SSO-Feldleitfaden

Einführung

Die Integration von Single Sign-On (SSO) mit Zoom bietet Administrator:innen Optionen zur Benutzerverwaltung und Sicherheit, die die Kontoverwaltung vereinfachen können. Nach der Konfiguration authentifizieren sich Benutzer:innen mit ihren Unternehmensanmeldedaten beim Identitätsanbieter Ihres Unternehmens, anstatt alternative Authentifizierungsmethoden wie Google- oder Facebook-Integrationen oder einen direkten Benutzernamen und Passwort bei Zoom zu verwenden.

Dieses Dokument bietet einen umfassenden Überblick über SSO-Konfigurationen und -Einstellungen innerhalb von Zoom sowie Informationen zur Fehlerbehebung und Sicherheit.

SSO-Integrationen

Für SSO ist eine Vanity-URL erforderlich, um zu beginnen

Ein Konto muss eine genehmigte Vanity-URL besitzen, bevor SSO konfiguriert werden kann. Sobald die Vanity-URL genehmigt ist, können Zoom-Administrator:innen auf die SSO-Konfiguration Seite über das Untermenü für erweiterte Optionen im Webportal zugreifen. Weitere Informationen finden Sie in unserem Support-Artikel zu Vanity-URLs .

Zoom SSO funktioniert mit jedem SAML 2.0 Identitätsanbieter

Zoom kann mit jedem Identitätsanbieter integriert werden, der Security Assertion Markup Language (SAML) 2.0-Authentifizierung unterstützt. Obwohl viele Integrationsanleitungen dokumentiert sind, stellen einige Identitätsanbieter keine Dokumentation für die Integration mit Zoom bereit. Konten, die keine Konfigurationsanweisungen finden, sollten ihren Identitätsanbieter für weitere Informationen kontaktieren.

Zoom-Administrator:innen können Benutzerprofilinformationen und Lizenzen über SAML-Antwortzuordnung oder SCIM-Integrationen verwalten

Administrator:innen können Benutzerprofilinformationen und Lizenzen je nach den vom Identitätsanbieter verfügbaren Funktionen über SAML-Antwortzuordnungen oder API-Anfragen des System for Cross-Domain Identity Management (SCIM) verwalten. Beide Methoden zur Benutzerverwaltung bieten nahezu gleiche Funktionalität für die Zuordnung von Profilinformationen und die Lizenzverwaltung, aber einige SCIM-Zuordnungen erfordern manuelle Konfiguration.

Für eine vollständige Liste der SCIM-Funktionen verweisen wir auf unsere SCIM-API-Dokumentation.

Zoom-Administrator:innen können den Kontostatus von Benutzer:innen über SCIM verwalten, nicht jedoch über SAML

Da SCIM Identitätsanbietern ermöglicht, jederzeit direkt mit Zoom zu kommunizieren, können Benutzerkonten aktiviert, deaktiviert, erstellt, oder gelöscht werden automatisch über SCIM-Integrationen. Wenn beispielsweise das Konto eines Benutzers in Active Directory deaktiviert wird oder die Anwendung zugewiesen wird, kann SCIM eine automatische Deaktivierungsanforderung für das Zoom-Konto des Benutzers senden. Diese Funktion hängt von den Fähigkeiten der SCIM-Anwendung des Identitätsanbieters ab und die Funktionalität kann je nach Anbieter variieren.

Nur wenige Identitätsanbieter bieten SCIM für Zoom an

Viele Identitätsanbieter haben keine für Zoom erstellte SCIM-Integration als Teil ihrer Dienste. Konten, die einen Identitätsanbieter verwenden, der SCIM mit Zoom nicht unterstützt, müssen SAML-Antwortzuordnungen für die automatisierte Benutzerverwaltung verwenden.

SCIM erfordert eine zugeordnete Domäne, um Benutzer automatisch bereitzustellen

Konten, die SCIM verwenden, um Benutzer für SSO zu verwalten und bereitzustellen, müssen die E-Mail-Domäne mit Zoom verknüpfen. Wird die Domäne nicht zugeordnet, kommt es zu Fehlern bei der Benutzerbereitstellung. Weitere Informationen zum Vorgang finden Sie in unserem Support-Artikel zu Zugehörige Domänen .

Die folgenden SSO-Integrationen sind dokumentiert

On-Premises Active Directory kann statt SCIM das AD Sync Tool verwenden

Konten, die die Benutzerbereitstellung über SCIM automatisieren möchten, aber keinen cloudbasierten Identitätsanbieter haben, können das von Zoom entwickelte Active Directory (AD) Sync Tool zur Verwaltung ihrer Benutzer verwenden. Diese Anwendung läuft auf Oracle JDK 8 und simuliert SCIM-Provisioning, indem sie Benutzer über API-Befehle verwaltet. Siehe unseren Support-Artikel zur AD Sync Tool .

Identitätsanbieter können sogar Meeting-Teilnehmer authentifizieren, die kein Zoom-Konto haben

Konten, die von Benutzer:innen verlangen möchten, ihre Identität zu authentifizieren, ohne Zoom-Konten bereitzustellen, können mit ihrem Identitätsanbieter ein externes Authentifizierungsprofil konfigurieren. Wenn dies für ein Meeting aktiviert ist, müssen sich Benutzer:innen, die beitreten möchten, gegen Ihren Identitätsanbieter authentifizieren, um Zugriff zu erhalten. Dies ist eine gängige Konfiguration für Schulen, die nicht allen Schülern Konten bereitstellen, aber eine Authentifizierung zum Beitreten verlangen. Siehe unseren Support-Artikel zu externer Authentifizierung konfigurieren .

