# SSO-veldgids

### Introductie

Het integreren van Single Sign-On (SSO) met Zoom biedt beheerders Gebruikersbeheer- en beveiligingsopties die het accountbeheer kunnen vereenvoudigen. Zodra dit is geconfigureerd, authenticeren gebruikers zich met hun bedrijfsgegevens bij de identiteitsprovider van uw bedrijf in plaats van alternatieve authenticatiemethoden te gebruiken, zoals Google- of Facebook-integraties, of een directe Gebruikersnaam en wachtwoord met Zoom.

Dit document biedt een uitgebreid overzicht van SSO-configuraties en Instellingen binnen Zoom, naast informatie over probleemoplossing en beveiliging.

### SSO-integraties

#### <mark style="color:blauw;">SSO vereist een vanity-URL om aan de slag te gaan</mark>

Een account moet een goedgekeurde vanity-URL hebben voordat SSO wordt geconfigureerd. Zodra de vanity-URL is goedgekeurd, kunnen Zoom-beheerders de [SSO-configuratie](https://zoom.us/account/sso) pagina openen via het submenu Geavanceerde opties op het webportaal. Raadpleeg ons ondersteuningsartikel over [Vanity-URL's](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) voor meer informatie.

#### <mark style="color:blauw;">Zoom SSO werkt met elke SAML 2.0-identiteitsprovider</mark>

Zoom kan Integratie(s) met elke identity provider die Security Assertion Markup Language (SAML) 2.0 authenticatie ondersteunt. Hoewel er veel gedocumenteerde Integratie(s) walkthroughs zijn, bieden sommige identity providers geen documentatie voor het integreren met Zoom. Accounts die geen configuratie-instructies kunnen vinden, wordt aangeraden contact op te nemen met hun identity provider voor meer informatie.

#### <mark style="color:blauw;">Zoom-beheerders kunnen gebruikerprofielinformatie en licenties beheren via SAML-responskoppeling of SCIM-integraties</mark>

Beheerders kunnen gebruikersprofielinformatie en licenties beheren via SAML response mapping of via aanvragen voor de applicatie Application Programming Interface (API) van System for Cross-Domain Identity Management (SCIM), afhankelijk van de functies die beschikbaar zijn bij de identity provider. Beide Gebruikersbeheer-methoden bieden bijna gelijkwaardige functionaliteit voor het mappen van profielinformatie en het beheren van licenties, maar sommige SCIM-mappings vereisen handmatige configuratie.

Voor een uitgebreide lijst van SCIM-mogelijkheden, raadpleeg onze [SCIM API-documentatie](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:blauw;">Zoom-beheerders kunnen de accountstatus van gebruiker beheren via SCIM, maar niet SAML</mark>

Omdat SCIM identiteitsproviders in staat stelt om op elk moment rechtstreeks met Zoom te communiceren, kunnen gebruikersaccounts worden *geactiveerd*, *gedeactiveerd*, *aangemaakt*, of *verwijderd* via SCIM-integraties automatisch. Bijvoorbeeld: als een gebruiker zijn account in Active Directory is uitgeschakeld, of als zij de applicatie niet aan hen is toegewezen, kan SCIM een automatisch deactiveringsverzoek voor het account van de gebruiker verzenden binnen Zoom. Deze Functie(s) is afhankelijk van de mogelijkheden van de SCIM-applicatie van de identiteitsprovider en de functionaliteit kan per provider verschillen.

#### <mark style="color:blauw;">Slechts enkele identiteitsproviders bieden SCIM voor Zoom.</mark>

Veel identiteitsproviders hebben geen SCIM Integratie(s) ontwikkeld voor Zoom als onderdeel van hun diensten. Accounts die gebruikmaken van een identiteitsprovider die SCIM met Zoom niet ondersteunt, moeten SAML-responsmapping gebruiken voor geautomatiseerd gebruikersbeheer.

#### <mark style="color:blauw;">SCIM vereist een gekoppeld domein om gebruikers automatisch te provisioneren</mark>

Accounts die SCIM gebruiken om gebruikers voor SSO te beheren en te provisioneren **moet** koppel het E-mail-domein aan Zoom. Als het domein niet wordt gekoppeld, leidt dit tot fouten bij het provisionen van gebruikers. Raadpleeg ons ondersteuningsartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie over het proces.

#### <mark style="color:blauw;">De volgende SSO-integraties zijn gedocumenteerd</mark>

{% hint style="success" %}
**Zoom-tip**

Klik op het ✔ in de kolom Provider of Zoom Documentatie om een nieuw venster met instructies te openen.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentatie van de provider</th><th>Zoom-documentatie</th><th>Ondersteunt SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>AD Sync-tool</td></tr><tr><td>Slim</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (voorheen Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:blauw;">On-premises Active Directory kan het AD Sync-tool gebruiken in plaats van SCIM</mark>

Accounts die willen automatiseren van user provisioning via SCIM, maar geen cloudgebaseerde identity provider hebben, kunnen de Active Directory (AD) Sync Tool applicatie gebruiken die is ontwikkeld door Zoom voor het beheren van hun gebruikers. Deze applicatie draait op Oracle JDK 8 en simuleert SCIM-provisioning door gebruikers te beheren via API-opdrachten. Zie ons ondersteuning artikel over de [AD Sync-tool](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) voor meer informatie.

{% hint style="success" %}
**Zoom Aanbeveling**

De AD Sync-tool vereist een nauwkeurige configuratie voor Gebruikersbeheer. Grondig testen en een beoordeling van de configuratie van de tool is vereist voordat volledige implementatie plaatsvindt om verstoring van de service te voorkomen.
{% endhint %}

#### <mark style="color:blauw;">Identiteitsproviders kunnen zelfs deelnemers aan de vergadering authenticeren die geen Zoom-account hebben</mark>

Accounts die gebruikers willen verplichten hun identiteit te authenticeren, maar geen Zoom-accounts willen verstrekken, kunnen met hun identiteitsprovider een extern authenticatieprofiel Configureer. Wanneer dit is ingeschakeld voor een vergadering, moeten gebruikers die proberen Deelnemen hun inloggegevens authenticeren bij uw identiteitsprovider om toegang te krijgen. Dit is een veelvoorkomende configuratie voor scholen die niet aan alle studenten accounts verstrekken, maar authenticatie vereisen om lessen te Deelnemen. Raadpleeg ons ondersteuningsartikel over [het configureren van externe authenticatie](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) voor meer informatie.

