Hướng dẫn thực địa về SSO

Giới thiệu

Tích hợp đăng nhập một lần (SSO) với Zoom mang đến cho quản trị viên các tùy chọn Quản lý người dùng và bảo mật có thể đơn giản hóa việc quản lý tài khoản. Sau khi được cấu hình, người dùng xác thực bằng thông tin đăng nhập công ty của họ đối với nhà cung cấp danh tính của công ty thay vì sử dụng các phương thức xác thực thay thế như tích hợp Google hoặc Facebook, hoặc tên người dùng và mật khẩu trực tiếp với Zoom.

Tài liệu này cung cấp tổng quan toàn diện về các cấu hình và Cài đặt SSO trong Zoom, cùng với thông tin khắc phục sự cố và bảo mật.

Tích hợp SSO

SSO yêu cầu một URL tùy biến để bắt đầu

Một tài khoản phải có URL tùy biến đã được phê duyệt trước khi cấu hình SSO. Sau khi URL tùy biến được phê duyệt, quản trị viên Zoom có thể truy cập cấu hình SSO trang thông qua menu con tùy chọn nâng cao trên cổng web. Tham khảo bài viết Hỗ trợ của chúng tôi về URL tùy biến để biết thêm thông tin.

Zoom SSO hoạt động với bất kỳ nhà cung cấp danh tính Ngôn ngữ đánh dấu bảo đảm an toàn 2.0 nào

Zoom có thể tích hợp với bất kỳ nhà cung cấp danh tính nào hỗ trợ Ngôn ngữ đánh dấu xác nhận bảo mật (Ngôn ngữ đánh dấu bảo đảm an toàn) 2.0 xác thực. Mặc dù có nhiều hướng dẫn Thành phần tích hợp được ghi lại, một số nhà cung cấp danh tính không cung cấp tài liệu để tích hợp với Zoom. Các tài khoản không thể tìm thấy hướng dẫn cấu hình được khuyến khích liên hệ với nhà cung cấp danh tính của họ để biết thêm thông tin.

Quản trị viên Zoom có thể quản lý thông tin hồ sơ người dùng và cấp phép thông qua ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn hoặc các Thành phần tích hợp SCIM

Quản trị viên có thể quản lý thông tin hồ sơ người dùng và cấp phép thông qua ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn hoặc các yêu cầu System for Cross-Domain Identity Management (SCIM) Giao diện lập trình ứng dụng (API), tùy thuộc vào các tính năng có sẵn từ nhà cung cấp danh tính. Cả hai phương thức quản lý người dùng đều cung cấp chức năng gần như tương đương cho việc ánh xạ thông tin hồ sơ và quản lý cấp phép, nhưng một số ánh xạ SCIM yêu cầu cấu hình thủ công.

Để xem danh sách đầy đủ về các khả năng của SCIM, hãy tham khảo tài liệu SCIM API.

Quản trị viên Zoom có thể quản lý trạng thái tài khoản người dùng thông qua SCIM, nhưng không phải Ngôn ngữ đánh dấu bảo đảm an toàn

Vì SCIM cho phép các nhà cung cấp danh tính giao tiếp trực tiếp với Zoom bất kỳ lúc nào, các tài khoản người dùng có thể được kích hoạt, đã bị vô hiệu hóa, đã tạo, hoặc đã xóa thông qua các tích hợp SCIM tự động. Ví dụ: nếu tài khoản của người dùng trong Active Directory bị tắt, hoặc nếu họ không được gán ứng dụng, SCIM có thể gửi một yêu cầu tự động hủy kích hoạt cho tài khoản của người dùng đó trong Zoom. Tính năng này phụ thuộc vào khả năng của ứng dụng SCIM của nhà cung cấp danh tính và chức năng có thể thay đổi tùy theo nhà cung cấp.

Một số nhà cung cấp danh tính hạn chế cung cấp SCIM cho Zoom

Nhiều nhà cung cấp danh tính không có Thành phần tích hợp SCIM được xây dựng cho Zoom như một phần dịch vụ của họ. Các tài khoản sử dụng nhà cung cấp danh tính không hỗ trợ SCIM với Zoom phải dùng ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để quản lý người dùng tự động.

