# Handleiding voor SSO ### Introductie Het integreren van single sign-on (SSO) met Zoom biedt beheerders opties voor gebruikersbeheer en beveiliging die het accountbeheer kunnen vereenvoudigen. Zodra het is geconfigureerd, verifiëren gebruikers zich met hun bedrijfsreferenties bij de identiteitsprovider van uw bedrijf in plaats van andere authenticatiemethoden zoals integraties met Google of Facebook, of een directe gebruikersnaam en wachtwoord bij Zoom te gebruiken. Dit document biedt een uitgebreid overzicht van SSO-configuraties en -instellingen binnen Zoom, naast informatie over probleemoplossing en beveiliging. ### SSO-integraties #### SSO vereist een vanity-URL om te beginnen Een account moet een goedgekeurde vanity-URL hebben voordat SSO wordt geconfigureerd. Zodra de vanity-URL is goedgekeurd, kunnen Zoom-beheerders toegang krijgen tot de [SSO-configuratie](https://zoom.us/account/sso) pagina via het submenu geavanceerde opties op het webportal. Raadpleeg ons supportartikel over [Vanity-URL's](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) voor meer informatie. #### Zoom SSO werkt met elke SAML 2.0-identiteitsprovider Zoom kan integreren met elke identiteitsprovider die Security Assertion Markup Language (SAML) 2.0-authenticatie ondersteunt. Hoewel er veel gedocumenteerde integratiestappen bestaan, bieden sommige identiteitsproviders geen documentatie voor integratie met Zoom. Accounts die geen configuratie-instructies kunnen vinden, worden aangemoedigd contact op te nemen met hun identiteitsprovider voor meer informatie. #### Zoom-beheerders kunnen gebruikersprofielgegevens en licenties beheren via SAML-responsmapping of SCIM-integraties Beheerders kunnen gebruikersprofielgegevens en licenties beheren via SAML-responsmapping of System for Cross-Domain Identity Management (SCIM) API-aanroepen, afhankelijk van de functies die de identiteitsprovider biedt. Beide methoden voor gebruikersbeheer bieden vrijwel gelijke functionaliteit voor het mappen van profielgegevens en het beheren van licenties, maar sommige SCIM-mappings vereisen handmatige configuratie. Voor een uitgebreide lijst met SCIM-mogelijkheden, raadpleeg ons [SCIM API-documentatie](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User). #### Zoom-beheerders kunnen de status van gebruikersaccounts beheren via SCIM, maar niet via SAML Omdat SCIM identiteitsproviders in staat stelt direct op elk moment met Zoom te communiceren, kunnen gebruikersaccounts worden *geactiveerd*, *gedeactiveerd*, *gemaakt*, of *verwijderd* via SCIM-integraties automatisch. Bijvoorbeeld: als het account van een gebruiker in Active Directory is uitgeschakeld, of als ze de toepassing niet meer zijn toegewezen, kan SCIM een automatische deactiveringsaanvraag naar Zoom sturen voor het account van die gebruiker. Deze functie is afhankelijk van de mogelijkheden van de SCIM-toepassing van de identiteitsprovider en de functionaliteit kan per provider variëren. #### Weinig identiteitsproviders bieden SCIM voor Zoom Veel identiteitsproviders hebben geen SCIM-integratie voor Zoom als onderdeel van hun diensten. Accounts die een identiteitsprovider gebruiken die SCIM met Zoom niet ondersteunt, moeten SAML-responsmapping gebruiken voor geautomatiseerd gebruikersbeheer. #### SCIM vereist een gekoppeld domein om gebruikers automatisch te provisioneren Accounts die SCIM gebruiken om gebruikers voor SSO te beheren en te provisioneren **moeten** het e-maildomein met Zoom koppelen. Het niet koppelen van het domein zal resulteren in fouten bij het provisioneren van gebruikers. Raadpleeg ons supportartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie over het proces. #### De volgende SSO-integraties zijn gedocumenteerd {% hint style="success" %} **Zoom-tip** Klik op het ✔ in de kolom Provider- of Zoom-documentatie om in een nieuw venster instructies te openen. {% endhint %}
ProviderdocumentatieZoom-documentatieOndersteunt SCIM
auth0

