Guida sul campo SSO

Introduzione

L’integrazione del single sign-on (SSO) con Zoom offre agli amministratori opzioni di gestione utenti e sicurezza che possono semplificare la gestione dell’account. Una volta configurato, gli utenti si autenticano utilizzando le credenziali aziendali presso il provider di identità della tua azienda invece di utilizzare metodi di autenticazione alternativi come integrazioni con Google o Facebook, o un nome utente e una password diretti con Zoom.

Questo documento fornisce una panoramica completa delle configurazioni e delle impostazioni SSO all’interno di Zoom, oltre a informazioni su risoluzione dei problemi e sicurezza.

Integrazioni SSO

Per iniziare, l’SSO richiede un Vanity URL

Un account deve avere un Vanity URL approvato prima di configurare l’SSO. Una volta approvato il Vanity URL, gli amministratori Zoom possono accedere alla configurazione SSO pagina tramite il sottomenu opzioni avanzate nel portale web. Consulta il nostro articolo di supporto su Vanity URL per maggiori informazioni.

Zoom SSO funziona con qualsiasi provider di identità SAML 2.0

Zoom può integrarsi con qualsiasi provider di identità che supporti l’autenticazione Security Assertion Markup Language (SAML) 2.0. Sebbene esistano molte guide all’integrazione documentate, alcuni provider di identità non forniscono documentazione per l’integrazione con Zoom. Agli account che non riescono a trovare istruzioni di configurazione si consiglia di rivolgersi al proprio provider di identità per ulteriori informazioni.

Gli amministratori Zoom possono gestire le informazioni del profilo utente e le licenze tramite il mapping della risposta SAML o integrazioni SCIM

Gli amministratori possono gestire le informazioni del profilo utente e le licenze tramite il mapping della risposta SAML o richieste API del System for Cross-Domain Identity Management (SCIM), a seconda delle funzionalità offerte dal provider di identità. Entrambi i metodi di gestione utenti offrono funzionalità quasi equivalenti per il mapping delle informazioni del profilo e la gestione delle licenze, ma alcuni mapping SCIM richiedono configurazione manuale.

Per un elenco completo delle capacità SCIM, consulta la nostra documentazione API SCIM.

Gli amministratori Zoom possono gestire lo stato dell’account utente tramite SCIM, ma non tramite SAML

Poiché SCIM consente ai provider di identità di comunicare direttamente con Zoom in qualsiasi momento, gli account utente possono essere attivati, disattivati, creati, o eliminati tramite integrazioni SCIM in modo automatico. Ad esempio, se l’account di un utente in Active Directory viene disabilitato o se gli viene revocata l’assegnazione dell’applicazione, SCIM può inviare automaticamente una richiesta di disattivazione per l’account dell’utente in Zoom. Questa funzione dipende dalle capacità dell’applicazione SCIM del provider di identità e la funzionalità può variare a seconda del provider.

Pochi provider di identità offrono SCIM per Zoom

Molti provider di identità non dispongono di un’integrazione SCIM progettata per Zoom come parte dei loro servizi. Gli account che utilizzano un provider di identità che non supporta SCIM con Zoom devono utilizzare il mapping della risposta SAML per la gestione utenti automatizzata.

SCIM richiede un dominio associato per il provisioning automatico degli utenti

Gli account che utilizzano SCIM per gestire e fornire utenti per l’SSO devono associare il dominio e-mail con Zoom. La mancata associazione del dominio comporterà errori nel provisioning degli utenti. Consulta il nostro articolo di supporto su Domini associati per maggiori informazioni sul processo.

Le seguenti integrazioni SSO sono documentate

Active Directory in sede può usare l’Applicativo AD Sync invece di SCIM

Gli account che desiderano automatizzare il provisioning utenti tramite SCIM ma non dispongono di un provider di identità basato su cloud possono utilizzare l’applicazione Active Directory (AD) Sync Tool sviluppata da Zoom per gestire i propri utenti. Questa applicazione funziona su Oracle JDK 8 e simula il provisioning SCIM gestendo gli utenti tramite comandi API. Consulta il nostro articolo di supporto su Applicativo AD Sync per maggiori informazioni.