SCIM yêu cầu một miền liên kết để tự động cấp phát người dùng

Các tài khoản sử dụng SCIM để quản lý và cấp phát người dùng cho SSO phải liên kết miền email với Zoom. Việc không liên kết miền sẽ dẫn đến lỗi cấp phép người dùng. Tham khảo bài viết Hỗ trợ của chúng tôi về Miền được liên kết để biết thêm thông tin về quy trình.

Các tích hợp SSO sau đây được tài liệu hóa

Active Directory tại chỗ có thể sử dụng Công cụ đồng bộ hóa AD thay vì SCIM

Các tài khoản muốn tự động hóa việc cung cấp người dùng thông qua SCIM nhưng không có nhà cung cấp danh tính dựa trên đám mây (cloud) có thể sử dụng Active Directory (AD) Sync Tool ứng dụng do Zoom phát triển để quản lý người dùng của họ. Ứng dụng này chạy trên Oracle JDK 8 và mô phỏng việc cung cấp SCIM bằng cách quản lý người dùng thông qua các lệnh API. Xem bài viết Hỗ trợ của chúng tôi về phía Công cụ đồng bộ hóa AD để biết thêm thông tin.

Các nhà cung cấp danh tính thậm chí có thể xác thực những người tham gia cuộc họp không có Tài khoản Zoom

Các tài khoản muốn yêu cầu người dùng xác thực danh tính của họ nhưng không muốn cung cấp tài khoản Zoom có thể Cấu hình một hồ sơ xác thực bên ngoài với nhà cung cấp danh tính của họ. Khi được bật cho một cuộc họp, người dùng cố gắng Tham gia phải xác thực thông tin đăng nhập của họ với nhà cung cấp danh tính của bạn để có quyền Truy cập. Đây là một cấu hình phổ biến cho các trường học không cung cấp tài khoản cho tất cả học sinh nhưng yêu cầu xác thực để tham gia các lớp học. Tham khảo bài viết Hỗ trợ của chúng tôi về cấu hình xác thực bên ngoài để biết thêm thông tin.

Việc Thay đổi nhà cung cấp danh tính yêu cầu cấu hình lại SSO trong Zoom

Các tài khoản đang thay đổi nhà cung cấp danh tính phải thực hiện lại cấu hình SSO của họ trong Zoom. Điều này bao gồm việc cập nhật tất cả các trường trong trang cấu hình để khớp với nhà cung cấp danh tính mới của họ. Các tài khoản được khuyến khích xác nhận rằng các ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn sẽ không thay đổi với nhà cung cấp danh tính mới.

Không nên cần thêm cấu hình hoặc thay đổi nào, giả sử không có thay đổi nào khác nữa.

Khách hàng có các tài khoản phụ có thể Cấu hình SSO từ tài khoản chính hoặc tài khoản phụ

Khách hàng có các tài khoản phụ có hai tùy chọn để cấu hình SSO:

1. Tất cả người dùng xác thực bằng URL tùy biến của tài khoản chính và tự động được đăng nhập vào tài khoản phụ thông qua ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao (áp dụng một số giới hạn ánh xạ); hoặc

2. Mỗi tài khoản phụ có một URL tùy biến riêng và cấu hình SSO độc lập, chỉ được sử dụng bởi các thành viên của tài khoản phụ đó

Mỗi cấu hình mang lại những lợi ích riêng, trong đó tùy chọn thứ hai mang lại tính linh hoạt cao nhất. Khách hàng đang cân nhắc việc triển khai một trong hai cấu hình nên thảo luận với nhóm tài khoản của họ để xác định cấu hình nào phù hợp nhất với nhu cầu của họ.

Cài đặt SSO & Bảo mật

Quản trị viên Zoom có thể Chọn các tùy chọn bảo mật và Cài đặt tối ưu cho Tổ chức của họ khi Cấu hình một Thành phần tích hợp SSO với Zoom. Phần này giải thích các Cài đặt này và tác động của chúng đối với một Thành phần tích hợp SSO.