ADFS
AD Sync Tool
Clever

CyberArk

Duo

Entra ID (voorheen Azure)
Google
JumpCloud
miniOrange

Okta
OneLogin
Ping Identity
Shibboleth

#### On-premises Active Directory kan de AD Sync Tool gebruiken in plaats van SCIM Accounts die gebruikersprovisionering via SCIM willen automatiseren maar geen cloudgebaseerde identiteitsprovider hebben, kunnen de Active Directory (AD) Sync Tool-applicatie gebruiken die door Zoom is ontwikkeld voor het beheren van hun gebruikers. Deze applicatie draait op Oracle JDK 8 en simuleert SCIM-provisioning door gebruikers te beheren via API-commando's. Zie ons supportartikel over de [AD Sync Tool](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) voor meer informatie. {% hint style="success" %} **Zoom-aanbeveling** De AD Sync Tool vereist nauwkeurige configuratie voor gebruikersbeheer. Grondige tests en beoordeling van de configuratie van de tool zijn vereist vóór volledige implementatie om serviceonderbreking te voorkomen. {% endhint %} #### Identiteitsproviders kunnen zelfs deelnemers aan vergaderingen verifiëren die geen Zoom-account hebben Accounts die willen dat gebruikers hun identiteit moeten verifiëren maar geen Zoom-accounts willen verstrekken, kunnen een extern authenticatieprofiel configureren bij hun identiteitsprovider. Wanneer dit is ingeschakeld voor een vergadering, moeten gebruikers die proberen deel te nemen hun inloggegevens verifiëren bij uw identiteitsprovider om toegang te krijgen. Dit is een veelvoorkomende configuratie voor scholen die niet aan alle studenten accounts verstrekken maar wel authenticatie vereisen om aan lessen deel te nemen. Raadpleeg ons supportartikel over [externe authenticatie configureren](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) voor meer informatie. #### Het wijzigen van de identiteitsprovider vereist het opnieuw configureren van SSO binnen Zoom Accounts die van identiteitsprovider veranderen, moeten hun SSO-configuratie binnen Zoom opnieuw doen. Dit omvat het bijwerken van alle velden op de configuratiepagina om overeen te komen met hun nieuwe identiteitsprovider. Accounts worden aangemoedigd te bevestigen dat SAML-responsmappings niet zullen veranderen met de nieuwe identiteitsprovider. Er zouden geen aanvullende configuraties of wijzigingen nodig moeten zijn, ervan uitgaande dat er geen verdere wijzigingen zijn. #### Klanten met subaccounts kunnen SSO configureren vanuit het hoofd- of subaccount Klanten met subaccounts hebben twee opties voor het configureren van SSO: 1. Alle gebruikers verifiëren met de vanity-URL van het hoofdaccount en worden automatisch aangemeld bij het subaccount via geavanceerde SAML-mapping ([sommige mappingbeperkingen zijn van toepassing](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); of 2. Elk subaccount heeft een unieke vanity-URL en een onafhankelijke SSO-configuratie, die uitsluitend door leden van dat subaccount wordt gebruikt Elke configuratie biedt unieke voordelen, waarbij de tweede optie de meeste flexibiliteit biedt. Klanten die implementatie van een van beide configuraties overwegen, moeten dit bespreken met hun accountteam om te bepalen welke configuratie het beste bij hun behoeften past. ### SSO-instellingen en beveiliging Zoom-beheerders kunnen de optimale beveiligings- en instellingopties kiezen voor hun organisatie bij het configureren van een SSO-integratie met Zoom. Deze sectie legt deze instellingen en hun implicaties voor een SSO-integratie uit.

Voorbeeld van SSO-integratie-instellingen.

#### Zoom ondersteunt ondertekende SAML-aanmeld- en afmeldverzoeken Zoom-beheerders die aanvullende authenticatie door de serviceprovider vereisen, kunnen Zoom configureren om alle aanmeld- en afmeldverzoeken aan de identiteitsprovider te ondertekenen. Accounts die deze instelling gebruiken, kunnen mogelijk een certificaatrotatie nodig hebben als hun identiteitsprovider geen dynamische metadata-refresh ondersteunt. Zie ons supportartikel over [certificaatrotatie](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) voor meer informatie. #### Zoom ondersteunt versleutelde SAML-asserties bij authenticatie Zoom-beheerders kunnen Zoom configureren om versleutelde asserties te ondersteunen bij authenticatie. Als deze instelling is ingeschakeld, worden niet-versleutelde asserties verworpen. Accounts die deze instelling gebruiken, kunnen SSO-certificaatrotatie nodig hebben als hun identiteitsprovider geen dynamische metadata-refresh ondersteunt. Zie ons supportartikel over [certificaatrotatie](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) voor meer informatie. #### Zoom-beheerders kunnen automatisch uitloggen afdwingen na een bepaalde tijdsduur Zoom-beheerders kunnen Zoom configureren om gebruikers automatisch uit actieve sessies uit te loggen na gedefinieerde tijdsduur, instelbaar van 15 minuten tot 180 dagen. Dit proces zorgt ervoor dat het Zoom-toegangstoken verloopt na de vooraf bepaalde duur zodra het token is gegenereerd. Dit token heeft geen relatie met een identiteitsprovider en is uniek voor Zoom. #### SAML-responslogboeken kunnen worden opgeslagen voor probleemoplossing Zoom kan SAML-responslogboeken van authenticatiepogingen zeven dagen na een authenticatie opslaan. Deze responslogboeken kunnen een onschatbare tool zijn voor het oplossen van configuratie- en gebruikersfouten, naast SAML-responsmappingconfiguraties. Bekijk de sectie over [fouten oplossen met SAML-responslogboeken](#using-saml-response-logs-to-troubleshoot) voor meer informatie. {% hint style="success" %} **Zoom-aanbeveling** Schakel het opslaan van SAML-responslogboeken in om het oplossen van problemen te vergemakkelijken. {% endhint %} #### Provisioning bij aanmelding kan accounts direct aanmaken en is de eenvoudigste provisioningoptie Wanneer SSO is ingesteld om te provisioneren *Bij aanmelding* (ook bekend als just-in-time provisioning), kan elke geautoriseerde gebruiker binnen de identiteitsprovider zich authenticeren in Zoom. Gebruikers die nog geen bestaand account hebben, krijgen bij aanmelding onmiddellijk een account aangemaakt. Provisioning bij aanmelding kan Zoom-implementaties binnen een bedrijf vereenvoudigen door gebruikers hun accounts te laten aanmaken op het moment van authenticatie in plaats van proactief gebruikers te moeten aanmaken. In combinatie met SAML-responsmapping is een volledig gebruikersprofiel en licentie binnen enkele seconden klaar na de eerste authenticatie van een gebruiker. Bovendien kan provisioning bij aanmelding dynamisch het SSO-aanmeldtype aanmaken voor bestaande accounts. Als een gebruiker een bestaand Zoom-account heeft met een gebruikersnaam en wachtwoord, wordt bij aanmelding met deze configuratie een SSO-aanmeldtype aangemaakt. #### Provisioning vóór aanmelding vereist vooraf aangemaakte accounts met een SSO-aanmeldtype Gebruikers provisioneren voor SSO *vóór aanmelding* vereist dat authenticerende gebruikers **beide** een bestaand Zoom-account hebben, en dat het account een SSO-aanmeldtype heeft. Dit type provisioning wordt vaak gecombineerd met SCIM-provisioning vanwege het geautomatiseerde aanmaakproces, maar is daar niet exclusief aan gekoppeld. Zoom-gebruikers die zijn samengevoegd in het bedrijfsaccount via gekoppelde domeinen of een directe uitnodiging, hebben waarschijnlijk niet het SSO-aanmeldtype. Zoom-beheerders kunnen bevestigen of een account een SSO-aanmeldtype heeft door het gebruikersaccount te bekijken op de [Gebruikersbeheer](https://zoom.us/account/user#/) pagina binnen het webportal en te zoeken naar het “SSO”-pictogram onder het e-mailadres van de gebruiker.