Änderung des Identitätsanbieters erfordert Neokonfiguration von SSO in Zoom

Konten, die den Identitätsanbieter wechseln, müssen ihre SSO-Konfiguration in Zoom neu vornehmen. Dies umfasst das Aktualisieren aller Felder auf der Konfigurationsseite, damit sie dem neuen Identitätsanbieter entsprechen. Konten sollten bestätigen, dass sich SAML-Antwortzuordnungen beim neuen Identitätsanbieter nicht ändern.

Keine zusätzlichen Konfigurationen oder Änderungen sollten erforderlich sein, vorausgesetzt, es sind keine weiteren Änderungen vorhanden.

Kunden mit Unterkonten können SSO vom Master- oder Unterkonto konfigurieren

Kunden mit Unterkonten haben zwei Optionen zur Konfiguration von SSO:

1. Alle Benutzer:innen authentifizieren sich mit der Vanity-URL des Master-Kontos und werden durch erweiterte SAML-Zuordnung automatisch im Unterkonto angemeldet (einige Zuordnungsbeschränkungen gelten); oder

2. Jedes Unterkonto hat eine eindeutige Vanity-URL und eine unabhängige SSO-Konfiguration, die ausschließlich von Mitgliedern dieses Unterkontos verwendet wird

Jede Konfiguration bietet einzigartige Vorteile; die zweite Option bietet die größte Flexibilität. Kunden, die die Implementierung einer der beiden Konfigurationen in Betracht ziehen, sollten mit ihrem Account-Team besprechen, welche Konfiguration am besten zu ihren Anforderungen passt.

SSO-Einstellungen & Sicherheit

Zoom-Administrator:innen können bei der Konfiguration einer SSO-Integration mit Zoom die optimalen Sicherheits- und Einstellungsoptionen für ihre Organisation auswählen. Dieser Abschnitt erklärt diese Einstellungen und deren Auswirkungen auf eine SSO-Integration.

Zoom unterstützt signierte Login- und Logout-SAML-Anfragen

Zoom-Administrator:innen, die zusätzliche Authentifizierung des Service Providers verlangen, können Zoom so konfigurieren, dass alle Login- und Logout-Anfragen an den Identitätsanbieter signiert werden.

Konten, die diese Einstellung verwenden, benötigen möglicherweise eine Zertifikatsrotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zur Zertifikatsrotation .

Zoom unterstützt verschlüsselte SAML-Assertions bei der Authentifizierung

Zoom-Administrator:innen können Zoom so konfigurieren, dass verschlüsselte Assertions bei der Authentifizierung unterstützt werden. Wenn diese Einstellung aktiviert ist, werden unverschlüsselte Assertions verworfen. Konten, die diese Einstellung verwenden, benötigen möglicherweise eine SSO-Zertifikatsrotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu Zertifikatsrotation .

Zoom-Administrator:innen können ein automatisches Logout nach einer definierten Zeitdauer durchsetzen

Zoom-Administrator:innen können Zoom so konfigurieren, dass Benutzer:innen nach definierten Zeiträumen automatisch aus aktiven Sitzungen ausgeloggt werden, anpassbar von 15 Minuten bis 180 Tagen. Dieser Prozess setzt das Zoom-Zugriffstoken so, dass es nach der vorgegebenen Dauer abläuft, sobald das Token generiert wurde. Dieses Token hat keine Beziehung zu einem Identitätsanbieter und ist einzigartig für Zoom.

SAML-Antwortprotokolle können zur Fehlerbehebung gespeichert werden

Zoom kann SAML-Antwortprotokolle von Authentifizierungsversuchen bis zu sieben Tage nach einer Authentifizierung speichern. Diese Antwortprotokolle können ein unschätzbares Hilfsmittel zur Fehlerbehebung bei Konfigurations- und Benutzerfehlern sowie bei SAML-Antwortzuordnungen sein. Lesen Sie den Abschnitt zu Fehlerbehebung mit SAML-Antwortprotokollen .

Bereitstellung beim Anmelden kann Konten sofort erstellen und ist die einfachste Bereitstellungsoption

Wenn SSO so eingestellt ist, dass es bereitstellt Beim Anmelden (auch bekannt als Just-in-Time-Provisioning), kann sich jede autorisierte Person im Identitätsanbieter bei Zoom authentifizieren. Benutzer:innen, die kein bestehendes Konto haben, erhalten beim Anmelden sofort ein neues Konto.

Bereitstellung beim Anmelden kann Rollouts von Zoom in einem Unternehmen vereinfachen, indem Benutzer:innen erlauben, ihre Konten zum Zeitpunkt der Authentifizierung zu erstellen, anstatt eine proaktive Erstellung von Benutzerkonten zu erfordern. In Kombination mit SAML-Antwortzuordnungen ist ein vollständiges Benutzerprofil und die Lizenzierung innerhalb von Sekunden nach der ersten Authentifizierung eines Benutzers bereit.

Zusätzlich kann die Bereitstellung beim Anmelden dynamisch den SSO-Anmeldetyp für bereits bestehende Konten erstellen. Wenn ein Benutzer bereits ein Zoom-Konto mit Benutzername und Passwort hat, wird bei dieser Konfiguration beim Anmelden ein SSO-Anmeldetyp erstellt.

