Guía de campo de SSO

Introducción

Integrar el inicio de sesión único (SSO) con Zoom ofrece a los administradores opciones de Administración de usuarios y seguridad que pueden simplificar la gestión de la cuenta. Una vez configurado, los usuarios se autentican usando las credenciales de su empresa frente al proveedor de identidad de su empresa en lugar de usar métodos de autenticación alternativos como integraciones con Google o Facebook, o un Nombre de usuario y contraseña directos con Zoom.

Este documento proporciona una visión general completa de las configuraciones y Configuración de SSO dentro de Zoom, además de información sobre solución de problemas y seguridad.

Integraciones de SSO

SSO requiere una URL mnemónica para comenzar

Una cuenta debe tener una URL mnemónica aprobada antes de configurar SSO. Una vez que se apruebe la URL mnemónica, los administradores de Zoom pueden acceder a la configuración de SSO página a través del submenú de opciones avanzadas en el portal web. Consulte nuestro artículo de Soporte sobre URL mnemónicas para obtener más información.

Zoom SSO funciona con cualquier proveedor de identidad SAML 2.0

Zoom puede integrarse con cualquier proveedor de identidad que admita autenticación de Lenguaje de marcado de aserción de seguridad (SAML) 2.0. Aunque hay muchas guías de integración documentadas, algunos proveedores de identidad no ofrecen documentación para la integración con Zoom. Se anima a las cuentas que no puedan localizar las instrucciones de configuración a ponerse en contacto con su proveedor de identidad para obtener más información.

Los administradores de Zoom pueden gestionar la información del perfil de usuario y las licencias mediante el mapeo de respuestas SAML o integraciones SCIM

Los administradores pueden gestionar la información del perfil de usuario y las licencias mediante el mapeo de respuestas SAML o solicitudes de la interfaz de programación de aplicaciones (API) de System for Cross-Domain Identity Management (SCIM), según las funciones disponibles del proveedor de identidad. Ambos métodos de administración de usuarios ofrecen una funcionalidad casi equivalente para el mapeo de la información del perfil y la gestión de licencias, pero algunos mapeos SCIM requieren configuración manual.

Para obtener una lista completa de las capacidades de SCIM, consulte nuestra documentación de la API de SCIM.

Los administradores de Zoom pueden gestionar el estado de la cuenta de usuario mediante SCIM, pero no SAML

Como SCIM permite a los proveedores de identidad comunicarse directamente con Zoom en cualquier momento, las cuentas de usuario pueden ser activadas, desactivado, creado, o eliminado a través de integraciones SCIM automáticamente. Por ejemplo, si la cuenta de un usuario en Active Directory está deshabilitada, o si no se le ha asignado la aplicación, SCIM puede enviar una solicitud automática de desactivación para la cuenta del usuario dentro de Zoom. Características es dependiente de las capacidades de la aplicación SCIM del proveedor de identidades y la funcionalidad puede variar según el proveedor.

Solo algunos proveedores de identidad ofrecen SCIM para Zoom

Muchos proveedores de identidad no tienen una SCIM Integraciones creada para Zoom como parte de sus servicios. Las cuentas que usan un proveedor de identidad que no admite SCIM con Zoom deben usar el mapeo de respuestas SAML para la administración automatizada de usuarios.

SCIM requiere un dominio asociado para aprovisionar usuarios automáticamente

Cuentas que usan SCIM para gestionar y aprovisionar usuarios para SSO debe asocie el dominio de correo electrónico con Zoom. Si no se asocia el dominio, se producirán fallos de aprovisionamiento de usuarios. Consulte nuestro artículo de Soporte sobre Dominios asociados para obtener más información sobre el proceso.

Las siguientes integraciones SSO están documentadas

Active Directory local puede usar la Herramienta AD Sync en lugar de SCIM

Las cuentas que desean automatizar el aprovisionamiento de usuarios mediante SCIM, pero no tienen un proveedor de identidad basado en la nube, pueden usar la herramienta de Sincronizar de Active Directory (AD) application desarrollada por Zoom para administrar sus usuarios. Esta aplicación se ejecuta en Oracle JDK 8 y simula el aprovisionamiento de SCIM administrando usuarios mediante comandos de API. Consulte nuestro artículo de Soporte sobre la Herramienta AD Sync para obtener más información.

