# Guia de Campo de SSO

### Introdução

Integrar o logon único (SSO) com o Zoom oferece aos administradores opções de Gerenciamento de usuário e segurança que podem simplificar o gerenciamento da conta. Depois de configurados, os usuários autenticar usando as credenciais da empresa junto ao provedor de identidade da empresa, em vez de usar métodos alternativos de autenticação, como integrações com Google ou Facebook, ou um Nome de usuário e senha diretos com o Zoom.

Este documento fornece uma visão geral abrangente das configurações de SSO e Configurações no Zoom, além de informações sobre solução de problemas e segurança.

### Integrações de SSO

#### <mark style="color:azul;">O SSO requer uma URL intuitivo para começar</mark>

Uma conta deve ter uma URL intuitivo aprovada antes de configurar o SSO. Depois que a URL intuitivo for aprovada, os administradores do Zoom podem Acessar o [configuração de SSO](https://zoom.us/account/sso) página através do submenu de opções avançadas no portal da web. Consulte nosso artigo de Suporte sobre [URLs intuitivos](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) para obter mais informações.

#### <mark style="color:azul;">O SSO do Zoom funciona com qualquer provedor de identidade SAML 2.0</mark>

Zoom pode integrar com qualquer provedor de identidade que suporte Security Assertion Markup Language (SAML) 2.0 autenticação. Embora existam muitos guias documentados de Integrações, alguns provedores de identidade não fornecem documentação para integrar com o Zoom. As contas que não conseguem localizar instruções de configuração são incentivadas a entrar em contato com seu provedor de identidade para obter mais informações.

#### <mark style="color:azul;">Os administradores do Zoom podem gerenciar informações do perfil do usuário e licenciamento por meio do mapeamento de resposta SAML ou de integrações SCIM</mark>

Os administradores podem gerenciar as informações do perfil do usuário e o licenciamento por meio do mapeamento de resposta SAML ou de solicitações da Interface de Programação de Aplicativos (API) do System for Cross-Domain Identity Management (SCIM), dependendo dos recursos disponíveis no provedor de identidade. Ambos os métodos de gerenciamento de usuário oferecem funcionalidade quase equivalente para o mapeamento de informações do perfil e o gerenciamento de licenciamento, mas alguns mapeamentos SCIM exigem configuração manual.

Para uma lista abrangente das capacidades do SCIM, consulte o nosso [documentação da API SCIM](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User).

#### <mark style="color:azul;">Administradores do Zoom podem gerenciar o status da conta do usuário por meio do SCIM, mas não do SAML</mark>

Como o SCIM permite que provedores de identidade se comuniquem diretamente com o Zoom a qualquer momento, contas de usuário podem ser *ativado*, *desativado*, *criado*, ou *eliminado* através de integrações SCIM automaticamente. Por exemplo, se a conta de um usuário no Active Directory estiver desativada, ou se eles não estiverem atribuídos ao aplicativo, o SCIM pode enviar uma solicitação automática de desativação da conta do usuário dentro do Zoom. Este Recursos é dependente das capacidades do aplicativo SCIM do provedor de identidade e a funcionalidade pode variar por provedor.

#### <mark style="color:azul;">Poucos provedores de identidade oferecem SCIM para Zoom</mark>

Muitos provedores de identidade não têm uma Integrações SCIM criada para Zoom como parte de seus serviços. Contas que usam um provedor de identidade que não oferece suporte ao SCIM com Zoom devem usar o mapeamento de resposta SAML para o gerenciamento automatizado de usuário.

#### <mark style="color:azul;">O SCIM requer um domínio associado para aprovisionar utilizadores automaticamente</mark>

Contas que usam SCIM para gerir e provisionar utilizadores para SSO **deve** associe o domínio de e-mail ao Zoom. A falha em associar o domínio resultará em falhas no provisionamento do usuário. Consulte nosso artigo de Suporte sobre [Domínios associados](https://support.zoom.us/hc/en-us/articles/203395207) para obter mais informações sobre o processo.

#### <mark style="color:azul;">As seguintes integrações SSO estão documentadas</mark>

{% hint style="success" %}
**Dica do Zoom**

Clique no ✔ na coluna de Documentação do Fornecedor ou do Zoom para abrir uma nova janela com as instruções.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentação do Fornecedor</th><th>Documentação do Zoom</th><th>Suporta SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>ferramenta AD Sync</td></tr><tr><td>Esperto</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (anteriormente Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:azul;">O Active Directory local pode usar a ferramenta AD Sync em vez de SCIM</mark>

Contas que desejam automatizar o provisionamento de usuário por meio de SCIM, mas não têm um provedor de identidade baseado em nuvem, podem usar o aplicativo Active Directory (AD) Sync Tool desenvolvido pela Zoom para gerenciar seus usuários. Este aplicativo é executado no Oracle JDK 8 e simula o provisionamento do SCIM gerenciando usuários por meio de comandos da API. Veja nosso artigo de Suporte sobre o [ferramenta AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) para obter mais informações.