Locatie van het SSO-pictogram onder het e-mailadres van een gebruiker.

Als het pictogram aanwezig is, is de gebruiker geprovisioned voor SSO; als het pictogram ontbreekt, kan de gebruiker zich niet aanmelden via SSO terwijl vooraf provisioneren is ingeschakeld totdat het wordt toegevoegd. Een Zoom-beheerder kan dit aanmeldtype toevoegen door gebruikers in bulk toe te voegen via een CSV-bestand en de optie “SSO User” te selecteren of door de gebruiker te laten authenticeren terwijl Provision at Sign-in is ingeschakeld.

Voorbeeld dat de optie SSO-gebruiker voor bulkuploads toont.

{% hint style="success" %} **Zoom-aanbeveling** Om te voorkomen dat gebruikers zich niet kunnen aanmelden, gebruikt u provisioning bij aanmelding wanneer u SSO voor het eerst op een account configureert. Schakel over naar vooraf provisioneren indien gewenst zodra u heeft bevestigd dat uw gebruikers vooraf zijn geprovisioned en u methoden voor vooraf provisioneren heeft ingesteld. {% endhint %} #### Er moet een domein zijn gekoppeld en beheerd om SSO-authenticatie af te dwingen Zoom-beheerders kunnen SSO-authenticatie afdwingen *alleen* als het e-maildomein is gekoppeld en beheerd binnen Zoom. Wanneer dit is ingeschakeld, worden alle gebruikers die zich authenticeren met uw bedrijfsdomein(en) automatisch doorgestuurd naar de authenticatiepagina van uw identiteitsprovider, ongeacht het platform. Zodra het domein is goedgekeurd en beheerd, kan een Zoom-beheerder SSO-authenticatie afdwingen via de [beveiligingspagina](https://zoom.us/account/setting/security) onder **Aanmeldmethoden**. Raadpleeg ons supportartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie over het koppelen en beheren van een domein. #### Specifieke gebruikers kunnen vrijgesteld worden van afgedwongen SSO-authenticatie Zoom-beheerders kunnen specifieke gebruikers uitsluiten van afgedwongen SSO-authenticatie. Het uitsluiten van specifieke gebruikers (zoals een beheerdersaccount) kan nuttig zijn als een SSO-configuratie faalt en een accountbeheerder niet-SSO-toegang tot het Zoom-account nodig heeft. Beheerders die zijn vrijgesteld, kunnen zich op elk moment aanmelden bij admin.zoom.us in het geval van een accountlockout of gebroken SSO-configuratie (de gebruiker moet de standaard **beheerder** rol hebben). Als een Zoom-beheerder geen toegang tot het account kan krijgen, moeten zij contact opnemen met Zoom Support voor hulp. Om een gebruikersuitzondering in te schakelen, gaat u naar het account [beveiligingspagina](https://zoom.us/account/setting/security) op het webportal onder geavanceerde opties, zoekt u de lijst met afgedwongen domeinen en voegt u een uitzondering toe via de bewerklijst.

Voorbeeld van domeinlijst voor SSO.

#### Mobiele en desktopclients kunnen worden geconfigureerd om gebruikers te verplichten SSO-authenticatie te gebruiken Zoom-clients kunnen vooraf worden geconfigureerd om SSO-functionaliteit te automatiseren, inclusief automatische aanmelding, automatisch uitloggen, alleen-SSO-authenticatie op het apparaat en meer via Group Policy, mobile device management (MDM)-diensten en massadeployments van clients. Voor een volledige lijst met configuratiemogelijkheden, raadpleeg onze configuratie-opties voor [Groepsbeleid](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) en [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows). #### Office 365-gebruikers kunnen zich automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties Klanten die Office 365 gebruiken, kunnen hun gebruikers automatisch aanmelden bij de Zoom voor Outlook-invoegtoepassing met SSO-referenties. Dit kan worden gecombineerd met een [aangepast add-in-manifest](https://support.zoom.us/hc/en-us/articles/360041403311) dat de vanity-URL van het account vooraf invult, waardoor gebruikers een naadloze authenticatie-ervaring krijgen. Deze functie gebruikt het SSO-sessietoken van de gebruiker als dit actief is, of vraagt om een nieuwe authenticatie bij uw identiteitsprovider als er geen actieve sessie wordt gevonden. Een Zoom-beheerder kan deze instelling inschakelen op de [beveiligingspagina](https://zoom.us/account/setting/security) van het account onder het **geavanceerde** menu.

