Guia de Campo de SSO

Introdução

Integrar o logon único (SSO) com o Zoom oferece aos administradores opções de gerenciamento de usuário e segurança que podem simplificar o gerenciamento da conta. Depois de configurados, os usuários autenticam usando as credenciais da empresa no provedor de identidade da empresa, em vez de usar métodos alternativos de autenticação, como integrações com Google ou Facebook, ou um Nome de usuário e senha direto com o Zoom.

Este documento fornece uma visão geral abrangente das configurações e ajustes de SSO no Zoom, além de informações sobre solução de problemas e segurança.

Integrações de SSO

O SSO requer uma URL intuitivo para começar

Uma conta deve ter uma URL intuitivo aprovada antes de configurar o SSO. Depois que a URL intuitivo for aprovada, os administradores do Zoom podem acessar a configuração de SSO página por meio do submenu de opções avançadas no portal da web. Consulte nosso artigo de suporte sobre URLs intuitivo para mais informações.

O SSO do Zoom funciona com qualquer provedor de identidade SAML 2.0

Zoom pode integrar com qualquer provedor de identidade que suporte Security Assertion Markup Language (SAML) 2.0 autenticação. Embora existam muitas integrações com tutoriais documentados, alguns provedores de identidade não fornecem documentação para integrar com Zoom. Contas que não conseguem localizar instruções de configuração são incentivadas a entrar em contato com o seu provedor de identidade para obter mais informações.

Os administradores do Zoom podem gerenciar informações de perfil do usuário e licenciamento por meio de mapeamento de resposta SAML ou integrações SCIM

Administradores podem gerenciar informações do perfil do usuário e licenciamento por meio de mapeamento de resposta SAML ou solicitações da Interface de Programação de Aplicativos (API) do System for Cross-Domain Identity Management (SCIM), dependendo dos recursos Disponível do provedor de identidade. Ambos os métodos de gerenciamento de usuário oferecem funcionalidade quase equivalente para mapeamento de informações de perfil e gerenciamento de licenciamento, mas alguns mapeamentos SCIM exigem configuração manual.

Para uma lista abrangente das capacidades SCIM, consulte a nossa documentação da API SCIM.

Os administradores do Zoom podem gerenciar o status da conta do usuário por meio de SCIM, mas não de SAML

Porque o SCIM permite que os provedores de identidade se comuniquem diretamente com o Zoom a qualquer momento, as contas de usuário podem ser ativado, desativado, criado, ou excluído por meio de integrações SCIM automaticamente. Por exemplo, se a conta de um usuário no Active Directory estiver desativada, ou se ele não estiver atribuído ao aplicativo, o SCIM pode enviar uma solicitação automática de desativação para a conta do usuário dentro do Zoom. Este Recursos depende das capacidades do aplicativo SCIM do provedor de identidade e a funcionalidade pode variar por provedor.

Poucos provedores de identidade oferecem SCIM para Zoom

Muitos provedores de identidade não têm uma Integrações SCIM desenvolvida para o Zoom como parte de seus serviços. Contas que usam um provedor de identidade que não oferece suporte a SCIM com o Zoom devem usar o mapeamento de resposta SAML para Gerenciamento de usuário automatizado.

SCIM requer um domínio associado para provisionar usuários automaticamente

Contas que usam SCIM para gerenciar e provisionar usuários para SSO deve associar o domínio de e-mail ao Zoom. A falha ao associar o domínio resultará em falhas no provisionamento de usuários. Consulte nosso artigo de Suporte sobre Domínios associados para obter mais informações sobre o processo.

As seguintes integrações de SSO estão documentadas

O Active Directory local pode usar a ferramenta AD Sync em vez do SCIM

Contas que querem automatizar o provisionamento de usuários por meio do SCIM, mas não têm um provedor de identidade baseado em nuvem, podem usar o aplicativo Ferramenta de Sincronização do Active Directory (AD) desenvolvido pela Zoom para gerenciar seus usuários. Este aplicativo é executado no Oracle JDK 8 e simula o provisionamento do SCIM gerenciando usuários por meio de comandos de API. Veja nosso artigo de Suporte sobre o ferramenta AD Sync para mais informações.

