automatico degli utenti</mark>

Gli account che utilizzano SCIM per gestire e fornire utenti per l’SSO **devono** associare il dominio e-mail con Zoom. La mancata associazione del dominio comporterà errori nel provisioning degli utenti. Consulta il nostro articolo di supporto su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per maggiori informazioni sul processo.

#### <mark style="color:blu;">Le seguenti integrazioni SSO sono documentate</mark>

{% hint style="success" %}
**Suggerimento Zoom**

Fai clic sulla ✔ nella colonna Provider o Documentazione Zoom per aprire una nuova finestra con le istruzioni.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentazione del provider</th><th>Documentazione Zoom</th><th>Supporta SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>Applicativo AD Sync</td></tr><tr><td>Clever</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (ex Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:blu;">Active Directory in sede può usare l’Applicativo AD Sync invece di SCIM</mark>

Gli account che desiderano automatizzare il provisioning utenti tramite SCIM ma non dispongono di un provider di identità basato su cloud possono utilizzare l’applicazione Active Directory (AD) Sync Tool sviluppata da Zoom per gestire i propri utenti. Questa applicazione funziona su Oracle JDK 8 e simula il provisioning SCIM gestendo gli utenti tramite comandi API. Consulta il nostro articolo di supporto su [Applicativo AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) per maggiori informazioni.

{% hint style="success" %}
**Raccomandazione Zoom**

L’Applicativo AD Sync richiede una configurazione precisa per la gestione utenti. È necessaria un’accurata verifica e test della configurazione dello strumento prima della piena implementazione per evitare interruzioni del servizio.
{% endhint %}

#### <mark style="color:blu;">I provider di identità possono persino autenticare i partecipanti a una riunione che non hanno un account Zoom</mark>

Gli account che vogliono richiedere agli utenti di autenticare la loro identità ma che non desiderano fornire account Zoom possono configurare un profilo di autenticazione esterno con il proprio provider di identità. Quando abilitata per una riunione, gli utenti che tentano di partecipare devono autenticare le proprie credenziali di accesso presso il provider di identità per ottenere l’accesso. Questa è una configurazione comune per le scuole che non forniscono account a tutti gli studenti ma richiedono l’autenticazione per partecipare alle lezioni. Consulta il nostro articolo di supporto su [configurare l’autenticazione esterna](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) per maggiori informazioni.

#### <mark style="color:blu;">Cambiare il provider di identità richiede di riconfigurare l’SSO in Zoom</mark>

Gli account che cambiano provider di identità devono rifare la configurazione SSO all’interno di Zoom. Ciò include l’aggiornamento di tutti i campi nella pagina di configurazione per corrispondere al nuovo provider di identità. Si consiglia agli account di confermare che i mapping della risposta SAML non cambieranno con il nuovo provider di identità.

Non dovrebbero essere richieste ulteriori configurazioni o modifiche, assumendo che non ci siano cambiamenti aggiuntivi.

#### <mark style="color:blu;">I clienti con sottoconti possono configurare l’SSO dall’account principale o dal sottoconto</mark>

I clienti con sottoconti hanno due opzioni per la configurazione dell’SSO:

1. Tutti gli utenti si autenticano utilizzando il Vanity URL dell’account principale e vengono automaticamente connessi al sottoconto tramite mapping SAML avanzato ([si applicano alcune limitazioni di mapping](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); oppure
2. Ogni sottoconto ha un Vanity URL unico e una configurazione SSO indipendente, utilizzata esclusivamente dai membri di quel sottoconto

Ogni configurazione offre vantaggi unici, con la seconda opzione che offre la massima flessibilità. I clienti che stanno valutando l’implementazione di una delle due configurazioni dovrebbero discuterne con il team account per determinare quale configurazione sia più adatta alle loro esigenze.

### Impostazioni e sicurezza SSO

Gli amministratori Zoom possono scegliere le opzioni di sicurezza e impostazioni ottimali per la loro organizzazione quando configurano un’integrazione SSO con Zoom. Questa sezione spiega queste impostazioni e le loro implicazioni per un’integrazione SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di impostazioni di integrazione SSO.</p></figcaption></figure>

#### <mark style="color:blu;">Zoom supporta richieste SAML di accesso e disconnessione firmate</mark>

Gli amministratori Zoom che richiedono un’autenticazione aggiuntiva del service provider possono configurare Zoom per firmare tutte le richieste di accesso e disconnessione indirizzate al provider di identità.

Gli account che utilizzano questa impostazione potrebbero richiedere una rotazione del certificato se il loro provider di identità non supporta l’aggiornamento dinamico dei metadata. Consulta il nostro articolo di supporto su [rotazione del certificato](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) per maggiori informazioni.

#### <mark style="color:blu;">Zoom supporta asserzioni SAML crittografate durante l’autenticazione</mark>

Gli amministratori Zoom possono configurare Zoom per supportare asserzioni crittografate durante l’autenticazione. Se questa impostazione è abilitata, le asserzioni non crittografate verranno scartate. Gli account che utilizzano questa impostazione potrebbero richiedere la rotazione del certificato SSO se il loro provider di identità non supporta l’aggiornamento dinamico dei metadata. Consulta il nostro articolo di supporto su [rotazione del certificato](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) per maggiori informazioni.

