# SSO-fältguide ### Introduktion Att integrera single sign-on (SSO) med Zoom erbjuder administratörer alternativ för användarhantering och säkerhet som kan förenkla kontohantering. När det är konfigurerat autentiserar användare med sina företagsuppgifter mot din organisations identitetsleverantör istället för att använda alternativa autentiseringsmetoder som Google- eller Facebook-integrationer, eller ett direkt användarnamn och lösenord hos Zoom. Detta dokument ger en omfattande översikt över SSO-konfigurationer och inställningar i Zoom, samt felsöknings- och säkerhetsinformation. ### SSO-integrationer #### SSO kräver en Vanity URL för att komma igång Ett konto måste ha en godkänd vanity URL innan SSO konfigureras. När vanity URL har godkänts kan Zoom-administratörer komma åt [SSO-konfiguration](https://zoom.us/account/sso) sidan via undermenyn för avancerade alternativ i webbportalen. Hänvisa till vår supportartikel om [Vanity URLs](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) för mer information. #### Zoom SSO fungerar med vilken SAML 2.0-identitetsleverantör som helst Zoom kan integrera med vilken identitetsleverantör som helst som stöder Security Assertion Markup Language (SAML) 2.0-autentisering. Även om det finns många dokumenterade integrationsgenomgångar, tillhandahåller vissa identitetsleverantörer inte dokumentation för integration med Zoom. Konton som inte kan hitta konfigurationsinstruktioner uppmuntras att kontakta sin identitetsleverantör för mer information. #### Zoom-administratörer kan hantera användarprofilinformation och licenser genom SAML-svarsavbildning eller SCIM-integrationer Administratörer kan hantera användarprofilinformation och licenser genom SAML-svarsavbildning eller System for Cross-Domain Identity Management (SCIM) Application Programming Interface (API)-förfrågningar, beroende på vilka funktioner som erbjuds av identitetsleverantören. Båda metoderna för användarhantering erbjuder i stort sett lika funktionalitet för profilmappning och licenshantering, men vissa SCIM-mappningar kräver manuell konfiguration. För en omfattande lista över SCIM-funktioner, se vår [SCIM API-dokumentation](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User). #### Zoom-administratörer kan hantera användarkontosstatus via SCIM, men inte via SAML Eftersom SCIM tillåter identitetsleverantörer att kommunicera direkt med Zoom när som helst, kan användarkonton bli *aktiverade*, *inaktiverade*, *skapade*, eller *raderade* automatiskt via SCIM-integrationer. Till exempel, om en användares konto i Active Directory inaktiveras eller om de avassigneras applikationen, kan SCIM skicka en automatisk inaktiveringsbegäran för användarens konto i Zoom. Denna funktion är beroende av funktionaliteten i identitetsleverantörens SCIM-applikation och funktionalitet kan variera mellan leverantörer. #### Begränsat antal identitetsleverantörer erbjuder SCIM för Zoom Många identitetsleverantörer har inte en SCIM-integration byggd för Zoom som en del av sina tjänster. Konton som använder en identitetsleverantör som inte stöder SCIM med Zoom måste använda SAML-svarsavbildning för automatiserad användarhantering. #### SCIM kräver en associerad domän för att automatiskt provisionera användare Konton som använder SCIM för att hantera och provisionera användare för SSO **måste** associera e-postdomänen med Zoom. Underlåtenhet att associera domänen kommer att resultera i fel vid användarprovisionering. Hänvisa till vår supportartikel om [Associerade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information om processen. #### Följande SSO-integrationer är dokumenterade {% hint style="success" %} **Zoom-tips** Klicka på ✔ i kolumnen Provider eller Zoom Documentation för att öppna en ny fönster med instruktioner. {% endhint %}
LeverantörsdokumentationZoom-dokumentationStöder SCIM
auth0

