> For the complete documentation index, see [llms.txt](https://library.zoom.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://library.zoom.com/technical-library/it/angolo-admin/account-and-endpoint-management/sso-field-guide.md).

# Guida pratica SSO

### Introduzione

L'integrazione del Single Sign-On (SSO) con Zoom offre agli amministratori la Gestione degli utenti e opzioni di sicurezza che possono semplificare la gestione account. Una volta configurato, gli utenti si autenticano utilizzando le credenziali della propria azienda presso il provider di identità della propria azienda invece di usare metodi di autenticazione alternativi come le integrazioni con Google o Facebook, oppure un Nome utente e password diretti con Zoom.

Questo documento fornisce una panoramica completa delle configurazioni e delle Impostazioni SSO all'interno di Zoom, oltre a informazioni sulla risoluzione dei problemi e sulla sicurezza.

### Integrazioni SSO

#### <mark style="color:blu;">SSO richiede un URL personalizzato per iniziare</mark>

Un account deve avere un URL personalizzato approvato prima di configurare SSO. Una volta approvato l'URL personalizzato, gli amministratori di Zoom possono accedere alla [configurazione SSO](https://zoom.us/account/sso) pagina tramite il sottomenu delle opzioni avanzate sul portale web. Fai riferimento al nostro articolo di Assistenza su [URL personalizzati](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) per ulteriori informazioni.

#### <mark style="color:blu;">Zoom SSO funziona con qualsiasi provider di identità SAML 2.0</mark>

Zoom può integrarsi con qualsiasi provider di identità che supporti l'autenticazione SAML 2.0. Sebbene esistano molte guide all'integrazione documentate, alcuni provider di identità non forniscono documentazione per l'integrazione con Zoom. Gli account che non riescono a trovare le istruzioni di configurazione sono invitati a contattare il proprio provider di identità per ulteriori informazioni.

#### <mark style="color:blu;">Gli amministratori di Zoom possono gestire le informazioni del profilo utente e le licenze tramite il mapping delle risposte SAML o le integrazioni SCIM</mark>

Gli amministratori possono gestire le informazioni del profilo utente e le licenze tramite il mapping delle risposte SAML o richieste dell’Interfaccia di programmazione dell’applicazione (API) di System for Cross-Domain Identity Management (SCIM), a seconda delle funzionalità disponibili offerte dal provider di identità. Entrambi i metodi di gestione degli utenti offrono funzionalità quasi equivalenti per il mapping delle informazioni del profilo e la gestione delle licenze, ma alcuni mapping SCIM richiedono configurazione manuale.

Per un elenco completo delle funzionalità SCIM, consulta la nostra [documentazione API SCIM](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:blu;">Gli amministratori di Zoom possono gestire lo stato dell’account utente tramite SCIM, ma non SAML</mark>

Poiché SCIM consente ai provider di identità di comunicare direttamente con Zoom in qualsiasi momento, gli account utente possono essere *attivati*, *disattivati*, *creati*, oppure *eliminati* tramite integrazioni SCIM automaticamente. Ad esempio, se un account utente in Active Directory è disattivato, oppure se non gli è stata assegnata l’applicazione, SCIM può inviare una richiesta di disattivazione automatica per l’account utente all’interno di Zoom. Questa Funzionalità dipende dalle capacità dell’applicazione SCIM del provider di identità e la funzionalità può variare a seconda del provider.

#### <mark style="color:blu;">I provider di identità limitati offrono SCIM per Zoom</mark>

Molti provider di identità non hanno un'Integrazioni SCIM sviluppata per Zoom come parte dei loro servizi. Gli account che utilizzano un provider di identità che non è compatibile con SCIM con Zoom devono usare il mapping della risposta SAML per la Gestione degli utenti automatizzata.

#### <mark style="color:blu;">SCIM richiede un dominio associato per eseguire automaticamente il provisioning degli utenti</mark>

Account che utilizzano SCIM per gestire e provisioning degli utenti per SSO **deve** associare il dominio e-mail a Zoom. Il mancato abbinamento del dominio comporterà errori di provisioning dell'utente. Consulta il nostro articolo di Assistenza su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per ulteriori informazioni sul processo.

#### <mark style="color:blu;">Le seguenti integrazioni SSO sono documentate</mark>

{% hint style="success" %}
**Suggerimento Zoom**

Fai clic sul ✔ nella colonna Provider o Documentazione Zoom per aprire una nuova finestra con le istruzioni.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentazione del provider</th><th>Documentazione Zoom</th><th>Supporta SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>Applicativo AD Sync</td></tr><tr><td>Clever</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (precedentemente Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:blu;">On-premises Active Directory può usare l'Applicativo AD Sync invece di SCIM</mark>

Account che desiderano automatizzare il provisioning degli utenti tramite SCIM ma non dispongono di un provider di identità cloud possono utilizzare l'applicazione Active Directory (AD) Sync Tool sviluppata da Zoom per gestire i propri utenti. Questa applicazione viene eseguita su Oracle JDK 8 e simula il provisioning SCIM gestendo gli utenti tramite comandi API. Consulta il nostro articolo di Assistenza sul [Applicativo AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) per ulteriori informazioni.

