Guida pratica all'SSO

Introduzione

L’integrazione di Single Sign-On (SSO) con Zoom offre agli amministratori Gestione degli utenti e opzioni di sicurezza che possono semplificare la gestione dell’account. Una volta configurato, gli utenti si autenticano utilizzando le credenziali della propria azienda sul provider di identità della propria azienda invece di usare metodi di autenticazione alternativi come le integrazioni con Google o Facebook, oppure un Nome utente e password diretti con Zoom.

Questo documento fornisce una panoramica completa delle configurazioni e delle Impostazioni di SSO all’interno di Zoom, oltre a informazioni sulla risoluzione dei problemi e sulla sicurezza.

Integrazioni SSO

SSO richiede un URL personalizzato per iniziare

Un account deve avere un URL personalizzato approvato prima di configurare SSO. Una volta approvato l’URL personalizzato, gli amministratori di Zoom possono accedere alla configurazione SSO pagina tramite il sottomenu delle opzioni avanzate nel portale web. Consulta il nostro articolo di Assistenza su URL personalizzati per ulteriori informazioni.

Zoom SSO funziona con qualsiasi provider di identità SAML 2.0

Zoom può integrarsi con qualsiasi provider di identità che supporti SAML 2.0 per l'autenticazione. Sebbene esistano molte guide documentate di Integrazioni, alcuni provider di identità non forniscono documentazione per l'integrazione con Zoom. Si consiglia agli account che non riescono a trovare istruzioni di configurazione di contattare il proprio provider di identità per ulteriori informazioni.

Gli amministratori Zoom possono gestire le informazioni del profilo utente e le licenze tramite la mappatura delle risposte SAML o le integrazioni SCIM

Gli amministratori possono gestire le informazioni del profilo utente e le licenze tramite la mappatura delle risposte SAML o le richieste dell'Interface di programmazione dell'applicazione (API) di System for Cross-Domain Identity Management (SCIM), a seconda delle funzionalità disponibili dal provider di identità. Entrambi i metodi di gestione degli utenti offrono funzionalità pressoché equivalenti per la mappatura delle informazioni del profilo e la gestione delle licenze, ma alcune mappature SCIM richiedono una configurazione manuale.

Per un elenco completo delle funzionalità SCIM, consulta la nostra documentazione API SCIM.

Gli amministratori Zoom possono gestire lo stato dell'account utente tramite SCIM, ma non SAML

Poiché SCIM consente ai provider di identità di comunicare direttamente con Zoom in qualsiasi momento, gli account utente possono essere attivati, disattivato, creato, o eliminato tramite integrazioni SCIM automaticamente. Ad esempio, se l’account di un utente in Active Directory è disattivato oppure se gli è stata rimossa l’assegnazione dell’applicazione, SCIM può inviare una richiesta di disattivazione automatica per l’account dell’utente all’interno di Zoom. Questa Funzionalità dipende dalle funzionalità dell’applicazione SCIM del provider di identità e la funzionalità può variare a seconda del provider.

I provider di identità limitati offrono SCIM per Zoom

Molti provider di identità non dispongono di una Integrazioni SCIM creata per Zoom come parte dei loro servizi. Gli account che usano un provider di identità che non supporta SCIM con Zoom devono usare il mapping delle risposte SAML per la Gestione degli utenti automatizzata.

SCIM richiede un dominio associato per effettuare automaticamente il provisioning degli utenti

Account che usano SCIM per gestire e provisionare utenti per SSO deve associa il dominio e-mail a Zoom. La mancata associazione del dominio comporterà errori nel provisioning dell'utente. Consulta il nostro articolo di Assistenza su Domini associati per ulteriori informazioni sul processo.

Le seguenti integrazioni SSO sono documentate

La Active Directory on-premises può utilizzare l'Applicativo AD Sync invece di SCIM

Account che desiderano automatizzare il provisioning degli utenti tramite SCIM ma non hanno un provider di identità basato su cloud possono usare l’applicazione dello strumento di Sincronizza Active Directory (AD) sviluppata da Zoom per gestire i propri utenti. Questa applicazione viene eseguita su Oracle JDK 8 e simula il provisioning SCIM gestendo gli utenti tramite comandi API. Vedi il nostro articolo di Assistenza sull’ Applicativo AD Sync per ulteriori informazioni.