Voorbeeld van beheerdersinstelling voor SSO met Outlook-invoegtoepassing.

### SAML-responsmapping SAML-attributen zijn categorieën gegevens gedefinieerd door SAML-waarden, en worden gebruikt om informatie van de identiteitsprovider naar een serviceprovider zoals Zoom over te dragen. Het mappen van attributen en waarden is essentieel voor het automatiseren van gebruikersprofielinformatie en het beheren van gebruikerslicenties. SAML-responsmapping is opgesplitst in twee delen: *basis* en *geavanceerde*. Basis-mapping wordt gebruikt om basisprofielinformatie te mappen, waaronder naam, telefoonnummer, afdeling, enz. Geavanceerde mapping wordt gebruikt om dynamische licentietoewijzingen te beheren, gebruikersgroepen toe te wijzen, gebruikersrollen en meer. Deze sectie behandelt de fundamenten van SAML-responsmapping, basis- en geavanceerde SAML-responsmapping, en belicht unieke voorwaarden die voor sommige functies vereist zijn. #### Fundamenten: SAML-attributen en -waarden De meeste identiteitsproviders geven basisprofielinformatie door met eenvoudige attributenamen en -waarden. Bijvoorbeeld: de afdeling van een medewerker kan via SAML binnenkomen met een attribuut department en een waarde Human Resources. De volgende tabel toont de relatie tussen attributen en waarden bij het doorgeven van informatie over een gebruiker. | SAML-attribuut | SAML-waarde | | -------------- | ------------------------------ | | firstName | John | | lastName | Smith | | email | | | department | Human Resources | Door een SAML-attribuut correct toe te wijzen aan een responsmapping, kunnen gebruikersgegevens automatisch op een gebruikersprofiel worden toegepast om het aanmaak- en beheerproces van accounts te vereenvoudigen. #### Basis-mapping: profielinformatie SAML Basic Information Mapping wordt gebruikt om profielinformatie zoals voornaam, achternaam, afdeling, telefoonnummer, kostenplaats en locatie vanuit een directory naar het gebruikersprofiel toe te passen. Veel van deze categorieën zijn vanzelfsprekend en kunnen eenvoudig worden geconfigureerd; sommige categorieën vereisen echter uitleg voor juiste configuratie om onvoorziene gevolgen of applicatiefouten te voorkomen. De volgende sectie belicht unieke mappingopties en configuratie-instellingen voor basis-mapping. Raadpleeg ons [Artikel over basis SAML-mapping](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) voor een volledige lijst van ondersteunde attributen. #### Het standaardlicentietype is alleen van toepassing op *splinternieuwe gebruikers* De optie voor het standaardlicentietype zal de aangewezen licentie toepassen op alle *splinternieuwe* gebruikers die binnen het account via SAML worden geprovisioned. Dit geldt niet voor gebruikers die voor de tweede keer authenticeren, gebruikers die naar het account zijn geconsolideerd vanuit een vorig account, gebruikers die via SCIM worden geprovisioned, of gebruikers die handmatig zijn uitgenodigd. Voor informatie over *het bijwerken van* gebruikerslicenties met authenticatie, raadpleeg de licentieconfiguratie onder [Geavanceerde SAML-mapping](#advanced-mapping-licenses-add-ons-and-access). #### Een standaardlicentietype van *Geen* zal nieuwe gebruikers niet toestaan te authenticeren tenzij geavanceerde mapping is geconfigureerd om een licentie toe te wijzen Zoom-gebruikers moeten een toegewezen licentietype (Basic, Licensed of On-Prem) hebben om in te loggen op de Zoom-service. Als een standaardlicentietype van Geen is geselecteerd, kunnen nieuwe gebruikers zich niet aanmelden of een nieuw account aanmaken tenzij ze een licentie ontvangen via [Geavanceerde SAML-mapping](#advanced-mapping-licenses-add-ons-and-access). #### De meeste basis-mappings worden bij aanmelding opnieuw toegepast, tenzij anders gespecificeerd De meeste basis SAML-mappings worden standaard elke keer bijgewerkt wanneer een gebruiker zich aanmeldt, *behalve* *voor* voornaam, achternaam, displaynaam en telefoonnummer. Standaard worden deze vier mappings alleen de eerste keer toegepast dat een gebruiker authenticereert en worden ze niet opnieuw toegepast, zelfs niet als ze door een gebruiker of beheerder worden bijgewerkt. Zoom-beheerders kunnen dit gedrag veranderen door de optie in te schakelen voor **Bijwerken bij elke SSO-aanmelding** op de pagina voor SAML-responsmapping.

Voorbeeld van de optie Bijwerken bij elke SSO-aanmelding.

#### Telefoonnummer-mappings moeten een landcode en netnummer bevatten als ze buiten de Verenigde Staten zijn Telefoonnummers die via SAML worden gemapt, moeten indien mogelijk de landcode en het netnummer van de gebruiker in de SAML-assertie bevatten. Zoom zal standaard een landcode van +1 aannemen als deze niet is gedefinieerd. Accounts die geen landcodes in hun directory behouden, kunnen hun SAML-asserties in hun identiteitsprovider bewerken om deze indien nodig automatisch toe te voegen. #### Elke gebruiker kan tot drie telefoonnummers en één faxnummer aan zijn profiel laten koppelen Zoom-beheerders kunnen tot drie afzonderlijke telefoonnummappings en één faxnummapping voor elke gebruiker configureren. Elk telefoonnummer moet uniek zijn en mag niet dupliceren met de waarde van een ander veld.

Voorbeeld van telefoonnummeropties voor elke gebruiker.