#### <mark style="color:blauw;">Het wijzigen van de identity provider vereist dat SSO binnen Zoom opnieuw geconfigureerd wordt</mark>

Accounts die van identity provider veranderen, moeten hun SSO-configuratie binnen Zoom opnieuw uitvoeren. Dit omvat het bijwerken van alle velden op de configuratiepagina zodat deze overeenkomen met hun nieuwe identity provider. Accounts wordt aangeraden te bevestigen dat SAML-responskoppelingen niet zullen veranderen met de nieuwe identity provider.

Er zouden geen aanvullende configuraties of wijzigingen nodig moeten zijn, ervan uitgaande dat er geen verdere wijzigingen zijn.

#### <mark style="color:blauw;">Klanten met sub-accounts kunnen SSO configureren vanaf het hoofdaccount of sub-account</mark>

Klanten met sub-accounts hebben twee opties voor het configureren van SSO:

1. Alle gebruikers authenticeren met behulp van de vanity-URL van het hoofdaccount en worden automatisch ingelogd op het sub-account via geavanceerde SAML-mapping ([er gelden enkele beperkingen voor mapping](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); of
2. Elk sub-account heeft een unieke vanity-URL en onafhankelijke SSO-configuratie, uitsluitend gebruikt door leden van dat sub-account

Elke configuratie biedt unieke voordelen, waarbij de tweede optie de meeste flexibiliteit biedt. Klanten die overwegen een van beide configuraties te implementeren, moeten met hun accountteam bespreken welke configuratie het beste aansluit bij hun behoeften.

### SSO Instellingen & Beveiliging

Zoom-beheerders kunnen de optimale beveiligings- en Instellingen-opties voor hun Organisatie kiezen bij het configureren van een SSO-Integratie(s) met Zoom. In dit gedeelte worden deze Instellingen en de gevolgen ervan voor een SSO-Integratie(s) uitgelegd.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van SSO-integratie-instellingen.</p></figcaption></figure>

#### <mark style="color:blauw;">Zoom ondersteunt ondertekende SAML-verzoeken voor inloggen en uitloggen</mark>

Zoom-beheerders die extra authenticatie van de serviceprovider vereisen, kunnen Zoom configureren om alle inlog- en uitlogverzoeken naar de identiteitsprovider te ondertekenen.

Accounts die deze instelling gebruiken, hebben mogelijk een certificaatrotatie nodig als hun identiteitsprovider geen dynamische metadata-vernieuwing ondersteunt. Zie ons ondersteuningsartikel over [certificaatrotatie](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) voor meer informatie.

#### <mark style="color:blauw;">Zoom ondersteunt versleutelde SAML-verklaringen bij authenticatie</mark>

Zoom-beheerders kunnen Zoom configureren om versleutelde verklaringen te ondersteunen bij authenticatie. Als deze instelling is ingeschakeld, worden niet-versleutelde verklaringen genegeerd. Accounts die deze instelling gebruiken, hebben mogelijk een SSO-certificaatrotatie nodig als hun identiteitsprovider geen dynamische metadata-vernieuwing ondersteunt. Zie ons ondersteuningsartikel over [certificaatrotatie](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) voor meer informatie.

#### <mark style="color:blauw;">Zoom-beheerders kunnen automatische afmelding afdwingen na een gedefinieerde tijdsduur</mark>

Zoom-beheerders kunnen Zoom configureren om gebruikers automatisch af te melden uit actieve sessies na gedefinieerde tijdsduur, aanpasbaar van 15 minuten tot 180 dagen. Dit proces stelt het Zoom access token zo in dat het verloopt na de vooraf bepaalde tijdsduur zodra het token is gegenereerd. Dit token heeft geen relatie met een identiteitsprovider en is uniek voor Zoom.

#### <mark style="color:blauw;">SAML-responslogs kunnen worden opgeslagen voor probleemoplossing</mark>

Zoom kan SAML-responslogs van authenticatiepogingen zeven dagen na een authenticatie opslaan. Deze responslogs kunnen een onschatbaar hulpmiddel zijn voor het oplossen van configuratie- en gebruikersfouten, naast SAML-respons-mappingsconfiguraties. Bekijk de sectie over [fouten opsporen met SAML-responslogs](#using-saml-response-logs-to-troubleshoot) voor meer informatie.

{% hint style="success" %}
**Zoom Aanbeveling**

Inschakelen van het opslaan van SAML-responslogs om probleemoplossing eenvoudiger te maken.
{% endhint %}

#### <mark style="color:blauw;">Provisioning bij aanmelden kan accounts direct aanmaken en is de eenvoudigste provisioningoptie</mark>

Wanneer SSO is ingesteld om te provisionen *Bij aanmelden* (ook wel just-in-time provisioning genoemd), kan elke geautoriseerde gebruiker binnen de identiteitsprovider authenticeren in Zoom. Gebruikers die geen bestaand account hebben, krijgen er onmiddellijk bij aanmelden één aangemaakt.

Provisioning bij het aanmelden kan de uitrol van Zoom naar een bedrijf vereenvoudigen doordat gebruikers hun account kunnen aanmaken op het moment van authenticatie in plaats van dat proactieve gebruikercreatie vereist is. In combinatie met SAML-responsmapping is een volledig gebruikersprofiel en licentieverlening binnen enkele seconden na de eerste authenticatie van een gebruiker gereed.

Daarnaast kan provisioning bij het aanmelden dynamisch het SSO-aanmeldingstype aanmaken voor reeds bestaande accounts. Als een gebruiker een bestaand Zoom-account heeft met een Gebruikersnaam en wachtwoord, wordt bij het aanmelden met deze configuratie een SSO-aanmeldingstype aangemaakt.

