SSO-fältguide

Inledning

Genom att integrera enkel inloggning (SSO) med Zoom får administratörer användarhantering och säkerhetsalternativ som kan förenkla kontohantering. När det har konfigurerats autentiserar användare sig med sina företagsuppgifter mot företagets identitetsleverantör i stället för att använda alternativa autentiseringsmetoder som integrationer med Google eller Facebook, eller ett direkt användarnamn och lösenord med Zoom.

Detta dokument ger en omfattande översikt över SSO-konfigurationer och inställningar i Zoom, samt information om felsökning och säkerhet.

SSO-integrationer

SSO kräver en anpassad URL för att komma igång

Ett konto måste ha en godkänd anpassad URL innan SSO konfigureras. När den anpassade URL:en har godkänts kan Zoom-administratörer få Access till SSO-konfiguration sidan via undermenyn för avancerade alternativ i webbportalen. Se vår supportartikel om Anpassade URL:er för mer information.

Zoom SSO fungerar med alla SAML 2.0-identitetsleverantörer

Zoom kan integrera med valfri identitetsleverantör som stöder Security Assertion Markup Language (SSML) 2.0 autentisering. Även om det finns många dokumenterade integreringar, tillhandahåller vissa identitetsleverantörer ingen dokumentation för att integrera med Zoom. Konton som inte kan hitta konfigurationsinstruktioner uppmanas att kontakta sin identitetsleverantör för mer information.

Zoom-administratörer kan hantera användareprofilinformation och licensiering via SAML-svarsmappning eller SCIM-integrationer

Administratörer kan hantera information om användarprofiler och licenser via SAML-svarsmappning eller begäranden till System for Cross-Domain Identity Management (SCIM) applikationsprogrammeringsgränssnitt (API), beroende på vilka funktioner som är tillgängliga från identitetsleverantören. Båda metoderna för användarhantering erbjuder nästan likvärdig funktionalitet för mappning av profilinformation och licenshantering, men vissa SCIM-mappningar kräver manuell konfiguration.

För en omfattande lista över SCIM-funktioner, se vår SCIM API-dokumentation.

Zoom-administratörer kan hantera användares kontostatus via SCIM, men inte SAML

Eftersom SCIM gör det möjligt för identitetsleverantörer att kommunicera direkt med Zoom när som helst kan användarkonton vara aktiverad, avaktiverad, skapad, eller raderad genom SCIM-integrationer automatiskt. Till exempel, om ett användares konto i Active Directory är inaktiverat, eller om de inte har tilldelats applikation, kan SCIM skicka en automatisk avaktiveringsbegäran för användarens konto inom Zoom. Den här funktionen är beroende av identitetsleverantörens SCIM-applikations funktioner och funktionaliteten kan variera mellan leverantörer.

Begränsat antal identitetsleverantörer erbjuder SCIM för Zoom

Många identitetsleverantörer har inte en SCIM-integreringar som är byggd för Zoom som en del av sina tjänster. Konton som använder en identitetsleverantör som inte stöder SCIM med Zoom måste använda SAML-svarsmappning för automatiserad användarhantering.

SCIM kräver en associerad domän för att automatiskt tillhandahålla användare

Konton som använder SCIM för att hantera och provisionera användare för SSO måste associera e-postdomänen med Zoom. Om domänen inte associeras kommer det att leda till fel i användareetableringen. Se vår Support-artikel om kopplade domäner för mer information om processen.

Följande SSO-integrationer är dokumenterade

On-premises Active Directory kan använda AD Sync-verktyg i stället för SCIM

Konton som vill automatisera användarprovisionering via SCIM men som inte har en molnbaserad identitetsprovider kan använda Active Directory (AD) Sync Tool-applikationen som utvecklats av Zoom för att hantera sina användare. Den här applikationen körs på Oracle JDK 8 och simulerar SCIM-provisionering genom att hantera användare via API-kommandon. Se vår supportartikel om den AD Sync-verktyg för mer information.