ADFS
AD Sync-verktyg
Clever

CyberArk

Duo

Entra ID (tidigare Azure)
Google
JumpCloud
miniOrange

Okta
OneLogin
Ping Identity
Shibboleth

#### Lokal Active Directory kan använda AD Sync-verktyget istället för SCIM Konton som vill automatisera användarprovisionering via SCIM men inte har en molnbaserad identitetsleverantör kan använda Active Directory (AD) Sync Tool-applikationen utvecklad av Zoom för att hantera sina användare. Denna applikation körs på Oracle JDK 8 och simulerar SCIM-provisionering genom att hantera användare via API-kommandon. Se vår supportartikel om [AD Sync-verktyg](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) för mer information. {% hint style="success" %} **Zoom-rekommendationen** AD Sync-verktyget kräver exakt konfiguration för användarhantering. Noggrann testning och granskning av verktygets konfiguration krävs innan full implementering för att undvika avbrott i tjänsten. {% endhint %} #### Identitetsleverantörer kan även autentisera mötesdeltagare som inte har ett Zoom-konto Konton som vill kräva att användare autentiserar sin identitet men inte önskar ge Zoom-konton kan konfigurera en extern autentiseringsprofil med sin identitetsleverantör. När detta aktiveras för ett möte måste användare som försöker gå med autentisera sina inloggningsuppgifter mot din identitetsleverantör för att få åtkomst. Detta är en vanlig konfiguration för skolor som inte tillhandahåller konton till alla elever men kräver autentisering för att delta i lektioner. Hänvisa till vår supportartikel om [konfigurera extern autentisering](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) för mer information. #### Att byta identitetsleverantör kräver omkonfiguration av SSO i Zoom Konton som byter identitetsleverantör måste göra om sin SSO-konfiguration i Zoom. Detta inkluderar att uppdatera alla fält på konfigurationssidan för att matcha den nya identitetsleverantören. Konton uppmuntras att bekräfta att SAML-svarsavbildningar inte kommer att förändras med den nya leverantören. Inga ytterligare konfigurationer eller ändringar bör krävas, förutsatt att inga andra förändringar gjorts. #### Kunder med underkonton kan konfigurera SSO från huvud- eller underkontot Kunder med underkonton har två alternativ för att konfigurera SSO: 1. Alla användare autentiserar med huvudkontots Vanity URL och loggas automatiskt in i underkontot genom avancerad SAML-mappning ([vissa mappningsbegränsningar gäller](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); eller 2. Varje underkonto har en unik Vanity URL och en oberoende SSO-konfiguration, som används uteslutande av medlemmar i det underkontot Varje konfiguration erbjuder unika fördelar, där det andra alternativet erbjuder mest flexibilitet. Kunder som överväger implementering av någon av konfigurationerna bör diskutera med sitt kontoteam vilken konfiguration som är bäst lämpad för deras behov. ### SSO-inställningar och säkerhet Zoom-administratörer kan välja optimala säkerhets- och inställningsalternativ för sin organisation vid konfiguration av en SSO-integration med Zoom. Denna sektion förklarar dessa inställningar och deras konsekvenser för en SSO-integration.

Exempel på SSO-integrationsinställningar.

#### Zoom stöder signerade inloggnings- och utloggnings-SAML-förfrågningar Zoom-administratörer som kräver ytterligare autentisering från tjänsteleverantören kan konfigurera Zoom att signera alla inloggnings- och utloggningsförfrågningar till identitetsleverantören. Konton som använder denna inställning kan kräva ett certifikatsrotation om deras identitetsleverantör inte stöder dynamisk metadatauppdatering. Se vår supportartikel om [certifikatsrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) för mer information. #### Zoom stöder krypterade SAML-assertioner vid autentisering Zoom-administratörer kan konfigurera Zoom att stödja krypterade assertioner vid autentisering. Om denna inställning är aktiverad kommer okrypterade assertioner att avvisas. Konton som använder denna inställning kan kräva SSO-certifikatsrotation om deras identitetsleverantör inte stöder dynamisk metadatauppdatering. Se vår supportartikel om [certifikatsrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) för mer information. #### Zoom-administratörer kan tvinga automatisk utloggning efter en definierad tidsperiod Zoom-administratörer kan konfigurera Zoom att automatiskt logga ut användare från aktiva sessioner efter definierade tidsperioder, anpassningsbara från 15 minuter till 180 dagar. Denna process kommer att ställa in Zoom-åtkomsttokenet att löpa ut vid den förutbestämda tiden när tokenet genereras. Detta token har ingen relation till en identitetsleverantör och är unikt för Zoom. #### SAML-svarsloggar kan sparas för felsökning Zoom kan spara SAML-svarsloggar från autentiseringsförsök i sju dagar efter en autentisering. Dessa svarsloggar kan vara ett ovärderligt verktyg för felsökning av konfigurations- och användarfel, utöver SAML-svarsavbildningskonfigurationer. Granska avsnittet om [felsökning av fel med SAML-svarsloggar](#using-saml-response-logs-to-troubleshoot) för mer information. {% hint style="success" %} **Zoom-rekommendationen** Aktivera sparning av SAML-svarsloggar för att göra felsökningen enklare. {% endhint %} #### Provisionering vid inloggning kan skapa konton omedelbart och är det enklaste provisioneringsalternativet När SSO är inställt för att provisionera *Vid inloggning* (även känt som just-in-time-provisionering), kan vilken auktoriserad användare som helst inom identitetsleverantören autentisera sig i Zoom. Användare som inte har ett befintligt konto kommer att få ett konto skapat omedelbart vid inloggning. Provisionering vid inloggning kan förenkla Zoom-utrullningar i ett företag genom att tillåta användare att skapa sina konton vid autentisering istället för att kräva proaktiv användarskapande. I kombination med SAML-svarsavbildning är en hel användarprofil och licensiering redo inom sekunder efter en användares första autentisering. Dessutom kan provisionering vid inloggning dynamiskt skapa SSO-inloggningstypen för redan befintliga konton. Om en användare har ett befintligt Zoom-konto med användarnamn och lösenord kommer en SSO-inloggningstyp att skapas vid inloggning med denna konfiguration. #### Provisionering före inloggning kräver förskapade konton med en SSO-inloggningstyp Provisionering av användare för SSO *före inloggning* kräver att autentiserande användare har **båda** ett befintligt Zoom-konto, och att kontot har en SSO-inloggningstyp skapad. Denna typ av provisionering är ofta ihopkopplad med SCIM-provisionering på grund av den automatiserade kontoskapande processen men är inte exklusiv för den. Zoom-användare som konsoliderar till företagskontot genom associerade domäner eller en direktinbjudan har troligen inte SSO-inloggningstypen. Zoom-administratörer kan bekräfta om ett konto har en SSO-inloggningstyp genom att visa användarkontot på [Användarhantering](https://zoom.us/account/user#/) sidan inom webbportalen och leta efter ikonen ”SSO” under användarens e-post.