I provider di identità possono persino autenticare i partecipanti a una riunione che non hanno un account Zoom

Gli account che vogliono richiedere agli utenti di autenticare la loro identità ma che non desiderano fornire account Zoom possono configurare un profilo di autenticazione esterno con il proprio provider di identità. Quando abilitata per una riunione, gli utenti che tentano di partecipare devono autenticare le proprie credenziali di accesso presso il provider di identità per ottenere l’accesso. Questa è una configurazione comune per le scuole che non forniscono account a tutti gli studenti ma richiedono l’autenticazione per partecipare alle lezioni. Consulta il nostro articolo di supporto su configurare l’autenticazione esterna per maggiori informazioni.

Cambiare il provider di identità richiede di riconfigurare l’SSO in Zoom

Gli account che cambiano provider di identità devono rifare la configurazione SSO all’interno di Zoom. Ciò include l’aggiornamento di tutti i campi nella pagina di configurazione per corrispondere al nuovo provider di identità. Si consiglia agli account di confermare che i mapping della risposta SAML non cambieranno con il nuovo provider di identità.

Non dovrebbero essere richieste ulteriori configurazioni o modifiche, assumendo che non ci siano cambiamenti aggiuntivi.

I clienti con sottoconti possono configurare l’SSO dall’account principale o dal sottoconto

I clienti con sottoconti hanno due opzioni per la configurazione dell’SSO:

1. Tutti gli utenti si autenticano utilizzando il Vanity URL dell’account principale e vengono automaticamente connessi al sottoconto tramite mapping SAML avanzato (si applicano alcune limitazioni di mapping); oppure

2. Ogni sottoconto ha un Vanity URL unico e una configurazione SSO indipendente, utilizzata esclusivamente dai membri di quel sottoconto

Ogni configurazione offre vantaggi unici, con la seconda opzione che offre la massima flessibilità. I clienti che stanno valutando l’implementazione di una delle due configurazioni dovrebbero discuterne con il team account per determinare quale configurazione sia più adatta alle loro esigenze.

Impostazioni e sicurezza SSO

Gli amministratori Zoom possono scegliere le opzioni di sicurezza e impostazioni ottimali per la loro organizzazione quando configurano un’integrazione SSO con Zoom. Questa sezione spiega queste impostazioni e le loro implicazioni per un’integrazione SSO.

Zoom supporta richieste SAML di accesso e disconnessione firmate

Gli amministratori Zoom che richiedono un’autenticazione aggiuntiva del service provider possono configurare Zoom per firmare tutte le richieste di accesso e disconnessione indirizzate al provider di identità.

Gli account che utilizzano questa impostazione potrebbero richiedere una rotazione del certificato se il loro provider di identità non supporta l’aggiornamento dinamico dei metadata. Consulta il nostro articolo di supporto su rotazione del certificato per maggiori informazioni.

Zoom supporta asserzioni SAML crittografate durante l’autenticazione

Gli amministratori Zoom possono configurare Zoom per supportare asserzioni crittografate durante l’autenticazione. Se questa impostazione è abilitata, le asserzioni non crittografate verranno scartate. Gli account che utilizzano questa impostazione potrebbero richiedere la rotazione del certificato SSO se il loro provider di identità non supporta l’aggiornamento dinamico dei metadata. Consulta il nostro articolo di supporto su rotazione del certificato per maggiori informazioni.

Gli amministratori Zoom possono imporre la disconnessione automatica dopo una durata definita

Gli amministratori Zoom possono configurare Zoom per disconnettere automaticamente gli utenti dalle sessioni attive dopo durate di tempo predefinite, personalizzabili da 15 minuti fino a 180 giorni. Questo processo imposterà il token di accesso Zoom per scadere alla durata predeterminata una volta generato il token. Questo token non ha alcuna relazione con un provider di identità ed è unico per Zoom.

I log delle risposte SAML possono essere salvati per la risoluzione dei problemi

Zoom può salvare i log delle risposte SAML dai tentativi di autenticazione per sette giorni dopo un’autenticazione. Questi log di risposta possono essere uno strumento prezioso per risolvere problemi di configurazione e errori utente, oltre ai mapping delle risposte SAML. Consulta la sezione su risoluzione dei problemi con i log delle risposte SAML per maggiori informazioni.

Il provisioning al momento dell’accesso può creare account istantaneamente ed è l’opzione di provisioning più semplice

Quando l’SSO è impostato per fornire Al momento dell’accesso (noto anche come provisioning just-in-time), qualsiasi utente autorizzato presso il provider di identità può autenticarsi in Zoom. Gli utenti che non hanno un account esistente avranno un account creato immediatamente al momento dell’accesso.

