SSO-Field-Guide

Einführung

Die Integration von Single Sign-On (SSO) mit Zoom bietet Administratoren Benutzerverwaltung und Sicherheitsoptionen, die die Verwaltung des Kontos vereinfachen können. Nach der Konfiguration authentifizieren sich Benutzer mit ihren Unternehmensanmeldedaten bei Ihrem Identitätsanbieter anstelle alternativer Authentifizierungsmethoden wie Google- oder Facebook-Integrationen oder eines direkten Benutzernamens und Passworts mit Zoom.

Dieses Dokument bietet einen umfassenden Überblick über SSO-Konfigurationen und Einstellungen in Zoom sowie Informationen zur Fehlerbehebung und Sicherheit.

SSO-Integrationen

SSO erfordert eine Vanity-URL, um loszulegen

Ein Konto muss über eine genehmigte Vanity-URL verfügen, bevor SSO konfiguriert werden kann. Sobald die Vanity-URL genehmigt wurde, können Zoom-Administratoren auf das SSO-Konfiguration Seite über das Untermenü der erweiterten Optionen im Webportal zugreifen. Lesen Sie unseren Support-Artikel zu Vanity-URLs für weitere Informationen.

Zoom SSO funktioniert mit jedem SAML-2.0-Identitätsanbieter

Zoom kann sich mit jedem Identitätsanbieter integrieren, der Security Assertion Markup Language (SAML) 2.0 Authentifizierung unterstützt. Obwohl es viele dokumentierte Integration-Übersichten gibt, stellen einige Identitätsanbieter keine Dokumentation zur Integration mit Zoom bereit. Konten, die keine Konfigurationsanweisungen finden können, werden ermutigt, sich für weitere Informationen an ihren Identitätsanbieter zu wenden.

Zoom-Administratoren können Benutzerprofilinformationen und Lizenzen über SAML-Antwortzuordnung oder SCIM-Integrationen verwalten

Administratoren können Benutzerprofilinformationen und Lizenzierung über SAML-Antwortzuordnung oder Anfragen an die Anwendungsprogrammierschnittstelle (API) des System for Cross-Domain Identity Management (SCIM) verwalten, abhängig von den Verfügbar Funktionen des Identitätsanbieters. Beide Benutzerverwaltungsmethoden bieten nahezu die gleiche Funktionalität für die Zuordnung von Profilinformationen und die Lizenzverwaltung, aber einige SCIM-Zuordnungen erfordern eine manuelle Konfiguration.

Für eine umfassende Liste der SCIM-Funktionen lesen Sie unsere SCIM API-Dokumentation.

Zoom-Administratoren können den Status des Benutzerkontos über SCIM verwalten, aber nicht SAML

Da SCIM Identitätsanbieter jederzeit direkt mit Zoom kommunizieren lässt, können Benutzerkonten aktiviert, deaktiviert, erstellt, oder gelöscht durch SCIM-Integrationen automatisch. Zum Beispiel: Wenn ein Benutzerkonto in Active Directory deaktiviert ist oder wenn es der Anwendung nicht zugewiesen wurde, kann SCIM eine automatische Deaktivierungsanfrage für das Benutzerkonto innerhalb von Zoom senden. Diese Funktion ist abhängig von den Möglichkeiten der SCIM-Anwendung des Identity-Providers und die Funktionalität kann je nach Anbieter variieren.

Begrenzte Identitätsanbieter bieten SCIM für Zoom an

Viele Identitätsanbieter haben keine für Zoom entwickelte SCIM-Integration als Teil ihrer Dienste. Konten, die einen Identitätsanbieter verwenden, der SCIM mit Zoom nicht unterstützt, müssen das SAML-Response-Mapping für die automatisierte Benutzerverwaltung verwenden.

SCIM erfordert eine zugehörige Domäne, um Benutzer automatisch bereitzustellen

Konten, die SCIM verwenden, um Benutzer für SSO zu verwalten und bereitzustellen muss Ordnen Sie die E-Mail-Domäne Zoom zu. Wenn die Domäne nicht zugeordnet wird, führt dies zu Fehlern bei der Benutzerbereitstellung. Lesen Sie unseren Support-Artikel über zugehörige Domänen für weitere Informationen zum Prozess.

Die folgenden SSO-Integrationen sind dokumentiert

On-Premises Active Directory kann das AD Sync-Tool statt SCIM verwenden

Konten, die die Benutzerbereitstellung über SCIM automatisieren möchten, aber keinen cloudbasierten Identitätsanbieter haben, können das Active Directory (AD) Sync Tool Anwendung verwenden, das von Zoom für die Verwaltung ihrer Benutzer entwickelt wurde. Diese Anwendung läuft auf Oracle JDK 8 und simuliert die SCIM-Bereitstellung, indem sie Benutzer über API-Befehle verwaltet. Siehe unseren Support-Artikel zu dem AD Sync-Tool für weitere Informationen.

Identitätsanbieter können sogar Meeting-Teilnehmer authentifizieren, die kein Zoom-Konto haben

Konten, die verlangen möchten, dass Benutzer ihre Identität authentifizieren, aber keine Zoom-Konten bereitstellen möchten, können mit ihrem Identitätsanbieter ein externes Authentifizierungsprofil Konfigurieren. Wenn dies für ein Meeting aktiviert ist, müssen Benutzer, die versuchen beizutreten, ihre Anmeldeinformationen bei Ihrem Identitätsanbieter authentifizieren, um Access zu erhalten. Dies ist eine gängige Konfiguration für Schulen, die nicht allen Schülern Konten bereitstellen, aber eine Authentifizierung zum Beitreten zu Klassen verlangen. Verweisen Sie auf unseren Support-Artikel über Konfigurieren externer Authentifizierung für weitere Informationen.