Plats för SSO-ikonen under en användares e-post.

Om ikonen är närvarande är användaren provisionerad för SSO; om ikonen saknas kommer användaren inte att kunna logga in via SSO medan förprovisionering är aktiverat tills den läggs till. En Zoom-administratör kan lägga till denna inloggningstyp genom att lägga till användare i bulk via en CSV-fil och välja alternativet ”SSO User” eller låta användaren autentisera medan Provision at Sign-in är aktiverat.

Exempel som visar alternativet SSO User för bulkuppladdning.

{% hint style="success" %} **Zoom-rekommendationen** För att förhindra att användare inte kan logga in, använd provisionering vid inloggning när du först konfigurerar SSO på ett konto. Byt till förprovisionering om så önskas när du har bekräftat att dina användare är förprovisionerade och du har förprovisioneringsmetoder på plats. {% endhint %} #### En domän måste vara associerad och hanteras för att tvinga SSO-autentisering Zoom-administratörer kan tvinga SSO-autentisering *endast* om e-postdomänen är associerad och hanteras inom Zoom. När detta är aktiverat kommer alla användare som autentiserar med din företagsdomän att automatiskt omdirigeras till din identitetsleverantörs autentiseringssida, oavsett plattform. När domänen är godkänd och hanterad kan en Zoom-administratör tvinga SSO-autentisering via ditt kontos [sida för säkerhet](https://zoom.us/account/setting/security) under **Inloggningsmetoder**. Hänvisa till vår supportartikel om [Associerade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information om att associera och hantera en domän. #### Specifika användare kan undantas från tvingad SSO-autentisering Zoom-administratörer kan exkludera specifika användare från tvingad SSO-autentisering. Att exkludera specifika användare (såsom ett admin-konto) kan vara användbart om en SSO-konfiguration går sönder och en kontoadministratör behöver icke-SSO-åtkomst till Zoom-kontot. Admins som är undantagna kan logga in på admin.zoom.us när som helst vid ett konto-låsningstillfälle eller trasig SSO-konfiguration (användaren måste ha den standardmässiga **admin** rollen). Om en Zoom-admin inte kan komma åt kontot måste de kontakta Zoom Support för hjälp. För att aktivera ett användarundantag, navigera till kontots [sida för säkerhet](https://zoom.us/account/setting/security) på webbportalen under avancerade alternativ, hitta listan över tvingade domäner och lägg till ett undantag genom att redigera listan.

Exempel på domänlista för SSO.

#### Mobil- och skrivbordsklienter kan konfigureras för att kräva att användare använder SSO-autentisering Zoom-klienter kan förkonfigureras för att automatisera SSO-funktionalitet, inklusive automatisk inloggning, automatisk utloggning, endast SSO-autentisering på enheten och mer via Group Policy, mobilhanteringstjänster (MDM) och massdistribution av klienter. För en fullständig lista över konfigurationsmöjligheter, se våra konfigurationsalternativ för [Group Policy](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) och [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows). #### Office 365-användare kan automatiskt logga in i Zoom for Outlook-tillägget med SSO-uppgifter Kunder som använder Office 365 kan automatiskt logga in sina användare i Zoom for Outlook-tillägget med SSO-uppgifter. Detta kan kombineras med en [anpassad tilläggsmanifest](https://support.zoom.us/hc/en-us/articles/360041403311) som förifyller kontoets vanity URL och skapar en sömlös autentiseringsupplevelse för användare. Denna funktion använder användarens SSO-sessionstoken om den är aktiv, eller kommer att uppmana till en ny autentisering med din identitetsleverantör om ingen aktiv session hittas. En Zoom-admin kan aktivera denna inställning på kontoets [sida för säkerhet](https://zoom.us/account/setting/security) under **avancerade** meny.