Il provisioning al momento dell’accesso può semplificare il rollout di Zoom in un’azienda consentendo agli utenti di creare i propri account al momento dell’autenticazione invece di richiedere la creazione proattiva degli utenti. In combinazione con il mapping della risposta SAML, un intero profilo utente e le licenze sono pronti in pochi secondi dal primo accesso dell’utente.

Inoltre, il provisioning al momento dell’accesso può creare dinamicamente il tipo di accesso SSO per account preesistenti. Se un utente ha un account Zoom esistente con nome utente e password, un tipo di accesso SSO sarà creato al momento dell’accesso con questa configurazione.

Il provisioning prima dell’accesso richiede account pre-creati con un tipo di accesso SSO

Il provisioning degli utenti per SSO prima dell’accesso richiede che gli utenti che si autenticano abbiano entrambi un account Zoom esistente e che l’account abbia un tipo di accesso SSO creato. Questo tipo di provisioning è spesso abbinato al provisioning SCIM a causa del processo di creazione automatica degli account, ma non è esclusivo a quest’ultimo. Gli utenti Zoom che si consolidano nell’account aziendale tramite domini associati o un invito diretto probabilmente non dispongono del tipo di accesso SSO.

Gli amministratori Zoom possono confermare se a un account è stato assegnato un tipo di accesso SSO visualizzando l’account utente nella Gestione utenti pagina nel portale web e cercando l’icona “SSO” sotto l’e-mail dell’utente.

Se l’icona è presente, l’utente è predisposto per l’SSO; se l’icona è assente, l’utente non potrà accedere tramite SSO mentre il pre-provisioning è abilitato fino a quando non verrà aggiunta. Un amministratore Zoom può aggiungere questo tipo di accesso aggiungendo gli utenti in blocco tramite un file CSV e selezionando l’opzione “Utente SSO” oppure facendo autenticare l’utente mentre l’opzione Provision at Sign-in è abilitata.

Un dominio deve essere associato e gestito per imporre l’autenticazione SSO

Gli amministratori Zoom possono imporre l’autenticazione SSO solo se il dominio e-mail è associato e gestito all’interno di Zoom. Quando questa impostazione è abilitata, tutti gli utenti che si autenticano utilizzando il/i dominio/i della tua azienda verranno automaticamente reindirizzati alla pagina di autenticazione del tuo provider di identità, indipendentemente dalla piattaforma.

Una volta che il dominio è approvato e gestito, un amministratore Zoom può imporre l’autenticazione SSO tramite la pagina di sicurezza sotto Metodi di accesso. Consulta il nostro articolo di supporto su Domini associati per ulteriori informazioni sull’associare e gestire un dominio.

Utenti specificati possono essere esentati dall’imposizione dell’autenticazione SSO

Gli amministratori Zoom possono escludere utenti specifici dall’imposizione dell’autenticazione SSO. Escludere utenti specifici (come un account amministratore) può essere utile se una configurazione SSO si interrompe e un amministratore dell’account necessita di accesso non-SSO all’account Zoom. Gli amministratori esenti possono accedere a admin.zoom.us in qualsiasi momento in caso di blocco dell’account o di configurazione SSO non funzionante (l’utente deve avere il ruolo standard admin ). Se un amministratore Zoom non riesce ad accedere all’account, deve contattare il Supporto Zoom per assistenza.

Per abilitare un’eccezione utente, vai all’account pagina di sicurezza nel portale web sotto opzioni avanzate, individua l’elenco dei domini imposti e aggiungi un’eccezione modificando l’elenco.

I client mobili e desktop possono essere configurati per richiedere agli utenti di utilizzare l’autenticazione SSO

I client Zoom possono essere preconfigurati per automatizzare la funzionalità SSO, inclusi accesso automatico, disconnessione automatica, autenticazione solo SSO sul dispositivo e altro tramite Group Policy, servizi di Mobile Device Management (MDM) e client per distribuzione di massa.

Per un elenco completo delle possibilità di configurazione, consulta le nostre opzioni di configurazione per Group Policy, iOS, Android, Mac e Windows.

Gli utenti Office 365 possono accedere automaticamente al componente aggiuntivo Zoom per Outlook usando le credenziali SSO

I clienti che utilizzano Office 365 possono far accedere automaticamente i propri utenti al componente aggiuntivo Zoom per Outlook utilizzando le credenziali SSO. Questo può essere abbinato a un manifest personalizzato per il componente aggiuntivo che precompila il Vanity URL dell’account, creando un’esperienza di autenticazione senza soluzione di continuità per gli utenti. Questa funzione utilizza il token di sessione SSO dell’utente se è attivo, oppure richiederà una nuova autenticazione con il provider di identità se non viene trovato alcun token di sessione attivo.