I provider di identità possono persino autenticare i partecipanti alla riunione che non hanno un account Zoom

Gli account che desiderano richiedere agli utenti di autenticare la propria identità ma non intendono fornire account Zoom possono configurare un profilo di autenticazione esterna con il proprio provider di identità. Quando è abilitato per una riunione, gli utenti che tentano di partecipare devono autenticare le proprie credenziali di accesso presso il provider di identità per ottenere Access. Questa è una configurazione comune per le scuole che non forniscono account a tutti gli studenti ma richiedono l'autenticazione per partecipare alle lezioni. Consulta il nostro articolo di Assistenza su configurando l'autenticazione esterna per ulteriori informazioni.

La modifica del provider di identità richiede di riconfigurare l'SSO all'interno di Zoom

Gli account che stanno modificando provider di identità devono rifare la configurazione SSO all'interno di Zoom. Ciò include l'aggiornamento di tutti i campi nella pagina di configurazione per farli corrispondere al nuovo provider di identità. Gli account sono invitati a confermare che le mappature delle risposte SAML non cambieranno con il nuovo provider di identità.

Non dovrebbero essere necessarie ulteriori configurazioni o modifiche, a condizione che non vi siano ulteriori modifiche.

I Clienti con sub-account possono Configura l'SSO dall'account principale o dal sub-account

I Clienti con sub-account hanno due opzioni per Configura l'SSO:

1. Tutti gli utenti si autenticano usando l'URL personalizzato dell'account principale e accedono automaticamente al sub-account tramite mappatura SAML avanzata (si applicano alcune limitazioni di mappatura); oppure

2. Ogni sub-account ha un URL personalizzato univoco e una configurazione SSO indipendente, utilizzati esclusivamente dai membri di quel sub-account

Ogni configurazione offre vantaggi unici, con la seconda opzione che offre la massima flessibilità. I Clienti che valutano l'implementazione di una delle due configurazioni dovrebbero discutere con il proprio team account quale configurazione sia la più adatta alle loro esigenze.

Impostazioni SSO e Sicurezza

Gli amministratori di Zoom possono Scegli le opzioni ottimali di sicurezza e Impostazioni per la loro Organizzazione quando configurano un'integrazione SSO con Zoom. Questa sezione spiega queste Impostazioni e le loro implicazioni per un'integrazione SSO.

Zoom supporta richieste SAML di accesso e logout firmate

Gli amministratori di Zoom che richiedono ulteriore autenticazione del fornitore di servizi possono Configura Zoom per firmare tutte le richieste di accesso e logout al provider di identità.

Gli account che usano questa impostazione potrebbero richiedere una rotazione del certificato se il loro provider di identità non supporta l'aggiornamento dinamico dei metadati. Vedi il nostro articolo di Assistenza su rotazione del certificato per ulteriori informazioni.

Zoom supporta asserzioni SAML crittografate durante l'autenticazione

Gli amministratori di Zoom possono Configura Zoom per supportare asserzioni crittografate durante l'autenticazione. Se questa impostazione è abilitata, le asserzioni non crittografate verranno scartate. Gli account che usano questa impostazione potrebbero richiedere la rotazione del certificato SSO se il loro provider di identità non supporta l'aggiornamento dinamico dei metadati. Vedi il nostro articolo di Assistenza su rotazione del certificato per ulteriori informazioni.

Gli amministratori di Zoom possono imporre la disconnessione automatica dopo una durata definita

Gli amministratori di Zoom possono Configura Zoom in modo che disconnetta automaticamente gli utenti dalle sessioni attive dopo durate definite, personalizzabili da 15 minuti a 180 giorni. Questo processo imposterà la scadenza del token di Access di Zoom alla durata prestabilita una volta generato il token. Questo token non ha alcuna relazione con un provider di identità ed è univoco per Zoom.

I registri delle risposte SAML possono essere salvati per la risoluzione dei problemi

Zoom può salvare i registri delle risposte SAML dei tentativi di autenticazione per sette giorni dopo un'autenticazione. Questi registri delle risposte possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione e degli errori dell'utente, oltre alle configurazioni di mapping delle risposte SAML. Rivedi la sezione su la risoluzione dei problemi con i registri delle risposte SAML per ulteriori informazioni.

Il provisioning all'accesso può creare account all'istante ed è l'opzione di provisioning più semplice

Quando SSO è impostato per il provisioning All'accesso (noto anche come provisioning just-in-time), qualsiasi utente autorizzato all'interno del provider di identità può autenticare in Zoom. Agli utenti che non hanno un account esistente ne verrà creato uno immediatamente al momento dell'accesso.

Il provisioning al momento dell'accesso può semplificare le distribuzioni di Zoom a un'azienda consentendo agli utenti di creare i propri account al momento dell'autenticazione invece di richiedere la creazione proattiva dell'utente. In combinazione con il mapping delle risposte SAML, un intero profilo utente e la licenza sono pronti in pochi secondi dalla prima autenticazione di un utente.