Os provedores de identidade podem até autenticar participantes da reunião que não têm uma conta Zoom

Contas que desejam exigir que os usuários autentiquem a sua identidade, mas não desejam fornecer contas Zoom, podem Configurar um perfil de autenticação externa com o seu provedor de identidade. Quando ativado para uma reunião, os usuários que tentarem entrar devem autenticar suas credenciais de login junto ao seu provedor de identidade para obter Acessar. Esta é uma configuração comum para escolas que não fornecem contas a todos os alunos, mas exigem autenticação para entrar nas aulas. Consulte nosso artigo de Suporte sobre configurando autenticação externa para mais informações.

Alterar o provedor de identidade requer reconfigurar o SSO dentro do Zoom

As contas que estão a alterar provedores de identidade devem refazer a sua configuração de SSO dentro do Zoom. Isto inclui atualizar todos os campos na página de configuração para corresponder ao seu novo provedor de identidade. As contas são incentivadas a confirmar que os mapeamentos de resposta SAML não mudarão com o novo provedor de identidade.

Não devem ser necessárias configurações ou alterações adicionais, assumindo que não há mais alterações.

Clientes com subcontas podem configurar o SSO a partir da conta principal ou da subconta

Clientes com subcontas têm duas opções para configurar o SSO:

1. Todos os utilizadores autenticam-se usando o URL intuitivo da conta principal e fazem login automaticamente na subconta através de mapeamento SAML avançado (aplicam-se algumas limitações de mapeamento); ou

2. Cada subconta tem um URL intuitivo exclusivo e uma configuração de SSO independente, usada exclusivamente pelos membros dessa subconta

Cada configuração oferece benefícios exclusivos, sendo a segunda opção a que oferece mais flexibilidade. Os clientes que considerem a implementação de qualquer uma das configurações devem discutir com a equipa da sua conta qual a configuração mais adequada às suas necessidades.

Configurações e Segurança de SSO

Os administradores do Zoom podem escolher as opções ideais de segurança e Configurações para a sua Organização ao Configurar uma Integrações de SSO com o Zoom. Esta secção explica estas Configurações e as suas implicações para uma Integrações de SSO.

O Zoom suporta pedidos SAML de início e fim de sessão assinados

Os administradores do Zoom que necessitem de autenticação adicional do provedor de serviço podem Configurar o Zoom para assinar todos os pedidos de início e fim de sessão ao fornecedor de identidade.

As contas que utilizem esta configuração podem exigir uma rotação de certificado se o respetivo fornecedor de identidade não suportar a atualização dinâmica de metadados. Consulte o nosso artigo de Suporte sobre rotação de certificado para mais informações.

O Zoom suporta asserções SAML encriptadas ao autenticar

Os administradores do Zoom podem Configurar o Zoom para suportar asserções encriptadas ao autenticar. Se esta configuração estiver ativada, as asserções não encriptadas serão descartadas. As contas que utilizem esta configuração podem exigir a rotação do certificado de SSO se o respetivo fornecedor de identidade não suportar a atualização dinâmica de metadados. Consulte o nosso artigo de Suporte sobre rotação de certificado para mais informações.

Os administradores do Zoom podem impor o logout automático após um período de tempo definido

Os administradores do Zoom podem Configurar o Zoom para desconectar automaticamente os usuários de sessões Ativo após períodos de tempo definidos, personalizáveis de 15 minutos a 180 dias. Esse processo definirá o token de acesso do Zoom para expirar no período predefinido assim que o token for gerado. Esse token não tem relação com um provedor de identidade e é exclusivo do Zoom.

Os logs de resposta SAML podem ser salvos para solução de problemas

O Zoom pode salvar logs de resposta SAML de tentativas de autenticação por sete dias após uma autenticação. Esses logs de resposta podem ser uma ferramenta inestimável para solucionar problemas de configuração e erros de usuário, além das configurações de mapeamento de resposta SAML. Revise a seção sobre solução de problemas com logs de resposta SAML para mais informações.

O provisionamento no login pode criar contas instantaneamente e é a opção de provisionamento mais fácil

Quando o SSO está configurado para provisionar No login (também conhecido como provisionamento just-in-time), qualquer usuário autorizado dentro do provedor de identidade pode autenticar no Zoom. Os usuários que não tiverem uma conta existente terão uma criada imediatamente no login.

O provisionamento no momento da autenticação pode simplificar as implantações do Zoom para uma empresa, permitindo que os usuários criem suas contas no momento da autenticação, em vez de exigir a criação proativa de usuários. Combinado com o mapeamento de resposta SAML, um perfil completo de usuário e a licença ficam prontos em segundos após a primeira autenticação do usuário.