Exempel på admininställning för SSO med Outlook-tillägg.

### SAML-svarsavbildning SAML-attribut är kategorier av data definierade av SAML-värden och används för att skicka information från identitetsleverantören till en tjänsteleverantör som Zoom. Att mappa attribut och värden är avgörande för att automatisera användarprofilinformation och hantera användarlicenser. SAML-svarsavbildning är uppdelad i två delar: *grundläggande* och *avancerade*. Grundläggande mappning används för att mappa grundläggande profilinformation, inklusive namn, telefonnummer, avdelning etc. Avancerad mappning används för att hantera dynamisk licenstilldelning, tilldela användargrupper, användarroller och mer. Detta avsnitt täcker grunderna i SAML-svarsavbildning, grundläggande och avancerad SAML-svarsavbildning, och belyser unika villkor som krävs för vissa funktioner. #### Grundläggande: SAML-attribut och värden De flesta identitetsleverantörer skickar grundläggande profilinformation med enkla attributnamn och värden. Till exempel kan en medarbetares avdelning komma genom SAML med ett attribut department och ett värde Human Resources. Följande tabell visar relationen mellan attribut och värden när information skickas om en användare. | SAML-attribut | SAML-värde | | ------------- | ------------------------------ | | firstName | John | | lastName | Smith | | email | | | department | Human Resources | Genom att korrekt tilldela ett SAML-attribut till en svarsavbildning kan användarinformation automatiskt appliceras på en användarprofil för att förenkla kontoskapande och hanteringsprocessen. #### Grundläggande mappning: profilinformation SAML Basic Information Mapping används för att tillämpa profilinformation som förnamn, efternamn, avdelning, telefonnummer, kostnadsställe och plats från en katalog till en användares profil. Många av dessa kategorier är självförklarande och kan enkelt konfigureras; dock kräver vissa kategorier förklaring för korrekt konfiguration för att förhindra oförutsedda konsekvenser eller applikationsfel. Följande avsnitt belyser unika mappningsalternativ och konfigurationsinställningar för grundläggande mappning. Hänvisa till vår [artikel om grundläggande SAML-mappning](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) för en komplett lista över stödda attribut. #### Standardlicenstyp gäller endast för *helt nya användare* Alternativet för standardlicenstyp kommer att tilldela den angivna licensen till alla *helt nya* användare som provisioneras i kontot via SAML. Detta gäller inte användare som autentiserar sig en andra gång, användare som har konsoliderats till kontot från ett tidigare konto, användare som provisioneras via SCIM eller användare som har blivit inbjudna manuellt. För information om *uppdatering av* användarlicenser med autentisering, se licenskonfigurationen under [Avancerad SAML-mappning](#advanced-mapping-licenses-add-ons-and-access). #### En standardlicenstyp på *Ingen* kommer inte att tillåta nya användare att autentisera om inte avancerad mappning är konfigurerad för att tilldela en licens Zoom-användare måste ha en tilldelad licenstyp (Basic, Licensed eller On-Prem) för att logga in på Zoom-tjänsten. Om en standardlicenstyp på Ingen är vald kan nya användare inte logga in eller skapa ett nytt konto om de inte kommer att få en licens genom [Avancerad SAML-mappning](#advanced-mapping-licenses-add-ons-and-access). #### De flesta grundläggande mappningar kommer att tillämpas igen vid inloggning, om inte annat anges De flesta grundläggande SAML-mappningar kommer som standard att uppdateras varje gång en användare loggar in, *utom* *för* förnamn, efternamn, visningsnamn och telefonnummer. Som standard kommer dessa fyra mappningar endast att tillämpas första gången en användare autentiserar och kommer inte att tillämpas igen, även om de uppdateras av en användare eller administratör. Zoom-administratörer kan ändra detta beteende genom att aktivera alternativet **Uppdatera vid varje SSO-inloggning** på sidan för SAML-svarsavbildning.

Exempel på alternativet Uppdatera vid varje SSO-inloggning.

#### Telefonnummermappningar bör inkludera landskod och riktnummer om utanför USA Telefonnummer som mappas via SAML bör inkludera användarens landskod och riktnummer i SAML-assertionen när det är möjligt. Zoom antar landskoden +1 som standard om den inte definieras. Konton som inte sparar landskoder i sin katalog kan redigera sina SAML-assertioner i sin identitetsleverantör för att automatiskt inkludera dessa om det behövs. #### Varje användare kan ha upp till tre telefonnummer och ett faxnummer mappat till sin profil Zoom-administratörer kan konfigurera upp till tre separata telefonnummer och en faxnummermappning för varje användare. Varje telefonnummer måste vara unikt och får inte duplicera värdet i ett annat fält.

