# Guia de Campo de SSO

### Introdução

Integrar o logon único (SSO) com o Zoom oferece aos administradores opções de gerenciamento de usuário e segurança que podem simplificar o gerenciamento da conta. Depois de configurados, os usuários autenticam usando as credenciais da empresa no provedor de identidade da empresa, em vez de usar métodos alternativos de autenticação, como integrações com Google ou Facebook, ou um Nome de usuário e senha direto com o Zoom.

Este documento fornece uma visão geral abrangente das configurações e ajustes de SSO no Zoom, além de informações sobre solução de problemas e segurança.

### Integrações de SSO

#### <mark style="color:azul;">O SSO requer uma URL intuitivo para começar</mark>

Uma conta deve ter uma URL intuitivo aprovada antes de configurar o SSO. Depois que a URL intuitivo for aprovada, os administradores do Zoom podem acessar a [configuração de SSO](https://zoom.us/account/sso) página por meio do submenu de opções avançadas no portal da web. Consulte nosso artigo de suporte sobre [URLs intuitivo](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) para mais informações.

#### <mark style="color:azul;">O SSO do Zoom funciona com qualquer provedor de identidade SAML 2.0</mark>

Zoom pode integrar com qualquer provedor de identidade que suporte Security Assertion Markup Language (SAML) 2.0 autenticação. Embora existam muitas integrações com tutoriais documentados, alguns provedores de identidade não fornecem documentação para integrar com Zoom. Contas que não conseguem localizar instruções de configuração são incentivadas a entrar em contato com o seu provedor de identidade para obter mais informações.

#### <mark style="color:azul;">Os administradores do Zoom podem gerenciar informações de perfil do usuário e licenciamento por meio de mapeamento de resposta SAML ou integrações SCIM</mark>

Administradores podem gerenciar informações do perfil do usuário e licenciamento por meio de mapeamento de resposta SAML ou solicitações da Interface de Programação de Aplicativos (API) do System for Cross-Domain Identity Management (SCIM), dependendo dos recursos Disponível do provedor de identidade. Ambos os métodos de gerenciamento de usuário oferecem funcionalidade quase equivalente para mapeamento de informações de perfil e gerenciamento de licenciamento, mas alguns mapeamentos SCIM exigem configuração manual.

Para uma lista abrangente das capacidades SCIM, consulte a nossa [documentação da API SCIM](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:azul;">Os administradores do Zoom podem gerenciar o status da conta do usuário por meio de SCIM, mas não de SAML</mark>

Porque o SCIM permite que os provedores de identidade se comuniquem diretamente com o Zoom a qualquer momento, as contas de usuário podem ser *ativado*, *desativado*, *criado*, ou *excluído* por meio de integrações SCIM automaticamente. Por exemplo, se a conta de um usuário no Active Directory estiver desativada, ou se ele não estiver atribuído ao aplicativo, o SCIM pode enviar uma solicitação automática de desativação para a conta do usuário dentro do Zoom. Este Recursos depende das capacidades do aplicativo SCIM do provedor de identidade e a funcionalidade pode variar por provedor.

#### <mark style="color:azul;">Poucos provedores de identidade oferecem SCIM para Zoom</mark>

Muitos provedores de identidade não têm uma Integrações SCIM desenvolvida para o Zoom como parte de seus serviços. Contas que usam um provedor de identidade que não oferece suporte a SCIM com o Zoom devem usar o mapeamento de resposta SAML para Gerenciamento de usuário automatizado.

#### <mark style="color:azul;">SCIM requer um domínio associado para provisionar usuários automaticamente</mark>

Contas que usam SCIM para gerenciar e provisionar usuários para SSO **deve** associar o domínio de e-mail ao Zoom. A falha ao associar o domínio resultará em falhas no provisionamento de usuários. Consulte nosso artigo de Suporte sobre [Domínios associados](https://support.zoom.us/hc/en-us/articles/203395207) para obter mais informações sobre o processo.

#### <mark style="color:azul;">As seguintes integrações de SSO estão documentadas</mark>

{% hint style="success" %}
**Dica do Zoom**

Clique no ✔ na coluna Documentação do Provedor ou Documentação do Zoom para abrir uma nova janela com as instruções.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentação do Provedor</th><th>Documentação do Zoom</th><th>Suporta SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>ferramenta AD Sync</td></tr><tr><td>Esperto</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (anteriormente Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:azul;">O Active Directory local pode usar a ferramenta AD Sync em vez do SCIM</mark>

Contas que querem automatizar o provisionamento de usuários por meio do SCIM, mas não têm um provedor de identidade baseado em nuvem, podem usar o aplicativo Ferramenta de Sincronização do Active Directory (AD) desenvolvido pela Zoom para gerenciar seus usuários. Este aplicativo é executado no Oracle JDK 8 e simula o provisionamento do SCIM gerenciando usuários por meio de comandos de API. Veja nosso artigo de Suporte sobre o [ferramenta AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) para mais informações.