Além disso, o provisionamento no momento da autenticação pode criar dinamicamente o tipo de login SSO para contas já existentes. Se um usuário tiver uma conta Zoom existente com Nome de usuário e senha, um tipo de login SSO será criado no momento da autenticação com essa configuração.

O provisionamento antes da autenticação requer contas pré-criadas com um tipo de login SSO

Provisionamento de usuários para SSO antes da autenticação requer que os usuários que estão se autenticando tenham ambos uma conta Zoom existente e que a conta tenha um tipo de login SSO criado. Esse tipo de provisionamento geralmente é combinado com o provisionamento SCIM devido ao processo automatizado de criação de conta, mas não é exclusivo dele. Usuários do Zoom que consolidar na conta da empresa por meio de Domínios associados ou de um Convidar direto provavelmente não terão o tipo de login SSO.

Os administradores do Zoom podem confirmar se uma conta tem um tipo de login SSO visualizando a conta do usuário em Gerenciamento de usuário página dentro do portal da web e procurando o ícone “SSO” abaixo do e-mail do usuário.

Se o ícone estiver presente, o usuário está provisionado para SSO; se o ícone estiver ausente, o usuário não conseguirá iniciar sessão via SSO enquanto o pré-provisionamento estiver ativado, até que ele seja adicionado. Um administrador do Zoom pode adicionar esse tipo de login ao adicionar usuários em massa por meio de um arquivo CSV e selecionar a opção “Usuário SSO” ou fazer com que o usuário autenticar enquanto o Provisionar no Início da sessão estiver ativado.

Um domínio deve ser associado e gerenciado para impor a autenticação SSO

Os administradores do Zoom podem impor a autenticação SSO apenas se o domínio de e-mail estiver associado e gerenciado no Zoom. Quando isso estiver ativado, todos os usuários que se autenticarem usando o(s) domínio(s) da sua empresa serão redirecionados automaticamente para a página de autenticação do seu provedor de identidade, independentemente da plataforma.

Assim que o domínio for aprovado e gerenciado, um administrador do Zoom pode impor a autenticação SSO por meio da página de segurança sob Métodos de início de sessão. Consulte nosso artigo de Suporte sobre Domínios associados para mais informações sobre associar e gerir um domínio.

Usuários especificados podem ser isentos da autenticação SSO obrigatória

Os administradores da Zoom podem excluir usuários específicos da autenticação SSO imposta. Excluir usuários específicos (como uma administrador da conta) pode ser útil se uma configuração de SSO for interrompida e um administrador da conta precisar de acesso não-SSO à conta Zoom. Os administradores que estiverem isentos podem entrar em admin.zoom.us a qualquer momento no Evento de um bloqueio de conta ou de uma configuração de SSO interrompida (o usuário deve ter o padrão administrador Função). Se um administrador Zoom não puder acessar a conta, eles devem entrar em contato com o Suporte do Zoom para obter assistência.

Para Habilitar uma exceção de usuário, navegue até a conta página de segurança no portal da web, em opções avançadas, localize a lista de domínios impostos e Adicionar uma exceção por meio da lista de edição.

Os clientes móveis e de desktop podem ser configurados para exigir que os usuários usem autenticação SSO

Os clientes Zoom podem ser pré-configurados para automatizar a funcionalidade SSO, incluindo login automático, logout automático, autenticação somente SSO no Dispositivo e muito mais por meio da Política de grupo, serviços de gerenciamento de dispositivos móveis (MDM) e clientes de implantação em massa.

Para uma lista completa de possibilidades de configuração, consulte nossas opções de configuração para Política de grupo, iOS, Android, Mac e Windows.

Os usuários do Office 365 podem iniciar sessão automaticamente no Plugin Zoom para Outlook usando credenciais de SSO

Clientes que usam Office 365 podem iniciar sessão automaticamente os seus usuários no Plugin Zoom para Outlook usando credenciais de SSO. Isso pode ser combinado com um manifesto personalizado do complemento que preenche previamente o URL intuitivo da conta, criando uma experiência de autenticação perfeita para os usuários. Este Recursos usa o token de sessão SSO do usuário se ele estiver ativo, ou solicitará uma nova autenticação com o seu provedor de identidade se nenhuma sessão ativa for encontrada.