{% hint style="success" %}
**Recomendação do Zoom**

A ferramenta AD Sync requer uma configuração precisa para Gerenciamento de usuário. É necessário realizar testes completos e revisar a configuração da ferramenta antes da implementação completa para evitar interrupções no serviço.
{% endhint %}

#### <mark style="color:azul;">Os provedores de identidade podem até autenticar participantes da reunião que não têm uma conta Zoom</mark>

Contas que desejam exigir que os usuários autentiquem sua identidade, mas não desejam fornecer contas Zoom, podem Configurar um perfil de autenticação externa com seu provedor de identidade. Quando habilitado para uma reunião, os usuários que tentarem entrar devem autenticar suas credenciais de login junto ao seu provedor de identidade para ganhar Acessar. Esta é uma configuração comum para escolas que não fornecem contas a todos os alunos, mas exigem autenticação para entrar nas aulas. Consulte nosso artigo de Suporte sobre [configurando autenticação externa](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) para obter mais informações.

#### <mark style="color:azul;">Alterar o provedor de identidade exige reconfigurar o SSO dentro do Zoom</mark>

As contas que estão alterando provedores de identidade devem refazer sua configuração de SSO no Zoom. Isso inclui atualizar todos os campos na página de Configurações para corresponder ao novo provedor de identidade. As contas são incentivadas a confirmar que os mapeamentos de resposta SAML não mudarão com o novo provedor de identidade.

Nenhuma configuração adicional ou alteração deve ser necessária, pressupondo que não haja outras alterações.

#### <mark style="color:azul;">Clientes/clientes com subcontas podem Configurar SSO a partir da conta principal ou da subconta</mark>

Clientes/clientes com subcontas têm duas opções para Configurar SSO:

1. Todos os usuários, ao autenticar-se usando a URL intuitivo da conta principal, são automaticamente conectados à subconta por meio de mapeamento avançado de SAML ([algumas limitações de mapeamento se aplicam](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); ou
2. Cada subconta tem uma URL intuitivo exclusiva e Configuração de SSO independente, usada exclusivamente pelos membros dessa subconta

Cada Configuração oferece benefícios exclusivos, sendo que a segunda opção oferece a maior flexibilidade. Clientes/clientes que estiverem considerando implementar qualquer uma das Configurações devem discutir com a sua equipe de conta qual Configuração é mais adequada às suas necessidades.

### Configurações de SSO e segurança

Os administradores do Zoom podem escolher as opções ideais de segurança e Configurações para a sua Organização ao Configurar uma Integrações de SSO com o Zoom. Esta seção explica estas Configurações e as suas implicações para uma Integrações de SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de Configurações de Integrações de SSO.</p></figcaption></figure>

#### <mark style="color:azul;">O Zoom suporta pedidos SAML assinados de login e logout</mark>

Os administradores do Zoom que exigem autenticação adicional do provedor de serviço podem Configurar o Zoom para assinar todos os pedidos de login e logout para o provedor de identidade.

As contas que usam esta Configuração podem exigir uma rotação de certificado se o seu provedor de identidade não suportar a atualização dinâmica de metadados. Consulte o nosso artigo de Suporte sobre [rotação de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para obter mais informações.

#### <mark style="color:azul;">O Zoom suporta asserções SAML encriptadas ao autenticar</mark>

Os administradores do Zoom podem Configurar o Zoom para suportar asserções encriptadas ao autenticar. Se esta Configuração estiver Ativo, as asserções não encriptadas serão descartadas. As contas que usam esta Configuração podem exigir rotação de certificado SSO se o seu provedor de identidade não suportar a atualização dinâmica de metadados. Consulte o nosso artigo de Suporte sobre [rotação de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para obter mais informações.

#### <mark style="color:azul;">Os administradores do Zoom podem impor o logout automático após um período de tempo definido</mark>

Os administradores do Zoom podem Configurar o Zoom para terminar automaticamente a sessão dos utilizadores das sessões Ativo após períodos de tempo definidos, personalizáveis de 15 minutos a 180 dias. Este processo fará com que o token de acesso do Zoom expire no período predeterminado assim que o token for gerado. Este token não tem qualquer relação com um provedor de identidade e é exclusivo do Zoom.

#### <mark style="color:azul;">Os registros de resposta SAML podem ser salvos para solução de problemas</mark>

O Zoom pode salvar registros de resposta SAML de tentativas de autenticação por sete dias após uma autenticação. Esses registros de resposta podem ser uma ferramenta inestimável para solucionar problemas de configuração e erros de usuário, além das configurações de mapeamento de resposta SAML. Consulte a seção sobre [solução de problemas de erros com registros de resposta SAML](#using-saml-response-logs-to-troubleshoot) para obter mais informações.

{% hint style="success" %}
**Recomendação do Zoom**

Habilitar o salvamento de registros de resposta SAML para facilitar a solução de problemas.
{% endhint %}

#### <mark style="color:azul;">O provisionamento no momento do login pode criar contas instantaneamente e é a opção de provisionamento mais fácil</mark>

Quando o SSO está configurado para provisionar *No momento do login* (também conhecido como provisionamento just-in-time), qualquer usuário autorizado dentro do provedor de identidade pode autenticar-se no Zoom. Usuários que não tiverem uma conta existente terão uma criada imediatamente no momento do login.

O provisionamento no momento do login pode simplificar os lançamentos do Zoom para uma empresa, permitindo que os usuários criem suas contas no momento da autenticação, em vez de exigir a criação proativa do usuário. Combinado com o mapeamento de resposta SAML, um perfil de usuário completo e a licença ficam prontos em segundos após a primeira autenticação do usuário.

