# SSO-veldgids ### Inleiding Het integreren van Single Sign-On (SSO) met Zoom biedt beheerders Gebruikersbeheer- en beveiligingsopties die accountbeheer kunnen vereenvoudigen. Eenmaal geconfigureerd, authenticeren gebruikers met hun bedrijfsreferenties bij de identiteitsprovider van uw bedrijf in plaats van alternatieve authenticatiemethoden te gebruiken, zoals integraties met Google of Facebook, of een directe Gebruikersnaam en wachtwoord met Zoom. Dit document biedt een uitgebreid overzicht van SSO-configuraties en Instellingen binnen Zoom, naast informatie over probleemoplossing en beveiliging. ### SSO-integraties #### SSO vereist een vanity-URL om te beginnen Een account moet een goedgekeurde vanity-URL hebben voordat SSO wordt geconfigureerd. Zodra de vanity-URL is goedgekeurd, kunnen Zoom-beheerders toegang krijgen tot de [SSO-configuratie](https://zoom.us/account/sso) blader door het submenu Geavanceerde opties op het webportaal. Raadpleeg ons ondersteuningsartikel over [Vanity-URL's](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) voor meer informatie. #### Zoom SSO werkt met elke SAML 2.0-identiteitsprovider Zoom kan Integratie(s) met elke Identity Provider die ondersteuning biedt voor Security Assertion Markup Language (SAML) 2.0 authenticatie. Hoewel er veel gedocumenteerde Integratie(s)-handleidingen zijn, bieden sommige identity providers geen documentatie voor het integreren met Zoom. Accounts die geen configuratie-instructies kunnen vinden, wordt aangeraden contact op te nemen met hun identity provider voor meer informatie. #### Zoom-beheerders kunnen gebruikersprofielinformatie en licenties beheren via SAML-responskoppeling of SCIM-integraties Beheerders kunnen gebruikersprofielinformatie en licentiëring beheren via SAML-antwoordtoewijzing of verzoeken aan de System for Cross-Domain Identity Management (SCIM) applicatie Programming Interface (API), afhankelijk van de Beschikbare functies van de identiteitsprovider. Beide methoden voor Gebruikersbeheer bieden vrijwel dezelfde functionaliteit voor het toewijzen van profielinformatie en het beheren van licenties, maar sommige SCIM-toewijzingen vereisen handmatige configuratie. Voor een uitgebreide lijst van SCIM-mogelijkheden, raadpleeg onze [SCIM API-documentatie](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User). #### Zoom-beheerders kunnen de status van het account van de gebruiker beheren via SCIM, maar niet via SAML Omdat SCIM identiteitsproviders in staat stelt om op elk moment rechtstreeks met Zoom te communiceren, kunnen gebruikersaccounts worden *geactiveerd*, *gedeactiveerd*, *gemaakt*, of *verwijderd* via SCIM-integraties automatisch. Als bijvoorbeeld een account van een gebruiker in Active Directory is uitgeschakeld, of als zij niet zijn toegewezen aan de applicatie, kan SCIM een automatisch deactiveringsverzoek verzenden voor het account van de gebruiker binnen Zoom. Deze Functie(s) is afhankelijk van de mogelijkheden van de SCIM-applicatie van de identiteitsprovider en de functionaliteit kan per provider verschillen. #### Beperkte identiteitsproviders bieden SCIM voor Zoom Veel identiteitsproviders hebben geen SCIM Integratie(s) die als onderdeel van hun diensten voor Zoom is gebouwd. Accounts die een identiteitsprovider gebruiken die SCIM met Zoom niet ondersteunt, moeten SAML-antwoordtoewijzing gebruiken voor geautomatiseerd gebruikersbeheer. #### SCIM vereist een gekoppeld domein om gebruikers automatisch te provisioneren Accounts die SCIM gebruiken om gebruikers te beheren en te provisioneren voor SSO **moet** koppel het E-maildomein aan Zoom. Als het domein niet wordt gekoppeld, leidt dit tot fouten bij het toewijzen van gebruikers. Raadpleeg ons ondersteuningsartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie over het proces. #### De volgende SSO-integraties zijn gedocumenteerd {% hint style="success" %} **Zoom-tip** Klik op het ✔-teken in de kolom Provider of Zoom Documentation om een nieuw venster met instructies te openen. {% endhint %}
ProviderdocumentatieZoom-documentatieOndersteunt SCIM
auth0