Um administrador do Zoom pode habilitar esta configuração na conta página de segurança em avançado menu.

Mapeamento de Resposta SAML

Os atributos SAML são categorias de dados definidas por valores SAML e são usados para transmitir informações do provedor de identidade para um provedor de serviço como o Zoom. O mapeamento de atributos e valores é essencial para automatizar informações do perfil do usuário e gerenciar licenças do usuário.

O mapeamento de resposta SAML é dividido em duas partes: básico e avançado. O mapeamento básico é usado para mapear informações básicas do perfil, incluindo nome, número de telefone, departamento etc. O mapeamento avançado é usado para gerenciar atribuições dinâmicas de licenças, atribuir grupos de usuários, funções de usuário e muito mais.

Esta seção aborda os fundamentos do mapeamento de resposta SAML, o mapeamento de resposta SAML básico e avançado, e destaca condições exclusivas exigidas por alguns recursos.

Fundamentos: Atributos e Valores SAML

A maioria dos provedores de identidade transmite informações básicas do perfil usando nomes e valores de atributos simples. Por exemplo, o departamento de um Funcionário pode ser transmitido via SAML com um atributo de department e um valor de Human Resources. A tabela a seguir demonstra a relação entre atributos e valores ao transmitir informações sobre um usuário.

Ao atribuir corretamente um atributo SAML a um mapeamento de resposta, as informações do usuário podem ser aplicadas automaticamente a um perfil de usuário para simplificar o processo de criação e gerenciamento da conta.

Mapeamento básico: Informações do perfil

O mapeamento de informações básicas do SAML é usado para aplicar informações de perfil, como primeiro nome, sobrenome, departamento, número de telefone, centro de custo e Localização, de um diretório ao perfil de um usuário. Muitas dessas categorias são autoexplicativas e podem ser facilmente configuradas; no entanto, algumas categorias exigem explicação para uma configuração adequada, a fim de impedir consequências imprevistas ou erros do aplicativo. A seção a seguir destaca opções de mapeamento exclusivas e Configurações de configuração para o mapeamento básico. Consulte nosso artigo básico de mapeamento SAML para obter uma lista completa dos atributos suportados.

O tipo de licença padrão se aplica apenas a usuários totalmente novos

A opção de tipo de licença padrão aplicará a licença designada a todos os totalmente novos usuários que são provisionados na conta por meio do SAML. Isso não se aplica a usuários que estão se autenticando pela segunda vez, usuários que foram consolidados na conta a partir de uma conta anterior, usuários que são provisionados por meio do SCIM ou usuários que foram convidados manualmente.

Para obter informações sobre atualização licenças de usuário com autenticação, consulte a configuração da licença em Mapeamento SAML avançado.

Um tipo de licença padrão de Nenhum não irá Permitir que novos usuários se autentiquem, a menos que o mapeamento avançado esteja configurado para Atribuir uma licença

Os usuários do Zoom devem ter um tipo de licença atribuído (básico, Licenciado ou no local) para iniciar sessão no serviço Zoom. Se um tipo de licença padrão de Nenhum for selecionado, os novos usuários não poderão iniciar sessão nem criar uma nova conta, a menos que recebam uma licença por meio de Mapeamento SAML avançado.

A maioria dos mapeamentos básicos será reaplicada ao iniciar sessão, salvo indicação em contrário

A maioria dos mapeamentos básicos de SAML será atualizada sempre que um usuário iniciar sessão por padrão, exceto para nome, sobrenome, nome de exibição e número de telefone. Por padrão, esses quatro mapeamentos serão aplicados apenas na primeira vez que um usuário se autenticar e não serão aplicados novamente, mesmo que sejam atualizados por um usuário ou administrador. Os administradores do Zoom podem Alterar esse comportamento habilitando a opção para Atualizar em cada login SSO na página de mapeamento de resposta SAML.

Os mapeamentos de Números de telefone devem incluir um código do país e código de área se estiverem fora dos Estados Unidos

Os Números de telefone mapeados por meio de SAML devem incluir o código do país e o código de área do usuário na asserção SAML quando possível. O Zoom assumirá um código do país +1 se não for definido por padrão.

Contas que não mantêm códigos de país em seu diretório podem editar suas asserções SAML em seu provedor de identidade para incluir automaticamente esses dados, se necessário.