#### Profielfoto's moeten worden gemapt vanaf een openbaar toegankelijke URL of gecodeerd met Base64 Accounts die profielfoto's uit hun directory willen mappen, moeten de afbeeldingen mappen met behulp van een openbaar toegankelijke URL of de afbeelding coderen in Base64 bij het asserten. #### Unieke medewerker-ID **De unieke medewerker-ID verandert de primaire identifier die Zoom gebruikt om gebruikers te identificeren** De *Unieke medewerker-ID* is een functie die Zoom aanbiedt ter ondersteuning van identiteitsbeheer. Standaard is de primaire identificatie voor een Zoom-gebruiker hun **email** **e-mailadres**. Dit betekent dat als het werk-e-mailadres login-type ****is, Zoom deze gebruiker altijd zal identificeren aan de hand van dat e-mailadres. Deze identifier is wat integraties zoals SSO of Facebook- en Google-OAuth-accounts in staat stelt de gebruiker aan hetzelfde Zoom-account te koppelen. Dit identificatieproces kan echter problematisch zijn als de naam of het e-mailadres van een gebruiker verandert. Bijvoorbeeld als **** een e-mail verandert in ****, kan Zoom niet veilig bepalen dat dit dezelfde persoon is (omdat de fundamentele identifier anders is) en zal Zoom bij de eerste aanmelding een nieuw account aanmaken voor **** helemaal. Om dit probleem te vereenvoudigen, biedt Zoom de functie Unieke medewerker-ID, die de primaire identifier van een gebruiker wijzigt van hun e-mailadres naar een vastgestelde unieke ID. *Dit verandert de Zoom-gebruikersnaam van een gebruiker niet*, maar biedt in plaats daarvan een alternatieve identificerende attribuut. Deze wijziging stelt Zoom in staat het e-mailadres van een gebruiker dynamisch bij te werken binnen Zoom indien: * een *nieuw* e-mailadres gepaard gaat met een bekende Unieke medewerker-ID; en * het e-maildomein van de betreffende gebruiker binnen Zoom is gekoppeld Bijvoorbeeld, als **** authenticeert en een SAML-waarde van 12345 (hun personeelsnummer) doorgeeft voor het attribuut Unieke medewerker-ID, zal Zoom de gebruiker binnen het account identificeren op basis van de opgegeven waarde. Als John opnieuw authenticereert met het e-mailadres **** terwijl hij nog steeds de Unieke medewerker-ID van 12345 doorgeeft, zal Zoom identificeren dat nu **** is en zal het e-mailadres van de gebruiker dynamisch bijwerken binnen het account als het domein is gekoppeld. Identiteitsbeheerders moeten er *verzekerd* van zijn dat geen twee gebruikers dezelfde Unieke medewerker-ID-waarde zullen delen voordat ze SAML-mapping voor deze categorie instellen. Als een andere gebruiker authenticereert en dezelfde waarde doorgeeft, zal het e-mailadres opnieuw worden bijgewerkt naar de nieuwe gebruiker en kan dit aanzienlijke verstoring van diensten en de gebruikerservaring veroorzaken. **De functie Unieke medewerker-ID vereist gekoppelde domeinen om het e-mailadres van een gebruiker te wijzigen** De functie Unieke medewerker-ID kan het e-mailadres van een gebruiker niet bijwerken tenzij het e-maildomein officieel is gekoppeld aan uw accountprofiel. Raadpleeg ons supportartikel over [Gekoppelde domeinen](https://support.zoom.us/hc/en-us/articles/203395207) voor meer informatie. **Beheerders en eigenaren kunnen hun e-mailadres niet bijwerken via de Unieke medewerker-ID** E-mailadressen van beheerders en eigenaren binnen Zoom kunnen niet worden bijgewerkt via de functie Unieke medewerker-ID. Dit is bedoeld als een beveiligingsmaatregel om ongeautoriseerde toegang te voorkomen. Beheerders en eigenaren moeten hun e-mailadres wijzigen via hun profielpagina. **Gebruikerse-mails kunnen slechts één keer per dag worden bijgewerkt via de Unieke medewerker-ID** E-mailadressen van gebruikers kunnen slechts eenmaal per 24 uur worden bijgewerkt via de functie Unieke medewerker-ID. Een gebruiker moet een volledige kalenderdag wachten vanaf de vorige update voordat hij zijn e-mailadres via SSO opnieuw kan bijwerken.

Diagram van een voorbeeldstroom voor het bijwerken van gebruikers-e-mails.

**Het instellen van het SAML-attribuut op \ zal de opgegeven NameID van de gebruiker gebruiken** Het mappen van het SAML-attribuut Unieke medewerker-ID naar **\** zal automatisch de opgegeven NameID-waarde van de gebruiker als hun unieke identifier gebruiken. Dit kan een nuttig hulpmiddel zijn als uw identiteitsprovider een NameID opgeeft die anders is dan het e-mailadres van een gebruiker, zoals een User Principal Name (UPN) of een vergelijkbare waarde die niet verandert. Gebruik deze waarde niet als de NameIDs van gebruikers overeenkomen met hun e-mail.

Voorbeeld van de <NameID>-beheerdersinstelling.