#### <mark style="color:blu;">Gli amministratori Zoom possono imporre la disconnessione automatica dopo una durata definita</mark>

Gli amministratori Zoom possono configurare Zoom per disconnettere automaticamente gli utenti dalle sessioni attive dopo durate di tempo predefinite, personalizzabili da 15 minuti fino a 180 giorni. Questo processo imposterà il token di accesso Zoom per scadere alla durata predeterminata una volta generato il token. Questo token non ha alcuna relazione con un provider di identità ed è unico per Zoom.

#### <mark style="color:blu;">I log delle risposte SAML possono essere salvati per la risoluzione dei problemi</mark>

Zoom può salvare i log delle risposte SAML dai tentativi di autenticazione per sette giorni dopo un’autenticazione. Questi log di risposta possono essere uno strumento prezioso per risolvere problemi di configurazione e errori utente, oltre ai mapping delle risposte SAML. Consulta la sezione su [risoluzione dei problemi con i log delle risposte SAML](#using-saml-response-logs-to-troubleshoot) per maggiori informazioni.

{% hint style="success" %}
**Raccomandazione Zoom**

Abilita il salvataggio dei log delle risposte SAML per semplificare la risoluzione dei problemi.
{% endhint %}

#### <mark style="color:blu;">Il provisioning al momento dell’accesso può creare account istantaneamente ed è l’opzione di provisioning più semplice</mark>

Quando l’SSO è impostato per fornire *Al momento dell’accesso* (noto anche come provisioning just-in-time), qualsiasi utente autorizzato presso il provider di identità può autenticarsi in Zoom. Gli utenti che non hanno un account esistente avranno un account creato immediatamente al momento dell’accesso.

Il provisioning al momento dell’accesso può semplificare il rollout di Zoom in un’azienda consentendo agli utenti di creare i propri account al momento dell’autenticazione invece di richiedere la creazione proattiva degli utenti. In combinazione con il mapping della risposta SAML, un intero profilo utente e le licenze sono pronti in pochi secondi dal primo accesso dell’utente.

Inoltre, il provisioning al momento dell’accesso può creare dinamicamente il tipo di accesso SSO per account preesistenti. Se un utente ha un account Zoom esistente con nome utente e password, un tipo di accesso SSO sarà creato al momento dell’accesso con questa configurazione.

#### <mark style="color:blu;">Il provisioning prima dell’accesso richiede account pre-creati con un tipo di accesso SSO</mark>

Il provisioning degli utenti per SSO *prima dell’accesso* richiede che gli utenti che si autenticano abbiano **entrambi** un account Zoom esistente e che l’account abbia un tipo di accesso SSO creato. Questo tipo di provisioning è spesso abbinato al provisioning SCIM a causa del processo di creazione automatica degli account, ma non è esclusivo a quest’ultimo. Gli utenti Zoom che si consolidano nell’account aziendale tramite domini associati o un invito diretto probabilmente non dispongono del tipo di accesso SSO.

Gli amministratori Zoom possono confermare se a un account è stato assegnato un tipo di accesso SSO visualizzando l’account utente nella [Gestione utenti](https://zoom.us/account/user#/) pagina nel portale web e cercando l’icona “SSO” sotto l’e-mail dell’utente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Posizione dell’icona SSO sotto l’e-mail di un utente.</p></figcaption></figure>

Se l’icona è presente, l’utente è predisposto per l’SSO; se l’icona è assente, l’utente non potrà accedere tramite SSO mentre il pre-provisioning è abilitato fino a quando non verrà aggiunta. Un amministratore Zoom può aggiungere questo tipo di accesso aggiungendo gli utenti in blocco tramite un file CSV e selezionando l’opzione “Utente SSO” oppure facendo autenticare l’utente mentre l’opzione Provision at Sign-in è abilitata.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio che mostra l’opzione Utente SSO per il caricamento in blocco.</p></figcaption></figure>

{% hint style="success" %}
**Raccomandazione Zoom**

Per evitare che gli utenti non riescano ad accedere, utilizza il provisioning al momento dell’accesso quando configuri per la prima volta l’SSO su un account. Passa al pre-provisioning se desiderato una volta confermato che gli utenti sono pre-provisioned e che sono in atto metodi di pre-provisioning.
{% endhint %}

#### <mark style="color:blu;">Un dominio deve essere associato e gestito per imporre l’autenticazione SSO</mark>

Gli amministratori Zoom possono imporre l’autenticazione SSO *solo* se il dominio e-mail è associato e gestito all’interno di Zoom. Quando questa impostazione è abilitata, tutti gli utenti che si autenticano utilizzando il/i dominio/i della tua azienda verranno automaticamente reindirizzati alla pagina di autenticazione del tuo provider di identità, indipendentemente dalla piattaforma.