Cada usuário pode ter até três Números de telefone e um número de fax mapeados para seu perfil

Os administradores do Zoom podem Configurar até três mapeamentos separados de Números de telefone e um número de fax para cada usuário. Cada número de telefone deve ser único e não pode duplicar o valor de outro campo.

As fotos de perfil devem ser mapeadas a partir de um URL acessível publicamente ou codificadas com Base64

As contas que desejam mapear fotos de perfil do seu diretório devem mapear as imagens usando uma URL acessível publicamente ou codificar a imagem em Base64 ao fazer a asserção.

ID exclusivo do Funcionário

O ID Único do Funcionário altera o identificador principal que o Zoom usa para identificar os utilizadores

O ID exclusivo do Funcionário é um Recursos que o Zoom oferece para ajudar no gerenciamento de identidade. Por padrão, a identificação principal de um usuário do Zoom é seu e-mail endereço. Isto significa que, se o tipo de início de sessão do e-mail comercial for [email protected], em seguida, o Zoom sempre identificará este usuário pelo endereço de e-mail. Esse identificador é o que permite que integrações como contas Zoom (SSO) ou Facebook e Google OAuth associem o usuário à mesma conta Zoom.

No entanto, esse processo de identificação pode ser problemático se o nome ou o e-mail de um usuário mudar. Por exemplo, se [email protected] tiver uma alteração de e-mail para [email protected], o Zoom não pode determinar com segurança que se trata da mesma pessoa (porque o identificador fundamental é diferente), então o Zoom criará uma nova conta na primeira vez em que [email protected] fizer login.

Para simplificar esse problema, o Zoom oferece o recurso ID Único do Funcionário, que altera o identificador principal de um usuário de seu endereço de e-mail para um ID exclusivo estabelecido. Isso não altera o Nome de usuário do Zoom do usuário, mas oferece um atributo de identificação alternativo. Essa alteração permite que o Zoom atualize dinamicamente o endereço de e-mail de um usuário dentro do Zoom se:

• um novo endereço de e-mail vier acompanhado de um ID Único do Funcionário conhecido; e

• o domínio de e-mail do usuário afetado estiver associado no Zoom

Por exemplo, se [email protected] autenticar e passar um valor SAML de 12345 (seu número de funcionário) para o atributo ID Único do Funcionário, o Zoom agora identificará o usuário dentro da conta pelo valor declarado. Se John autenticar novamente usando o e-mail [email protected] enquanto ainda passa o ID Único do Funcionário de 12345, o Zoom identificará que [email protected] agora é [email protected] e atualizará dinamicamente o e-mail do usuário dentro da conta se o domínio estiver associado.

Os administradores de identidade devem ter certeza de que nenhum usuário se sobreporá ao mesmo valor de ID Único do Funcionário antes de estabelecer o mapeamento SAML para esta categoria. Se outro usuário se autenticar e passar o mesmo valor, o e-mail será atualizado novamente para o novo usuário e isso pode causar interrupções significativas nos serviços e na experiência do usuário.

O recurso ID Único do Funcionário requer Domínios associados para alterar o e-mail de um usuário

O recurso ID Único do Funcionário não pode atualizar o endereço de e-mail de um usuário, a menos que o domínio de e-mail esteja oficialmente associado ao seu perfil da conta. Consulte nosso artigo de suporte sobre Domínios associados para mais informações.

Administradores e Proprietários não podem atualizar seu e-mail por meio do ID Único do Funcionário

Os e-mails de administradores e proprietários dentro do Zoom não podem ser atualizados por meio do recurso ID Único do Funcionário. Isso se destina a ser uma medida de segurança para impedir acesso não autorizado. Administradores e proprietários devem alterar seu e-mail por meio da página de perfil.

Os e-mails dos usuários só podem ser atualizados uma vez por dia por meio do ID Único do Funcionário

Os e-mails dos usuários só podem ser atualizados uma vez a cada 24 horas por meio do recurso ID Único do Funcionário. Um usuário deve esperar um dia de calendário completo após a atualização anterior antes de atualizar seu e-mail por meio do SSO novamente.