Das Ändern des Identitätsanbieters erfordert die Neukonfigurierung von SSO innerhalb von Zoom

Konten, die den Identitätsanbieter Ändern, müssen ihre SSO-Konfiguration innerhalb von Zoom erneut vornehmen. Dazu gehört die Aktualisierung aller Felder auf der Konfigurationsseite, damit sie mit ihrem neuen Identitätsanbieter übereinstimmen. Konten wird empfohlen, zu bestätigen, dass sich die SAML-Antwortzuordnungen mit dem neuen Identitätsanbieter nicht ändern.

Es sollten keine zusätzlichen Konfigurationen oder Änderungen erforderlich sein, vorausgesetzt, es gibt keine weiteren Änderungen.

Kunden mit Unterkonten können SSO vom Hauptkonto oder Unterkonto aus Konfigurieren

Kunden mit Unterkonten haben zwei Optionen zum Konfigurieren von SSO:

1. Alle Benutzer authentifizieren sich über die Vanity-URL des Hauptkontos und werden über erweiterte SAML-Zuordnung automatisch im Unterkonto angemeldet (es gelten einige Zuordnungseinschränkungen); oder

2. Jedes Unterkonto verfügt über eine eindeutige Vanity-URL und eine unabhängige SSO-Konfiguration, die ausschließlich von Mitgliedern dieses Unterkontos verwendet wird

Jede Konfiguration bietet einzigartige Vorteile, wobei die zweite Option die größte Flexibilität bietet. Kunden, die die Implementierung einer der beiden Konfigurationen in Betracht ziehen, sollten mit ihrem Konto-Team besprechen, welche Konfiguration für ihre Anforderungen am besten geeignet ist.

SSO-Einstellungen & Sicherheit

Zoom-Administratoren können bei der Konfiguration einer SSO-Integration mit Zoom die optimalen Optionen für Sicherheit und Einstellungen für ihr Unternehmen wählen. Dieser Abschnitt erläutert diese Einstellungen und ihre Auswirkungen auf eine SSO-Integration.

Zoom unterstützt signierte Anmelde- und Abmelde-SAML-Anfragen

Zoom-Administratoren, die zusätzliche Dienstanbieter-Authentifizierung benötigen, können Zoom so Konfigurieren, dass alle Anmelde- und Abmeldeanfragen an den Identitätsanbieter signiert werden.

Konten, die diese Einstellung verwenden, benötigen möglicherweise eine Zertifikatrotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu Zertifikatrotation für weitere Informationen.

Zoom unterstützt verschlüsselte SAML-Assertions bei der Authentifizierung

Zoom-Administratoren können Zoom so Konfigurieren, dass verschlüsselte Assertions bei der Authentifizierung unterstützt werden. Wenn diese Einstellung aktiviert ist, werden unverschlüsselte Assertions verworfen. Konten, die diese Einstellung verwenden, benötigen möglicherweise eine SSO-Zertifikatrotation, wenn ihr Identitätsanbieter keine dynamische Metadatenaktualisierung unterstützt. Siehe unseren Support-Artikel zu Zertifikatrotation für weitere Informationen.

Zoom-Administratoren können eine automatische Abmeldung nach einer festgelegten Zeitdauer erzwingen

Zoom-Administratoren können Zoom so Konfigurieren, dass Benutzer nach festgelegten Zeiträumen automatisch aus aktiven Sitzungen abgemeldet werden, anpassbar von 15 Minuten bis 180 Tagen. Dieser Prozess legt fest, dass das Zoom-Access-Token bei der Generierung des Tokens nach der vorher festgelegten Zeitspanne abläuft. Dieses Token steht in keiner Beziehung zu einem Identitätsanbieter und ist eindeutig für Zoom.

SAML-Antwortprotokolle können zur Fehlerbehebung gespeichert werden

Zoom kann SAML-Antwortprotokolle von Authentifizierungsversuchen sieben Tage nach einer Authentifizierung speichern. Diese Antwortprotokolle können neben den Konfigurationen für die Zuordnung von SAML-Antworten ein unschätzbar wertvolles Hilfsmittel zur Fehlerbehebung bei Konfigurations- und Benutzerfehlern sein. Lesen Sie den Abschnitt über Fehlerbehebung bei SAML-Antwortprotokollen für weitere Informationen.

Die Bereitstellung bei der Anmeldung kann Konten sofort erstellen und ist die einfachste Bereitstellungsoption

Wenn SSO so eingestellt ist, dass es bei der Anmeldung bereitstellt Bei der Anmeldung (auch als Just-in-Time-Bereitstellung bekannt) kann sich jeder autorisierte Benutzer innerhalb des Identitätsanbieters bei Zoom authentifizieren. Benutzer, die noch kein bestehendes Konto haben, erhalten sofort bei der Anmeldung ein Konto erstellt.

Die Bereitstellung bei der Anmeldung kann Zoom-Rollouts für ein Unternehmen vereinfachen, indem sie Benutzern ermöglicht, ihre Konten zum Zeitpunkt der Authentifizierung zu erstellen, anstatt eine proaktive Benutzererstellung zu erfordern. In Kombination mit der SAML-Antwortzuordnung ist ein vollständiges Benutzerprofil und eine Lizenzierung innerhalb von Sekunden nach der ersten Authentifizierung eines Benutzers bereit.

Zusätzlich kann die Bereitstellung bei der Anmeldung den SSO-Anmeldetyp für bereits vorhandene Konten dynamisch erstellen. Wenn ein Benutzer ein vorhandenes Zoom-Konto mit einem Benutzernamen und Passwort hat, wird bei der Anmeldung mit dieser Konfiguration ein SSO-Anmeldetyp erstellt.