Una volta che il dominio è approvato e gestito, un amministratore Zoom può imporre l’autenticazione SSO tramite la [pagina di sicurezza](https://zoom.us/account/setting/security) sotto **Metodi di accesso**. Consulta il nostro articolo di supporto su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per ulteriori informazioni sull’associare e gestire un dominio.

#### <mark style="color:blu;">Utenti specificati possono essere esentati dall’imposizione dell’autenticazione SSO</mark>

Gli amministratori Zoom possono escludere utenti specifici dall’imposizione dell’autenticazione SSO. Escludere utenti specifici (come un account amministratore) può essere utile se una configurazione SSO si interrompe e un amministratore dell’account necessita di accesso non-SSO all’account Zoom. Gli amministratori esenti possono accedere a admin.zoom.us in qualsiasi momento in caso di blocco dell’account o di configurazione SSO non funzionante (l’utente deve avere il ruolo standard **admin** ). Se un amministratore Zoom non riesce ad accedere all’account, deve contattare il Supporto Zoom per assistenza.

Per abilitare un’eccezione utente, vai all’account [pagina di sicurezza](https://zoom.us/account/setting/security) nel portale web sotto opzioni avanzate, individua l’elenco dei domini imposti e aggiungi un’eccezione modificando l’elenco.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio di elenco domini per SSO.</p></figcaption></figure>

#### <mark style="color:blu;">I client mobili e desktop possono essere configurati per richiedere agli utenti di utilizzare l’autenticazione SSO</mark>

I client Zoom possono essere preconfigurati per automatizzare la funzionalità SSO, inclusi accesso automatico, disconnessione automatica, autenticazione solo SSO sul dispositivo e altro tramite Group Policy, servizi di Mobile Device Management (MDM) e client per distribuzione di massa.

Per un elenco completo delle possibilità di configurazione, consulta le nostre opzioni di configurazione per [Group Policy](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) e [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:blu;">Gli utenti Office 365 possono accedere automaticamente al componente aggiuntivo Zoom per Outlook usando le credenziali SSO</mark>

I clienti che utilizzano Office 365 possono far accedere automaticamente i propri utenti al componente aggiuntivo Zoom per Outlook utilizzando le credenziali SSO. Questo può essere abbinato a un [manifest personalizzato per il componente aggiuntivo](https://support.zoom.us/hc/en-us/articles/360041403311) che precompila il Vanity URL dell’account, creando un’esperienza di autenticazione senza soluzione di continuità per gli utenti. Questa funzione utilizza il token di sessione SSO dell’utente se è attivo, oppure richiederà una nuova autenticazione con il provider di identità se non viene trovato alcun token di sessione attivo.

Un amministratore Zoom può abilitare questa impostazione nella [pagina di sicurezza](https://zoom.us/account/setting/security) dell’account **sotto il menu** avanzato.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di impostazione amministrativa per SSO con il componente aggiuntivo Outlook.</p></figcaption></figure>

### Mapping della risposta SAML

Gli attributi SAML sono categorie di dati definite da valori SAML e vengono usati per trasferire informazioni dal provider di identità a un service provider come Zoom. Il mapping di attributi e valori è essenziale per automatizzare le informazioni del profilo utente e la gestione delle licenze.

Il mapping della risposta SAML è suddiviso in due parti: *di base* e *sotto il menu*. Il mapping di base viene utilizzato per mappare le informazioni di profilo di base, inclusi nome, numero di telefono, reparto, ecc. Il mapping avanzato viene utilizzato per gestire assegnazioni dinamiche di licenze, assegnare gruppi utenti, ruoli utente e altro.

Questa sezione copre i fondamenti del mapping della risposta SAML, il mapping SAML di base e avanzato e mette in evidenza le condizioni uniche richieste per alcune funzionalità.

#### <mark style="color:blu;">Fondamenti: attributi e valori SAML</mark>

La maggior parte dei provider di identità trasferisce informazioni di profilo di base utilizzando nomi e valori di attributi semplici. Ad esempio, il reparto di un dipendente può arrivare tramite SAML con un attributo department e un valore Human Resources. La tabella seguente dimostra la relazione tra attributi e valori quando si trasferiscono informazioni su un utente.

| Attributo SAML | Valore SAML                    |
| -------------- | ------------------------------ |
| firstName      | John                           |
| lastName       | Smith                          |
| email          | <john.smith@companydomain.com> |
| department     | Human Resources                |

Assegnando correttamente un attributo SAML al mapping di risposta, le informazioni utente possono essere applicate automaticamente a un profilo utente per semplificare il processo di creazione e gestione dell’account.

#### <mark style="color:blu;">Mapping di base: informazioni del profilo</mark>

Il mapping delle informazioni SAML di base viene utilizzato per applicare informazioni di profilo come nome, cognome, reparto, numero di telefono, centro di costo e posizione dal directory al profilo dell’utente. Molte di queste categorie sono autoesplicative e possono essere facilmente configurate; tuttavia, alcune categorie richiedono spiegazioni per una corretta configurazione per evitare conseguenze impreviste o errori di applicazione. La sezione seguente evidenzia opzioni di mapping uniche e impostazioni di configurazione per il mapping di base. Consulta il nostro [articolo sul mapping SAML di base](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) per un elenco completo degli attributi supportati.