Identitetsleverantörer kan till och med autentisera mötesdeltagare som inte har ett Zoom-konto

Konton som vill kräva att användare autentiserar sin identitet men inte vill tillhandahålla Zoom-konton kan konfigurera en extern autentiseringsprofil med sin identitetsleverantör. När det är aktiverat för ett möte måste användare som försöker gå med autentisera sina inloggningsuppgifter mot din identitetsleverantör för att få Access. Detta är en vanlig konfiguration för skolor som inte tillhandahåller konton till alla elever men kräver autentisering för att gå med i klasser. Se vår Support-artikel om konfigurera extern autentisering för mer information.

Att ändra identitetsleverantör kräver att SSO konfigureras på nytt i Zoom

Konton som byter identitetsleverantör måste göra om sin SSO-konfiguration i Zoom. Detta omfattar uppdatering av alla fält på konfigurationssidan för att matcha deras nya identitetsleverantör. Konton uppmuntras att bekräfta att SAML-svarsmappningar inte kommer att ändras med den nya identitetsleverantören.

Inga ytterligare konfigurationer eller ändringar bör krävas, förutsatt att inga fler ändringar görs.

Kunder med underkonton kan konfigurera SSO från huvudkontot eller underkontot

Kunder med underkonton har två alternativ för att konfigurera SSO:

1. Alla användare autentiserar med huvudkontots anpassad URL och loggas automatiskt in på underkontot via avancerad SAML-mappning (vissa mappningsbegränsningar gäller); eller

2. Varje underkonto har en unik anpassad URL och oberoende SSO-konfiguration, som används exklusivt av medlemmar i det underkontot

Varje konfiguration erbjuder unika fördelar, där det andra alternativet erbjuder störst flexibilitet. Kunder som överväger att implementera någon av konfigurationerna bör diskutera med sitt kontoteam vilken konfiguration som bäst passar deras behov.

SSO-inställningar och säkerhet

Zoom-administratörer kan välja de optimala säkerhets- och inställningsalternativen för sin organisation när de konfigurerar en SSO-integrering med Zoom. Det här avsnittet förklarar dessa inställningar och deras konsekvenser för en SSO-integrering.

Zoom stöder signerade SAML-begäranden för inloggning och utloggning

Zoom-administratörer som behöver ytterligare autentisering av tjänsteleverantör kan konfigurera Zoom så att alla begäranden om inloggning och utloggning signeras till identitetsleverantören.

Konton som använder den här inställningen kan behöva en certifikatrotation om deras identitetsleverantör inte stöder dynamisk uppdatering av metadata. Se vår supportartikel om certifikatrotation för mer information.

Zoom stöder krypterade SAML-påståenden vid autentisering

Zoom-administratörer kan konfigurera Zoom så att krypterade påståenden stöds vid autentisering. Om den här inställningen är aktiverad kommer okrypterade påståenden att ignoreras. Konton som använder den här inställningen kan behöva SSO-certifikatrotation om deras identitetsleverantör inte stöder dynamisk uppdatering av metadata. Se vår supportartikel om certifikatrotation för mer information.

Zoomadministratörer kan genomdriva automatisk utloggning efter en definierad tidsperiod

Zoomadministratörer kan konfigurera Zoom så att användare automatiskt loggas ut från aktiva sessioner efter definierade tidsperioder, anpassningsbart från 15 minuter till 180 dagar. Denna process kommer att ställa in Zoom Access token så att den upphör att gälla efter den förutbestämda tiden när token genereras. Denna token har inget samband med en identitetsleverantör och är unik för Zoom.

SAML-svarloggar kan sparas för felsökning

Zoom kan spara SAML-svarloggar från autentiseringsförsök i sju dagar efter en autentisering. Dessa svarloggar kan vara ett ovärderligt verktyg för felsökning av konfigurations- och användarfel, utöver konfigurationer för SAML-svarsmappning. Läs avsnittet om felsökning av fel med SAML-svarloggar för mer information.

Provisionering vid inloggning kan skapa konton direkt och är det enklaste provisioneringsalternativet

När SSO är inställt på att provisionera Vid inloggning (även känt som just-in-time-provisionering), kan alla auktoriserade användare inom identitetsleverantören autentisera sig i Zoom. Användare som inte har något befintligt konto kommer att få ett skapat direkt vid inloggning.