Além disso, o provisionamento no momento do login pode criar dinamicamente o tipo de login SSO para contas já existentes. Se um usuário tiver uma conta Zoom existente com um Nome de usuário e senha, um tipo de login SSO será criado no momento do login com essa configuração.

#### <mark style="color:azul;">O provisionamento antes do início de sessão requer contas pré-criadas com um tipo de início de sessão SSO</mark>

Provisionamento de usuários para SSO *antes do início de sessão* exige que os usuários que se autenticam tenham **ambos** uma conta Zoom existente e que a conta tenha um tipo de início de sessão SSO criado. Esse tipo de provisionamento costuma ser associado ao provisionamento SCIM devido ao processo automatizado de criação de conta, mas não é exclusivo dele. Os usuários do Zoom que consolidar na conta da empresa por meio de Domínios associados ou de um Convidar direto provavelmente não terão o tipo de início de sessão SSO.

Os Administradores do Zoom podem confirmar se uma conta tem um tipo de início de sessão SSO visualizando a conta do usuário na [Gerenciamento de usuário](https://zoom.us/account/user#/) página no portal da web e procurando o ícone “SSO” abaixo do e-mail do usuário.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Localização do ícone SSO abaixo do e-mail de um usuário.</p></figcaption></figure>

Se o ícone estiver apresentar, o usuário está provisionado para SSO; se o ícone estiver em falta, o usuário não poderá iniciar sessão via SSO enquanto o pré-provisionamento estiver ativado até que seja Adicionar. Um administrador do Zoom pode Adicionar este tipo de início de sessão adicionando usuários em massa através de um ficheiro CSV e selecionando a opção “Usuário SSO” ou fazer com que o usuário se possa autenticar enquanto Provision at Sign-in estiver ativado.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo que mostra a opção Usuário SSO para carregamento em massa.</p></figcaption></figure>

{% hint style="success" %}
**Recomendação do Zoom**

Para impedir que os usuários não consigam iniciar sessão, utilize o provisionamento no início de sessão ao configurar o SSO pela primeira vez numa conta. Mude para pré-provisionamento, se desejar, assim que tiver confirmado que os seus usuários estão pré-provisionados e que tem métodos de pré-provisionamento implementados.
{% endhint %}

#### <mark style="color:azul;">Um domínio tem de estar associado e gerido para impor a autenticação SSO</mark>

Os administradores do Zoom podem impor a autenticação SSO *apenas* se o domínio de e-mail estiver associado e gerido no Zoom. Quando isto estiver ativado, todos os usuários que se autenticarem usando o(s) domínio(s) da sua empresa serão automaticamente redirecionados para a página de autenticação do seu fornecedor de identidade, independentemente da plataforma.

Assim que o domínio estiver aprovado e gerido, um administrador do Zoom pode impor a autenticação SSO através da [página de segurança](https://zoom.us/account/setting/security) em **Métodos de início de sessão**. Consulte o nosso artigo de Suporte sobre [Domínios associados](https://support.zoom.us/hc/en-us/articles/203395207) para mais informações sobre como associar e gerir um domínio.

#### <mark style="color:azul;">Usuários especificados podem ser isentos da autenticação SSO obrigatória</mark>

Os administradores da Zoom podem excluir usuários específicos da autenticação de autenticação SSO imposta. Excluir usuários específicos (como uma administrador da conta) pode ser útil se uma configuração de SSO falhar e um administrador da conta precisar de acesso não-SSO à conta Zoom. Administradores que estiverem isentos podem entrar em admin.zoom.us a qualquer momento, no caso de bloqueio de conta ou configuração de SSO interrompida (o usuário deve ter o padrão **administrador** Função). Se um administrador do Zoom não conseguir acessar a conta, ele deve entrar em contato com o Suporte do Zoom para obter assistência.

Para Habilitar uma exceção de usuário, navegue até a conta [página de segurança](https://zoom.us/account/setting/security) no portal da web, em opções avançadas, localize a lista de domínios obrigatórios e Adicionar uma exceção por meio da lista de edição.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo de lista de domínios para SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Os clientes móveis e de desktop podem ser configurados para exigir que os utilizadores usem autenticação SSO</mark>

Os clientes Zoom podem ser pré-configurados para automatizar a funcionalidade SSO, incluindo início de sessão automático, encerramento de sessão automático, autenticação apenas por SSO no Dispositivo e muito mais através de Política de Grupo, serviços de gestão de Dispositivos móveis (MDM) e clientes de implementação em massa.

Para uma lista completa das possibilidades de configuração, consulte as nossas opções de configuração para [Política de Grupo](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) e [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:azul;">Os utilizadores do Office 365 podem iniciar sessão automaticamente no Plugin Zoom para Outlook usando credenciais SSO</mark>

Clientes que usam Office 365 podem iniciar sessão automaticamente dos seus utilizadores no Plugin Zoom para Outlook usando credenciais SSO. Isto pode ser combinado com um [manifesto personalizado do complemento](https://support.zoom.us/hc/en-us/articles/360041403311) que pré-preenche o URL intuitivo da conta, criando uma experiência de autenticação perfeita para os usuários. Esta Recursos usa o token da sessão SSO do usuário se ele estiver ativo, ou solicitará uma nova autenticação com seu provedor de identidade se nenhuma sessão ativa for encontrada.

