> For the complete documentation index, see [llms.txt](https://library.zoom.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://library.zoom.com/technical-library/sv/adminhorna/account-and-endpoint-management/sso-field-guide.md). # SSO-fälthandbok ### Introduktion Genom att integrera enkel inloggning (SSO) med Zoom får administratörer användarhantering och säkerhetsalternativ som kan förenkla konto-hanteringen. När det har konfigurerats autentiserar användare med sina företagsuppgifter mot företagets identitetsleverantör i stället för att använda alternativa autentiseringsmetoder som integrationer med Google eller Facebook, eller ett direkt användarnamn och lösenord med Zoom. Det här dokumentet ger en omfattande översikt över SSO-konfigurationer och inställningar i Zoom, utöver information om felsökning och säkerhet. ### SSO-integrationer #### SSO kräver en anpassad URL för att komma igång Ett konto måste ha en godkänd anpassad URL innan SSO konfigureras. När den anpassade URL:en har godkänts kan Zoom-administratörer komma åt [SSO-konfiguration](https://zoom.us/account/sso) sidan via undermenyn för avancerade alternativ på webbportalen. Se vår supportartikel om [anpassade URL:er](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) för mer information. #### Zoom SSO fungerar med vilken SAML 2.0-identitetsleverantör som helst Zoom kan integrera med valfri identitetsprovider som stöder Security Assertion Markup Language (SSML) 2.0 autentisering. Även om det finns många dokumenterade integreringar och genomgångar, tillhandahåller vissa identitetsproviders ingen dokumentation för att integrera med Zoom. Konton som inte kan hitta konfigurationsinstruktioner uppmuntras att kontakta sin identitetsprovider för mer information. #### Zoom-administratörer kan hantera information om användarprofiler och licensiering via SAML-svarsmappning eller SCIM-integrationer Administratörer kan hantera användarprofilinformation och licensiering via SAML-svarsmappning eller förfrågningar med System for Cross-Domain Identity Management (SCIM) applikation programmeringsgränssnitt (API), beroende på de funktioner som är tillgängliga från identitetsleverantören. Båda metoderna för användarhantering erbjuder nästan likvärdig funktionalitet för mappning av profilinformation och licenshantering, men vissa SCIM-mappningar kräver manuell konfiguration. För en omfattande lista över SCIM-funktioner, se vår [SCIM API-dokumentation](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&SessionId=1778697171616). #### Zoom-administratörer kan hantera användares kontostatus via SCIM, men inte SAML Eftersom SCIM gör det möjligt för identitetsleverantörer att kommunicera direkt med Zoom när som helst kan användarkonton vara *aktiverad*, *inaktiverad*, *skapad*, eller *raderad* genom SCIM-integreringar automatiskt. Till exempel, om ett användarkonto i Active Directory är inaktiverat, eller om de inte har tilldelats applikation, kan SCIM skicka en automatisk avaktiveringsbegäran för användarkontot inom Zoom. Denna funktion är beroende av identitetsleverantörens SCIM-applikations möjligheter och funktionalitet kan variera mellan leverantörer. #### Begränsade identitetsleverantörer erbjuder SCIM för Zoom Många identitetsleverantörer har inte en SCIM-integreringar byggd för Zoom som en del av sina tjänster. Konton som använder en identitetsleverantör som inte stöder SCIM med Zoom måste använda SAML-svarsmappning för automatiserad användarhantering. #### SCIM kräver en associerad domän för att automatiskt provisionera användare Konton som använder SCIM för att hantera och tilldela användare för SSO **måste** associera e-postdomänen med Zoom. Om domänen inte associeras kommer det att leda till fel vid provisionering av användare. Se vår Supportartikel om [kopplade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information om processen. #### Följande SSO-integrationer är dokumenterade {% hint style="success" %} **Zoom-tips** Klicka på ✔ i kolumnen Leverantör eller Zoom-dokumentation för att öppna ett nytt fönster med instruktioner. {% endhint %}
LeverantörsdokumentationZoom-dokumentationStöder SCIM
auth0