Provisionering vid inloggning kan förenkla Zoom-utrullningar till ett företag genom att låta användare skapa sina konton vid autentisering i stället för att kräva proaktiv användarskapande. Tillsammans med SAML-svarsmappning är en komplett användarprofil och licensiering klar inom några sekunder efter en användares första autentisering.

Dessutom kan provisionering vid inloggning dynamiskt skapa SSO-inloggningstypen för redan befintliga konton. Om en användare har ett befintligt Zoom-konto med ett användarnamn och lösenord, kommer en SSO-inloggningstyp att skapas vid inloggning med den här konfigurationen.

Provisionering före inloggning kräver förskapade konton med en SSO-inloggningstyp

Provisionering av användare för SSO före inloggning kräver att autentiserande användare har båda ett befintligt Zoom-konto, och att kontot har en skapad SSO-inloggningstyp. Den här typen av provisionering används ofta tillsammans med SCIM-provisionering på grund av den automatiserade kontoskapande processen, men är inte begränsad till den. Zoom-användare som konsolideras till företagskontot via kopplade domäner eller genom att bjuda in direkt har sannolikt inte SSO-inloggningstypen.

Zoom-administratörer kan bekräfta om ett konto har en SSO-inloggningstyp genom att visa användarkontot på användarhantering sidan i webbportalen och letar efter ikonen ”SSO” under användarens e-post.

Om ikonen är presenteras är användaren provisionerad för SSO; om ikonen saknas kommer användaren inte att kunna logga in via SSO medan förprovisionering är aktiverad, förrän den har lagts till. En Zoom-administratör kan lägga till denna inloggningstyp genom att lägga till användare i bulk via en CSV-fil och välja alternativet ”SSO-användare” eller låta användaren autentisera medan Provision at Sign-in är aktiverat.

En domän måste associeras och hanteras för att upprätthålla SSO-autentisering

Zoom-administratörer kan verkställa SSO-autentisering endast om e-postdomänen är associerad och hanteras inom Zoom. När detta är aktiverat kommer alla användare som autentiserar sig med ditt företags domän(er) automatiskt att omdirigeras till din identitetsleverantörs autentiseringssida, oavsett plattform.

När domänen har godkänts och hanteras kan en Zoom-administratör upprätthålla SSO-autentisering via kontots säkerhetssidan under Inloggningsmetoder. Se vår supportartikel om kopplade domäner för mer information om att associera och hantera en domän.

Angivna användare kan undantas från framtvingad SSO-autentisering

Zoom-administratörer kan utesluta specifika användare från framtvingad SSO-autentisering. Att utesluta specifika användare (till exempel ett admin-konto) kan vara användbart om en SSO-konfiguration slutar fungera och en kontoadministratör behöver åtkomst utan SSO till Zoom-kontot. Administratörer som är undantagna kan logga in på admin.zoom.us när som helst vid ett kontolås eller en trasig SSO-konfiguration (användaren måste ha standard admin roll). Om en Zoom-administratör inte kan komma åt kontot måste de kontakta Zoom Support för hjälp.

Om du vill aktivera ett användarundantag går du till kontot säkerhetssidan på webbportalen under avancerade alternativ, leta upp listan över tvingade domäner och lägg till ett undantag via redigeringslistan.

Mobila klienter och skrivbordsklienter kan konfigureras så att användare måste använda SSO-autentisering

Zoom-klienter kan förkonfigureras för att automatisera SSO-funktionalitet, inklusive automatisk inloggning, automatisk utloggning, SSO-enbart autentisering på enheten och mer via Gruppolicy, tjänster för hantering av mobila enheter (MDM) och klienter för massdistribution.

För en fullständig lista över konfigurationsmöjligheter, se våra konfigurationsalternativ för Gruppolicy, iOS, Android, Mac och Windows.

Office 365-användare kan automatiskt logga in i Zoom för Outlook-tillägget med SSO-uppgifter

Kunder som använder Office 365 kan automatiskt logga in sina användare i Zoom för Outlook-tillägget med SSO-uppgifter. Detta kan kombineras med en anpassad tilläggsmanifest som förifyller kontoets anpassad URL och skapar en sömlös autentisering för användare. Denna funktion använder användarens SSO-sessiontoken om den är aktiv, eller så uppmanas du att utföra en ny autentisering med din identitetsleverantör om ingen aktiv session hittas.