Definir o atributo SAML como <NameID> usará o NameID declarado do usuário

Mapear o atributo SAML ID Único do Funcionário para <NameID> usará automaticamente o valor declarado de NameID do usuário como seu identificador exclusivo. Essa pode ser uma ferramenta benéfica se o seu provedor de identidade declarar um NameID diferente do e-mail de um usuário, como um Nome Principal do Usuário (UPN) ou valor semelhante que não muda. Não use esse valor se os NameIDs dos usuários corresponderem ao e-mail deles.

Mapeamento avançado: licenças, complementos e Acessar

A seção de Mapeamento de Informações Avançadas SAML pode aplicar dinamicamente licenças (incluindo Zoom Phone), complementos e grupos de acesso de usuários aos usuários à medida que eles se autenticam. Diferentemente do mapeamento básico, o mapeamento avançado contém muitas nuances que podem exigir atenção diligente durante a configuração, dependendo da complexidade do seu ambiente. Esta seção destaca as nuances para configurar o mapeamento SAML avançado. Consulte nosso artigo sobre Mapeamento SAML avançado para obter uma lista completa dos atributos suportados.

O mapeamento avançado é aplicado toda vez que um usuário se autentica

Diferentemente do mapeamento básico, que tem atualizações opcionais para algumas categorias, as configurações de mapeamento avançado serão aplicadas toda vez que um usuário se autenticar, de acordo com a ordem de aplicação de cima para baixo.

Por exemplo, se um usuário tiver uma licença básica e depois se autenticar por SSO passando um atributo SAML e um valor mapeado para conceder uma licença completa, o usuário receberá instantaneamente a licença completa. Se o perfil do usuário for então alterado no provedor de identidade para colocá-lo novamente em uma licença básica, ele será reatribuído à licença básica assim que se autenticar novamente no Zoom.

O mapeamento avançado permite vários atributos e valores SAML por categoria

Diferentemente do mapeamento básico, que permite apenas um atributo SAML por categoria, o mapeamento avançado pode oferecer suporte a vários atributos e valores para cada categoria. Isso permite uma flexibilidade significativa ao gerenciar licenças e acesso de usuários por meio de grupos de segurança no seu provedor de identidade, como visto na configuração a seguir.

O mapeamento avançado aplica licenças de cima para baixo quando vários atributos são declarados

Se um usuário passar vários atributos ou valores SAML configurados para mapeamento SAML avançado, o Zoom mapeará as licenças de cima para baixo. Veja o exemplo a seguir:

De acordo com a configuração acima, se um usuário passar um atributo para ambos global_users e marketing, porque marketing é o mais alto na configuração, este atributo será aplicado ao usuário, e os atributos aplicáveis restantes serão ignorados.

Alternativamente, se a configuração foi definida com global_users como o mais alto, como visto na captura de tela a seguir, se a asserção de um usuário contivesse global_users, marketing, humano recursos, e TI, porque global_users é a prioridade mais alta, apenas uma licença básico será declarada.

Os administradores do Zoom podem ajustar a ordem de aplicativo ao editar os valores de mapeamento usando as setas ↑↓ dentro do editor.

Os mapeamentos de webinar e Grande reunião podem partilhar um valor comum para aplicar ambos os complementos

Para simplificar o processo de aplicativo, os administradores do Zoom podem Configurar o mesmo atributo e valor SAML duas vezes para aplicar tanto os adicionais de webinar quanto os de Grande reunião aos usuários, conforme visto na imagem a seguir com o global_users valor. Esses Adicionar-ons também podem ser configurados independentemente, se desejado, como mostrado com o webinar_apenas e grande_reunião_apenas valores.

Usuários podem ser adicionados a vários Grupos de usuários usando um valor SAML

Os administradores do Zoom podem Configurar o mapeamento de grupo de usuários para Adicionar um usuário a vários grupos com um valor SAML.

O primeiro grupo de usuários adicionado será definido como o Grupo Primário do usuário e determinará as Configurações padrão do usuário a menos que um grupo subjacente tenha uma configuração bloqueada. Para mais informações sobre grupos de usuários, consulte nosso artigo de Suporte.

Usuários especificados e grupos de usuários podem ser isentos de mapeamentos específicos de SAML

Cada opção em Mapeamento Avançado de SAML pode ser configurada para isentar usuários específicos e grupos de usuários do comportamento de mapeamento. Isso pode ser benéfico para evitar interrupções no serviço para usuários VIP devido a uma possível Alterar na licença.