Die Bereitstellung vor der Anmeldung erfordert vorab erstellte Konten mit einem SSO-Anmeldetyp

Benutzer für SSO bereitstellen vor der Anmeldung erfordert, dass sich authentifizierende Benutzer sowohl ein vorhandenes Zoom-Konto haben und dass für das Konto ein SSO-Anmeldetyp erstellt wurde. Diese Art der Bereitstellung wird aufgrund des automatisierten Kontenerstellungsprozesses häufig mit der SCIM-Bereitstellung kombiniert, ist aber nicht darauf beschränkt. Zoom-Benutzer, die über zugehörige Domänen oder direktes Einladen in das Unternehmenskonto konsolidiert werden, haben wahrscheinlich keinen SSO-Anmeldetyp.

Zoom-Administratoren können bestätigen, ob ein Konto über einen SSO-Anmeldetyp verfügt, indem sie das Benutzerkonto in der Benutzerverwaltung Seite innerhalb des Webportals und Suchen nach dem „SSO“-Symbol unter der E-Mail des Benutzers.

Wenn das Symbol präsentieren ist, ist der Benutzer für SSO bereitgestellt; wenn das Symbol fehlt, kann sich der Benutzer nicht über SSO anmelden, solange die Vorabbereitstellung aktiviert ist, bis es hinzugefügt wird. Ein Zoom Administrator kann diesen Anmeldetyp durch Hinzufügen von Benutzern gesammelt über eine CSV-Datei und durch Auswahl der Option „SSO-Benutzer“ hinzufügen oder den Benutzer authentifizieren lassen, während Provisionierung bei der Anmeldung aktiviert ist.

Eine Domain muss zugeordnet und verwaltet werden, um SSO-Authentifizierung durchzusetzen

Zoom Administratoren können SSO-Authentifizierung durchsetzen nur wenn die E-Mail-Domain innerhalb von Zoom zugeordnet und verwaltet wird. Wenn dies aktiviert ist, werden alle Benutzer, die sich mit Ihrer/Ihren Unternehmensdomain(s) authentifizieren, automatisch zur Authentifizierungsseite Ihres Identitätsanbieters weitergeleitet, unabhängig von der Plattform.

Sobald die Domain genehmigt und verwaltet wird, kann ein Zoom Administrator die SSO-Authentifizierung über die Ihres Kontos durchsetzen Sicherheitsseite unter Anmeldemethoden. Siehe unseren Support-Artikel zu zugehörige Domänen für weitere Informationen zum Verknüpfen und Verwalten einer Domain.

Bestimmte Benutzer können von der erzwungenen SSO-Authentifizierung ausgenommen werden

Zoom Administratoren können bestimmte Benutzer von erzwungener Authentifizierung per SSO ausschließen. Das Ausschließen bestimmter Benutzer (z. B. ein Administrator-Konto) kann nützlich sein, wenn eine SSO-Konfiguration fehlschlägt und ein Kontoadministrator eine Nicht-SSO-Zugriffsmöglichkeit für das Zoom-Konto benötigt. Administratoren, die ausgenommen sind, können sich jederzeit bei admin.zoom.us anmelden, falls es zu einer Kontosperrung oder einer fehlerhaften SSO-Konfiguration kommt (Benutzer muss den Standard Administrator Rolle). Wenn ein Zoom Administrator nicht auf das Konto zugreifen kann, muss er Kontakt mit Zoom-Support aufnehmen, um Unterstützung zu erhalten.

Um eine Benutzer-Ausnahme zu Aktivieren, navigieren Sie zum Konto Sicherheitsseite Im Webportal unter den erweiterten Optionen die Liste der erzwungenen Domänen suchen und über die Bearbeitungsliste eine Ausnahme Hinzufügen.

Mobile und Desktop-Clients können so konfiguriert werden, dass Benutzer die SSO-Authentifizierung verwenden müssen

Zoom-Clients können vorkonfiguriert werden, um die SSO-Funktionalität zu automatisieren, einschließlich automatischer Anmeldung, automatischer Abmeldung, ausschließlich SSO-basierter Authentifizierung auf dem Gerät und mehr über Gruppenrichtlinien, Mobile-Gerät-Management-(MDM)-Dienste und Clients für die Massenbereitstellung.

Eine vollständige Liste der Konfigurationsmöglichkeiten finden Sie in unseren Konfigurationsoptionen für Gruppenrichtlinie, iOS, Android, Mac und Windows.

Office 365-Benutzer können sich automatisch beim Zoom für Outlook-Add-in mit SSO-Anmeldeinformationen anmelden

Kunden, die Office 365 verwenden, können ihre Benutzer mithilfe von SSO-Anmeldeinformationen automatisch beim Zoom für Outlook Hinzufügen-In anmelden. Dies kann mit einem benutzerdefiniertes Hinzufügen-In-Manifest das die Vanity-URL des Kontos vorbefüllt und so ein nahtloses Authentifizierungserlebnis für Benutzer schafft. Diese Funktion verwendet das SSO-Sitzung-Token des Benutzers, wenn es aktiv ist, oder fordert eine neue Authentifizierung mit Ihrem Identitätsanbieter an, wenn keine aktive Sitzung gefunden wird.

Ein Zoom-Administrator kann diese Einstellung für das Konto Aktivieren Sicherheitsseite unter dem fortgeschritten Menü.