En Zoom-admin kan aktivera den här inställningen på kontoets säkerhetssidan under avancerade meny.

SAML-svarsmappning

SAML-attribut är datakategorier som definieras av SAML-värden och används för att överföra information från identitetsleverantören till en tjänsteleverantör som Zoom. Att mappa attribut och värden är avgörande för att automatisera information om användarprofiler och hantera användares licenser.

SAML-svarsmappning delas in i två delar: grundläggande och avancerade. Basic-mappning används för att mappa grundläggande profilinformation, inklusive namn, telefonnummer, avdelning osv. Avancerad mappning används för att hantera dynamiska licensallokeringar, tilldela användargrupper, användarroller med mera.

Detta avsnitt behandlar grunderna i SAML-svarsmappning, grundläggande och avancerad SAML-svarsmappning, och lyfter fram unika villkor som krävs för vissa funktioner.

Grunder: SAML-attribut och värden

De flesta identitetsleverantörer överför grundläggande profilinformation med hjälp av vanliga attributnamn och värden. En medarbetares avdelning kan till exempel komma via SAML med ett attribut som heter department och ett värde som Human Resources. Följande tabell visar relationen mellan attribut och värden när information om en användare överförs.

Genom att korrekt tilldela ett SAML-attribut till en responsmappning kan användarinformation automatiskt tillämpas på en användarprofil för att förenkla processen för skapande och hantering av konto.

Basic-mappning: Profilinformation

SAML Basic Information Mapping används för att tillämpa profilinformation som förnamn, efternamn, avdelning, telefonnummer, kostnadsställe och plats från en katalog till en användares profil. Många av dessa kategorier är självförklarande och kan enkelt konfigureras; vissa kategorier kräver dock förklaring för korrekt konfigurering för att förhindra oförutsedda konsekvenser eller fel i applikationen. Följande avsnitt lyfter fram unika mappningsalternativ och konfigurationsinställningar för basic-mappning. Se vår artikeln Basic SAML Mapping för en fullständig lista över stödda attribut.

Standardlicenstyp gäller endast helt nya användare

Alternativet för standardlicenstyp tilldelar den angivna licensen till alla helt nya användare som tillhandahålls i kontot via SAML. Detta gäller inte användare som autentiserar för en andra gång, användare som har konsoliderats in i kontot från ett tidigare konto, användare som tillhandahålls via SCIM eller användare som har bjudits in manuellt.

För information om uppdatering användarlicenser med autentisering, se licenskonfigurationen under Advanced SAML Mapping.

En standardlicenstyp av Ingen kommer inte att tillåta nya användare att autentisera om inte avancerad mappning har konfigurerats för att tilldela en licens

Zoom-användare måste ha en tilldelad licenstyp (Basic, licenserad eller på plats) för att logga in på Zoom-tjänsten. Om en standardlicenstyp av Ingen väljs kan nya användare inte logga in eller skapa ett nytt konto om de inte kommer att få en licens via Advanced SAML Mapping.

De flesta grundläggande mappningar tillämpas igen vid inloggning, om inget annat anges

De flesta grundläggande SAML-mappningar uppdateras som standard varje gång en användare loggar in, förutom för förnamn, efternamn, visningsnamn och telefonnummer. Som standard tillämpas dessa fyra mappningar endast första gången en användare autentiserar och kommer inte att tillämpas igen, även om de uppdateras av en användare eller admin. Zoom-administratörer kan ändra detta beteende genom att aktivera alternativet för Uppdatera vid varje SSO-inloggning på sidan för SAML-responsmappning.

Mappningar för telefonnummer bör inkludera landskod och riktnummer om de finns utanför USA

Telefonnummer som mappas via SAML bör, när det är möjligt, inkludera användarens landskod och riktnummer i SAML-assertionen. Zoom antar som standard landskoden +1 om den inte anges.

Konton som inte behåller landskoder i sin katalog kan redigera sina SAML-assertioner i sin identitetsleverantör för att automatiskt inkludera dessa om det behövs.