Inoltre, il provisioning al momento dell'accesso può creare dinamicamente il tipo di accesso SSO per account preesistenti. Se un utente ha un account Zoom esistente con un Nome utente e una password, verrà creato un tipo di accesso SSO al momento dell'accesso con questa configurazione.

Il provisioning prima dell'accesso richiede account pre-creati con un tipo di accesso SSO

Provisioning degli utenti per SSO prima dell'accesso richiede che gli utenti che si autenticano abbiano entrambi un account Zoom esistente e che l'account abbia creato un tipo di accesso SSO. Questo tipo di provisioning è spesso associato al provisioning SCIM a causa del processo automatizzato di creazione dell'account, ma non è esclusivo di esso. Gli utenti Zoom che unificano nell'account aziendale tramite Domini associati o un Invita diretto difficilmente avranno il tipo di accesso SSO.

Gli amministratori di Zoom possono confermare se un account ha un tipo di accesso SSO visualizzando l'account utente in Gestione degli utenti pagina all'interno del portale web e cercare l'icona “SSO” sotto l'e-mail dell'utente.

Se l'icona è presente, l'utente è stato provisioned per SSO; se l'icona è assente, l'utente non potrà accedere tramite SSO mentre il pre-provisioning è abilitato finché non viene aggiunta. Un amministratore Zoom può aggiungere questo tipo di accesso aggiungendo utenti in blocco tramite un file CSV e selezionando l'opzione “Utente SSO”, oppure può fare in modo che l'utente si autentichi mentre Provision at Sign-in è abilitato.

Un dominio deve essere associato e gestito per imporre l'autenticazione SSO

Gli amministratori Zoom possono imporre l'autenticazione SSO solo se il dominio e-mail è associato e gestito all'interno di Zoom. Quando questa opzione è abilitata, tutti gli utenti che si autenticano utilizzando il/i dominio/i della tua azienda verranno automaticamente reindirizzati alla pagina di autenticazione del tuo provider di identità, indipendentemente dalla piattaforma.

Una volta che il dominio è approvato e gestito, un amministratore Zoom può imporre l'autenticazione SSO tramite la pagina di sicurezza dell'account sotto Metodi di accesso. Fai riferimento al nostro articolo di assistenza su Domini associati per ulteriori informazioni sull'associazione e la gestione di un dominio.

Utenti specificati possono essere esclusi dall'autenticazione SSO imposta

Gli amministratori Zoom possono escludere utenti specifici dall'autenticazione SSO imposta. Escludere utenti specifici (ad esempio un account amministratore) può essere utile se una configurazione SSO si interrompe e un amministratore dell'account necessita di accesso non SSO all'account Zoom. Gli admin esentati possono accedere a admin.zoom.us in qualsiasi momento in caso di blocco dell'account o configurazione SSO non funzionante (l'utente deve avere il ruolo standard di admin ). Se un admin Zoom non riesce ad accedere all'account, deve contattare Assistenza Zoom per ricevere aiuto.

Per abilitare un'eccezione per un utente, vai al pagina di sicurezza dell'account nel portale web, sotto le opzioni avanzate, individua l'elenco dei domini imposti e aggiungi un'eccezione tramite l'elenco di modifica.

I client mobili e desktop possono essere configurati per richiedere agli utenti di usare l'autenticazione SSO

I client Zoom possono essere preconfigurati per automatizzare la funzionalità SSO, inclusi accesso automatico, disconnessione automatica, autenticazione solo SSO sul dispositivo e altro tramite Criteri di gruppo, servizi di gestione dei dispositivi mobili (MDM) e client di distribuzione di massa.

Per un elenco completo delle possibilità di configurazione, fai riferimento alle nostre opzioni di configurazione per Criteri di gruppo, iOS, Android, Mac e Windows.

Gli utenti di Office 365 possono accedere automaticamente al componente aggiuntivo Zoom per Outlook usando le credenziali SSO

I clienti che utilizzano Office 365 possono effettuare automaticamente l'accesso dei propri utenti al componente aggiuntivo Zoom per Outlook usando le credenziali SSO. Questo può essere abbinato a un manifest del componente aggiuntivo personalizzato che precompila l'URL personalizzato dell'account, creando un'esperienza di autenticazione fluida per gli utenti. Questa funzionalità usa il token di sessione SSO dell'utente se è attivo, oppure richiederà una nuova autenticazione con il tuo provider di identità se non viene trovata alcuna sessione attiva.

