# SSO-fältguide ### Inledning Genom att integrera enkel inloggning (SSO) med Zoom får administratörer användarhantering och säkerhetsalternativ som kan förenkla kontohantering. När det har konfigurerats autentiserar användare sig med sina företagsuppgifter mot företagets identitetsleverantör i stället för att använda alternativa autentiseringsmetoder som integrationer med Google eller Facebook, eller ett direkt användarnamn och lösenord med Zoom. Detta dokument ger en omfattande översikt över SSO-konfigurationer och inställningar i Zoom, samt information om felsökning och säkerhet. ### SSO-integrationer #### SSO kräver en anpassad URL för att komma igång Ett konto måste ha en godkänd anpassad URL innan SSO konfigureras. När den anpassade URL:en har godkänts kan Zoom-administratörer få Access till [SSO-konfiguration](https://zoom.us/account/sso) sidan via undermenyn för avancerade alternativ i webbportalen. Se vår supportartikel om [Anpassade URL:er](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) för mer information. #### Zoom SSO fungerar med alla SAML 2.0-identitetsleverantörer Zoom kan integrera med valfri identitetsleverantör som stöder Security Assertion Markup Language (SSML) 2.0 autentisering. Även om det finns många dokumenterade integreringar, tillhandahåller vissa identitetsleverantörer ingen dokumentation för att integrera med Zoom. Konton som inte kan hitta konfigurationsinstruktioner uppmanas att kontakta sin identitetsleverantör för mer information. #### Zoom-administratörer kan hantera användareprofilinformation och licensiering via SAML-svarsmappning eller SCIM-integrationer Administratörer kan hantera information om användarprofiler och licenser via SAML-svarsmappning eller begäranden till System for Cross-Domain Identity Management (SCIM) applikationsprogrammeringsgränssnitt (API), beroende på vilka funktioner som är tillgängliga från identitetsleverantören. Båda metoderna för användarhantering erbjuder nästan likvärdig funktionalitet för mappning av profilinformation och licenshantering, men vissa SCIM-mappningar kräver manuell konfiguration. För en omfattande lista över SCIM-funktioner, se vår [SCIM API-dokumentation](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&SessionId=1778697171616). #### Zoom-administratörer kan hantera användares kontostatus via SCIM, men inte SAML Eftersom SCIM gör det möjligt för identitetsleverantörer att kommunicera direkt med Zoom när som helst kan användarkonton vara *aktiverad*, *avaktiverad*, *skapad*, eller *raderad* genom SCIM-integrationer automatiskt. Till exempel, om ett användares konto i Active Directory är inaktiverat, eller om de inte har tilldelats applikation, kan SCIM skicka en automatisk avaktiveringsbegäran för användarens konto inom Zoom. Den här funktionen är beroende av identitetsleverantörens SCIM-applikations funktioner och funktionaliteten kan variera mellan leverantörer. #### Begränsat antal identitetsleverantörer erbjuder SCIM för Zoom Många identitetsleverantörer har inte en SCIM-integreringar som är byggd för Zoom som en del av sina tjänster. Konton som använder en identitetsleverantör som inte stöder SCIM med Zoom måste använda SAML-svarsmappning för automatiserad användarhantering. #### SCIM kräver en associerad domän för att automatiskt tillhandahålla användare Konton som använder SCIM för att hantera och provisionera användare för SSO **måste** associera e-postdomänen med Zoom. Om domänen inte associeras kommer det att leda till fel i användareetableringen. Se vår Support-artikel om [kopplade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information om processen. #### Följande SSO-integrationer är dokumenterade {% hint style="success" %} **Zoom-tips** Klicka på ✔ i kolumnen Provider eller Zoom Documentation för att öppna ett nytt fönster med instruktioner. {% endhint %}
Provider DocumentationZoom DocumentationStöder SCIM
auth0