Un amministratore Zoom può abilitare questa impostazione nella pagina di sicurezza dell’account sotto il menu avanzato.

Mapping della risposta SAML

Gli attributi SAML sono categorie di dati definite da valori SAML e vengono usati per trasferire informazioni dal provider di identità a un service provider come Zoom. Il mapping di attributi e valori è essenziale per automatizzare le informazioni del profilo utente e la gestione delle licenze.

Il mapping della risposta SAML è suddiviso in due parti: di base e sotto il menu. Il mapping di base viene utilizzato per mappare le informazioni di profilo di base, inclusi nome, numero di telefono, reparto, ecc. Il mapping avanzato viene utilizzato per gestire assegnazioni dinamiche di licenze, assegnare gruppi utenti, ruoli utente e altro.

Questa sezione copre i fondamenti del mapping della risposta SAML, il mapping SAML di base e avanzato e mette in evidenza le condizioni uniche richieste per alcune funzionalità.

Fondamenti: attributi e valori SAML

La maggior parte dei provider di identità trasferisce informazioni di profilo di base utilizzando nomi e valori di attributi semplici. Ad esempio, il reparto di un dipendente può arrivare tramite SAML con un attributo department e un valore Human Resources. La tabella seguente dimostra la relazione tra attributi e valori quando si trasferiscono informazioni su un utente.

Assegnando correttamente un attributo SAML al mapping di risposta, le informazioni utente possono essere applicate automaticamente a un profilo utente per semplificare il processo di creazione e gestione dell’account.

Mapping di base: informazioni del profilo

Il mapping delle informazioni SAML di base viene utilizzato per applicare informazioni di profilo come nome, cognome, reparto, numero di telefono, centro di costo e posizione dal directory al profilo dell’utente. Molte di queste categorie sono autoesplicative e possono essere facilmente configurate; tuttavia, alcune categorie richiedono spiegazioni per una corretta configurazione per evitare conseguenze impreviste o errori di applicazione. La sezione seguente evidenzia opzioni di mapping uniche e impostazioni di configurazione per il mapping di base. Consulta il nostro articolo sul mapping SAML di base per un elenco completo degli attributi supportati.

Il tipo di licenza predefinito si applica solo a utenti completamente nuovi

L’opzione tipo di licenza predefinita applicherà la licenza designata a tutti gli utenti completamente nuovi che vengono forniti nell’account tramite SAML. Questo non si applica agli utenti che si stanno autenticando per la seconda volta, agli utenti che si sono consolidati nell’account da un account precedente, agli utenti forniti tramite SCIM o agli utenti invitati manualmente.

Per informazioni su aggiornare le licenze utente con l’autenticazione, consulta la configurazione delle licenze sotto Mapping SAML avanzato.

Un tipo di licenza predefinito di Nessuna non permetterà ai nuovi utenti di autenticarsi a meno che non sia configurato il mapping avanzato per assegnare una licenza

Gli utenti Zoom devono avere un tipo di licenza assegnato (Basic, Licensed o On-Prem) per accedere al servizio Zoom. Se viene selezionato un tipo di licenza predefinito Nessuna, i nuovi utenti non potranno accedere o creare un nuovo account a meno che non riceveranno una licenza tramite Mapping SAML avanzato.

La maggior parte dei mapping di base si riapplicherà al login, salvo diversa indicazione

La maggior parte dei mapping SAML di base si aggiornerà ogni volta che un utente effettua l’accesso per impostazione predefinita, eccetto per nome, cognome, nome visualizzato e numero di telefono. Per impostazione predefinita, questi quattro mapping verranno applicati solo la prima volta che un utente si autentica e non si riapplicheranno, anche se modificati da un utente o da un amministratore. Gli amministratori Zoom possono modificare questo comportamento abilitando l’opzione Aggiorna a ogni accesso SSO nella pagina di mapping della risposta SAML.

I mapping dei numeri di telefono dovrebbero includere il prefisso internazionale e il prefisso locale se al di fuori degli Stati Uniti

I numeri di telefono mappati tramite SAML dovrebbero includere il prefisso internazionale e il prefisso locale dell’utente nell’asserzione SAML quando possibile. Zoom assumerà un prefisso internazionale +1 se non definito per impostazione predefinita.