SAML-Response-Mapping

SAML-Attribute sind Datenkategorien, die durch SAML-Werte definiert werden, und werden verwendet, um Informationen vom Identitätsanbieter an einen Dienstanbieter wie Zoom weiterzugeben. Das Zuordnen von Attributen und Werten ist entscheidend für die Automatisierung von Benutzerprofilinformationen und die Verwaltung von Benutzerlizenzen.

Das SAML-Response-Mapping ist in zwei Hälften unterteilt: basic und fortgeschritten. Basic-Mapping wird verwendet, um grundlegende Profilinformationen wie Name, Telefonnummer, Abteilung usw. zuzuordnen. Das erweiterte Mapping wird verwendet, um dynamische Lizenzzuweisungen zu verwalten, Benutzergruppen, Benutzerrollen und mehr zuzuweisen.

Dieser Abschnitt behandelt die Grundlagen des SAML-Response-Mappings, das grundlegende und erweiterte SAML-Response-Mapping und hebt besondere Bedingungen hervor, die für einige Funktionen erforderlich sind.

Grundlagen: SAML-Attribute und -Werte

Die meisten Identitätsanbieter übermitteln grundlegende Profilinformationen mithilfe einfacher Attributnamen und -werte. Beispielsweise kann die Abteilung eines Mitarbeiters über SAML mit einem Attribut von department und einem Wert von Human Resources übertragen werden. Die folgende Tabelle zeigt die Beziehung zwischen Attributen und Werten beim Übermitteln von Informationen zu einem Benutzer.

Durch die korrekte Zuordnung eines SAML-Attributs zu einer Antwortzuordnung können Benutzerinformationen automatisch auf ein Benutzerprofil angewendet werden, um den Kontoerstellungs- und Verwaltungsprozess zu vereinfachen.

Basic-Zuordnung: Profilinformationen

SAML Basic Information Mapping wird verwendet, um Profilinformationen wie Vorname, Nachname, Abteilung, Telefonnummer, Kostenstelle und Standort aus einem Verzeichnis auf das Profil eines Benutzers anzuwenden. Viele dieser Kategorien sind selbsterklärend und können leicht konfiguriert werden; einige Kategorien erfordern jedoch zur ordnungsgemäßen Konfiguration eine Erklärung, um unvorhergesehene Folgen oder Anwendungsfehler zu verhindern. Der folgende Abschnitt hebt eindeutige Zuordnungsoptionen und Konfigurationseinstellungen für das Basic Mapping hervor. Weitere Informationen finden Sie in unserem Artikel zu Basic SAML Mapping für eine vollständige Liste der unterstützten Attribute.

Der standardmäßig Lizenztyp gilt nur für brandneue Benutzer

Die Option für den standardmäßig Lizenztyp wendet die zugewiesene Lizenz auf alle brandneuen Benutzer an, die innerhalb des Kontos über SAML bereitgestellt werden. Dies gilt nicht für Benutzer, die sich ein zweites Mal authentifizieren, Benutzer, die aus einem vorherigen Konto in das Konto zusammengeführt wurden, Benutzer, die über SCIM bereitgestellt werden, oder Benutzer, die manuell eingeladen wurden.

Informationen zu Aktualisieren Benutzerlizenzen mit Authentifizierung, siehe die Lizenzkonfiguration unter Erweiterte SAML-Zuordnung.

Ein standardmäßiger Lizenztyp von Keine wird neue Benutzer nicht authentifizieren zulassen, es sei denn, die erweiterte Zuordnung ist so konfiguriert, dass sie eine Lizenz zuweist

Zoom-Benutzer müssen einen zugewiesenen Lizenztyp (Basic, Lizenziert oder vor Ort) haben, um sich beim Zoom-Dienst anzumelden. Wenn ein standardmäßiger Lizenztyp von Keine ausgewählt ist, können neue Benutzer sich nicht anmelden oder ein neues Konto erstellen, es sei denn, sie erhalten eine Lizenz über Erweiterte SAML-Zuordnung.

Die meisten grundlegenden Zuordnungen werden bei der Anmeldung erneut angewendet, sofern nicht anders angegeben

Die meisten grundlegenden SAML-Zuordnungen werden standardmäßig jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet, außer für Vorname, Nachname, Anzeigename und Telefonnummer. Standardmäßig werden diese vier Zuordnungen nur beim ersten Authentifizierungsversuch eines Benutzers angewendet und nicht erneut angewendet, selbst wenn sie von einem Benutzer oder Administrator aktualisiert werden. Zoom-Administratoren können dieses Verhalten ändern, indem sie die Option für Bei jeder SSO-Anmeldung aktualisieren auf der Seite zur Zuordnung der SAML-Antwort aktivieren.

Zuordnungen von Telefonnummern sollten einen Ländercode und eine Ortsvorwahl enthalten, wenn sie außerhalb der Vereinigten Staaten liegen

Über SAML zugeordnete Telefonnummern sollten nach Möglichkeit den Ländercode und die Ortsvorwahl des Benutzers in der SAML-Assertion enthalten. Zoom nimmt standardmäßig einen Ländercode von +1 an, wenn keiner definiert ist.

Konten, die Ländercodes in ihrem Verzeichnis nicht beibehalten, können ihre SAML-Assertions in ihrem Identitätsanbieter bearbeiten, um diese bei Bedarf automatisch einzuschließen.

Jeder Benutzer kann bis zu drei Telefonnummern und eine Faxnummer seinem Profil zuordnen

Zoom-Administratoren können für jeden Benutzer bis zu drei separate Telefonnummern und eine Faxnummer zuordnen. Jede Telefonnummer muss eindeutig sein und darf den Wert eines anderen Feldes nicht duplizieren.