Exempel på telefonnummeralternativ för varje användare.

#### Profilbilder måste mappas från antingen en offentligt åtkomlig URL eller kodas med Base64 Konton som vill mappa profilbilder från sin katalog måste mappa bilderna antingen med en offentligt åtkomlig URL eller koda bilden i Base64 vid assertion. #### Anställds unika ID **Employee Unique ID ändrar den primära identifieraren som Zoom använder för att identifiera användare** Funktionen *Anställds unika ID* är en funktion som Zoom erbjuder för att hjälpa till med identitetshantering. Som standard är den primära identifieringen för en Zoom-användare deras **email** **adress**. Detta innebär att om arbets-e-postinloggningstypen är ****, då kommer Zoom alltid att identifiera denna användare med den e-postadressen. Denna identifierare är vad som tillåter integrationer som SSO eller Facebook- och Google OAuth-konton att associera användaren med samma Zoom-konto. Detta identifieringsförfarande kan dock vara problematiskt om en användares namn eller e-post ändras. Till exempel, om **** har en e-poständring till ****, kan Zoom inte säkert avgöra att detta är samma person (eftersom den grundläggande identifieraren är annorlunda) så Zoom kommer att skapa ett nytt konto första gången **** loggar in. För att förenkla detta problem erbjuder Zoom funktionen Unique Employee ID, som ändrar användarens primära identifierare från deras e-postadress till ett etablerat unikt ID. *Detta ändrar inte en användares Zoom-användarnamn*, utan erbjuder istället ett alternativt identifierande attribut. Denna ändring tillåter Zoom att dynamiskt uppdatera en användares e-postadress i Zoom om: * en *ny* e-postadress följs av ett känt Unique Employee ID; och * den berörda användarens e-postdomän är associerad i Zoom Till exempel, om **** autentiserar och skickar ett SAML-värde på 12345 (deras anställningsnummer) för attributet Employee Unique ID, kommer Zoom nu att identifiera användaren i kontot med det påstådda värdet. Om John autentiserar igen med e-posten **** samtidigt som han fortfarande skickar Employee Unique ID 12345, kommer Zoom att identifiera att nu är **** och kommer att dynamiskt uppdatera användarens e-post i kontot om domänen är associerad. Identitetsadministratörer bör vara *säkra* på att inga två användare kommer att överlappa med samma Employee Unique ID-värde innan SAML-mappning för denna kategori upprättas. Om en annan användare autentiserar och skickar samma värde kommer e-posten att uppdateras igen till den nya användaren och kan orsaka betydande störningar i användarnas tjänster och upplevelse. **Funktionen Employee Unique ID kräver associerade domäner för att ändra en användares e-post** Funktionen Employee Unique ID kan inte uppdatera en användares e-postadress om inte e-postdomänen är officiellt associerad med din kontoprofil. Hänvisa till vår supportartikel om [Associerade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information. **Administratörer och ägare kan inte uppdatera sin e-post via Employee Unique ID** Administratörs- och ägare-e-postadresser i Zoom kan inte uppdateras via funktionen Employee Unique ID. Detta är avsett som en säkerhetsåtgärd för att förhindra obehörig åtkomst. Administratörer och ägare måste ändra sin e-post via sin profilsida. **Användares e-postadresser kan endast uppdateras en gång per dag via Employee Unique ID** Användares e-postadresser kan endast uppdateras en gång var 24:e timme via funktionen Employee Unique ID. En användare måste vänta ett helt kalenderdygn från föregående uppdatering innan de kan uppdatera sin e-post via SSO igen.

Diagram över ett exempel på flöde för uppdatering av användares e-postadresser.

**Att ställa SAML-attributet till \ kommer att använda användarens angivna NameID** Mappning av SAML-attributet Employee Unique ID till **\** kommer automatiskt att använda det angivna NameID-värdet för användaren som deras unika identifierare. Detta kan vara ett användbart verktyg om din identitetsleverantör anger ett NameID som inte är en användares e-post, såsom ett User Principal Name (UPN) eller liknande värde som inte ändras. Använd inte detta värde om användarnas NameIDs matchar deras e-post.

Exempel på admininställningen <NameID>.