Los proveedores de identidad incluso pueden autenticar a los participantes de la reunión que no tienen una cuenta de Zoom

Las cuentas que desean exigir a los usuarios que autentiquen su identidad pero no quieren proporcionar cuentas de Zoom pueden Configure un perfil de autenticación externo con su proveedor de identidad. Cuando se habilita para una reunión, los usuarios que intenten Unirse deben autenticar sus credenciales de inicio de sesión con su proveedor de identidad para obtener Acceso. Esta es una configuración común para las escuelas que no proporcionan cuentas a todos los estudiantes, pero requieren autenticación para Unirse a las clases. Consulte nuestro artículo de Soporte sobre configurando la autenticación externa para obtener más información.

Cambie el proveedor de identidad requiere volver a configurar SSO dentro de Zoom

Las cuentas que están cambiando de proveedor de identidad deben rehacer su configuración de SSO dentro de Zoom. Esto incluye actualizar todos los campos dentro de la página de configuración para que coincidan con su nuevo proveedor de identidad. Se recomienda a las cuentas confirmar que los mapeos de respuesta SAML no cambiarán con el nuevo proveedor de identidad.

No deberían requerirse configuraciones o cambios adicionales, suponiendo que no haya más cambios.

Clientes con subcuentas pueden configurar SSO desde la cuenta principal o la subcuenta

Clientes con subcuentas tienen dos opciones para configurar SSO:

1. Todos los usuarios autentican usando la URL mnemónica de la cuenta principal y se inician sesión automáticamente en la subcuenta mediante mapeo avanzado SAML (se aplican algunas limitaciones de mapeo); o

2. Cada subcuenta tiene una URL mnemónica única y una configuración de SSO independiente, usada exclusivamente por los miembros de esa subcuenta

Cada configuración ofrece beneficios únicos, y la segunda opción ofrece la mayor flexibilidad. Los Clientes que consideren la implementación de cualquiera de las dos configuraciones deben hablar con su equipo de cuenta sobre qué configuración se adapta mejor a sus necesidades.

SSO Configuración y Seguridad

Los administradores de Zoom pueden Seleccione las opciones óptimas de seguridad y Configuración para su Organización al configurar una Integraciones de SSO con Zoom. Esta sección explica estas Configuración y sus implicaciones para una Integraciones de SSO.

Zoom admite solicitudes SAML de inicio de sesión y cierre de sesión firmadas

Los administradores de Zoom que requieren autenticación adicional del proveedor de servicios pueden Configure Zoom para firmar todas las solicitudes de inicio de sesión y cierre de sesión al proveedor de identidad.

Las cuentas que usan esta Configuración pueden requerir una rotación de certificado si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de Soporte sobre rotación de certificado para obtener más información.

Zoom admite afirmaciones SAML cifradas al autenticarse

Los administradores de Zoom pueden Configure Zoom para admitir afirmaciones cifradas al autenticarse. Si esta Configuración está habilitada, las afirmaciones no cifradas se descartarán. Las cuentas que usan esta Configuración pueden requerir la rotación del certificado de SSO si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de Soporte sobre rotación de certificado para obtener más información.

Los administradores de Zoom pueden aplicar el cierre de sesión automático después de una duración de tiempo definida

Los administradores de Zoom pueden Configure Zoom para cerrar automáticamente la sesión de los usuarios de las sesiones activo después de duraciones de tiempo definidas, personalizables de 15 minutos a 180 días. Este proceso establecerá que el token de Acceso de Zoom expire en la duración predeterminada una vez que se genere el token. Este token no tiene relación con un proveedor de identidad y es exclusivo de Zoom.

Los registros de respuesta SAML se pueden guardar para la solución de problemas

Zoom puede guardar registros de respuesta SAML de los intentos de autenticación durante siete días después de una autenticación. Estos registros de respuesta pueden ser una herramienta invaluable para la solución de problemas de configuración y errores de usuario, además de las configuraciones de asignación de respuestas SAML. Revise la sección sobre solución de problemas de errores con los registros de respuesta SAML para obtener más información.

El aprovisionamiento al iniciar sesión puede crear cuentas al instante y es la opción de aprovisionamiento más sencilla

Cuando SSO está configurado para aprovisionar Al iniciar sesión (también conocido como aprovisionamiento justo a tiempo), cualquier usuario autorizado dentro del proveedor de identidad puede autenticar en Zoom. A los usuarios que no tengan una cuenta existente se les creará una inmediatamente al iniciar sesión.