Profilbilder müssen entweder von einer öffentlich zugänglichen URL zugeordnet oder mit Base64 codiert werden

Konten, die Profilbilder aus ihrem Verzeichnis zuordnen möchten, müssen die Bilder entweder über eine öffentlich zugängliche URL zuordnen oder das Bild beim Ausführen der Assertion in Base64 kodieren.

Eindeutige Mitarbeiter-ID

Die eindeutige Mitarbeiter-ID ändert die primäre Kennung, die Zoom verwendet, um Benutzer zu identifizieren

Der Eindeutige Mitarbeiter-ID ist eine Funktion, die Zoom anbietet, um die Identitätsverwaltung zu unterstützen. Standardmäßig ist die primäre Kennung für einen Zoom-Benutzer ihre E-Mail Adresse. Dies bedeutet, dass, wenn der Login-Typ für die geschäftliche E-Mail-Adresse [email protected], dann wird Zoom diesen Benutzer immer über diese E-Mail-Adresse identifizieren. Diese Kennung ermöglicht es Integrationen wie SSO oder Facebook- und Google OAuth-Konten, den Benutzer mit demselben Zoom-Konto zu verknüpfen.

Dieser Identifizierungsprozess kann jedoch problematisch sein, wenn sich der Name oder die E-Mail eines Benutzers ändert. Zum Beispiel, wenn [email protected] hat ein E-Mail-Ändern zu [email protected], kann Zoom nicht sicher feststellen, dass es sich um dieselbe Person handelt (weil die grundlegende Kennung unterschiedlich ist), daher wird Zoom beim ersten Mal, wenn [email protected] sich anmeldet, ein neues Konto erstellen.

Zur Vereinfachung dieses Problems bietet Zoom die Funktion „Unique Mitarbeiter ID“ an, die die primäre Kennung eines Benutzers von seiner E-Mail-Adresse auf eine festgelegte eindeutige ID ändert. Dies ändert nicht den Zoom Benutzername eines Benutzers, sondern bietet stattdessen ein alternatives identifizierendes Attribut. Dieses Ändern ermöglicht es Zoom, die E-Mail-Adresse eines Benutzers innerhalb von Zoom dynamisch zu aktualisieren, wenn:

• ein neu E-Mail-Adresse wird von einer bekannten eindeutigen Mitarbeiter-ID begleitet; und

• die E-Mail-Domäne des betroffenen Benutzers ist innerhalb von Zoom zugeordnet

Wenn zum Beispiel [email protected] sich authentifiziert und einen SAML-Wert von 12345 (seine Mitarbeiter-Nummer) für das Attribut „Eindeutige Mitarbeiter-ID“ übergibt, wird Zoom den Benutzer nun im Konto anhand des behaupteten Werts identifizieren. Wenn John sich erneut mit der E-Mail authentifiziert [email protected] während weiterhin die eindeutige Mitarbeiter-ID 12345 übergeben wird, wird Zoom erkennen, dass [email protected] jetzt [email protected] und die E-Mail des Benutzers innerhalb des Kontos dynamisch aktualisieren, wenn die Domäne zugeordnet ist.

Identitätsadministratoren sollten sicher dass sich keine zwei Benutzer mit demselben Wert für die eindeutige Mitarbeiter-ID überschneiden, bevor das SAML-Mapping für diese Kategorie eingerichtet wird. Wenn sich ein anderer Benutzer authentifiziert und denselben Wert übergibt, wird die E-Mail erneut auf den neuen Benutzer aktualisiert und kann erhebliche Störungen bei Benutzerdiensten und der Benutzererfahrung verursachen.

Die Funktion „Eindeutige Mitarbeiter-ID“ erfordert zugehörige Domänen, um die E-Mail eines Benutzers zu Ändern

Die Funktion „Mitarbeiter Unique ID“ kann die E-Mail-Adresse eines Benutzers nur dann aktualisieren, wenn die E-Mail-Domain offiziell mit Ihrem Kontoprofil verknüpft ist. Lesen Sie dazu unseren Support-Artikel zu zugehörige Domänen für weitere Informationen.

Admins und Eigentümer können ihre E-Mail nicht über die Mitarbeiter-Unique-ID aktualisieren

Administrator- und Inhaber-E-Mail-Adressen innerhalb von Zoom können nicht über die Mitarbeiter-Eindeutige-ID-Funktion aktualisiert werden. Dies ist als Sicherheitsmaßnahme vorgesehen, um unbefugten Access zu verhindern. Administratoren und Inhaber müssen ihre E-Mail über ihre Profilseite Ändern.

Benutzer-E-Mails können nur einmal pro Tag über die eindeutige Mitarbeiter-ID aktualisiert werden

Benutzer-E-Mails können nur einmal alle 24 Stunden über die Funktion Mitarbeiter-Eindeutige ID aktualisiert werden. Ein Benutzer muss einen vollen Kalendertag seit der vorherigen Aktualisierung warten, bevor er seine E-Mail erneut über SSO aktualisieren kann.

Das Festlegen des SAML-Attributs auf <NameID> verwendet die bestätigte NameID des Benutzers

Zuordnung des SAML-Attributs für die eindeutige Mitarbeiter-ID zu <NameID> wird automatisch den behaupteten NameID-Wert des Benutzers als deren eindeutige Kennung verwenden. Dies kann ein nützliches Tool sein, wenn Ihr Identitätsanbieter einen NameID-Wert behauptet, der nicht der E-Mail eines Benutzers entspricht, z. B. einen User Principal Name (UPN) oder einen ähnlichen Wert, der sich nicht ändert. Verwenden Sie diesen Wert nicht, wenn die NameIDs der Benutzer mit ihrer E-Mail übereinstimmen.