{% hint style="success" %}
**Raccomandazione Zoom**

L’Applicativo AD Sync richiede una configurazione precisa per Gestione degli utenti. È richiesto un test approfondito e una revisione della configurazione dell’applicativo prima della piena implementazione per evitare interruzioni del servizio.
{% endhint %}

#### <mark style="color:blu;">I provider di identità possono persino autenticare i Partecipanti alla riunione che non hanno un account Zoom</mark>

Gli account che desiderano richiedere agli utenti di autenticare la propria identità ma non vogliono fornire account Zoom possono Configura un profilo di autenticazione esterna con il proprio provider di identità. Quando è abilitato per una riunione, gli utenti che tentano di partecipare devono autenticare le proprie credenziali di accesso presso il proprio provider di identità per ottenere accesso. Questa è una configurazione comune per le scuole che non forniscono account a tutti gli studenti ma richiedono l'autenticazione per partecipare alle lezioni. Fai riferimento al nostro articolo di Assistenza su [configurazione dell'autenticazione esterna](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) per ulteriori informazioni.

#### <mark style="color:blu;">La modifica del provider di identità richiede la riconfigurazione dell'SSO all'interno di Zoom</mark>

Gli account che stanno cambiando provider di identità devono rifare la configurazione SSO all'interno di Zoom. Questo include l'aggiornamento di tutti i campi nella pagina di configurazione per corrispondere al nuovo provider di identità. Agli account è consigliato confermare che le mappature delle risposte SAML non cambieranno con il nuovo provider di identità.

Non dovrebbero essere necessarie configurazioni o modifiche aggiuntive, a condizione che non vi siano ulteriori cambiamenti.

#### <mark style="color:blu;">Clienti con sub-account possono Configura SSO dall'account principale o dal sub-account</mark>

Clienti con sub-account hanno due opzioni per configurare SSO:

1. Tutti gli utenti si autenticano utilizzando l'URL personalizzato dell'account principale e vengono automaticamente collegati al sub-account tramite la mappatura SAML avanzata ([si applicano alcune limitazioni di mappatura](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); oppure
2. Ogni sub-account ha un URL personalizzato univoco e una configurazione SSO indipendente, utilizzati esclusivamente dai membri di quel sub-account

Ogni configurazione offre vantaggi unici, con la seconda opzione che offre la massima flessibilità. I clienti che stanno valutando l'implementazione di una delle due configurazioni dovrebbero discutere con il proprio team account quale configurazione sia più adatta alle loro esigenze.

### Impostazioni SSO e Sicurezza

Gli amministratori di Zoom possono scegliere le opzioni ottimali di sicurezza e impostazioni per la loro Organizzazione quando configurano un’integrazione SSO con Zoom. Questa sezione spiega queste impostazioni e le loro implicazioni per un’integrazione SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di impostazioni di integrazione SSO.</p></figcaption></figure>

#### <mark style="color:blu;">Zoom supporta richieste SAML di accesso e disconnessione firmate</mark>

Gli amministratori di Zoom che richiedono un’autenticazione aggiuntiva del fornitore di servizi possono configurare Zoom per firmare tutte le richieste di accesso e disconnessione al provider di identità.

Gli account che utilizzano questa impostazione potrebbero richiedere una rotazione del certificato se il provider di identità non supporta l’aggiornamento dinamico dei metadati. Consulta il nostro articolo di Assistenza su [rotazione del certificato](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) per ulteriori informazioni.

#### <mark style="color:blu;">Zoom supporta asserzioni SAML crittografate durante l’autenticazione</mark>

Gli amministratori di Zoom possono configurare Zoom per supportare asserzioni crittografate durante l’autenticazione. Se questa impostazione è abilitata, le asserzioni non crittografate verranno scartate. Gli account che utilizzano questa impostazione potrebbero richiedere la rotazione del certificato SSO se il loro provider di identità non supporta l’aggiornamento dinamico dei metadati. Consulta il nostro articolo di Assistenza su [rotazione del certificato](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) per ulteriori informazioni.

#### <mark style="color:blu;">Gli amministratori di Zoom possono imporre la disconnessione automatica dopo una durata definita</mark>

Gli amministratori di Zoom possono configurare Zoom per disconnettere automaticamente gli utenti dalle sessioni attive dopo durate di tempo definite, personalizzabili da 15 minuti a 180 giorni. Questo processo farà scadere il token di accesso di Zoom alla durata predefinita una volta generato il token. Questo token non ha alcuna relazione con un provider di identità ed è univoco per Zoom.

#### <mark style="color:blu;">I log delle risposte SAML possono essere salvati per la risoluzione dei problemi</mark>

Zoom può salvare i log delle risposte SAML dei tentativi di autenticazione per sette giorni dopo un’autenticazione. Questi log delle risposte possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione ed errori degli utenti, oltre alle configurazioni di mapping delle risposte SAML. Consulta la sezione su [risoluzione degli errori con i log delle risposte SAML](#using-saml-response-logs-to-troubleshoot) per ulteriori informazioni.

{% hint style="success" %}
**Raccomandazione Zoom**

Abilita il salvataggio dei log delle risposte SAML per semplificare la risoluzione dei problemi.
{% endhint %}

#### <mark style="color:blu;">Il provisioning all'accesso può creare account all'istante ed è l'opzione di provisioning più semplice</mark>

Quando SSO è impostato per il provisioning *All'accesso* (noto anche come provisioning just-in-time), qualsiasi utente autorizzato all’interno del provider di identità può autenticarsi in Zoom. Agli utenti che non hanno un account esistente ne verrà creato uno immediatamente al momento dell’accesso.

Il provisioning all'accesso può semplificare l'adozione di Zoom da parte di un’azienda consentendo agli utenti di creare i propri account al momento dell’autenticazione invece di richiedere una creazione preventiva degli utenti. Insieme al mapping delle risposte SAML, un intero profilo utente e la licenza sono pronti in pochi secondi dalla prima autenticazione dell’utente.