El aprovisionamiento en el inicio de sesión puede simplificar las implementaciones de Zoom en una empresa al permitir que los usuarios creen sus cuentas en el momento de la autenticación, en lugar de requerir la creación proactiva de usuarios. Combinado con la asignación de respuestas SAML, un perfil de usuario completo y la licencia quedan listos en segundos tras la primera autenticación del usuario.

Además, el aprovisionamiento en el inicio de sesión puede crear dinámicamente el tipo de inicio de sesión SSO para cuentas preexistentes. Si un usuario tiene una cuenta de Zoom existente con un Nombre de usuario y contraseña, se creará un tipo de inicio de sesión SSO al iniciar sesión con esta configuración.

El aprovisionamiento antes del inicio de sesión requiere cuentas precreadas con un tipo de inicio de sesión SSO

Aprovisionamiento de usuarios para SSO antes del inicio de sesión requiere que los usuarios que se autentican tengan ambos una cuenta de Zoom existente, y que la cuenta tenga creado un tipo de inicio de sesión SSO. Este tipo de aprovisionamiento a menudo se combina con el aprovisionamiento SCIM debido al proceso automatizado de creación de cuentas, pero no es exclusivo de él. Es poco probable que los usuarios de Zoom que se consolidan en la cuenta de la empresa a través de Dominios asociados o de una invitación directa tengan el tipo de inicio de sesión SSO.

Los Administradores de Zoom pueden confirmar si una cuenta tiene un tipo de inicio de sesión SSO al ver la cuenta de usuario en la Administración de usuarios página dentro del portal web y buscar el icono de «SSO» debajo del correo electrónico del usuario.

Si el icono está presentar, el usuario está aprovisionado para SSO; si falta el icono, el usuario no podrá iniciar sesión mediante SSO mientras la preaprovisionación esté habilitada hasta que se añada. Un administrador de Zoom puede Añadir este tipo de inicio de sesión añadiendo usuarios en bloque mediante un archivo CSV y seleccionando la opción «Usuario de SSO» o hacer que el usuario se autenticar mientras Aprovisionar al Iniciar sesión esté habilitado.

Se debe asociar y gestionar un dominio para aplicar la autenticación SSO

Los administradores de Zoom pueden aplicar la autenticación SSO solo si el dominio de correo electrónico está asociado y gestionado dentro de Zoom. Cuando esto está habilitado, todos los usuarios que se autentiquen usando el/los dominio(s) de su empresa serán redirigidos automáticamente a la página de autenticación de su proveedor de identidad, independientemente de la plataforma.

Una vez que el dominio esté aprobado y gestionado, un administrador de Zoom puede aplicar la autenticación SSO a través de la página de seguridad debajo Métodos de inicio de sesión. Consulte nuestro artículo de Soporte sobre Dominios asociados para obtener más información sobre la asociación y administración de un dominio.

Los usuarios especificados pueden estar exentos de la autenticación SSO obligatoria

Los administradores de Zoom pueden excluir usuarios específicos de la autenticación de SSO impuesta. Excluir usuarios específicos (como una cuenta de administrador) puede ser útil si una configuración de SSO se interrumpe y un administrador de cuenta necesita Acceso que no sea de SSO a la cuenta de Zoom. Los administradores que estén exentos pueden iniciar sesión en admin.zoom.us en cualquier momento en caso de un bloqueo de cuenta o una configuración de SSO interrumpida (el usuario debe tener el estándar administrador Rol, función). Si un administrador de Zoom no puede acceder a la cuenta, debe realizar contacto con Soporte de Zoom para obtener ayuda.

Para Habilitar una excepción de usuario, navegue hasta la cuenta página de seguridad en el portal web, en opciones avanzadas, localice la lista de dominios aplicados y añada una excepción mediante la lista de edición.

Los clientes móviles y de escritorio pueden configurarse para exigir a los usuarios que utilicen autenticación SSO

Los clientes de Zoom pueden preconfigurarse para automatizar la funcionalidad de SSO, incluido el inicio de sesión automático, el cierre de sesión automático, la autenticación exclusiva de SSO en el Dispositivo y más, mediante la Directiva de grupo, los servicios de gestión de Dispositivo móvil (MDM) y los clientes de implementación masiva.

Para obtener una lista completa de las posibilidades de configuración, consulte nuestras opciones de configuración para Directiva de grupo, iOS, Android, Mac y Windows.