Erweiterte Zuordnung: Lizenzen, Hinzufügen und Access

Der Abschnitt „SAML Advanced Information Mapping“ kann dynamisch Lizenzen (einschließlich Zoom Phone), Add-ons und Benutzerzugriffsgruppen auf Benutzer anwenden, wenn sie authentifizieren. Im Gegensatz zur Basic-Zuordnung enthält die Advanced-Zuordnung viele Nuancen, die bei der Konfiguration je nach Komplexität Ihrer Umgebung sorgfältige Aufmerksamkeit erfordern können. Dieser Abschnitt hebt die Nuancen für die Konfiguration der erweiterten SAML-Zuordnung hervor. Siehe unsere Artikel zur erweiterten SAML-Zuordnung für eine vollständige Liste der unterstützten Attribute.

Erweiterte Zuordnung wird jedes Mal angewendet, wenn sich ein Benutzer authentifiziert

Im Gegensatz zum Basic-Mapping, das optional für einige Kategorien Aktualisierungen hat, werden erweiterte Mapping-Konfigurationen jedes Mal angewendet, wenn sich ein Benutzer authentifiziert, entsprechend der Top-down-Reihenfolge der Anwendung.

Zum Beispiel, wenn ein Benutzer eine Basic-Lizenz hat und sich dann über SSO authentifiziert, wobei ein SAML-Attribut und ein zugewiesener Wert übergeben werden, der die Vergabe einer vollständigen Lizenz auslöst, wird dem Benutzer sofort die vollständige Lizenz zugewiesen. Wenn das Profil des Benutzers anschließend im Identitätsanbieter geändert wird, um ihn wieder auf eine Basic-Lizenz zurückzusetzen, wird ihm die Basic-Lizenz erneut zugewiesen, sobald er sich erneut bei Zoom authentifiziert.

Die erweiterte Zuordnung ermöglicht mehrere SAML-Attribute und Werte pro Kategorie

Im Gegensatz zu Basic-Mapping, das nur ein SAML-Attribut pro Kategorie zulässt, kann das erweiterte Mapping mehrere Attribute und Werte für jede Kategorie Supporten. Dies ermöglicht eine erhebliche Flexibilität bei der Verwaltung von Benutzerlizenzen und Access über Sicherheitsgruppen innerhalb Ihres Identitätsanbieters, wie in der folgenden Konfiguration zu sehen ist.

Die erweiterte Zuordnung wendet Lizenzen von oben nach unten an, wenn mehrere Attribute bestätigt werden

Wenn ein Benutzer mehrere SAML-Attribute oder Werte übergibt, die für die erweiterte SAML-Zuordnung konfiguriert sind, ordnet Zoom die Lizenzen von oben nach unten zu. Siehe das folgende Beispiel:

Gemäß der obigen Konfiguration, wenn ein Benutzer ein Attribut für beide übergeben würde global_users und marketing, weil marketing ist in der Konfiguration am höchsten, dieses Attribut wird auf den Benutzer angewendet, und die übrigen anwendbaren Attribute werden ignoriert.

Alternativ, wenn die Konfiguration mit global_users als höchstem festgelegt wurde, wie im folgenden Screenshot zu sehen ist, wenn die Assertion eines Benutzers global_users, marketing, menschlich Ressourcen, und IT, weil global_users die höchste Priorität hat, wird nur eine Basic-Lizenz zugewiesen.

Zoom-Administratoren können die Reihenfolge der Anwendung beim Bearbeiten der Zuordnungswerte mithilfe der ↑↓-Pfeile im Editor anpassen.

Zuordnungen für Webinar und Large Meeting können einen gemeinsamen Wert teilen, um beide Hinzufügen-ons anzuwenden

Zur Vereinfachung des Anwendungsprozesses können Zoom-Administratoren dasselbe SAML-Attribut und denselben Wert zweimal Konfigurieren, um sowohl Webinar- als auch große Meeting-Hinzufügen für die Benutzer anzuwenden, wie im folgenden Bild mit dem zu sehen ist global_users Wert. Diese Hinzufügen-Ons können bei Bedarf auch unabhängig konfiguriert werden, wie mit dem Webinar_only und groß_Meeting_nur Werte.

Benutzer können mit einem SAML-Wert zu mehreren Benutzergruppen hinzugefügt werden

Zoom-Administratoren können die Zuordnung von Benutzer zu Gruppe Konfigurieren, um einen Benutzer mit einem SAML-Wert zu mehreren Gruppen Hinzufügen.

Die erste hinzugefügte Benutzer Gruppe wird als die primäre Gruppe des Benutzers festgelegt und bestimmt die standardmäßigen Einstellungen des Benutzers sofern eine zugrunde liegende Gruppe eine gesperrte Einstellung hat. Weitere Informationen zu Benutzer Gruppen finden Sie in unserem Support-Artikel.

Angegebene Benutzer und Benutzer Gruppen können von bestimmten SAML-Zuordnungen ausgenommen werden

Jede Option unter Erweitertes SAML-Mapping kann so konfiguriert werden, dass bestimmte Benutzer und Benutzer Gruppen vom Zuordnungsverhalten ausgenommen werden. Dies kann nützlich sein, um VIP-Benutzer vor Serviceunterbrechungen aufgrund einer möglichen Änderung der Lizenzierung zu schützen.