{% hint style="success" %}
**Recomendação do Zoom**

A ferramenta AD Sync requer configuração precisa para Gerenciamento de usuário. É necessário realizar testes completos e revisão da configuração da ferramenta antes da implementação total para evitar interrupção do serviço.
{% endhint %}

#### <mark style="color:azul;">Os provedores de identidade podem até autenticar participantes da reunião que não têm uma conta Zoom</mark>

Contas que desejam exigir que os usuários autentiquem a sua identidade, mas não desejam fornecer contas Zoom, podem Configurar um perfil de autenticação externa com o seu provedor de identidade. Quando ativado para uma reunião, os usuários que tentarem entrar devem autenticar suas credenciais de login junto ao seu provedor de identidade para obter Acessar. Esta é uma configuração comum para escolas que não fornecem contas a todos os alunos, mas exigem autenticação para entrar nas aulas. Consulte nosso artigo de Suporte sobre [configurando autenticação externa](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) para mais informações.

#### <mark style="color:azul;">Alterar o provedor de identidade requer reconfigurar o SSO dentro do Zoom</mark>

As contas que estão a alterar provedores de identidade devem refazer a sua configuração de SSO dentro do Zoom. Isto inclui atualizar todos os campos na página de configuração para corresponder ao seu novo provedor de identidade. As contas são incentivadas a confirmar que os mapeamentos de resposta SAML não mudarão com o novo provedor de identidade.

Não devem ser necessárias configurações ou alterações adicionais, assumindo que não há mais alterações.

#### <mark style="color:azul;">Clientes com subcontas podem configurar o SSO a partir da conta principal ou da subconta</mark>

Clientes com subcontas têm duas opções para configurar o SSO:

1. Todos os utilizadores autenticam-se usando o URL intuitivo da conta principal e fazem login automaticamente na subconta através de mapeamento SAML avançado ([aplicam-se algumas limitações de mapeamento](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); ou
2. Cada subconta tem um URL intuitivo exclusivo e uma configuração de SSO independente, usada exclusivamente pelos membros dessa subconta

Cada configuração oferece benefícios exclusivos, sendo a segunda opção a que oferece mais flexibilidade. Os clientes que considerem a implementação de qualquer uma das configurações devem discutir com a equipa da sua conta qual a configuração mais adequada às suas necessidades.

### Configurações e Segurança de SSO

Os administradores do Zoom podem escolher as opções ideais de segurança e Configurações para a sua Organização ao Configurar uma Integrações de SSO com o Zoom. Esta secção explica estas Configurações e as suas implicações para uma Integrações de SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de Configurações de Integrações de SSO.</p></figcaption></figure>

#### <mark style="color:azul;">O Zoom suporta pedidos SAML de início e fim de sessão assinados</mark>

Os administradores do Zoom que necessitem de autenticação adicional do provedor de serviço podem Configurar o Zoom para assinar todos os pedidos de início e fim de sessão ao fornecedor de identidade.

As contas que utilizem esta configuração podem exigir uma rotação de certificado se o respetivo fornecedor de identidade não suportar a atualização dinâmica de metadados. Consulte o nosso artigo de Suporte sobre [rotação de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para mais informações.

#### <mark style="color:azul;">O Zoom suporta asserções SAML encriptadas ao autenticar</mark>

Os administradores do Zoom podem Configurar o Zoom para suportar asserções encriptadas ao autenticar. Se esta configuração estiver ativada, as asserções não encriptadas serão descartadas. As contas que utilizem esta configuração podem exigir a rotação do certificado de SSO se o respetivo fornecedor de identidade não suportar a atualização dinâmica de metadados. Consulte o nosso artigo de Suporte sobre [rotação de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para mais informações.

#### <mark style="color:azul;">Os administradores do Zoom podem impor o logout automático após um período de tempo definido</mark>

Os administradores do Zoom podem Configurar o Zoom para desconectar automaticamente os usuários de sessões Ativo após períodos de tempo definidos, personalizáveis de 15 minutos a 180 dias. Esse processo definirá o token de acesso do Zoom para expirar no período predefinido assim que o token for gerado. Esse token não tem relação com um provedor de identidade e é exclusivo do Zoom.

#### <mark style="color:azul;">Os logs de resposta SAML podem ser salvos para solução de problemas</mark>

O Zoom pode salvar logs de resposta SAML de tentativas de autenticação por sete dias após uma autenticação. Esses logs de resposta podem ser uma ferramenta inestimável para solucionar problemas de configuração e erros de usuário, além das configurações de mapeamento de resposta SAML. Revise a seção sobre [solução de problemas com logs de resposta SAML](#using-saml-response-logs-to-troubleshoot) para mais informações.

{% hint style="success" %}
**Recomendação do Zoom**

Habilitar o salvamento de logs de resposta SAML para facilitar a solução de problemas.
{% endhint %}

#### <mark style="color:azul;">O provisionamento no login pode criar contas instantaneamente e é a opção de provisionamento mais fácil</mark>

Quando o SSO está configurado para provisionar *No login* (também conhecido como provisionamento just-in-time), qualquer usuário autorizado dentro do provedor de identidade pode autenticar no Zoom. Os usuários que não tiverem uma conta existente terão uma criada imediatamente no login.

O provisionamento no momento da autenticação pode simplificar as implantações do Zoom para uma empresa, permitindo que os usuários criem suas contas no momento da autenticação, em vez de exigir a criação proativa de usuários. Combinado com o mapeamento de resposta SAML, um perfil completo de usuário e a licença ficam prontos em segundos após a primeira autenticação do usuário.

Além disso, o provisionamento no momento da autenticação pode criar dinamicamente o tipo de login SSO para contas já existentes. Se um usuário tiver uma conta Zoom existente com Nome de usuário e senha, um tipo de login SSO será criado no momento da autenticação com essa configuração.