Los usuarios de Office 365 pueden iniciar sesión automáticamente en el complemento Zoom para Outlook utilizando credenciales SSO

Clientes que usan Office 365 pueden iniciar sesión automáticamente en sus usuarios en el complemento Zoom para Outlook utilizando credenciales SSO. Esto se puede combinar con un manifiesto personalizado del complemento que completa previamente la URL mnemónica de la cuenta, creando una experiencia de autenticación fluida para los usuarios. Esta Características utiliza el token de sesión SSO del usuario si está activo, o solicitará una nueva autenticación con su proveedor de identidad si no se encuentra una sesión activa.

Un administrador de Zoom puede habilitar esta configuración en la cuenta página de seguridad en avanzado menú.

Asignación de respuesta SAML

Los atributos SAML son categorías de datos definidas por valores SAML y se utilizan para փոխանցir información del proveedor de identidad a un proveedor de servicios como Zoom. La asignación de atributos y valores es esencial para automatizar la información del perfil del usuario y administrar las licencias del usuario.

La asignación de respuesta SAML se divide en dos mitades: básico y avanzado. La asignación Básico se utiliza para asignar información básica del perfil, incluido el nombre, el número de teléfono, el departamento, etc. La asignación avanzada se utiliza para administrar asignaciones dinámicas de licencia, asignar grupos de usuario, roles de usuario y más.

Esta sección cubre los fundamentos de la asignación de respuesta SAML, la asignación de respuesta SAML básico y avanzada, y destaca las condiciones únicas requeridas para algunas funciones.

Fundamentos: atributos y valores SAML

La mayoría de los proveedores de identidad transmiten información básica del perfil mediante nombres y valores de atributos sencillos. Por ejemplo, el departamento de un empleado puede llegar a través de SAML con un atributo de department y un valor de Recursos Humanos. La siguiente tabla demuestra la relación entre atributos y valores al transmitir información sobre un usuario.

Al asignar correctamente un atributo SAML a una asignación de respuesta, la información del usuario se puede aplicar automáticamente a un perfil de usuario para simplificar el proceso de creación y gestión de cuentas.

Asignación básica: Información del perfil

La asignación de información básica de SAML se usa para aplicar información del perfil, como nombre, apellido, departamento, número de teléfono, centro de costos y ubicación, desde un directorio al perfil de un usuario. Muchas de estas categorías son autoexplicativas y se pueden configurar fácilmente; sin embargo, algunas categorías requieren una explicación para una configuración adecuada a fin de evitar consecuencias imprevistas o errores de la aplicación. La siguiente sección destaca opciones de asignación únicas y ajustes de configuración para la asignación básica. Consulte nuestro artículo sobre asignación básica de SAML para obtener una lista completa de los atributos admitidos.

El tipo de licencia predeterminado solo se aplica a usuarios completamente nuevos

La opción de tipo de licencia predeterminado aplicará la licencia designada a todos los completamente nuevos usuarios que se aprovisionen dentro de la cuenta a través de SAML. Esto no se aplica a los usuarios que se autentican por segunda vez, a los usuarios que se consolidaron en la cuenta desde una cuenta anterior, a los usuarios que se aprovisionan a través de SCIM o a los usuarios que han sido invitados manualmente.

Para obtener información sobre la actualización de licencias de usuario con autenticación, consulte la configuración de licencia en Asignación avanzada de SAML.

Un tipo de licencia predeterminado de Ninguno no permitirá que los usuarios nuevos se autentiquen a menos que la asignación avanzada esté configurada para asignar una licencia

Los usuarios de Zoom deben tener un tipo de licencia asignado (Básico, Con licencia o local) para iniciar sesión en el servicio de Zoom. Si se selecciona un tipo de licencia predeterminado de Ninguno, los usuarios nuevos no pueden Iniciar sesión ni crear una nueva cuenta a menos que vayan a recibir una licencia a través de Asignación avanzada de SAML.

La mayoría de las asignaciones básicas se volverán a aplicar al iniciar sesión, a menos que se especifique lo contrario

La mayoría de las asignaciones básicas de SAML se actualizarán cada vez que un usuario Iniciar sesión de forma predeterminada, excepto para nombre, apellido, nombre para mostrar y número de teléfono. De forma predeterminada, estas cuatro asignaciones solo se aplicarán la primera vez que un usuario se autentique y no se volverán a aplicar, incluso si un usuario o administrador las actualiza. Los administradores de Zoom pueden cambiar este comportamiento habilitando la opción Actualizar en cada inicio de sesión de SSO en la página de asignación de respuesta de SAML.