Inoltre, il provisioning all'accesso può creare dinamicamente il tipo di accesso SSO per gli account già esistenti. Se un utente ha un account Zoom esistente con un Nome utente e password, verrà creato un tipo di accesso SSO al momento dell’accesso con questa configurazione.

#### <mark style="color:blu;">Il provisioning prima dell'accesso richiede account pre-creati con un tipo di accesso SSO</mark>

Provisioning degli utenti per SSO *prima dell'accesso* richiede che gli utenti che si autenticano abbiano **entrambi** un account Zoom esistente e che l’account abbia un tipo di accesso SSO creato. Questo tipo di provisioning è spesso associato al provisioning SCIM a causa del processo automatizzato di creazione degli account, ma non è esclusivo di esso. Gli utenti Zoom che si unificare nell’account aziendale tramite Domini associati o un invito diretto difficilmente avranno il tipo di accesso SSO.

Gli amministratori di Zoom possono confermare se un account ha un tipo di accesso SSO visualizzando l’account utente nella [Gestione degli utenti](https://zoom.us/account/user#/) pagina all’interno del portale web e cercando l’icona “SSO” sotto l’e-mail dell’utente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Posizione dell’icona SSO sotto l'e-mail di un utente.</p></figcaption></figure>

Se l’icona è presente, l’utente è predisposto per SSO; se l’icona è assente, l’utente non potrà accedere tramite SSO mentre il pre-provisioning è abilitato finché non viene aggiunta. Un amministratore di Zoom può aggiungere questo tipo di accesso aggiungendo utenti in blocco tramite un file CSV e selezionando l’opzione “Utente SSO” oppure facendo autenticare l’utente mentre Provision at Sign-in è abilitato.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio che mostra l’opzione Utente SSO per il caricamento in blocco.</p></figcaption></figure>

{% hint style="success" %}
**Raccomandazione Zoom**

Per impedire che gli utenti non possano accedere, usa il provisioning all'accesso quando configuri per la prima volta SSO su un account. Se desiderato, passa al pre-provisioning una volta confermato che i tuoi utenti sono pre-provisioned e che disponi di metodi di pre-provisioning.
{% endhint %}

#### <mark style="color:blu;">Un dominio deve essere associato e gestito per imporre l'autenticazione SSO</mark>

Gli amministratori di Zoom possono imporre l’autenticazione SSO *solo* se il dominio e-mail è associato e gestito all’interno di Zoom. Quando questa opzione è abilitata, tutti gli utenti che si autenticano utilizzando il/i dominio/i della tua azienda verranno reindirizzati automaticamente alla pagina di autenticazione del tuo provider di identità, indipendentemente dalla piattaforma.

Una volta approvato e gestito il dominio, un amministratore di Zoom può imporre l’autenticazione SSO tramite la [pagina di sicurezza](https://zoom.us/account/setting/security) del tuo account sotto **Metodi di accesso**. Fai riferimento al nostro articolo di Assistenza su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per ulteriori informazioni sull’associazione e la gestione di un dominio.

#### <mark style="color:blu;">Utenti specificati possono essere esentati dall'autenticazione SSO imposta</mark>

Gli amministratori di Zoom possono escludere utenti specifici dall’autenticazione SSO imposta. Escludere utenti specifici (ad esempio un account admin) può essere utile se una configurazione SSO si interrompe e un amministratore dell'account necessita di accesso non SSO all’account Zoom. Gli admin esentati possono accedere a admin.zoom.us in qualsiasi momento in caso di blocco dell’account o configurazione SSO non funzionante (l’utente deve avere il ruolo standard di **amministratore** ). Se un admin di Zoom non riesce ad accedere all’account, deve contattare Assistenza Zoom per ricevere assistenza.

Per abilitare un’eccezione utente, vai all’account [pagina di sicurezza](https://zoom.us/account/setting/security) nel portale web, sotto le opzioni avanzate, individua l’elenco dei domini imposti e aggiungi un’eccezione tramite l’elenco di modifica.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio di elenco domini per SSO.</p></figcaption></figure>

#### <mark style="color:blu;">I client mobili e desktop possono essere configurati per richiedere agli utenti di usare l’autenticazione SSO</mark>

I client Zoom possono essere preconfigurati per automatizzare la funzionalità SSO, inclusi accesso automatico, disconnessione automatica, autenticazione solo SSO sul Dispositivo e altro ancora tramite Criteri di gruppo, servizi di gestione dei Dispositivi mobili (MDM) e client di distribuzione di massa.

Per un elenco completo delle possibilità di configurazione, fai riferimento alle nostre opzioni di configurazione per [Criteri di gruppo](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) e [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:blu;">Gli utenti di Office 365 possono accedere automaticamente al componente aggiuntivo Zoom per Outlook usando le credenziali SSO</mark>

I Clienti che usano Office 365 possono accedere automaticamente i propri utenti al componente aggiuntivo Zoom per Outlook usando le credenziali SSO. Questo può essere abbinato a un [manifesto personalizzato del componente aggiuntivo](https://support.zoom.us/hc/en-us/articles/360041403311) che precompila l'URL personalizzato dell'account, creando un'esperienza di autenticazione fluida per gli utenti. Questa Funzionalità usa il token di sessione SSO dell'utente se è attivo, oppure richiederà una nuova autenticazione con il tuo provider di identità se non viene trovata alcuna sessione attiva.