Um administrador do Zoom pode Habilitar esta configuração na conta [página de segurança](https://zoom.us/account/setting/security) em **avançado** menu.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de configuração de administrador para SSO com o complemento do Outlook.</p></figcaption></figure>

### Mapeamento de Resposta SAML

Os atributos SAML são categorias de dados definidas pelos valores SAML e são usados para passar informações do provedor de identidade para um provedor de serviço como o Zoom. Mapear atributos e valores é essencial para automatizar as informações do perfil do usuário e gerenciar as licenças do usuário.

O mapeamento de resposta SAML é dividido em duas partes: *básico* e *avançado*. O mapeamento básico é usado para mapear informações básicas do perfil, incluindo nome, número de telefone, departamento etc. O mapeamento avançado é usado para gerenciar atribuições dinâmicas de licença, atribuindo grupos de usuários, funções de usuário e muito mais.

Esta seção aborda os fundamentos do mapeamento de respostas SAML, o mapeamento básico e avançado de respostas SAML e destaca condições únicas exigidas para alguns recursos.

#### <mark style="color:azul;">Fundamentos: Atributos e Valores SAML</mark>

A maioria dos provedores de identidade transmite informações básicas do perfil usando nomes e valores de atributos simples. Por exemplo, o departamento de um Funcionário pode chegar por meio do SAML com um atributo de department e um valor de Human Resources. A tabela a seguir demonstra a relação entre atributos e valores ao transmitir informações sobre um usuário.

| Atributo SAML | Valor SAML                     |
| ------------- | ------------------------------ |
| firstName     | John                           |
| lastName      | Smith                          |
| e-mail        | <john.smith@companydomain.com> |
| department    | Recursos Humanos               |

Ao atribuir corretamente um atributo SAML a um mapeamento de resposta, as informações do usuário podem ser aplicadas automaticamente a um perfil de usuário para simplificar o processo de criação e gerenciamento da conta.

#### <mark style="color:azul;">Mapeamento básico: Informações do perfil</mark>

O Mapeamento básico de Informações de SAML é usado para aplicar informações de perfil, como primeiro nome, sobrenome, departamento, número de telefone, centro de custo e Localização, de um diretório ao perfil de um usuário. Muitas dessas categorias são autoexplicativas e podem ser facilmente configuradas; no entanto, algumas categorias exigem explicação para a configuração adequada a fim de impedir consequências não antecipadas ou erros do aplicativo. A seção a seguir destaca opções de mapeamento exclusivas e Configurações de configuração para o mapeamento básico. Consulte nosso [artigo de Mapeamento básico de SAML](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) para obter uma lista completa dos atributos suportados.

#### <mark style="color:azul;">Tipo de licença padrão aplica-se apenas a</mark> *<mark style="color:azul;">usuários recém-criados</mark>*

A opção de tipo de licença padrão aplicará a licença designada a todos os *recém-criados* usuários que são provisionados na conta por meio do SAML. Isso não se aplica a usuários que estão se autenticando pela segunda vez, usuários que foram consolidados na conta a partir de uma conta anterior, usuários que são provisionados por meio do SCIM ou usuários que foram convidados manualmente.

Para obter informações sobre *atualização* das licenças de usuário com autenticação, consulte a configuração de licença em [Advanced SAML Mapping](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">Um tipo de licença padrão de</mark> *<mark style="color:azul;">Nenhum</mark>* <mark style="color:azul;">não permitirá que novos usuários autentiquem-se, a menos que o mapeamento avançado esteja configurado para Atribuir uma licença</mark>

Os usuários do Zoom devem ter um tipo de licença atribuído (básico, Licenciado ou no local) para Iniciar sessão no serviço Zoom. Se um tipo de licença padrão de Nenhum for selecionado, novos usuários não podem Iniciar sessão nem criar uma nova conta, a menos que recebam uma licença por meio de [Advanced SAML Mapping](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">A maioria dos mapeamentos básicos será reaplicada no Iniciar sessão, salvo indicação em contrário</mark>

A maioria dos mapeamentos básicos do SAML será atualizada toda vez que um usuário Iniciar sessão, por padrão, *exceto* *para* nome, sobrenome, nome de Exibir e número de telefone. Por padrão, esses quatro mapeamentos só serão aplicados na primeira vez que um usuário autentica e não serão reaplicados novamente, mesmo que sejam atualizados por um usuário ou administrador. Os administradores do Zoom podem alterar esse comportamento ativando a opção para **Atualizar em cada login de SSO** na página de mapeamento da resposta SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo da opção Atualizar em cada login SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Os mapeamentos de Números de telefone devem incluir um código do país e código de área se estiverem fora dos Estados Unidos</mark>

Os Números de telefone mapeados por meio de SAML devem incluir o código do país e o código de área do usuário na asserção SAML, sempre que possível. O Zoom assumirá um código do país de +1 se não estiver definido por padrão.

Contas que não retêm códigos do país em seu diretório podem editar suas asserções SAML dentro de seu provedor de identidade para incluir isso automaticamente, se necessário.