ADFS
AD Sync-verktyg
Smart

CyberArk

Duo

Entra ID (tidigare Azure)
Google
JumpCloud
miniOrange

Okta
OneLogin
Ping Identity
Shibboleth

#### On-premises Active Directory kan använda AD Sync-verktyg i stället för SCIM Konton som vill automatisera användarens provisionering via SCIM men som inte har en molnbaserad identitetsprovider kan använda Active Directory (AD) Sync Tool-applikationen som utvecklats av Zoom för att hantera sina användare. Den här applikationen körs på Oracle JDK 8 och simulerar SCIM-provisionering genom att hantera användare via API-kommandon. Se vår Support-artikel om den [AD Sync-verktyg](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) för mer information. {% hint style="success" %} **Zoom-rekommendation** AD Sync-verktyget kräver exakt konfiguration för användarhantering. Grundlig testning och granskning av verktygets konfiguration krävs innan full implementering för att undvika avbrott i tjänsten. {% endhint %} #### Identitetsleverantörer kan till och med autentisera mötesdeltagare som inte har ett Zoom-konto Konton som vill kräva att användare autentiserar sin identitet men inte vill tillhandahålla Zoom-konton kan konfigurera en extern autentiseringsprofil med sin identitetsleverantör. När det är aktiverat för ett möte måste användare som försöker gå med autentisera sina inloggningsuppgifter mot din identitetsleverantör för att få åtkomst. Detta är en vanlig konfiguration för skolor som inte tillhandahåller konton till alla studenter men kräver autentisering för att gå med i klasser. Se vår supportartikel om [konfigurera extern autentisering](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) för mer information. #### Att ändra identitetsleverantören kräver omkonfigurering av SSO i Zoom Konton som ändrar identitetsleverantör måste göra om sin SSO-konfiguration i Zoom. Detta omfattar att uppdatera alla fält på konfigurationssidan så att de matchar deras nya identitetsleverantör. Konton uppmuntras att bekräfta att SAML-svarsmappningar inte kommer att ändras med den nya identitetsleverantören. Inga ytterligare konfigurationer eller ändringar bör krävas, förutsatt att inga fler ändringar görs. #### Kunder med underkonton kan konfigurera SSO från huvudkonto eller underkonto Kunder med underkonton har två alternativ för att konfigurera SSO: 1. Alla användare autentiserar med huvudkontoets anpassad URL och loggas automatiskt in i underkontot genom avancerad SAML-mappning ([vissa mappningsbegränsningar gäller](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); eller 2. Varje underkonto har en unik anpassad URL och oberoende SSO-konfiguration, som endast används av medlemmar i det underkontot Varje konfiguration erbjuder unika fördelar, och det andra alternativet erbjuder störst flexibilitet. Kunder som överväger att implementera någon av konfigurationerna bör diskutera med sitt kontoteam vilken konfiguration som bäst passar deras behov. ### SSO-inställningar och säkerhet Zoom-administratörer kan välja de optimala säkerhets- och inställningsalternativen för sin organisation när de konfigurerar en SSO-integreringar med Zoom. Detta avsnitt förklarar dessa inställningar och deras konsekvenser för en SSO-integreringar.

Exempel på SSO-integreringar-inställningar.

#### Zoom stöder signerade inloggnings- och utloggningsförfrågningar för SAML Zoom-administratörer som behöver ytterligare autentisering från tjänsteleverantör kan konfigurera Zoom så att alla inloggnings- och utloggningsförfrågningar signeras till identitetsleverantören. Konton som använder denna inställning kan kräva en certifikatrotation om deras identitetsleverantör inte stöder dynamisk uppdatering av metadata. Se vår supportartikel om [certifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) för mer information. #### Zoom stöder krypterade SAML-påståenden vid autentisering Zoom-administratörer kan konfigurera Zoom så att krypterade påståenden stöds vid autentisering. Om denna inställning är aktiverad kommer okrypterade påståenden att kasseras. Konton som använder denna inställning kan kräva SSO-certifikatrotation om deras identitetsleverantör inte stöder dynamisk uppdatering av metadata. Se vår supportartikel om [certifikatrotation](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) för mer information. #### Zoom-administratörer kan tvinga fram automatisk utloggning efter en definierad tidsperiod Zoom-administratörer kan konfigurera Zoom så att användare automatiskt loggas ut från aktiva sessioner efter definierade tidslängder, anpassningsbara från 15 minuter till 180 dagar. Denna process kommer att ställa in Zooms Access-token så att den går ut efter den förutbestämda tidslängden när token genereras. Denna token har inget samband med en identitetsleverantör och är unik för Zoom. #### SAML-svarloggar kan sparas för felsökning Zoom kan spara SAML-svarloggar från autentiseringsförsök i sju dagar efter en autentisering. Dessa svarloggar kan vara ett ovärderligt verktyg för felsökning av konfigurations- och användarfel, utöver konfigurationer för SAML-svarsmappning. Se avsnittet om [felsökning av fel med SAML-svarloggar](#using-saml-response-logs-to-troubleshoot) för mer information. {% hint style="success" %} **Zoom-rekommendation** Aktivera sparning av SAML-svarloggar för att göra felsökningen enklare. {% endhint %} #### Provisionering vid inloggning kan skapa konton direkt och är det enklaste alternativet för provisionering När SSO är inställt på att provisionera *Vid inloggning* (även känt som just-in-time-provisionering) kan alla auktoriserade användare inom identitetsleverantören autentisera sig till Zoom. Användare som inte har ett befintligt konto kommer att få ett skapat omedelbart vid inloggning. Provisionering vid inloggning kan förenkla utrullningar av Zoom till ett företag genom att låta användare skapa sina konton vid autentiseringstillfället i stället för att kräva proaktiv skapande av användare. Tillsammans med SAML-svarsmappning är en komplett användarprofil och licensiering redo inom några sekunder efter en användares första autentisering. Dessutom kan provisionering vid inloggning dynamiskt skapa SSO-inloggningstypen för befintliga konton. Om en användare har ett befintligt Zoom-konto med ett användarnamn och lösenord, kommer en SSO-inloggningstyp att skapas vid inloggning med denna konfiguration. #### Provisionering före inloggning kräver förskapade konton med en SSO-inloggningstyp Provisionering av användare för SSO *före inloggning* kräver att autentiserande användare har **båda** ett befintligt Zoom-konto, och att kontot har en skapad SSO-inloggningstyp. Denna typ av provisionering kombineras ofta med SCIM-provisionering på grund av den automatiserade kontoskapandeprocessen, men är inte exklusiv för den. Zoom-användare som konsolidera in i företagskontot genom kopplade domäner eller en direkt bjuda in kommer sannolikt inte att ha SSO-inloggningstypen. Zoom-administratörer kan bekräfta om ett konto har en SSO-inloggningstyp genom att visa användarkontot på [användarhantering](https://zoom.us/account/user#/) sidan i webbportalen och leta efter ikonen ”SSO” under användarens e-post.