Gli account che non mantengono i prefissi internazionali all’interno della loro directory possono modificare le asserzioni SAML presso il provider di identità per includerli automaticamente se necessario.

Ogni utente può avere fino a tre numeri di telefono e un numero di fax mappati al proprio profilo

Gli amministratori Zoom possono configurare fino a tre numeri di telefono separati e una mappatura del numero di fax per ogni utente. Ogni numero di telefono deve essere univoco e non può duplicare il valore di un altro campo.

Le immagini del profilo devono essere mappate da un URL accessibile pubblicamente o codificate in Base64

Gli account che desiderano mappare le immagini del profilo dalla propria directory devono mappare le immagini utilizzando un URL accessibile pubblicamente o codificare l’immagine in Base64 durante l’asserzione.

ID univoco del dipendente

L’ID univoco del dipendente modifica l’identificatore primario che Zoom usa per identificare gli utenti

La ID univoco del dipendente è una funzionalità offerta da Zoom per assistere nella gestione delle identità. Per impostazione predefinita, l’identificazione primaria per un utente Zoom è il suo email indirizzo e-mail. Ciò significa che se il tipo di accesso con e-mail di lavoro è [email protected], allora Zoom identificherà sempre questo utente tramite quell’indirizzo e-mail. Questo identificatore è ciò che permette integrazioni come SSO o account OAuth di Facebook e Google di associare l’utente allo stesso account Zoom.

Tuttavia, questo processo di identificazione può essere problematico se il nome o l’e-mail di un utente cambia. Ad esempio, se [email protected] ha un cambiamento di e-mail a [email protected], Zoom non può determinare in modo sicuro che si tratti della stessa persona (poiché l’identificatore fondamentale è diverso) quindi Zoom creerà un nuovo account la prima volta che [email protected] effettua l’accesso.

Per semplificare questa problematica, Zoom offre la funzionalità Unique Employee ID, che cambia l’identificatore primario di un utente dall’indirizzo e-mail a un ID univoco stabilito. Questo non modifica il nome utente Zoom di un utente, ma offre invece un attributo identificativo alternativo. Questa modifica consente a Zoom di aggiornare dinamicamente l’indirizzo e-mail di un utente in Zoom se:

• un nuovo indirizzo e-mail è accompagnato da un noto Unique Employee ID; e

• il dominio e-mail dell’utente interessato è associato all’interno di Zoom

Ad esempio, se [email protected] si autentica e invia un valore SAML di 12345 (il suo numero dipendente) per l’attributo Employee Unique ID, Zoom identificherà ora l’utente all’interno dell’account tramite il valore asserito. Se John si autentica di nuovo usando l’e-mail [email protected] pur continuando a inviare l’Employee Unique ID 12345, Zoom identificherà che [email protected] è ora [email protected] e aggiornerà dinamicamente l’e-mail dell’utente nell’account se il dominio è associato.

Gli amministratori delle identità dovrebbero essere sicuri che non vi siano due utenti con lo stesso valore Employee Unique ID prima di stabilire il mapping SAML per questa categoria. Se un altro utente si autentica e invia lo stesso valore, l’e-mail verrà aggiornata nuovamente al nuovo utente e ciò può causare interruzioni significative ai servizi e all’esperienza utente.

La funzionalità Employee Unique ID richiede domini associati per cambiare l’e-mail di un utente

La funzionalità Employee Unique ID non può aggiornare l’indirizzo e-mail di un utente a meno che il dominio e-mail non sia ufficialmente associato al profilo del tuo account. Consulta il nostro articolo di supporto su Domini associati per maggiori informazioni.

Gli amministratori e i proprietari non possono aggiornare la loro e-mail tramite l’Employee Unique ID

Le e-mail di amministratori e proprietari in Zoom non possono essere aggiornate tramite la funzionalità Employee Unique ID. Questo è inteso come misura di sicurezza per prevenire accessi non autorizzati. Gli amministratori e i proprietari devono modificare la propria e-mail tramite la pagina del profilo.

Le e-mail degli utenti possono essere aggiornate solo una volta al giorno tramite l’Employee Unique ID

Le e-mail degli utenti possono essere aggiornate solo una volta ogni 24 ore tramite la funzionalità Employee Unique ID. Un utente deve attendere un giorno solare completo dall’aggiornamento precedente prima di aggiornare nuovamente la propria e-mail tramite SSO.