Un admin Zoom può abilitare questa impostazione nella pagina di sicurezza dell'account sotto il menu avanzato .

Mappatura della risposta SAML

Gli attributi SAML sono categorie di dati definite dai valori SAML e vengono utilizzati per trasferire informazioni dal provider di identità a un fornitore di servizi come Zoom. La mappatura di attributi e valori è essenziale per automatizzare le informazioni del profilo utente e gestire le licenze degli utenti.

La mappatura della risposta SAML è suddivisa in due parti: di base e menu avanzato. La mappatura di base viene utilizzata per mappare le informazioni di base del profilo, inclusi nome, numero di telefono, dipartimento, ecc. La mappatura avanzata viene utilizzata per gestire assegnazioni dinamiche di licenze, assegnazione di gruppi di utenti, ruoli utente e altro.

Questa sezione copre i fondamenti della mappatura della risposta SAML, la mappatura della risposta SAML di base e avanzata, e mette in evidenza le condizioni uniche richieste per alcune funzionalità.

Fondamenti: attributi e valori SAML

La maggior parte dei provider di identità trasmette informazioni di base del profilo usando nomi e valori di attributi semplici. Ad esempio, il dipartimento di un dipendente può arrivare tramite SAML con un attributo department e un valore Human Resources. La seguente tabella mostra la relazione tra attributi e valori quando si trasmettono informazioni su un utente.

Assegnando correttamente un attributo SAML a una mappatura di risposta, le informazioni dell'utente possono essere applicate automaticamente a un profilo utente per semplificare il processo di creazione e gestione dell'account.

Basic Mapping: Informazioni del profilo

SAML Basic Information Mapping viene utilizzato per applicare informazioni del profilo come nome, cognome, reparto, numero di telefono, centro di costo e Posizione da una directory al profilo di un utente. Molte di queste categorie sono autoesplicative e possono essere configurate facilmente; tuttavia, alcune categorie richiedono una spiegazione per una configurazione corretta per bloccare conseguenze impreviste o errori dell'applicazione. La sezione seguente evidenzia opzioni di mapping uniche e Impostazioni di configurazione per il mapping di base. Fare riferimento al nostro articolo Basic SAML Mapping per un elenco completo degli attributi supportati.

Il tipo di licenza predefinito si applica solo a nuovi utenti

L'opzione del tipo di licenza predefinito applicherà la licenza designata a tutti gli nuovi utenti che vengono provisionati all'interno dell'account tramite SAML. Questo non si applica agli utenti che si autenticano per la seconda volta, agli utenti che sono confluiti nell'account da un account precedente, agli utenti che vengono provisionati tramite SCIM o agli utenti che sono stati invitati manualmente.

Per informazioni su l'aggiornamento Per le licenze utente con autenticazione, fare riferimento alla configurazione della licenza in Mapping SAML avanzato.

Un tipo di licenza predefinito di Nessuno non consentirà ai nuovi utenti di autenticarsi a meno che il mapping avanzato non sia configurato per assegnare una licenza

Gli utenti Zoom devono avere un tipo di licenza assegnato (Basic, Concesso in licenza o in sede) per accedere al servizio Zoom. Se viene selezionato un tipo di licenza predefinito Nessuno, i nuovi utenti non possono accedere o creare un nuovo account a meno che non ricevano una licenza tramite Mapping SAML avanzato.

La maggior parte delle mappature di base verrà riapplicata al login, salvo diversa indicazione

La maggior parte delle mappature SAML di base verrà aggiornata ogni volta che un utente accede, per impostazione predefinita, eccetto per nome, cognome, nome da mostrare e Numeri telefonici. Per impostazione predefinita, queste quattro mappature si applicheranno solo la prima volta che un utente si autentica e non verranno riapplicate, anche se Modifica da un utente o da un admin. Gli amministratori Zoom possono Modifica questo comportamento abilitando l'opzione per Aggiorna a ogni accesso SSO nella pagina di mappatura della risposta SAML.

Le mappature dei Numeri telefonici devono includere un prefisso nazionale e il prefisso di zona se al di fuori degli Stati Uniti

I Numeri telefonici mappati tramite SAML dovrebbero includere il prefisso nazionale e il prefisso di zona dell'utente nell'asserzione SAML, quando possibile. Zoom presumerà un prefisso nazionale di +1 se non definito per impostazione predefinita.

Gli account che non mantengono i prefissi nazionali nella propria directory possono Modifica le proprie asserzioni SAML all'interno del provider di identità per includerli automaticamente, se necessario.