Plats för SSO-ikonen under en användares e-post.

Om ikonen är presentera är användaren provisionerad för SSO; om ikonen saknas kommer användaren inte att kunna logga in via SSO medan förprovisionering är aktiverad tills den läggs till. En Zoom-administratör kan lägga till denna inloggningstyp genom att lägga till användare i bulk via en CSV-fil och välja alternativet ”SSO-användare”, eller låta användaren autentisera medan Provisionering vid logga in är aktiverat.

Exempel som visar alternativet SSO-användare för massuppladdning.

{% hint style="success" %} **Zoom-rekommendation** För att förhindra att användare inte kan logga in, använd provisionering vid inloggning när du först konfigurerar SSO på ett konto. Byt till förprovisionering om så önskas när du har bekräftat att dina användare är förprovisionerade och att du har metoder för förprovisionering på plats. {% endhint %} #### En domän måste vara associerad och hanterad för att upprätthålla SSO-autentisering Zoom-administratörer kan upprätthålla SSO-autentisering *endast* om e-postdomänen är associerad och hanterad i Zoom. När detta är aktiverat kommer alla användare som autentiserar med din företagsdomän/dina företagsdomäner automatiskt att omdirigeras till din identitetsleverantörs autentiseringssida, oavsett plattform. När domänen har godkänts och hanterats kan en Zoom-administratör upprätthålla SSO-autentisering via ditt kontos [säkerhetssida](https://zoom.us/account/setting/security) under **Inloggningsmetoder**. Se vår supportartikel om [kopplade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information om att associera och hantera en domän. #### Angivna användare kan undantas från tvingad SSO-autentisering Zoom-administratörer kan exkludera specifika användare från tvingad SSO-autentisering. Att exkludera specifika användare (till exempel ett adminkonto) kan vara användbart om en SSO-konfiguration slutar fungera och en kontoadministratör behöver åtkomst utan SSO till Zoom-kontoet. Administratörer som är undantagna kan logga in på admin.zoom.us när som helst vid ett konto-lås eller en trasig SSO-konfiguration (användaren måste ha standard **admin** roll). Om en Zoom-admin inte kan komma åt kontot måste de kontakta Zoom Support för hjälp. För att aktivera ett användarundantag, gå till konto [säkerhetssida](https://zoom.us/account/setting/security) i webbportalen under avancerade alternativ, leta upp listan över tvingade domäner och lägg till ett undantag via redigeringslistan.

Exempel på domänlista för SSO.

#### Mobila och stationära klienter kan konfigureras så att användarna måste använda SSO-autentisering Zoom-klienter kan förkonfigureras för att automatisera SSO-funktionalitet, inklusive automatisk inloggning, automatisk utloggning, SSO-endast-autentisering på enheten och mer via Gruppolicy, tjänster för hantering av mobila enheter (MDM) och klienter för massutrullning. För en fullständig lista över konfigurationsmöjligheter, se våra konfigurationsalternativ för [Gruppolicy](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) och [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows). #### Office 365-användare kan automatiskt logga in i Zoom för Outlook-tillägget med SSO-uppgifter Kunder som använder Office 365 kan automatiskt logga in sina användare i Zoom för Outlook-tillägget med SSO-uppgifter. Detta kan kombineras med en [anpassat tilläggsmanifest](https://support.zoom.us/hc/en-us/articles/360041403311) som förifyller kontots anpassade URL och skapar en sömlös autentiseringsupplevelse för användare. Den här funktionen använder användarens SSO-sessionstoken om den är aktiv, eller så uppmanas du till en ny autentisering med din identitetsleverantör om ingen aktiv session hittas. En Zoom-admin kan aktivera den här inställningen på kontots [säkerhetssida](https://zoom.us/account/setting/security) under **avancerade** meny.