#### <mark style="color:azul;">O provisionamento antes da autenticação requer contas pré-criadas com um tipo de login SSO</mark>

Provisionamento de usuários para SSO *antes da autenticação* requer que os usuários que estão se autenticando tenham **ambos** uma conta Zoom existente e que a conta tenha um tipo de login SSO criado. Esse tipo de provisionamento geralmente é combinado com o provisionamento SCIM devido ao processo automatizado de criação de conta, mas não é exclusivo dele. Usuários do Zoom que consolidar na conta da empresa por meio de Domínios associados ou de um Convidar direto provavelmente não terão o tipo de login SSO.

Os administradores do Zoom podem confirmar se uma conta tem um tipo de login SSO visualizando a conta do usuário em [Gerenciamento de usuário](https://zoom.us/account/user#/) página dentro do portal da web e procurando o ícone “SSO” abaixo do e-mail do usuário.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Localização do ícone SSO abaixo do e-mail de um usuário.</p></figcaption></figure>

Se o ícone estiver presente, o usuário está provisionado para SSO; se o ícone estiver ausente, o usuário não conseguirá iniciar sessão via SSO enquanto o pré-provisionamento estiver ativado, até que ele seja adicionado. Um administrador do Zoom pode adicionar esse tipo de login ao adicionar usuários em massa por meio de um arquivo CSV e selecionar a opção “Usuário SSO” ou fazer com que o usuário autenticar enquanto o Provisionar no Início da sessão estiver ativado.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo mostrando a opção Usuário SSO para upload em massa.</p></figcaption></figure>

{% hint style="success" %}
**Recomendação do Zoom**

Para impedir que os usuários não consigam iniciar sessão, use o provisionamento no início da sessão ao configurar o SSO em uma conta pela primeira vez. Mude para o pré-provisionamento, se desejar, depois de confirmar que seus usuários estão pré-provisionados e que você tem métodos de pré-provisionamento em vigor.
{% endhint %}

#### <mark style="color:azul;">Um domínio deve ser associado e gerenciado para impor a autenticação SSO</mark>

Os administradores do Zoom podem impor a autenticação SSO *apenas* se o domínio de e-mail estiver associado e gerenciado no Zoom. Quando isso estiver ativado, todos os usuários que se autenticarem usando o(s) domínio(s) da sua empresa serão redirecionados automaticamente para a página de autenticação do seu provedor de identidade, independentemente da plataforma.

Assim que o domínio for aprovado e gerenciado, um administrador do Zoom pode impor a autenticação SSO por meio da [página de segurança](https://zoom.us/account/setting/security) sob **Métodos de início de sessão**. Consulte nosso artigo de Suporte sobre [Domínios associados](https://support.zoom.us/hc/en-us/articles/203395207) para mais informações sobre associar e gerir um domínio.

#### <mark style="color:azul;">Usuários especificados podem ser isentos da autenticação SSO obrigatória</mark>

Os administradores da Zoom podem excluir usuários específicos da autenticação SSO imposta. Excluir usuários específicos (como uma administrador da conta) pode ser útil se uma configuração de SSO for interrompida e um administrador da conta precisar de acesso não-SSO à conta Zoom. Os administradores que estiverem isentos podem entrar em admin.zoom.us a qualquer momento no Evento de um bloqueio de conta ou de uma configuração de SSO interrompida (o usuário deve ter o padrão **administrador** Função). Se um administrador Zoom não puder acessar a conta, eles devem entrar em contato com o Suporte do Zoom para obter assistência.

Para Habilitar uma exceção de usuário, navegue até a conta [página de segurança](https://zoom.us/account/setting/security) no portal da web, em opções avançadas, localize a lista de domínios impostos e Adicionar uma exceção por meio da lista de edição.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo de lista de domínios para SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Os clientes móveis e de desktop podem ser configurados para exigir que os usuários usem autenticação SSO</mark>

Os clientes Zoom podem ser pré-configurados para automatizar a funcionalidade SSO, incluindo login automático, logout automático, autenticação somente SSO no Dispositivo e muito mais por meio da Política de grupo, serviços de gerenciamento de dispositivos móveis (MDM) e clientes de implantação em massa.

Para uma lista completa de possibilidades de configuração, consulte nossas opções de configuração para [Política de grupo](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) e [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:azul;">Os usuários do Office 365 podem iniciar sessão automaticamente no Plugin Zoom para Outlook usando credenciais de SSO</mark>

Clientes que usam Office 365 podem iniciar sessão automaticamente os seus usuários no Plugin Zoom para Outlook usando credenciais de SSO. Isso pode ser combinado com um [manifesto personalizado do complemento](https://support.zoom.us/hc/en-us/articles/360041403311) que preenche previamente o URL intuitivo da conta, criando uma experiência de autenticação perfeita para os usuários. Este Recursos usa o token de sessão SSO do usuário se ele estiver ativo, ou solicitará uma nova autenticação com o seu provedor de identidade se nenhuma sessão ativa for encontrada.