#### <mark style="color:blu;">Il tipo di licenza predefinito si applica solo a</mark> *<mark style="color:blu;">utenti completamente nuovi</mark>*

L’opzione tipo di licenza predefinita applicherà la licenza designata a tutti gli *utenti completamente nuovi* che vengono forniti nell’account tramite SAML. Questo non si applica agli utenti che si stanno autenticando per la seconda volta, agli utenti che si sono consolidati nell’account da un account precedente, agli utenti forniti tramite SCIM o agli utenti invitati manualmente.

Per informazioni su *aggiornare* le licenze utente con l’autenticazione, consulta la configurazione delle licenze sotto [Mapping SAML avanzato](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blu;">Un tipo di licenza predefinito di</mark> *<mark style="color:blu;">Nessuna</mark>* <mark style="color:blu;">non permetterà ai nuovi utenti di autenticarsi a meno che non sia configurato il mapping avanzato per assegnare una licenza</mark>

Gli utenti Zoom devono avere un tipo di licenza assegnato (Basic, Licensed o On-Prem) per accedere al servizio Zoom. Se viene selezionato un tipo di licenza predefinito Nessuna, i nuovi utenti non potranno accedere o creare un nuovo account a meno che non riceveranno una licenza tramite [Mapping SAML avanzato](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blu;">La maggior parte dei mapping di base si riapplicherà al login, salvo diversa indicazione</mark>

La maggior parte dei mapping SAML di base si aggiornerà ogni volta che un utente effettua l’accesso per impostazione predefinita, *eccetto* *per* nome, cognome, nome visualizzato e numero di telefono. Per impostazione predefinita, questi quattro mapping verranno applicati solo la prima volta che un utente si autentica e non si riapplicheranno, anche se modificati da un utente o da un amministratore. Gli amministratori Zoom possono modificare questo comportamento abilitando l’opzione **Aggiorna a ogni accesso SSO** nella pagina di mapping della risposta SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio dell’opzione Aggiorna a ogni accesso SSO.</p></figcaption></figure>

#### <mark style="color:blu;">I mapping dei numeri di telefono dovrebbero includere il prefisso internazionale e il prefisso locale se al di fuori degli Stati Uniti</mark>

I numeri di telefono mappati tramite SAML dovrebbero includere il prefisso internazionale e il prefisso locale dell’utente nell’asserzione SAML quando possibile. Zoom assumerà un prefisso internazionale +1 se non definito per impostazione predefinita.

Gli account che non mantengono i prefissi internazionali all’interno della loro directory possono modificare le asserzioni SAML presso il provider di identità per includerli automaticamente se necessario.

#### <mark style="color:blu;">Ogni utente può avere fino a tre numeri di telefono e un numero di fax mappati al proprio profilo</mark>

Gli amministratori Zoom possono configurare fino a tre numeri di telefono separati e una mappatura del numero di fax per ogni utente. Ogni numero di telefono deve essere univoco e non può duplicare il valore di un altro campo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio delle opzioni di numero di telefono per ogni utente.</p></figcaption></figure>

#### <mark style="color:blu;">Le immagini del profilo devono essere mappate da un URL accessibile pubblicamente o codificate in Base64</mark>

Gli account che desiderano mappare le immagini del profilo dalla propria directory devono mappare le immagini utilizzando un URL accessibile pubblicamente o codificare l’immagine in Base64 durante l’asserzione.

#### ID univoco del dipendente

<mark style="color:blu;">**L’ID univoco del dipendente modifica l’identificatore primario che Zoom usa per identificare gli utenti**</mark>

La *ID univoco del dipendente* è una funzionalità offerta da Zoom per assistere nella gestione delle identità. Per impostazione predefinita, l’identificazione primaria per un utente Zoom è il suo **email** **indirizzo e-mail**. Ciò significa che se il tipo di accesso con e-mail di lavoro è **<john.smith@company.com>**, allora Zoom identificherà sempre questo utente tramite quell’indirizzo e-mail. Questo identificatore è ciò che permette integrazioni come SSO o account OAuth di Facebook e Google di associare l’utente allo stesso account Zoom.

Tuttavia, questo processo di identificazione può essere problematico se il nome o l’e-mail di un utente cambia. Ad esempio, se **<john.smith@company.com>** ha un cambiamento di e-mail a **<jonathan.smith@company.com>**, Zoom non può determinare in modo sicuro che si tratti della stessa persona (poiché l’identificatore fondamentale è diverso) quindi Zoom creerà un nuovo account la prima volta che **<jonathan.smith@company.com>** effettua l’accesso.