Exempel på admininställning för SSO med Outlook-tillägget.

### SAML-svarsmappning SAML-attribut är datakategorier som definieras av SAML-värden och används för att överföra information från identitetsleverantören till en tjänsteleverantör som Zoom. Att mappa attribut och värden är avgörande för att automatisera användarprofilinformation och hantera användarlicenser. SAML-svarsmappning delas in i två delar: *grundläggande* och *avancerade*. Basic-mappning används för att mappa grundläggande profilinformation, inklusive namn, telefonnummer, avdelning osv. Avancerad mappning används för att hantera dynamiska licenstilldelningar, tilldelning av användargrupper, användarroller och mer. Det här avsnittet behandlar grunderna i SAML-svarsmappning, grundläggande och avancerad SAML-svarsmappning, och lyfter fram unika villkor som krävs för vissa funktioner. #### Grunder: SAML-attribut och värden De flesta identitetsleverantörer överför grundläggande profilinformation med hjälp av enkla attributnamn och värden. Till exempel kan en medarbetares avdelning komma via SAML med ett attribut av typen department och ett värde av Human Resources. Följande tabell visar relationen mellan attribut och värden när information om en användare överförs. | SAML-attribut | SAML-värde | | ------------- | ------------------------------ | | firstName | John | | lastName | Smith | | e-post | | | department | Human Resources | Genom att korrekt tilldela ett SAML-attribut till en mappning av svar kan användarinformation automatiskt tillämpas på en användarprofil för att förenkla processen för skapande och hantering av konton. #### Grundläggande mappning: Profildata SAML-mappning av grundläggande information används för att tillämpa profildata som förnamn, efternamn, avdelning, telefonnummer, kostnadsställe och plats från en katalog till en användares profil. Många av dessa kategorier är självförklarande och kan enkelt konfigureras; vissa kategorier kräver dock förklaring för korrekt konfiguration för att förhindra oförutsedda konsekvenser eller applikationsfel. Följande avsnitt belyser unika mappningsalternativ och inställningar för grundläggande mappning. Se vår [artikel om grundläggande SAML-mappning](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) för en fullständig lista över stödda attribut. #### Standardlicenstyp gäller endast för *helt nya användare* Alternativet för standardlicenstyp tilldelar den angivna licensen till alla *helt nya* användare som tilldelas i kontot via SAML. Detta gäller inte användare som autentiserar sig för en andra gång, användare som har konsoliderats in i kontot från ett tidigare konto, användare som tilldelas via SCIM eller användare som har bjudits in manuellt. För information om *att uppdatera* användarlicenser med autentisering, se licenskonfigurationen under [Avancerad SAML-mappning](#advanced-mapping-licenses-add-ons-and-access). #### En standardlicenstyp av *Ingen* gör att nya användare inte kan autentisera sig om inte avancerad mappning är konfigurerad för att tilldela en licens Zoom-användare måste ha en tilldelad licenstyp (Basic, licenserad eller på plats) för att logga in på Zoom-tjänsten. Om en standardlicenstyp av Ingen väljs kan nya användare inte logga in eller skapa ett nytt konto om de inte kommer att få en licens via [Avancerad SAML-mappning](#advanced-mapping-licenses-add-ons-and-access). #### De flesta grundläggande mappningar tillämpas på nytt vid inloggning, om inget annat anges De flesta grundläggande SAML-mappningar uppdateras varje gång en användare loggar in som standard, *förutom* *för* förnamn, efternamn, visningsnamn och telefonnummer. Som standard tillämpas dessa fyra mappningar endast första gången en användare autentiserar sig och tillämpas inte på nytt, även om de uppdateras av en användare eller admin. Zoom-administratörer kan ändra detta beteende genom att aktivera alternativet för **Uppdatera vid varje SSO-inloggning** på sidan för SAML-mappning av svar.

Exempel på alternativet Uppdatera vid varje SSO-inloggning.

#### Mappningar för telefonnummer bör innehålla landskod och riktnummer om de finns utanför USA Telefonnummer som mappas via SAML bör, när det är möjligt, innehålla användarens landskod och riktnummer i SAML-försäkran. Zoom antar som standard landskoden +1 om den inte har definierats. Konton som inte behåller landskoder i sin katalog kan redigera sina SAML-försäkringar i sin identitetsleverantör för att automatiskt inkludera dessa vid behov. #### Varje användare kan ha upp till tre telefonnummer och ett faxnummer mappade till sin profil Zoom-administratörer kan konfigurera upp till tre separata mappningar för telefonnummer och en mappning för faxnummer för varje användare. Varje telefonnummer måste vara unikt och kan inte duplicera värdet i ett annat fält.