Bereitstellung vor dem Anmelden erfordert vorab erstellte Konten mit einem SSO-Anmeldetyp

Benutzer für SSO bereitzustellen vor dem Anmelden erfordert, dass sich authentifizierende Benutzer:innen beides ein bestehendes Zoom-Konto und dass dem Konto ein SSO-Anmeldetyp zugewiesen ist. Diese Art der Bereitstellung wird häufig mit SCIM-Provisioning kombiniert, aufgrund des automatisierten Kontoerstellungsprozesses, ist jedoch nicht ausschließlich darauf beschränkt. Zoom-Benutzer:innen, die durch zugehörige Domänen oder eine direkte Einladung in das Unternehmenskonto konsolidieren, haben wahrscheinlich nicht den SSO-Anmeldetyp.

Zoom-Administrator:innen können bestätigen, ob ein Konto einen SSO-Anmeldetyp hat, indem sie das Benutzerkonto auf der Benutzerverwaltung Seite im Webportal anzeigen und nach dem „SSO“-Symbol unter der E-Mail des Benutzers suchen.

Wenn das Symbol vorhanden ist, ist der Benutzer für SSO bereitgestellt; ist das Symbol nicht vorhanden, kann sich der Benutzer nicht per SSO anmelden, während die Vorbereitstellung aktiviert ist, bis es hinzugefügt wird. Ein Zoom-Administrator kann diesen Anmeldetyp hinzufügen, indem er Benutzer per CSV-Datei in großen Mengen hinzufügt und die Option „SSO-Benutzer“ auswählt oder den Benutzer sich authentifizieren lässt, während „Beim Anmelden bereitstellen“ aktiviert ist.

Eine Domäne muss zugeordnet und verwaltet werden, um SSO-Authentifizierung durchzusetzen

Zoom-Administrator:innen können die SSO-Authentifizierung nur erzwingen, wenn die E-Mail-Domäne mit Zoom verknüpft und verwaltet wird. Wenn dies aktiviert ist, werden alle Benutzer:innen, die sich mit Ihrer Unternehmensdomäne anmelden, unabhängig von der Plattform automatisch zur Authentifizierungsseite Ihres Identitätsanbieters umgeleitet.

Sobald die Domäne genehmigt und verwaltet wird, kann ein Zoom-Administrator die SSO-Authentifizierung über die Sicherheitsseite unter Anmelde-Methoden. Siehe unseren Support-Artikel zu Zugehörige Domänen für weitere Informationen zum Zuordnen und Verwalten einer Domäne.

Bestimmte Benutzer:innen können von erzwungener SSO-Authentifizierung ausgenommen werden

Zoom-Administrator:innen können bestimmte Benutzer:innen von der erzwungenen SSO-Authentifizierung ausschließen. Das Ausschließen bestimmter Benutzer:innen (z. B. eines Admin-Kontos) kann nützlich sein, wenn eine SSO-Konfiguration fehlerhaft ist und ein Kontoadministrator nicht-SSO-Zugriff auf das Zoom-Konto benötigt. Admins, die ausgenommen sind, können sich jederzeit unter admin.zoom.us anmelden, falls es zu einer Kontosperrung oder einer fehlerhaften SSO-Konfiguration kommt (der Benutzer muss die Standard- Administrator:in Rolle haben). Wenn ein Zoom-Admin keinen Zugriff auf das Konto hat, muss er sich an den Zoom-Support wenden.

Um eine Benutzer-Ausnahme zu aktivieren, navigieren Sie im Webportal zu dem Konto, wählen Sie unter erweiterten Optionen die Liste der erzwungenen Domänen und fügen Sie über die Bearbeitungsfunktion eine Ausnahme hinzu. Sicherheitsseite Beispiel einer Domänenliste für SSO.

Zoom-Clients können vorkonfiguriert werden, um SSO-Funktionalität zu automatisieren, einschließlich automatischem Login, automatischem Logout, SSO-only-Authentifizierung auf dem Gerät und mehr über Group Policy, Mobile Device Management (MDM)-Dienste und Massenbereitstellungs-Clients.

Für eine vollständige Liste der Konfigurationsmöglichkeiten verweisen wir auf unsere Konfigurationsoptionen für

Gruppenrichtlinie iOS, Android, Mac, und Windows Office-365-Benutzer:innen können sich automatisch mit SSO-Anmeldedaten beim Zoom for Outlook-Add-In anmelden.

Kunden, die Office 365 verwenden, können ihre Benutzer:innen automatisch mit SSO-Anmeldedaten beim Zoom for Outlook-Add-In anmelden. Dies kann mit einem

benutzerdefinierten Add-In-Manifest kombiniert werden, das die Vanity-URL des Kontos vorab ausfüllt und eine nahtlose Authentifizierungserfahrung für Benutzer:innen schafft. Diese Funktion verwendet das SSO-Sitzungstoken des Benutzers, falls dieses aktiv ist, oder fordert eine neue Authentifizierung bei Ihrem Identitätsanbieter an, wenn keine aktive Sitzung gefunden wird. Ein Zoom-Admin kann diese Einstellung im Konto unter dem

unter dem Sicherheitsseite Erweitert Menü aktivieren. Beispiel einer Administrator-Einstellung für SSO mit dem Outlook-Add-In.

SAML-Attribute sind Datenkategorien, die durch SAML-Werte definiert sind und verwendet werden, um Informationen vom Identitätsanbieter an einen Service Provider wie Zoom zu übermitteln. Das Zuordnen von Attributen und Werten ist essentiell, um Benutzerprofilinformationen zu automatisieren und Benutzerlizenzen zu verwalten.