Um administrador do Zoom pode habilitar esta configuração na conta [página de segurança](https://zoom.us/account/setting/security) em **avançado** menu.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de configuração de administrador para SSO com complemento do Outlook.</p></figcaption></figure>

### Mapeamento de Resposta SAML

Os atributos SAML são categorias de dados definidas por valores SAML e são usados para transmitir informações do provedor de identidade para um provedor de serviço como o Zoom. O mapeamento de atributos e valores é essencial para automatizar informações do perfil do usuário e gerenciar licenças do usuário.

O mapeamento de resposta SAML é dividido em duas partes: *básico* e *avançado*. O mapeamento básico é usado para mapear informações básicas do perfil, incluindo nome, número de telefone, departamento etc. O mapeamento avançado é usado para gerenciar atribuições dinâmicas de licenças, atribuir grupos de usuários, funções de usuário e muito mais.

Esta seção aborda os fundamentos do mapeamento de resposta SAML, o mapeamento de resposta SAML básico e avançado, e destaca condições exclusivas exigidas por alguns recursos.

#### <mark style="color:azul;">Fundamentos: Atributos e Valores SAML</mark>

A maioria dos provedores de identidade transmite informações básicas do perfil usando nomes e valores de atributos simples. Por exemplo, o departamento de um Funcionário pode ser transmitido via SAML com um atributo de department e um valor de Human Resources. A tabela a seguir demonstra a relação entre atributos e valores ao transmitir informações sobre um usuário.

| Atributo SAML | Valor SAML                     |
| ------------- | ------------------------------ |
| nome          | John                           |
| sobrenome     | Smith                          |
| e-mail        | <john.smith@companydomain.com> |
| departamento  | Recursos Humanos               |

Ao atribuir corretamente um atributo SAML a um mapeamento de resposta, as informações do usuário podem ser aplicadas automaticamente a um perfil de usuário para simplificar o processo de criação e gerenciamento da conta.

#### <mark style="color:azul;">Mapeamento básico: Informações do perfil</mark>

O mapeamento de informações básicas do SAML é usado para aplicar informações de perfil, como primeiro nome, sobrenome, departamento, número de telefone, centro de custo e Localização, de um diretório ao perfil de um usuário. Muitas dessas categorias são autoexplicativas e podem ser facilmente configuradas; no entanto, algumas categorias exigem explicação para uma configuração adequada, a fim de impedir consequências imprevistas ou erros do aplicativo. A seção a seguir destaca opções de mapeamento exclusivas e Configurações de configuração para o mapeamento básico. Consulte nosso [artigo básico de mapeamento SAML](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) para obter uma lista completa dos atributos suportados.

#### <mark style="color:azul;">O tipo de licença padrão se aplica apenas a</mark> *<mark style="color:azul;">usuários totalmente novos</mark>*

A opção de tipo de licença padrão aplicará a licença designada a todos os *totalmente novos* usuários que são provisionados na conta por meio do SAML. Isso não se aplica a usuários que estão se autenticando pela segunda vez, usuários que foram consolidados na conta a partir de uma conta anterior, usuários que são provisionados por meio do SCIM ou usuários que foram convidados manualmente.

Para obter informações sobre *atualização* licenças de usuário com autenticação, consulte a configuração da licença em [Mapeamento SAML avançado](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">Um tipo de licença padrão de</mark> *<mark style="color:azul;">Nenhum</mark>* <mark style="color:azul;">não irá Permitir que novos usuários se autentiquem, a menos que o mapeamento avançado esteja configurado para Atribuir uma licença</mark>

Os usuários do Zoom devem ter um tipo de licença atribuído (básico, Licenciado ou no local) para iniciar sessão no serviço Zoom. Se um tipo de licença padrão de Nenhum for selecionado, os novos usuários não poderão iniciar sessão nem criar uma nova conta, a menos que recebam uma licença por meio de [Mapeamento SAML avançado](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">A maioria dos mapeamentos básicos será reaplicada ao iniciar sessão, salvo indicação em contrário</mark>

A maioria dos mapeamentos básicos de SAML será atualizada sempre que um usuário iniciar sessão por padrão, *exceto* *para* nome, sobrenome, nome de exibição e número de telefone. Por padrão, esses quatro mapeamentos serão aplicados apenas na primeira vez que um usuário se autenticar e não serão aplicados novamente, mesmo que sejam atualizados por um usuário ou administrador. Os administradores do Zoom podem Alterar esse comportamento habilitando a opção para **Atualizar em cada login SSO** na página de mapeamento de resposta SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo da opção Atualizar em cada login SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Os mapeamentos de Números de telefone devem incluir um código do país e código de área se estiverem fora dos Estados Unidos</mark>

Os Números de telefone mapeados por meio de SAML devem incluir o código do país e o código de área do usuário na asserção SAML quando possível. O Zoom assumirá um código do país +1 se não for definido por padrão.

Contas que não mantêm códigos de país em seu diretório podem editar suas asserções SAML em seu provedor de identidade para incluir automaticamente esses dados, se necessário.

#### <mark style="color:azul;">Cada usuário pode ter até três Números de telefone e um número de fax mapeados para seu perfil</mark>

Os administradores do Zoom podem Configurar até três mapeamentos separados de Números de telefone e um número de fax para cada usuário. Cada número de telefone deve ser único e não pode duplicar o valor de outro campo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo das opções de Números de telefone para cada usuário.</p></figcaption></figure>

#### <mark style="color:azul;">As fotos de perfil devem ser mapeadas a partir de um URL acessível publicamente ou codificadas com Base64</mark>

As contas que desejam mapear fotos de perfil do seu diretório devem mapear as imagens usando uma URL acessível publicamente ou codificar a imagem em Base64 ao fazer a asserção.