#### <mark style="color:azul;">Cada usuário pode ter até três Números de telefone e um número de fax mapeados para seu perfil</mark>

Os administradores do Zoom podem Configurar até três mapeamentos separados de Números de telefone e um número de fax para cada usuário. Cada Número de telefone deve ser exclusivo e não pode duplicar o valor de outro campo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo das opções de Números de telefone para cada usuário.</p></figcaption></figure>

#### <mark style="color:azul;">As fotos de perfil devem ser mapeadas a partir de uma URL acessível publicamente ou codificadas com Base64</mark>

As contas que desejam mapear fotos de perfil do seu diretório devem mapear as imagens usando uma URL acessível publicamente ou codificar a imagem em Base64 ao fazer a asserção.

#### ID Único do Funcionário

<mark style="color:azul;">**O ID exclusivo do Funcionário altera o identificador primário que o Zoom usa para identificar usuários**</mark>

O *ID Único do Funcionário* é um Recursos que o Zoom oferece para ajudar no gerenciamento de identidade. Por padrão, a identificação principal de um usuário do Zoom é o seu **e-mail** **endereço**. Isso significa que, se o tipo de login de e-mail comercial for **<john.smith@company.com>**, então a Zoom sempre irá identificar este usuário pelo endereço de e-mail. Este identificador é o que permite integrações como contas de SSO ou Facebook e Google OAuth para associar o usuário à mesma conta Zoom.

No entanto, esse processo de identificação pode ser problemático se o nome ou e-mail de um usuário mudar. Por exemplo, se **<john.smith@company.com>** tem uma Alterar de e-mail para **<jonathan.smith@company.com>**, o Zoom não pode determinar com segurança que estas são a mesma pessoa (porque o identificador fundamental é diferente), então o Zoom criará uma nova conta da primeira vez **<jonathan.smith@company.com>** faz login.

Para simplificar esse problema, o Zoom oferece o recurso de ID Único de Funcionário, que altera o identificador primário de um usuário de seu endereço de e-mail para um ID exclusivo estabelecido. *Isso não altera o Nome de usuário do Zoom de um usuário*, mas oferece, em vez disso, um atributo de identificação alternativo. Essa alteração permite que o Zoom atualize dinamicamente o endereço de e-mail de um usuário dentro do Zoom se:

* um *novo* endereço de e-mail vier acompanhado de um ID Único de Funcionário conhecido; e
* o domínio de e-mail do usuário afetado estiver associado no Zoom

Por exemplo, se **<john.smith@company.com>** autenticar-se e fornecer um valor SAML de 12345 (seu número de funcionário) para o atributo ID Único de Funcionário, o Zoom agora identificará o usuário dentro da conta pelo valor declarado. Se John se autenticar novamente usando o e-mail **<jonathan.smith@company.com>** enquanto ainda passa o ID Único do Funcionário de 12345, o Zoom identificará que <john.smith@company.com> agora é **<jonathan.smith@company.com>** e atualizará dinamicamente o e-mail do usuário na conta se o domínio estiver associado.

Os administradores de identidade devem estar *certos* de que nenhum dois usuários se sobreporão com o mesmo valor de ID Único do Funcionário antes de estabelecer o mapeamento SAML para esta categoria. Se outro usuário se autenticar e passar o mesmo valor, o e-mail será atualizado novamente para o novo usuário e pode causar interrupção significativa nos serviços e na experiência do usuário.

<mark style="color:azul;">**O recurso ID Único do Funcionário requer Domínios associados para Alterar o e-mail de um usuário**</mark>

O recurso ID Único do Funcionário não pode atualizar o endereço de e-mail de um usuário, a menos que o domínio de e-mail esteja oficialmente associado ao perfil da conta. Consulte nosso artigo de Suporte sobre [Domínios associados](https://support.zoom.us/hc/en-us/articles/203395207) para obter mais informações.

<mark style="color:azul;">**Os administradores e Proprietários não podem atualizar seus e-mails por meio do ID Único do Funcionário**</mark>

Os e-mails de administradores e Proprietários dentro do Zoom não podem ser atualizados por meio do recurso ID Único do Funcionário. Isso foi pensado como uma medida de segurança para impedir acesso não autorizado. Administradores e Proprietários devem Alterar seu e-mail por meio da página do perfil.

<mark style="color:azul;">**Os e-mails de usuário só podem ser atualizados uma vez por dia por meio do ID Único do Funcionário**</mark>

Os e-mails do usuário só podem ser atualizados uma vez a cada 24 horas por meio do Recursos de ID Único do Funcionário. O usuário deve aguardar um dia completo de calendário desde a atualização anterior antes de atualizar seu e-mail novamente por meio do SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de um fluxo de exemplo para atualizar emails de usuário.</p></figcaption></figure>

<mark style="color:azul;">**Definir o atributo SAML como \<NameID> usará o NameID afirmado do usuário**</mark>

Mapeando o atributo SAML de ID Único do Funcionário para **\<NameID>** usará automaticamente o valor NameID afirmado do usuário como seu identificador único. Isso pode ser uma ferramenta benéfica se o seu provedor de identidade afirmar um NameID diferente do e-mail de um usuário, como um Nome Principal do Usuário (UPN) ou valor semelhante que não pode ser Alterar. Não use este valor se os NameIDs dos usuários corresponderem ao seu e-mail.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo da configuração de administrador &#x3C;NameID>.</p></figcaption></figure>

### Mapeamento avançado: licenças, complementos e Acessar

A seção Mapeamento de Informações Avançadas do SAML pode aplicar dinamicamente licenças (incluindo Zoom Phone), complementos e grupos de acesso de usuários aos usuários à medida que se autenticam. Diferentemente do mapeamento básico, o mapeamento avançado contém muitas nuances que podem exigir atenção diligente ao configurar, dependendo da complexidade do seu ambiente. Esta seção destaca as nuances para configurar o mapeamento avançado do SAML. Consulte o nosso [artigo avançado de mapeamento SAML](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) para obter uma lista completa dos atributos suportados.