Varje användare kan ha upp till tre telefonnummer och ett faxnummer mappade till sin profil

Zoom-administratörer kan konfigurera upp till tre separata telefonnummer och en faxnummermappning för varje användare. Varje telefonnummer måste vara unikt och får inte duplicera värdet från ett annat fält.

Profilbilder måste mappas från antingen en offentligt tillgänglig URL eller kodas med Base64

Konton som vill mappa profilbilder från sin katalog måste mappa bilderna med antingen en offentligt tillgänglig URL eller koda bilden i Base64 vid assertion.

Anställds unika ID

Anställds unika ID ändrar den primära identifierare som Zoom använder för att identifiera användare

Den Anställds unika ID är en funktion som Zoom erbjuder för att hjälpa till med identitetshantering. Som standard är den primära identifieringen för en Zoom-användare deras e-post adress. Detta innebär att om inloggningstypen för e-postadressen för arbetet är [email protected], kommer Zoom alltid att identifiera denna användare med den e-postadressen. Denna identifierare är det som gör det möjligt för integrationer som SSO eller Facebook- och Google OAuth-konton att associera användaren med samma Zoom-konto.

Denna identifieringsprocess kan dock vara problematisk om en användares namn eller e-post ändras. Till exempel om [email protected] har en e-post ändra till [email protected], Zoom kan inte med säkerhet avgöra att detta är samma person (eftersom den grundläggande identifierare är annorlunda), så Zoom kommer att skapa ett nytt konto första gången [email protected] loggar in.

För att förenkla detta problem erbjuder Zoom Unique medarbetare ID funktioner, vilket ändrar den primära identifierare för en användare från deras e-postadress till ett etablerat unikt ID. Detta ändra inte en användares Zoom användarnamn, utan erbjuder i stället ett alternativt identifierande attribut. Denna ändra gör att Zoom dynamiskt kan uppdatera en användares e-postadress i Zoom om:

• en ny e-postadress är åtföljd av ett känt unikt medarbetar-ID; och

• den berörda användarens e-postdomän är associerad inom Zoom

Till exempel, om [email protected] autentiserar och skickar ett SAML-värde på 12345 (deras medarbetarnummer) för attributet Unikt medarbetar-ID, kommer Zoom nu att identifiera användaren inom kontot med det angivna värdet. Om John autentiserar igen med e-post [email protected] medan han fortfarande skickar Unikt medarbetar-ID 12345, kommer Zoom att identifiera att [email protected] nu är [email protected] och kommer dynamiskt att uppdatera användarens e-post inom kontot om domänen är associerad.

Identitetsadministratörer bör vara positiva om att inga två användare kommer att överlappa med samma värde för Unikt medarbetar-ID innan SAML-mappning etableras för denna kategori. Om en annan användare autentiserar och skickar samma värde, kommer e-posten att uppdateras igen till den nya användaren och kan orsaka betydande störningar i användartjänster och upplevelse.

Funktionen Unikt medarbetar-ID kräver kopplade domäner för att ändra en användares e-post

Medarbetare Unique ID-funktioner kan inte uppdatera en användares e-postadress om inte e-postdomänen är officiellt kopplad till din kontoprofil. Se vår supportartikel om kopplade domäner för mer information.

Administratörer och ägare kan inte uppdatera sin e-post via medarbetarens unika ID

Admin- och ägare-postadresser inom Zoom kan inte ändras via funktionen för medarbetares unika ID. Detta är avsiktligt som en säkerhetsåtgärd för att förhindra obehörig åtkomst. Admin och ägare måste ändra sin e-post via sin profilsida.

Användares e-postadresser kan endast uppdateras en gång per dag via medarbetares unika ID

Användares e-post kan endast uppdateras en gång var 24:e timme genom funktionen medarbetare Unique ID. En användare måste vänta en hel kalenderdag från den föregående uppdateringen innan de uppdaterar sin e-post genom SSO igen.

Om SAML-attributet ställs in på <NameID> kommer användarens hävdade NameID att användas

Mappning av SAML-attributet för medarbetarens unika ID till <NameID> kommer automatiskt att använda det hävdade NameID-värdet för användaren som deras unika identifierare. Detta kan vara ett användbart verktyg om din identitetsprovider hävdar ett NameID som är annat än användarens e-post, som ett User Principal Name (UPN) eller ett liknande värde som inte ändras. Använd inte detta värde om användarnas NameIDs matchar deras e-post.