ADFS
AD Sync-tool
Clever

CyberArk

Duo

Entra ID (voorheen Azure)
Google
JumpCloud
miniOrange

Okta
OneLogin
Ping Identity
Shibboleth

#### On-premises Active Directory kan de AD Sync-tool gebruiken in plaats van SCIM Accounts that want to automate gebruiker provisioning through SCIM but do not have a Cloud-based identity provider can use the Active Directory (AD) Sync Tool applicatie developed by Zoom for managing their gebruikers. Deze applicatie draait op Oracle JDK 8 en simuleert SCIM-provisioning door gebruikers te beheren via API-commando's. Bekijk ons ondersteuning artikel over de [AD Sync-tool](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) voor meer informatie. {% hint style="success" %} **Zoom-aanbeveling** De AD Sync-tool vereist een nauwkeurige configuratie voor Gebruikersbeheer. Grondig testen en het controleren van de configuratie van de tool is vereist voordat volledige implementatie plaatsvindt om verstoring van de service te voorkomen. {% endhint %} #### Identiteitsproviders kunnen zelfs deelnemers van de vergadering authenticeren die geen Zoom-account hebben Accounts die van gebruikers vereisen dat zij hun identiteit authenticeren, maar geen Zoom-accounts willen bieden, kunnen een extern authenticatieprofiel configureren bij hun identiteitsprovider. Wanneer dit is ingeschakeld voor een vergadering, moeten gebruikers die proberen deel te nemen hun inloggegevens authenticeren bij uw identiteitsprovider om toegang te krijgen. Dit is een veelvoorkomende configuratie voor scholen die niet alle studenten accounts bieden, maar authenticatie vereisen om lessen te Deelnemen. Raadpleeg ons ondersteuningsartikel over [externe authenticatie configureren](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) voor meer informatie. #### Het wijzigen van de identiteitsprovider vereist dat SSO binnen Zoom opnieuw wordt geconfigureerd Accounts die van identiteitsprovider Wijzigen, moeten hun SSO-configuratie binnen Zoom opnieuw uitvoeren. Dit omvat het bijwerken van alle velden op de configuratiepagina zodat ze overeenkomen met hun nieuwe identiteitsprovider. Accounts wordt aangeraden te bevestigen dat SAML-responsmappings niet zullen wijzigen met de nieuwe identiteitsprovider. Er zouden geen aanvullende configuraties of wijzigingen vereist moeten zijn, ervan uitgaande dat er geen verdere wijzigingen zijn. #### Klanten met subaccounts kunnen SSO configureren vanuit het hoofdaccount of subaccount Klanten met subaccounts hebben twee opties voor het configureren van SSO: 1. Alle gebruikers authenticeren met behulp van de vanity-URL van het hoofdaccount en worden automatisch ingelogd op het subaccount via geavanceerde SAML-mapping ([er zijn enkele beperkingen voor mapping](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); of 2. Elk subaccount heeft een unieke vanity-URL en een onafhankelijke SSO-configuratie, die uitsluitend wordt gebruikt door leden van dat subaccount Elke configuratie biedt unieke voordelen, waarbij de tweede optie de meeste flexibiliteit biedt. Klanten die overwegen een van beide configuraties te implementeren, moeten met hun accountteam bespreken welke configuratie het beste bij hun behoeften past. ### SSO Instellingen & Beveiliging Zoom-beheerders kunnen de optimale beveiligings- en Instellingen-opties voor hun Organisatie Kies bij het configureren van een SSO Integratie(s) met Zoom. In dit gedeelte worden deze Instellingen en de gevolgen ervan voor een SSO Integratie(s) toegelicht.

Voorbeeld van SSO-Integratie Instellingen.

#### Zoom ondersteunt ondertekende SAML-verzoeken voor inloggen en uitloggen Zoom-beheerders die extra serviceprovider authenticatie nodig hebben, kunnen Zoom Configureer om alle inlog- en uitlogverzoeken naar de identiteitsprovider te ondertekenen. Accounts die deze Instellingen gebruiken, hebben mogelijk een certificaatrotatie nodig als hun identiteitsprovider geen ondersteuning biedt voor dynamische metadatavernieuwing. Zie ons ondersteuningsartikel over [certificaatrotatie](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) voor meer informatie. #### Zoom ondersteunt versleutelde SAML-asserties tijdens authenticatie Zoom-beheerders kunnen Zoom Configureer om versleutelde asserties te ondersteunen tijdens authenticatie. Als deze Instellingen zijn ingeschakeld, worden niet-versleutelde asserties genegeerd. Accounts die deze Instellingen gebruiken, hebben mogelijk SSO-certificaatrotatie nodig als hun identiteitsprovider geen ondersteuning biedt voor dynamische metadatavernieuwing. Zie ons ondersteuningsartikel over [certificaatrotatie](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) voor meer informatie. #### Zoom-beheerders kunnen automatische uitlog afdwingen na een gedefinieerde tijdsduur Zoom-beheerders kunnen Zoom Configureer om gebruikers automatisch uit actieve sessies af te melden na gedefinieerde tijdsduur, aanpasbaar van 15 minuten tot 180 dagen. Dit proces stelt de Zoom Access token in om te verlopen na de vooraf bepaalde duur zodra de token is gegenereerd. Deze token heeft geen relatie met een identiteitsprovider en is uniek voor Zoom. #### SAML-reactielogboeken kunnen worden opgeslagen voor probleemoplossing Zoom kan SAML-responslogs van authenticatiepogingen gedurende zeven dagen na een authenticatie opslaan. Deze responslogs kunnen een onschatbaar hulpmiddel zijn bij het oplossen van configuratie- en gebruikersfouten, naast SAML-responsmapperingsconfiguraties. Bekijk de sectie over [problemen oplossen met SAML-responslogs](#using-saml-response-logs-to-troubleshoot) voor meer informatie. {% hint style="success" %} **Zoom-aanbeveling** Inschakelen van het opslaan van SAML-responslogs om het oplossen van problemen eenvoudiger te maken. {% endhint %} #### Provisioning bij aanmelden kan accounts direct aanmaken en is de eenvoudigste provisioningoptie Wanneer SSO is ingesteld op provisionen *Bij aanmelden* (ook wel just-in-time provisioning genoemd), kan elke geautoriseerde gebruiker binnen de identiteitsprovider authenticeren in Zoom. Gebruikers die nog geen bestaand account hebben, krijgen er direct bij aanmelden een aangemaakt. Provisioning bij aanmelden kan Zoom-uitrol naar een bedrijf vereenvoudigen door gebruikers in staat te stellen hun account aan te maken op het moment van authenticatie in plaats van proactieve gebruikercreatie te vereisen. In combinatie met SAML-responsmapping is een volledig gebruikersprofiel en licentietoewijzing binnen enkele seconden na de eerste authenticatie van een gebruiker gereed. Daarnaast kan provisioning bij aanmelden dynamisch het SSO-inlogtype aanmaken voor reeds bestaande accounts. Als een gebruiker een bestaand Zoom-account heeft met een Gebruikersnaam en wachtwoord, wordt bij aanmelden een SSO-inlogtype met deze configuratie aangemaakt. #### Provisioning vóór aanmelden vereist vooraf aangemaakte accounts met een SSO-inlogtype Gebruikers provisioneren voor SSO *vóór aanmelden* vereist dat gebruikers die zich authenticeren een **beide** een bestaand Zoom-account hebben en dat het account een aangemaakt SSO-inlogtype heeft. Dit type provisionering wordt vaak gecombineerd met SCIM-provisionering vanwege het geautomatiseerde aanmaakproces van account, maar is daar niet exclusief voor. Zoom-gebruikers die Consolideren in het bedrijfsaccount via Gekoppelde domeinen of een directe Uitnodigen, hebben waarschijnlijk niet het SSO-inlogtype. Zoom-beheerders kunnen bevestigen of een account een SSO-inlogtype heeft door het gebruikersaccount op de [Gebruikersbeheer](https://zoom.us/account/user#/) pagina in de webportal te bekijken en te zoeken naar het pictogram “SSO” onder de E-mail van de gebruiker.