### Geavanceerde mapping: licenties, add-ons en toegang De sectie SAML Advanced Information Mapping kan dynamisch licenties (inclusief Zoom Phone), add-ons en gebruikers-toegangsgroepen toepassen op gebruikers wanneer ze authenticeren. In tegenstelling tot basis-mapping bevat geavanceerde mapping veel nuances die zorgvuldige aandacht kunnen vereisen bij configuratie, afhankelijk van de complexiteit van uw omgeving. Deze sectie belicht de nuances voor het configureren van geavanceerde SAML-mapping. Raadpleeg ons [Artikel over geavanceerde SAML-mapping](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) voor een volledige lijst van ondersteunde attributen. #### Geavanceerde mapping wordt elke keer toegepast wanneer een gebruiker authenticereert In tegenstelling tot basis-mapping, die optionele updates voor sommige categorieën heeft, worden geavanceerde mappingconfiguraties elke keer toegepast dat een gebruiker authenticereert, volgens de van boven naar beneden volgorde van toepassing. Bijvoorbeeld: als een gebruiker een basislicentie heeft en vervolgens authenticereert via SSO met een SAML-attribuut en -waarde die is gekoppeld aan het toekennen van een volledige licentie, krijgt de gebruiker onmiddellijk de volledige licentie. Als het profiel van de gebruiker vervolgens binnen de identiteitsprovider wordt gewijzigd om terug te gaan naar een basislicentie, wordt de gebruiker bij herauthenticatie binnen Zoom opnieuw toegewezen aan de basislicentie. #### Geavanceerde mapping staat meerdere SAML-attributen en -waarden per categorie toe In tegenstelling tot basis-mapping, die slechts één SAML-attribuut per categorie toestaat, kan geavanceerde mapping meerdere attributen en waarden per categorie ondersteunen. Dit biedt aanzienlijke flexibiliteit bij het beheren van gebruikerslicenties en toegang via beveiligingsgroepen binnen uw identiteitsprovider, zoals te zien in de volgende configuratie.

Voorbeeldattribuutmapping voor SAML.

{% hint style="success" %} **Zoom-tip** SAML-attributen kunnen variëren per identiteitsprovider, met name voor beveiligingsgroepen. Bevestig bij uw identiteitsprovider of via [SAML-responslogboeken](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) hoe SAML-attributen worden geassert. {% endhint %} #### Geavanceerde mapping past licenties van boven naar beneden toe wanneer meerdere attributen worden geassert Als een gebruiker meerdere SAML-attributen of -waarden doorgeeft die zijn geconfigureerd voor geavanceerde SAML-mapping, zal Zoom de licenties van boven naar beneden mappen. Zie het volgende voorbeeld:

Voorbeeld selectie van licentietype in beheerdersinstellingen.

Volgens bovenstaande configuratie, als een gebruiker een attribuut zou doorgeven voor zowel **global\_users** en **marketing**, omdat **marketing** de hoogste is in de configuratie, zal dit attribuut op de gebruiker worden toegepast en worden de overige toepasselijke attributen genegeerd. Als alternatief, als de configuratie was ingesteld met **global\_users** als hoogste, zoals te zien is in de volgende schermafbeelding, en de bewering van een gebruiker bevatte **global\_users**, **marketing**, **human** **resources**, en **IT**, omdat **global\_users** de hoogste prioriteit heeft, zal slechts een basislicentie worden toegewezen.

Voorbeeld van het aanpassen van de volgorde van prioriteit

Zoom-beheerders kunnen de volgorde van toepassing aanpassen bij het bewerken van de mappingwaarden met behulp van de ↑↓ pijlen in de editor. {% hint style="success" %} **Zoom-aanbeveling** Configureer de geavanceerde configuraties van meest specifiek naar meest algemeen om verkeerde toewijzing van licenties te voorkomen. {% endhint %} #### Webinar- en Large Meeting-mappings kunnen een gemeenschappelijke waarde delen om beide add-ons toe te passen Om het toepassingsproces te vereenvoudigen, kunnen Zoom-beheerders hetzelfde SAML-attribuut en dezelfde waarde tweemaal configureren om zowel webinar- als large meeting-add-ons toe te passen op gebruikers, zoals te zien in de volgende afbeelding met de **global\_users** waarde. Deze add-ons kunnen ook onafhankelijk worden geconfigureerd indien gewenst, zoals weergegeven met de **webinar\_only** en **large\_meeting\_only** waarden.

Voorbeeld van SAML-attributen voor large_meeting_only en webinar_only.

#### Gebruikers kunnen met één SAML-waarde aan meerdere gebruikergroepen worden toegevoegd Zoom-beheerders kunnen mapping voor gebruikergroepen configureren om een gebruiker met één SAML-waarde aan meerdere groepen toe te voegen. De eerste toegevoegde gebruikergroep wordt ingesteld als de primaire groep van de gebruiker en bepaalt de standaardinstellingen van de gebruiker *tenzij een onderliggende groep een instelling heeft vergrendeld*. Voor meer informatie over gebruikergroepen, raadpleeg ons [supportartikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

Voorbeeld van mapping naar meerdere gebruikergroepen.

#### Specifieke gebruikers en gebruikergroepen kunnen zijn vrijgesteld van bepaalde SAML-mappings Elke optie onder Geavanceerde SAML-mapping kan zodanig worden geconfigureerd dat specifieke gebruikers en gebruikergroepen vrijgesteld zijn van mappinggedrag. Dit kan voordelig zijn om VIP-gebruikers te behoeden voor serviceonderbreking als gevolg van een mogelijke wijziging in licenties.

Voorbeeld van gebruikersuitzonderingen.