#### <mark style="color:blauw;">Provisioning vóór het aanmelden vereist vooraf aangemaakte accounts met een SSO-aanmeldingstype</mark>

Gebruikers voorzien voor SSO *vóór het aanmelden* vereist dat authenticerende gebruikers **beide** een bestaand Zoom-account hebben, en dat voor het account een SSO-aanmeldingstype is aangemaakt. Dit type provisioning wordt vaak gecombineerd met SCIM-provisioning vanwege het geautomatiseerde accountaanmaakproces, maar is daar niet exclusief toe beperkt. Zoom-gebruikers die Consolideren in het bedrijfsaccount via Gekoppelde domeinen of een directe Uitnodigen, hebben waarschijnlijk niet het SSO-aanmeldingstype.

Zoom-beheerders kunnen bevestigen of een account een SSO-aanmeldingstype heeft door het gebruikersaccount te bekijken op de [Gebruikersbeheer](https://zoom.us/account/user#/) pagina binnen het webportaal en op zoek naar het “SSO”-pictogram onder de E-mail van de gebruiker.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Locatie van het SSO-pictogram onder de E-mail van een gebruiker.</p></figcaption></figure>

Als het pictogram presenteren is, is de gebruiker geprovisioneerd voor SSO; als het pictogram ontbreekt, kan de gebruiker niet aanmelden via SSO terwijl pre-provisioning is ingeschakeld totdat het is Toevoegen. Een Zoom beheerder kan dit inlogtype Toevoegen door gebruikers in bulk Toevoegen via een CSV-bestand en de optie “SSO-gebruiker” te selecteren, of de gebruiker authenticeren terwijl Provision at Sign-in is ingeschakeld.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Voorbeeld dat de optie SSO-gebruiker weergeeft voor bulkuploaden.</p></figcaption></figure>

{% hint style="success" %}
**Zoom Aanbeveling**

Om te Voorkomen dat gebruikers niet kunnen Aanmelden, gebruikt u provisioning bij aanmelden wanneer u SSO voor het eerst configureert op een account. Schakel indien gewenst over naar pre-provisioning zodra u hebt bevestigd dat uw gebruikers zijn geprovisioneerd en dat u methoden voor pre-provisioning hebt ingericht.
{% endhint %}

#### <mark style="color:blauw;">Een domein moet gekoppeld en beheerd worden om SSO-authenticatie af te dwingen</mark>

Zoom-beheerders kunnen SSO-authenticatie afdwingen *alleen* als het e-maildomein is gekoppeld en beheerd binnen Zoom. Wanneer dit is ingeschakeld, worden alle gebruikers die zich authenticeren met behulp van uw bedrijfsdomein(en) automatisch doorgestuurd naar de authenticatiepagina van uw identiteitsprovider, ongeacht het Platform.

Zodra het domein is goedgekeurd en beheerd, kan een Zoom-beheerder SSO-authenticatie afdwingen via uw account [beveiligingspagina](https://zoom.us/account/setting/security) onder **Inlogmethoden**. Raadpleeg ons ondersteuningsartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie over het koppelen en beheren van een domein.

#### <mark style="color:blauw;">Opgegeven gebruikers kunnen worden vrijgesteld van afgedwongen SSO-authenticatie</mark>

Zoom-beheerders kunnen specifieke gebruikers uitsluiten van afgedwongen SSO-authenticatie. Het uitsluiten van specifieke gebruikers (zoals een accountbeheerder) kan nuttig zijn als een SSO-configuratie niet werkt en een accountbeheerder niet-SSO-toegang nodig heeft tot het Zoom-account. Beheerders die zijn vrijgesteld, kunnen op elk moment inloggen op admin.zoom.us in het geval van een accountvergrendeling of een niet-werkende SSO-configuratie (de gebruiker moet de Standaard **beheerder** Rol). Als een Zoom-beheerder geen toegang heeft tot het account, moeten zij contactpersoon opnemen met Zoom-ondersteuning voor hulp.

Om een gebruiker-exceptie Inschakelen, navigeer naar het account [beveiligingspagina](https://zoom.us/account/setting/security) zoek op het webportaal onder geavanceerde opties de lijst met afgedwongen domeinen op en voeg een uitzondering toe via de bewerkingslijst.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Voorbeeld van domeinenlijst voor SSO.</p></figcaption></figure>

#### <mark style="color:blauw;">Mobiele en desktopclients kunnen zo worden geconfigureerd dat gebruikers SSO-authenticatie moeten gebruiken</mark>

Zoom-clients kunnen vooraf worden geconfigureerd om SSO-functionaliteit te automatiseren, waaronder automatisch inloggen, automatisch uitloggen, SSO-only-authenticatie op het Apparaat en meer via Groepbeleid, beheerservices voor mobiele apparaten (MDM) en clients voor massale uitrol.

Voor een volledige lijst met configuratiemogelijkheden verwijzen we u naar onze configuratieopties voor [Groepbeleid](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) en [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:blauw;">Office 365-gebruikers kunnen zich automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties</mark>

Klanten die Office 365 gebruiken, kunnen hun gebruikers automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties. Dit kan worden gecombineerd met een [aangepast invoegtoepassingsmanifest](https://support.zoom.us/hc/en-us/articles/360041403311) dat de vanity-URL van de account vooraf invult, waardoor een naadloze authenticatie-ervaring voor gebruikers ontstaat. Deze Functie(s) gebruikt het SSO-sessie token van de gebruiker als dit actief is, of vraagt om een nieuwe authenticatie bij uw identiteitsprovider als er geen actieve sessie wordt gevonden.

Een Zoom beheerder kan deze instelling Inschakelen op de account van [beveiligingspagina](https://zoom.us/account/setting/security) onder het **geavanceerd** menu.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van de beheerderinstelling voor SSO met de Outlook-invoegtoepassing.</p></figcaption></figure>

### SAML-antwoordkoppeling

SAML-attributen zijn categorieën gegevens die worden gedefinieerd door SAML-waarden en worden gebruikt om informatie door te geven van de identiteitsprovider naar een serviceprovider zoals Zoom. Het koppelen van attributen en waarden is essentieel voor het automatiseren van gebruikerprofielinformatie en het beheren van gebruikerlicenties.