Per semplificare questa problematica, Zoom offre la funzionalità Unique Employee ID, che cambia l’identificatore primario di un utente dall’indirizzo e-mail a un ID univoco stabilito. *Questo non modifica il nome utente Zoom di un utente*, ma offre invece un attributo identificativo alternativo. Questa modifica consente a Zoom di aggiornare dinamicamente l’indirizzo e-mail di un utente in Zoom se:

* un *nuovo* indirizzo e-mail è accompagnato da un noto Unique Employee ID; e
* il dominio e-mail dell’utente interessato è associato all’interno di Zoom

Ad esempio, se **<john.smith@company.com>** si autentica e invia un valore SAML di 12345 (il suo numero dipendente) per l’attributo Employee Unique ID, Zoom identificherà ora l’utente all’interno dell’account tramite il valore asserito. Se John si autentica di nuovo usando l’e-mail **<jonathan.smith@company.com>** pur continuando a inviare l’Employee Unique ID 12345, Zoom identificherà che <john.smith@company.com> è ora **<jonathan.smith@company.com>** e aggiornerà dinamicamente l’e-mail dell’utente nell’account se il dominio è associato.

Gli amministratori delle identità dovrebbero essere *sicuri* che non vi siano due utenti con lo stesso valore Employee Unique ID prima di stabilire il mapping SAML per questa categoria. Se un altro utente si autentica e invia lo stesso valore, l’e-mail verrà aggiornata nuovamente al nuovo utente e ciò può causare interruzioni significative ai servizi e all’esperienza utente.

<mark style="color:blu;">**La funzionalità Employee Unique ID richiede domini associati per cambiare l’e-mail di un utente**</mark>

La funzionalità Employee Unique ID non può aggiornare l’indirizzo e-mail di un utente a meno che il dominio e-mail non sia ufficialmente associato al profilo del tuo account. Consulta il nostro articolo di supporto su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per maggiori informazioni.

<mark style="color:blu;">**Gli amministratori e i proprietari non possono aggiornare la loro e-mail tramite l’Employee Unique ID**</mark>

Le e-mail di amministratori e proprietari in Zoom non possono essere aggiornate tramite la funzionalità Employee Unique ID. Questo è inteso come misura di sicurezza per prevenire accessi non autorizzati. Gli amministratori e i proprietari devono modificare la propria e-mail tramite la pagina del profilo.

<mark style="color:blu;">**Le e-mail degli utenti possono essere aggiornate solo una volta al giorno tramite l’Employee Unique ID**</mark>

Le e-mail degli utenti possono essere aggiornate solo una volta ogni 24 ore tramite la funzionalità Employee Unique ID. Un utente deve attendere un giorno solare completo dall’aggiornamento precedente prima di aggiornare nuovamente la propria e-mail tramite SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramma di un esempio di flusso per l’aggiornamento delle e-mail degli utenti.</p></figcaption></figure>

<mark style="color:blu;">**Impostare l’attributo SAML su \<NameID> utilizzerà il NameID asserito dell’utente**</mark>

Mappare l’attributo SAML Employee Unique ID su **\<NameID>** utilizzerà automaticamente il valore NameID asserito dell’utente come identificatore univoco. Questo può essere uno strumento utile se il tuo provider di identità asserisce un NameID diverso dall’e-mail dell’utente, come un User Principal Name (UPN) o un valore simile che non cambia. Non utilizzare questo valore se i NameID degli utenti coincidono con la loro e-mail.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio dell’impostazione amministrativa &#x3C;NameID>.</p></figcaption></figure>

### Mapping avanzato: licenze, componenti aggiuntivi e accesso

La sezione SAML Advanced Information Mapping può applicare dinamicamente licenze (incluso Zoom Phone), componenti aggiuntivi e gruppi di accesso utente agli utenti quando si autenticano. A differenza del mapping di base, il mapping avanzato contiene molte sfumature che possono richiedere attenzione diligente durante la configurazione, a seconda della complessità del tuo ambiente. Questa sezione evidenzia le sfumature per la configurazione del mapping SAML avanzato. Consulta il nostro [articolo sul Mapping SAML avanzato](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) per un elenco completo degli attributi supportati.

#### <mark style="color:blu;">Il mapping avanzato si applica ogni volta che un utente si autentica</mark>

A differenza del mapping di base, che ha aggiornamenti opzionali per alcune categorie, le configurazioni di mapping avanzato si applicheranno ogni volta che un utente si autentica, in conformità con l’ordine di applicazione dall’alto verso il basso.

Ad esempio, se un utente ha una licenza basic e poi si autentica tramite SSO inviando un attributo e valore SAML mappati per concedere una licenza completa, l’utente riceverà immediatamente la licenza completa. Se il profilo dell’utente viene poi modificato nel provider di identità per riportarlo a una licenza basic, gli verrà riassegnata la licenza basic al successivo riaccesso a Zoom.