### Avancerad mappning: licenser, tillägg och åtkomst SAML Advanced Information Mapping-sektionen kan dynamiskt tillämpa licenser (inklusive Zoom Phone), tillägg och användaråtkomstgrupper till användare när de autentiserar. Till skillnad från grundläggande mappning innehåller avancerad mappning många nyanser som kan kräva noggrann uppmärksamhet vid konfiguration, beroende på komplexiteten i din miljö. Detta avsnitt belyser nyanserna för att konfigurera avancerad SAML-mappning. Hänvisa till vår [artikel om avancerad SAML-mappning](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) för en komplett lista över stödda attribut. #### Avancerad mappning tillämpas varje gång en användare autentiserar Till skillnad från grundläggande mappning, som har valfria uppdateringar för vissa kategorier, kommer avancerade mappningskonfigurationer att tillämpas varje gång en användare autentiserar, enligt den uppifrån-och-ner-ordning som anges. Till exempel, om en användare har en grundlicens och sedan autentiserar via SSO som skickar ett SAML-attribut och värde mappat till att bevilja en full licens, kommer användaren omedelbart att beviljas full licens. Om användarens profil sedan ändras i identitetsleverantören för att flytta dem tillbaka till en grundlicens, kommer de att tilldelas grundlicensen igen när de autentiserar igen i Zoom. #### Avancerad mappning tillåter flera SAML-attribut och värden per kategori Till skillnad från grundläggande mappning, som endast tillåter ett SAML-attribut per kategori, kan avancerad mappning stödja flera attribut och värden för varje kategori. Detta möjliggör stor flexibilitet vid hantering av användarlicenser och åtkomst via säkerhetsgrupper i din identitetsleverantör, som ses i följande konfiguration.

Exempel på attributmappning för SAML.

{% hint style="success" %} **Zoom-tips** SAML-attribut kan variera mellan identitetsleverantörer, särskilt för säkerhetsgrupper. Bekräfta med din identitetsleverantör eller genom [SAML-svarsloggar](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) hur SAML-attribut anges. {% endhint %} #### Avancerad mappning tillämpar licenser uppifrån-och-ner när flera attribut anges Om en användare skickar flera SAML-attribut eller värden som är konfigurerade för avancerad SAML-mappning, kommer Zoom att mappa licenserna uppifrån-och-ner. Se följande exempel:

Exempel på val av licenstyp i admininställningar.

Enligt ovanstående konfiguration, om en användare skulle skicka ett attribut för både **global\_users** och **marketing**, eftersom **marketing** är högst i konfigurationen, kommer detta attribut att tillämpas på användaren och de återstående tillämpliga attributen kommer att ignoreras. Alternativt, om konfigurationen var satt med **global\_users** som högst, som ses i följande skärmbild, om en användares assertion innehöll **global\_users**, **marketing**, **human** **resources**, och **IT**, eftersom **global\_users** är högsta prioritet, kommer endast en grundlicens att anges.

Exempel på att justera prioriteringsordningen

Zoom-administratörer kan justera appliceringsordningen när de redigerar mappningsvärdena genom att använda ↑↓-pilarna i redigeraren. {% hint style="success" %} **Zoom-rekommendationen** Konfigurera de avancerade konfigurationerna från mest specifik till mest generell för att förhindra felaktig licenstillämpning. {% endhint %} #### Webinar- och Large Meeting-mappningar kan dela ett gemensamt värde för att tillämpa båda tilläggen För att förenkla tillämpningsprocessen kan Zoom-administratörer konfigurera samma SAML-attribut och värde två gånger för att tillämpa både webinar- och large meeting-tillägg på användarna, som visas i följande bild med **global\_users** värdet. Dessa tillägg kan också konfigureras separat om så önskas, som visas med **webinar\_only** och **large\_meeting\_only** värden.

Exempel på SAML-attribut för large_meeting_only och webinar_only.

#### Användare kan läggas till i flera användargrupper med ett SAML-värde Zoom-administratörer kan konfigurera användargruppsmappning för att lägga till en användare i flera grupper med ett SAML-värde. Den första användargruppen som läggs till kommer att ställas in som användarens primära grupp och kommer att bestämma användarens standardinställningar *om inte en underliggande grupp har en inställning låst*. För mer information om användargrupper, hänvisa till vår [supportartikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

Exempel på mappning av flera användargrupper.

#### Specifika användare och användargrupper kan undantas från specifika SAML-mappningar Varje alternativ under Avancerad SAML-mappning kan konfigureras för att undanta specifika användare och användargrupper från mappningsbeteende. Detta kan vara fördelaktigt för att förhindra att VIP-användare drabbas av tjänsteavbrott på grund av en potentiell ändring i licensering.

Exempel på användarundantag.

#### Auto Mapping tilldelar automatiskt användare till en användar-, kanal- eller IM-grupp namngiven efter deras angivna SAML-värde om värdet inte tidigare är mappat till en grupp Auto Mapping kan användas för att automatiskt tilldela användare till en användargrupp, kanal och IM-grupp med namnet efter deras angivna SAML-värde. Till skillnad från andra avancerade mappningskomponenter, som kan konfigureras för att tilldela en användare till vilken grupp som helst baserat på SAML-värdet, tilldelar Auto Mapping alltid en användare till en grupp baserat på exakt SAML-värde. Om gruppen tidigare inte fanns kommer den att skapas automatiskt.