SAML-antwoordkoppeling is verdeeld in twee helften: *basis* en *geavanceerd*. Basis mapping wordt gebruikt om basisprofielinformatie te koppelen, waaronder naam, telefoonnummer, afdeling, enz. Geavanceerde mapping wordt gebruikt om dynamische licentietoewijzingen te beheren, gebruiker groepen, gebruikerrollen en meer toe te wijzen.

Deze sectie behandelt de basisprincipes van SAML-antwoordkoppeling, Basis en geavanceerde SAML-antwoordkoppeling, en belicht unieke voorwaarden die voor sommige functies vereist zijn.

#### <mark style="color:blauw;">Basisprincipes: SAML-attributen en -waarden</mark>

De meeste identiteitsproviders geven basisprofielinformatie door met behulp van eenvoudige attribuutnamen en waarden. Bijvoorbeeld kan de afdeling van een werknemer via SAML binnenkomen met een attribuut department en een waarde Human Resources. De volgende tabel toont de relatie tussen attributen en waarden bij het doorgeven van informatie over een gebruiker.

| SAML-attribuut | SAML-waarde                    |
| -------------- | ------------------------------ |
| voornaam       | John                           |
| achternaam     | Smith                          |
| E-mail         | <john.smith@companydomain.com> |
| afdeling       | Personeelszaken                |

Door een SAML-attribuut correct toe te wijzen aan een responskoppeling, kan gebruikersinformatie automatisch worden toegepast op een gebruikersprofiel om het proces voor het maken en beheren van accounts te vereenvoudigen.

#### <mark style="color:blauw;">Basiskoppeling: profielinformatie</mark>

SAML Basisinformatie-koppeling wordt gebruikt om profielinformatie zoals voornaam, achternaam, afdeling, telefoonnummer, kostenplaats en Locatie uit een map toe te passen op het profiel van een gebruiker. Veel van deze categorieën spreken voor zich en kunnen eenvoudig worden geConfigureer; sommige categorieën vereisen echter uitleg voor een juiste configuratie om onverwachte gevolgen of applicatiefouten te Voorkomen. De volgende sectie belicht unieke koppelingsopties en configuratie Instellingen voor basiskoppeling. Raadpleeg ons [artikel Basis SAML-koppeling](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) voor een volledige lijst met ondersteunde attributen.

#### <mark style="color:blauw;">Het standaard licentietype is alleen van toepassing op</mark> *<mark style="color:blauw;">gloednieuwe gebruikers</mark>*

De optie voor het standaard licentietype zal de toegewezen licentie toepassen op alle *gloednieuwe* gebruikers die via SAML binnen het account worden ingericht. Dit is niet van toepassing op gebruikers die zich voor een tweede keer authenticeren, gebruikers die vanuit een eerder account zijn samengevoegd in het account, gebruikers die via SCIM worden ingericht of gebruikers die handmatig zijn uitgenodigd.

Voor informatie over *het bijwerken van* gebruikerslicenties met authenticatie, raadpleeg de licentieconfiguratie onder [Geavanceerde SAML-koppeling](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blauw;">Een standaard licentietype van</mark> *<mark style="color:blauw;">Geen</mark>* <mark style="color:blauw;">zal nieuwe gebruikers niet toestaan te authenticeren, tenzij geavanceerde koppeling is geconfigureerd om een licentie toe te wijzen</mark>

Zoom-gebruikers moeten een toegewezen licentietype hebben (Basis, Met licentie of lokaal) om in te loggen bij de Zoom-service. Als een standaard licentietype van Geen is geselecteerd, kunnen nieuwe gebruikers zich niet aanmelden of een nieuw account aanmaken, tenzij zij een licentie ontvangen via [Geavanceerde SAML-koppeling](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:blauw;">De meeste basiskoppelingen worden bij aanmelden opnieuw toegepast, tenzij anders vermeld</mark>

De meeste basis SAML-koppelingen worden standaard elke keer dat een gebruiker zich aanmeldt bijgewerkt, *behalve* *voor* voornaam, achternaam, weergavenaam en telefoonnummer. Standaard worden deze vier koppelingen alleen toegepast de eerste keer dat een gebruiker authenticeren en worden ze niet opnieuw toegepast, zelfs niet als ze worden bijgewerkt door een gebruiker of beheerder. Zoom-beheerders kunnen dit gedrag wijzigen door de optie in te schakelen voor **Bijwerken bij elke SSO-aanmelding** op de pagina met SAML-responskoppeling.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van de optie Bijwerken bij elke SSO-aanmelding.</p></figcaption></figure>

#### <mark style="color:blauw;">Koppelingen voor telefoonnummers moeten een landcode en netnummer bevatten als deze buiten de Verenigde Staten liggen</mark>

Telefoonnummers die via SAML worden gekoppeld, moeten waar mogelijk de landcode en het netnummer van de gebruiker bevatten in de SAML-assertie. Zoom gaat standaard uit van een landcode van +1 als deze niet is gedefinieerd.

Accounts die geen landcodes in hun directory bewaren, kunnen hun SAML-asserties in hun identiteitsprovider bewerken om deze indien nodig automatisch op te nemen.

#### <mark style="color:blauw;">Elke gebruiker kan maximaal drie telefoonnummers en één faxnummer toegewezen krijgen aan zijn profiel</mark>

Zoom-beheerders kunnen voor elke gebruiker maximaal drie afzonderlijke telefoonnummerkoppelingen en één faxnummerkoppeling configureren. Elk telefoonnummer moet uniek zijn en mag niet dezelfde waarde hebben als een ander veld.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Voorbeeld van telefoonnummeropties voor elke gebruiker.</p></figcaption></figure>

#### <mark style="color:blauw;">Profielfoto's moeten worden gekoppeld via een openbaar toegankelijke URL of worden gecodeerd met Base64</mark>

Accounts die profielfoto's uit hun directory willen koppelen, moeten de afbeeldingen koppelen met een openbaar toegankelijke URL of de afbeelding coderen in Base64 bij het bevestigen.