#### <mark style="color:blu;">Il mapping avanzato consente più attributi e valori SAML per categoria</mark>

A differenza del mapping di base, che consente un solo attributo SAML per categoria, il mapping avanzato può supportare più attributi e valori per ogni categoria. Ciò consente una notevole flessibilità nella gestione delle licenze utente e dell’accesso tramite gruppi di sicurezza nel tuo provider di identità come illustrato nella seguente configurazione.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di mapping di attributi per SAML.</p></figcaption></figure>

{% hint style="success" %}
**Suggerimento Zoom**

Gli attributi SAML possono variare in base al provider di identità, in particolare per i gruppi di sicurezza. Conferma con il tuo provider di identità o tramite [log delle risposte SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) come vengono asseriti gli attributi SAML.
{% endhint %}

#### <mark style="color:blu;">Il mapping avanzato applica le licenze dall’alto verso il basso quando vengono asseriti più attributi</mark>

Se un utente invia più attributi o valori SAML configurati per il mapping SAML avanzato, Zoom mapperà le licenze dall’alto verso il basso. Vedi il seguente esempio:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di selezione del tipo di licenza nelle impostazioni amministrative.</p></figcaption></figure>

Secondo la configurazione sopra, se un utente trasmettesse un attributo sia per **global\_users** e **marketing**, poiché **marketing** è il più alto nella configurazione, questo attributo verrà applicato all’utente e gli attributi rimanenti applicabili verranno ignorati.

In alternativa, se la configurazione fosse impostata con **global\_users** come il più alto, come mostrato nello screenshot seguente, se l’asserzione di un utente contenesse **global\_users**, **marketing**, **human** **resources**, e **IT**, poiché **global\_users** fosse la priorità più alta, verrebbe asserita solo una licenza basic.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di regolazione dell’ordine di priorità</p></figcaption></figure>

Gli amministratori Zoom possono regolare l’ordine di applicazione durante la modifica dei valori di mapping utilizzando le frecce ↑↓ nell’editor.

{% hint style="success" %}
**Raccomandazione Zoom**

Configura le configurazioni avanzate dal più specifico al più generale per prevenire applicazioni errate delle licenze.
{% endhint %}

#### <mark style="color:blu;">I mapping per Webinar e Large Meeting possono condividere un valore comune per applicare entrambi i componenti aggiuntivi</mark>

Per semplificare il processo di applicazione, gli amministratori Zoom possono configurare lo stesso attributo e valore SAML due volte per applicare sia i componenti aggiuntivi webinar che large meeting agli utenti, come mostrato nell’immagine seguente con il **global\_users** valore. Questi componenti aggiuntivi possono anche essere configurati in modo indipendente se desiderato, come mostrato con i valori **webinar\_only** e **large\_meeting\_only** .

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di attributi SAML per large_meeting_only e webinar_only.</p></figcaption></figure>

#### <mark style="color:blu;">Gli utenti possono essere aggiunti a più gruppi utente usando un valore SAML</mark>

Gli amministratori Zoom possono configurare il mapping dei gruppi utente per aggiungere un utente a più gruppi con un unico valore SAML.

Il primo gruppo utente aggiunto sarà impostato come Gruppo Primario dell’utente e determinerà le impostazioni predefinite dell’utente *a meno che un gruppo sottostante non abbia un’impostazione bloccata*. Per ulteriori informazioni sui Gruppi utente consulta il nostro [articolo di supporto](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di mapping di più gruppi utente.</p></figcaption></figure>

#### <mark style="color:blu;">Utenti e gruppi utente specificati possono essere esentati da mapping SAML specifici</mark>

Ogni opzione sotto Mapping SAML avanzato può essere configurata per esentare utenti specifici e Gruppi utente dal comportamento di mapping. Ciò può essere utile per evitare che utenti VIP subiscano interruzioni del servizio a causa di un potenziale cambio di licenza.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di esenzioni utente.</p></figcaption></figure>

#### <mark style="color:blu;">L’Auto Mapping assegna automaticamente gli utenti a un gruppo Utente, Canale o IM con il nome del valore SAML asserito se il valore non è precedentemente mappato a un gruppo</mark>

L’Auto Mapping può essere usato per assegnare automaticamente gli utenti a un Gruppo Utente, a un Canale e a un Gruppo IM con il nome del valore SAML asserito. A differenza di altri componenti del mapping avanzato, che possono essere configurati per assegnare un utente a qualsiasi gruppo in base al valore SAML, l’Auto Mapping assegna sempre un utente a un gruppo basato sul valore SAML esatto. Se il gruppo non esisteva precedentemente, verrà creato automaticamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di Auto Mapping SAML.</p></figcaption></figure>

Ad esempio, se Auto Mapping è impostato per mappare un utente nei gruppi in base al loro reparto, se il valore del reparto non è già definito per il Gruppo utente, Canale o Gruppo IM, gli utenti verranno automaticamente assegnati a un gruppo che corrisponde al nome del loro reparto, come mostrato nella tabella seguente:

| Attributo SAML | Valore SAML     | Il Gruppo Zoom esiste già? | Risultato                                                     |
| -------------- | --------------- | -------------------------- | ------------------------------------------------------------- |
| Reparto        | Human Resources | Sì                         | Utente aggiunto al gruppo Human Resources                     |
| Reparto        | Marketing       | Sì                         | Utente aggiunto al gruppo Marketing                           |
| Reparto        | Sales           | No                         | Il gruppo Sales viene creato, utente aggiunto al gruppo Sales |