ADFS
AD Sync-verktyg
Smart

CyberArk

Duo

Entra ID (tidigare Azure)
Google
JumpCloud
miniOrange

Okta
OneLogin
Ping Identity
Shibboleth

#### On-premises Active Directory kan använda AD Sync-verktyg i stället för SCIM Konton som vill automatisera användarprovisionering via SCIM men som inte har en molnbaserad identitetsprovider kan använda Active Directory (AD) Sync Tool-applikationen som utvecklats av Zoom för att hantera sina användare. Den här applikationen körs på Oracle JDK 8 och simulerar SCIM-provisionering genom att hantera användare via API-kommandon. Se vår supportartikel om den [AD Sync-verktyg](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) för mer information. {% hint style="success" %} **Zoom-rekommendation** AD Sync-verktyget kräver exakt konfiguration för användarhantering. Grundlig testning och granskning av verktygets konfiguration krävs innan full implementering för att undvika driftstörningar. {% endhint %} #### Identitetsleverantörer kan till och med autentisera mötesdeltagare som inte har ett Zoom-konto Konton som vill kräva att användare autentiserar sin identitet men inte vill tillhandahålla Zoom-konton kan konfigurera en extern autentiseringsprofil med sin identitetsleverantör. När det är aktiverat för ett möte måste användare som försöker gå med autentisera sina inloggningsuppgifter mot din identitetsleverantör för att få Access. Detta är en vanlig konfiguration för skolor som inte tillhandahåller konton till alla elever men kräver autentisering för att gå med i klasser. Se vår Support-artikel om [konfigurera extern autentisering](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) för mer information. #### Att ändra identitetsleverantör kräver att SSO konfigureras på nytt i Zoom Konton som byter identitetsleverantör måste göra om sin SSO-konfiguration i Zoom. Detta omfattar uppdatering av alla fält på konfigurationssidan för att matcha deras nya identitetsleverantör. Konton uppmuntras att bekräfta att SAML-svarsmappningar inte kommer att ändras med den nya identitetsleverantören. Inga ytterligare konfigurationer eller ändringar bör krävas, förutsatt att inga fler ändringar görs. #### Kunder med underkonton kan konfigurera SSO från huvudkontot eller underkontot Kunder med underkonton har två alternativ för att konfigurera SSO: 1. Alla användare autentiserar med huvudkontots anpassad URL och loggas automatiskt in på underkontot via avancerad SAML-mappning ([vissa mappningsbegränsningar gäller](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); eller 2. Varje underkonto har en unik anpassad URL och oberoende SSO-konfiguration, som används exklusivt av medlemmar i det underkontot Varje konfiguration erbjuder unika fördelar, där det andra alternativet erbjuder störst flexibilitet. Kunder som överväger att implementera någon av konfigurationerna bör diskutera med sitt kontoteam vilken konfiguration som bäst passar deras behov. ### SSO-inställningar och säkerhet Zoom-administratörer kan välja de optimala säkerhets- och inställningsalternativen för sin organisation när de konfigurerar en SSO-integrering med Zoom. Det här avsnittet förklarar dessa inställningar och deras konsekvenser för en SSO-integrering.

Exempel på SSO-integreringsinställningar.

#### Zoom stöder signerade SAML-begäranden för inloggning och utloggning Zoom-administratörer som behöver ytterligare autentisering av tjänsteleverantör kan konfigurera Zoom så att alla begäranden om inloggning och utloggning signeras till identitetsleverantören. Konton som använder den här inställningen kan behöva en certifikatrotation om deras identitetsleverantör inte stöder dynamisk uppdatering av metadata. Se vår supportartikel om [certifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) för mer information. #### Zoom stöder krypterade SAML-påståenden vid autentisering Zoom-administratörer kan konfigurera Zoom så att krypterade påståenden stöds vid autentisering. Om den här inställningen är aktiverad kommer okrypterade påståenden att ignoreras. Konton som använder den här inställningen kan behöva SSO-certifikatrotation om deras identitetsleverantör inte stöder dynamisk uppdatering av metadata. Se vår supportartikel om [certifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) för mer information. #### Zoomadministratörer kan genomdriva automatisk utloggning efter en definierad tidsperiod Zoomadministratörer kan konfigurera Zoom så att användare automatiskt loggas ut från aktiva sessioner efter definierade tidsperioder, anpassningsbart från 15 minuter till 180 dagar. Denna process kommer att ställa in Zoom Access token så att den upphör att gälla efter den förutbestämda tiden när token genereras. Denna token har inget samband med en identitetsleverantör och är unik för Zoom. #### SAML-svarloggar kan sparas för felsökning Zoom kan spara SAML-svarloggar från autentiseringsförsök i sju dagar efter en autentisering. Dessa svarloggar kan vara ett ovärderligt verktyg för felsökning av konfigurations- och användarfel, utöver konfigurationer för SAML-svarsmappning. Läs avsnittet om [felsökning av fel med SAML-svarloggar](#using-saml-response-logs-to-troubleshoot) för mer information. {% hint style="success" %} **Zoom-rekommendation** Aktivera sparning av SAML-svarloggar för att göra felsökning enklare. {% endhint %} #### Provisionering vid inloggning kan skapa konton direkt och är det enklaste provisioneringsalternativet När SSO är inställt på att provisionera *Vid inloggning* (även känt som just-in-time-provisionering), kan alla auktoriserade användare inom identitetsleverantören autentisera sig i Zoom. Användare som inte har något befintligt konto kommer att få ett skapat direkt vid inloggning. Provisionering vid inloggning kan förenkla Zoom-utrullningar till ett företag genom att låta användare skapa sina konton vid autentisering i stället för att kräva proaktiv användarskapande. Tillsammans med SAML-svarsmappning är en komplett användarprofil och licensiering klar inom några sekunder efter en användares första autentisering. Dessutom kan provisionering vid inloggning dynamiskt skapa SSO-inloggningstypen för redan befintliga konton. Om en användare har ett befintligt Zoom-konto med ett användarnamn och lösenord, kommer en SSO-inloggningstyp att skapas vid inloggning med den här konfigurationen. #### Provisionering före inloggning kräver förskapade konton med en SSO-inloggningstyp Provisionering av användare för SSO *före inloggning* kräver att autentiserande användare har **båda** ett befintligt Zoom-konto, och att kontot har en skapad SSO-inloggningstyp. Den här typen av provisionering används ofta tillsammans med SCIM-provisionering på grund av den automatiserade kontoskapande processen, men är inte begränsad till den. Zoom-användare som konsolideras till företagskontot via kopplade domäner eller genom att bjuda in direkt har sannolikt inte SSO-inloggningstypen. Zoom-administratörer kan bekräfta om ett konto har en SSO-inloggningstyp genom att visa användarkontot på [användarhantering](https://zoom.us/account/user#/) sidan i webbportalen och letar efter ikonen ”SSO” under användarens e-post.