O Mapeamento Automático atribui automaticamente usuários a um Usuário, canal ou grupo de IM com o nome de seu valor SAML afirmado, se o valor não estiver mapeado previamente para um grupo

O Mapeamento Automático pode ser usado para Atribuir automaticamente usuários a um Grupo de usuários, canal e Grupo de IM com o nome de seu valor SAML afirmado. Diferentemente de outros componentes avançados de mapeamento, que podem ser configurados para Atribuir um usuário a qualquer grupo com base no valor de SAML, o Mapeamento Automático sempre Atribui um usuário a um grupo com base no valor exato de SAML. Se o grupo não existia anteriormente, ele será criado automaticamente.

Por exemplo, se o Mapeamento Automático estiver definido para mapear um usuário nos grupos com base em seu departamento, se o valor do departamento ainda não estiver definido para o Grupo de Usuário, Canal ou Grupo de IM, os usuários serão atribuídos automaticamente a um grupo que corresponda ao nome do seu departamento, como mostrado na tabela a seguir:

Zoom oferece suporte a até cinco atributos SAML personalizados

Os administradores do Zoom podem Configurar até cinco atributos SAML personalizados para adicionar dados do usuário ao perfil do Zoom na gerenciamento avançado de usuário página. Depois de adicionar os campos personalizados, os administradores do Zoom podem Configurar o mapeamento na Mapeamento de Resposta SAML página.

Mapear usuários para uma subconta irá apenas aplicar uma licença de reunião e complementos

Mapear um usuário para uma subconta aplicará apenas a licença de reunião e os complementos do usuário, como webinar e Reuniões Grandes, à subconta. Grupos de usuários, Grupos de IM, Funções de usuário etc. não serão aplicados e devem ser configurados dentro da subconta.

Clientes que exigirem mais flexibilidade para o mapeamento de resposta SAML com subcontas precisarão de uma URL intuitivo exclusiva e de uma nova configuração de SSO dentro da subconta.

Solução de problemas de SSO

Usar registros de resposta SAML para solucionar problemas

Os registros de resposta SAML salvos podem ser uma ferramenta inestimável para solucionar problemas de configuração e erros de usuário, além das configurações de mapeamento de resposta SAML. Se a sua configuração de SSO estiver definida para salvar registros de resposta SAML, eles podem ser acessados por meio da Registro de resposta SAML aba disponível na página de configuração de SSO em Configurações avançadas. Para ver os registros de resposta SAML, clique em Exibir detalhes ao lado de uma tentativa de autenticação.

A maioria das autenticações será exibida nos registros de resposta

A maioria das tentativas de autenticação com falha ou sem sucesso será exibida na página de registros de resposta. Se uma tentativa de autenticação não for exibida, é mais provável que o Zoom não tenha recebido uma asserção SAML do seu provedor de identidade ou que o salvamento de registros de resposta SAML esteja desativado.

Os registros de resposta podem informar se a sua configuração está incorreta ou se o seu certificado está desatualizado

Quando os registros de resposta SAML estão ativados, as informações do provedor de identidade são afirmadas ao Zoom para autenticar identidades de cada parte. Se uma configuração ou cadeia de informações afirmada, como o certificado X509 ou o ID do emissor, for diferente da configuração atual do Zoom, aparecerá um erro informando que as informações “não correspondem às Configurações de SSO atuais”. Um administrador do Zoom pode atualizar a configuração de SSO para corresponder a esses valores afirmados, se estiverem corretos, para resolver o erro.

Os registros de resposta informam quais valores e atributos SAML estão sendo afirmados

Analisar os registros de resposta pode ajudar a resolver configurações de mapeamento de resposta SAML, verificando quais atributos e valores estão sendo afirmados pelos usuários quando se autenticam. Eles podem ser comparados com a configuração para garantir que os atributos e valores correspondam.

Se atributos ou valores SAML estiverem ausentes, as informações não estão sendo afirmadas pelo serviço do provedor de identidade. Os usuários que estiverem enfrentando esse problema são incentivados a entrar em contato com os serviços de suporte do provedor de identidade para obter mais ajuda.

Os Registros de resposta incluem um código de erro e uma breve explicação, se não forem bem-sucedidos

Se um usuário não conseguir autenticar ou receber um erro, os registros de resposta SAML contêm um código de erro e uma breve explicação do erro.

A maioria dos problemas pode ser identificada e resolvida usando essas mensagens de erro. Se você não conseguir resolver o erro, entre em contato com o Suporte do Zoom para obter assistência adicional.