Locatie van het SSO-pictogram onder de E-mail van een gebruiker.

Als het pictogram aanwezig is, is de gebruiker geprovisioneerd voor SSO; als het pictogram ontbreekt, kan de gebruiker niet aanmelden via SSO terwijl vooraf provisioneren is ingeschakeld totdat het is toegevoegd. Een Zoom-beheerder kan dit inlogtype Toevoegen door gebruikers in bulk toe te voegen via een CSV-bestand en de optie “SSO-gebruiker” te selecteren, of door de gebruiker te laten authenticeren terwijl Provisioneren bij aanmelden is ingeschakeld.

Voorbeeld met de optie SSO-gebruiker voor bulkupload.

{% hint style="success" %} **Zoom-aanbeveling** Voorkomen dat gebruikers niet kunnen aanmelden, gebruik provisionering bij aanmelden wanneer u SSO voor het eerst op een account configureert. Schakel indien gewenst over naar vooraf provisioneren zodra u hebt bevestigd dat uw gebruikers vooraf zijn geprovisioneerd en u methoden voor vooraf provisioneren hebt ingesteld. {% endhint %} #### Een domein moet worden gekoppeld en beheerd om SSO-authenticatie af te dwingen Zoom-beheerders kunnen SSO-authenticatie afdwingen *alleen* als het E-mail-domein binnen Zoom is gekoppeld en beheerd. Wanneer dit is ingeschakeld, worden alle gebruikers die zich authenticeren met uw bedrijfsdomein(en) automatisch doorgestuurd naar de authenticatiepagina van uw identiteitsprovider, ongeacht het Platform. Zodra het domein is goedgekeurd en beheerd, kan een Zoom-beheerder SSO-authenticatie afdwingen via de [beveiligingspagina](https://zoom.us/account/setting/security) onder **Aanmeldingsmethoden**. Raadpleeg ons ondersteuningsartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie over het koppelen en beheren van een domein. #### Opgegeven gebruikers kunnen worden vrijgesteld van afgedwongen SSO-authenticatie Zoom-beheerders kunnen specifieke gebruikers uitsluiten van afgedwongen SSO authenticatie. Het uitsluiten van specifieke gebruikers (zoals een beheerder account) kan handig zijn als een SSO-configuratie niet werkt en een accountbeheerder niet-SSO-toegang nodig heeft tot de Zoom-account. Beheerders die zijn vrijgesteld, kunnen op elk moment inloggen op admin.zoom.us in het geval van een accountvergrendeling of een niet-werkende SSO-configuratie (gebruiker moet de Standaard **beheerder** Rol). Als een Zoom-beheerder geen toegang heeft tot het account, moeten zij contactpersoon opnemen met Zoom-ondersteuning voor सहायता. Om een gebruikersuitzondering in te schakelen, navigeer naar het account [beveiligingspagina](https://zoom.us/account/setting/security) op het webportaal onder geavanceerde opties, zoek de lijst met afgedwongen domeinen op en Toevoegen een uitzondering via de bewerkingslijst.

Voorbeeld van een domeinenlijst voor SSO.

#### Mobiele en desktopclients kunnen zo worden geconfigureerd dat gebruikers SSO-authenticatie moeten gebruiken Zoom-clients kunnen vooraf worden geconfigureerd om SSO-functionaliteit te automatiseren, waaronder automatisch inloggen, automatisch uitloggen, SSO-only authenticatie op het Apparaat en meer via Groepsbeleid, services voor mobiel apparaatbeheer (MDM) en clients voor massale implementatie. Voor een volledige lijst met configuratiemogelijkheden, raadpleeg onze configuratieopties voor [Groepsbeleid](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) en [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows). #### Office 365-gebruikers kunnen zich automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties Klanten die Office 365 gebruiken, kunnen hun gebruikers automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties. Dit kan worden gecombineerd met een [aangepast invoegtoepassingsmanifest](https://support.zoom.us/hc/en-us/articles/360041403311) dat de vanity-URL van het account vooraf invult, waardoor een naadloze authenticatie-ervaring voor gebruikers ontstaat. Deze Functie(s) gebruikt het SSO-sessie-token van de gebruiker als dit actief is, of vraagt om een nieuwe authenticatie bij uw identiteitsprovider als er geen actieve sessie wordt gevonden. Een Zoom-beheerder kan deze instelling inschakelen op de pagina [beveiligingspagina](https://zoom.us/account/setting/security) onder de **geavanceerd** menu.

Voorbeeld van een beheerderinstelling voor SSO met de Outlook-invoegtoepassing.