Plats för SSO-ikonen under en användares e-post.

Om ikonen är presenteras är användaren provisionerad för SSO; om ikonen saknas kommer användaren inte att kunna logga in via SSO medan förprovisionering är aktiverad, förrän den har lagts till. En Zoom-administratör kan lägga till denna inloggningstyp genom att lägga till användare i bulk via en CSV-fil och välja alternativet ”SSO-användare” eller låta användaren autentisera medan Provision at Sign-in är aktiverat.

Exempel som visar alternativet för SSO-användare för massuppladdning.

{% hint style="success" %} **Zoom-rekommendation** För att förhindra att användare inte kan logga in, använd provisionering vid inloggning när du först konfigurerar SSO på ett konto. Byt till förprovisionering om så önskas när du har bekräftat att dina användare är förprovisionerade och att du har metoder för förprovisionering på plats. {% endhint %} #### En domän måste associeras och hanteras för att upprätthålla SSO-autentisering Zoom-administratörer kan verkställa SSO-autentisering *endast* om e-postdomänen är associerad och hanteras inom Zoom. När detta är aktiverat kommer alla användare som autentiserar sig med ditt företags domän(er) automatiskt att omdirigeras till din identitetsleverantörs autentiseringssida, oavsett plattform. När domänen har godkänts och hanteras kan en Zoom-administratör upprätthålla SSO-autentisering via kontots [säkerhetssidan](https://zoom.us/account/setting/security) under **Inloggningsmetoder**. Se vår supportartikel om [kopplade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information om att associera och hantera en domän. #### Angivna användare kan undantas från framtvingad SSO-autentisering Zoom-administratörer kan utesluta specifika användare från framtvingad SSO-autentisering. Att utesluta specifika användare (till exempel ett admin-konto) kan vara användbart om en SSO-konfiguration slutar fungera och en kontoadministratör behöver åtkomst utan SSO till Zoom-kontot. Administratörer som är undantagna kan logga in på admin.zoom.us när som helst vid ett kontolås eller en trasig SSO-konfiguration (användaren måste ha standard **admin** roll). Om en Zoom-administratör inte kan komma åt kontot måste de kontakta Zoom Support för hjälp. Om du vill aktivera ett användarundantag går du till kontot [säkerhetssidan](https://zoom.us/account/setting/security) på webbportalen under avancerade alternativ, leta upp listan över tvingade domäner och lägg till ett undantag via redigeringslistan.

Exempel på domänlista för SSO.

#### Mobila klienter och skrivbordsklienter kan konfigureras så att användare måste använda SSO-autentisering Zoom-klienter kan förkonfigureras för att automatisera SSO-funktionalitet, inklusive automatisk inloggning, automatisk utloggning, SSO-enbart autentisering på enheten och mer via Gruppolicy, tjänster för hantering av mobila enheter (MDM) och klienter för massdistribution. För en fullständig lista över konfigurationsmöjligheter, se våra konfigurationsalternativ för [Gruppolicy](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) och [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows). #### Office 365-användare kan automatiskt logga in i Zoom för Outlook-tillägget med SSO-uppgifter Kunder som använder Office 365 kan automatiskt logga in sina användare i Zoom för Outlook-tillägget med SSO-uppgifter. Detta kan kombineras med en [anpassad tilläggsmanifest](https://support.zoom.us/hc/en-us/articles/360041403311) som förifyller kontoets anpassad URL och skapar en sömlös autentisering för användare. Denna funktion använder användarens SSO-sessiontoken om den är aktiv, eller så uppmanas du att utföra en ny autentisering med din identitetsleverantör om ingen aktiv session hittas. En Zoom-admin kan aktivera den här inställningen på kontoets [säkerhetssidan](https://zoom.us/account/setting/security) under **avancerade** meny.