Erros de ID de rastreamento da Web

Se um usuário falhar na autenticação de SSO, ele receberá um código de erro de ID de rastreamento da WEB. Esses códigos não são uma mensagem de erro relacionada a uma falha específica, mas sim um ID de log exclusivo que pode ser revisado em Mapeamento de Resposta SAML para identificar problemas de autenticação.

Para identificar o erro, se o registro de resposta SAML estiver ativado, navegue até a Registro de resposta SAML aba disponível na página de configuração de SSO em Configurações avançadas. A partir daí, insira a ID de rastreamento WEB no campo ID de rastreamento e pesquise para preencher o registro de resposta

Os registros de resposta SAML devem exibir a asserção SAML e um código e mensagem de erro na parte inferior da resposta, que podem ser usados para solução de problemas adicional.

Erros SCIM

Usuário não existe ou não pertence a esta conta

Esse erro ocorre quando o endereço de e-mail de um usuário alvo não consegue ser provisionado devido a uma conta já existente. Os administradores do Zoom são incentivados a entrar em contato diretamente com o usuário e convidá-lo manualmente para a conta.

Você não pode adicionar usuários pagos

Esse erro ocorre quando o SCIM tenta provisionar um usuário quando há licenças inadequadas na conta. Para resolver o erro, o usuário deve ser provisionado como um usuário básico ou uma licença deve ser disponibilizada para provisionamento.

Usar logs do SCIM para solucionar problemas de provisionamento de usuários

O Zoom fornece os 100 logs de solicitação de API mais recentes no Zoom Marketplace. Um administrador do Zoom pode usar esses logs para confirmar quais informações estão sendo enviadas e recebidas por meio das APIs de provisionamento. Para acessar os logs, entre no Zoom Marketplace como administrador do Zoom e clique em Gerenciar. Na página seguinte, selecione Registros de chamadas sob Gerenciamento de aplicativos pessoais. A partir daí, clique em uma entrada para expandir os logs da API e revisar o conteúdo.

A imagem a seguir mostra um exemplo de uma solicitação de provisionamento de usuário SCIM, com a identidade do usuário e os atributos de licenciamento destacados para referência.

Assim como no mapeamento de resposta SAML, o Zoom só pode aplicar as informações enviadas pelo provedor de identidade na solicitação de provisionamento. Use esses logs para confirmar se a identidade do usuário e os atributos de licenciamento estão sendo enviados pelo provedor de identidade. Se as informações esperadas estiverem ausentes dessas asserções, entre em contato com o provedor de identidade para obter suporte.

Fluxos de dados e autenticação

autenticação SAML

O diagrama a seguir detalha o fluxo de autenticação SAML de um usuário ao iniciar uma sessão de logon único com o Zoom.

Token de login Web do SSO

Depois que um usuário autentica por meio de SAML, a sessão do usuário é construída dentro do navegador e tem

uma duração de duas horas por padrão. Se o usuário continuar a usar ativamente sua página da web do Zoom, a sessão será atualizada; no entanto, se o usuário não usar sua página da web por duas horas, o token expirará e o usuário deverá autenticar novamente. Os administradores do Zoom podem configurar essa duração de sessão Ativa na Segurança página em Usuários precisam iniciar sessão novamente após um período de inatividade e Definir período de inatividade na web (minutos).

Token de login do cliente

Quando um usuário tenta autenticar por meio de SSO dentro de um cliente, a máquina do usuário abrirá um navegador e o redirecionará para a página de login do provedor de identidade. Depois que um usuário autentica, o navegador do usuário receberá um token de inicialização do cliente Zoom. Assim que um usuário clicar no botão “abrir” ou “iniciar”, o navegador usa o esquema de URL combinado com o token de inicialização para abrir o cliente Zoom.

O cliente Zoom usará o token de inicialização para obter o token de acesso e o token de atualização do servidor Zoom. O cliente usará o token de acesso por um período de duas horas de cada vez e, quando expirar, usará o token de atualização para obter um novo conjunto de tokens, que são armazenados no banco de dados local do cliente. Esse processo de atualização é ilimitado por padrão e pode continuar alternando entre tokens até que um usuário encerre a sessão ou os tokens expirem. Os administradores do Zoom podem personalizar a duração da sessão na Configurações de SSO página em exigir logout automático.