SSO-veldgids

Inleiding

Het integreren van Single Sign-On (SSO) met Zoom biedt beheerders Gebruikersbeheer- en beveiligingsopties die accountbeheer kunnen vereenvoudigen. Eenmaal geconfigureerd, authenticeren gebruikers met hun bedrijfsreferenties bij de identiteitsprovider van uw bedrijf in plaats van alternatieve authenticatiemethoden te gebruiken, zoals integraties met Google of Facebook, of een directe Gebruikersnaam en wachtwoord met Zoom.

Dit document biedt een uitgebreid overzicht van SSO-configuraties en Instellingen binnen Zoom, naast informatie over probleemoplossing en beveiliging.

SSO-integraties

SSO vereist een vanity-URL om te beginnen

Een account moet een goedgekeurde vanity-URL hebben voordat SSO wordt geconfigureerd. Zodra de vanity-URL is goedgekeurd, kunnen Zoom-beheerders toegang krijgen tot de SSO-configuratie blader door het submenu Geavanceerde opties op het webportaal. Raadpleeg ons ondersteuningsartikel over Vanity-URL's voor meer informatie.

Zoom SSO werkt met elke SAML 2.0-identiteitsprovider

Zoom kan Integratie(s) met elke Identity Provider die ondersteuning biedt voor Security Assertion Markup Language (SAML) 2.0 authenticatie. Hoewel er veel gedocumenteerde Integratie(s)-handleidingen zijn, bieden sommige identity providers geen documentatie voor het integreren met Zoom. Accounts die geen configuratie-instructies kunnen vinden, wordt aangeraden contact op te nemen met hun identity provider voor meer informatie.

Zoom-beheerders kunnen gebruikersprofielinformatie en licenties beheren via SAML-responskoppeling of SCIM-integraties

Beheerders kunnen gebruikersprofielinformatie en licentiëring beheren via SAML-antwoordtoewijzing of verzoeken aan de System for Cross-Domain Identity Management (SCIM) applicatie Programming Interface (API), afhankelijk van de Beschikbare functies van de identiteitsprovider. Beide methoden voor Gebruikersbeheer bieden vrijwel dezelfde functionaliteit voor het toewijzen van profielinformatie en het beheren van licenties, maar sommige SCIM-toewijzingen vereisen handmatige configuratie.

Voor een uitgebreide lijst van SCIM-mogelijkheden, raadpleeg onze SCIM API-documentatie.

Zoom-beheerders kunnen de status van het account van de gebruiker beheren via SCIM, maar niet via SAML

Omdat SCIM identiteitsproviders in staat stelt om op elk moment rechtstreeks met Zoom te communiceren, kunnen gebruikersaccounts worden geactiveerd, gedeactiveerd, gemaakt, of verwijderd via SCIM-integraties automatisch. Als bijvoorbeeld een account van een gebruiker in Active Directory is uitgeschakeld, of als zij niet zijn toegewezen aan de applicatie, kan SCIM een automatisch deactiveringsverzoek verzenden voor het account van de gebruiker binnen Zoom. Deze Functie(s) is afhankelijk van de mogelijkheden van de SCIM-applicatie van de identiteitsprovider en de functionaliteit kan per provider verschillen.

Beperkte identiteitsproviders bieden SCIM voor Zoom

Veel identiteitsproviders hebben geen SCIM Integratie(s) die als onderdeel van hun diensten voor Zoom is gebouwd. Accounts die een identiteitsprovider gebruiken die SCIM met Zoom niet ondersteunt, moeten SAML-antwoordtoewijzing gebruiken voor geautomatiseerd gebruikersbeheer.

SCIM vereist een gekoppeld domein om gebruikers automatisch te provisioneren

Accounts die SCIM gebruiken om gebruikers te beheren en te provisioneren voor SSO moet koppel het E-maildomein aan Zoom. Als het domein niet wordt gekoppeld, leidt dit tot fouten bij het toewijzen van gebruikers. Raadpleeg ons ondersteuningsartikel over Gekoppelde domeinen voor meer informatie over het proces.

De volgende SSO-integraties zijn gedocumenteerd

On-premises Active Directory kan de AD Sync-tool gebruiken in plaats van SCIM

Accounts that want to automate gebruiker provisioning through SCIM but do not have a Cloud-based identity provider can use the Active Directory (AD) Sync Tool applicatie developed by Zoom for managing their gebruikers. Deze applicatie draait op Oracle JDK 8 en simuleert SCIM-provisioning door gebruikers te beheren via API-commando's. Bekijk ons ondersteuning artikel over de AD Sync-tool voor meer informatie.

Identiteitsproviders kunnen zelfs deelnemers van de vergadering authenticeren die geen Zoom-account hebben

Accounts die van gebruikers vereisen dat zij hun identiteit authenticeren, maar geen Zoom-accounts willen bieden, kunnen een extern authenticatieprofiel configureren bij hun identiteitsprovider. Wanneer dit is ingeschakeld voor een vergadering, moeten gebruikers die proberen deel te nemen hun inloggegevens authenticeren bij uw identiteitsprovider om toegang te krijgen. Dit is een veelvoorkomende configuratie voor scholen die niet alle studenten accounts bieden, maar authenticatie vereisen om lessen te Deelnemen. Raadpleeg ons ondersteuningsartikel over externe authenticatie configureren voor meer informatie.