Exempel på admininställning för SSO med Outlook-tillägget.

### SAML-svarsmappning SAML-attribut är datakategorier som definieras av SAML-värden och används för att överföra information från identitetsleverantören till en tjänsteleverantör som Zoom. Att mappa attribut och värden är avgörande för att automatisera information om användarprofiler och hantera användares licenser. SAML-svarsmappning delas in i två delar: *grundläggande* och *avancerade*. Basic-mappning används för att mappa grundläggande profilinformation, inklusive namn, telefonnummer, avdelning osv. Avancerad mappning används för att hantera dynamiska licensallokeringar, tilldela användargrupper, användarroller med mera. Detta avsnitt behandlar grunderna i SAML-svarsmappning, grundläggande och avancerad SAML-svarsmappning, och lyfter fram unika villkor som krävs för vissa funktioner. #### Grunder: SAML-attribut och värden De flesta identitetsleverantörer överför grundläggande profilinformation med hjälp av vanliga attributnamn och värden. En medarbetares avdelning kan till exempel komma via SAML med ett attribut som heter department och ett värde som Human Resources. Följande tabell visar relationen mellan attribut och värden när information om en användare överförs. | SAML-attribut | SAML-värde | | ------------- | ------------------------------ | | förnamn | John | | efternamn | Smith | | e-post | | | avdelning | Personalavdelningen | Genom att korrekt tilldela ett SAML-attribut till en responsmappning kan användarinformation automatiskt tillämpas på en användarprofil för att förenkla processen för skapande och hantering av konto. #### Basic-mappning: Profilinformation SAML Basic Information Mapping används för att tillämpa profilinformation som förnamn, efternamn, avdelning, telefonnummer, kostnadsställe och plats från en katalog till en användares profil. Många av dessa kategorier är självförklarande och kan enkelt konfigureras; vissa kategorier kräver dock förklaring för korrekt konfigurering för att förhindra oförutsedda konsekvenser eller fel i applikationen. Följande avsnitt lyfter fram unika mappningsalternativ och konfigurationsinställningar för basic-mappning. Se vår [artikeln Basic SAML Mapping](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) för en fullständig lista över stödda attribut. #### Standardlicenstyp gäller endast *helt nya användare* Alternativet för standardlicenstyp tilldelar den angivna licensen till alla *helt nya* användare som tillhandahålls i kontot via SAML. Detta gäller inte användare som autentiserar för en andra gång, användare som har konsoliderats in i kontot från ett tidigare konto, användare som tillhandahålls via SCIM eller användare som har bjudits in manuellt. För information om *uppdatering* användarlicenser med autentisering, se licenskonfigurationen under [Advanced SAML Mapping](#advanced-mapping-licenses-add-ons-and-access). #### En standardlicenstyp av *Ingen* kommer inte att tillåta nya användare att autentisera om inte avancerad mappning har konfigurerats för att tilldela en licens Zoom-användare måste ha en tilldelad licenstyp (Basic, licenserad eller på plats) för att logga in på Zoom-tjänsten. Om en standardlicenstyp av Ingen väljs kan nya användare inte logga in eller skapa ett nytt konto om de inte kommer att få en licens via [Advanced SAML Mapping](#advanced-mapping-licenses-add-ons-and-access). #### De flesta grundläggande mappningar tillämpas igen vid inloggning, om inget annat anges De flesta grundläggande SAML-mappningar uppdateras som standard varje gång en användare loggar in, *förutom* *för* förnamn, efternamn, visningsnamn och telefonnummer. Som standard tillämpas dessa fyra mappningar endast första gången en användare autentiserar och kommer inte att tillämpas igen, även om de uppdateras av en användare eller admin. Zoom-administratörer kan ändra detta beteende genom att aktivera alternativet för **Uppdatera vid varje SSO-inloggning** på sidan för SAML-responsmappning.

Exempel på alternativet Uppdatera vid varje SSO-inloggning.

#### Mappningar för telefonnummer bör inkludera landskod och riktnummer om de finns utanför USA Telefonnummer som mappas via SAML bör, när det är möjligt, inkludera användarens landskod och riktnummer i SAML-assertionen. Zoom antar som standard landskoden +1 om den inte anges. Konton som inte behåller landskoder i sin katalog kan redigera sina SAML-assertioner i sin identitetsleverantör för att automatiskt inkludera dessa om det behövs. #### Varje användare kan ha upp till tre telefonnummer och ett faxnummer mappade till sin profil Zoom-administratörer kan konfigurera upp till tre separata telefonnummer och en faxnummermappning för varje användare. Varje telefonnummer måste vara unikt och får inte duplicera värdet från ett annat fält.