Die SAML-Antwortzuordnung ist in zwei Hälften unterteilt:

grundlegend und Windows Menü aktivieren.Erweiterte Zuordnung wird verwendet, um dynamische Lizenzzuweisungen zu verwalten, Benutzergruppen und -rollen zuzuweisen und mehr.

Dieser Abschnitt behandelt die Grundlagen der SAML-Antwortzuordnung, grundlegende und erweiterte SAML-Antwortzuordnungen und hebt besondere Bedingungen hervor, die für einige Funktionen erforderlich sind.

Grundlagen: SAML-Attribute und -Werte

Die meisten Identitätsanbieter übermitteln grundlegende Profilinformationen mit einfachen Attributnamen und -werten. Beispielsweise kann die Abteilung eines Mitarbeiters in SAML mit dem Attribut department und dem Wert Human Resources übermittelt werden. Die folgende Tabelle zeigt die Beziehung zwischen Attributen und Werten bei der Übermittlung von Benutzerinformationen.

Durch die korrekte Zuordnung eines SAML-Attributs zu einer Antwortzuordnung können Benutzerinformationen automatisch auf ein Benutzerprofil angewendet werden, um den Kontoerstellungs- und Verwaltungsprozess zu vereinfachen.

Grundlegende Zuordnung: Profilinformationen

Die grundlegende SAML-Informationszuordnung wird verwendet, um Profilinformationen wie Vorname, Nachname, Abteilung, Telefonnummer, Kostenstelle und Standort aus einem Verzeichnis auf das Benutzerprofil zu übertragen. Viele dieser Kategorien sind selbsterklärend und können leicht konfiguriert werden; jedoch erfordern einige Kategorien eine Erklärung für eine korrekte Konfiguration, um unbeabsichtigte Konsequenzen oder Anwendungsfehler zu vermeiden. Der folgende Abschnitt hebt spezielle Zuordnungsoptionen und Konfigurationseinstellungen für die grundlegende Zuordnung hervor. Siehe unseren Artikel zur grundlegenden SAML-Zuordnung für eine vollständige Liste der unterstützten Attribute.

Der Standardlizenztyp gilt nur für ganz neue Benutzer:innen

Die Option für den Standardlizenztyp wendet die festgelegte Lizenz auf alle ganz neuen Benutzer:innen an, die über SAML im Konto bereitgestellt werden. Dies gilt nicht für Benutzer:innen, die sich zum zweiten Mal authentifizieren, Benutzer:innen, die aus einem vorherigen Konto in das Konto konsolidiert wurden, Benutzer:innen, die über SCIM bereitgestellt wurden, oder Benutzer:innen, die manuell eingeladen wurden.

Informationen zum Aktualisieren von Benutzerlizenzen bei Authentifizierung finden Sie in der Lizenzkonfiguration unter Erweiterte SAML-Zuordnung.

Ein Standardlizenztyp von Keine erlaubt neuen Benutzer:innen nicht die Authentifizierung, es sei denn, erweiterte Zuordnungen sind so konfiguriert, dass eine Lizenz zugewiesen wird

Zoom-Benutzer:innen müssen einen zugewiesenen Lizenztyp (Basic, Licensed oder On-Prem) haben, um sich beim Zoom-Dienst anzumelden. Wenn der Standardlizenztyp „Keine“ ausgewählt ist, können sich neue Benutzer:innen nicht anmelden oder ein neues Konto erstellen, es sei denn, sie erhalten eine Lizenz über Erweiterte SAML-Zuordnung.

Die meisten grundlegenden Zuordnungen werden beim Anmelden wieder angewendet, sofern nicht anders angegeben

Die meisten grundlegenden SAML-Zuordnungen werden standardmäßig jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet, außer für Vorname, Nachname, Anzeigename und Telefonnummer. Standardmäßig werden diese vier Zuordnungen nur beim ersten Mal angewendet, wenn sich ein Benutzer authentifiziert, und werden nicht erneut angewendet, selbst wenn sie von einem Benutzer oder Admin aktualisiert wurden. Zoom-Administrator:innen können dieses Verhalten ändern, indem sie die Option Bei jedem SSO-Login aktualisieren auf der Seite für SAML-Antwortzuordnungen aktivieren.

Telefonnummern-Zuordnungen sollten die Landes- und Vorwahl enthalten, wenn sie außerhalb der Vereinigten Staaten liegen

Telefonnummern, die über SAML zugeordnet werden, sollten wenn möglich die Ländervorwahl und Ortsvorwahl in der SAML-Assertion enthalten. Zoom nimmt standardmäßig an, dass keine Ländervorwahl angegeben ist, +1 ist.

Konten, die keine Ländervorwahlen in ihrem Verzeichnis beibehalten, können ihre SAML-Assertions beim Identitätsanbieter bearbeiten, um diese bei Bedarf automatisch einzufügen.

Jede:r Benutzer:in kann bis zu drei Telefonnummern und eine Faxnummer in sein Profil zuordnen lassen

Zoom-Administrator:innen können bis zu drei separate Telefonnummern und eine Faxnummer für jede:n Benutzer:in konfigurieren. Jede Telefonnummer muss eindeutig sein und darf nicht den Wert eines anderen Feldes duplizieren.

Profilbilder müssen entweder von einer öffentlich zugänglichen URL stammen oder in Base64 codiert sein

Konten, die Profilbilder aus ihrem Verzeichnis zuordnen möchten, müssen die Bilder entweder über eine öffentlich zugängliche URL bereitstellen oder das Bild in Base64 codieren, wenn sie es übermitteln.