#### Auto Mapping wijst gebruikers automatisch toe aan een Gebruikers-, Kanaal- of IM-groep vernoemd naar hun opgegeven SAML-waarde als de waarde eerder niet aan een groep was gekoppeld Auto Mapping kan worden gebruikt om gebruikers automatisch toe te wijzen aan een gebruikersgroep, kanaal en IM-groep die zijn vernoemd naar hun opgegeven SAML-waarde. In tegenstelling tot andere geavanceerde mappingcomponenten, die kunnen worden geconfigureerd om een gebruiker aan elke groep toe te wijzen op basis van de SAML-waarde, wijst Auto Mapping altijd een gebruiker toe aan een groep op basis van de exacte SAML-waarde. Als de groep nog niet bestond, wordt deze automatisch aangemaakt.

Voorbeeld van SAML Auto Mapping.

Bijvoorbeeld, als Auto Mapping is ingesteld om een gebruiker in de groepen te mappen op basis van hun afdeling, en hun afdelingwaarde is nog niet gedefinieerd voor de gebruikergroep, het kanaal of de IM-groep, worden gebruikers automatisch toegewezen aan een groep die overeenkomt met hun afdelingsnaam, zoals weergegeven in de volgende tabel: | SAML-attribuut | SAML-waarde | Bestaat de Zoom-groep al? | Resultaat | | -------------- | --------------- | ------------------------- | ------------------------------------------------------------------------ | | Afdeling | Human Resources | Ja | Gebruiker toegevoegd aan de groep Human Resources | | Afdeling | Marketing | Ja | Gebruiker toegevoegd aan de groep Marketing | | Afdeling | Sales | Nee | De groep Sales wordt aangemaakt, gebruiker toegevoegd aan de groep Sales | #### Zoom ondersteunt maximaal vijf aangepaste SAML-attributen Zoom-beheerders kunnen maximaal *vijf* aangepaste SAML-attributen configureren om gebruikersgegevens aan hun Zoom-profiel toe te voegen onder de pagina [geavanceerd gebruikersbeheer](https://zoom.us/account/user#/advanced) Na het toevoegen van de aangepaste velden kunnen Zoom-beheerders de mapping configureren op de [SAML-responsmapping](https://zoom.us/account/sso/mapping) pagina.

Voorbeeld van aangepaste SAML-attributen

#### Het mappen van gebruikers naar een subaccount zal *alleen* een vergaderlicentie en add-ons toepassen Het mappen van een gebruiker naar een subaccount zal alleen de vergaderlicentie en add-ons zoals Webinar en Large Meetings op het subaccount toepassen. Gebruikersgroepen, IM-groepen, gebruikersrollen, enz. zullen niet worden toegepast en moeten binnen het subaccount worden geconfigureerd. Klanten die meer flexibiliteit vereisen voor SAML-responsmapping met subaccounts, hebben een unieke vanity-URL en een nieuwe SSO-configuratie binnen het subaccount nodig. ### Probleemoplossing SSO #### SAML-responslogboeken gebruiken voor probleemoplossing Opgeslagen SAML-responslogboeken kunnen een onschatbare tool zijn voor het oplossen van configuratie- en gebruikersfouten, naast SAML-responsmappingconfiguraties. Als uw SSO-configuratie is ingesteld om SAML-responslogboeken op te slaan, zijn ze toegankelijk via het [SAML-responslog](https://zoom.us/account/sso/saml_logs) tabblad dat beschikbaar is op de SSO-configuratiepagina in Geavanceerde instellingen. Om SAML-responslogboeken te bekijken, klikt u op **Details weergeven** naast een authenticatiepoging. #### De meeste authenticaties worden weergegeven in de responslogboeken De meeste mislukte of onsuccesvolle authenticatiepogingen worden weergegeven op de pagina met responslogboeken. Als een authenticatiepoging niet wordt weergegeven, is de meest waarschijnlijke oorzaak dat Zoom geen SAML-assertie van uw identiteitsprovider heeft ontvangen, of dat het opslaan van SAML-responslogboeken is uitgeschakeld. #### Responslogboeken kunnen aangeven of uw configuratie onjuist is of uw certificaat verouderd is Wanneer SAML-responslogboeken zijn ingeschakeld, worden de gegevens van de identiteitsprovider doorgegeven aan Zoom om identiteiten te verifiëren voor elke partij. Als een opgegeven instelling of informatiestring, zoals het X509-certificaat of issuer-ID, anders is dan de huidige configuratie van Zoom, verschijnt er een foutmelding dat de informatie “niet overeenkomt met de huidige SSO-instellingen.” Een Zoom-beheerder kan de SSO-configuratie bijwerken zodat deze overeenkomt met deze opgegeven waarden als ze correct zijn om de fout op te lossen.

Voorbeeld van waarschuwingen voor onjuiste configuratie.

#### Responslogboeken geven aan welke SAML-waarden en -attributen worden geassert Het bekijken van responslogboeken kan helpen bij het oplossen van SAML-responsmappingconfiguraties door te verifiëren welke attributen en waarden door gebruikers worden geassert tijdens authenticatie. Deze kunnen worden vergeleken met de configuratie om ervoor te zorgen dat de attributen en waarden overeenkomen.

Voorbeeld van informatie die door de identiteitsproviderservice wordt geassert.

Als SAML-attributen of -waarden ontbreken, worden deze niet door de identiteitsproviderservice geassert. Gebruikers met dit probleem wordt aangeraden contact op te nemen met de ondersteuningsdiensten van hun identiteitsprovider voor meer hulp. #### Responslogboeken bevatten een foutcode en een korte uitleg als de authenticatie niet succesvol was Als een gebruiker zich niet kan authenticeren of een fout ontvangt, bevatten de SAML-responslogboeken een foutcode en een korte uitleg van de fout.

Voorbeeld van foutcode en uitleg.