Exempel på alternativ för telefonnummer för varje användare.

#### Profilbilder måste mappas från antingen en offentligt tillgänglig URL eller kodas med Base64 Konton som vill mappa profilbilder från sin katalog måste mappa bilderna med antingen en offentligt tillgänglig URL eller koda bilden i Base64 vid assertion. #### Anställds unika ID **Anställds unika ID ändrar den primära identifierare som Zoom använder för att identifiera användare** Den *Anställds unika ID* är en funktion som Zoom erbjuder för att hjälpa till med identitetshantering. Som standard är den primära identifieringen för en Zoom-användare deras **e-post** **adress**. Detta innebär att om inloggningstypen för e-postadressen för arbetet är ****, kommer Zoom alltid att identifiera denna användare med den e-postadressen. Denna identifierare är det som gör det möjligt för integrationer som SSO eller Facebook- och Google OAuth-konton att associera användaren med samma Zoom-konto. Denna identifieringsprocess kan dock vara problematisk om en användares namn eller e-post ändras. Till exempel om **** har en e-post ändra till ****, Zoom kan inte med säkerhet avgöra att detta är samma person (eftersom den grundläggande identifierare är annorlunda), så Zoom kommer att skapa ett nytt konto första gången **** loggar in. För att förenkla detta problem erbjuder Zoom Unique medarbetare ID funktioner, vilket ändrar den primära identifierare för en användare från deras e-postadress till ett etablerat unikt ID. *Detta ändra inte en användares Zoom användarnamn*, utan erbjuder i stället ett alternativt identifierande attribut. Denna ändra gör att Zoom dynamiskt kan uppdatera en användares e-postadress i Zoom om: * en *ny* e-postadress är åtföljd av ett känt unikt medarbetar-ID; och * den berörda användarens e-postdomän är associerad inom Zoom Till exempel, om **** autentiserar och skickar ett SAML-värde på 12345 (deras medarbetarnummer) för attributet Unikt medarbetar-ID, kommer Zoom nu att identifiera användaren inom kontot med det angivna värdet. Om John autentiserar igen med e-post **** medan han fortfarande skickar Unikt medarbetar-ID 12345, kommer Zoom att identifiera att nu är **** och kommer dynamiskt att uppdatera användarens e-post inom kontot om domänen är associerad. Identitetsadministratörer bör vara *positiva* om att inga två användare kommer att överlappa med samma värde för Unikt medarbetar-ID innan SAML-mappning etableras för denna kategori. Om en annan användare autentiserar och skickar samma värde, kommer e-posten att uppdateras igen till den nya användaren och kan orsaka betydande störningar i användartjänster och upplevelse. **Funktionen Unikt medarbetar-ID kräver kopplade domäner för att ändra en användares e-post** Medarbetare Unique ID-funktioner kan inte uppdatera en användares e-postadress om inte e-postdomänen är officiellt kopplad till din kontoprofil. Se vår supportartikel om [kopplade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information. **Administratörer och ägare kan inte uppdatera sin e-post via medarbetarens unika ID** Admin- och ägare-postadresser inom Zoom kan inte ändras via funktionen för medarbetares unika ID. Detta är avsiktligt som en säkerhetsåtgärd för att förhindra obehörig åtkomst. Admin och ägare måste ändra sin e-post via sin profilsida. **Användares e-postadresser kan endast uppdateras en gång per dag via medarbetares unika ID** Användares e-post kan endast uppdateras en gång var 24:e timme genom funktionen medarbetare Unique ID. En användare måste vänta en hel kalenderdag från den föregående uppdateringen innan de uppdaterar sin e-post genom SSO igen.

Diagram över ett exempel på flöde för att uppdatera användares e-postadresser.

**Om SAML-attributet ställs in på \ kommer användarens hävdade NameID att användas** Mappning av SAML-attributet för medarbetarens unika ID till **\** kommer automatiskt att använda det hävdade NameID-värdet för användaren som deras unika identifierare. Detta kan vara ett användbart verktyg om din identitetsprovider hävdar ett NameID som är annat än användarens e-post, som ett User Principal Name (UPN) eller ett liknande värde som inte ändras. Använd inte detta värde om användarnas NameIDs matchar deras e-post.

Exempel på inställningen <NameID> admin.