Un admin Zoom può Abilita questa impostazione sull'account [pagina di sicurezza](https://zoom.us/account/setting/security) sotto il **avanzate** menu.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di impostazione admin per SSO con componente aggiuntivo Outlook.</p></figcaption></figure>

### Mappatura della risposta SAML

Gli attributi SAML sono categorie di dati definite da valori SAML e vengono usati per trasferire informazioni dal provider di identità a un fornitore di servizi come Zoom. La mappatura di attributi e valori è essenziale per automatizzare le informazioni del profilo utente e gestire le licenze utente.

La mappatura della risposta SAML è suddivisa in due parti: *basic* e *avanzate*. La mappatura di base viene usata per mappare informazioni di base del profilo, inclusi nome, numero di telefono, reparto, ecc. La mappatura avanzata viene usata per gestire assegnazioni dinamiche di licenza, assegnare gruppi di utenti, ruoli utente e altro.

Questa sezione illustra i fondamenti della mappatura della risposta SAML, la mappatura della risposta SAML di base e avanzata, e evidenzia condizioni uniche richieste per alcune Funzionalità.

#### <mark style="color:blu;">Fondamenti: attributi e valori SAML</mark>

La maggior parte dei provider di identità trasferisce informazioni di base del profilo usando semplici nomi e valori di attributo. Ad esempio, il reparto di un dipendente può arrivare tramite SAML con un attributo department e un valore Human Resources. La tabella seguente mostra la relazione tra attributi e valori quando si trasferiscono informazioni su un utente.

| Attributo SAML | Valore SAML                    |
| -------------- | ------------------------------ |
| firstName      | John                           |
| lastName       | Smith                          |
| e-mail         | <john.smith@companydomain.com> |
| department     | Human Resources                |

Assegnando correttamente un attributo SAML a una mappatura di risposta, le informazioni dell'utente possono essere applicate automaticamente a un profilo utente per semplificare il processo di creazione e gestione dell'account.

#### <mark style="color:blu;">Mappatura di base: informazioni del profilo</mark>

La Mappatura delle informazioni di base SAML viene usata per applicare informazioni del profilo come nome, cognome, reparto, numero di telefono, centro di costo e Posizione da una directory al profilo di un utente. Molte di queste categorie sono intuitive e possono essere configurate facilmente; tuttavia, alcune categorie richiedono una spiegazione per una configurazione corretta al fine di bloccare conseguenze impreviste o errori dell'applicazione. La sezione seguente evidenzia opzioni di mappatura uniche e impostazioni di configurazione per la mappatura di base. Fai riferimento al nostro [articolo sulla Mappatura SAML di base](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) per un elenco completo degli attributi supportati.

#### <mark style="color:blu;">Il tipo di licenza predefinito si applica solo a</mark> *<mark style="color:blu;">utenti completamente nuovi</mark>*

L'opzione del tipo di licenza predefinito applicherà la licenza designata a tutti gli utenti *completamente nuovi* che vengono provisionati nell'account tramite SAML. Questo non si applica agli utenti che si autenticano per una seconda volta, agli utenti che sono stati consolidati nell'account da un account precedente, agli utenti provisionati tramite SCIM o agli utenti invitati manualmente.

Per informazioni su *l'aggiornamento* delle licenze utente con autenticazione, fai riferimento alla configurazione della licenza sotto [Mappatura SAML avanzata](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blu;">Un tipo di licenza predefinito di</mark> *<mark style="color:blu;">Nessuno</mark>* <mark style="color:blu;">non consentirà ai nuovi utenti di autenticarsi a meno che la mappatura avanzata non sia configurata per assegnare una licenza</mark>

Gli utenti Zoom devono avere un tipo di licenza assegnato (Basic, Concesso in licenza o in sede) per accedere al servizio Zoom. Se viene selezionato un tipo di licenza predefinito Nessuno, i nuovi utenti non possono Accedi o creare un nuovo account a meno che non ricevano una licenza tramite [Mappatura SAML avanzata](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blu;">La maggior parte delle mappature di base verrà riapplicata all'accesso, salvo diversa indicazione</mark>

La maggior parte delle mappature SAML di base si aggiornerà ogni volta che un utente accede per impostazione predefinita, *eccetto* *per* nome, cognome, nome da mostrare e numero di telefono. Per predefinito, queste quattro mappature si applicheranno solo la prima volta che un utente si autentica e non verranno applicate di nuovo, anche se aggiornate da un utente o admin. Gli amministratori di Zoom possono cambiare questo comportamento abilitando l’opzione per **Aggiorna a ogni accesso SSO** nella pagina di mappatura della risposta SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio dell’opzione Aggiorna a ogni accesso SSO.</p></figcaption></figure>

#### <mark style="color:blu;">Le mappature dei Numeri telefonici devono includere un prefisso internazionale e un prefisso regionale se fuori dagli Stati Uniti</mark>

I Numeri telefonici mappati tramite SAML dovrebbero includere il prefisso internazionale e il prefisso regionale dell’utente nell’asserzione SAML, quando possibile. Zoom presumerà un prefisso internazionale di +1 se non definito per predefinito.

Gli account che non mantengono i prefissi internazionali nella propria directory possono modificare le proprie asserzioni SAML all’interno del proprio provider di identità per includerli automaticamente, se necessario.

#### <mark style="color:blu;">Ogni utente può avere fino a tre Numeri telefonici e un numero di fax mappati al proprio profilo</mark>

Gli amministratori di Zoom possono Configura fino a tre Numeri telefonici separati e un mapping di un numero di fax per ciascun utente. Ogni numero di telefono deve essere univoco e non può duplicare il valore di un altro campo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio di opzioni per i Numeri telefonici per ciascun utente.</p></figcaption></figure>

#### <mark style="color:blu;">Le immagini del profilo devono essere mappate da un URL accessibile pubblicamente oppure codificate con Base64</mark>

Gli account che desiderano mappare le immagini del profilo dalla propria directory devono mappare le immagini utilizzando un URL accessibile pubblicamente oppure codificare l'immagine in Base64 durante l'assegnazione.