#### Unieke ID van werknemer

<mark style="color:blauw;">**De unieke ID van de werknemer wijzigt de primaire Identificatie die Zoom gebruikt om gebruikers te identificeren**</mark>

De *Unieke ID van werknemer* is een Functie die Zoom aanbiedt om te helpen bij identiteitsbeheer. Standaard is de primaire Identificatie voor een Zoom-gebruiker hun **E-mail** **adres**. Dit betekent dat als het aanmeldtype voor werk-E-mail **<john.smith@company.com>**&#x69;s, Zoom deze gebruiker altijd zal identificeren aan de hand van dat e-mailadres. Deze Identificatie maakt het mogelijk dat integraties zoals SSO of Facebook- en Google OAuth-accounts de gebruiker aan hetzelfde Zoom-account koppelen.

Echter kan dit identificatieproces problematisch zijn als de naam of E-mail van een gebruiker verandert. Bijvoorbeeld, als **<john.smith@company.com>** een E-mail heeft gewijzigd naar **<jonathan.smith@company.com>**, kan Zoom niet veilig vaststellen dat dit dezelfde persoon is (omdat de fundamentele Identificatie anders is), dus zal Zoom een nieuw account aanmaken de eerste keer dat **<jonathan.smith@company.com>** inlogt.

Om dit probleem te vereenvoudigen, biedt Zoom de Unieke Werknemers-ID Functie(s), die de primaire Identificatie van een gebruiker Wijzigen van hun E-mailadres naar een vastgestelde unieke ID. *Dit Wijzigen de Gebruikersnaam van een gebruiker in Zoom niet*, maar biedt in plaats daarvan een alternatief identificerend kenmerk. Deze Wijzigen stelt Zoom in staat om het E-mailadres van een gebruiker binnen Zoom dynamisch bij te werken als:

* een *nieuw* E-mailadres wordt vergezeld door een bekende Unieke werknemers-ID; en
* het e-maildomein van de betreffende gebruiker is gekoppeld binnen Zoom

Bijvoorbeeld, als **<john.smith@company.com>** zich authenticeren en een SAML-waarde van 12345 (hun personeelsnummer) doorgeven voor het attribuut Unieke werknemers-ID, zal Zoom de gebruiker binnen het account nu identificeren aan de hand van de opgegeven waarde. Als John zich opnieuw authenticeren via de E-mail **<jonathan.smith@company.com>** terwijl nog steeds de Unieke werknemers-ID van 12345 wordt doorgegeven, zal Zoom identificeren dat <john.smith@company.com> nu **<jonathan.smith@company.com>** en zal de E-mail van de gebruiker binnen het account dynamisch bijwerken als het domein is gekoppeld.

Beheerders van identiteit moeten *er zeker van zijn* dat geen twee gebruikers overlappen met dezelfde waarde voor Unieke werknemers-ID voordat SAML-mapping voor deze categorie wordt ingesteld. Als een andere gebruiker zich authenticeren en dezelfde waarde doorgeeft, wordt de E-mail opnieuw bijgewerkt naar de nieuwe gebruiker en kan dit aanzienlijke verstoring van de services en gebruikerservaring veroorzaken.

<mark style="color:blauw;">**De Functie Unieke werknemers-ID vereist dat Gekoppelde domeinen de E-mail van een gebruiker Wijzigen**</mark>

De Functie(s) voor unieke werknemer-ID kan het E-mailadres van een gebruiker niet bijwerken, tenzij het E-maildomein officieel is gekoppeld aan uw accountprofiel. Raadpleeg ons ondersteuningsartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie.

<mark style="color:blauw;">**Beheerders en eigenaren kunnen hun E-mail niet bijwerken via de Unieke ID van de werknemer**</mark>

E-mails van beheerder en Eigenaar binnen Zoom kunnen niet worden bijgewerkt via de Functie(s) voor Unieke ID van werknemer. Dit is bedoeld als een beveiligingsmaatregel om onbevoegde toegang te Voorkomen. Beheerders en Eigenaren moeten hun E-mail Wijzigen via hun profielpagina.

<mark style="color:blauw;">**Gebruikers-e-mails kunnen slechts eenmaal per dag worden bijgewerkt via de Unieke werknemer-ID**</mark>

E-mailadressen van gebruikers kunnen slechts eens per 24 uur worden bijgewerkt via de Functie(s) Unieke ID van werknemer. Een gebruiker moet een volledige agenda-dag wachten sinds de vorige update voordat hij of zij zijn of haar E-mail opnieuw via SSO kan bijwerken.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagram van een voorbeeldstroom voor het bijwerken van e-mailadressen van de gebruiker.</p></figcaption></figure>

<mark style="color:blauw;">**Als u het SAML-attribuut instelt op \<NameID>, wordt de geclaimde NameID van de gebruiker gebruikt**</mark>

Het werknemer Unique ID SAML-attribuut koppelen aan **\<NaamID>** zal automatisch de geclaimde NameID-waarde van de gebruiker gebruiken als hun unieke Identificatie. Dit kan een nuttig hulpmiddel zijn als uw identiteitsprovider een NameID claimt die anders is dan het e-mailadres van de gebruiker, zoals een User Principal Name (UPN) of een vergelijkbare waarde die niet wijzigt. Gebruik deze waarde niet als de NameIDs van gebruikers overeenkomen met hun e-mailadres.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van de &#x3C;NameID> beheerder-instelling.</p></figcaption></figure>

### Geavanceerde toewijzing: licenties, Toevoegingen en Access

De sectie Geavanceerde informatie-mapping voor SAML kan dynamisch licenties (inclusief Zoom Phone), add-ons en gebruikers-toegangsgroepen toepassen op gebruikers wanneer zij authenticeren. In tegenstelling tot basis-mapping bevat geavanceerde mapping veel nuances die zorgvuldige aandacht kunnen vereisen bij het configureren, afhankelijk van de complexiteit van uw omgeving. In deze sectie worden de nuances voor het configureren van geavanceerde SAML-mapping belicht. Raadpleeg ons [Artikel over geavanceerde SAML-mapping](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) voor een volledige lijst met ondersteunde attributen.