Exempel på alternativ för telefonnummer för varje användare.

#### Profilbilder måste mappas antingen från en URL som är offentligt tillgänglig eller kodas med Base64 Konton som vill mappa profilbilder från sin katalog måste mappa bilderna med antingen en URL som är offentligt tillgänglig eller koda bilden i Base64 vid försäkran. #### Unik medarbetaridentifierare **Den unika medarbetaridentifieraren ändrar den primära identifierare som Zoom använder för att identifiera användare** Widgeten *Unik medarbetaridentifierare* är en funktion som Zoom erbjuder för att hjälpa till med identitetshantering. Som standard är den primära identifieringen för en Zoom-användare deras **e-post** **adress**. Detta innebär att om inloggningstypen för e-postadress för arbetet är ****, kommer Zoom alltid att identifiera denna användare med den e-postadressen. Denna identifierare är det som gör att integrationer som SSO eller Facebook- och Google-OAuth-konton kan koppla användaren till samma Zoom-konto. Men denna identifieringsprocess kan vara problematisk om en användares namn eller e-post ändras. Till exempel, om **** får en ändrad e-post till ****, Zoom kan inte säkert avgöra att dessa är samma person (eftersom den grundläggande identifierare är annorlunda) så Zoom kommer att skapa ett nytt konto första gången **** loggar in. För att förenkla detta problem erbjuder Zoom funktionen Unikt medarbetar-ID, vilket ändrar den primära identifierare för en användare från deras e-postadress till ett etablerat unikt ID. *Detta ändrar inte en användares Zoom användarnamn*, utan erbjuder i stället ett alternativt identifierande attribut. Detta ändra gör att Zoom dynamiskt kan uppdatera en användares e-postadress inom Zoom om: * en *ny* e-postadress åtföljs av ett känt unikt medarbetar-ID; och * den berörda användarens e-postdomän är associerad inom Zoom Till exempel, om **** autentiserar och skickar ett SAML-värde på 12345 (deras medarbetarnummer) för attributet Medarbetares unika ID, kommer Zoom nu att identifiera användaren inom kontot utifrån det angivna värdet. Om John autentiserar igen med hjälp av e-post **** samtidigt som han fortfarande skickar Medarbetares unika ID på 12345, kommer Zoom att identifiera att nu är **** och kommer dynamiskt att uppdatera användarens e-post inom kontot om domänen är associerad. Identitetsadministratörer bör vara *säker* på att inga två användare kommer att överlappa med samma värde för Medarbetares unika ID innan de upprättar SAML-mappning för den här kategorin. Om en annan användare autentiserar och skickar samma värde, kommer e-post att uppdateras igen till den nya användaren och kan orsaka betydande störningar i användartjänster och användarupplevelse. **Funktionen Medarbetares unika ID kräver kopplade domäner för att ändra en användares e-post** Funktionen Medarbetares unika ID kan inte uppdatera en användares e-postadress om inte e-postdomänen officiellt är associerad med din kontoprofil. Se vår Support-artikel om [kopplade domäner](https://support.zoom.us/hc/en-us/articles/203395207) för mer information. **Administratörer och ägare kan inte uppdatera sin e-post via Medarbetares unika ID** Admin- och ägares e-postadresser inom Zoom kan inte uppdateras via funktionen Medarbetare Unikt ID. Detta är avsett som en säkerhetsåtgärd för att förhindra obehörig åtkomst. Admin och ägare måste ändra sin e-post via sin profilsida. **Användares e-postadresser kan endast uppdateras en gång per dag via medarbetarens unika ID** En användares e-post kan endast uppdateras en gång var 24:e timme genom medarbetare Unique ID-funktioner. En användare måste vänta en hel kalenderdag från den föregående uppdateringen innan de uppdaterar sin e-post via SSO igen.

Diagram över ett exempel på ett flöde för att uppdatera användares e-postadresser.

**Om SAML-attributet sätts till \ kommer den hävdade NameID:n för användaren att användas** Mappning av medarbetares unika ID SAML-attribut till **\** kommer automatiskt att använda det påstådda NameID-värdet för användare som deras unika identifierare. Detta kan vara ett gynnsamt verktyg om din identitetsprovider hävdar ett NameID som inte är användarens e-post, till exempel ett User Principal Name (UPN) eller ett liknande värde som inte ändras. Använd inte detta värde om användares NameIDs matchar deras e-post.

Exempel på admininställningen för <NameID>.