De meeste problemen kunnen worden geïdentificeerd en opgelost met behulp van deze foutmeldingen. Als u de fout niet kunt oplossen, neem dan contact op met Zoom Support voor aanvullende hulp. #### Web Tracking ID-fouten Als een gebruiker faalt bij SSO-authenticatie, ontvangt hij een WEB Tracking ID-foutcode. Deze codes zijn geen foutmelding gerelateerd aan een specifieke storing, maar zijn in plaats daarvan een unieke log-ID die in de SAML-responsmapping kan worden bekeken om authenticatieproblemen te identificeren.

Voorbeeld van een foutmelding voor de gebruiker met een WEB Tracking ID-foutcode.

Om de fout te identificeren, als SAML-responslogboeken zijn ingeschakeld, gaat u naar het [SAML-responslog](https://zoom.us/account/sso/saml_logs) tabblad dat beschikbaar is op de SSO-configuratiepagina in Geavanceerde instellingen. Voer daar de WEB-tracking-ID in het Tracking ID-veld in en zoek om het responslogboek te vullen

Voorbeeld van het zoeken in het SAML-responslogboek met de eerdergenoemde WEB Tracking ID-foutcode.

De SAML-responslogboeken zouden de SAML-assertie moeten tonen en een foutcode en bericht onder aan de respons die kunnen worden gebruikt voor aanvullende probleemoplossing. ### SCIM-fouten #### Gebruiker bestaat niet of behoort niet tot dit account Deze fout treedt op wanneer het e-mailadres van een target-gebruiker niet kan worden geprovisioned vanwege een reeds bestaand account. Zoom-beheerders worden aangemoedigd direct contact op te nemen met de gebruiker en deze handmatig uit te nodigen voor het account.

Voorbeeld van een provisioningfout.

#### U kunt geen betaalde gebruikers toevoegen Deze fout treedt op wanneer SCIM probeert een gebruiker te provisioneren terwijl er onvoldoende licenties op het account zijn. Om de fout op te lossen, moet de gebruiker als een Basic-gebruiker worden geprovisioned, of er moet een licentie beschikbaar worden gemaakt voor provisioning. ### SCIM-logboeken gebruiken voor het oplossen van problemen met gebruikersprovisioning Zoom biedt de meest recente 100 API-aanvraaglogboeken in de [Zoom Marketplace](https://marketplace.zoom.us/). Een Zoom-beheerder kan deze logboeken gebruiken om te bevestigen welke informatie wordt verzonden en ontvangen via provisioning-API's. Om toegang te krijgen tot de logboeken, meldt u zich aan bij de Zoom Marketplace als Zoom-beheerder en klikt u op **Beheren**. Op de volgende pagina selecteert u **Oproeplogboeken** onder **Persoonlijk appbeheer**. Klik daar op een invoer om de API-logboeken uit te vouwen en de inhoud te bekijken. De volgende afbeelding toont een voorbeeld van een SCIM-gebruiksprovisioningsverzoek, met de identiteit en licentieattributen van de gebruiker gemarkeerd ter referentie.

Voorbeeld van een SCIM-gebruiksprovisioningsverzoek.

Net als bij SAML-responsmapping kan Zoom alleen informatie toepassen die door de identiteitsprovider in het provisioningverzoek wordt verzonden. Gebruik deze logboeken om te bevestigen dat identiteit en licentie-attributen van gebruikers door de identiteitsprovider worden verzonden. Als verwachte informatie ontbreekt in deze assertions, neem dan contact op met uw identiteitsprovider voor ondersteuning. ### Gegevensstromen en authenticatie #### SAML-authenticatie Het volgende diagram toont de SAML-authenticatiestroom van een gebruiker bij het starten van een single sign-on-sessie met Zoom.

Diagram van een voorbeeld SAML-authenticatiestroom.

#### SSO-webaanmeldtoken Nadat een gebruiker zich via SAML heeft geauthenticeerd, wordt de sessie van de gebruiker binnen hun browser opgebouwd en heeft deze een levensduur van standaard twee uur. Als de gebruiker de Zoom-webpagina actief blijft gebruiken, wordt de sessie vernieuwd; als de gebruiker de webpagina echter twee uur niet gebruikt, verloopt het token en moet de gebruiker opnieuw authenticeren. Zoom-beheerders kunnen deze actieve sessieduur configureren op de [Beveiliging](https://zoom.us/account/setting/security) pagina onder Gebruikers moeten opnieuw inloggen na een periode van inactiviteit en **Periode van inactiviteit op het web instellen (minuten)**. #### Client-aanmeldtoken Wanneer een gebruiker probeert te authenticeren via SSO binnen een client, opent de machine van de gebruiker een webbrowser en wordt deze doorgestuurd naar de inlogpagina van de identiteitsprovider. Nadat een gebruiker is geauthenticeerd, ontvangt de browser van de gebruiker een Zoom-clientstarttoken. Zodra een gebruiker op de knop “openen” of “starten” klikt, gebruikt de browser het URL-schema gecombineerd met het starttoken om de Zoom-client te openen. De Zoom-client gebruikt het starttoken om het toegangstoken en het refresh-token van de Zoom-server te verkrijgen. De client gebruikt het toegangstoken voor periodes van twee uur, en bij het verlopen gebruikt hij het refresh-token om een nieuwe set tokens te verkrijgen, die in de lokale database van de client worden opgeslagen. Dit vernieuwingsproces is standaard onbeperkt en kan continu door tokens heen cyclusen totdat een gebruiker zich afmeldt of de tokens verlopen. Zoom-beheerders kunnen de sessieduur aanpassen op de [SSO-instellingen](https://zoom.us/account/sso) pagina onder [*afdwingen automatisch uitloggen*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).