#### <mark style="color:azul;">O mapeamento avançado é aplicado toda vez que um usuário se autentica</mark>

Ao contrário do mapeamento básico, que tem atualizações opcionais para algumas categorias, as configurações de mapeamento avançado serão aplicadas toda vez que um usuário se autenticar, de acordo com a ordem de aplicação de cima para baixo.

Por exemplo, se um usuário tiver uma licença básica e depois se autenticar por meio de SSO, passando um atributo e um valor SAML mapeados para a concessão de uma licença completa, o usuário receberá instantaneamente a licença completa. Se o perfil do usuário for então alterado no provedor de identidade para voltar a uma licença básica, ele receberá novamente a licença básica assim que se autenticar novamente no Zoom.

#### <mark style="color:azul;">O mapeamento avançado permite vários atributos e valores SAML por categoria</mark>

Ao contrário do mapeamento básico, que permite apenas um atributo SAML por categoria, o mapeamento avançado pode oferecer suporte a vários atributos e valores para cada categoria. Isso oferece flexibilidade significativa ao gerenciar a licença e o acesso do usuário por meio de grupos de segurança em seu provedor de identidade, como visto na configuração a seguir.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de mapeamento de atributos para SAML.</p></figcaption></figure>

{% hint style="success" %}
**Dica do Zoom**

Os atributos SAML podem variar conforme o provedor de identidade, especialmente para grupos de segurança. Confirme com seu provedor de identidade ou por meio de [logs de resposta SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) como os atributos SAML são declarados.
{% endhint %}

#### <mark style="color:azul;">O mapeamento avançado aplica as licenças de cima para baixo quando vários atributos são declarados</mark>

Se um usuário passar vários atributos SAML ou valores configurados para o mapeamento avançado de SAML, o Zoom mapeará as licenças de cima para baixo. Veja o exemplo a seguir:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de seleção do tipo de licença nas Configurações do administrador.</p></figcaption></figure>

De acordo com a configuração acima, se um usuário passasse um atributo para ambos **global\_users** e **marketing**, porque **marketing** é o mais alto na configuração, este atributo será aplicado ao usuário, e os atributos aplicáveis restantes serão ignorados.

Alternativamente, se a configuração fosse definida com **global\_users** como o mais alto, conforme visto na captura de tela a seguir, se a declaração de um usuário contivesse **global\_users**, **marketing**, **human** **recursos**, e **TI**, porque **global\_users** é a prioridade mais alta, apenas uma licença básico será atribuída.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de ajuste da ordem de prioridade</p></figcaption></figure>

Os administradores do Zoom podem ajustar a ordem do aplicativo ao editar os valores de mapeamento usando as setas ↑↓ no editor.

{% hint style="success" %}
**Recomendação do Zoom**

Configurar as configurações avançadas da mais específica para a mais geral para impedir a atribuição incorreta de licença.
{% endhint %}

#### <mark style="color:azul;">Os mapeamentos de webinar e Grande reunião  podem compartilhar um valor comum para aplicar ambos os complementos</mark>

Para simplificar o processo de aplicativo, os administradores do Zoom podem Configurar o mesmo atributo e valor SAML duas vezes para aplicar ambos os complementos de webinar e Grande reunião  aos usuários, como visto na imagem a seguir com o **global\_users** valor. Esses complementos também podem ser configurados independentemente, se desejado, como mostrado com o **webinar\_only** e **large\_reunião\_only** valores.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de atributos SAML para large_reunião_only e webinar_only.</p></figcaption></figure>

#### <mark style="color:azul;">Os usuários podem ser adicionados a vários Grupos de Usuários usando um valor SAML</mark>

Os administradores do Zoom podem Configurar o mapeamento de Grupo de Usuários para Adicionar um usuário a vários grupos com um valor SAML.

O primeiro grupo de usuários adicionado será definido como o Grupo Primário do usuário e determinará as Configurações padrão do usuário *a menos que um grupo subjacente tenha uma configuração bloqueada*. Para mais informações sobre Grupos de Usuários, consulte o nosso [artigo de suporte](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de mapeamento de grupo de usuário múltiplo.</p></figcaption></figure>

#### <mark style="color:azul;">Usuários especificados e grupos de usuários podem ser isentos de mapeamentos SAML específicos</mark>

Cada opção em Mapeamento SAML Avançado pode ser configurada para isentar usuários específicos e grupos de usuários do comportamento de mapeamento. Isso pode ser benéfico para evitar a interrupção do serviço para usuários VIP devido a uma possível alteração na licenciamento.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de isenções de usuário.</p></figcaption></figure>

#### <mark style="color:azul;">O Auto Mapping atribui automaticamente usuários a um grupo de Usuário, canal ou grupo IM nomeado de acordo com o valor SAML declarado, se o valor não estiver mapeado anteriormente para um grupo</mark>