#### Zoom supporta fino a cinque attributi SAML personalizzati

Gli amministratori Zoom possono configurare fino a *cinque* attributi SAML personalizzati per aggiungere dati utente al profilo Zoom nella pagina [gestione utenti avanzata](https://zoom.us/account/user#/advanced) . Dopo aver aggiunto i campi personalizzati, gli amministratori Zoom possono configurare il mapping nella [Mapping della risposta SAML](https://zoom.us/account/sso/mapping) pagina.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio di attributi SAML personalizzati</p></figcaption></figure>

#### <mark style="color:blu;">Mappare gli utenti a un sottoconto</mark> *<mark style="color:blu;">solo</mark>* <mark style="color:blu;">applicherà una licenza per le riunioni e componenti aggiuntivi</mark>

Mappare un utente a un sottoconto applicherà solo la licenza per le riunioni dell’utente e componenti aggiuntivi come Webinar e Large Meetings al sottoconto. Gruppi utente, Gruppi IM, Ruoli utente, ecc., non verranno applicati e devono essere configurati all’interno del sottoconto.

I clienti che richiedono maggiore flessibilità per il mapping della risposta SAML con sottoconti richiederanno un Vanity URL unico e una nuova configurazione SSO all’interno del sottoconto.

### Risoluzione dei problemi SSO

#### <mark style="color:blu;">Utilizzo dei Log delle risposte SAML per la risoluzione dei problemi</mark>

I log delle risposte SAML salvati possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione e degli errori utente, oltre che per le configurazioni del mapping della risposta SAML. Se la tua configurazione SSO è impostata per salvare i log delle risposte SAML, possono essere accessibili tramite il [Log delle risposte SAML](https://zoom.us/account/sso/saml_logs) scheda disponibile nella pagina di configurazione SSO nelle Impostazioni avanzate. Per visualizzare i log delle risposte SAML, fai clic su **Visualizza dettagli** accanto a un tentativo di autenticazione.

#### <mark style="color:blu;">La maggior parte delle autenticazioni verrà visualizzata nei log di risposta</mark>

La maggior parte dei tentativi di autenticazione non riusciti o falliti verrà visualizzata nella pagina dei log di risposta. Se un tentativo di autenticazione non viene visualizzato, molto probabilmente Zoom non ha ricevuto un’asserzione SAML dal tuo provider di identità o il salvataggio dei log delle risposte SAML è disabilitato.

#### <mark style="color:blu;">I log di risposta possono indicare se la tua configurazione è errata o se il certificato è scaduto</mark>

Quando i log delle risposte SAML sono abilitati, le informazioni del provider di identità vengono asserite a Zoom per autenticare le identità di ciascuna parte. Se un’impostazione o una stringa di informazioni asserite, come il certificato X509 o l’ID dell’emittente, è diversa dalla configurazione corrente di Zoom, apparirà un errore che indica che le informazioni “non corrispondono alle impostazioni SSO correnti.” Un amministratore Zoom può aggiornare la configurazione SSO per far corrispondere questi valori asseriti se corretti per risolvere l’errore.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di avvisi di configurazione errata.</p></figcaption></figure>

#### <mark style="color:blu;">I log di risposta indicano quali valori e attributi SAML vengono asseriti</mark>

La revisione dei log di risposta può aiutare a risolvere le configurazioni del mapping della risposta SAML verificando quali attributi e valori vengono asseriti dagli utenti durante l’autenticazione. Questi possono essere confrontati con la configurazione per assicurarsi che gli attributi e i valori corrispondano.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di informazioni asserite dal servizio del provider di identità.</p></figcaption></figure>

Se gli attributi o i valori SAML sono mancanti, le informazioni non vengono asserite dal servizio del provider di identità. Gli utenti che riscontrano questo problema sono invitati a contattare il supporto del loro provider di identità per ulteriore assistenza.

#### <mark style="color:blu;">I Log di risposta includono un codice di errore e una breve spiegazione, se non riuscito</mark>

Se un utente non riesce ad autenticarsi o riceve un errore, i log delle risposte SAML contengono un codice di errore e una breve spiegazione dell’errore.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di codice di errore e spiegazione.</p></figcaption></figure>

La maggior parte dei problemi può essere identificata e risolta utilizzando questi messaggi di errore. Se non riesci a risolvere l’errore, contatta il Supporto Zoom per assistenza aggiuntiva.