### SAML-responstoewijzing SAML-attributen zijn gegevenscategorieën die door SAML-waarden worden gedefinieerd en worden gebruikt om informatie door te geven van de identiteitsprovider aan een serviceprovider zoals Zoom. Het toewijzen van attributen en waarden is essentieel voor het automatiseren van gebruikersprofielinformatie en het beheren van gebruikerslicenties. SAML-responstoewijzing is onderverdeeld in twee helften: *Basis* en *geavanceerd*. Basistoewijzing wordt gebruikt om Basis-profielinformatie toe te wijzen, waaronder naam, telefoonnummer, afdeling, enz. Geavanceerde toewijzing wordt gebruikt om dynamische licentietoewijzingen te beheren, gebruikersgroepen, gebruikersrollen en meer toe te wijzen. Deze sectie behandelt de grondbeginselen van SAML-responstoewijzing, Basis- en geavanceerde SAML-responstoewijzing, en belicht unieke voorwaarden die voor sommige Functie(s) vereist zijn. #### Grondbeginselen: SAML-attributen en -waarden De meeste identiteitsproviders geven Basis-profielinformatie door met gewone attribuutnamen en waarden. Zo kan de afdeling van een werknemer via SAML binnenkomen met een attribuut department en een waarde Human Resources. De volgende tabel toont de relatie tussen attributen en waarden bij het doorgeven van informatie over een gebruiker. | SAML-attribuut | SAML-waarde | | -------------- | ------------------------------ | | firstName | John | | lastName | Smith | | E-mail | | | department | Human Resources | Door een SAML-attribuut correct toe te wijzen aan een responstoewijzing, kan gebruikersinformatie automatisch worden toegepast op een gebruikersprofiel om het proces voor het maken en beheren van een account te vereenvoudigen. #### Basis-toewijzing: Profielinformatie SAML-toewijzing van Basis-informatie wordt gebruikt om profielinformatie zoals voornaam, achternaam, afdeling, telefoonnummer, kostenplaats en Locatie vanuit een directory toe te passen op het profiel van een gebruiker. Veel van deze categorieën spreken voor zich en kunnen eenvoudig worden geconfigureerd; sommige categorieën vereisen echter uitleg voor een juiste configuratie om onverwachte gevolgen of fouten in de applicatie te Voorkomen. De volgende sectie belicht unieke toewijzingsopties en configuratie-Instellingen voor Basistoewijzing. Raadpleeg ons [artikel over Basis-SAML-toewijzing](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) voor een volledige lijst met ondersteunde attributen. #### Standaard licentietype is alleen van toepassing op *volledig nieuwe gebruikers* De optie voor het Standaard licentietype past de aangewezen licentie toe op alle *volledig nieuwe* gebruikers die binnen het account via SAML worden ingericht. Dit is niet van toepassing op gebruikers die zich voor een tweede keer authenticeren, gebruikers die vanuit een eerder account in het account zijn samengevoegd, gebruikers die via SCIM worden ingericht, of gebruikers die handmatig zijn uitgenodigd. Voor informatie over *bijwerken* van gebruikerslicenties met authenticatie, raadpleegt u de licentieconfiguratie onder [Geavanceerde SAML-toewijzing](#advanced-mapping-licenses-add-ons-and-access). #### Een Standaard licentietype van *Geen* staat nieuwe gebruikers niet toe om te authenticeren tenzij geavanceerde toewijzing is geconfigureerd om een licentie te Toewijzen Zoom-gebruikers moeten een toegewezen licentietype hebben (Basis, Met licentie of lokaal) om in te loggen bij de Zoom-service. Als een Standaard licentietype van Geen is geselecteerd, kunnen nieuwe gebruikers zich niet aanmelden of een nieuw account maken, tenzij zij een licentie ontvangen via [Geavanceerde SAML-toewijzing](#advanced-mapping-licenses-add-ons-and-access). #### De meeste basistoewijzingen worden opnieuw toegepast bij het inloggen, tenzij anders aangegeven De meeste Basis-SAML-toewijzingen worden standaard bijgewerkt telkens wanneer een gebruiker zich aanmeldt, *behalve* *voor* voornaam, achternaam, weergavenaam en telefoonnummer. Standaard worden deze vier toewijzingen alleen toegepast de eerste keer dat een gebruiker zich authenticeert en worden ze niet opnieuw toegepast, zelfs niet als ze zijn bijgewerkt door een gebruiker of beheerder. Zoom-beheerders kunnen dit gedrag Wijzigen door de optie in te schakelen voor **Bijwerken bij elke SSO-login** op de SAML-respons-toewijzingspagina.

Voorbeeld van de optie Bijwerken bij elke SSO-login.

#### Telefoonnummertoewijzingen moeten een landcode en netnummer bevatten als ze buiten de Verenigde Staten zijn Telefoonnummers die via SAML worden toegewezen, moeten indien mogelijk de landcode en het netnummer van de gebruiker bevatten in de SAML-assertie. Zoom gaat standaard uit van een landcode van +1 als deze niet is gedefinieerd. Accounts die landcodes niet behouden binnen hun directory kunnen hun SAML-asserties in hun identiteitsprovider bewerken om deze indien nodig automatisch op te nemen. #### Elke gebruiker kan maximaal drie Telefoonnummers en één faxnummer hebben dat aan hun profiel is toegewezen Zoom-beheerders kunnen voor elke gebruiker maximaal drie afzonderlijke Telefoonnummers en één faxnummertoewijzing Configureer. Elk telefoonnummer moet uniek zijn en mag niet de waarde van een ander veld dupliceren.

Voorbeeld van telefoonnummeropties voor elke gebruiker.