Auto Mapping weist Benutzer automatisch einem Benutzer-, Kanal- oder IM-Gruppe mit dem Namen ihres angegebenen SAML-Werts zu, wenn der Wert nicht zuvor einer Gruppe zugeordnet wurde

Auto Mapping kann verwendet werden, um Benutzer automatisch einer Benutzer Gruppe, einem Kanal und einer IM-Gruppe mit dem Namen ihres angegebenen SAML-Werts zuzuweisen. Im Gegensatz zu anderen erweiterten Mapping-Komponenten, die so konfiguriert werden können, dass ein Benutzer basierend auf dem SAML-Wert einer beliebigen Gruppe zugewiesen wird, weist Auto Mapping einen Benutzer immer einer Gruppe basierend auf dem exakten SAML-Wert zu. Wenn die Gruppe zuvor nicht existierte, wird sie automatisch erstellt.

Wenn die Autozuordnung beispielsweise so eingestellt ist, dass ein Benutzer den Gruppen basierend auf seiner Abteilung zugeordnet wird, und der Wert seiner Abteilung für die Benutzer Gruppe, den Kanal oder die IM Gruppe noch nicht definiert ist, werden Benutzer automatisch einer Gruppe zugewiesen, die ihrem Abteilungsnamen entspricht, wie in der folgenden Tabelle gezeigt:

Zoom unterstützt bis zu fünf benutzerdefinierte SAML-Attribute

Zoom-Administratoren können bis zu fünf benutzerdefinierte SAML-Attribute für das Hinzufügen von Benutzerdaten zu ihrem Zoom-Profil unter der erweiterten Benutzerverwaltung Seite konfigurieren. Nachdem die benutzerdefinierten Felder hinzugefügt wurden, können Zoom-Administratoren das Mapping auf der SAML-Response-Mapping Seite konfigurieren.

Das Zuordnen von Benutzern zu einem Unterkonto wird nur eine Meeting-Lizenz und Hinzufügen-ons anwenden

Die Zuordnung eines Benutzers zu einem Unterkonto wirkt sich nur auf die Meeting-Lizenz eines Benutzers und Erweiterungen wie Webinar und große Meeting für das Unterkonto aus. Benutzergruppen, IM-Gruppen, Benutzerrollen usw. werden nicht übernommen und müssen innerhalb des Unterkontos konfiguriert werden.

Kunden, die mehr Flexibilität für das SAML-Antwort-Mapping mit Unterkonten benötigen, benötigen eine eindeutige Vanity-URL und eine neue SSO-Konfiguration innerhalb des Unterkontos.

SSO-Fehlerbehebung

Verwenden von SAML-Antwortprotokollen zur Fehlerbehebung

Gespeicherte SAML-Antwortprotokolle können zusätzlich zu SAML-Antwortzuordnungskonfigurationen ein unschätzbares Hilfsmittel bei der Fehlerbehebung von Konfigurations- und Benutzerfehlern sein. Wenn Ihre SSO-Konfiguration so eingestellt ist, dass SAML-Antwortprotokolle gespeichert werden, können sie über das SAML-Antwortprotokoll Registerkarte verfügbar innerhalb der SSO-Konfigurationsseite in Erweiterte Einstellungen. Um SAML-Antwortprotokolle anzuzeigen, klicken Sie Details anzeigen neben einem Authentifizierungsversuch.

Die meisten Authentifizierungen werden in den Antwortprotokollen angezeigt

Die meisten fehlgeschlagenen oder erfolglosen Authentifizierungsversuche werden auf der Seite mit den Antwortprotokollen angezeigt. Wenn ein Authentifizierungsversuch nicht angezeigt wird, hat Zoom höchstwahrscheinlich keine SAML-Assertion von Ihrem Identitätsanbieter erhalten, oder das Speichern von SAML-Antwortprotokollen ist deaktiviert.

Antwortprotokolle können Ihnen sagen, ob Ihre Konfiguration falsch ist oder Ihr Zertifikat veraltet ist

Wenn SAML-Antwortprotokolle aktiviert sind, werden die Informationen des Identitätsanbieters an Zoom übermittelt, um Identitäten für jede Partei zu authentifizieren. Wenn eine übermittelte Einstellung oder ein Informationsstring, wie das X509-Zertifikat oder die Aussteller-ID, sich von der aktuellen Zoom-Konfiguration unterscheidet, wird ein Fehler angezeigt, der darauf hinweist, dass die Informationen „nicht mit den aktuellen SSO-Einstellungen übereinstimmen“. Ein Zoom-Administrator kann die SSO-Konfiguration aktualisieren, damit sie mit diesen übermittelten Werten übereinstimmt, wenn diese korrekt sind, um den Fehler zu beheben.

Antwortprotokolle zeigen Ihnen, welche SAML-Werte und -Attribute übermittelt werden

Das Prüfen von Antwortprotokollen kann bei der Behebung von SAML-Antwortzuordnungen helfen, indem verifiziert wird, welche Attribute und Werte von Benutzern bei der Authentifizierung übermittelt werden. Diese können mit der Konfiguration verglichen werden, um sicherzustellen, dass die Attribute und Werte übereinstimmen.

Wenn SAML-Attribute oder -Werte fehlen, werden die Informationen vom Identitätsanbieter-Dienst nicht übermittelt. Benutzern, die von diesem Problem betroffen sind, wird empfohlen, sich für weitere Unterstützung an die Support-Dienste ihres Identitätsanbieters zu wenden.

Antwortprotokolle enthalten einen Fehlercode und eine kurze Erklärung, falls der Vorgang nicht erfolgreich war

Wenn sich ein Benutzer nicht authentifizieren kann oder einen Fehler erhält, enthalten die SAML-Antwortprotokolle einen Fehlercode und eine kurze Erklärung des Fehlers.

Die meisten Probleme können mithilfe dieser Fehlermeldungen identifiziert und behoben werden. Wenn Sie den Fehler nicht beheben können, wenden Sie sich für zusätzliche Unterstützung an den Zoom-Support.