#### ID exclusivo do Funcionário

<mark style="color:azul;">**O ID Único do Funcionário altera o identificador principal que o Zoom usa para identificar os utilizadores**</mark>

O *ID exclusivo do Funcionário* é um Recursos que o Zoom oferece para ajudar no gerenciamento de identidade. Por padrão, a identificação principal de um usuário do Zoom é seu **e-mail** **endereço**. Isto significa que, se o tipo de início de sessão do e-mail comercial for **<john.smith@company.com>**, em seguida, o Zoom sempre identificará este usuário pelo endereço de e-mail. Esse identificador é o que permite que integrações como contas Zoom (SSO) ou Facebook e Google OAuth associem o usuário à mesma conta Zoom.

No entanto, esse processo de identificação pode ser problemático se o nome ou o e-mail de um usuário mudar. Por exemplo, se **<john.smith@company.com>** tiver uma alteração de e-mail para **<jonathan.smith@company.com>**, o Zoom não pode determinar com segurança que se trata da mesma pessoa (porque o identificador fundamental é diferente), então o Zoom criará uma nova conta na primeira vez em que **<jonathan.smith@company.com>** fizer login.

Para simplificar esse problema, o Zoom oferece o recurso ID Único do Funcionário, que altera o identificador principal de um usuário de seu endereço de e-mail para um ID exclusivo estabelecido. *Isso não altera o Nome de usuário do Zoom do usuário*, mas oferece um atributo de identificação alternativo. Essa alteração permite que o Zoom atualize dinamicamente o endereço de e-mail de um usuário dentro do Zoom se:

* um *novo* endereço de e-mail vier acompanhado de um ID Único do Funcionário conhecido; e
* o domínio de e-mail do usuário afetado estiver associado no Zoom

Por exemplo, se **<john.smith@company.com>** autenticar e passar um valor SAML de 12345 (seu número de funcionário) para o atributo ID Único do Funcionário, o Zoom agora identificará o usuário dentro da conta pelo valor declarado. Se John autenticar novamente usando o e-mail **<jonathan.smith@company.com>** enquanto ainda passa o ID Único do Funcionário de 12345, o Zoom identificará que <john.smith@company.com> agora é **<jonathan.smith@company.com>** e atualizará dinamicamente o e-mail do usuário dentro da conta se o domínio estiver associado.

Os administradores de identidade devem ter *certeza* de que nenhum usuário se sobreporá ao mesmo valor de ID Único do Funcionário antes de estabelecer o mapeamento SAML para esta categoria. Se outro usuário se autenticar e passar o mesmo valor, o e-mail será atualizado novamente para o novo usuário e isso pode causar interrupções significativas nos serviços e na experiência do usuário.

<mark style="color:azul;">**O recurso ID Único do Funcionário requer Domínios associados para alterar o e-mail de um usuário**</mark>

O recurso ID Único do Funcionário não pode atualizar o endereço de e-mail de um usuário, a menos que o domínio de e-mail esteja oficialmente associado ao seu perfil da conta. Consulte nosso artigo de suporte sobre [Domínios associados](https://support.zoom.us/hc/en-us/articles/203395207) para mais informações.

<mark style="color:azul;">**Administradores e Proprietários não podem atualizar seu e-mail por meio do ID Único do Funcionário**</mark>

Os e-mails de administradores e proprietários dentro do Zoom não podem ser atualizados por meio do recurso ID Único do Funcionário. Isso se destina a ser uma medida de segurança para impedir acesso não autorizado. Administradores e proprietários devem alterar seu e-mail por meio da página de perfil.

<mark style="color:azul;">**Os e-mails dos usuários só podem ser atualizados uma vez por dia por meio do ID Único do Funcionário**</mark>

Os e-mails dos usuários só podem ser atualizados uma vez a cada 24 horas por meio do recurso ID Único do Funcionário. Um usuário deve esperar um dia de calendário completo após a atualização anterior antes de atualizar seu e-mail por meio do SSO novamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de um fluxo de exemplo para atualizar e-mails de usuários.</p></figcaption></figure>

<mark style="color:azul;">**Definir o atributo SAML como \<NameID> usará o NameID declarado do usuário**</mark>

Mapear o atributo SAML ID Único do Funcionário para **\<NameID>** usará automaticamente o valor declarado de NameID do usuário como seu identificador exclusivo. Essa pode ser uma ferramenta benéfica se o seu provedor de identidade declarar um NameID diferente do e-mail de um usuário, como um Nome Principal do Usuário (UPN) ou valor semelhante que não muda. Não use esse valor se os NameIDs dos usuários corresponderem ao e-mail deles.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo da configuração de administrador &#x3C;NameID>.</p></figcaption></figure>

### Mapeamento avançado: licenças, complementos e Acessar

A seção de Mapeamento de Informações Avançadas SAML pode aplicar dinamicamente licenças (incluindo Zoom Phone), complementos e grupos de acesso de usuários aos usuários à medida que eles se autenticam. Diferentemente do mapeamento básico, o mapeamento avançado contém muitas nuances que podem exigir atenção diligente durante a configuração, dependendo da complexidade do seu ambiente. Esta seção destaca as nuances para configurar o mapeamento SAML avançado. Consulte nosso [artigo sobre Mapeamento SAML avançado](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) para obter uma lista completa dos atributos suportados.