Het wijzigen van de identiteitsprovider vereist dat SSO binnen Zoom opnieuw wordt geconfigureerd

Accounts die van identiteitsprovider Wijzigen, moeten hun SSO-configuratie binnen Zoom opnieuw uitvoeren. Dit omvat het bijwerken van alle velden op de configuratiepagina zodat ze overeenkomen met hun nieuwe identiteitsprovider. Accounts wordt aangeraden te bevestigen dat SAML-responsmappings niet zullen wijzigen met de nieuwe identiteitsprovider.

Er zouden geen aanvullende configuraties of wijzigingen vereist moeten zijn, ervan uitgaande dat er geen verdere wijzigingen zijn.

Klanten met subaccounts kunnen SSO configureren vanuit het hoofdaccount of subaccount

Klanten met subaccounts hebben twee opties voor het configureren van SSO:

1. Alle gebruikers authenticeren met behulp van de vanity-URL van het hoofdaccount en worden automatisch ingelogd op het subaccount via geavanceerde SAML-mapping (er zijn enkele beperkingen voor mapping); of

2. Elk subaccount heeft een unieke vanity-URL en een onafhankelijke SSO-configuratie, die uitsluitend wordt gebruikt door leden van dat subaccount

Elke configuratie biedt unieke voordelen, waarbij de tweede optie de meeste flexibiliteit biedt. Klanten die overwegen een van beide configuraties te implementeren, moeten met hun accountteam bespreken welke configuratie het beste bij hun behoeften past.

SSO Instellingen & Beveiliging

Zoom-beheerders kunnen de optimale beveiligings- en Instellingen-opties voor hun Organisatie Kies bij het configureren van een SSO Integratie(s) met Zoom. In dit gedeelte worden deze Instellingen en de gevolgen ervan voor een SSO Integratie(s) toegelicht.

Zoom ondersteunt ondertekende SAML-verzoeken voor inloggen en uitloggen

Zoom-beheerders die extra serviceprovider authenticatie nodig hebben, kunnen Zoom Configureer om alle inlog- en uitlogverzoeken naar de identiteitsprovider te ondertekenen.

Accounts die deze Instellingen gebruiken, hebben mogelijk een certificaatrotatie nodig als hun identiteitsprovider geen ondersteuning biedt voor dynamische metadatavernieuwing. Zie ons ondersteuningsartikel over certificaatrotatie voor meer informatie.

Zoom ondersteunt versleutelde SAML-asserties tijdens authenticatie

Zoom-beheerders kunnen Zoom Configureer om versleutelde asserties te ondersteunen tijdens authenticatie. Als deze Instellingen zijn ingeschakeld, worden niet-versleutelde asserties genegeerd. Accounts die deze Instellingen gebruiken, hebben mogelijk SSO-certificaatrotatie nodig als hun identiteitsprovider geen ondersteuning biedt voor dynamische metadatavernieuwing. Zie ons ondersteuningsartikel over certificaatrotatie voor meer informatie.

Zoom-beheerders kunnen automatische uitlog afdwingen na een gedefinieerde tijdsduur

Zoom-beheerders kunnen Zoom Configureer om gebruikers automatisch uit actieve sessies af te melden na gedefinieerde tijdsduur, aanpasbaar van 15 minuten tot 180 dagen. Dit proces stelt de Zoom Access token in om te verlopen na de vooraf bepaalde duur zodra de token is gegenereerd. Deze token heeft geen relatie met een identiteitsprovider en is uniek voor Zoom.

SAML-reactielogboeken kunnen worden opgeslagen voor probleemoplossing

Zoom kan SAML-responslogs van authenticatiepogingen gedurende zeven dagen na een authenticatie opslaan. Deze responslogs kunnen een onschatbaar hulpmiddel zijn bij het oplossen van configuratie- en gebruikersfouten, naast SAML-responsmapperingsconfiguraties. Bekijk de sectie over problemen oplossen met SAML-responslogs voor meer informatie.

Provisioning bij aanmelden kan accounts direct aanmaken en is de eenvoudigste provisioningoptie

Wanneer SSO is ingesteld op provisionen Bij aanmelden (ook wel just-in-time provisioning genoemd), kan elke geautoriseerde gebruiker binnen de identiteitsprovider authenticeren in Zoom. Gebruikers die nog geen bestaand account hebben, krijgen er direct bij aanmelden een aangemaakt.

Provisioning bij aanmelden kan Zoom-uitrol naar een bedrijf vereenvoudigen door gebruikers in staat te stellen hun account aan te maken op het moment van authenticatie in plaats van proactieve gebruikercreatie te vereisen. In combinatie met SAML-responsmapping is een volledig gebruikersprofiel en licentietoewijzing binnen enkele seconden na de eerste authenticatie van een gebruiker gereed.