### Avancerad mappning: licenser, tillägg och Access Avsnittet SAML Advanced Information Mapping kan dynamiskt tillämpa licenser (inklusive Zoom Phone), tillägg och användares åtkomstgrupper på användare när de autentiserar. Till skillnad från grundläggande mappning innehåller avancerad mappning många nyanser som kan kräva noggrann uppmärksamhet vid konfigurering, beroende på komplexiteten i din miljö. Det här avsnittet belyser nyanserna för att konfigurera avancerad SAML-mappning. Se vår [artikel om avancerad SAML-mappning](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) för en fullständig lista över stödda attribut. #### Avancerad mappning tillämpas varje gång en användare autentiserar Till skillnad från grundläggande mappning, som har valfria uppdateringar för vissa kategorier, kommer avancerade mappningskonfigurationer att tillämpas varje gång en användare autentiserar, enligt den top-down-ordning för tillämpning. Om en användare till exempel har en grundläggande licens och sedan autentiserar via SSO och skickar ett SAML-attribut och ett värde som är mappat till att tilldela en fullständig licens, kommer användaren omedelbart att få den fullständiga licensen. Om användarens profil sedan ändras i identitetsleverantören för att flytta dem tillbaka till en grundläggande licens, kommer de att tilldelas den grundläggande licensen igen när de autentiserar sig på nytt inom Zoom. #### Avancerad mappning tillåter flera SAML-attribut och värden per kategori Till skillnad från grundläggande mappning, som endast tillåter ett SAML-attribut per kategori, kan avancerad mappning stödja flera attribut och värden för varje kategori. Detta ger betydande flexibilitet vid hantering av användarlicensiering och åtkomst via säkerhetsgrupper inom din identitetsleverantör, som visas i följande konfiguration.

Exempel på attributmappning för SAML.

{% hint style="success" %} **Zoom-tips** SAML-attribut kan variera beroende på identitetsleverantör, särskilt för säkerhetsgrupper. Bekräfta med din identitetsleverantör eller via [SAML-svarsloggar](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) hur SAML-attribut hävdas. {% endhint %} #### Avancerad mappning tillämpar licenser uppifrån och ner när flera attribut hävdas Om en användare skickar flera SAML-attribut eller värden som är konfigurerade för avancerad SAML-mappning kommer Zoom att mappa licenserna uppifrån och ner. Se följande exempel:

Exempel på val av licenstyp i admininställningar.

Enligt ovanstående konfiguration, om en användare skulle skicka ett attribut för både **global\_users** och **marketing**, eftersom **marketing** är högst i konfigurationen kommer detta attribut att tillämpas på användaren, och de återstående tillämpliga attributen kommer att ignoreras. Alternativt, om konfigurationen var inställd med **global\_users** som det högsta, som visas i följande skärmbild, om en användares påstående innehöll **global\_users**, **marketing**, **människa** **resurser**, och **IT**, eftersom **global\_users** har högsta prioritet kommer endast en Basic-licens att åberopas.

Exempel på att justera prioritetsordningen

Zoom-administratörer kan justera ordningen för applikation när de redigerar mappningsvärdena med hjälp av pilarna ↑↓ i redigeraren. {% hint style="success" %} **Zoom-rekommendation** Konfigurera de avancerade konfigurationerna från det mest specifika till det mest generella för att förhindra felaktig licensanvändning. {% endhint %} #### Webbinarium and Large Meeting mappings kan dela ett gemensamt värde för att tillämpa båda tilläggen lägga till För att förenkla applikation processen kan Zoom-administratörer konfigurera samma SAML-attribut och värde två gånger för att tillämpa både webbinarium- och stora möte-tillägg på användarna, som visas i följande bild med **global\_users** värde. Dessa lägga till-tillägg kan också konfigureras oberoende om så önskas, som visas med **webbinarium\_only** och **stort\_möte\_endast** värden.

Exempel på SAML-attribut för large_möte_only och webbinarium_only.

#### Användare kan läggas till i flera användargrupper med hjälp av ett SAML-värde Zoom-administratörer kan konfigurera mappning av användare grupp för att lägga till en användare till flera grupper med ett SAML-värde. Den första användargruppen som läggs till kommer att ställas in som användarens Primära grupp och kommer att avgöra användarens standardinställningar *om inte en underliggande grupp har en låst inställning*. För mer information om användargrupper, se vår [Supportartikel](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

Exempel på mappning av flera användargrupper.

#### Angivna användare och användargrupper kan undantas från specifika SAML-mappningar Varje alternativ under Avancerad SAML-mappning kan konfigureras för att undanta specifika användare och användargrupper från mappningsbeteendet. Detta kan vara fördelaktigt för att förhindra att VIP-användare drabbas av driftstörningar på grund av en eventuell ändring i licensiering.

Exempel på användarundantag.