Mitarbeiter-Unique-ID

Die Mitarbeiter-Unique-ID ändert den primären Bezeichner, den Zoom zur Identifikation von Benutzer:innen verwendet

Die Mitarbeiter-Unique-ID ist eine Funktion, die Zoom zur Unterstützung des Identitätsmanagements anbietet. Standardmäßig ist die primäre Identifikation für einen Zoom-Benutzer seine email E-Mail-Adresse. Das bedeutet, dass wenn der Arbeits-E-Mail-Anmeldetyp [email protected], dann Zoom diese Person immer anhand dieser E-Mail-Adresse identifizieren wird. Dieser Bezeichner ermöglicht Integrationen wie SSO oder Facebook- und Google-OAuth-Konten, denselben Benutzer einem Zoom-Konto zuzuordnen.

Dieser Identifikationsprozess kann jedoch problematisch sein, wenn sich Name oder E-Mail-Adresse eines Benutzers ändern. Wenn beispielsweise [email protected] eine E-Mail-Änderung zu [email protected]hat, kann Zoom nicht sicher bestimmen, dass es sich um dieselbe Person handelt (weil der grundsätzliche Bezeichner anders ist) und erstellt daher beim ersten Login von [email protected] ein neues Konto.

Um dieses Problem zu vereinfachen, bietet Zoom die Funktion „Mitarbeiter-Unique-ID“ an, die den primären Bezeichner eines Benutzers von seiner E-Mail-Adresse auf eine festgelegte eindeutige ID ändert. Dies ändert nicht den Zoom-Benutzernamen einer Person, sondern bietet stattdessen ein alternatives Identifikationsattribut. Diese Änderung erlaubt es Zoom, die E-Mail-Adresse eines Benutzers innerhalb von Zoom dynamisch zu aktualisieren, wenn:

• eine neue E-Mail-Adresse von einer bekannten Mitarbeiter-Unique-ID begleitet wird; und

• die betroffene E-Mail-Domäne des Benutzers in Zoom zugeordnet ist

Beispiel: Wenn sich [email protected] authentifiziert und einen SAML-Wert von 12345 (ihre Mitarbeiter-Nummer) für das Attribut Mitarbeiter-Unique-ID übergibt, wird Zoom den Benutzer nun innerhalb des Kontos anhand des übermittelten Werts identifizieren. Wenn John sich erneut mit der E-Mail [email protected] authentifiziert und weiterhin die Mitarbeiter-Unique-ID 12345 übermittelt, wird Zoom erkennen, dass [email protected] jetzt [email protected] ist und die E-Mail des Benutzers innerhalb des Kontos dynamisch aktualisieren, sofern die Domäne zugeordnet ist.

Identitätsadministrator:innen sollten sicher sein, dass sich nicht zwei Benutzer:innen denselben Wert für die Mitarbeiter-Unique-ID teilen, bevor die SAML-Zuordnung für diese Kategorie eingerichtet wird. Wenn ein anderer Benutzer sich authentifiziert und denselben Wert übermittelt, wird die E-Mail erneut auf den neuen Benutzer aktualisiert und kann erhebliche Störungen der Benutzerdienste und -erfahrung verursachen.

Die Mitarbeiter-Unique-ID-Funktion erfordert zugeordnete Domänen, um die E-Mail eines Benutzers zu ändern

Die Mitarbeiter-Unique-ID-Funktion kann die E-Mail-Adresse eines Benutzers nicht aktualisieren, sofern die E-Mail-Domäne nicht offiziell mit Ihrem Kontoprofil verknüpft ist. Siehe unseren Support-Artikel zu Zugehörige Domänen .

Admins und Inhaber können ihre E-Mail nicht über die Mitarbeiter-Unique-ID aktualisieren

Admin- und Inhaber-E-Mails in Zoom können nicht über die Mitarbeiter-Unique-ID-Funktion aktualisiert werden. Dies dient als Sicherheitsmaßnahme, um unbefugten Zugriff zu verhindern. Admins und Inhaber müssen ihre E-Mail über ihre Profilseite ändern.

Benutzer-E-Mails können nur einmal pro Tag über die Mitarbeiter-Unique-ID aktualisiert werden

Benutzer-E-Mails können nur alle 24 Stunden über die Mitarbeiter-Unique-ID-Funktion aktualisiert werden. Ein Benutzer muss einen vollen Kalendertag seit der vorherigen Aktualisierung warten, bevor er seine E-Mail erneut über SSO aktualisieren kann.

Das Setzen des SAML-Attributs auf <NameID> verwendet das übermittelte NameID des Benutzers

Die Zuordnung des SAML-Attributs Mitarbeiter-Unique-ID zu <NameID> verwendet automatisch den angegebenen NameID-Wert des Benutzers als seinen eindeutigen Bezeichner. Dies kann ein nützliches Werkzeug sein, wenn Ihr Identitätsanbieter einen NameID angibt, der nicht die E-Mail-Adresse des Benutzers ist, wie z. B. einen User Principal Name (UPN) oder einen ähnlichen Wert, der sich nicht ändert. Verwenden Sie diesen Wert nicht, wenn die NameIDs der Benutzer ihrer E-Mail entsprechen.