O Auto Mapping pode ser usado para Atribuir automaticamente usuários a um grupo de usuários, canal e grupo IM nomeado de acordo com o valor SAML declarado. Ao contrário de outros componentes de mapeamento avançado, que podem ser configurados para Atribuir um usuário a qualquer grupo com base no valor SAML, o Auto Mapping sempre Atribui um usuário a um grupo com base no valor SAML exato. Se o grupo não existia anteriormente, ele será criado automaticamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de Auto Mapping SAML.</p></figcaption></figure>

Por exemplo, se o Auto Mapping estiver definido para mapear um usuário para os grupos com base no departamento, se o valor do departamento ainda não estiver definido para o grupo de usuários, canal ou grupo IM, os usuários serão automaticamente atribuídos a um grupo que corresponda ao nome do departamento, conforme mostrado na tabela a seguir:

| Atributo SAML | Valor SAML       | O grupo do Zoom já existe? | Resultado                                                       |
| ------------- | ---------------- | -------------------------- | --------------------------------------------------------------- |
| Departamento  | Recursos Humanos | Sim                        | usuário adicionado ao grupo de Recursos Humanos                 |
| Departamento  | Marketing        | Sim                        | usuário adicionado ao grupo de Marketing                        |
| Departamento  | Vendas           | Não                        | grupo de Vendas é criado, usuário adicionado ao grupo de Vendas |

#### Zoom oferece suporte a até cinco atributos SAML personalizados

Os administradores do Zoom podem Configurar até *cinco* atributos SAML personalizados para adicionar dados do usuário ao perfil do Zoom deles na [Gerenciamento de usuário avançado](https://zoom.us/account/user#/advanced) página. Depois de adicionar os campos personalizados, os administradores do Zoom podem configurar o mapeamento na [Mapeamento de Resposta SAML](https://zoom.us/account/sso/mapping) página.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo de Atributos SAML Personalizados</p></figcaption></figure>

#### <mark style="color:azul;">Mapear usuários para uma subconta irá</mark> *<mark style="color:azul;">apenas</mark>* <mark style="color:azul;">aplicar uma licença de reunião e complementos</mark>

Mapear um usuário para uma subconta aplicará apenas a licença de reunião e complementos do usuário, como webinar e Grandes Reuniões, à subconta. Grupos de usuários, grupos de IM, funções de usuário etc. não serão aplicados e deverão ser configurados dentro da subconta.

Clientes que exigirem mais flexibilidade para o mapeamento de resposta SAML com subcontas precisarão de um URL intuitivo exclusivo e de uma nova configuração de SSO dentro da subconta.

### Solução de problemas de SSO

#### <mark style="color:azul;">Usando logs de resposta SAML para solucionar problemas</mark>

Os logs de resposta SAML salvos podem ser uma ferramenta valiosa para solucionar problemas de configuração e erros de usuário, além das configurações de mapeamento da resposta SAML. Se a configuração de SSO estiver definida para salvar logs de resposta SAML, eles podem ser acessados por meio da [Log de resposta SAML](https://zoom.us/account/sso/saml_logs) aba disponível na página de configuração de SSO em Configurações avançadas. Para visualizar os logs de resposta SAML, clique em **Exibir detalhes** ao lado de uma tentativa de autenticação.

#### <mark style="color:azul;">A maioria das autenticações será exibida nos logs de resposta</mark>

A maioria das tentativas de autenticação com falha ou sem êxito será exibida na página de logs de resposta. Se uma tentativa de autenticação não for exibida, é muito provável que o Zoom não tenha recebido uma asserção SAML do seu provedor de identidade ou que o salvamento de logs de resposta SAML esteja desativado.

#### <mark style="color:azul;">Os logs de resposta podem informar se a sua configuração está incorreta ou se o seu certificado está desatualizado</mark>

Quando os logs de resposta SAML estão ativados, as informações do provedor de identidade são afirmadas ao Zoom para autenticar identidades de cada parte. Se uma configuração afirmada ou uma string de informações, como o certificado X509 ou o ID do emissor, for diferente da configuração atual do Zoom, será exibido um erro informando que as informações “não correspondem às Configurações de SSO atuais”. Um administrador do Zoom pode atualizar a configuração de SSO para corresponder a esses valores afirmados, se estiverem corretos, para resolver o erro.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de avisos de configuração incorreta.</p></figcaption></figure>

#### <mark style="color:azul;">Os logs de resposta informam quais valores e atributos SAML estão sendo afirmados</mark>

Revisar os logs de resposta pode ajudar a resolver configurações de mapeamento da resposta SAML, verificando quais atributos e valores estão sendo afirmados pelos usuários durante a autenticação. Eles podem ser comparados com a configuração para garantir que os atributos e valores correspondam.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de informações sendo afirmadas pelo serviço do provedor de identidade.</p></figcaption></figure>

Se atributos ou valores SAML estiverem ausentes, isso significa que as informações não estão sendo afirmadas pelo serviço do provedor de identidade. Os usuários que enfrentarem esse problema são incentivados a entrar em contato com o suporte do provedor de identidade para obter mais assistência.

#### <mark style="color:azul;">Os Logs de resposta incluem um código de erro e uma breve explicação, se não tiver êxito</mark>

Se um usuário não conseguir autenticar ou receber um erro, os logs de resposta SAML contêm um código de erro e uma breve explicação do erro.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de código de erro e explicação.</p></figcaption></figure>

A maioria dos problemas pode ser identificada e resolvida usando essas mensagens de erro. Se não for possível resolver o erro, entre em contato com o Suporte do Zoom para obter assistência adicional.