#### Profielfoto's moeten worden toegewezen vanuit een openbaar toegankelijk URL of gecodeerd met Base64 Accounts die profielfoto's vanuit hun directory willen toewijzen, moeten de afbeeldingen toewijzen met behulp van een openbaar toegankelijk URL of de afbeelding coderen in Base64 bij het bevestigen. #### Unieke ID van werknemer **De Unieke ID van werknemer wijzigt de primaire Identificatie die Zoom gebruikt om gebruikers te identificeren** De *Unieke ID van werknemer* is een Functie(s) die Zoom biedt om te helpen met identiteitsbeheer. Standaard is de primaire Identificatie voor een Zoom-gebruiker hun **E-mail** **adres**. Dit betekent dat als het inlogtype voor E-mail werk is ****, dan zal Zoom deze gebruiker altijd identificeren aan de hand van dat e-mailadres. Deze Identificatie is wat integraties zoals SSO- of Facebook- en Google OAuth-accounts in staat stelt de gebruiker te koppelen aan hetzelfde Zoom-account. Deze identificatieprocedure kan echter problematisch zijn als de naam of E-mail van een gebruiker verandert. Bijvoorbeeld, als **** heeft een E-mail Wijzigen naar ****, kan Zoom niet veilig vaststellen dat dit dezelfde persoon is (omdat de fundamentele Identificatie anders is), dus zal Zoom de eerste keer een nieuw account aanmaken **** inlogt. Om dit probleem te vereenvoudigen, biedt Zoom de Functie(s) Unieke Werknemer-ID, die de primaire Identificatie van een gebruiker wijzigt van diens E-mailadres naar een gevestigde unieke ID. *Dit wijzigt de Zoom Gebruikersnaam van een gebruiker niet*, maar biedt in plaats daarvan een alternatief identificerend kenmerk. Deze Wijzigen stelt Zoom in staat om het E-mailadres van een gebruiker binnen Zoom dynamisch bij te werken als: * een *nieuw* E-mailadres wordt vergezeld door een bekende Unieke Werknemer-ID; en * het E-maildomein van de getroffen gebruiker is gekoppeld binnen Zoom Bijvoorbeeld, als **** authenticeert en geeft een SAML-waarde van 12345 (hun werknemersnummer) door voor het attribuut Unieke werknemer-ID, zal Zoom de gebruiker nu binnen het account identificeren aan de hand van de bevestigde waarde. Als John zich opnieuw authenticeert met de E-mail **** terwijl nog steeds de unieke werknemer-ID van 12345 wordt doorgegeven, zal Zoom identificeren dat nu **** en zal de E-mail van de gebruiker binnen het account dynamisch bijwerken als het domein is gekoppeld. Identiteitsbeheerders moeten *positief* dat geen twee gebruikers overlappen met dezelfde waarde voor de Unieke werknemer-ID voordat SAML-mapping voor deze categorie wordt ingesteld. Als een andere gebruiker zich authenticeert en dezelfde waarde doorgeeft, wordt de E-mail opnieuw bijgewerkt naar de nieuwe gebruiker en kan dit aanzienlijke verstoring veroorzaken voor de services en ervaring van de gebruiker. **De werknemer Unique ID Functie(s) vereist Gekoppelde domeinen om de E-mail van een gebruiker te Wijzigen** De Functie(s) voor de unieke ID van de werknemer kan het E-mailadres van een gebruiker niet bijwerken, tenzij het e-maildomein officieel aan uw accountprofiel is gekoppeld. Raadpleeg ons ondersteuningsartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie. **Beheerders en eigenaars kunnen hun E-mail niet bijwerken via de werknemer-unieke-ID** E-mails van beheerder en Eigenaar binnen Zoom kunnen niet worden bijgewerkt via de Functie(s) voor de unieke werknemer-ID. Dit is bedoeld als beveiligingsmaatregel om ongeautoriseerde toegang te Voorkomen. Beheerders en Eigenaren moeten hun E-mail wijzigen via hun profielpagina. **Gebruikers-e-mails kunnen slechts eenmaal per dag worden bijgewerkt via de unieke ID van de werknemer** E-mailadressen van gebruikers kunnen slechts eens per 24 uur worden bijgewerkt via de Functie(s) voor de Unieke ID van de werknemer. Een gebruiker moet een volledige dag in de agenda wachten sinds de vorige update voordat de E-mail opnieuw via SSO kan worden bijgewerkt.

Diagram van een voorbeeldstroom voor het bijwerken van e-mails van een gebruiker.

**Het instellen van het SAML-attribuut op \ gebruikt de geclaimde NameID van de gebruiker** Het werknemer Unique ID SAML-attribuut toewijzen aan **\** zal automatisch de geclaimde NameID-waarde van de gebruiker gebruiken als hun unieke identificatie. Dit kan een nuttig hulpmiddel zijn als uw identiteitsprovider een NameID claimt die afwijkt van het e-mailadres van een gebruiker, zoals een User Principal Name (UPN) of een vergelijkbare waarde die niet wijzigt. Gebruik deze waarde niet als de NameIDs van gebruikers overeenkomen met hun e-mailadres.

Voorbeeld van de <NameID> beheerderinstelling.