#### <mark style="color:blauw;">Geavanceerde toewijzing wordt elke keer toegepast wanneer een gebruiker zich authenticeren</mark>

In tegenstelling tot Basis mapping, dat Optioneel updates heeft voor sommige categorieën, worden geavanceerde mappingconfiguraties elke keer toegepast wanneer een gebruiker zich authenticeert, volgens de top-downvolgorde van applicatie.

Bijvoorbeeld, als een gebruiker een Basis-licentie heeft en zich vervolgens verifieert via SSO door een SAML-attribuut en -waarde door te geven die zijn toegewezen aan het toekennen van een volledige licentie, krijgt de gebruiker onmiddellijk de volledige licentie toegekend. Als het profiel van de gebruiker daarna binnen de identiteitsprovider wordt gewijzigd om hem terug te zetten naar een Basis-licentie, krijgt hij opnieuw de Basis-licentie toegewezen zodra hij zich opnieuw verifieert binnen Zoom.

#### <mark style="color:blauw;">Geavanceerde toewijzing maakt meerdere SAML-attributen en waarden per categorie mogelijk</mark>

In tegenstelling tot Basis-mapping, die slechts één SAML-kenmerk per categorie toestaat, kan geavanceerde mapping ondersteuning bieden voor meerdere kenmerken en waarden voor elke categorie. Dit biedt aanzienlijke flexibiliteit bij het beheren van gebruikerlicenties en Access via beveiligingsgroepen binnen uw identiteitsprovider, zoals te zien is in de volgende configuratie.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van attribuutkoppeling voor SAML.</p></figcaption></figure>

{% hint style="success" %}
**Zoom-tip**

SAML-attributen kunnen per identiteitsprovider variëren, met name voor beveiligingsgroepen. Bevestig dit bij uw identiteitsprovider of via [SAML-responslogs](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) hoe SAML-attributen worden geclaimd.
{% endhint %}

#### <mark style="color:blauw;">Geavanceerde toewijzing past licenties van boven naar beneden toe wanneer meerdere attributen worden geclaimd</mark>

Als een gebruiker meerdere SAML-attributen of waarden doorgeeft die zijn geconfigureerd voor geavanceerde SAML-toewijzing, zal Zoom de licenties van boven naar beneden toewijzen. Zie het volgende voorbeeld:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van licentietype-selectie in de Instellingen van de beheerder.</p></figcaption></figure>

Volgens de bovenstaande configuratie, als een gebruiker een attribuut zou doorgeven voor zowel **global\_users** en **marketing**, omdat **marketing** is het hoogste in de configuratie, dit kenmerk wordt toegepast op de gebruiker en de overige toepasselijke kenmerken worden genegeerd.

Als alternatief, als de configuratie was ingesteld met **global\_users** als hoogste, zoals te zien is in de volgende schermafbeelding, als een verklaring van een gebruiker bevatte **global\_users**, **marketing**, **menselijk** **resources**, en **IT**, omdat **global\_users** is de hoogste prioriteit, dan wordt alleen een Basis licentie toegewezen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van het aanpassen van de volgorde van prioriteit</p></figcaption></figure>

Zoom-beheerders kunnen de volgorde van applicatie aanpassen bij het bewerken van de toewijzingswaarden met behulp van de ↑↓-pijlen in de editor.

{% hint style="success" %}
**Zoom Aanbeveling**

Configureer de geavanceerde configuraties van de meest specifieke naar de meest algemene om licentie misbruik te Voorkomen.
{% endhint %}

#### <mark style="color:blauw;">Webinar- en Grote vergaderingen-mappings kunnen een gemeenschappelijke waarde delen om beide Toevoegen-functies toe te passen</mark>

Om het aanvraagproces te vereenvoudigen, kunnen Zoom-beheerders Configureer dezelfde SAML-attribuut en waarde tweemaal om zowel webinar en Grote vergaderingen add-ons toe te voegen aan de gebruikers, zoals te zien is in de volgende afbeelding met de **global\_users** waarde. Deze Toevoegen-ons kunnen ook onafhankelijk worden geconfigureerd indien gewenst, zoals te zien is bij de **webinar\_only** en **grote\_vergadering\_alleen** waarden.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van SAML-kenmerken voor large_vergadering_only en webinar_only.</p></figcaption></figure>

#### <mark style="color:blauw;">Gebruikers kunnen aan meerdere gebruikersgroepen worden toegevoegd met behulp van één SAML-waarde</mark>

Zoom-beheerders kunnen gebruiker Groep-mapping Configureer om een gebruiker toe te voegen aan meerdere Groepen met één SAML-waarde.

De eerste toegevoegde gebruikersgroep wordt ingesteld als de Primaire Groep van de gebruiker en bepaalt de Standaard Instellingen van de gebruiker *tenzij een onderliggende Groep een instelling vergrendeld heeft*. Raadpleeg voor meer informatie over Gebruikersgroepen ons [ondersteuningsartikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van toewijzing van meerdere Gebruikersgroepen.</p></figcaption></figure>

#### <mark style="color:blauw;">Aangewezen gebruikers en Gebruikersgroepen kunnen worden vrijgesteld van specifieke SAML-toewijzingen</mark>

Elke optie onder Geavanceerde SAML-toewijzing kan worden geconfigureerd om specifieke gebruikers en Gebruikersgroepen vrij te stellen van toewijzingsgedrag. Dit kan nuttig zijn om VIP-gebruikers te beschermen tegen serviceonderbreking als gevolg van een mogelijke Wijzigen in licentieverlening.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van vrijstellingen voor gebruikers.</p></figcaption></figure>

#### <mark style="color:blauw;">Auto Mapping wijst gebruikers automatisch toe aan een gebruiker, kanaal of IM-groep met de naam van hun geclaimde SAML-waarde als de waarde niet eerder aan een Groep is toegewezen</mark>