Daarnaast kan provisioning bij aanmelden dynamisch het SSO-inlogtype aanmaken voor reeds bestaande accounts. Als een gebruiker een bestaand Zoom-account heeft met een Gebruikersnaam en wachtwoord, wordt bij aanmelden een SSO-inlogtype met deze configuratie aangemaakt.

Provisioning vóór aanmelden vereist vooraf aangemaakte accounts met een SSO-inlogtype

Gebruikers provisioneren voor SSO vóór aanmelden vereist dat gebruikers die zich authenticeren een beide een bestaand Zoom-account hebben en dat het account een aangemaakt SSO-inlogtype heeft. Dit type provisionering wordt vaak gecombineerd met SCIM-provisionering vanwege het geautomatiseerde aanmaakproces van account, maar is daar niet exclusief voor. Zoom-gebruikers die Consolideren in het bedrijfsaccount via Gekoppelde domeinen of een directe Uitnodigen, hebben waarschijnlijk niet het SSO-inlogtype.

Zoom-beheerders kunnen bevestigen of een account een SSO-inlogtype heeft door het gebruikersaccount op de Gebruikersbeheer pagina in de webportal te bekijken en te zoeken naar het pictogram “SSO” onder de E-mail van de gebruiker.

Als het pictogram aanwezig is, is de gebruiker geprovisioneerd voor SSO; als het pictogram ontbreekt, kan de gebruiker niet aanmelden via SSO terwijl vooraf provisioneren is ingeschakeld totdat het is toegevoegd. Een Zoom-beheerder kan dit inlogtype Toevoegen door gebruikers in bulk toe te voegen via een CSV-bestand en de optie “SSO-gebruiker” te selecteren, of door de gebruiker te laten authenticeren terwijl Provisioneren bij aanmelden is ingeschakeld.

Een domein moet worden gekoppeld en beheerd om SSO-authenticatie af te dwingen

Zoom-beheerders kunnen SSO-authenticatie afdwingen alleen als het E-mail-domein binnen Zoom is gekoppeld en beheerd. Wanneer dit is ingeschakeld, worden alle gebruikers die zich authenticeren met uw bedrijfsdomein(en) automatisch doorgestuurd naar de authenticatiepagina van uw identiteitsprovider, ongeacht het Platform.

Zodra het domein is goedgekeurd en beheerd, kan een Zoom-beheerder SSO-authenticatie afdwingen via de beveiligingspagina onder Aanmeldingsmethoden. Raadpleeg ons ondersteuningsartikel over Gekoppelde domeinen voor meer informatie over het koppelen en beheren van een domein.

Opgegeven gebruikers kunnen worden vrijgesteld van afgedwongen SSO-authenticatie

Zoom-beheerders kunnen specifieke gebruikers uitsluiten van afgedwongen SSO authenticatie. Het uitsluiten van specifieke gebruikers (zoals een beheerder account) kan handig zijn als een SSO-configuratie niet werkt en een accountbeheerder niet-SSO-toegang nodig heeft tot de Zoom-account. Beheerders die zijn vrijgesteld, kunnen op elk moment inloggen op admin.zoom.us in het geval van een accountvergrendeling of een niet-werkende SSO-configuratie (gebruiker moet de Standaard beheerder Rol). Als een Zoom-beheerder geen toegang heeft tot het account, moeten zij contactpersoon opnemen met Zoom-ondersteuning voor सहायता.

Om een gebruikersuitzondering in te schakelen, navigeer naar het account beveiligingspagina op het webportaal onder geavanceerde opties, zoek de lijst met afgedwongen domeinen op en Toevoegen een uitzondering via de bewerkingslijst.

Mobiele en desktopclients kunnen zo worden geconfigureerd dat gebruikers SSO-authenticatie moeten gebruiken

Zoom-clients kunnen vooraf worden geconfigureerd om SSO-functionaliteit te automatiseren, waaronder automatisch inloggen, automatisch uitloggen, SSO-only authenticatie op het Apparaat en meer via Groepsbeleid, services voor mobiel apparaatbeheer (MDM) en clients voor massale implementatie.

Voor een volledige lijst met configuratiemogelijkheden, raadpleeg onze configuratieopties voor Groepsbeleid, iOS, Android, Mac en Windows.

Office 365-gebruikers kunnen zich automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties

Klanten die Office 365 gebruiken, kunnen hun gebruikers automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties. Dit kan worden gecombineerd met een aangepast invoegtoepassingsmanifest dat de vanity-URL van het account vooraf invult, waardoor een naadloze authenticatie-ervaring voor gebruikers ontstaat. Deze Functie(s) gebruikt het SSO-sessie-token van de gebruiker als dit actief is, of vraagt om een nieuwe authenticatie bij uw identiteitsprovider als er geen actieve sessie wordt gevonden.

Een Zoom-beheerder kan deze instelling inschakelen op de pagina beveiligingspagina onder de geavanceerd menu.