#### <mark style="color:azul;">O mapeamento avançado é aplicado toda vez que um usuário se autentica</mark>

Diferentemente do mapeamento básico, que tem atualizações opcionais para algumas categorias, as configurações de mapeamento avançado serão aplicadas toda vez que um usuário se autenticar, de acordo com a ordem de aplicação de cima para baixo.

Por exemplo, se um usuário tiver uma licença básica e depois se autenticar por SSO passando um atributo SAML e um valor mapeado para conceder uma licença completa, o usuário receberá instantaneamente a licença completa. Se o perfil do usuário for então alterado no provedor de identidade para colocá-lo novamente em uma licença básica, ele será reatribuído à licença básica assim que se autenticar novamente no Zoom.

#### <mark style="color:azul;">O mapeamento avançado permite vários atributos e valores SAML por categoria</mark>

Diferentemente do mapeamento básico, que permite apenas um atributo SAML por categoria, o mapeamento avançado pode oferecer suporte a vários atributos e valores para cada categoria. Isso permite uma flexibilidade significativa ao gerenciar licenças e acesso de usuários por meio de grupos de segurança no seu provedor de identidade, como visto na configuração a seguir.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de mapeamento de atributos para SAML.</p></figcaption></figure>

{% hint style="success" %}
**Dica do Zoom**

Os atributos SAML podem variar de acordo com o provedor de identidade, especialmente para grupos de segurança. Confirme com o seu provedor de identidade ou por meio de [registros de resposta SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) como os atributos SAML são declarados.
{% endhint %}

#### <mark style="color:azul;">O mapeamento avançado aplica licenças de cima para baixo quando vários atributos são declarados</mark>

Se um usuário passar vários atributos ou valores SAML configurados para mapeamento SAML avançado, o Zoom mapeará as licenças de cima para baixo. Veja o exemplo a seguir:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de seleção do tipo de licença nas configurações de administrador.</p></figcaption></figure>

De acordo com a configuração acima, se um usuário passar um atributo para ambos **global\_users** e **marketing**, porque **marketing** é o mais alto na configuração, este atributo será aplicado ao usuário, e os atributos aplicáveis restantes serão ignorados.

Alternativamente, se a configuração foi definida com **global\_users** como o mais alto, como visto na captura de tela a seguir, se a asserção de um usuário contivesse **global\_users**, **marketing**, **humano** **recursos**, e **TI**, porque **global\_users** é a prioridade mais alta, apenas uma licença básico será declarada.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de ajuste da ordem de prioridade</p></figcaption></figure>

Os administradores do Zoom podem ajustar a ordem de aplicativo ao editar os valores de mapeamento usando as setas ↑↓ dentro do editor.

{% hint style="success" %}
**Recomendação do Zoom**

Configurar as configurações avançadas da mais específica para a mais geral para impedir a aplicação incorreta da licença.
{% endhint %}

#### <mark style="color:azul;">Os mapeamentos de webinar e Grande reunião podem partilhar um valor comum para aplicar ambos os complementos</mark>

Para simplificar o processo de aplicativo, os administradores do Zoom podem Configurar o mesmo atributo e valor SAML duas vezes para aplicar tanto os adicionais de webinar quanto os de Grande reunião aos usuários, conforme visto na imagem a seguir com o **global\_users** valor. Esses Adicionar-ons também podem ser configurados independentemente, se desejado, como mostrado com o **webinar\_apenas** e **grande\_reunião\_apenas** valores.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de atributos SAML para large_reunião_only e webinar_only.</p></figcaption></figure>

#### <mark style="color:azul;">Usuários podem ser adicionados a vários Grupos de usuários usando um valor SAML</mark>

Os administradores do Zoom podem Configurar o mapeamento de grupo de usuários para Adicionar um usuário a vários grupos com um valor SAML.

O primeiro grupo de usuários adicionado será definido como o Grupo Primário do usuário e determinará as Configurações padrão do usuário *a menos que um grupo subjacente tenha uma configuração bloqueada*. Para mais informações sobre grupos de usuários, consulte nosso [artigo de Suporte](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de mapeamento de múltiplos grupos de usuários.</p></figcaption></figure>

#### <mark style="color:azul;">Usuários especificados e grupos de usuários podem ser isentos de mapeamentos específicos de SAML</mark>

Cada opção em Mapeamento Avançado de SAML pode ser configurada para isentar usuários específicos e grupos de usuários do comportamento de mapeamento. Isso pode ser benéfico para evitar interrupções no serviço para usuários VIP devido a uma possível Alterar na licença.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de isenções de usuários.</p></figcaption></figure>

#### <mark style="color:azul;">O Mapeamento Automático atribui automaticamente usuários a um Usuário, canal ou grupo de IM com o nome de seu valor SAML afirmado, se o valor não estiver mapeado previamente para um grupo</mark>

O Mapeamento Automático pode ser usado para Atribuir automaticamente usuários a um Grupo de usuários, canal e Grupo de IM com o nome de seu valor SAML afirmado. Diferentemente de outros componentes avançados de mapeamento, que podem ser configurados para Atribuir um usuário a qualquer grupo com base no valor de SAML, o Mapeamento Automático sempre Atribui um usuário a um grupo com base no valor exato de SAML. Se o grupo não existia anteriormente, ele será criado automaticamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de Mapeamento Automático de SAML.</p></figcaption></figure>