### Geavanceerde mapping: Licenties, add-ons en Access De sectie SAML Advanced Information Mapping kan dynamisch licenties (inclusief Zoom Phone), add-ons en gebruikers-toegangs-groepen aan gebruikers toewijzen terwijl ze authenticeren. In tegenstelling tot basis mapping bevat geavanceerde mapping veel nuances die zorgvuldige aandacht kunnen vereisen bij het configureren, afhankelijk van de complexiteit van uw omgeving. Deze sectie belicht de nuances voor het configureren van geavanceerde SAML-mapping. Raadpleeg onze [Geavanceerd SAML-mappingartikel](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) voor een volledige lijst met ondersteunde attributen. #### Geavanceerde toewijzing wordt elke keer toegepast wanneer een gebruiker zich verifieert In tegenstelling tot Basis toewijzing, die Optioneel updates heeft voor sommige categorieën, worden geavanceerde toewijzingsconfiguraties elke keer toegepast wanneer een gebruiker zich authenticeert, volgens de top-downvolgorde van applicatie. Bijvoorbeeld, als een gebruiker een Basis-licentie heeft en zich vervolgens authenticeert via SSO door een SAML-attribuut en waarde door te geven die is gekoppeld aan het toekennen van een volledige licentie, wordt de gebruiker onmiddellijk de volledige licentie toegekend. Als het profiel van de gebruiker vervolgens binnen de identiteitsprovider wordt gewijzigd om hen terug te zetten naar een Basis-licentie, krijgen zij opnieuw de Basis-licentie toegewezen zodra zij zich opnieuw authentiseren binnen Zoom. #### Geavanceerde toewijzing maakt meerdere SAML-attributen en -waarden per categorie mogelijk In tegenstelling tot Basis-mapping, die slechts één SAML-attribuut per categorie toestaat, kan geavanceerde mapping ondersteuning bieden voor meerdere attributen en waarden voor elke categorie. Dit biedt aanzienlijke flexibiliteit bij het beheren van gebruikerslicenties en Access via beveiligingsgroepen binnen uw identiteitsprovider, zoals te zien is in de volgende configuratie.

Voorbeeld van attribuuttoewijzing voor SAML.

{% hint style="success" %} **Zoom-tip** SAML-attributen kunnen per identiteitsprovider verschillen, met name voor beveiligingsgroepen. Bevestig dit bij uw identiteitsprovider of via [SAML-responslogs](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) hoe SAML-attributen worden bevestigd. {% endhint %} #### Geavanceerde mapping past licenties van boven naar beneden toe wanneer meerdere attributen worden bevestigd Als een gebruiker meerdere SAML-attributen of waarden doorgeeft die zijn geconfigureerd voor geavanceerde SAML-mapping, zal Zoom de licenties van boven naar beneden toewijzen. Zie het volgende voorbeeld:

Voorbeeld van licentietypeselectie in Instellingen van de beheerder.

Volgens de bovenstaande configuratie, als een gebruiker een attribuut zou doorgeven voor zowel **global\_users** en **marketing**, omdat **marketing** het hoogst in de configuratie staat, wordt dit attribuut toegepast op de gebruiker en worden de overige toepasselijke attributen genegeerd. Als alternatief, als de configuratie was ingesteld met **global\_users** als de hoogste, zoals te zien is in de volgende schermafbeelding, als een bewering van een gebruiker bevatte **global\_users**, **marketing**, **menselijk** **middelen**en **IT**, omdat **global\_users** is de hoogste prioriteit, wordt alleen een Basis-licentie toegewezen.

Voorbeeld van het aanpassen van de volgorde van prioriteit

Zoom-beheerders kunnen de volgorde van applicatie aanpassen bij het bewerken van de toewijzingswaarden met de ↑↓-pijlen in de editor. {% hint style="success" %} **Zoom-aanbeveling** Configureer de geavanceerde configuraties van het meest specifieke naar het meest algemene om onjuiste licentietoepassing te Voorkomen. {% endhint %} #### webinar- en Grote vergaderingen-toewijzingen kunnen een gemeenschappelijke waarde delen om beide Toevoegen-ons toe te passen Om het toepassingsproces te vereenvoudigen, kunnen Zoom-beheerders hetzelfde SAML-kenmerk en dezelfde waarde twee keer configureren om zowel webinar- als Grote vergaderingen-Toevoegen-ons toe te passen op de gebruikers, zoals te zien is in de volgende afbeelding met de **global\_users** waarde. Deze Toevoegen-ons kunnen ook afzonderlijk worden geconfigureerd indien gewenst, zoals getoond bij de **webinar\_only** en **large\_vergadering\_only** waarden.

Voorbeeld van SAML-attributen voor large_vergadering_only en webinar_only.

#### Gebruikers kunnen met één SAML-waarde aan meerdere gebruikersgroepen worden toegevoegd Zoom-beheerders kunnen de Gebruiker Groep-toewijzing Configureer om een gebruiker toe te voegen aan meerdere Groepen met één SAML-waarde. De eerst toegevoegde Groep van de gebruiker wordt ingesteld als de Primaire Groep van de gebruiker en bepaalt de Standaard Instellingen van de gebruiker *tenzij een onderliggende Groep een instelling heeft vergrendeld*. Voor meer informatie over gebruikersgroepen verwijzen we naar onze [ondersteuningsartikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

Voorbeeld van meerdere gebruiker Groep-toewijzing.

#### Opgegeven gebruikers en gebruiker Groepen kunnen worden vrijgesteld van specifieke SAML-toewijzingen Elke optie onder Geavanceerde SAML-toewijzing kan worden geconfigureerd om specifieke gebruikers en gebruiker Groepen vrij te stellen van toewijzingsgedrag. Dit kan nuttig zijn om VIP-gebruikers te beschermen tegen serviceonderbreking door een mogelijke wijziging in licenties.

Voorbeeld van gebruikersvrijstellingen.

#### Automatische toewijzing wijst gebruikers automatisch toe aan een gebruiker, kanaal of IM-groep met de naam van hun geclaimde SAML-waarde als de waarde nog niet eerder is toegewezen aan een Groep Automatische toewijzing kan worden gebruikt om gebruikers automatisch toe te wijzen aan een gebruiker Groep, kanaal en IM Groep met de naam van hun geclaimde SAML-waarde. In tegenstelling tot andere geavanceerde toewijzingscomponenten, die kunnen worden geconfigureerd om een gebruiker aan een willekeurige Groep toe te wijzen op basis van de SAML-waarde, wijst Automatische toewijzing een gebruiker altijd toe aan een Groep op basis van de exacte SAML-waarde. Als de Groep eerder niet bestond, wordt deze automatisch aangemaakt.