Exempel på SAML Auto Mapping.

Till exempel, om Auto Mapping är inställt för att mappa en användare till grupper baserat på deras avdelning, om deras avdelningsvärde inte redan är definierat för användargruppen, kanalen eller IM-gruppen, kommer användare automatiskt att tilldelas en grupp som matchar deras avdelningsnamn, som visas i följande tabell: | SAML-attribut | SAML-värde | Finns Zoom-gruppen redan? | Resultat | | ------------- | --------------- | ------------------------- | ----------------------------------------------------- | | Avdelning | Human Resources | Ja | Användare tillagd i Human Resources-gruppen | | Avdelning | Marketing | Ja | Användare tillagd i Marketing-gruppen | | Avdelning | Sales | Nej | Sales-grupp skapas, användare tillagd i Sales-gruppen | #### Zoom stöder upp till fem anpassade SAML-attribut Zoom-administratörer kan konfigurera upp till *fem* anpassade SAML-attribut för att lägga till användardata i deras Zoom-profil under [avancerad användarhantering](https://zoom.us/account/user#/advanced) sidan. Efter att ha lagt till de anpassade fälten kan Zoom-administratörer konfigurera mappningen på [SAML-svarsavbildning](https://zoom.us/account/sso/mapping) sidan.

Exempel på anpassade SAML-attribut

#### Att mappa användare till ett underkonto kommer att *endast* tillämpa en möteslicens och tillägg Att mappa en användare till ett underkonto kommer endast att tillämpa användarens möteslicens och tillägg som Webinar och Large Meetings till underkontot. Användargrupper, IM-grupper, användarroller etc. kommer inte att tillämpas och måste konfigureras inom underkontot. Kunder som kräver mer flexibilitet för SAML-svarsavbildning med underkonton kommer att kräva en unik Vanity URL och ny SSO-konfiguration inom underkontot. ### Felsökning av SSO #### Använda SAML-svarsloggar för felsökning Sparade SAML-svarsloggar kan vara ett ovärderligt verktyg för felsökning av konfigurations- och användarfel, utöver SAML-svarsavbildningskonfigurationer. Om din SSO-konfiguration är inställd för att spara SAML-svarsloggar kan de nås via [fliken SAML Response Log](https://zoom.us/account/sso/saml_logs) tillgänglig på SSO-konfigurationssidan i Avancerade inställningar. För att visa SAML-svarsloggar, klicka på **Visa detaljer** bredvid ett autentiseringsförsök. #### De flesta autentiseringar visas i svarsloggarna De flesta misslyckade eller ofullständiga autentiseringsförsök kommer att visas på sidan med svarsloggar. Om ett autentiseringsförsök inte visas är det troligt att Zoom inte mottog en SAML-assertion från din identitetsleverantör, eller att sparande av SAML-svarsloggar är inaktiverat. #### Svarsloggar kan tala om ifall din konfiguration är felaktig eller ditt certifikat är föråldrat När SAML-svarsloggar är aktiverade vidarebefordras identitetsleverantörens information till Zoom för att autentisera identiteter för varje part. Om en angiven inställning eller informationssträng, såsom X509-certifikatet eller utgivar-ID, skiljer sig från Zooms nuvarande konfiguration kommer ett fel att visas som råder att informationen “matchar inte de aktuella SSO-inställningarna.” En Zoom-administratör kan uppdatera SSO-konfigurationen för att matcha dessa angivna värden om de är korrekta för att åtgärda felet.

Exempel på varningar för felaktig konfiguration.

#### Svarsloggar visar vilka SAML-värden och attribut som anges Genom att granska svarsloggar kan man underlätta lösningen av SAML-svarsavbildningskonfigurationer genom att verifiera vilka attribut och värden som användare anger när de autentiserar. Dessa kan jämföras med konfigurationen för att säkerställa att attributen och värdena matchar.

Exempel på information som anges av identitetsleverantörtjänsten.

Om SAML-attribut eller värden saknas, anges inte informationen av identitetsleverantören. Användare som upplever detta problem uppmanas att kontakta sin identitetsleverantörs supporttjänster för ytterligare hjälp. #### Svarsloggar innehåller en felkod och en kort förklaring om det misslyckas Om en användare inte kan autentisera eller får ett fel innehåller SAML-svarsloggarna en felkod och en kort förklaring av felet.

Exempel på felkod och förklaring.