#### Automatisk mappning tilldelar automatiskt användare till en användare, kanal eller IM-grupp som är namngiven efter deras hävdade SAML-värde om värdet inte tidigare har mappats till en grupp Automatisk mappning kan användas för att automatiskt tilldela användare till en användargrupp, kanal och IM-grupp som är namngiven efter deras hävdade SAML-värde. Till skillnad från andra avancerade mappningskomponenter, som kan konfigureras för att tilldela en användare till vilken grupp som helst baserat på SAML-värdet, tilldelar Automatisk mappning alltid en användare till en grupp baserat på det exakta SAML-värdet. Om gruppen tidigare inte fanns, skapas den automatiskt.

Exempel på SAML Automatisk mappning.

Till exempel, om Automatisk mappning är inställd på att mappa en användare till grupperna baserat på deras avdelning, om deras avdelningsvärde ännu inte är definierat för användargruppen, kanalen eller IM-gruppen, kommer användare automatiskt att tilldelas en grupp som matchar deras avdelningsnamn, som visas i följande tabell: | SAML-attribut | SAML-värde | Finns Zoom grupp redan? | Resultat | | ------------- | --------------- | ----------------------- | ----------------------------------------------------------------------- | | Avdelning | Human Resources | Ja | användare tillagd till Human Resources grupp | | Avdelning | Marknadsföring | Ja | användare tillagd till Marketing grupp | | Avdelning | Försäljning | Nej | Försäljning grupp har skapats, användare tillagd till Försäljning grupp | #### Zoom stöder upp till fem anpassade SAML-attribut Zoom-administratörer kan konfigurera upp till *fem* anpassade SAML-attribut för att lägga till användardata i deras Zoom-profil under [avancerad användarhantering](https://zoom.us/account/user#/advanced) sidan. Efter att ha lagt till de anpassade fälten kan Zoom-administratörer konfigurera mappningen på [SAML-svarsmappning](https://zoom.us/account/sso/mapping) sidan.

Exempel på anpassade SAML-attribut

#### Att mappa användare till ett underkonto kommer att *endast* tillämpa en möteslicens och tillägg Att mappa en användare till ett underkonto kommer endast att tillämpa en användares möteslicens och tillägg som webbinarium och stora möten på underkontot. Användargrupper, IM-grupper, användarroller osv. kommer inte att tillämpas och måste konfigureras inom underkontot. Kunder som behöver mer flexibilitet för mappning av SAML-svar med underkonton kommer att behöva en unik anpassad URL och ny SSO-konfiguration inom underkontot. ### Felsökning av SSO #### Använda loggar för SAML-svar för felsökning Sparade loggar för SAML-svar kan vara ett ovärderligt verktyg för felsökning av konfiguration och användarfel, utöver konfigurationer för mappning av SAML-svar. Om din SSO-konfiguration är inställd på att spara loggar för SAML-svar kan de nås via [SAML-svarslogg](https://zoom.us/account/sso/saml_logs) flik tillgänglig på sidan för SSO-konfiguration i avancerade inställningar. För att visa loggar för SAML-svar, klicka på **Visa detaljer** bredvid ett autentiseringsförsök. #### De flesta autentiseringar kommer att visas i svarsloggarna De flesta misslyckade eller ej lyckade autentiseringsförsök kommer att visas på sidan för svarsloggar. Om ett autentiseringsförsök inte visas är det troligast att Zoom inte fick ett SAML-intyg från din identitetsleverantör, eller att sparande av loggar för SAML-svar är inaktiverat. #### Svarsloggar kan tala om för dig om din konfiguration är felaktig eller om ditt certifikat är inaktuellt När loggar för SAML-svar är aktiverade intygas identitetsleverantörens information till Zoom för att autentisera identiteter för varje part. Om en intygad inställning eller informationssträng, som X509-certifikatet eller utfärdar-ID:t, skiljer sig från Zooms aktuella konfiguration, visas ett fel som meddelar att informationen "inte matchar de aktuella SSO-inställningarna." En Zoom-administratör kan uppdatera SSO-konfigurationen så att den matchar dessa intygade värden om de är korrekta för att lösa felet.

Exempel på varningar om felaktig konfiguration.

#### Svarsloggar visar vilka SAML-värden och attribut som intygas Att granska svarsloggar kan hjälpa till att lösa konfigurationer för mappning av SAML-svar genom att verifiera vilka attribut och värden som intygas av användare när de autentiserar. Dessa kan jämföras med konfigurationen för att säkerställa att attributen och värdena matchar.

Exempel på information som intygas av identitetsleverantörstjänsten.

Om SAML-attribut eller värden saknas, intygas informationen inte av identitetsleverantörstjänsten. Användare som upplever detta problem uppmanas att kontakta identitetsleverantörens supporttjänster för ytterligare hjälp. #### Svarsloggar innehåller en felkod och en kort förklaring, om det misslyckas Om en användare inte kan autentisera eller får ett fel innehåller loggarna för SAML-svar en felkod och en kort förklaring av felet.

Exempel på felkod och förklaring.