Voorbeeld van SAML Automatische toewijzing.

Als Automatische toewijzing bijvoorbeeld is ingesteld om een gebruiker toe te wijzen aan de Groepen op basis van hun afdeling, en die afdelingswaarde nog niet is gedefinieerd voor de gebruiker Groep, kanaal of IM Groep, worden gebruikers automatisch toegewezen aan een Groep die overeenkomt met hun afdelingsnaam, zoals weergegeven in de volgende tabel: | SAML-attribuut | SAML-waarde | Bestaat de Zoom Groep al? | Resultaat | | -------------- | --------------- | ------------------------- | ---------------------------------------------------------------- | | Afdeling | Human Resources | Ja | Gebruiker toegevoegd aan Human Resources Groep | | Afdeling | Marketing | Ja | Gebruiker toegevoegd aan Marketing Groep | | Afdeling | Verkoop | Nee | Verkoop Groep is gemaakt, gebruiker toegevoegd aan Verkoop Groep | #### Zoom ondersteunt tot vijf aangepaste SAML-attributen Zoom-beheerders kunnen Configureer tot *vijf* aangepaste SAML-attributen voor het toevoegen van gebruikersgegevens aan hun Zoom-profiel onder de [geavanceerd Gebruikersbeheer](https://zoom.us/account/user#/advanced) pagina. Nadat de aangepaste velden zijn toegevoegd, kunnen Zoom-beheerders de toewijzing op de Configureer [SAML-responstoewijzing](https://zoom.us/account/sso/mapping) pagina.

Voorbeeld van aangepaste SAML-attributen

#### Het toewijzen van gebruikers aan een sub-account zal *alleen* pas een vergaderinglicentie en Toevoegen-ons toe Het toewijzen van een gebruiker aan een sub-account zal alleen de vergaderlicentie van de gebruiker en Toevoegen zoals Webinar en Large Meetings toepassen op het sub-account. Gebruikersgroepen, IM-groepen, gebruikersrollen, enz. worden niet toegepast en moeten binnen het sub-account worden geconfigureerd. Klanten die meer flexibiliteit vereisen voor SAML-responsmapping met sub-accounts, hebben een unieke vanity-URL en een nieuwe SSO-configuratie binnen het sub-account nodig. ### SSO-problemen oplossen #### SAML-antwoordlogboeken gebruiken om problemen op te lossen Opgeslagen SAML-antwoordlogboeken kunnen een onmisbaar hulpmiddel zijn voor het oplossen van configuratie- en gebruikersfouten, naast SAML-antwoordtoewijzingsconfiguraties. Als uw SSO-configuratie is ingesteld om SAML-antwoordlogboeken op te slaan, zijn deze toegankelijk via het [SAML Response Log](https://zoom.us/account/sso/saml_logs) Tabblad dat beschikbaar is op de SSO-configuratiepagina in Geavanceerde Instellingen. Om SAML-antwoordlogboeken te bekijken, klikt u op **Details weergeven** naast een authenticatiepoging. #### De meeste authenticaties worden in de antwoordlogboeken weergegeven De meeste mislukte of niet-geslaagde authenticatiepogingen worden op de pagina met antwoordlogboeken weergegeven. Als een authenticatiepoging niet wordt weergegeven, heeft Zoom waarschijnlijk geen SAML-assertie van uw identiteitsprovider ontvangen, of is het opslaan van SAML-antwoordlogboeken uitgeschakeld. #### Antwoordlogboeken kunnen u vertellen of uw configuratie onjuist is of dat uw certificaat verouderd is Wanneer SAML-reactielogboeken zijn ingeschakeld, worden de gegevens van de identiteitsprovider naar Zoom geclaimd om identiteiten voor elke partij te authenticeren. Als een geclaimde instelling of een reeks informatie, zoals het X509-certificaat of de issuer-ID, afwijkt van de huidige configuratie van Zoom, verschijnt er een foutmelding met de melding dat de informatie “niet overeenkomt met de huidige SSO-Instellingen.” Een Zoom-beheerder kan de SSO-configuratie bijwerken zodat deze overeenkomt met deze geclaimde waarden als ze correct zijn, om de fout op te lossen.

Voorbeeld van waarschuwingen voor onjuiste configuratie.

#### Reactielogboeken laten u zien welke SAML-waarden en -kenmerken worden geclaimd Het bekijken van reactielogboeken kan helpen bij het oplossen van configuraties voor SAML-reactiemapping door te verifiëren welke kenmerken en waarden door gebruikers worden geclaimd terwijl ze authenticeren. Deze kunnen worden vergeleken met de configuratie om ervoor te zorgen dat de kenmerken en waarden overeenkomen.

Voorbeeld van informatie die door de identiteitsproviderservice wordt geclaimd.

Als SAML-kenmerken of -waarden ontbreken, wordt de informatie niet geclaimd door de identiteitsproviderservice. Gebruikers die dit probleem ervaren, wordt aangeraden contact op te nemen met de ondersteuning van hun identiteitsprovider voor meer hulp. #### Reactielogboeken bevatten, indien mislukt, een foutcode en korte uitleg Als een gebruiker niet kan authenticeren of een fout ontvangt, bevatten de SAML-reactielogboeken een foutcode en een korte uitleg van de fout.

Voorbeeld van foutcode en uitleg.