#### ID univoco del dipendente

<mark style="color:blu;">**L'ID univoco del dipendente modifica l'identificativo principale che Zoom usa per identificare gli utenti**</mark>

L’ *ID univoco del dipendente* è una Funzionalità che Zoom offre per aiutare nella gestione delle identità. Per impostazione predefinita, l'identificazione principale per un utente Zoom è il suo **e-mail** **indirizzo**. Ciò significa che se il tipo di accesso con e-mail di lavoro è **<john.smith@company.com>**, quindi Zoom identificherà sempre questo utente tramite quell’indirizzo e-mail. Questo identificativo è ciò che consente integrazioni come SSO o account Facebook e Google OAuth di associare l’utente allo stesso account Zoom.

Tuttavia, questo processo di identificazione può essere problematico se il nome o l'e-mail di un utente cambia. Ad esempio, se **<john.smith@company.com>** ha una Modifica e-mail a **<jonathan.smith@company.com>**, Zoom non può determinare con sicurezza che si tratti della stessa persona (perché l'identificativo fondamentale è diverso), quindi Zoom creerà un nuovo account la prima volta **<jonathan.smith@company.com>** accede.

Per semplificare questo problema, Zoom offre la Funzionalità ID univoco del dipendente, che modifica l'identificativo principale di un utente dal proprio indirizzo e-mail a un ID univoco stabilito. *Questo non Modifica il Nome utente Zoom dell’utente*, ma invece offre un attributo identificativo alternativo. Questa Modifica consente a Zoom di aggiornare dinamicamente l'indirizzo e-mail di un utente all'interno di Zoom se:

* a *nuovo* indirizzo e-mail è accompagnato da un noto ID univoco dipendente; e
* il dominio e-mail dell’utente interessato è associato in Zoom

Ad esempio, se **<john.smith@company.com>** si autentica e fornisce un valore SAML di 12345 (il proprio numero dipendente) per l’attributo ID univoco dipendente, Zoom identificherà ora l’utente nell’account in base al valore dichiarato. Se John si autentica di nuovo usando l’e-mail **<jonathan.smith@company.com>** pur continuando a fornire l’ID univoco dipendente 12345, Zoom identificherà che <john.smith@company.com> ora è **<jonathan.smith@company.com>** e aggiornerà dinamicamente l’e-mail dell’utente nell’account se il dominio è associato.

Gli amministratori delle identità dovrebbero essere *certi* che non ci sarà alcuna sovrapposizione tra due utenti con lo stesso valore di ID univoco dipendente prima di stabilire il mapping SAML per questa categoria. Se un altro utente si autentica e fornisce lo stesso valore, l’e-mail verrà aggiornata di nuovo al nuovo utente e può causare un’interruzione significativa ai servizi e all’esperienza dell’utente.

<mark style="color:blu;">**La Funzionalità Unique ID dipendente richiede Domini associati per Modifica l'e-mail di un utente**</mark>

La Funzionalità Unique ID del dipendente non può aggiornare l’indirizzo e-mail di un utente a meno che il dominio e-mail non sia ufficialmente associato al profilo dell'account. Fai riferimento al nostro articolo di Assistenza su [Domini associati](https://support.zoom.us/hc/en-us/articles/203395207) per ulteriori informazioni.

<mark style="color:blu;">**Gli amministratori e i proprietari non possono aggiornare la propria e-mail tramite l'ID univoco del dipendente**</mark>

Le e-mail di admin e Titolare all'interno di Zoom non possono essere aggiornate tramite la Funzionalità ID univoco dipendente. Ciò è previsto come misura di sicurezza per bloccare Access non autorizzato. Gli admin e i Titolari devono Modifica la loro e-mail tramite la pagina del profilo.

<mark style="color:blu;">**Le email dell’utente possono essere aggiornate solo una volta al giorno tramite l’ID univoco del dipendente**</mark>

Le e-mail dell’utente possono essere aggiornate solo una volta ogni 24 ore tramite la Funzionalità ID univoco del dipendente. Un utente deve attendere un intero giorno di calendario dall’aggiornamento precedente prima di aggiornare di nuovo la propria e-mail tramite SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramma di un flusso di esempio per l'aggiornamento delle email dell'utente.</p></figcaption></figure>

<mark style="color:blu;">**Impostando l'attributo SAML su \<NameID> verrà utilizzato il NameID asserito dell'utente**</mark>

Mappatura dell'attributo SAML ID univoco del dipendente a **\<NameID>** userà automaticamente il valore di NameID asserito dell’utente come identificativo univoco. Questo può essere uno strumento utile se il provider di identità asserisce un NameID diverso dall’e-mail dell’utente, come un User Principal Name (UPN) o un valore simile che non cambia. Non utilizzare questo valore se i NameID degli utenti corrispondono alla loro e-mail.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio dell'impostazione admin &#x3C;NameID>.</p></figcaption></figure>

### Mappatura avanzata: licenze, Aggiungi-on e Access

La sezione Mappatura avanzata delle informazioni SAML può applicare dinamicamente licenze (incluso Zoom Phone), componenti aggiuntivi e gruppi di accesso utente agli utenti mentre si autenticano. A differenza della mappatura di base, la mappatura avanzata contiene molte sfumature che possono richiedere un'attenzione diligente durante la configurazione, a seconda della complessità del tuo ambiente. Questa sezione evidenzia le sfumature per configurare la mappatura SAML avanzata. Consulta il nostro [Articolo di mapping SAML avanzato](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) per un elenco completo degli attributi supportati.