De flesta problem kan identifieras och lösas med hjälp av dessa felmeddelanden. Om du inte kan lösa felet, kontakta Zoom Support för ytterligare hjälp. #### WEB-spårnings-ID-fel Om en användare misslyckas med SSO-autentisering får de en felkod för WEB-spårnings-ID. Dessa koder är inte ett felmeddelande relaterat till ett specifikt fel, utan är i stället ett unikt logg-ID som kan granskas i mappning av SAML-svar för att identifiera autentiseringsproblem.

Exempel på ett användarsynligt fel med en felkod för WEB-spårnings-ID.

För att identifiera felet, om loggning av SAML-svar är aktiverad, navigera till [SAML-svarslogg](https://zoom.us/account/sso/saml_logs) flik tillgänglig på sidan för SSO-konfiguration i avancerade inställningar. Därifrån anger du WEB-spårnings-ID:t i fältet Spårnings-ID och söker för att fylla i svarsloggen

Exempel på att söka i SAML-svarsloggen med den ovan nämnda felkoden för WEB-spårnings-ID.

Loggarna för SAML-svar ska visa SAML-intyget samt en felkod och ett meddelande längst ned i svaret som kan användas för ytterligare felsökning. ### SCIM-fel #### Användare finns inte eller tillhör inte detta konto Detta fel uppstår när en målinriktad användares e-postadress inte kan provisioneras på grund av ett redan existerande konto. Zoom-administratörer uppmanas att kontakta användaren direkt och manuellt bjuda in användaren till kontot.

Exempel på ett provisioneringsfel.

#### Du kan inte lägga till betalda användare Detta fel uppstår när SCIM försöker provisionera en användare när det inte finns tillräckliga licenser på kontot. För att lösa felet måste användaren provisioneras som en Basic-användare, eller så måste en licens göras tillgänglig för provisionering. ### Använda SCIM-loggar för att felsöka användarprovisionering Zoom tillhandahåller de 100 senaste API-begäransloggarna i [Zoom Marketplace](https://marketplace.zoom.us/). En Zoom-administratör kan använda dessa loggar för att bekräfta vilken information som skickas och tas emot via provisionerings-API:er. För att få åtkomst till loggarna loggar du in på Zoom Marketplace som en Zoom-administratör och klickar på **Hantera**. På följande sida, markera **Samtalsloggar** under **Hantering av personlig app**. Därifrån klickar du på en post för att expandera API-loggarna och granska innehållet. Följande bild visar ett exempel på en SCIM-begäran för användarprovisionering, med användarens identitets- och licensattribut markerade som referens.

Exempel på en SCIM-begäran för användarprovisionering.

Liksom mappning av SAML-svar kan Zoom endast tillämpa information som skickas från identitetsleverantören i provisioneringsbegäran. Använd dessa loggar för att bekräfta att användaridentitets- och licensattribut skickas från identitetsleverantören. Om förväntad information saknas i dessa intyganden, kontakta din identitetsleverantör för Support. ### Dataflöden och autentisering #### SAML-autentisering Följande diagram beskriver en användares flöde för SAML-autentisering när en session med enkel inloggning med Zoom initieras.

Diagram över ett exempel på ett flöde för SAML-autentisering.

#### SSO-webbinloggningstoken Efter att en användare autentiserar via SAML byggs användarens session upp i deras webbläsare och har en livslängd på två timmar som standard. Om användaren fortsätter att aktivt använda sin Zoom-webbsida uppdateras sessionen; om användaren däremot inte använder sin webbsida på två timmar går token ut och användaren måste autentisera på nytt. Zoom-administratörer kan konfigurera denna aktiva sessionlängd på [Säkerhet](https://zoom.us/account/setting/security) sidan under Användare behöver logga in igen efter en period av inaktivitet och **Ställ in period för inaktivitet på webben (minuter)**. #### Klientinloggningstoken När en användare försöker autentisera via SSO i en klient öppnar användarens dator en webbläsare och omdirigerar dem till identitetsleverantörens inloggningssida. Efter att en användare autentiserar får användarens webbläsare en token för att starta Zoom-klienten. När användaren klickar på knappen ”öppna” eller ”starta” använder webbläsaren URL-schemat tillsammans med starttokenen för att öppna Zoom-klienten. Zoom-klienten använder starttokenen för att hämta Access token och förnyelsetoken från Zoom-servern. Klienten använder Access token under två timmar i taget och använder vid utgång förnyelsetoken för att få en ny uppsättning token, som lagras i klientens lokala databas. Denna förnyelseprocess är obegränsad som standard och kan fortsätta att cirkulera genom token tills en användare loggar ut eller tokenen går ut. Zoom-administratörer kan anpassa sessionlängden på [SSO-inställningar](https://zoom.us/account/sso) sidan under [*framtvinga automatisk utloggning*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time). --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://library.zoom.com/technical-library/sv/adminhorna/account-and-endpoint-management/sso-field-guide.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.