Erweiterte Zuordnung: Lizenzen, Add-ons und Zugriff

Der Abschnitt zur erweiterten SAML-Informationszuordnung kann beim Authentifizieren dynamisch Lizenzen (einschließlich Zoom Phone), Add-ons und Benutzerzugriffsgruppen auf Benutzer anwenden. Im Gegensatz zur grundlegenden Zuordnung enthält die erweiterte Zuordnung viele Nuancen, die bei der Konfiguration je nach Komplexität Ihrer Umgebung sorgfältige Aufmerksamkeit erfordern können. Dieser Abschnitt hebt die Besonderheiten bei der Konfiguration der erweiterten SAML-Zuordnung hervor. Siehe unseren Artikel zur erweiterten SAML-Zuordnung für eine vollständige Liste der unterstützten Attribute.

Erweiterte Zuordnungen werden jedes Mal angewendet, wenn sich ein Benutzer authentifiziert

Im Gegensatz zur grundlegenden Zuordnung, die optionale Aktualisierungen für einige Kategorien hat, werden erweiterte Zuordnungskonfigurationen jedes Mal angewendet, wenn sich ein Benutzer authentifiziert, entsprechend der von oben nach unten festgelegten Reihenfolge der Anwendung.

Wenn beispielsweise ein Benutzer eine Basic-Lizenz hat und sich dann über SSO authentifiziert und ein SAML-Attribut und -Wert übermittelt wird, das die Vergabe einer Voll-Lizenz bewirkt, wird dem Benutzer sofort die Voll-Lizenz gewährt. Wenn das Profil des Benutzers anschließend im Identitätsanbieter geändert wird, um ihn wieder auf eine Basic-Lizenz zu setzen, wird ihm nach erneuter Authentifizierung in Zoom wieder die Basic-Lizenz zugewiesen.

Erweiterte Zuordnungen erlauben mehrere SAML-Attribute und -Werte pro Kategorie

Im Gegensatz zur grundlegenden Zuordnung, die nur ein SAML-Attribut pro Kategorie zulässt, kann die erweiterte Zuordnung mehrere Attribute und Werte für jede Kategorie unterstützen. Dies ermöglicht erhebliche Flexibilität bei der Verwaltung von Benutzerlizenzen und -zugriffen über Sicherheitsgruppen in Ihrem Identitätsanbieter, wie in der folgenden Konfiguration zu sehen ist.

Erweiterte Zuordnung weist Lizenzen von oben nach unten zu, wenn mehrere Attribute übermittelt werden

Wenn ein Benutzer mehrere SAML-Attribute oder -Werte übermittelt, die für die erweiterte SAML-Zuordnung konfiguriert sind, ordnet Zoom die Lizenzen von oben nach unten zu. Siehe folgendes Beispiel:

Gemäß obiger Konfiguration würde, wenn ein Benutzer ein Attribut für sowohl global_users Windows marketing, weil marketing das höchste in der Konfiguration ist, wird dieses Attribut dem Benutzer zugewiesen und die verbleibenden zutreffenden Attribute werden ignoriert.

Alternativ, wenn die Konfiguration mit global_users als höchste priorisiert wäre, wie im folgenden Screenshot zu sehen, und eine Assertion des Benutzers global_users, marketing, human resources, und IT, weil global_users die höchste Priorität hat, würde nur eine Basic-Lizenz angewendet werden.

Zoom-Administrator:innen können die Anwendungsreihenfolge beim Bearbeiten der Zuordnungswerte mithilfe der ↑↓-Pfeile im Editor anpassen.

Webinar- und Large-Meeting-Zuordnungen können denselben Wert teilen, um beide Add-ons anzuwenden

Um den Anwendungsprozess zu vereinfachen, können Zoom-Administrator:innen dasselbe SAML-Attribut und denselben Wert zweimal konfigurieren, um sowohl Webinar- als auch Large-Meeting-Add-ons auf Benutzer anzuwenden, wie im folgenden Bild mit dem global_users Wert zu sehen ist. Diese Add-ons können bei Bedarf auch unabhängig konfiguriert werden, wie mit den webinar_only Windows large_meeting_only Werten gezeigt.

Benutzer:innen können mit einem SAML-Wert mehreren Benutzergruppen hinzugefügt werden

Zoom-Administrator:innen können die Zuordnung zu Benutzergruppen so konfigurieren, dass ein Benutzer mit einem SAML-Wert mehreren Gruppen hinzugefügt wird.

Die zuerst hinzugefügte Benutzergruppe wird als primäre Gruppe des Benutzers festgelegt und bestimmt die Standardeinstellungen des Benutzers es sei denn, eine untergeordnete Gruppe hat eine Einstellung gesperrt. Weitere Informationen zu Benutzergruppen finden Sie in unserem Support-Artikel.

Bestimmte Benutzer:innen und Benutzergruppen können von bestimmten SAML-Zuordnungen ausgenommen werden

Jede Option unter der erweiterten SAML-Zuordnung kann so konfiguriert werden, dass bestimmte Benutzer:innen und Benutzergruppen von der Zuordnungsfunktionalität ausgenommen werden. Dies kann hilfreich sein, um VIP-Benutzer:innen vor Dienstunterbrechungen aufgrund möglicher Lizenzänderungen zu schützen.

Auto Mapping weist Benutzer:innen automatisch einer Benutzer-, Kanal- oder IM-Gruppe zu, die nach ihrem übermittelten SAML-Wert benannt ist, wenn der Wert zuvor keiner Gruppe zugeordnet war

Auto Mapping kann verwendet werden, um Benutzer:innen automatisch einer Benutzergruppe, einem Kanal und einer IM-Gruppe zuzuordnen, die nach ihrem übermittelten SAML-Wert benannt sind. Im Gegensatz zu anderen Komponenten der erweiterten Zuordnung, die so konfiguriert werden können, dass ein Benutzer basierend auf dem SAML-Wert einer beliebigen Gruppe zugewiesen wird, weist Auto Mapping einen Benutzer immer genau der Gruppe zu, die dem SAML-Wert entspricht. Falls die Gruppe zuvor nicht existierte, wird sie automatisch erstellt.