Por exemplo, se o Mapeamento Automático estiver definido para mapear um usuário nos grupos com base em seu departamento, se o valor do departamento ainda não estiver definido para o Grupo de Usuário, Canal ou Grupo de IM, os usuários serão atribuídos automaticamente a um grupo que corresponda ao nome do seu departamento, como mostrado na tabela a seguir:

| Atributo SAML | Valor SAML       | O grupo Zoom já existe? | Resultado                                                       |
| ------------- | ---------------- | ----------------------- | --------------------------------------------------------------- |
| Departamento  | Recursos Humanos | Sim                     | Usuário adicionado ao grupo de Recursos Humanos                 |
| Departamento  | Marketing        | Sim                     | Usuário adicionado ao grupo de Marketing                        |
| Departamento  | Vendas           | Não                     | grupo de Vendas é criado, usuário adicionado ao grupo de Vendas |

#### Zoom oferece suporte a até cinco atributos SAML personalizados

Os administradores do Zoom podem Configurar até *cinco* atributos SAML personalizados para adicionar dados do usuário ao perfil do Zoom na [gerenciamento avançado de usuário](https://zoom.us/account/user#/advanced) página. Depois de adicionar os campos personalizados, os administradores do Zoom podem Configurar o mapeamento na [Mapeamento de Resposta SAML](https://zoom.us/account/sso/mapping) página.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemplo de Atributos SAML Personalizados</p></figcaption></figure>

#### <mark style="color:azul;">Mapear usuários para uma subconta irá</mark> *<mark style="color:azul;">apenas</mark>* <mark style="color:azul;">aplicar uma licença de reunião e complementos</mark>

Mapear um usuário para uma subconta aplicará apenas a licença de reunião e os complementos do usuário, como webinar e Reuniões Grandes, à subconta. Grupos de usuários, Grupos de IM, Funções de usuário etc. não serão aplicados e devem ser configurados dentro da subconta.

Clientes que exigirem mais flexibilidade para o mapeamento de resposta SAML com subcontas precisarão de uma URL intuitivo exclusiva e de uma nova configuração de SSO dentro da subconta.

### Solução de problemas de SSO

#### <mark style="color:azul;">Usar registros de resposta SAML para solucionar problemas</mark>

Os registros de resposta SAML salvos podem ser uma ferramenta inestimável para solucionar problemas de configuração e erros de usuário, além das configurações de mapeamento de resposta SAML. Se a sua configuração de SSO estiver definida para salvar registros de resposta SAML, eles podem ser acessados por meio da [Registro de resposta SAML](https://zoom.us/account/sso/saml_logs) aba disponível na página de configuração de SSO em Configurações avançadas. Para ver os registros de resposta SAML, clique em **Exibir detalhes** ao lado de uma tentativa de autenticação.

#### <mark style="color:azul;">A maioria das autenticações será exibida nos registros de resposta</mark>

A maioria das tentativas de autenticação com falha ou sem sucesso será exibida na página de registros de resposta. Se uma tentativa de autenticação não for exibida, é mais provável que o Zoom não tenha recebido uma asserção SAML do seu provedor de identidade ou que o salvamento de registros de resposta SAML esteja desativado.

#### <mark style="color:azul;">Os registros de resposta podem informar se a sua configuração está incorreta ou se o seu certificado está desatualizado</mark>

Quando os registros de resposta SAML estão ativados, as informações do provedor de identidade são afirmadas ao Zoom para autenticar identidades de cada parte. Se uma configuração ou cadeia de informações afirmada, como o certificado X509 ou o ID do emissor, for diferente da configuração atual do Zoom, aparecerá um erro informando que as informações “não correspondem às Configurações de SSO atuais”. Um administrador do Zoom pode atualizar a configuração de SSO para corresponder a esses valores afirmados, se estiverem corretos, para resolver o erro.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de avisos de configuração incorreta.</p></figcaption></figure>

#### <mark style="color:azul;">Os registros de resposta informam quais valores e atributos SAML estão sendo afirmados</mark>

Analisar os registros de resposta pode ajudar a resolver configurações de mapeamento de resposta SAML, verificando quais atributos e valores estão sendo afirmados pelos usuários quando se autenticam. Eles podem ser comparados com a configuração para garantir que os atributos e valores correspondam.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de informações sendo afirmadas pelo serviço do provedor de identidade.</p></figcaption></figure>

Se atributos ou valores SAML estiverem ausentes, as informações não estão sendo afirmadas pelo serviço do provedor de identidade. Os usuários que estiverem enfrentando esse problema são incentivados a entrar em contato com os serviços de suporte do provedor de identidade para obter mais ajuda.

#### <mark style="color:azul;">Os Registros de resposta incluem um código de erro e uma breve explicação, se não forem bem-sucedidos</mark>

Se um usuário não conseguir autenticar ou receber um erro, os registros de resposta SAML contêm um código de erro e uma breve explicação do erro.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de código de erro e explicação.</p></figcaption></figure>

A maioria dos problemas pode ser identificada e resolvida usando essas mensagens de erro. Se você não conseguir resolver o erro, entre em contato com o Suporte do Zoom para obter assistência adicional.