Ogni utente può avere fino a tre Numeri telefonici e un numero di fax mappati al proprio profilo

Gli amministratori Zoom possono Configura fino a tre mappature separate di Numeri telefonici e un numero di fax per ciascun utente. Ogni numero di telefono deve essere univoco e non può duplicare il valore di un altro campo.

Le immagini del profilo devono essere mappate da un URL accessibile pubblicamente oppure codificate con Base64

Gli account che desiderano mappare le immagini del profilo dalla propria directory devono mappare le immagini usando un URL accessibile pubblicamente oppure codificare l'immagine in Base64 durante l'asserzione.

ID univoco dipendente

L’ID univoco del dipendente modifica l’identificativo primario che Zoom usa per identificare gli utenti

Il ID univoco dipendente è una Funzionalità offerta da Zoom per assistere nella gestione dell'identità. Per impostazione predefinita, l'identificazione principale per un utente Zoom è il suo e-mail indirizzo. Ciò significa che se il tipo di accesso e-mail di lavoro è [email protected], allora Zoom identificherà sempre questo utente tramite quell'indirizzo e-posta. Questo identificativo è ciò che consente a integrazioni come SSO o agli account OAuth di Facebook e Google di associare l'utente allo stesso account Zoom.

Tuttavia, questo processo di identificazione può essere problematico se il nome di un utente o la sua e-mail cambia. Ad esempio, se [email protected] ha una modifica dell'e-mail a [email protected], Zoom non può determinare in modo sicuro che si tratti della stessa persona (perché l'identificativo fondamentale è diverso), quindi Zoom creerà un nuovo account la prima volta che [email protected] accede.

Per semplificare questo problema, Zoom offre la Funzionalità ID dipendente univoco, che modifica l'identificativo primario di un utente dal suo indirizzo e-mail a un ID univoco stabilito. Questo non modifica il Nome utente di Zoom di un utente, ma offre invece un attributo identificativo alternativo. Questa Modifica consente a Zoom di aggiornare dinamicamente l'indirizzo e-mail di un utente all'interno di Zoom se:

• un nuovo l’indirizzo e-mail è accompagnato da un noto ID Unico dipendente; e

• il dominio e-mail dell’utente interessato è associato all’interno di Zoom

Ad esempio, se [email protected] si autentica e fornisce un valore SAML di 12345 (il proprio numero dipendente) per l’attributo ID Unico dipendente, Zoom identificherà ora l’utente all’interno dell’account in base al valore dichiarato. Se John si autentica di nuovo usando l’e-mail [email protected] pur continuando a fornire l’ID Unico dipendente di 12345, Zoom identificherà che [email protected] ora è [email protected] e aggiornerà dinamicamente l’e-mail dell’utente all’interno dell’account se il dominio è associato.

Gli amministratori dell’identità dovrebbero essere certi che nessun due utenti si sovrapporrà con lo stesso valore di ID Unico dipendente prima di stabilire il mapping SAML per questa categoria. Se un altro utente si autentica e fornisce lo stesso valore, l’e-mail verrà aggiornata di nuovo al nuovo utente e può causare notevoli interruzioni ai servizi e all’esperienza dell’utente.

La Funzionalità ID Unico dipendente richiede Domini associati per Modifica l’e-mail di un utente

La Funzionalità di ID univoco del dipendente non può aggiornare l’indirizzo e-mail di un utente a meno che il dominio e-mail non sia ufficialmente associato al profilo dell'account. Consulta il nostro articolo di Assistenza su Domini associati per ulteriori informazioni.

Gli amministratori e i proprietari non possono aggiornare la loro e-mail tramite l'ID univoco del dipendente

Le e-mail di admin e Titolare all'interno di Zoom non possono essere aggiornate tramite la Funzionalità ID univoco dipendente. Ciò è previsto come misura di sicurezza per bloccare accessi non autorizzati. Gli admin e i Titolari devono effettuare la Modifica della propria e-mail tramite la pagina del profilo.

Le email dell’utente possono essere aggiornate solo una volta al giorno tramite l’ID univoco del dipendente

Le e-mail dell’utente possono essere aggiornate solo una volta ogni 24 ore tramite la Funzionalità ID univoco del dipendente. Un utente deve attendere un intero giorno di calendario dall’aggiornamento precedente prima di aggiornare di nuovo la propria e-mail tramite SSO.