Las asignaciones de número de teléfono deben incluir un código de país y un código de área si están fuera de los Estados Unidos

Los números de teléfono asignados mediante SAML deben incluir el código de país y el código de área del usuario en la aserción SAML cuando sea posible. Zoom asumirá por defecto un código de país de +1 si no se define.

Las cuentas que no conservan los códigos de país dentro de su directorio pueden editar sus aserciones SAML en su proveedor de identidad para incluirlos automáticamente si es necesario.

Cada usuario puede tener hasta tres números de teléfono y un número de fax asignados a su perfil

Los administradores de Zoom pueden configurar hasta tres números de teléfono independientes y una asignación de número de fax para cada usuario. Cada número de teléfono debe ser único y no puede duplicar el valor de otro campo.

Las imágenes de perfil deben asignarse desde una URL de acceso público o codificarse con Base64

Las cuentas que quieran asignar imágenes de perfil desde su directorio deben asignar las imágenes usando una URL de acceso público o codificar la imagen en Base64 al hacer la aserción.

ID único de empleado

El ID único de empleado cambia el identificador principal que Zoom usa para identificar a los usuarios

El ID único de empleado es una característica que Zoom ofrece para ayudar con la gestión de identidades. De forma predeterminada, la identificación principal de un usuario de Zoom es su correo electrónico correo electrónicodirección. Esto significa que si el tipo de inicio de sesión del correo electrónico de trabajo es [email protected], entonces Zoom siempre identificará a este usuario por esa dirección de correo electrónico. Este identificador es lo que permite que integraciones como SSO o las cuentas OAuth de Facebook y Google asocien al usuario con la misma cuenta de Zoom.

Sin embargo, este proceso de identificación puede ser problemático si el nombre o el correo electrónico de un usuario cambian. Por ejemplo, si [email protected] tiene un cambio de correo electrónico a [email protected], Zoom no puede determinar de forma segura que se trata de la misma persona (porque el identificador fundamental es diferente), por lo que Zoom creará una nueva cuenta la primera vez que [email protected] inicie sesión.

Para simplificar este problema, Zoom ofrece la Características de ID único de empleado, que cambia el identificador principal de un usuario de su dirección de correo electrónico a un ID único establecido. Esto no Cambie el Nombre de usuario de Zoom de un usuario, sino que ofrece un atributo de identificación alternativo. Este cambio permite que Zoom actualice dinámicamente la dirección de correo electrónico de un usuario dentro de Zoom si:

• un nuevo dirección de correo electrónico está acompañada de un ID único de empleado conocido; y

• el dominio de correo electrónico del usuario afectado está asociado dentro de Zoom

Por ejemplo, si [email protected] autentica y transmite un valor SAML de 12345 (su número de empleado) para el atributo de ID único de empleado, Zoom ahora identificará al usuario dentro de la cuenta mediante el valor declarado. Si John autenticar de nuevo usando el correo electrónico [email protected] mientras sigue transmitiendo el ID único de empleado de 12345, Zoom identificará que [email protected] ahora es [email protected] y actualizará dinámicamente el correo electrónico del usuario dentro de la cuenta si el dominio está asociado.

Los administradores de identidad deben estar seguros de que no haya superposición entre dos usuarios con el mismo valor de ID único de empleado antes de establecer la asignación SAML para esta categoría. Si otro usuario autenticar y transmite el mismo valor, el correo electrónico se actualizará nuevamente al nuevo usuario y puede causar una interrupción significativa en los servicios y la experiencia del usuario.

La Características de ID único de empleado requiere dominios asociados para Cambie el correo electrónico de un usuario

La Características de ID único de empleado no puede actualizar la dirección de correo electrónico de un usuario a menos que el dominio de correo electrónico esté oficialmente asociado con su perfil de la cuenta. Consulte nuestro artículo de soporte sobre Dominios asociados para obtener más información.

Los administradores y propietarios no pueden actualizar su correo electrónico mediante el ID único de empleado

Los correos electrónicos del administrador y del Propietario dentro de Zoom no pueden actualizarse mediante la Características de ID único de empleado. Esto está pensado como una medida de seguridad para evitar el Acceso no autorizado. Los administradores y propietarios deben Cambie su correo electrónico a través de su página de perfil.

Los correos electrónicos de los usuarios solo pueden actualizarse una vez al día mediante el ID único de empleado

Los correos electrónicos de los usuarios solo pueden actualizarse una vez cada 24 horas mediante la Características de ID único de empleado. Un usuario debe esperar un día completo de calendario desde la actualización anterior antes de actualizar su correo electrónico mediante SSO de nuevo.