#### <mark style="color:azul;">Erros de ID de rastreamento da Web</mark>

Se um usuário falhar na autenticação de SSO, ele receberá um código de erro WEB Tracking ID. Esses códigos não são uma mensagem de erro relacionada a uma falha específica, mas sim um ID de log exclusivo que pode ser revisado em Mapeamento da resposta SAML para identificar problemas de autenticação.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de um erro exibido ao usuário com um código de erro WEB Tracking ID.</p></figcaption></figure>

Para identificar o erro, se o registro de logs de resposta SAML estiver ativado, navegue até a [Log de resposta SAML](https://zoom.us/account/sso/saml_logs) aba disponível na página de configuração de SSO em Configurações avançadas. A partir daí, insira o WEB tracking ID no campo Tracking ID e pesquise para preencher o log de resposta

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de pesquisa no Log de resposta SAML com o código de erro WEB Tracking ID mencionado anteriormente.</p></figcaption></figure>

Os logs de resposta SAML devem exibir a asserção SAML e um código de erro e mensagem na parte inferior da resposta, que podem ser usados para solução adicional de problemas.

### Erros de SCIM

#### <mark style="color:azul;">Usuário não existe ou não pertence a esta conta</mark>

Esse erro ocorre quando o endereço de e-mail de um usuário alvo não consegue ser provisionado devido a uma conta já existente. Os administradores do Zoom são incentivados a entrar em contato diretamente com o usuário e convidá-lo manualmente para a conta.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de um erro de provisionamento.</p></figcaption></figure>

#### <mark style="color:azul;">Você não pode adicionar usuários pagos</mark>

Esse erro ocorre quando o SCIM tenta provisionar um usuário quando há licenças insuficientes na conta. Para resolver o erro, o usuário deve ser provisionado como um usuário básico ou uma licença deve ser disponibilizada para provisionamento.

### Usando logs do SCIM para solucionar problemas de provisionamento de usuário

O Zoom fornece os 100 logs mais recentes de solicitações de API no [Zoom Marketplace](https://marketplace.zoom.us/). Um administrador do Zoom pode usar esses logs para confirmar quais informações estão sendo enviadas e recebidas por meio das APIs de provisionamento. Para acessar os logs, faça login no Zoom Marketplace como administrador do Zoom e clique em **Gerenciar**. Na página seguinte, selecione **Logs de chamadas** em **Gerenciamento de aplicativos pessoais**. A partir daí, clique em uma entrada para expandir os logs da API e revisar o conteúdo.

A imagem a seguir mostra um exemplo de uma solicitação de provisionamento de usuário SCIM, com a identidade do usuário e os atributos de licenciamento destacados para referência.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de uma solicitação de provisionamento de usuário SCIM.</p></figcaption></figure>

Assim como no mapeamento da resposta SAML, o Zoom só pode aplicar as informações enviadas pelo provedor de identidade na solicitação de provisionamento. Use esses logs para confirmar se a identidade do usuário e os atributos de licenciamento estão sendo enviados pelo provedor de identidade. Se as informações esperadas estiverem ausentes dessas asserções, entre em contato com o provedor de identidade para obter suporte.

### Fluxos de dados e autenticação

#### <mark style="color:azul;">Autenticação SAML</mark>

O diagrama a seguir detalha o fluxo de autenticação SAML de um usuário ao iniciar uma sessão de logon único com o Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de um exemplo de fluxo de autenticação SAML.</p></figcaption></figure>

#### <mark style="color:azul;">Token de login da Web de SSO</mark>

Depois que um usuário autentica por meio de SAML, a sessão do usuário é criada dentro do navegador, e tem

uma duração de duas horas por padrão. Se o usuário continuar usando ativamente sua página da web do Zoom, a sessão será atualizada; no entanto, se o usuário não usar sua página da web por duas horas, o token expirará e o usuário deverá autenticar novamente. Os administradores do Zoom podem configurar essa duração da sessão ativa na [Segurança](https://zoom.us/account/setting/security) página em Usuários precisam iniciar sessão novamente após um período de inatividade e **Definir período de inatividade na web (minutos)**.

#### <mark style="color:azul;">Token de Login do Cliente</mark>

Quando um usuário tenta autenticar via SSO dentro de um cliente, a máquina do usuário abrirá um navegador e o redirecionará para a página de login do provedor de identidade. Depois que um usuário autentica, o navegador do usuário receberá um token de inicialização do cliente Zoom. Assim que um usuário clicar no botão “abrir” ou “iniciar”, o navegador usa o esquema de URL combinado com o token de inicialização para abrir o cliente Zoom.

O cliente Zoom usará o token de inicialização para obter o token de acesso e o token de atualização do servidor do Zoom. O cliente usará o token de acesso por um período de duas horas de cada vez e, ao expirar, usará o token de atualização para obter um novo conjunto de tokens, que são armazenados no banco de dados local do cliente. Esse processo de atualização é ilimitado por padrão e pode alternar continuamente entre tokens até que um usuário saia ou os tokens expirem. Os administradores do Zoom podem personalizar a duração da sessão na [Configurações de SSO](https://zoom.us/account/sso) página em [*impor logout automático*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).