Impostando l'attributo SAML su <NameID> verrà utilizzato il NameID asserito dell'utente

Mappatura dell'attributo SAML ID univoco del dipendente a <NameID> utilizzerà automaticamente il valore NameID asserito dell’utente come identificativo univoco. Questo può essere uno strumento vantaggioso se il tuo provider di identità asserisce un NameID diverso dall’e-mail dell’utente, come un User Principal Name (UPN) o un valore simile che non cambia. Non usare questo valore se i NameID degli utenti corrispondono alla loro e-mail.

Mappatura avanzata: licenze, componenti aggiuntivi e Access

La sezione Mappatura delle informazioni avanzate SAML può applicare dinamicamente licenze (incluso Zoom Phone), componenti aggiuntivi e gruppi di Access degli utenti agli utente mentre si autenticano. A differenza della mappatura di base, la mappatura avanzata contiene molte sfumature che possono richiedere un'attenzione diligente durante la configurazione, a seconda della complessità del proprio ambiente. Questa sezione evidenzia le sfumature per configurare la mappatura avanzata SAML. Fare riferimento al nostro articolo sulla mappatura avanzata SAML per un elenco completo degli attributi supportati.

La mappatura avanzata si applica ogni volta che un utente si autentica

A differenza della mappatura di base, che prevede aggiornamenti Facoltativo per alcune categorie, le configurazioni di mappatura avanzata si applicheranno ogni volta che un utente si autentica, in base all'ordine di applicazione dall'alto verso il basso.

Ad esempio, se un utente ha una licenza di base e poi si autentica tramite SSO passando un attributo e un valore SAML mappati all'assegnazione di una licenza completa, all'utente verrà immediatamente assegnata la licenza completa. Se il profilo dell'utente viene poi modificato all'interno del provider di identità per riportarlo a una licenza di base, gli verrà riassegnata la licenza di base una volta eseguita nuovamente l'autenticazione in Zoom.

La mappatura avanzata consente più attributi e valori SAML per categoria

A differenza della mappatura di base, che consente un solo attributo SAML per categoria, la mappatura avanzata può supportare più attributi e valori per ciascuna categoria. Ciò offre una notevole flessibilità nella gestione della licenza e dell'Access degli utente tramite gruppi di sicurezza all'interno del provider di identità, come mostrato nella seguente configurazione.

La mappatura avanzata applica le licenze dall’alto verso il basso quando vengono dichiarati più attributi

Se un utente passa più attributi SAML o valori configurati per la mappatura avanzata SAML, Zoom mapperà le licenze dall’alto verso il basso. Vedere l’esempio seguente:

In base alla configurazione sopra, se un utente dovesse passare un attributo per entrambi global_users e marketing, perché marketing è il più alto nella configurazione, questo attributo verrà applicato all'utente e gli altri attributi applicabili verranno ignorati.

In alternativa, se la configurazione è stata impostata con global_users come il più alto, come si vede nella seguente schermata, se l'asserzione di un utente conteneva global_users, marketing, umano risorse, e IT, perché global_users ha la massima priorità, verrà asserita solo una licenza Basic.

Gli amministratori di Zoom possono regolare l'ordine di applicazione quando modificano i valori di mappatura usando le frecce ↑↓ all'interno dell'editor.

Le mappature di webinar e Grande riunione possono condividere un valore comune per applicare entrambi gli Aggiungi-on

Per semplificare il processo di applicazione, gli amministratori di Zoom possono Configura lo stesso attributo SAML e valore due volte per applicare sia i componenti aggiuntivi webinar sia quelli Grande riunione agli utenti, come mostrato nella seguente immagine con il global_users valore. Questi componenti aggiuntivi possono anche essere configurati in modo indipendente, se lo si desidera, come mostrato con il solo webinar e solo_riunione_grande valori.

Gli utenti possono essere aggiunti a più gruppi di utenti utilizzando un solo valore SAML

Gli amministratori di Zoom possono Configura il mapping del gruppo utente per Aggiungi un utente a più gruppi con un valore SAML.

Il primo gruppo di utenti aggiunto verrà impostato come Gruppo principale dell’utente e determinerà le Impostazioni predefinite dell’utente a meno che un gruppo sottostante non abbia un’Impostazione bloccata. Per ulteriori informazioni sui Gruppi di utenti, consultare il nostro articolo di Assistenza.

Gli utenti specificati e i Gruppi di utenti possono essere esentati da mappature SAML specifiche

Tutte le opzioni in Mapping SAML avanzato possono essere configurate per esentare utenti specifici e Gruppi di utenti dal comportamento di mappatura. Questo può essere utile per prevenire interruzioni del servizio per gli utenti VIP a causa di una potenziale Modifica della licenza.