Avancerad mappning: licenser, tillägg och Access

Avsnittet för avancerad informationsmappning för SAML kan dynamiskt tillämpa licenser (inklusive Zoom Phone), tillägg och användaråtkomstgrupper på användare när de autentisera. Till skillnad från grundläggande mappning innehåller avancerad mappning många nyanser som kan kräva noggrann uppmärksamhet vid konfiguration, beroende på komplexiteten i din miljö. Det här avsnittet belyser nyanserna vid konfigurering av avancerad SAML-mappning. Se vår artikel om avancerad SAML-mappning för en fullständig lista över stödda attribut.

Avancerad mappning tillämpas varje gång en användare autentiserar

Till skillnad från grundläggande mappning, som har valfria uppdateringar för vissa kategorier, kommer konfigurationer för avancerad mappning att tillämpas varje gång en användare autentiserar, enligt den top-down-ordning som applikationen har.

Till exempel, om en användare har en grundläggande licens och sedan autentiserar via SSO och skickar ett SAML-attribut och ett värde som är mappat till att ge en fullständig licens, kommer användaren omedelbart att få den fullständiga licensen. Om användarens profil sedan ändras i identitetsleverantören för att flyttas tillbaka till en grundläggande licens, kommer de att tilldelas den grundläggande licensen igen när de autentiserar på nytt inom Zoom.

Avancerad mappning gör det möjligt att använda flera SAML-attribut och värden per kategori

Till skillnad från grundläggande mappning, som endast tillåter ett SAML-attribut per kategori, kan avancerad mappning stödja flera attribut och värden för varje kategori. Detta ger stor flexibilitet när man hanterar användarlicensiering och Access via säkerhetsgrupper inom din identitetsleverantör, vilket visas i följande konfiguration.

Avancerad mappning tillämpar licenser uppifrån och ned när flera attribut hävdas

Om en användare skickar flera SAML-attribut eller värden som är konfigurerade för avancerad SAML-mappning, kommer Zoom att mappa licenserna uppifrån och ned. Se följande exempel:

Enligt konfigurationen ovan, om en användare skulle skicka ett attribut för både global_users och marknadsföring, eftersom marknadsföring är högst i konfigurationen kommer detta attribut att tillämpas på användaren, och de återstående tillämpliga attributen kommer att ignoreras.

Alternativt, om konfigurationen ställdes in med global_users som högst, vilket framgår av följande skärmdump, om en användares påstående innehöll global_users, marknadsföring, mänskliga resurser, och IT, eftersom global_users är högst prioriterat, kommer endast en Basic licens att hävdas.

Zoom-administratörer kan justera applikationsordningen när de redigerar mappningsvärdena med hjälp av ↑↓-pilarna i redigeraren.

Webbinarium and Large Meeting mappings can share a common value to apply both lägga till add-ons

För att förenkla applikation processen kan Zoom-administratörer konfigurera samma SAML-attribut och värde två gånger för att tillämpa både webbinarium- och stora möte lägga till-tillägg på användarna, som visas i följande bild med global_users värde. Dessa tillägg kan också konfigureras oberoende om så önskas, som visas med att lägga till webbinarium_only och large_möte_only värden.

Användare kan läggas till i flera användargrupper med ett SAML-värde

Zoom-administratörer kan konfigurera användargruppsmappning för att lägga till en användare i flera grupper med ett SAML-värde.

Den första användargruppen som läggs till kommer att anges som användarens primära grupp och kommer att avgöra användarens standardinställningar om inte en underliggande grupp har en inställning låst. För mer information om användargrupper, se vår supportartikel.

Angivna användare och användargrupper kan undantas från specifika SAML-mappningar

Varje alternativ under Avancerad SAML-mappning kan konfigureras för att undanta specifika användare och användargrupper från mappningsbeteendet. Detta kan vara fördelaktigt för att förhindra att VIP-användare drabbas av avbrott i tjänsten på grund av en eventuell ändring i licensieringen.