SAML-responstoewijzing

SAML-attributen zijn gegevenscategorieën die door SAML-waarden worden gedefinieerd en worden gebruikt om informatie door te geven van de identiteitsprovider aan een serviceprovider zoals Zoom. Het toewijzen van attributen en waarden is essentieel voor het automatiseren van gebruikersprofielinformatie en het beheren van gebruikerslicenties.

SAML-responstoewijzing is onderverdeeld in twee helften: Basis en geavanceerd. Basistoewijzing wordt gebruikt om Basis-profielinformatie toe te wijzen, waaronder naam, telefoonnummer, afdeling, enz. Geavanceerde toewijzing wordt gebruikt om dynamische licentietoewijzingen te beheren, gebruikersgroepen, gebruikersrollen en meer toe te wijzen.

Deze sectie behandelt de grondbeginselen van SAML-responstoewijzing, Basis- en geavanceerde SAML-responstoewijzing, en belicht unieke voorwaarden die voor sommige Functie(s) vereist zijn.

Grondbeginselen: SAML-attributen en -waarden

De meeste identiteitsproviders geven Basis-profielinformatie door met gewone attribuutnamen en waarden. Zo kan de afdeling van een werknemer via SAML binnenkomen met een attribuut department en een waarde Human Resources. De volgende tabel toont de relatie tussen attributen en waarden bij het doorgeven van informatie over een gebruiker.

Door een SAML-attribuut correct toe te wijzen aan een responstoewijzing, kan gebruikersinformatie automatisch worden toegepast op een gebruikersprofiel om het proces voor het maken en beheren van een account te vereenvoudigen.

Basis-toewijzing: Profielinformatie

SAML-toewijzing van Basis-informatie wordt gebruikt om profielinformatie zoals voornaam, achternaam, afdeling, telefoonnummer, kostenplaats en Locatie vanuit een directory toe te passen op het profiel van een gebruiker. Veel van deze categorieën spreken voor zich en kunnen eenvoudig worden geconfigureerd; sommige categorieën vereisen echter uitleg voor een juiste configuratie om onverwachte gevolgen of fouten in de applicatie te Voorkomen. De volgende sectie belicht unieke toewijzingsopties en configuratie-Instellingen voor Basistoewijzing. Raadpleeg ons artikel over Basis-SAML-toewijzing voor een volledige lijst met ondersteunde attributen.

Standaard licentietype is alleen van toepassing op volledig nieuwe gebruikers

De optie voor het Standaard licentietype past de aangewezen licentie toe op alle volledig nieuwe gebruikers die binnen het account via SAML worden ingericht. Dit is niet van toepassing op gebruikers die zich voor een tweede keer authenticeren, gebruikers die vanuit een eerder account in het account zijn samengevoegd, gebruikers die via SCIM worden ingericht, of gebruikers die handmatig zijn uitgenodigd.

Voor informatie over bijwerken van gebruikerslicenties met authenticatie, raadpleegt u de licentieconfiguratie onder Geavanceerde SAML-toewijzing.

Een Standaard licentietype van Geen staat nieuwe gebruikers niet toe om te authenticeren tenzij geavanceerde toewijzing is geconfigureerd om een licentie te Toewijzen

Zoom-gebruikers moeten een toegewezen licentietype hebben (Basis, Met licentie of lokaal) om in te loggen bij de Zoom-service. Als een Standaard licentietype van Geen is geselecteerd, kunnen nieuwe gebruikers zich niet aanmelden of een nieuw account maken, tenzij zij een licentie ontvangen via Geavanceerde SAML-toewijzing.

De meeste basistoewijzingen worden opnieuw toegepast bij het inloggen, tenzij anders aangegeven

De meeste Basis-SAML-toewijzingen worden standaard bijgewerkt telkens wanneer een gebruiker zich aanmeldt, behalve voor voornaam, achternaam, weergavenaam en telefoonnummer. Standaard worden deze vier toewijzingen alleen toegepast de eerste keer dat een gebruiker zich authenticeert en worden ze niet opnieuw toegepast, zelfs niet als ze zijn bijgewerkt door een gebruiker of beheerder. Zoom-beheerders kunnen dit gedrag Wijzigen door de optie in te schakelen voor Bijwerken bij elke SSO-login op de SAML-respons-toewijzingspagina.

Telefoonnummertoewijzingen moeten een landcode en netnummer bevatten als ze buiten de Verenigde Staten zijn

Telefoonnummers die via SAML worden toegewezen, moeten indien mogelijk de landcode en het netnummer van de gebruiker bevatten in de SAML-assertie. Zoom gaat standaard uit van een landcode van +1 als deze niet is gedefinieerd.

Accounts die landcodes niet behouden binnen hun directory kunnen hun SAML-asserties in hun identiteitsprovider bewerken om deze indien nodig automatisch op te nemen.

Elke gebruiker kan maximaal drie Telefoonnummers en één faxnummer hebben dat aan hun profiel is toegewezen

Zoom-beheerders kunnen voor elke gebruiker maximaal drie afzonderlijke Telefoonnummers en één faxnummertoewijzing Configureer. Elk telefoonnummer moet uniek zijn en mag niet de waarde van een ander veld dupliceren.