Fehler bei der Web-Tracking-ID

Wenn ein Benutzer die SSO-Authentifizierung nicht besteht, erhält er einen WEB-Tracking-ID-Fehlercode. Diese Codes sind keine Fehlermeldung, die sich auf einen bestimmten Fehler bezieht, sondern eine eindeutige Protokoll-ID, die in der SAML-Antwortzuordnung zur Identifizierung von Authentifizierungsproblemen überprüft werden kann.

Um den Fehler zu identifizieren, navigieren Sie, wenn die SAML-Antwortprotokollierung aktiviert ist, zur SAML-Antwortprotokoll Registerkarte Verfügbar in der SSO-Konfigurationsseite in den erweiterten Einstellungen. Geben Sie dort die WEB-Tracking-ID in das Feld „Tracking-ID“ ein und suchen Sie, um das Antwortprotokoll zu füllen

Die SAML-Antwortprotokolle sollten die SAML-Assertion sowie unten in der Antwort einen Fehlercode und eine Fehlermeldung anzeigen, die für zusätzliche Fehlerbehebung verwendet werden können.

SCIM-Fehler

Benutzer existiert nicht oder gehört nicht zu diesem Konto

Dieser Fehler tritt auf, wenn die E-Mail-Adresse eines Ziel-Benutzers aufgrund eines bereits vorhandenen Kontos nicht bereitgestellt werden kann. Zoom-Administratoren werden ermutigt, den Benutzer direkt zu kontaktieren und den Benutzer manuell zum Konto einzuladen.

Sie können keine kostenpflichtigen Benutzer hinzufügen

Dieser Fehler tritt auf, wenn SCIM versucht, einen Benutzer bereitzustellen, obwohl im Konto unzureichende Lizenzen vorhanden sind. Um den Fehler zu beheben, muss der Benutzer als Basic-Benutzer bereitgestellt werden, oder für die Bereitstellung muss eine Lizenz verfügbar gemacht werden.

Verwenden von SCIM-Protokollen zur Fehlerbehebung bei der Benutzerbereitstellung

Zoom stellt die 100 neuesten API-Anforderungsprotokolle im Zoom Marketplace. Ein Zoom Administrator kann diese Protokolle verwenden, um zu bestätigen, welche Informationen über Bereitstellungs-API übermittelt und empfangen werden. Um auf die Protokolle zuzugreifen, melden Sie sich beim Zoom Marketplace als Zoom Administrator an und klicken Sie auf Verwalten. Wählen Sie auf der folgenden Seite Anrufprotokolle unter Persönliche App-Verwaltung. Klicken Sie dort auf einen Eintrag, um die API-Protokolle zu erweitern und den Inhalt zu überprüfen.

Das folgende Bild zeigt ein Beispiel für eine SCIM-Benutzerbereitstellungsanforderung, wobei die Identitäts- und Lizenzattribute des Benutzers zur Referenz hervorgehoben sind.

Wie beim SAML-Antwortmapping kann Zoom nur Informationen anwenden, die vom Identitätsanbieter in der Bereitstellungsanforderung übermittelt werden. Verwenden Sie diese Protokolle, um zu bestätigen, dass Identitäts- und Lizenzattribute des Benutzers vom Identitätsanbieter übermittelt werden. Wenn erwartete Informationen in diesen Assertions fehlen, wenden Sie sich an Ihren Identitätsanbieter, um Support zu erhalten.

Datenflüsse und Authentifizierung

SAML-Authentifizierung

Das folgende Diagramm zeigt den detaillierten Ablauf der SAML-Authentifizierung für einen Benutzer bei der Initiierung einer Single Sign-On Sitzung mit Zoom.

SSO Web-Anmelde-Token

Nachdem sich ein Benutzer über SAML authentifiziert hat, wird die Sitzung des Benutzers in ihrem Browser aufgebaut und hat

standardmäßig eine Laufzeit von zwei Stunden. Wenn der Benutzer seine Zoom-Webseite weiterhin aktiv nutzt, wird die Sitzung aktualisiert; wenn der Benutzer seine Webseite jedoch zwei Stunden lang nicht nutzt, läuft das Token ab und der Benutzer muss sich erneut authentifizieren. Zoom-Administratoren können diese aktive Sitzungsdauer auf der Sicherheit Seite unter Benutzer müssen sich nach einer Phase der Inaktivität erneut Anmelden und Inaktivitätszeitraum im Web festlegen (Minuten).

Client-Anmelde-Token

Wenn ein Benutzer versucht, sich in einem Client per SSO zu authentifizieren, öffnet das Gerät des Benutzers einen Browser und leitet ihn zur Anmeldeseite des Identitätsanbieters weiter. Nachdem sich ein Benutzer authentifiziert hat, erhält der Browser des Benutzers ein Zoom-Client-Start-Token. Sobald ein Benutzer auf die Schaltfläche „öffnen“ oder „starten“ klickt, verwendet der Browser das URL-Schema zusammen mit dem Start-Token, um den Zoom-Client zu öffnen.

Der Zoom-Client verwendet das Start-Token, um das Access-Token und das Refresh-Token vom Zoom-Server abzurufen. Der Client verwendet das Access-Token jeweils für eine Dauer von zwei Stunden und nutzt nach Ablauf das Refresh-Token, um einen neuen Satz von Token zu erhalten, die in der lokalen Datenbank des Clients gespeichert werden. Dieser Aktualisierungsprozess ist standardmäßig unbegrenzt und kann fortlaufend zwischen Token wechseln, bis sich ein Benutzer abmeldet oder die Token ablaufen. Zoom-Administratoren können die Sitzungsdauer auf der SSO-Einstellungen Seite unter automatische Abmeldung erzwingen.