Auto Mapping kan worden gebruikt om gebruikers automatisch toe te wijzen aan een Gebruikersgroep, kanaal en IM-groep met de naam van hun geclaimde SAML-waarde. In tegenstelling tot andere geavanceerde toewijzingscomponenten, die kunnen worden geconfigureerd om een gebruiker toe te wijzen aan elke Groep op basis van de SAML-waarde, wijst Auto Mapping een gebruiker altijd toe aan een Groep op basis van de exacte SAML-waarde. Als de Groep eerder niet bestond, wordt deze automatisch aangemaakt.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van SAML Automatische toewijzing.</p></figcaption></figure>

Bijvoorbeeld, als Automatische toewijzing is ingesteld om een gebruiker toe te wijzen aan de Groepen op basis van hun afdeling, en als hun afdelingswaarde nog niet is gedefinieerd voor de gebruiker Groep, het kanaal of de IM Groep, worden gebruikers automatisch toegewezen aan een Groep die overeenkomt met de naam van hun afdeling, zoals weergegeven in de volgende tabel:

| SAML-attribuut | SAML-waarde     | Bestaat Zoom Groep al? | Resultaat                                                           |
| -------------- | --------------- | ---------------------- | ------------------------------------------------------------------- |
| Afdeling       | Personeelszaken | Ja                     | gebruiker toegevoegd aan Human Resources Groep                      |
| Afdeling       | Marketing       | Ja                     | gebruiker toegevoegd aan Marketing Groep                            |
| Afdeling       | Verkoop         | Nee                    | Verkoop Groep is aangemaakt, gebruiker toegevoegd aan Verkoop Groep |

#### Zoom ondersteunt maximaal vijf aangepaste SAML-attributen

Zoom-beheerders kunnen maximaal Configureer *vijf* aangepaste SAML-attributen voor het toevoegen van gebruikersgegevens aan hun Zoom-profiel onder de [Gebruikersbeheer](https://zoom.us/account/user#/advanced) pagina. Nadat de aangepaste velden zijn toegevoegd, kunnen Zoom-beheerders de toewijzing op de Configureer-pagina instellen op de [SAML-antwoordkoppeling](https://zoom.us/account/sso/mapping) pagina.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Voorbeeld van aangepaste SAML-attributen</p></figcaption></figure>

#### <mark style="color:blauw;">Gebruikers aan een sub-account toewijzen zal</mark> *<mark style="color:blauw;">alleen</mark>* <mark style="color:blauw;">een vergaderinglicentie en Toevoegen-ons toepassen</mark>

Het koppelen van een gebruiker aan een subaccount zal alleen de vergaderingslicentie van de gebruiker en extra's zoals webinar en Grote vergaderingen toepassen op het subaccount. Gebruikersgroepen, IM-groepen, gebruikersrollen, enz. worden niet toegepast en moeten binnen het subaccount worden geconfigureerd.

Klanten die meer flexibiliteit vereisen voor SAML-responsmapping met sub-accounts, hebben een unieke vanity-URL en een nieuwe SSO-configuratie binnen het sub-account nodig.

### SSO-problemen oplossen

#### <mark style="color:blauw;">SAML-responslogs gebruiken voor probleemoplossing</mark>

Opgeslagen SAML-antwoordlogboeken kunnen een onschatbaar hulpmiddel zijn voor het oplossen van configuratie- en gebruikersfouten, naast configuraties voor het toewijzen van SAML-antwoordvelden. Als uw SSO-configuratie is ingesteld om SAML-antwoordlogboeken op te slaan, kunnen ze worden geopend via de [SAML-responslog](https://zoom.us/account/sso/saml_logs) Tabblad Beschikbaar binnen de SSO-configuratiepagina in Geavanceerde Instellingen. Klik om de SAML-responslogboeken te bekijken **Details bekijken** naast een authenticatiepoging.

#### <mark style="color:blauw;">De meeste authenticaties worden weergegeven in de responslogboeken</mark>

De meeste mislukte of niet-geslaagde authenticatiepogingen worden weergegeven op de pagina met responslogboeken. Als een authenticatiepoging niet wordt weergegeven, heeft Zoom waarschijnlijk geen SAML-assertion ontvangen van uw identiteitsprovider, of is het opslaan van SAML-responslogboeken uitgeschakeld.

#### <mark style="color:blauw;">Responslogboeken kunnen aangeven of uw configuratie onjuist is of uw certificaat verouderd is</mark>

Wanneer SAML-responslogboeken zijn ingeschakeld, wordt de informatie van de identiteitsprovider geclaimd aan Zoom om identiteiten voor elke partij te authenticeren. Als een geclaimde instelling of tekenreeks met informatie, zoals het X509-certificaat of de issuer-ID, afwijkt van de huidige configuratie van Zoom, verschijnt er een foutmelding met de melding dat de informatie “niet overeenkomt met de huidige SSO-Instellingen.” Een Zoom-beheerder kan de SSO-configuratie bijwerken zodat deze overeenkomt met deze geclaimde waarden als ze correct zijn om de fout op te lossen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van waarschuwingen bij een onjuiste configuratie.</p></figcaption></figure>

#### <mark style="color:blauw;">Responslogboeken laten zien welke SAML-waarden en kenmerken worden geclaimd</mark>

Het bekijken van responslogboeken kan helpen bij het oplossen van configuraties voor SAML-responskoppelingen door te controleren welke kenmerken en waarden gebruikers claimen terwijl ze zich authenticeren. Deze kunnen worden vergeleken met de configuratie om ervoor te zorgen dat de kenmerken en waarden overeenkomen.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van informatie die door de identiteitsproviderservice wordt geclaimd.</p></figcaption></figure>

Als SAML-kenmerken of -waarden ontbreken, wordt de informatie niet geclaimd door de identiteitsproviderservice. Gebruikers die dit probleem ervaren, wordt aangeraden contact op te nemen met de ondersteuningsdiensten van hun identiteitsprovider voor meer hulp.

#### <mark style="color:blauw;">Responselogs bevatten een foutcode en een korte uitleg, indien dit niet is gelukt</mark>

Als een gebruiker niet kan authenticeren of een fout ontvangt, bevatten de SAML-responselogs een foutcode en een korte uitleg van de fout.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van een foutcode en uitleg.</p></figcaption></figure>

De meeste problemen kunnen worden geïdentificeerd en opgelost met behulp van deze foutmeldingen. Als u de fout niet kunt oplossen, neem dan contact op met Zoom-ondersteuning voor დამატļ?