Profielfoto's moeten worden toegewezen vanuit een openbaar toegankelijk URL of gecodeerd met Base64

Accounts die profielfoto's vanuit hun directory willen toewijzen, moeten de afbeeldingen toewijzen met behulp van een openbaar toegankelijk URL of de afbeelding coderen in Base64 bij het bevestigen.

Unieke ID van werknemer

De Unieke ID van werknemer wijzigt de primaire Identificatie die Zoom gebruikt om gebruikers te identificeren

De Unieke ID van werknemer is een Functie(s) die Zoom biedt om te helpen met identiteitsbeheer. Standaard is de primaire Identificatie voor een Zoom-gebruiker hun E-mail adres. Dit betekent dat als het inlogtype voor E-mail werk is [email protected], dan zal Zoom deze gebruiker altijd identificeren aan de hand van dat e-mailadres. Deze Identificatie is wat integraties zoals SSO- of Facebook- en Google OAuth-accounts in staat stelt de gebruiker te koppelen aan hetzelfde Zoom-account.

Deze identificatieprocedure kan echter problematisch zijn als de naam of E-mail van een gebruiker verandert. Bijvoorbeeld, als [email protected] heeft een E-mail Wijzigen naar [email protected], kan Zoom niet veilig vaststellen dat dit dezelfde persoon is (omdat de fundamentele Identificatie anders is), dus zal Zoom de eerste keer een nieuw account aanmaken [email protected] inlogt.

Om dit probleem te vereenvoudigen, biedt Zoom de Functie(s) Unieke Werknemer-ID, die de primaire Identificatie van een gebruiker wijzigt van diens E-mailadres naar een gevestigde unieke ID. Dit wijzigt de Zoom Gebruikersnaam van een gebruiker niet, maar biedt in plaats daarvan een alternatief identificerend kenmerk. Deze Wijzigen stelt Zoom in staat om het E-mailadres van een gebruiker binnen Zoom dynamisch bij te werken als:

• een nieuw E-mailadres wordt vergezeld door een bekende Unieke Werknemer-ID; en

• het E-maildomein van de getroffen gebruiker is gekoppeld binnen Zoom

Bijvoorbeeld, als [email protected] authenticeert en geeft een SAML-waarde van 12345 (hun werknemersnummer) door voor het attribuut Unieke werknemer-ID, zal Zoom de gebruiker nu binnen het account identificeren aan de hand van de bevestigde waarde. Als John zich opnieuw authenticeert met de E-mail [email protected] terwijl nog steeds de unieke werknemer-ID van 12345 wordt doorgegeven, zal Zoom identificeren dat [email protected] nu [email protected] en zal de E-mail van de gebruiker binnen het account dynamisch bijwerken als het domein is gekoppeld.

Identiteitsbeheerders moeten positief dat geen twee gebruikers overlappen met dezelfde waarde voor de Unieke werknemer-ID voordat SAML-mapping voor deze categorie wordt ingesteld. Als een andere gebruiker zich authenticeert en dezelfde waarde doorgeeft, wordt de E-mail opnieuw bijgewerkt naar de nieuwe gebruiker en kan dit aanzienlijke verstoring veroorzaken voor de services en ervaring van de gebruiker.

De werknemer Unique ID Functie(s) vereist Gekoppelde domeinen om de E-mail van een gebruiker te Wijzigen

De Functie(s) voor de unieke ID van de werknemer kan het E-mailadres van een gebruiker niet bijwerken, tenzij het e-maildomein officieel aan uw accountprofiel is gekoppeld. Raadpleeg ons ondersteuningsartikel over Gekoppelde domeinen voor meer informatie.

Beheerders en eigenaars kunnen hun E-mail niet bijwerken via de werknemer-unieke-ID

E-mails van beheerder en Eigenaar binnen Zoom kunnen niet worden bijgewerkt via de Functie(s) voor de unieke werknemer-ID. Dit is bedoeld als beveiligingsmaatregel om ongeautoriseerde toegang te Voorkomen. Beheerders en Eigenaren moeten hun E-mail wijzigen via hun profielpagina.

Gebruikers-e-mails kunnen slechts eenmaal per dag worden bijgewerkt via de unieke ID van de werknemer

E-mailadressen van gebruikers kunnen slechts eens per 24 uur worden bijgewerkt via de Functie(s) voor de Unieke ID van de werknemer. Een gebruiker moet een volledige dag in de agenda wachten sinds de vorige update voordat de E-mail opnieuw via SSO kan worden bijgewerkt.

Het instellen van het SAML-attribuut op <NameID> gebruikt de geclaimde NameID van de gebruiker

Het werknemer Unique ID SAML-attribuut toewijzen aan <NameID> zal automatisch de geclaimde NameID-waarde van de gebruiker gebruiken als hun unieke identificatie. Dit kan een nuttig hulpmiddel zijn als uw identiteitsprovider een NameID claimt die afwijkt van het e-mailadres van een gebruiker, zoals een User Principal Name (UPN) of een vergelijkbare waarde die niet wijzigt. Gebruik deze waarde niet als de NameIDs van gebruikers overeenkomen met hun e-mailadres.