#### <mark style="color:blu;">Errori WEB Tracking ID</mark>

Se un utente non riesce nell’autenticazione SSO, riceverà un codice di errore WEB Tracking ID. Questi codici non sono un messaggio di errore relativo a un fallimento specifico, ma sono invece un ID di log univoco che può essere esaminato nel mapping delle risposte SAML per identificare i problemi di autenticazione.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di errore rivolto all’utente con un codice di errore WEB Tracking ID.</p></figcaption></figure>

Per identificare l’errore, se il logging delle risposte SAML è abilitato, vai alla [Log delle risposte SAML](https://zoom.us/account/sso/saml_logs) scheda disponibile nella pagina di configurazione SSO nelle Impostazioni avanzate. Da lì, inserisci il Tracking ID WEB nel campo Tracking ID e cerca per popolare il log di risposta

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di ricerca nel Log delle risposte SAML con il suddetto codice di errore WEB Tracking ID.</p></figcaption></figure>

I log delle risposte SAML dovrebbero mostrare l’asserzione SAML e un codice di errore e un messaggio nella parte inferiore della risposta che possono essere usati per ulteriori operazioni di troubleshooting.

### Errori SCIM

#### <mark style="color:blu;">Utente non esistente o non appartenente a questo account</mark>

Questo errore si verifica quando l’indirizzo e-mail dell’utente target non riesce a essere fornito a causa di un account già esistente. Si consiglia agli amministratori Zoom di contattare direttamente l’utente e invitarlo manualmente all’account.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di errore di provisioning.</p></figcaption></figure>

#### <mark style="color:blu;">Non puoi aggiungere utenti a pagamento</mark>

Questo errore si verifica quando SCIM tenta di fornire un utente quando non ci sono licenze sufficienti nell’account. Per risolvere l’errore, l’utente deve essere fornito come utente basic o deve essere resa disponibile una licenza per il provisioning.

### Utilizzo dei log SCIM per risolvere i problemi di provisioning utenti

Zoom fornisce gli ultimi 100 log delle richieste API nel [Zoom Marketplace](https://marketplace.zoom.us/). Un amministratore Zoom può utilizzare questi log per confermare quali informazioni vengono inviate e ricevute tramite le API di provisioning. Per accedere ai log, accedi al Zoom Marketplace come amministratore Zoom e fai clic su **Gestisci**. Nella pagina successiva, seleziona **Log chiamate** sotto **Gestione app personali**. Da lì, fai clic su una voce per espandere i log API e rivederne il contenuto.

L’immagine seguente mostra un esempio di richiesta di provisioning utente SCIM, con gli attributi di identità e licenza dell’utente evidenziati come riferimento.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di una richiesta di provisioning utente SCIM.</p></figcaption></figure>

Come per il mapping della risposta SAML, Zoom può applicare solo le informazioni che vengono inviate dal provider di identità nella richiesta di provisioning. Usa questi log per confermare che gli attributi di identità e di licenza dell’utente vengono inviati dal provider di identità. Se le informazioni previste mancano da queste asserzioni, contatta il tuo provider di identità per supporto.

### Flussi di dati e autenticazione

#### <mark style="color:blu;">Autenticazione SAML</mark>

Il diagramma seguente illustra il flusso di autenticazione SAML di un utente quando avvia una sessione single sign-on con Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramma di un esempio di flusso di autenticazione SAML.</p></figcaption></figure>

#### <mark style="color:blu;">Token di accesso web SSO</mark>

Dopo che un utente si autentica tramite SAML, la sessione dell’utente viene costruita all’interno del browser e ha

una durata di due ore per impostazione predefinita. Se l’utente continua a utilizzare attivamente la pagina web di Zoom, la sessione si aggiornerà; tuttavia, se l’utente non utilizza la pagina web per due ore, il token scadrà e l’utente dovrà riautenticarsi. Gli amministratori Zoom possono configurare questa durata della sessione attiva nella [Sicurezza](https://zoom.us/account/setting/security) pagina sotto Gli utenti devono effettuare nuovamente l'accesso dopo un periodo di inattività e **Imposta il periodo di inattività sul web (minuti)**.

#### <mark style="color:blu;">Token di accesso client</mark>

Quando un utente tenta di autenticarsi tramite SSO all’interno di un client, la macchina dell’utente aprirà un browser web e lo reindirizzerà alla pagina di accesso del provider di identità. Dopo l’autenticazione, il browser dell’utente riceverà un token di avvio client Zoom. Una volta che l’utente clicca sul pulsante “apri” o “avvia”, il browser utilizza lo schema URL combinato con il token di avvio per aprire il client Zoom.

Il client Zoom userà il token di avvio per ottenere il token di accesso e il token di aggiornamento dal server Zoom. Il client utilizzerà il token di accesso per una durata di due ore alla volta e, alla scadenza, utilizzerà il token di aggiornamento per ottenere un nuovo set di token, che vengono memorizzati nel database locale del client. Questo processo di aggiornamento è illimitato per impostazione predefinita e può ciclicamente rinnovare i token finché l’utente non effettua il logout o i token non scadono. Gli amministratori Zoom possono personalizzare la durata della sessione nelle [impostazioni SSO](https://zoom.us/account/sso) pagina sotto [*imporre la disconnessione automatica*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).