De flesta problem kan identifieras och lösas med hjälp av dessa felmeddelanden. Om du inte kan lösa felet, kontakta Zoom Support för ytterligare hjälp. #### WEB Tracking ID-fel Om en användare misslyckas med SSO-autentisering kommer de att få en WEB Tracking ID-felkod. Dessa koder är inte ett felmeddelande relaterat till ett specifikt fel, utan är istället ett unikt logg-ID som kan granskas i SAML Response Mapping för att identifiera autentiseringsproblem.

Exempel på ett användarvisat fel med en WEB Tracking ID-felkod.

För att identifiera felet, om SAML-svarsloggning är aktiverat, navigera till [fliken SAML Response Log](https://zoom.us/account/sso/saml_logs) fliken som finns på SSO-konfigurationssidan i Avancerade inställningar. Därifrån, ange WEB-tracking-ID i Tracking ID-fältet och sök för att fylla i svarsloggen

Exempel på sökning i SAML Response Log med den nämnda WEB Tracking ID-felkoden.

SAML-svarsloggarna bör visa SAML-assertionen och en felkod och meddelande längst ner i svaret som kan användas för ytterligare felsökning. ### SCIM-fel #### Användaren finns inte eller tillhör inte detta konto Detta fel uppstår när en riktad användares e-postadress misslyckas att provisioneras på grund av ett redan befintligt konto. Zoom-administratörer uppmuntras att kontakta användaren direkt och manuellt bjuda in användaren till kontot.

Exempel på ett provisioneringsfel.

#### Du kan inte lägga till betalande användare Detta fel uppstår när SCIM försöker provisionera en användare när det inte finns tillräckliga licenser på kontot. För att åtgärda felet måste användaren provisioneras som en basic-användare, eller så måste en licens göras tillgänglig för provisionering. ### Använda SCIM-loggar för att felsöka användarprovisionering Zoom tillhandahåller de senaste 100 API-förfrågningsloggarna i [Zoom Marketplace](https://marketplace.zoom.us/). En Zoom-administratör kan använda dessa loggar för att bekräfta vilken information som skickas och tas emot via provisioning-API:erna. För att komma åt loggarna, logga in på Zoom Marketplace som Zoom-administratör och klicka på **Hantera**. På följande sida, välj **Call Logs** under **Personlig apphantering**. Därifrån, klicka på en post för att expandera API-loggarna och granska innehållet. Följande bild visar ett exempel på en SCIM-användarprovisioneringsförfrågan, med användarens identitets- och licensattribut markerade för referens.

Exempel på en SCIM-användarprovisioneringsförfrågan.

Liksom SAML-svarsavbildning kan Zoom endast tillämpa information som skickas från identitetsleverantören i provisioning-förfrågan. Använd dessa loggar för att bekräfta att användaridentitets- och licensattribut skickas från identitetsleverantören. Om förväntad information saknas i dessa assertioner, kontakta din identitetsleverantör för support. ### Dataflöden och autentisering #### SAML-autentisering Följande diagram beskriver en användares SAML-autentiseringsflöde när en single sign-on-session initieras med Zoom.

Diagram över ett exempel på SAML-autentiseringsflöde.

#### SSO-webbinloggningstoken Efter att en användare autentiserar via SAML byggs användarens session upp i deras webbläsare och har en livslängd på två timmar som standard. Om användaren fortsätter att aktivt använda sin Zoom-webbsida kommer sessionen att uppdateras; men om användaren inte använder sin webbsida på två timmar kommer tokenet att löpa ut och användaren måste autentisera igen. Zoom-administratörer kan konfigurera denna aktiva sessionstid på [Säkerhet](https://zoom.us/account/setting/security) sidan under Användare behöver logga in igen efter en period av inaktivitet och **Ange period för inaktivitet på webben (minuter)**. #### Klientinloggningstoken När en användare försöker autentisera via SSO i en klient öppnar användarens dator en webbläsare och omdirigerar dem till identitetsleverantörens inloggningssida. Efter att en användare autentiserat kommer användarens webbläsare att få en Zoom-klientstarttoken. När en användare klickar på knapparna “open” eller “launch” använder webbläsaren URL-schemat kombinerat med starttokenet för att öppna Zoom-klienten. Zoom-klienten kommer att använda starttokenet för att erhålla åtkomsttokenet och uppfriskningstokenet från Zoom-servern. Klienten kommer att använda åtkomsttokenet i två timmar åt gången, och vid utgång kommer den att använda uppfriskningstokenet för att få en ny uppsättning token som lagras i klientens lokala databas. Denna uppfriskningsprocess är obegränsad som standard och kan kontinuerligt cykla genom token tills en användare loggar ut eller tokenen upphör. Zoom-administratörer kan anpassa sessionstiden på [SSO-inställningar](https://zoom.us/account/sso) sidan under [*tvinga automatisk utloggning*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).