Geavanceerde mapping: Licenties, add-ons en Access

De sectie SAML Advanced Information Mapping kan dynamisch licenties (inclusief Zoom Phone), add-ons en gebruikers-toegangs-groepen aan gebruikers toewijzen terwijl ze authenticeren. In tegenstelling tot basis mapping bevat geavanceerde mapping veel nuances die zorgvuldige aandacht kunnen vereisen bij het configureren, afhankelijk van de complexiteit van uw omgeving. Deze sectie belicht de nuances voor het configureren van geavanceerde SAML-mapping. Raadpleeg onze Geavanceerd SAML-mappingartikel voor een volledige lijst met ondersteunde attributen.

Geavanceerde toewijzing wordt elke keer toegepast wanneer een gebruiker zich verifieert

In tegenstelling tot Basis toewijzing, die Optioneel updates heeft voor sommige categorieën, worden geavanceerde toewijzingsconfiguraties elke keer toegepast wanneer een gebruiker zich authenticeert, volgens de top-downvolgorde van applicatie.

Bijvoorbeeld, als een gebruiker een Basis-licentie heeft en zich vervolgens authenticeert via SSO door een SAML-attribuut en waarde door te geven die is gekoppeld aan het toekennen van een volledige licentie, wordt de gebruiker onmiddellijk de volledige licentie toegekend. Als het profiel van de gebruiker vervolgens binnen de identiteitsprovider wordt gewijzigd om hen terug te zetten naar een Basis-licentie, krijgen zij opnieuw de Basis-licentie toegewezen zodra zij zich opnieuw authentiseren binnen Zoom.

Geavanceerde toewijzing maakt meerdere SAML-attributen en -waarden per categorie mogelijk

In tegenstelling tot Basis-mapping, die slechts één SAML-attribuut per categorie toestaat, kan geavanceerde mapping ondersteuning bieden voor meerdere attributen en waarden voor elke categorie. Dit biedt aanzienlijke flexibiliteit bij het beheren van gebruikerslicenties en Access via beveiligingsgroepen binnen uw identiteitsprovider, zoals te zien is in de volgende configuratie.

Geavanceerde mapping past licenties van boven naar beneden toe wanneer meerdere attributen worden bevestigd

Als een gebruiker meerdere SAML-attributen of waarden doorgeeft die zijn geconfigureerd voor geavanceerde SAML-mapping, zal Zoom de licenties van boven naar beneden toewijzen. Zie het volgende voorbeeld:

Volgens de bovenstaande configuratie, als een gebruiker een attribuut zou doorgeven voor zowel global_users en marketing, omdat marketing het hoogst in de configuratie staat, wordt dit attribuut toegepast op de gebruiker en worden de overige toepasselijke attributen genegeerd.

Als alternatief, als de configuratie was ingesteld met global_users als de hoogste, zoals te zien is in de volgende schermafbeelding, als een bewering van een gebruiker bevatte global_users, marketing, menselijk middelenen IT, omdat global_users is de hoogste prioriteit, wordt alleen een Basis-licentie toegewezen.

Zoom-beheerders kunnen de volgorde van applicatie aanpassen bij het bewerken van de toewijzingswaarden met de ↑↓-pijlen in de editor.

webinar- en Grote vergaderingen-toewijzingen kunnen een gemeenschappelijke waarde delen om beide Toevoegen-ons toe te passen

Om het toepassingsproces te vereenvoudigen, kunnen Zoom-beheerders hetzelfde SAML-kenmerk en dezelfde waarde twee keer configureren om zowel webinar- als Grote vergaderingen-Toevoegen-ons toe te passen op de gebruikers, zoals te zien is in de volgende afbeelding met de global_users waarde. Deze Toevoegen-ons kunnen ook afzonderlijk worden geconfigureerd indien gewenst, zoals getoond bij de webinar_only en large_vergadering_only waarden.

Gebruikers kunnen met één SAML-waarde aan meerdere gebruikersgroepen worden toegevoegd

Zoom-beheerders kunnen de Gebruiker Groep-toewijzing Configureer om een gebruiker toe te voegen aan meerdere Groepen met één SAML-waarde.

De eerst toegevoegde Groep van de gebruiker wordt ingesteld als de Primaire Groep van de gebruiker en bepaalt de Standaard Instellingen van de gebruiker tenzij een onderliggende Groep een instelling heeft vergrendeld. Voor meer informatie over gebruikersgroepen verwijzen we naar onze ondersteuningsartikel.

Opgegeven gebruikers en gebruiker Groepen kunnen worden vrijgesteld van specifieke SAML-toewijzingen

Elke optie onder Geavanceerde SAML-toewijzing kan worden geconfigureerd om specifieke gebruikers en gebruiker Groepen vrij te stellen van toewijzingsgedrag. Dit kan nuttig zijn om VIP-gebruikers te beschermen tegen serviceonderbreking door een mogelijke wijziging in licenties.