#### <mark style="color:blu;">La mappatura avanzata si applica ogni volta che un utente si autentica</mark>

A differenza della mappatura Basic, che prevede aggiornamenti Facoltativo per alcune categorie, le configurazioni di mappatura avanzata verranno applicate ogni volta che un utente si autentica, secondo l’ordine dall’alto verso il basso dell’applicazione.

Ad esempio, se un utente ha una licenza Basic e poi si autentica tramite SSO passando un attributo e un valore SAML mappati all’assegnazione di una licenza completa, all’utente verrà assegnata immediatamente la licenza completa. Se il profilo dell’utente viene quindi modificato all’interno del provider di identità per riportarlo a una licenza Basic, gli verrà riassegnata la licenza Basic una volta che eseguirà nuovamente l’autenticazione in Zoom.

#### <mark style="color:blu;">La mappatura avanzata consente più attributi e valori SAML per categoria</mark>

A differenza del mapping Basic, che consente solo un attributo SAML per categoria, il mapping avanzato può Assistenza più attributi e valori per ogni categoria. Ciò consente una notevole flessibilità nella gestione della licenza utente e Access tramite gruppi di sicurezza all'interno del provider di identità, come mostrato nella seguente configurazione.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di mapping degli attributi per SAML.</p></figcaption></figure>

{% hint style="success" %}
**Suggerimento Zoom**

Gli attributi SAML possono variare a seconda del provider di identità, in particolare per i gruppi di sicurezza. Conferma con il tuo provider di identità oppure tramite [log delle risposte SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) come vengono asseriti gli attributi SAML.
{% endhint %}

#### <mark style="color:blu;">Il mapping avanzato applica le licenze dall'alto verso il basso quando vengono asseriti più attributi</mark>

Se un utente passa più attributi SAML o valori configurati per il mapping avanzato SAML, Zoom mapperà le licenze dall'alto verso il basso. Vedi l'esempio seguente:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di selezione del tipo di licenza nelle Impostazioni admin.</p></figcaption></figure>

In base alla configurazione sopra, se un utente dovesse passare un attributo sia per **global\_users** e **marketing**, perché **marketing** è il più alto nella configurazione, questo attributo verrà applicato all'utente e i restanti attributi applicabili verranno ignorati.

In alternativa, se la configurazione è stata impostata con **global\_users** come il più alto, come mostrato nella seguente schermata, se l'asserzione di un utente conteneva **global\_users**, **marketing**, **umano** **risorse**, e **IT**, perché **global\_users** è la priorità più alta, verrà asserita solo una licenza Basic.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di regolazione dell'ordine di priorità</p></figcaption></figure>

Gli amministratori di Zoom possono regolare l'ordine di applicazione durante la modifica dei valori di mappatura usando le frecce ↑↓ nell'editor.

{% hint style="success" %}
**Raccomandazione Zoom**

Configura le configurazioni avanzate dalla più specifica alla più generale per bloccare un'errata applicazione della licenza.
{% endhint %}

#### <mark style="color:blu;">Le mappature di Webinar e Grande riunione possono condividere un valore comune per applicare entrambi i componenti aggiuntivi</mark>

Per semplificare il processo di applicazione, gli amministratori Zoom possono Configura due volte lo stesso attributo e valore SAML per applicare entrambi i componenti aggiuntivi webinar e per grandi riunione agli utenti, come mostrato nell'immagine seguente con il **global\_users** valore. Questi componenti aggiuntivi possono anche essere configurati in modo indipendente, se desiderato, come mostrato con i **solo\_webinar** e **solo\_grande\_riunione** valori.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di attributi SAML per solo_grande_riunione e solo_webinar.</p></figcaption></figure>

#### <mark style="color:blu;">Gli utenti possono essere aggiunti a più gruppi di utenti utilizzando un valore SAML</mark>

Gli amministratori Zoom possono Configura la mappatura di Gruppo utenti per Aggiungi un utente a più gruppi con un valore SAML.

Il primo gruppo di utenti Aggiungi sarà impostato come Gruppo primario dell’utente e determinerà le Impostazioni predefinito dell’utente *a meno che un gruppo sottostante non abbia un'impostazione bloccata*. Per ulteriori informazioni sui gruppi di utenti, consulta il nostro [articolo di Assistenza](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di mapping multiplo di gruppi di utenti.</p></figcaption></figure>

#### <mark style="color:blu;">Utenti specifici e gruppi di utenti possono essere esentati da specifici mapping SAML</mark>

Ogni opzione sotto Advanced SAML Mapping può essere configurata per esentare utenti specifici e gruppi di utenti dal comportamento di mapping. Ciò può essere utile per prevenire interruzioni del servizio per gli utenti VIP a causa di un possibile Modifica della licenza.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di esenzioni utente.</p></figcaption></figure>

#### <mark style="color:blu;">Auto Mapping Assegna automaticamente gli utenti a un Utente, canale o gruppo IM denominato in base al loro valore SAML dichiarato, se il valore non è già stato mappato a un gruppo</mark>