Establecer el atributo SAML en <NameID> utilizará el NameID declarado del usuario

Asignar el atributo SAML de ID único de empleado a <NameID> utilizará automáticamente el valor de NameID declarado del usuario como su identificador único. Esto puede ser una herramienta beneficiosa si su proveedor de identidad declara un NameID distinto del correo electrónico de un usuario, como un Nombre principal de usuario (UPN) o un valor similar que no cambia. No utilice este valor si los NameID de los usuarios coinciden con su correo electrónico.

Asignación avanzada: licencias, complementos y Acceso

La sección Asignación avanzada de información SAML puede aplicar dinámicamente licencias (incluido Zoom Phone), complementos y grupos de acceso de usuario a los usuarios a medida que se autenticar. A diferencia de la asignación básica, la asignación avanzada contiene muchos matices que pueden requerir una atención diligente al configurar, según la complejidad de su entorno. Esta sección destaca los matices para configurar la asignación SAML avanzada. Consulte nuestro artículo sobre asignación SAML avanzada para obtener una lista completa de los atributos admitidos.

La asignación avanzada se aplica cada vez que un usuario se autenticar

A diferencia de la asignación básica, que tiene actualizaciones Opcional para algunas categorías, las configuraciones de asignación avanzada se aplicarán cada vez que un usuario se autenticar, según el orden de aplicación de arriba hacia abajo.

Por ejemplo, si un usuario tiene una licencia básica y luego se autenticar mediante SSO transmitiendo un atributo y valor SAML asignados para conceder una licencia completa, al usuario se le concederá instantáneamente la licencia completa. Si luego se Cambie el perfil del usuario dentro del proveedor de identidad para volver a asignarle una licencia básica, se le volverá a asignar la licencia básica una vez que se vuelva a autenticar dentro de Zoom.

La asignación avanzada permite varios atributos y valores SAML por categoría

A diferencia de la asignación básica, que permite solo un atributo SAML por categoría, la asignación avanzada puede admitir múltiples atributos y valores para cada categoría. Esto permite una flexibilidad significativa al gestionar las licencias y el acceso de los usuarios mediante grupos de seguridad dentro de su proveedor de identidad, como se muestra en la siguiente configuración.

La asignación avanzada aplica las licencias de arriba hacia abajo cuando se declaran múltiples atributos

Si un usuario transmite múltiples atributos o valores SAML que están configurados para la asignación SAML avanzada, Zoom asignará las licencias de arriba hacia abajo. Vea el siguiente ejemplo:

Según la configuración anterior, si un usuario transmitiera un atributo para ambos global_users y marketing, porque marketing es el más alto en la configuración; este atributo se aplicará al usuario y los demás atributos aplicables se ignorarán.

Alternativamente, si la configuración se estableció con global_users como el más alto, como se ve en la siguiente captura de pantalla, si una aserción del usuario contenía global_users, marketing, humano recursos, y TI, porque global_users es la prioridad más alta, solo se afirmará una licencia Básico.

Los administradores de Zoom pueden ajustar el orden de aplicación al editar los valores de asignación usando las flechas ↑↓ dentro del editor.

Las asignaciones de seminario web y Reunión grande pueden compartir un valor común para aplicar ambos complementos de Añadir

Para simplificar el proceso de aplicación, los administradores de Zoom pueden Configure el mismo atributo y valor de SAML dos veces para aplicar tanto los complementos de seminario web como de Reunión grande a los usuarios, como se ve en la siguiente imagen con el global_users valor. Estos complementos también se pueden configurar de forma independiente, si se desea, como se muestra con la seminario web_only y reunión_grande_solo valores.

Los usuarios se pueden agregar a varios Grupos de usuarios usando un valor SAML

Los administradores de Zoom pueden Configure la asignación de grupo de usuario para Añadir un usuario a varios grupos con un valor de SAML.

El primer grupo de usuarios agregado se establecerá como el Grupo Principal del usuario y determinará la Configuración predeterminada del usuario a menos que un grupo subyacente tenga una configuración bloqueada. Para obtener más información sobre los Grupos de usuarios, consulte nuestro artículo de Soporte.

Los usuarios especificados y los Grupos de usuarios pueden quedar exentos de asignaciones SAML específicas

Cada opción en Asignación avanzada de SAML se puede configurar para eximir a usuarios específicos y Grupos de usuarios del comportamiento de asignación. Esto puede ser útil para evitar la interrupción del servicio de usuarios VIP debido a un posible cambio en la licencia.