Automatische toewijzing wijst gebruikers automatisch toe aan een gebruiker, kanaal of IM-groep met de naam van hun geclaimde SAML-waarde als de waarde nog niet eerder is toegewezen aan een Groep

Automatische toewijzing kan worden gebruikt om gebruikers automatisch toe te wijzen aan een gebruiker Groep, kanaal en IM Groep met de naam van hun geclaimde SAML-waarde. In tegenstelling tot andere geavanceerde toewijzingscomponenten, die kunnen worden geconfigureerd om een gebruiker aan een willekeurige Groep toe te wijzen op basis van de SAML-waarde, wijst Automatische toewijzing een gebruiker altijd toe aan een Groep op basis van de exacte SAML-waarde. Als de Groep eerder niet bestond, wordt deze automatisch aangemaakt.

Als Automatische toewijzing bijvoorbeeld is ingesteld om een gebruiker toe te wijzen aan de Groepen op basis van hun afdeling, en die afdelingswaarde nog niet is gedefinieerd voor de gebruiker Groep, kanaal of IM Groep, worden gebruikers automatisch toegewezen aan een Groep die overeenkomt met hun afdelingsnaam, zoals weergegeven in de volgende tabel:

Zoom ondersteunt tot vijf aangepaste SAML-attributen

Zoom-beheerders kunnen Configureer tot vijf aangepaste SAML-attributen voor het toevoegen van gebruikersgegevens aan hun Zoom-profiel onder de geavanceerd Gebruikersbeheer pagina. Nadat de aangepaste velden zijn toegevoegd, kunnen Zoom-beheerders de toewijzing op de Configureer SAML-responstoewijzing pagina.

Het toewijzen van gebruikers aan een sub-account zal alleen pas een vergaderinglicentie en Toevoegen-ons toe

Het toewijzen van een gebruiker aan een sub-account zal alleen de vergaderlicentie van de gebruiker en Toevoegen zoals Webinar en Large Meetings toepassen op het sub-account. Gebruikersgroepen, IM-groepen, gebruikersrollen, enz. worden niet toegepast en moeten binnen het sub-account worden geconfigureerd.

Klanten die meer flexibiliteit vereisen voor SAML-responsmapping met sub-accounts, hebben een unieke vanity-URL en een nieuwe SSO-configuratie binnen het sub-account nodig.

SSO-problemen oplossen

SAML-antwoordlogboeken gebruiken om problemen op te lossen

Opgeslagen SAML-antwoordlogboeken kunnen een onmisbaar hulpmiddel zijn voor het oplossen van configuratie- en gebruikersfouten, naast SAML-antwoordtoewijzingsconfiguraties. Als uw SSO-configuratie is ingesteld om SAML-antwoordlogboeken op te slaan, zijn deze toegankelijk via het SAML Response Log Tabblad dat beschikbaar is op de SSO-configuratiepagina in Geavanceerde Instellingen. Om SAML-antwoordlogboeken te bekijken, klikt u op Details weergeven naast een authenticatiepoging.

De meeste authenticaties worden in de antwoordlogboeken weergegeven

De meeste mislukte of niet-geslaagde authenticatiepogingen worden op de pagina met antwoordlogboeken weergegeven. Als een authenticatiepoging niet wordt weergegeven, heeft Zoom waarschijnlijk geen SAML-assertie van uw identiteitsprovider ontvangen, of is het opslaan van SAML-antwoordlogboeken uitgeschakeld.

Antwoordlogboeken kunnen u vertellen of uw configuratie onjuist is of dat uw certificaat verouderd is

Wanneer SAML-reactielogboeken zijn ingeschakeld, worden de gegevens van de identiteitsprovider naar Zoom geclaimd om identiteiten voor elke partij te authenticeren. Als een geclaimde instelling of een reeks informatie, zoals het X509-certificaat of de issuer-ID, afwijkt van de huidige configuratie van Zoom, verschijnt er een foutmelding met de melding dat de informatie “niet overeenkomt met de huidige SSO-Instellingen.” Een Zoom-beheerder kan de SSO-configuratie bijwerken zodat deze overeenkomt met deze geclaimde waarden als ze correct zijn, om de fout op te lossen.

Reactielogboeken laten u zien welke SAML-waarden en -kenmerken worden geclaimd

Het bekijken van reactielogboeken kan helpen bij het oplossen van configuraties voor SAML-reactiemapping door te verifiëren welke kenmerken en waarden door gebruikers worden geclaimd terwijl ze authenticeren. Deze kunnen worden vergeleken met de configuratie om ervoor te zorgen dat de kenmerken en waarden overeenkomen.

Als SAML-kenmerken of -waarden ontbreken, wordt de informatie niet geclaimd door de identiteitsproviderservice. Gebruikers die dit probleem ervaren, wordt aangeraden contact op te nemen met de ondersteuning van hun identiteitsprovider voor meer hulp.

Reactielogboeken bevatten, indien mislukt, een foutcode en korte uitleg

Als een gebruiker niet kan authenticeren of een fout ontvangt, bevatten de SAML-reactielogboeken een foutcode en een korte uitleg van de fout.