Impostare l’attributo SAML su <NameID> utilizzerà il NameID asserito dell’utente

Mappare l’attributo SAML Employee Unique ID su <NameID> utilizzerà automaticamente il valore NameID asserito dell’utente come identificatore univoco. Questo può essere uno strumento utile se il tuo provider di identità asserisce un NameID diverso dall’e-mail dell’utente, come un User Principal Name (UPN) o un valore simile che non cambia. Non utilizzare questo valore se i NameID degli utenti coincidono con la loro e-mail.

Mapping avanzato: licenze, componenti aggiuntivi e accesso

La sezione SAML Advanced Information Mapping può applicare dinamicamente licenze (incluso Zoom Phone), componenti aggiuntivi e gruppi di accesso utente agli utenti quando si autenticano. A differenza del mapping di base, il mapping avanzato contiene molte sfumature che possono richiedere attenzione diligente durante la configurazione, a seconda della complessità del tuo ambiente. Questa sezione evidenzia le sfumature per la configurazione del mapping SAML avanzato. Consulta il nostro articolo sul Mapping SAML avanzato per un elenco completo degli attributi supportati.

Il mapping avanzato si applica ogni volta che un utente si autentica

A differenza del mapping di base, che ha aggiornamenti opzionali per alcune categorie, le configurazioni di mapping avanzato si applicheranno ogni volta che un utente si autentica, in conformità con l’ordine di applicazione dall’alto verso il basso.

Ad esempio, se un utente ha una licenza basic e poi si autentica tramite SSO inviando un attributo e valore SAML mappati per concedere una licenza completa, l’utente riceverà immediatamente la licenza completa. Se il profilo dell’utente viene poi modificato nel provider di identità per riportarlo a una licenza basic, gli verrà riassegnata la licenza basic al successivo riaccesso a Zoom.

Il mapping avanzato consente più attributi e valori SAML per categoria

A differenza del mapping di base, che consente un solo attributo SAML per categoria, il mapping avanzato può supportare più attributi e valori per ogni categoria. Ciò consente una notevole flessibilità nella gestione delle licenze utente e dell’accesso tramite gruppi di sicurezza nel tuo provider di identità come illustrato nella seguente configurazione.

Il mapping avanzato applica le licenze dall’alto verso il basso quando vengono asseriti più attributi

Se un utente invia più attributi o valori SAML configurati per il mapping SAML avanzato, Zoom mapperà le licenze dall’alto verso il basso. Vedi il seguente esempio:

Secondo la configurazione sopra, se un utente trasmettesse un attributo sia per global_users e marketing, poiché marketing è il più alto nella configurazione, questo attributo verrà applicato all’utente e gli attributi rimanenti applicabili verranno ignorati.

In alternativa, se la configurazione fosse impostata con global_users come il più alto, come mostrato nello screenshot seguente, se l’asserzione di un utente contenesse global_users, marketing, human resources, e IT, poiché global_users fosse la priorità più alta, verrebbe asserita solo una licenza basic.

Gli amministratori Zoom possono regolare l’ordine di applicazione durante la modifica dei valori di mapping utilizzando le frecce ↑↓ nell’editor.

I mapping per Webinar e Large Meeting possono condividere un valore comune per applicare entrambi i componenti aggiuntivi

Per semplificare il processo di applicazione, gli amministratori Zoom possono configurare lo stesso attributo e valore SAML due volte per applicare sia i componenti aggiuntivi webinar che large meeting agli utenti, come mostrato nell’immagine seguente con il global_users valore. Questi componenti aggiuntivi possono anche essere configurati in modo indipendente se desiderato, come mostrato con i valori webinar_only e large_meeting_only .

Gli utenti possono essere aggiunti a più gruppi utente usando un valore SAML

Gli amministratori Zoom possono configurare il mapping dei gruppi utente per aggiungere un utente a più gruppi con un unico valore SAML.

Il primo gruppo utente aggiunto sarà impostato come Gruppo Primario dell’utente e determinerà le impostazioni predefinite dell’utente a meno che un gruppo sottostante non abbia un’impostazione bloccata. Per ulteriori informazioni sui Gruppi utente consulta il nostro articolo di supporto.

Utenti e gruppi utente specificati possono essere esentati da mapping SAML specifici

Ogni opzione sotto Mapping SAML avanzato può essere configurata per esentare utenti specifici e Gruppi utente dal comportamento di mapping. Ciò può essere utile per evitare che utenti VIP subiscano interruzioni del servizio a causa di un potenziale cambio di licenza.