La mappatura automatica Assegna automaticamente gli utenti a un utente, a un canale o a un gruppo IM denominato in base al rispettivo valore SAML dichiarato, se il valore non è stato precedentemente mappato a un gruppo

La mappatura automatica può essere utilizzata per Assegna automaticamente gli utenti a un Gruppo di utenti, a un canale e a un Gruppo IM denominati in base al rispettivo valore SAML dichiarato. A differenza di altri componenti di mappatura avanzata, che possono essere configurati per Assegna un utente a qualsiasi gruppo in base al valore SAML, la mappatura automatica Assegna sempre un utente a un gruppo in base all’esatto valore SAML. Se il gruppo non esisteva in precedenza, verrà creato automaticamente.

Ad esempio, se la Mappatura automatica è impostata per assegnare un utente ai gruppi in base al reparto di appartenenza, se il valore del reparto non è già definito per il gruppo utenti, il canale o il gruppo IM, gli utenti verranno assegnati automaticamente a un gruppo che corrisponde al nome del loro reparto, come mostrato nella tabella seguente:

Zoom supporta fino a cinque attributi SAML personalizzati

Gli amministratori di Zoom possono Configura fino a cinque attributi SAML personalizzati per aggiungere i dati utente al proprio profilo Zoom nella Gestione degli utenti avanzata pagina. Dopo aver aggiunto i campi personalizzati, gli amministratori di Zoom possono Configura la mappatura sulla Mappatura della risposta SAML pagina.

La mappatura degli utenti a un sub-account solo applicherà una licenza riunione e componenti aggiuntivi

La mappatura di un utente a un sub-account applicherà al sub-account solo la licenza riunione dell’utente e componenti aggiuntivi come Webinar e Riunioni grandi. Gruppi di utenti, gruppi IM, ruoli utente, ecc. non verranno applicati e devono essere configurati all’interno del sub-account.

I clienti che richiedono maggiore flessibilità per la mappatura delle risposte SAML con i sub-account avranno bisogno di un URL personalizzato univoco e di una nuova configurazione SSO all’interno del sub-account.

Risoluzione dei problemi di SSO

Uso dei registri delle risposte SAML per la risoluzione dei problemi

I registri delle risposte SAML salvati possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione e degli errori utente, oltre che per le configurazioni di mappatura delle risposte SAML. Se la configurazione SSO è impostata per salvare i registri delle risposte SAML, è possibile accedervi tramite la scheda Registro delle risposte SAML disponibile nella pagina di configurazione SSO in Impostazioni avanzate. Per visualizzare i registri delle risposte SAML, fare clic su Mostra dettagli accanto a un tentativo di autenticazione.

La maggior parte delle autenticazioni verrà mostrata nei registri delle risposte

La maggior parte dei tentativi di autenticazione non riusciti o falliti verrà mostrata nella pagina dei registri delle risposte. Se un tentativo di autenticazione non viene mostrato, è molto probabile che Zoom non abbia ricevuto un’asserzione SAML dal provider di identità oppure che il salvataggio dei registri delle risposte SAML sia disattivato.

I registri delle risposte possono indicare se la configurazione non è corretta o se il certificato è obsoleto

Quando i registri delle risposte SAML sono abilitati, le informazioni del provider di identità vengono asserite a Zoom per autenticare le identità di ciascuna parte. Se un’impostazione asserita o una stringa di informazioni, come il certificato X509 o l’ID dell’emittente, è diversa dalla configurazione attuale di Zoom, verrà visualizzato un errore che indica che le informazioni “non corrispondono alle impostazioni SSO correnti”. Un amministratore Zoom può aggiornare la configurazione SSO in modo che corrisponda a questi valori asseriti, se sono corretti, per risolvere l’errore.

I registri delle risposte indicano quali valori e attributi SAML vengono asseriti

La revisione dei registri delle risposte può aiutare a risolvere le configurazioni di mappatura delle risposte SAML verificando quali attributi e valori vengono asseriti dagli utenti durante l’autenticazione. Questi possono essere confrontati con la configurazione per assicurarsi che gli attributi e i valori corrispondano.

Se gli attributi o i valori SAML mancano, le informazioni non vengono asserite dal servizio del provider di identità. Agli utenti che riscontrano questo problema si consiglia di contattare il servizio di Assistenza del provider di identità per ulteriore supporto.

I registri delle risposte includono un codice di errore e una breve spiegazione, se il tentativo non è riuscito

Se un utente non riesce ad autenticare o riceve un errore, i registri delle risposte SAML contengono un codice di errore e una breve spiegazione dell’errore.