### Avancerad mappning: licenser, tillägg och Access Avsnittet för avancerad informationsmappning för SAML kan dynamiskt tillämpa licenser (inklusive Zoom Phone), tillägg och användaråtkomstgrupper på användare när de autentisera. Till skillnad från grundläggande mappning innehåller avancerad mappning många nyanser som kan kräva noggrann uppmärksamhet vid konfiguration, beroende på komplexiteten i din miljö. Det här avsnittet belyser nyanserna vid konfigurering av avancerad SAML-mappning. Se vår [artikel om avancerad SAML-mappning](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) för en fullständig lista över stödda attribut. #### Avancerad mappning tillämpas varje gång en användare autentiserar Till skillnad från grundläggande mappning, som har valfria uppdateringar för vissa kategorier, kommer konfigurationer för avancerad mappning att tillämpas varje gång en användare autentiserar, enligt den top-down-ordning som applikationen har. Till exempel, om en användare har en grundläggande licens och sedan autentiserar via SSO och skickar ett SAML-attribut och ett värde som är mappat till att ge en fullständig licens, kommer användaren omedelbart att få den fullständiga licensen. Om användarens profil sedan ändras i identitetsleverantören för att flyttas tillbaka till en grundläggande licens, kommer de att tilldelas den grundläggande licensen igen när de autentiserar på nytt inom Zoom. #### Avancerad mappning gör det möjligt att använda flera SAML-attribut och värden per kategori Till skillnad från grundläggande mappning, som endast tillåter ett SAML-attribut per kategori, kan avancerad mappning stödja flera attribut och värden för varje kategori. Detta ger stor flexibilitet när man hanterar användarlicensiering och Access via säkerhetsgrupper inom din identitetsleverantör, vilket visas i följande konfiguration.

Exempel på attributmappning för SAML.

{% hint style="success" %} **Zoom-tips** SAML-attribut kan variera beroende på identitetsleverantör, särskilt för säkerhetsgrupper. Bekräfta med din identitetsleverantör eller via [SAML-svarloggar](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) hur SAML-attribut hävdas. {% endhint %} #### Avancerad mappning tillämpar licenser uppifrån och ned när flera attribut hävdas Om en användare skickar flera SAML-attribut eller värden som är konfigurerade för avancerad SAML-mappning, kommer Zoom att mappa licenserna uppifrån och ned. Se följande exempel:

Exempel på val av licenstyp i admininställningar.

Enligt konfigurationen ovan, om en användare skulle skicka ett attribut för både **global\_users** och **marknadsföring**, eftersom **marknadsföring** är högst i konfigurationen kommer detta attribut att tillämpas på användaren, och de återstående tillämpliga attributen kommer att ignoreras. Alternativt, om konfigurationen ställdes in med **global\_users** som högst, vilket framgår av följande skärmdump, om en användares påstående innehöll **global\_users**, **marknadsföring**, **mänskliga** **resurser**, och **IT**, eftersom **global\_users** är högst prioriterat, kommer endast en Basic licens att hävdas.

Exempel på att justera prioritetsordningen

Zoom-administratörer kan justera applikationsordningen när de redigerar mappningsvärdena med hjälp av ↑↓-pilarna i redigeraren. {% hint style="success" %} **Zoom-rekommendation** Konfigurera de avancerade konfigurationerna från det mest specifika till det mest allmänna för att förhindra felaktig tillämpning av licens. {% endhint %} #### Webbinarium and Large Meeting mappings can share a common value to apply both lägga till add-ons För att förenkla applikation processen kan Zoom-administratörer konfigurera samma SAML-attribut och värde två gånger för att tillämpa både webbinarium- och stora möte lägga till-tillägg på användarna, som visas i följande bild med **global\_users** värde. Dessa tillägg kan också konfigureras oberoende om så önskas, som visas med att lägga till **webbinarium\_only** och **large\_möte\_only** värden.

Exempel på SAML-attribut för large_möte_only och webbinarium_only.

#### Användare kan läggas till i flera användargrupper med ett SAML-värde Zoom-administratörer kan konfigurera användargruppsmappning för att lägga till en användare i flera grupper med ett SAML-värde. Den första användargruppen som läggs till kommer att anges som användarens primära grupp och kommer att avgöra användarens standardinställningar *om inte en underliggande grupp har en inställning låst*. För mer information om användargrupper, se vår [supportartikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

Exempel på mappning av flera användargrupper.

#### Angivna användare och användargrupper kan undantas från specifika SAML-mappningar Varje alternativ under Avancerad SAML-mappning kan konfigureras för att undanta specifika användare och användargrupper från mappningsbeteendet. Detta kan vara fördelaktigt för att förhindra att VIP-användare drabbas av avbrott i tjänsten på grund av en eventuell ändring i licensieringen.

Exempel på undantag för användare.

#### Auto Mapping tilldelar automatiskt användare till en användare, kanal eller IM-grupp som är namngiven efter deras angivna SAML-värde om värdet inte redan är mappat till en grupp Auto Mapping kan användas för att automatiskt tilldela användare till en användargrupp, kanal och IM-grupp som är namngiven efter deras angivna SAML-värde. Till skillnad från andra avancerade mappningskomponenter, som kan konfigureras för att tilldela en användare till vilken grupp som helst baserat på SAML-värdet, tilldelar Auto Mapping alltid en användare till en grupp baserat på det exakta SAML-värdet. Om gruppen inte tidigare fanns, skapas den automatiskt.