La Asignación automática asigna automáticamente a los usuarios a un usuario, canal o grupo de IM denominado según su valor SAML afirmado si el valor no se ha asignado previamente a un grupo

La Asignación automática se puede usar para asignar automáticamente a los usuarios a un Grupo de usuarios, canal y Grupo de IM denominado según su valor SAML afirmado. A diferencia de otros componentes de asignación avanzada, que se pueden configurar para asignar a un usuario a cualquier grupo según el valor SAML, la Asignación automática siempre asigna a un usuario a un grupo según el valor SAML exacto. Si el grupo no existía previamente, se creará automáticamente.

Por ejemplo, si la Asignación automática está configurada para asignar a un usuario a los grupos según su departamento, si el valor de su departamento aún no está definido para el Grupo de usuario, el canal o el grupo de IM, los usuarios se asignarán automáticamente a un grupo que coincida con el nombre de su departamento, como se muestra en la siguiente tabla:

Zoom admite hasta cinco atributos SAML personalizados

Los administradores de Zoom pueden Configure hasta cinco atributos SAML personalizados para añadir datos de usuario a su perfil de Zoom en la administración avanzada de usuarios página. Después de añadir los campos personalizados, los administradores de Zoom pueden configurar el mapeo en la Asignación de respuesta SAML página.

Asignar usuarios a una subcuenta solo aplicará una licencia de reunión y complementos

Asignar un usuario a una subcuenta solo aplicará la licencia de reunión y los complementos de un usuario, como seminario web y Reuniones Grandes, a la subcuenta. Los Grupos de usuarios, los Grupos de MI, los Roles de usuario, etc., no se aplicarán y deberán configurarse dentro de la subcuenta.

Clientes que requieran más flexibilidad para la asignación de respuestas SAML con subcuentas necesitarán una URL mnemónica única y una nueva configuración de SSO dentro de la subcuenta.

Solución de problemas de SSO

Uso de los registros de respuestas SAML para solucionar problemas

Los registros de respuestas SAML guardados pueden ser una herramienta muy valiosa para solucionar problemas de configuración y errores de usuario, además de las configuraciones de asignación de respuestas SAML. Si su configuración de SSO está configurada para guardar registros de respuestas SAML, se puede acceder a ellos a través de la Registro de respuestas SAML pestaña disponible dentro de la página de configuración de SSO en Configuración avanzada. Para ver los registros de respuestas SAML, haga clic en Ver detalles junto a un intento de autenticación.

La mayoría de las autenticaciones se mostrarán en los registros de respuestas

La mayoría de los intentos de autenticación fallidos o no exitosos se mostrarán en la página de registros de respuestas. Si un intento de autenticación no se muestra, lo más probable es que Zoom no haya recibido una aserción SAML de su proveedor de identidad, o que el guardado de los registros de respuestas SAML esté deshabilitado.

Los registros de respuestas pueden indicarle si su configuración es incorrecta o si su certificado está desactualizado

Cuando los registros de respuestas SAML están habilitados, la información del proveedor de identidad se declara a Zoom para autenticar identidades para cada parte. Si una Configuración declarada o una cadena de información, como el certificado X509 o el ID del emisor, es diferente de la configuración actual de Zoom, aparecerá un error indicando que la información “no coincide con la Configuración actual de SSO”. Un administrador de Zoom puede actualizar la configuración de SSO para que coincida con estos valores declarados, si son correctos, para resolver el error.

Los registros de respuestas le indican qué valores y atributos SAML se están declarando

Revisar los registros de respuestas puede ayudar a resolver las configuraciones de asignación de respuestas SAML al verificar qué atributos y valores están siendo declarados por los usuarios mientras se autentican. Estos se pueden comparar con la configuración para garantizar que los atributos y los valores coincidan.

Si faltan atributos o valores SAML, la información no está siendo declarada por el servicio del proveedor de identidad. Se recomienda a los usuarios que experimenten este problema que se pongan en contacto con los servicios de soporte de su proveedor de identidad para obtener más ayuda.

Los registros de respuestas incluyen un código de error y una breve explicación, si no tienen éxito

Si un usuario no puede autenticar o recibe un error, los registros de respuestas SAML contienen un código de error y una breve explicación del error.

La mayoría de los problemas pueden identificarse y resolverse usando estos mensajes de error. Si no puede resolver el error, póngase en contacto con Soporte de Zoom para obtener ayuda adicional.