La maggior parte dei problemi può essere identificata e risolta utilizzando questi messaggi di errore. Se non riesci a risolvere l’errore, contatta l’Assistenza Zoom per ulteriore supporto.

Errori ID di tracciamento Web

Se un utente non supera l’autenticazione SSO, riceverà un codice di errore WEB Tracking ID. Questi codici non sono un messaggio di errore relativo a un fallimento specifico, ma un ID di log univoco che può essere esaminato in SAML Response Mapping per identificare i problemi di autenticazione.

Per identificare l’errore, se la registrazione delle risposte SAML è abilitata, vai alla scheda Registro delle risposte SAML scheda disponibile nella pagina di configurazione SSO in Impostazioni avanzate. Da lì, inserisci il WEB tracking ID nel campo Tracking ID e cerca per popolare il registro delle risposte

I registri delle risposte SAML dovrebbero mostrare l’asserzione SAML e un codice di errore e un messaggio nella parte inferiore della risposta che possono essere utilizzati per ulteriori attività di risoluzione dei problemi.

Errori SCIM

L’utente non esiste o non appartiene a questo account

Questo errore si verifica quando l’indirizzo e-mail di un utente di destinazione non riesce a essere provisionato a causa di un account già esistente. Si consiglia agli amministratori Zoom di contattare direttamente l’utente e invitarlo manualmente all’account.

Non puoi aggiungere utenti a pagamento

Questo errore si verifica quando SCIM tenta di effettuare il provisioning di un utente quando non ci sono licenze sufficienti nell’account. Per risolvere l’errore, l’utente deve essere provisionato come utente Basic, oppure deve essere resa disponibile una licenza per il provisioning.

Uso dei log SCIM per la risoluzione dei problemi di provisioning degli utenti

Zoom fornisce i 100 log di richiesta API più recenti in Zoom Marketplace. Un amministratore Zoom può utilizzare questi log per confermare quali informazioni vengono inviate e ricevute tramite le API di provisioning. Per accedere ai log, accedi a Zoom Marketplace come amministratore Zoom e fai clic su Gestisci. Nella pagina seguente, seleziona Log delle chiamate dell'account sotto Gestione app personali. Da lì, fai clic su una voce per espandere i log API e rivedere il contenuto.

L’immagine seguente mostra un esempio di una richiesta di provisioning utente SCIM, con gli attributi di identità e di licenza dell’utente evidenziati per riferimento.

Come la mappatura delle risposte SAML, Zoom può applicare solo le informazioni inviate dal provider di identità nella richiesta di provisioning. Usa questi log per confermare che gli attributi di identità e di licenza dell’utente vengano inviati dal provider di identità. Se le informazioni previste mancano da queste asserzioni, contatta il tuo provider di identità per assistenza.

Flussi di dati e autenticazione

Autenticazione SAML

Il seguente diagramma illustra nel dettaglio il flusso di autenticazione SAML di un utente quando avvia una sessione Single Sign-On con Zoom.

Token di accesso web SSO

Dopo che un utente si autentica tramite SAML, la sessione dell'utente viene creata all'interno del suo browser e ha

una durata di due ore per impostazione predefinita. Se l'utente continua a usare attivamente la propria pagina web Zoom, la sessione si aggiornerà; tuttavia, se l'utente non usa la propria pagina web per due ore, il token scadrà e l'utente dovrà eseguire nuovamente l'autenticazione. Gli amministratori Zoom possono configurare la durata di questa sessione attiva nella Sicurezza pagina, sotto Gli utenti devono accedere di nuovo dopo un periodo di inattività e Imposta il periodo di inattività sul web (minuti).

Token di accesso del client

Quando un utente tenta di autenticarsi tramite SSO all'interno di un client, il computer dell'utente aprirà un browser e lo reindirizzerà alla pagina di accesso del provider di identità. Dopo che un utente si autentica, il browser dell'utente riceverà un token di avvio del client Zoom. Una volta che l'utente fa clic sul pulsante “apri” o “avvia”, il browser usa lo schema URL combinato con il token di avvio per aprire il client Zoom.

Il client Zoom userà il token di avvio per ottenere il token di accesso e il token di aggiornamento dal server Zoom. Il client userà il token di accesso per un periodo di due ore alla volta e, alla scadenza, userà il token di aggiornamento per ottenere un nuovo insieme di token, che vengono archiviati nel database locale del client. Questo processo di aggiornamento è illimitato per impostazione predefinita e può continuare a ciclare tra i token finché un utente non esegue la disconnessione o i token non scadono. Gli amministratori Zoom possono personalizzare la durata della sessione nella Impostazioni SSO pagina sotto forza disconnessione automatica.