Wenn Auto Mapping beispielsweise so eingestellt ist, Benutzer basierend auf ihrer Abteilung in Gruppen zuzuordnen, und der Abteilungswert noch nicht für die Benutzergruppe, den Kanal oder die IM-Gruppe definiert ist, werden Benutzer automatisch in eine Gruppe mit dem Namen ihrer Abteilung aufgenommen, wie in der folgenden Tabelle gezeigt:

Zoom unterstützt bis zu fünf benutzerdefinierte SAML-Attribute

Zoom-Administrator:innen können bis zu fünf benutzerdefinierte SAML-Attribute konfigurieren, um Benutzerdaten ihrem Zoom-Profil unter der Seite erweiterte Benutzerverwaltung hinzuzufügen. Nach dem Hinzufügen der benutzerdefinierten Felder können Zoom-Administrator:innen die Zuordnung auf der SAML-Attribute sind Datenkategorien, die durch SAML-Werte definiert sind und verwendet werden, um Informationen vom Identitätsanbieter an einen Service Provider wie Zoom zu übermitteln. Das Zuordnen von Attributen und Werten ist essentiell, um Benutzerprofilinformationen zu automatisieren und Benutzerlizenzen zu verwalten. Seite konfigurieren.

Die Zuordnung von Benutzer:innen zu einem Unterkonto wird nur eine Meeting-Lizenz und Add-ons anwenden

Die Zuordnung eines Benutzers zu einem Unterkonto wendet nur die Meeting-Lizenz und Add-ons wie Webinar und Large Meetings auf das Unterkonto an. Benutzergruppen, IM-Gruppen, Benutzerrollen usw. werden nicht angewendet und müssen im Unterkonto konfiguriert werden.

Kunden, die mehr Flexibilität bei der SAML-Antwortzuordnung mit Unterkonten benötigen, benötigen eine einzigartige Vanity-URL und eine neue SSO-Konfiguration im Unterkonto.

Fehlerbehebung bei SSO

Verwendung von SAML-Antwortprotokollen zur Fehlerbehebung

Gespeicherte SAML-Antwortprotokolle können ein unschätzbares Hilfsmittel zur Fehlerbehebung bei Konfigurations- und Benutzerfehlern sowie bei SAML-Antwortzuordnungen sein. Wenn Ihre SSO-Konfiguration das Speichern von SAML-Antwortprotokollen aktiviert hat, können diese über die SAML-Antwortprotokoll Registerkarte auf der SSO-Konfigurationsseite in den erweiterten Einstellungen aufgerufen werden. Um SAML-Antwortprotokolle anzuzeigen, klicken Sie neben einem Authentifizierungsversuch auf Details anzeigen .

Die meisten Authentifizierungen werden in den Antwortprotokollen angezeigt

Die meisten fehlgeschlagenen oder nicht erfolgreichen Authentifizierungsversuche werden auf der Seite mit den Antwortprotokollen angezeigt. Wenn ein Authentifizierungsversuch nicht angezeigt wird, hat Zoom wahrscheinlich keine SAML-Assertion von Ihrem Identitätsanbieter erhalten oder das Speichern von SAML-Antwortprotokollen ist deaktiviert.

Antwortprotokolle können anzeigen, ob Ihre Konfiguration falsch ist oder Ihr Zertifikat veraltet ist

Wenn SAML-Antwortprotokolle aktiviert sind, werden Informationen des Identitätsanbieters an Zoom übermittelt, um Identitäten für beide Parteien zu authentifizieren. Wenn eine übermittelte Einstellung oder Informationszeichenfolge, wie das X509-Zertifikat oder die Issuer-ID, von der aktuellen Zoom-Konfiguration abweicht, erscheint eine Fehlermeldung, die darauf hinweist, dass die Informationen „nicht mit den aktuellen SSO-Einstellungen übereinstimmen.“ Eine Zoom-Administrator:in kann die SSO-Konfiguration aktualisieren, um diese übermittelten Werte zu übernehmen, sofern sie korrekt sind, um den Fehler zu beheben.

Antwortprotokolle zeigen, welche SAML-Werte und -Attribute übermittelt werden

Das Überprüfen der Antwortprotokolle kann bei der Lösung von SAML-Antwortzuordnungsproblemen helfen, indem festgestellt wird, welche Attribute und Werte Benutzer:innen beim Authentifizieren übermitteln. Diese können mit der Konfiguration verglichen werden, um sicherzustellen, dass Attribute und Werte übereinstimmen.

Wenn SAML-Attribute oder -Werte fehlen, werden diese Informationen nicht vom Identitätsanbieter übermittelt. Benutzer:innen, die dieses Problem erleben, sollten den Support ihres Identitätsanbieters für weitere Unterstützung kontaktieren.

Antwortprotokolle enthalten bei Fehlern einen Fehlercode und eine kurze Erklärung

Wenn ein Benutzer sich nicht authentifizieren kann oder einen Fehler erhält, enthalten die SAML-Antwortprotokolle einen Fehlercode und eine kurze Fehlerbeschreibung.

Die meisten Probleme können anhand dieser Fehlermeldungen identifiziert und behoben werden. Wenn Sie den Fehler nicht beheben können, wenden Sie sich an den Zoom-Support für zusätzliche Unterstützung.