Auto Mapping può essere utilizzato per Assegna automaticamente gli utenti a un Gruppo utente, canale e Gruppo IM denominato in base al loro valore SAML dichiarato. A differenza di altri componenti di mapping avanzato, che possono essere configurati per Assegna un utente a qualsiasi gruppo in base al valore SAML, Auto Mapping Assegna sempre un utente a un gruppo in base all'esatto valore SAML. Se il gruppo non esisteva in precedenza, verrà creato automaticamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di SAML Auto Mapping.</p></figcaption></figure>

Ad esempio, se la Mappatura automatica è impostata per mappare un utente nei gruppi in base al proprio reparto, se il valore del reparto non è già definito per il Gruppo utenti, il canale o il Gruppo IM, gli utenti verranno assegnati automaticamente a un gruppo che corrisponde al nome del loro reparto, come mostrato nella tabella seguente:

| Attributo SAML | Valore SAML     | Il Gruppo Zoom esiste già? | Risultato                                                         |
| -------------- | --------------- | -------------------------- | ----------------------------------------------------------------- |
| Reparto        | Human Resources | Sì                         | Utente aggiunto al gruppo Risorse umane                           |
| Reparto        | Marketing       | Sì                         | Utente aggiunto al gruppo Marketing                               |
| Reparto        | Vendite         | No                         | Viene creato il gruppo Vendite, utente aggiunto al gruppo Vendite |

#### Zoom supporta fino a cinque attributi SAML personalizzati

Gli amministratori Zoom possono configurare fino a *cinque* attributi SAML personalizzati per aggiungere i dati dell'utente al proprio profilo Zoom nella [gestione avanzata degli utenti](https://zoom.us/account/user#/advanced) pagina. Dopo aver aggiunto i campi personalizzati, gli amministratori Zoom possono configurare la mappatura nella [Mappatura della risposta SAML](https://zoom.us/account/sso/mapping) pagina.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Esempio di attributi SAML personalizzati</p></figcaption></figure>

#### <mark style="color:blu;">La mappatura di utenti a un sub-account comporterà</mark> *<mark style="color:blu;">solo</mark>* <mark style="color:blu;">l'applicazione di una licenza riunione e dei componenti aggiuntivi</mark>

La mappatura di un utente a un sub-account applicherà solo la licenza riunione dell'utente e i componenti aggiuntivi come webinar e Large Meetings al sub-account. I Gruppi utenti, i Gruppi IM, i Ruoli utente, ecc. non verranno applicati e devono essere configurati all'interno del sub-account.

I Clienti che richiedono maggiore flessibilità per la mappatura della risposta SAML con i sub-account richiederanno un URL personalizzato univoco e una nuova configurazione SSO all'interno del sub-account.

### Risoluzione dei problemi SSO

#### <mark style="color:blu;">Utilizzo dei registri di risposta SAML per la risoluzione dei problemi</mark>

I registri di risposta SAML salvati possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione e degli errori utente, oltre alle configurazioni di mappatura della risposta SAML. Se la configurazione SSO è impostata per salvare i registri di risposta SAML, è possibile accedervi tramite la [scheda Registro di risposta SAML](https://zoom.us/account/sso/saml_logs) disponibile nella pagina di configurazione SSO in Impostazioni avanzate. Per visualizzare i registri di risposta SAML, fare clic su **Visualizza dettagli** accanto a un tentativo di autenticazione.

#### <mark style="color:blu;">La maggior parte delle autenticazioni verrà mostrata nei registri di risposta</mark>

La maggior parte dei tentativi di autenticazione non riusciti o falliti verrà mostrata nella pagina dei registri di risposta. Se un tentativo di autenticazione non viene mostrato, molto probabilmente Zoom non ha ricevuto un'asserzione SAML dal tuo provider di identità, oppure il salvataggio dei registri di risposta SAML è disabilitato.

#### <mark style="color:blu;">I registri di risposta possono dirti se la configurazione è errata o se il certificato è obsoleto</mark>

Quando i registri di risposta SAML sono abilitati, le informazioni del provider di identità vengono asserite a Zoom per autenticare le identità di ciascuna parte. Se un'impostazione asserita o una stringa di informazioni, come il certificato X509 o l'ID dell'emittente, è diversa dalla configurazione corrente di Zoom, verrà visualizzato un errore che indica che le informazioni “non corrispondono alle Impostazioni SSO correnti”. Un amministratore Zoom può aggiornare la configurazione SSO per farla corrispondere a questi valori asseriti, se sono corretti, per risolvere l'errore.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di avvisi di configurazione errata.</p></figcaption></figure>

#### <mark style="color:blu;">I registri di risposta indicano quali valori e attributi SAML vengono asseriti</mark>

Esaminare i registri di risposta può aiutare a risolvere le configurazioni di mappatura della risposta SAML verificando quali attributi e valori vengono asseriti dagli utenti durante l'autenticazione. Questi possono essere confrontati con la configurazione per assicurarsi che attributi e valori corrispondano.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di informazioni asserite dal servizio del provider di identità.</p></figcaption></figure>

Se attributi o valori SAML mancano, le informazioni non vengono asserite dal servizio del provider di identità. Agli utenti che riscontrano questo problema si consiglia di contattare i servizi di assistenza del proprio provider di identità per ulteriore supporto.

#### <mark style="color:blu;">I registri di risposta includono un codice di errore e una breve spiegazione, se l'operazione non riesce</mark>

Se un utente non può autenticare o riceve un errore, i registri di risposta SAML contengono un codice di errore e una breve spiegazione dell'errore.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di codice di errore e spiegazione.</p></figcaption></figure>

La maggior parte dei problemi può essere identificata e risolta usando questi messaggi di errore. Se non riesci a risolvere l'errore, contatta Assistenza Zoom per ulteriore supporto.