#### <mark style="color:azul;">Erros de ID de rastreamento da Web</mark>

Se um usuário falhar na autenticação de SSO, ele receberá um código de erro de ID de rastreamento da WEB. Esses códigos não são uma mensagem de erro relacionada a uma falha específica, mas sim um ID de log exclusivo que pode ser revisado em Mapeamento de Resposta SAML para identificar problemas de autenticação.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de um erro visível ao usuário com um código de erro de ID de rastreamento da WEB.</p></figcaption></figure>

Para identificar o erro, se o registro de resposta SAML estiver ativado, navegue até a [Registro de resposta SAML](https://zoom.us/account/sso/saml_logs) aba disponível na página de configuração de SSO em Configurações avançadas. A partir daí, insira a ID de rastreamento WEB no campo ID de rastreamento e pesquise para preencher o registro de resposta

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de pesquisa no Registro de resposta SAML com o referido código de erro de ID de rastreamento da WEB.</p></figcaption></figure>

Os registros de resposta SAML devem exibir a asserção SAML e um código e mensagem de erro na parte inferior da resposta, que podem ser usados para solução de problemas adicional.

### Erros SCIM

#### <mark style="color:azul;">Usuário não existe ou não pertence a esta conta</mark>

Esse erro ocorre quando o endereço de e-mail de um usuário alvo não consegue ser provisionado devido a uma conta já existente. Os administradores do Zoom são incentivados a entrar em contato diretamente com o usuário e convidá-lo manualmente para a conta.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de um erro de provisionamento.</p></figcaption></figure>

#### <mark style="color:azul;">Você não pode adicionar usuários pagos</mark>

Esse erro ocorre quando o SCIM tenta provisionar um usuário quando há licenças inadequadas na conta. Para resolver o erro, o usuário deve ser provisionado como um usuário básico ou uma licença deve ser disponibilizada para provisionamento.

### Usar logs do SCIM para solucionar problemas de provisionamento de usuários

O Zoom fornece os 100 logs de solicitação de API mais recentes no [Zoom Marketplace](https://marketplace.zoom.us/). Um administrador do Zoom pode usar esses logs para confirmar quais informações estão sendo enviadas e recebidas por meio das APIs de provisionamento. Para acessar os logs, entre no Zoom Marketplace como administrador do Zoom e clique em **Gerenciar**. Na página seguinte, selecione **Registros de chamadas** sob **Gerenciamento de aplicativos pessoais**. A partir daí, clique em uma entrada para expandir os logs da API e revisar o conteúdo.

A imagem a seguir mostra um exemplo de uma solicitação de provisionamento de usuário SCIM, com a identidade do usuário e os atributos de licenciamento destacados para referência.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemplo de uma solicitação de provisionamento de usuário SCIM.</p></figcaption></figure>

Assim como no mapeamento de resposta SAML, o Zoom só pode aplicar as informações enviadas pelo provedor de identidade na solicitação de provisionamento. Use esses logs para confirmar se a identidade do usuário e os atributos de licenciamento estão sendo enviados pelo provedor de identidade. Se as informações esperadas estiverem ausentes dessas asserções, entre em contato com o provedor de identidade para obter suporte.

### Fluxos de dados e autenticação

#### <mark style="color:azul;">autenticação SAML</mark>

O diagrama a seguir detalha o fluxo de autenticação SAML de um usuário ao iniciar uma sessão de logon único com o Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de um exemplo de fluxo de autenticação SAML.</p></figcaption></figure>

#### <mark style="color:azul;">Token de login Web do SSO</mark>

Depois que um usuário autentica por meio de SAML, a sessão do usuário é construída dentro do navegador e tem

uma duração de duas horas por padrão. Se o usuário continuar a usar ativamente sua página da web do Zoom, a sessão será atualizada; no entanto, se o usuário não usar sua página da web por duas horas, o token expirará e o usuário deverá autenticar novamente. Os administradores do Zoom podem configurar essa duração de sessão Ativa na [Segurança](https://zoom.us/account/setting/security) página em Usuários precisam iniciar sessão novamente após um período de inatividade e **Definir período de inatividade na web (minutos)**.

#### <mark style="color:azul;">Token de login do cliente</mark>

Quando um usuário tenta autenticar por meio de SSO dentro de um cliente, a máquina do usuário abrirá um navegador e o redirecionará para a página de login do provedor de identidade. Depois que um usuário autentica, o navegador do usuário receberá um token de inicialização do cliente Zoom. Assim que um usuário clicar no botão “abrir” ou “iniciar”, o navegador usa o esquema de URL combinado com o token de inicialização para abrir o cliente Zoom.

O cliente Zoom usará o token de inicialização para obter o token de acesso e o token de atualização do servidor Zoom. O cliente usará o token de acesso por um período de duas horas de cada vez e, quando expirar, usará o token de atualização para obter um novo conjunto de tokens, que são armazenados no banco de dados local do cliente. Esse processo de atualização é ilimitado por padrão e pode continuar alternando entre tokens até que um usuário encerre a sessão ou os tokens expirem. Os administradores do Zoom podem personalizar a duração da sessão na [Configurações de SSO](https://zoom.us/account/sso) página em [*exigir logout automático*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://library.zoom.com/technical-library/pt/canto-do-administrador/account-and-endpoint-management/sso-field-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.