Exempel på SAML-automatisk mappning.

Till exempel, om Automatisk mappning är inställd på att mappa en användare till grupper baserat på deras avdelning, och deras avdelningsvärde ännu inte är definierat för användaregrupp, kanal eller IM-grupp, kommer användare automatiskt att tilldelas en grupp som matchar deras avdelningsnamn, som visas i följande tabell: | SAML-attribut | SAML-värde | Finns Zoom-grupp redan? | Resultat | | ------------- | ------------------- | ----------------------- | ------------------------------------------------------------------ | | Avdelning | Personalavdelningen | Ja | Användare tillagd i gruppen Human Resources | | Avdelning | Marknadsföring | Ja | Användare tillagd i gruppen Marketing | | Avdelning | Försäljning | Nej | Försäljning grupp skapas, användare tillagd till Försäljning grupp | #### Zoom stöder upp till fem anpassade SAML-attribut Zoom-administratörer kan konfigurera upp till *fem* anpassade SAML-attribut för att lägga till användardata i deras Zoom-profil under [sidan för avancerad användarhantering](https://zoom.us/account/user#/advanced) sidan. Efter att ha lagt till de anpassade fälten kan Zoom-administratörer konfigurera mappningen på [SAML-svarsmappning](https://zoom.us/account/sso/mapping) sidan.

Exempel på anpassade SAML-attribut

#### Att mappa användare till ett underkonto kommer att *endast* tillämpa en möteslicens och tillägg Att mappa en användare till ett underkonto kommer endast att tillämpa en användares möteslicens och tillägg som webbinarium och Large Meetings på underkontot. Användargrupper, IM-grupper, användarroller osv. kommer inte att tillämpas och måste konfigureras inom underkontot. Kunder som kräver mer flexibilitet för SAML-svarsmappning med underkonton kommer att kräva en unik anpassad URL och en ny SSO-konfiguration inom underkontot. ### Felsökning av SSO #### Använda SAML-svarsloggar för felsökning Sparade SAML-svarsloggar kan vara ett ovärderligt verktyg för felsökning av konfiguration och användarfel, utöver konfigurationer för SAML-svarsmappning. Om din SSO-konfiguration är inställd på att spara SAML-svarsloggar kan de nås via [SAML-svarslogg](https://zoom.us/account/sso/saml_logs) flik tillgänglig på sidan för SSO-konfiguration i avancerade inställningar. För att visa SAML-svarsloggar, klicka på **Visa detaljer** bredvid ett autentiseringsförsök. #### De flesta autentiseringar kommer att visas i svarsloggarna De flesta misslyckade eller ej lyckade autentiseringsförsök kommer att visas på sidan för svarsloggar. Om ett autentiseringsförsök inte visas är det troligen så att Zoom inte tog emot en SAML-försäkran från din identitetsleverantör, eller att sparande av SAML-svarsloggar är inaktiverat. #### Svarsloggar kan tala om för dig om din konfiguration är felaktig eller om ditt certifikat är föråldrat När SAML-svarsloggar är aktiverade förs identitetsleverantörens information vidare till Zoom för att autentisera identiteter för varje part. Om en försäkrad inställning eller informationssträng, som X509-certifikatet eller utfärdar-ID:t, skiljer sig från Zooms aktuella konfiguration visas ett fel som meddelar att informationen ”inte matchar de aktuella SSO-inställningarna”. En Zoom-administratör kan uppdatera SSO-konfigurationen så att den matchar dessa försäkrade värden om de är korrekta för att lösa felet.

Exempel på varningar om felaktig konfiguration.

#### Svarsloggar talar om för dig vilka SAML-värden och attribut som försäkras Granskning av svarsloggar kan hjälpa till att lösa konfigurationer för SAML-svarsmappning genom att verifiera vilka attribut och värden som försäkras av användare när de autentiserar sig. Dessa kan jämföras med konfigurationen för att säkerställa att attributen och värdena stämmer överens.

Exempel på information som försäkras av identitetsleverantörstjänsten.

Om SAML-attribut eller värden saknas försäkras inte informationen av identitetsleverantörstjänsten. Användare som upplever detta problem uppmanas att kontakta sin identitetsleverantörs supporttjänster för ytterligare hjälp. #### Svarsloggar innehåller en felkod och en kort förklaring, om det misslyckas Om en användare inte kan autentisera sig eller får ett fel innehåller SAML-svarsloggarna en felkod och en kort förklaring av felet.

Exempel på felkod och förklaring.