L’Auto Mapping assegna automaticamente gli utenti a un gruppo Utente, Canale o IM con il nome del valore SAML asserito se il valore non è precedentemente mappato a un gruppo

L’Auto Mapping può essere usato per assegnare automaticamente gli utenti a un Gruppo Utente, a un Canale e a un Gruppo IM con il nome del valore SAML asserito. A differenza di altri componenti del mapping avanzato, che possono essere configurati per assegnare un utente a qualsiasi gruppo in base al valore SAML, l’Auto Mapping assegna sempre un utente a un gruppo basato sul valore SAML esatto. Se il gruppo non esisteva precedentemente, verrà creato automaticamente.

Ad esempio, se Auto Mapping è impostato per mappare un utente nei gruppi in base al loro reparto, se il valore del reparto non è già definito per il Gruppo utente, Canale o Gruppo IM, gli utenti verranno automaticamente assegnati a un gruppo che corrisponde al nome del loro reparto, come mostrato nella tabella seguente:

Zoom supporta fino a cinque attributi SAML personalizzati

Gli amministratori Zoom possono configurare fino a cinque attributi SAML personalizzati per aggiungere dati utente al profilo Zoom nella pagina gestione utenti avanzata . Dopo aver aggiunto i campi personalizzati, gli amministratori Zoom possono configurare il mapping nella Mapping della risposta SAML pagina.

Mappare gli utenti a un sottoconto solo applicherà una licenza per le riunioni e componenti aggiuntivi

Mappare un utente a un sottoconto applicherà solo la licenza per le riunioni dell’utente e componenti aggiuntivi come Webinar e Large Meetings al sottoconto. Gruppi utente, Gruppi IM, Ruoli utente, ecc., non verranno applicati e devono essere configurati all’interno del sottoconto.

I clienti che richiedono maggiore flessibilità per il mapping della risposta SAML con sottoconti richiederanno un Vanity URL unico e una nuova configurazione SSO all’interno del sottoconto.

Risoluzione dei problemi SSO

Utilizzo dei Log delle risposte SAML per la risoluzione dei problemi

I log delle risposte SAML salvati possono essere uno strumento prezioso per la risoluzione dei problemi di configurazione e degli errori utente, oltre che per le configurazioni del mapping della risposta SAML. Se la tua configurazione SSO è impostata per salvare i log delle risposte SAML, possono essere accessibili tramite il Log delle risposte SAML scheda disponibile nella pagina di configurazione SSO nelle Impostazioni avanzate. Per visualizzare i log delle risposte SAML, fai clic su Visualizza dettagli accanto a un tentativo di autenticazione.

La maggior parte delle autenticazioni verrà visualizzata nei log di risposta

La maggior parte dei tentativi di autenticazione non riusciti o falliti verrà visualizzata nella pagina dei log di risposta. Se un tentativo di autenticazione non viene visualizzato, molto probabilmente Zoom non ha ricevuto un’asserzione SAML dal tuo provider di identità o il salvataggio dei log delle risposte SAML è disabilitato.

I log di risposta possono indicare se la tua configurazione è errata o se il certificato è scaduto

Quando i log delle risposte SAML sono abilitati, le informazioni del provider di identità vengono asserite a Zoom per autenticare le identità di ciascuna parte. Se un’impostazione o una stringa di informazioni asserite, come il certificato X509 o l’ID dell’emittente, è diversa dalla configurazione corrente di Zoom, apparirà un errore che indica che le informazioni “non corrispondono alle impostazioni SSO correnti.” Un amministratore Zoom può aggiornare la configurazione SSO per far corrispondere questi valori asseriti se corretti per risolvere l’errore.

I log di risposta indicano quali valori e attributi SAML vengono asseriti

La revisione dei log di risposta può aiutare a risolvere le configurazioni del mapping della risposta SAML verificando quali attributi e valori vengono asseriti dagli utenti durante l’autenticazione. Questi possono essere confrontati con la configurazione per assicurarsi che gli attributi e i valori corrispondano.

Se gli attributi o i valori SAML sono mancanti, le informazioni non vengono asserite dal servizio del provider di identità. Gli utenti che riscontrano questo problema sono invitati a contattare il supporto del loro provider di identità per ulteriore assistenza.

I Log di risposta includono un codice di errore e una breve spiegazione, se non riuscito

Se un utente non riesce ad autenticarsi o riceve un errore, i log delle risposte SAML contengono un codice di errore e una breve spiegazione dell’errore.

La maggior parte dei problemi può essere identificata e risolta utilizzando questi messaggi di errore. Se non riesci a risolvere l’errore, contatta il Supporto Zoom per assistenza aggiuntiva.