De meeste problemen kunnen worden geïdentificeerd en opgelost met behulp van deze foutmeldingen. Als u de fout niet kunt oplossen, neem dan contact op met Zoom-ondersteuning voor अतिरिक्त hulp. #### Web Tracking ID-fouten Als een gebruiker niet slaagt voor SSO-authenticatie, ontvangt hij of zij een foutcode voor een WEB Tracking ID. Deze codes zijn geen foutmelding die betrekking heeft op een specifieke fout, maar vormen in plaats daarvan een unieke log-ID die kan worden gecontroleerd in SAML Response Mapping om authenticatieproblemen te identificeren.

Voorbeeld van een fout die zichtbaar is voor de gebruiker met een foutcode voor een WEB Tracking ID.

Om de fout te identificeren, navigeert u, als SAML-responslogboekregistratie is ingeschakeld, naar het [SAML Response Log](https://zoom.us/account/sso/saml_logs) Beschikbaar in het Tabblad op de pagina SSO-configuratie in geavanceerde Instellingen. Voer vanaf daar de WEB tracking-ID in het veld Tracking ID in en zoek om het responslogboek te vullen

Voorbeeld van het zoeken in het SAML-responslogboek met de eerdergenoemde foutcode voor WEB Tracking ID.

De SAML-responslogboeken moeten de SAML-assertie en onderaan de respons een foutcode en bericht weergeven die kunnen worden gebruikt voor aanvullende probleemoplossing. ### SCIM-fouten #### Gebruiker bestaat niet of behoort niet tot dit account Deze fout treedt op wanneer de E-mailadres van een beoogde gebruiker niet kan worden geprovisioneerd vanwege een reeds bestaand account. Zoom-beheerders worden aangemoedigd om rechtstreeks contact op te nemen met de gebruiker en de gebruiker handmatig uit te nodigen voor het account.

Voorbeeld van een provisioningfout.

#### U kunt geen betaalde gebruikers toevoegen Deze fout treedt op wanneer SCIM probeert een gebruiker te provisionen terwijl er onvoldoende licenties op het account zijn. Om de fout op te lossen, moet de gebruiker als Basis-gebruiker worden geprovisioned, of moet er een licentie beschikbaar worden gemaakt voor provisioning. ### SCIM-logboeken gebruiken om gebruikersprovisioning op te lossen Zoom biedt de meest recente 100 API-verzoeklogboeken in de [Zoom Marketplace](https://marketplace.zoom.us/). Een Zoom-beheerder kan deze logboeken gebruiken om te bevestigen welke informatie wordt verzonden en ontvangen via provisioning-API's. Om toegang te krijgen tot de logboeken, meldt u zich aan bij Zoom Marketplace als Zoom-beheerder en klik op **Beheren**. Selecteer op de volgende pagina **Belgeschiedenis** onder **Persoonlijk app-beheer**. Klik daar op een item om de API-logboeken uit te vouwen en de inhoud te bekijken. De volgende afbeelding toont een voorbeeld van een SCIM-gebruikerstoewijzingsverzoek, met de identiteits- en licentieattributen van de gebruiker gemarkeerd ter referentie.

Voorbeeld van een SCIM-gebruikersprovisioneringsverzoek.

Net als bij SAML-responsmappings kan Zoom alleen informatie toepassen die door de identiteitsprovider in het provisioningverzoek wordt verzonden. Gebruik deze logboeken om te bevestigen dat de identiteit van de gebruiker en licentieattributen door de identiteitsprovider worden verzonden. Als verwachte informatie ontbreekt in deze verklaringen, neem dan contactpersoon op met uw identiteitsprovider voor ondersteuning. ### Gegevensstromen en authenticatie #### SAML-authenticatie Het volgende diagram beschrijft de SAML-authenticatieflow van een gebruiker wanneer deze een Single Sign-On-sessie met Zoom start.

Diagram van een voorbeeld van een SAML-authenticatieproces.

#### SSO-webinlogtoken Nadat een gebruiker zich via SAML heeft geauthenticeerd, wordt de sessie van de gebruiker opgebouwd binnen hun Browser, en heeft een levensduur van twee uur als Standaard. Als de gebruiker hun Zoom-webpagina blijft gebruiken, wordt de sessie vernieuwd; als de gebruiker hun webpagina echter twee uur niet gebruikt, verloopt het token en moet de gebruiker zich opnieuw verifiëren. Zoom-beheerders kunnen deze Actieve sessieduur Configureer op de [Beveiliging](https://zoom.us/account/setting/security) pagina onder Gebruikers moeten na een periode van inactiviteit opnieuw aanmelden en **Stel de periode voor inactiviteit op het web in (minuten)**. #### Client Login Token Wanneer een gebruiker probeert te authenticeren via SSO binnen een client, opent de machine van de gebruiker een Browser en leidt deze door naar de inlogpagina van de identiteitsprovider. Nadat een gebruiker is geauthenticeerd, ontvangt de Browser van de gebruiker een Zoom-client launch token. Zodra een gebruiker op de knop “openen” of “starten” klikt, gebruikt de Browser het URL-schema in combinatie met het launch token om de Zoom-client te openen. De Zoom-client gebruikt het launch token om het access token en het refresh token van de Zoom-server op te halen. De client gebruikt het access token telkens gedurende twee uur en gebruikt na afloop het refresh token om een nieuwe set tokens te verkrijgen, die worden opgeslagen in de lokale database van de client. Dit vernieuwingsproces is Standaard onbeperkt en kan tokens continu blijven doorlopen totdat een gebruiker zich afmeldt of de tokens verlopen. Zoom-beheerders kunnen de sessieduur aanpassen op de [SSO Instellingen](https://zoom.us/account/sso) pagina onder [*automatisch uitloggen afdwingen*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).