Auto Mapping tilldelar automatiskt användare till en användare, kanal eller IM-grupp som är namngiven efter deras angivna SAML-värde om värdet inte redan är mappat till en grupp

Auto Mapping kan användas för att automatiskt tilldela användare till en användargrupp, kanal och IM-grupp som är namngiven efter deras angivna SAML-värde. Till skillnad från andra avancerade mappningskomponenter, som kan konfigureras för att tilldela en användare till vilken grupp som helst baserat på SAML-värdet, tilldelar Auto Mapping alltid en användare till en grupp baserat på det exakta SAML-värdet. Om gruppen inte tidigare fanns, skapas den automatiskt.

Till exempel, om Automatisk mappning är inställd på att mappa en användare till grupper baserat på deras avdelning, och deras avdelningsvärde ännu inte är definierat för användaregrupp, kanal eller IM-grupp, kommer användare automatiskt att tilldelas en grupp som matchar deras avdelningsnamn, som visas i följande tabell:

Zoom stöder upp till fem anpassade SAML-attribut

Zoom-administratörer kan konfigurera upp till fem anpassade SAML-attribut för att lägga till användardata i deras Zoom-profil under sidan för avancerad användarhantering sidan. Efter att ha lagt till de anpassade fälten kan Zoom-administratörer konfigurera mappningen på SAML-svarsmappning sidan.

Att mappa användare till ett underkonto kommer att endast tillämpa en möteslicens och tillägg

Att mappa en användare till ett underkonto kommer endast att tillämpa en användares möteslicens och tillägg som webbinarium och Large Meetings på underkontot. Användargrupper, IM-grupper, användarroller osv. kommer inte att tillämpas och måste konfigureras inom underkontot.

Kunder som kräver mer flexibilitet för SAML-svarsmappning med underkonton kommer att kräva en unik anpassad URL och en ny SSO-konfiguration inom underkontot.

Felsökning av SSO

Använda SAML-svarsloggar för felsökning

Sparade SAML-svarsloggar kan vara ett ovärderligt verktyg för felsökning av konfiguration och användarfel, utöver konfigurationer för SAML-svarsmappning. Om din SSO-konfiguration är inställd på att spara SAML-svarsloggar kan de nås via SAML-svarslogg flik tillgänglig på sidan för SSO-konfiguration i avancerade inställningar. För att visa SAML-svarsloggar, klicka på Visa detaljer bredvid ett autentiseringsförsök.

De flesta autentiseringar kommer att visas i svarsloggarna

De flesta misslyckade eller ej lyckade autentiseringsförsök kommer att visas på sidan för svarsloggar. Om ett autentiseringsförsök inte visas är det troligen så att Zoom inte tog emot en SAML-försäkran från din identitetsleverantör, eller att sparande av SAML-svarsloggar är inaktiverat.

Svarsloggar kan tala om för dig om din konfiguration är felaktig eller om ditt certifikat är föråldrat

När SAML-svarsloggar är aktiverade förs identitetsleverantörens information vidare till Zoom för att autentisera identiteter för varje part. Om en försäkrad inställning eller informationssträng, som X509-certifikatet eller utfärdar-ID:t, skiljer sig från Zooms aktuella konfiguration visas ett fel som meddelar att informationen ”inte matchar de aktuella SSO-inställningarna”. En Zoom-administratör kan uppdatera SSO-konfigurationen så att den matchar dessa försäkrade värden om de är korrekta för att lösa felet.

Svarsloggar talar om för dig vilka SAML-värden och attribut som försäkras

Granskning av svarsloggar kan hjälpa till att lösa konfigurationer för SAML-svarsmappning genom att verifiera vilka attribut och värden som försäkras av användare när de autentiserar sig. Dessa kan jämföras med konfigurationen för att säkerställa att attributen och värdena stämmer överens.

Om SAML-attribut eller värden saknas försäkras inte informationen av identitetsleverantörstjänsten. Användare som upplever detta problem uppmanas att kontakta sin identitetsleverantörs supporttjänster för ytterligare hjälp.

Svarsloggar innehåller en felkod och en kort förklaring, om det misslyckas

Om en användare inte kan autentisera sig eller får ett fel innehåller SAML-svarsloggarna en felkod och en kort förklaring av felet.