Errores de ID de seguimiento web

Si un usuario falla la autenticación SSO, recibirá un código de error de ID de seguimiento WEB. Estos códigos no son un mensaje de error relacionado con una falla específica, sino más bien un ID de registro único que puede revisarse en la asignación de respuestas SAML para identificar problemas de autenticación.

Para identificar el error, si el registro de respuestas SAML está habilitado, navegue a la Registro de respuestas SAML pestaña disponible dentro de la página de configuración de SSO en Configuración avanzada. Desde allí, Introducir el ID de seguimiento WEB en el campo ID de seguimiento y busque para completar el registro de respuestas

Los registros de respuestas SAML deben mostrar la aserción SAML y un código de error y mensaje en la parte inferior de la respuesta que pueden usarse para una solución de problemas adicional.

Errores de SCIM

El usuario no existe o no pertenece a esta cuenta

Este error ocurre cuando la dirección de correo electrónico de un usuario objetivo no se aprovisiona debido a una cuenta ya existente. Se recomienda a los administradores de Zoom que se pongan en contacto con el usuario directamente y que inviten manualmente al usuario a la cuenta.

No puede añadir usuarios de pago

Este error ocurre cuando SCIM intenta aprovisionar un usuario cuando no hay suficientes licencias en la cuenta. Para resolver el error, el usuario debe aprovisionarse como un usuario básico, o se debe poner una licencia a disposición para el aprovisionamiento.

Uso de registros de SCIM para solucionar problemas de aprovisionamiento de usuarios

Zoom proporciona los 100 registros más recientes de solicitudes de API en Zoom Marketplace. Un administrador de Zoom puede usar estos registros para confirmar qué información se está enviando y recibiendo a través de las API de aprovisionamiento. Para acceder a los registros, inicie sesión en Zoom Marketplace como administrador de Zoom y haga clic en Administrar. En la página siguiente, Seleccione Registros de llamadas debajo Administración de aplicaciones personales. Desde allí, haga clic en una entrada para expandir los registros de API y revisar el contenido.

La siguiente imagen muestra un ejemplo de una solicitud de aprovisionamiento de usuario SCIM, con la identidad del usuario y los atributos de licencia resaltados como referencia.

Al igual que la asignación de respuestas SAML, Zoom solo puede aplicar la información que se envía desde el proveedor de identidad en la solicitud de aprovisionamiento. Use estos registros para confirmar que la identidad del usuario y los atributos de licencia se están enviando desde el proveedor de identidad. Si falta información esperada en estas aserciones, póngase en contacto con su proveedor de identidad para obtener Soporte.

Flujos de datos y autenticación

Autenticación SAML

El siguiente diagrama detalla el flujo de autenticación SAML de un usuario al iniciar una sesión de Inicio de sesión único con Zoom.

Token de inicio de sesión web de SSO

Después de que un usuario se autentica a través de SAML, la sesión del usuario se crea dentro de su navegador, y tiene

una duración de dos horas de forma predeterminada. Si el usuario sigue usando activamente su página web de Zoom, la sesión se renovará; sin embargo, si el usuario no usa su página web durante dos horas, el token expirará y el usuario deberá volver a autenticarse. Los administradores de Zoom pueden configurar esta duración de la sesión activa en la Seguridad página, en Usuarios necesitan iniciar sesión nuevamente después de un período de inactividad y Establecer período de inactividad en la web (minutos).

Token de inicio de sesión del cliente

Cuando un usuario intenta autenticarse mediante SSO dentro de un cliente, la máquina del usuario abrirá un navegador web y lo redirigirá a la página de inicio de sesión del proveedor de identidad. Después de que un usuario se autentica, el navegador del usuario recibirá un token de inicio del cliente de Zoom. Una vez que un usuario hace clic en el botón “abrir” o “iniciar”, el navegador usa el esquema de URL combinado con el token de inicio para abrir el cliente de Zoom.

El cliente de Zoom usará el token de inicio para obtener el token de acceso y el token de actualización del servidor de Zoom. El cliente usará el token de acceso durante un período de dos horas a la vez y, al expirar, usará el token de actualización para obtener un nuevo conjunto de tokens, que se almacenan dentro de la base de datos local del cliente. Este proceso de actualización es ilimitado de forma predeterminada y puede alternar continuamente entre tokens hasta que un usuario cierre sesión o los tokens expiren. Los administradores de Zoom pueden personalizar la duración de la sesión en la Configuración de SSO página, en forzar cierre de sesión automático.