De flesta problem kan identifieras och lösas genom att använda dessa felmeddelanden. Om du inte kan lösa felet, kontakta Zoom Support för ytterligare hjälp. #### Fel för webbspårnings-ID Om en användare misslyckas med SSO-autentisering får de en felkod för WEB Tracking ID. Dessa koder är inte ett felmeddelande relaterat till ett specifikt misslyckande, utan är i stället ett unikt logg-ID som kan granskas i SAML Response Mapping för att identifiera autentiseringsproblem.

Exempel på ett användarvänt fel med en felkod för WEB Tracking ID.

För att identifiera felet, om loggning av SAML-svar är aktiverad, navigera till [SAML-svarslogg](https://zoom.us/account/sso/saml_logs) flik tillgänglig på sidan för SSO-konfiguration i avancerade inställningar. Därifrån anger du WEB-spårnings-ID:t i fältet Tracking ID och söker för att fylla i svarsloggen

Exempel på att söka i SAML-svarsloggen med den ovan nämnda felkoden för WEB Tracking ID.

SAML-svarsloggarna bör visa SAML-försäkran samt en felkod och ett meddelande längst ned i svaret som kan användas för ytterligare felsökning. ### SCIM-fel #### Användare finns inte eller tillhör inte detta konto Det här felet uppstår när en riktad användares e-postadress inte kan provisioneras på grund av ett redan befintligt konto. Zoom-administratörer uppmanas att kontakta användaren direkt och manuellt bjuda in användaren till kontot.

Exempel på ett provisioneringsfel.

#### Du kan inte lägga till betalda användare Det här felet uppstår när SCIM försöker provisionera en användare när det inte finns tillräckliga licenser på kontot. För att lösa felet måste användaren provisioneras som en Basic-användare, eller så måste en licens göras tillgänglig för provisionering. ### Använda SCIM-loggar för att felsöka användarprovisionering Zoom tillhandahåller de 100 senaste API-begäransloggarna i [Zoom Marketplace](https://marketplace.zoom.us/). En Zoom-administratör kan använda dessa loggar för att bekräfta vilken information som skickas och tas emot via provisionerings-API:er. För att få åtkomst till loggarna, logga in på Zoom Marketplace som Zoom-administratör och klicka på **Hantera**. På följande sida markerar du **Samtalsloggar** under **Hantering av personliga appar**. Därifrån klickar du på en post för att expandera API-loggarna och granska innehållet. Följande bild visar ett exempel på en SCIM-begäran för användarprovisionering, med användarens identitets- och licensattribut markerade som referens.

Exempel på en SCIM-begäran för användarprovisionering.

Liksom SAML-svarsmappning kan Zoom endast tillämpa information som skickas in från identitetsleverantören i provisioneringsbegäran. Använd dessa loggar för att bekräfta att användaridentitet och licensattribut skickas in från identitetsleverantören. Om förväntad information saknas i dessa försäkringar, kontakta din identitetsleverantör för support. ### Dataflöden och autentisering #### SAML-autentisering Följande diagram beskriver en användares SAML-autentiseringsflöde när en enkel inloggningssession med Zoom initieras.

Diagram över ett exempel på ett SAML-autentiseringsflöde.

#### SSO-webbinloggningstoken Efter att en användare autentiserar via SAML byggs användarens session upp i deras webbläsare och har en livslängd på två timmar som standard. Om användaren fortsätter att aktivt använda sin Zoom-webbsida förnyas sessionen; men om användaren inte använder sin webbsida på två timmar går token ut och användaren måste autentisera igen. Zoom-administratörer kan konfigurera denna aktiva sessionslängd på [Säkerhet](https://zoom.us/account/setting/security) sidan under Användare behöver logga in igen efter en period av inaktivitet och **Ställ in period för inaktivitet på webben (minuter)**. #### Klientinloggningstoken När en användare försöker autentisera via SSO i en klient öppnar användarens dator en webbläsare och omdirigerar dem till identitetsleverantörens inloggningssida. Efter att en användare autentiserar får användarens webbläsare en starttoken för Zoom-klienten. När användaren klickar på knappen ”öppna” eller ”starta” använder webbläsaren URL-schemat i kombination med starttoken för att öppna Zoom-klienten. Zoom-klienten använder starttoken för att hämta access-token och uppdateringstoken från Zoom-servern. Klienten använder access-token under två timmar åt gången och använder, när den går ut, uppdateringstoken för att få en ny uppsättning token, som lagras i klientens lokala databas. Denna uppdateringsprocess är obegränsad som standard och kan fortsätta att cykla genom token tills en användare loggar ut eller token går ut. Zoom-administratörer kan anpassa sessionslängden på [SSO-inställningar](https://zoom.us/account/sso) sidan under [*framtvinga automatisk utloggning*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://library.zoom.com/technical-library/sv/adminhorna/account-and-endpoint-management/sso-field-guide.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.