#### <mark style="color:blu;">Errori ID di tracciamento Web</mark>

Se un utente non riesce nell'autenticazione SSO, riceverà un codice di errore ID di tracciamento WEB. Questi codici non sono un messaggio di errore relativo a un fallimento specifico, ma invece un ID univoco del registro che può essere esaminato nella Mappatura della risposta SAML per identificare i problemi di autenticazione.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di errore visibile all'utente con un codice di errore ID di tracciamento WEB.</p></figcaption></figure>

Per identificare l'errore, se la registrazione della risposta SAML è abilitata, vai alla [scheda Registro di risposta SAML](https://zoom.us/account/sso/saml_logs) scheda disponibile nella pagina di configurazione SSO in Impostazioni avanzate. Da lì, inserisci l'ID di tracciamento WEB nel campo ID di tracciamento ed esegui la ricerca per popolare il registro di risposta

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di ricerca nel Registro di risposta SAML con il suddetto codice di errore ID di tracciamento WEB.</p></figcaption></figure>

I registri di risposta SAML dovrebbero mostrare l'asserzione SAML e un codice di errore e un messaggio in fondo alla risposta che possono essere utilizzati per ulteriori attività di risoluzione dei problemi.

### Errori SCIM

#### <mark style="color:blu;">L'utente non esiste o non appartiene a questo account</mark>

Questo errore si verifica quando l’indirizzo e-mail di un utente target non riesce a essere provisionato a causa di un account già esistente. Gli amministratori Zoom sono incoraggiati a contattare direttamente l’utente e a invitarlo manualmente all’account.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di un errore di provisioning.</p></figcaption></figure>

#### <mark style="color:blu;">Non puoi aggiungere utenti a pagamento</mark>

Questo errore si verifica quando SCIM tenta di provisionare un utente quando non ci sono licenze sufficienti sull’account. Per risolvere l’errore, l’utente deve essere provisionato come utente Basic, oppure una licenza deve essere resa disponibile per il provisioning.

### Utilizzo dei log SCIM per risolvere i problemi di provisioning degli utenti

Zoom fornisce i 100 log di richieste API più recenti in [Zoom Marketplace](https://marketplace.zoom.us/). Un amministratore Zoom può usare questi log per confermare quali informazioni vengono inviate e ricevute tramite le API di provisioning. Per accedere ai log, accedi a Zoom Marketplace come amministratore Zoom e fai clic su **Gestisci**. Nella pagina successiva, seleziona **Log delle chiamate** del tuo account sotto **Gestione app personale**. Da lì, fai clic su una voce per espandere i log API e rivedere il contenuto.

L’immagine seguente mostra un esempio di una richiesta di provisioning utente SCIM, con gli attributi di identità e di licenza dell’utente evidenziati come riferimento.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Esempio di una richiesta di provisioning utente SCIM.</p></figcaption></figure>

Come per la mappatura della risposta SAML, Zoom può applicare solo le informazioni inviate dal provider di identità nella richiesta di provisioning. Usa questi log per confermare che gli attributi di identità e di licenza dell’utente vengano inviati dal provider di identità. Se le informazioni previste mancano da queste asserzioni, contatta il tuo provider di identità per ricevere assistenza.

### Flussi di dati e autenticazione

#### <mark style="color:blu;">Autenticazione SAML</mark>

Il diagramma seguente descrive il flusso di autenticazione SAML di un utente quando avvia una sessione Single Sign-On con Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramma di un esempio di flusso di autenticazione SAML.</p></figcaption></figure>

#### <mark style="color:blu;">Token di accesso web SSO</mark>

Dopo che un utente si autentica tramite SAML, la sessione dell'utente viene creata nel suo browser e ha

una durata di due ore predefinita. Se l'utente continua a usare attivamente la propria pagina web Zoom, la sessione verrà aggiornata; tuttavia, se l'utente non usa la propria pagina web per due ore, il token scadrà e l'utente dovrà autenticarsi di nuovo. Gli amministratori Zoom possono configurare questa durata della sessione attiva nella [Sicurezza](https://zoom.us/account/setting/security) pagina, alla voce Gli utenti devono accedere di nuovo dopo un periodo di inattività e **Imposta il periodo di inattività sul web (minuti)**.

#### <mark style="color:blu;">Token di accesso client</mark>

Quando un utente tenta di autenticarsi tramite SSO all'interno di un client, il computer dell'utente aprirà un browser web e lo reindirizzerà alla pagina di accesso del provider di identità. Dopo che un utente si è autenticato, il browser dell'utente riceverà un token di avvio del client Zoom. Una volta che un utente fa clic sul pulsante “open” o “launch”, il browser utilizza lo schema URL combinato con il token di avvio per aprire il client Zoom.

Il client Zoom utilizzerà il token di avvio per ottenere il token di accesso e il token di aggiornamento dal server Zoom. Il client userà il token di accesso per un periodo di due ore alla volta e, alla scadenza, utilizzerà il token di aggiornamento per ottenere un nuovo insieme di token, che vengono archiviati nel database locale del client. Questo processo di aggiornamento è illimitato per impostazione predefinita e può continuare a ciclicare attraverso i token finché un utente non esegue la disconnessione o i token non scadono. Gli amministratori Zoom possono personalizzare la durata della sessione nella [impostazioni SSO](https://zoom.us/account/sso) pagina sotto [*forza la disconnessione automatica*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://library.zoom.com/technical-library/it/angolo-admin/account-and-endpoint-management/sso-field-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.