WEB-Tracking-ID-Fehler

Wenn ein Benutzer die SSO-Authentifizierung nicht besteht, erhält er einen WEB-Tracking-ID-Fehlercode. Diese Codes sind keine Fehlermeldungen, die auf ein spezielles Problem hinweisen, sondern eine eindeutige Protokoll-ID, die in den SAML-Antwortprotokollen zur Identifizierung von Authentifizierungsproblemen untersucht werden kann.

Um den Fehler zu identifizieren, navigieren Sie, falls das SAML-Antwortprotokollieren aktiviert ist, zur SAML-Antwortprotokoll Registerkarte auf der SSO-Konfigurationsseite in den erweiterten Einstellungen. Geben Sie dort die WEB-Tracking-ID in das Feld „Tracking ID“ ein und suchen Sie, um das Antwortprotokoll auszufüllen

Die SAML-Antwortprotokolle sollten die SAML-Assertion und am Ende der Antwort einen Fehlercode und eine Nachricht anzeigen, die für weitere Fehlerbehebung verwendet werden können.

SCIM-Fehler

Benutzer existiert nicht oder gehört nicht zu diesem Konto

Dieser Fehler tritt auf, wenn die E-Mail-Adresse des Zielbenutzers aufgrund eines bereits bestehenden Kontos nicht bereitgestellt werden kann. Zoom-Administrator:innen sollten den Benutzer direkt kontaktieren und ihn manuell zum Konto einladen.

Sie können keine bezahlten Benutzer hinzufügen

Dieser Fehler tritt auf, wenn SCIM versucht, einen Benutzer bereitzustellen, während auf dem Konto nicht genügend Lizenzen verfügbar sind. Um den Fehler zu beheben, muss der Benutzer als Basic-Benutzer bereitgestellt werden oder es muss eine Lizenz für die Bereitstellung verfügbar gemacht werden.

Verwendung von SCIM-Protokollen zur Fehlerbehebung bei der Benutzerbereitstellung

Zoom stellt die letzten 100 API-Anforderungsprotokolle im Zoom Marketplacezur Verfügung. Ein Zoom-Administrator kann diese Protokolle verwenden, um zu bestätigen, welche Informationen über Provisioning-APIs gesendet und empfangen werden. Um auf die Protokolle zuzugreifen, melden Sie sich als Zoom-Administrator im Zoom Marketplace an und klicken Sie auf Verwalten. Auf der folgenden Seite wählen Sie Anrufprotokolle unter Persönliches App-Management. Klicken Sie dort auf einen Eintrag, um die API-Protokolle zu erweitern und den Inhalt zu überprüfen.

Das folgende Bild zeigt ein Beispiel für eine SCIM-Benutzerbereitstellungsanfrage, mit hervorgehobenen Identitäts- und Lizenzattributen des Benutzers als Referenz.

Wie bei SAML-Antwortzuordnungen kann Zoom nur Informationen anwenden, die vom Identitätsanbieter in der Bereitstellungsanforderung übermittelt werden. Verwenden Sie diese Protokolle, um zu bestätigen, dass Identitäts- und Lizenzattribute des Benutzers vom Identitätsanbieter übermittelt werden. Wenn erwartete Informationen in diesen Assertions fehlen, wenden Sie sich an Ihren Identitätsanbieter-Support.

Datenflüsse und Authentifizierung

SAML-Authentifizierung

Das folgende Diagramm zeigt den SAML-Authentifizierungsfluss eines Benutzers beim Starten einer Single-Sign-On-Sitzung mit Zoom.

SSO-Web-Login-Token

Nachdem sich ein Benutzer per SAML authentifiziert hat, wird die Sitzung des Benutzers im Browser aufgebaut und hat

standardmäßig eine Lebensdauer von zwei Stunden. Wenn der Benutzer die Zoom-Webseite weiterhin aktiv nutzt, wird die Sitzung aktualisiert; nutzt der Benutzer die Webseite zwei Stunden lang nicht, läuft das Token ab und der Benutzer muss sich erneut authentifizieren. Zoom-Admins können diese aktive Sitzungslänge auf der Sicherheitsseite unter „Benutzer müssen sich nach einer Inaktivitätsdauer erneut anmelden“ und „Inaktivitätsdauer im Web festlegen (Minuten)“.

Client-Login-Token

Wenn ein Benutzer versucht, sich per SSO in einem Client zu authentifizieren, öffnet die Maschine des Benutzers einen Webbrowser und leitet ihn zur Anmeldeseite des Identitätsanbieters weiter. Nachdem sich ein Benutzer authentifiziert hat, erhält der Browser ein Zoom-Client-Start-Token. Sobald der Benutzer auf die Schaltfläche „öffnen“ oder „starten“ klickt, verwendet der Browser das URL-Schema kombiniert mit dem Start-Token, um den Zoom-Client zu öffnen.

Der Zoom-Client verwendet das Start-Token, um das Zugriffstoken und das Refresh-Token vom Zoom-Server zu erhalten. Der Client verwendet das Zugriffstoken jeweils für eine Dauer von zwei Stunden und verwendet nach Ablauf das Refresh-Token, um ein neues Token-Set zu erhalten, das in der lokalen Datenbank des Clients gespeichert wird. Dieser Refresh-Vorgang ist standardmäßig unbegrenzt und kann fortlaufend Tokens erneuern, bis sich ein Benutzer abmeldet oder die Tokens ablaufen. Zoom-Administrator:innen können die Sitzungsdauer auf der SSO-Einstellungsseite unter „automatisches Logout erzwingen“ anpassen..