#### <mark style="color:blauw;">Fouten met web-tracking-id</mark>

Als een gebruiker SSO-authenticatie niet voltooit, ontvangt deze een foutcode voor een WEB Tracking ID. Deze codes zijn geen foutmelding die verband houdt met een specifieke fout, maar zijn in plaats daarvan een unieke log-ID die kan worden gecontroleerd in SAML Response Mapping om authenticatieproblemen te identificeren.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van een fout voor de gebruiker met een foutcode voor een WEB Tracking ID.</p></figcaption></figure>

Als u de fout wilt identificeren, navigeert u, als SAML-responsregistratie is ingeschakeld, naar het [SAML-responslog](https://zoom.us/account/sso/saml_logs) Tabblad dat beschikbaar is op de SSO-configuratiepagina in Geavanceerde Instellingen. Voer vanaf daar de WEB-tracking-ID in het veld Tracking ID in en zoek om het responselog te vullen

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van het zoeken in het SAML-responslog met de eerder genoemde foutcode voor WEB Tracking ID.</p></figcaption></figure>

De SAML-responslogs moeten de SAML-assertie en een foutcode en -melding onderaan de respons weergeven, die kunnen worden gebruikt voor aanvullende probleemoplossing.

### SCIM-fouten

#### <mark style="color:blauw;">Gebruiker bestaat niet of behoort niet tot dit account</mark>

Deze fout treedt op wanneer het E-mailadres van een beoogde gebruiker niet kan worden ingericht vanwege een al bestaand account. Zoom-beheerders worden aangemoedigd rechtstreeks contact op te nemen met de gebruiker en de gebruiker handmatig uit te nodigen voor het account.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van een inrichtingsfout.</p></figcaption></figure>

#### <mark style="color:blauw;">U kunt geen betaalde gebruikers toevoegen</mark>

Deze fout treedt op wanneer SCIM probeert een gebruiker in te richten terwijl er onvoldoende licenties op het account beschikbaar zijn. Om de fout op te lossen, moet de gebruiker worden ingericht als een Basis-gebruiker, of moet er een licentie beschikbaar worden gemaakt voor inrichting.

### SCIM-logs gebruiken om problemen met gebruikersinrichting op te lossen

Zoom biedt de meest recente 100 API-verzoeklogs in de [Zoom Marketplace](https://marketplace.zoom.us/). Een Zoom beheerder kan deze logboeken gebruiken om te bevestigen welke informatie wordt verzonden en ontvangen via provisioning-API’s. Om toegang te krijgen tot de logboeken, meldt u zich aan bij de Zoom Marketplace als een Zoom beheerder en klikt u op **Beheren**. Selecteer op de volgende pagina **Bellen-logboeken** onder **Persoonlijk app-beheer**. Klik daar op een item om de API-logboeken uit te vouwen en de inhoud te bekijken.

De volgende afbeelding toont een voorbeeld van een SCIM-gebruiker provisioningverzoek, waarbij de identiteit en licentie-attributen van de gebruiker ter referentie zijn gemarkeerd.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Voorbeeld van een SCIM-gebruiker provisioningverzoek.</p></figcaption></figure>

Net als bij SAML-responsmapping kan Zoom alleen informatie toepassen die in het provisioningverzoek door de identiteitsprovider wordt verzonden. Gebruik deze logboeken om te bevestigen dat identiteits- en licentie-attributen van de gebruiker door de identiteitsprovider worden verzonden. Als verwachte informatie ontbreekt in deze verklaringen, neem contactpersoon op met uw identiteitsprovider voor ondersteuning.

### Gegevensstromen en authenticatie

#### <mark style="color:blauw;">SAML-authenticatie</mark>

Het volgende diagram geeft details over de SAML-authenticatiestroom van een gebruiker bij het initiëren van een single sign-on-sessie met Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagram van een voorbeeld van een SAML-authenticatiestroom.</p></figcaption></figure>

#### <mark style="color:blauw;">SSO-webinlogtoken</mark>

Nadat een gebruiker zich via SAML heeft geauthenticeerd, wordt de sessie van de gebruiker opgebouwd binnen zijn Browser en heeft deze

een levensduur van twee uur Standaard. Als de gebruiker de Zoom-webpagina actief blijft gebruiken, wordt de sessie vernieuwd; als de gebruiker zijn webpagina echter twee uur lang niet gebruikt, verloopt het token en moet de gebruiker zich opnieuw authenticeren. Zoom-beheerders kunnen deze actieve sessieduur Configureer op de [Beveiliging](https://zoom.us/account/setting/security) pagina onder Gebruikers moeten zich opnieuw aanmelden na een periode van inactiviteit en **Stel de periode voor inactiviteit op het web in (minuten)**.

#### <mark style="color:blauw;">Client-inlogtoken</mark>

Wanneer een gebruiker probeert te authenticeren via SSO binnen een client, opent de machine van de gebruiker een web Browser en wordt deze doorgestuurd naar de inlogpagina van de identiteitsprovider. Nadat een gebruiker zich heeft geauthenticeerd, ontvangt de Browser van de gebruiker een Zoom-clientstarttoken. Zodra een gebruiker op de knop 'openen' of 'starten' klikt, gebruikt de Browser het URL-schema in combinatie met het starttoken om de Zoom-client te openen.

De Zoom-client gebruikt het starttoken om het access token en het verversingstoken van de Zoom-server op te halen. De client gebruikt het access token telkens gedurende twee uur en gebruikt bij vervaldatum het verversingstoken om een nieuwe set tokens te verkrijgen, die worden opgeslagen in de lokale database van de client. Dit vernieuwingsproces is Standaard onbeperkt en kan tokens voortdurend blijven doorlopen totdat een gebruiker zich afmeldt of de tokens verlopen. Zoom-beheerders kunnen de sessieduur aanpassen op de [SSO-instellingen](https://zoom.us/account/sso) pagina onder [*automatisch afmelden afdwingen*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://library.zoom.com/technical-library/nl/beheerdershoek/account-and-endpoint-management/sso-field-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.