Errori WEB Tracking ID

Se un utente non riesce nell’autenticazione SSO, riceverà un codice di errore WEB Tracking ID. Questi codici non sono un messaggio di errore relativo a un fallimento specifico, ma sono invece un ID di log univoco che può essere esaminato nel mapping delle risposte SAML per identificare i problemi di autenticazione.

Per identificare l’errore, se il logging delle risposte SAML è abilitato, vai alla Log delle risposte SAML scheda disponibile nella pagina di configurazione SSO nelle Impostazioni avanzate. Da lì, inserisci il Tracking ID WEB nel campo Tracking ID e cerca per popolare il log di risposta

I log delle risposte SAML dovrebbero mostrare l’asserzione SAML e un codice di errore e un messaggio nella parte inferiore della risposta che possono essere usati per ulteriori operazioni di troubleshooting.

Errori SCIM

Utente non esistente o non appartenente a questo account

Questo errore si verifica quando l’indirizzo e-mail dell’utente target non riesce a essere fornito a causa di un account già esistente. Si consiglia agli amministratori Zoom di contattare direttamente l’utente e invitarlo manualmente all’account.

Non puoi aggiungere utenti a pagamento

Questo errore si verifica quando SCIM tenta di fornire un utente quando non ci sono licenze sufficienti nell’account. Per risolvere l’errore, l’utente deve essere fornito come utente basic o deve essere resa disponibile una licenza per il provisioning.

Utilizzo dei log SCIM per risolvere i problemi di provisioning utenti

Zoom fornisce gli ultimi 100 log delle richieste API nel Zoom Marketplace. Un amministratore Zoom può utilizzare questi log per confermare quali informazioni vengono inviate e ricevute tramite le API di provisioning. Per accedere ai log, accedi al Zoom Marketplace come amministratore Zoom e fai clic su Gestisci. Nella pagina successiva, seleziona Log chiamate sotto Gestione app personali. Da lì, fai clic su una voce per espandere i log API e rivederne il contenuto.

L’immagine seguente mostra un esempio di richiesta di provisioning utente SCIM, con gli attributi di identità e licenza dell’utente evidenziati come riferimento.

Come per il mapping della risposta SAML, Zoom può applicare solo le informazioni che vengono inviate dal provider di identità nella richiesta di provisioning. Usa questi log per confermare che gli attributi di identità e di licenza dell’utente vengono inviati dal provider di identità. Se le informazioni previste mancano da queste asserzioni, contatta il tuo provider di identità per supporto.

Flussi di dati e autenticazione

Autenticazione SAML

Il diagramma seguente illustra il flusso di autenticazione SAML di un utente quando avvia una sessione single sign-on con Zoom.

Token di accesso web SSO

Dopo che un utente si autentica tramite SAML, la sessione dell’utente viene costruita all’interno del browser e ha

una durata di due ore per impostazione predefinita. Se l’utente continua a utilizzare attivamente la pagina web di Zoom, la sessione si aggiornerà; tuttavia, se l’utente non utilizza la pagina web per due ore, il token scadrà e l’utente dovrà riautenticarsi. Gli amministratori Zoom possono configurare questa durata della sessione attiva nella Sicurezza pagina sotto Gli utenti devono effettuare nuovamente l'accesso dopo un periodo di inattività e Imposta il periodo di inattività sul web (minuti).

Token di accesso client

Quando un utente tenta di autenticarsi tramite SSO all’interno di un client, la macchina dell’utente aprirà un browser web e lo reindirizzerà alla pagina di accesso del provider di identità. Dopo l’autenticazione, il browser dell’utente riceverà un token di avvio client Zoom. Una volta che l’utente clicca sul pulsante “apri” o “avvia”, il browser utilizza lo schema URL combinato con il token di avvio per aprire il client Zoom.

Il client Zoom userà il token di avvio per ottenere il token di accesso e il token di aggiornamento dal server Zoom. Il client utilizzerà il token di accesso per una durata di due ore alla volta e, alla scadenza, utilizzerà il token di aggiornamento per ottenere un nuovo set di token, che vengono memorizzati nel database locale del client. Questo processo di aggiornamento è illimitato per impostazione predefinita e può ciclicamente rinnovare i token finché l’utente non effettua il logout o i token non scadono. Gli amministratori Zoom possono personalizzare la durata della sessione nelle impostazioni SSO pagina sotto imporre la disconnessione automatica.