De meeste problemen kunnen worden geïdentificeerd en opgelost met behulp van deze foutmeldingen. Als u de fout niet kunt oplossen, neem dan contact op met Zoom-ondersteuning voor अतिरिक्त hulp.

Web Tracking ID-fouten

Als een gebruiker niet slaagt voor SSO-authenticatie, ontvangt hij of zij een foutcode voor een WEB Tracking ID. Deze codes zijn geen foutmelding die betrekking heeft op een specifieke fout, maar vormen in plaats daarvan een unieke log-ID die kan worden gecontroleerd in SAML Response Mapping om authenticatieproblemen te identificeren.

Om de fout te identificeren, navigeert u, als SAML-responslogboekregistratie is ingeschakeld, naar het SAML Response Log Beschikbaar in het Tabblad op de pagina SSO-configuratie in geavanceerde Instellingen. Voer vanaf daar de WEB tracking-ID in het veld Tracking ID in en zoek om het responslogboek te vullen

De SAML-responslogboeken moeten de SAML-assertie en onderaan de respons een foutcode en bericht weergeven die kunnen worden gebruikt voor aanvullende probleemoplossing.

SCIM-fouten

Gebruiker bestaat niet of behoort niet tot dit account

Deze fout treedt op wanneer de E-mailadres van een beoogde gebruiker niet kan worden geprovisioneerd vanwege een reeds bestaand account. Zoom-beheerders worden aangemoedigd om rechtstreeks contact op te nemen met de gebruiker en de gebruiker handmatig uit te nodigen voor het account.

U kunt geen betaalde gebruikers toevoegen

Deze fout treedt op wanneer SCIM probeert een gebruiker te provisionen terwijl er onvoldoende licenties op het account zijn. Om de fout op te lossen, moet de gebruiker als Basis-gebruiker worden geprovisioned, of moet er een licentie beschikbaar worden gemaakt voor provisioning.

SCIM-logboeken gebruiken om gebruikersprovisioning op te lossen

Zoom biedt de meest recente 100 API-verzoeklogboeken in de Zoom Marketplace. Een Zoom-beheerder kan deze logboeken gebruiken om te bevestigen welke informatie wordt verzonden en ontvangen via provisioning-API's. Om toegang te krijgen tot de logboeken, meldt u zich aan bij Zoom Marketplace als Zoom-beheerder en klik op Beheren. Selecteer op de volgende pagina Belgeschiedenis onder Persoonlijk app-beheer. Klik daar op een item om de API-logboeken uit te vouwen en de inhoud te bekijken.

De volgende afbeelding toont een voorbeeld van een SCIM-gebruikerstoewijzingsverzoek, met de identiteits- en licentieattributen van de gebruiker gemarkeerd ter referentie.

Net als bij SAML-responsmappings kan Zoom alleen informatie toepassen die door de identiteitsprovider in het provisioningverzoek wordt verzonden. Gebruik deze logboeken om te bevestigen dat de identiteit van de gebruiker en licentieattributen door de identiteitsprovider worden verzonden. Als verwachte informatie ontbreekt in deze verklaringen, neem dan contactpersoon op met uw identiteitsprovider voor ondersteuning.

Gegevensstromen en authenticatie

SAML-authenticatie

Het volgende diagram beschrijft de SAML-authenticatieflow van een gebruiker wanneer deze een Single Sign-On-sessie met Zoom start.

SSO-webinlogtoken

Nadat een gebruiker zich via SAML heeft geauthenticeerd, wordt de sessie van de gebruiker opgebouwd binnen hun Browser, en heeft

een levensduur van twee uur als Standaard. Als de gebruiker hun Zoom-webpagina blijft gebruiken, wordt de sessie vernieuwd; als de gebruiker hun webpagina echter twee uur niet gebruikt, verloopt het token en moet de gebruiker zich opnieuw verifiëren. Zoom-beheerders kunnen deze Actieve sessieduur Configureer op de Beveiliging pagina onder Gebruikers moeten na een periode van inactiviteit opnieuw aanmelden en Stel de periode voor inactiviteit op het web in (minuten).

Client Login Token

Wanneer een gebruiker probeert te authenticeren via SSO binnen een client, opent de machine van de gebruiker een Browser en leidt deze door naar de inlogpagina van de identiteitsprovider. Nadat een gebruiker is geauthenticeerd, ontvangt de Browser van de gebruiker een Zoom-client launch token. Zodra een gebruiker op de knop “openen” of “starten” klikt, gebruikt de Browser het URL-schema in combinatie met het launch token om de Zoom-client te openen.

De Zoom-client gebruikt het launch token om het access token en het refresh token van de Zoom-server op te halen. De client gebruikt het access token telkens gedurende twee uur en gebruikt na afloop het refresh token om een nieuwe set tokens te verkrijgen, die worden opgeslagen in de lokale database van de client. Dit vernieuwingsproces is Standaard onbeperkt en kan tokens continu blijven doorlopen totdat een gebruiker zich afmeldt of de tokens verlopen. Zoom-beheerders kunnen de sessieduur aanpassen op de SSO Instellingen pagina onder automatisch uitloggen afdwingen.