De flesta problem kan identifieras och lösas genom att använda dessa felmeddelanden. Om du inte kan lösa felet, kontakta Zoom Support för ytterligare hjälp.

Fel för webbspårnings-ID

Om en användare misslyckas med SSO-autentisering får de en felkod för WEB Tracking ID. Dessa koder är inte ett felmeddelande relaterat till ett specifikt misslyckande, utan är i stället ett unikt logg-ID som kan granskas i SAML Response Mapping för att identifiera autentiseringsproblem.

För att identifiera felet, om loggning av SAML-svar är aktiverad, navigera till SAML-svarslogg flik tillgänglig på sidan för SSO-konfiguration i avancerade inställningar. Därifrån anger du WEB-spårnings-ID:t i fältet Tracking ID och söker för att fylla i svarsloggen

SAML-svarsloggarna bör visa SAML-försäkran samt en felkod och ett meddelande längst ned i svaret som kan användas för ytterligare felsökning.

SCIM-fel

Användare finns inte eller tillhör inte detta konto

Det här felet uppstår när en riktad användares e-postadress inte kan provisioneras på grund av ett redan befintligt konto. Zoom-administratörer uppmanas att kontakta användaren direkt och manuellt bjuda in användaren till kontot.

Du kan inte lägga till betalda användare

Det här felet uppstår när SCIM försöker provisionera en användare när det inte finns tillräckliga licenser på kontot. För att lösa felet måste användaren provisioneras som en Basic-användare, eller så måste en licens göras tillgänglig för provisionering.

Använda SCIM-loggar för att felsöka användarprovisionering

Zoom tillhandahåller de 100 senaste API-begäransloggarna i Zoom Marketplace. En Zoom-administratör kan använda dessa loggar för att bekräfta vilken information som skickas och tas emot via provisionerings-API:er. För att få åtkomst till loggarna, logga in på Zoom Marketplace som Zoom-administratör och klicka på Hantera. På följande sida markerar du Samtalsloggar under Hantering av personliga appar. Därifrån klickar du på en post för att expandera API-loggarna och granska innehållet.

Följande bild visar ett exempel på en SCIM-begäran för användarprovisionering, med användarens identitets- och licensattribut markerade som referens.

Liksom SAML-svarsmappning kan Zoom endast tillämpa information som skickas in från identitetsleverantören i provisioneringsbegäran. Använd dessa loggar för att bekräfta att användaridentitet och licensattribut skickas in från identitetsleverantören. Om förväntad information saknas i dessa försäkringar, kontakta din identitetsleverantör för support.

Dataflöden och autentisering

SAML-autentisering

Följande diagram beskriver en användares SAML-autentiseringsflöde när en enkel inloggningssession med Zoom initieras.

SSO-webbinloggningstoken

Efter att en användare autentiserar via SAML byggs användarens session upp i deras webbläsare och har

en livslängd på två timmar som standard. Om användaren fortsätter att aktivt använda sin Zoom-webbsida förnyas sessionen; men om användaren inte använder sin webbsida på två timmar går token ut och användaren måste autentisera igen. Zoom-administratörer kan konfigurera denna aktiva sessionslängd på Säkerhet sidan under Användare behöver logga in igen efter en period av inaktivitet och Ställ in period för inaktivitet på webben (minuter).

Klientinloggningstoken

När en användare försöker autentisera via SSO i en klient öppnar användarens dator en webbläsare och omdirigerar dem till identitetsleverantörens inloggningssida. Efter att en användare autentiserar får användarens webbläsare en starttoken för Zoom-klienten. När användaren klickar på knappen ”öppna” eller ”starta” använder webbläsaren URL-schemat i kombination med starttoken för att öppna Zoom-klienten.

Zoom-klienten använder starttoken för att hämta access-token och uppdateringstoken från Zoom-servern. Klienten använder access-token under två timmar åt gången och använder, när den går ut, uppdateringstoken för att få en ny uppsättning token, som lagras i klientens lokala databas. Denna uppdateringsprocess är obegränsad som standard och kan fortsätta att cykla genom token tills en användare loggar ut eller token går ut. Zoom-administratörer kan anpassa sessionslängden på SSO-inställningar sidan under framtvinga automatisk utloggning.