Zoom hỗ trợ các yêu cầu đăng nhập và đăng xuất Ngôn ngữ đánh dấu bảo đảm an toàn có chữ ký

Quản trị viên Zoom cần thêm xác thực của nhà cung cấp dịch vụ có thể Cấu hình Zoom để ký tất cả các yêu cầu đăng nhập và đăng xuất gửi đến nhà cung cấp danh tính.

Các tài khoản sử dụng cài đặt này có thể cần xoay vòng chứng chỉ nếu nhà cung cấp danh tính của họ không hỗ trợ làm mới siêu dữ liệu động. Xem bài viết hỗ trợ của chúng tôi về xoay vòng chứng chỉ để biết thêm thông tin.

Zoom hỗ trợ các xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn được mã hóa khi xác thực

Quản trị viên Zoom có thể Cấu hình Zoom để hỗ trợ các xác nhận được mã hóa khi xác thực. Nếu cài đặt này được bật, các xác nhận không được mã hóa sẽ bị loại bỏ. Các tài khoản sử dụng cài đặt này có thể cần xoay vòng chứng chỉ SSO nếu nhà cung cấp danh tính của họ không hỗ trợ làm mới siêu dữ liệu động. Xem bài viết hỗ trợ của chúng tôi về xoay vòng chứng chỉ để biết thêm thông tin.

Quản trị viên Zoom có thể thực thi đăng xuất tự động sau một khoảng thời gian xác định

Quản trị viên Zoom có thể Cấu hình Zoom để tự động đăng xuất người dùng khỏi các phiên Đang hoạt động sau các khoảng thời gian xác định, có thể tùy chỉnh từ 15 phút đến 180 ngày. Quy trình này sẽ đặt mã thông báo Truy cập Zoom hết hạn sau khoảng thời gian đã định trước khi mã thông báo được tạo. Mã thông báo này không có liên quan đến nhà cung cấp danh tính và là duy nhất đối với Zoom.

Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn có thể được lưu để khắc phục sự cố

Zoom có thể lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn từ các lần thử xác thực trong bảy ngày sau khi xác thực. Những nhật ký phản hồi này có thể là một công cụ vô cùng hữu ích để khắc phục sự cố cấu hình và lỗi của người dùng, bên cạnh các cấu hình ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn. Xem phần về khắc phục lỗi với nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để biết thêm thông tin.

Cấp phép tại thời điểm đăng nhập có thể tạo tài khoản ngay lập tức và là tùy chọn cấp phép dễ nhất

Khi SSO được đặt để cấp phép Tại thời điểm đăng nhập (còn được gọi là cấp phép tức thì), bất kỳ người dùng được ủy quyền nào trong nhà cung cấp danh tính đều có thể xác thực vào Zoom. Những người dùng chưa có tài khoản hiện có sẽ được tạo tài khoản ngay khi đăng nhập.

Việc cấp phép khi đăng nhập có thể đơn giản hóa việc triển khai Zoom cho một công ty bằng cách cho phép người dùng tạo tài khoản của họ tại thời điểm xác thực thay vì yêu cầu tạo người dùng một cách chủ động. Kết hợp với ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, toàn bộ hồ sơ người dùng và giấy phép sẽ sẵn sàng trong vòng vài giây kể từ lần xác thực đầu tiên của người dùng.

Ngoài ra, việc cấp phép khi đăng nhập có thể tạo động loại đăng nhập SSO cho các tài khoản đã tồn tại trước đó. Nếu một người dùng có Tài khoản Zoom hiện có với Tên người dùng và mật khẩu, một loại đăng nhập SSO sẽ được tạo khi đăng nhập với cấu hình này.

Việc cấp phép trước khi đăng nhập yêu cầu các tài khoản được tạo trước với một loại đăng nhập SSO

Cấp phép người dùng cho SSO trước khi đăng nhập yêu cầu rằng những người dùng đang xác thực phải có cả hai một Tài khoản Zoom hiện có, và tài khoản đó có một loại đăng nhập SSO đã được tạo. Loại cấp phép này thường được kết hợp với cấp phép SCIM do quy trình tạo tài khoản tự động nhưng không chỉ giới hạn ở đó. Những người dùng Zoom Hợp nhất vào tài khoản công ty thông qua Miền được liên kết hoặc lời Mời trực tiếp có khả năng không có loại đăng nhập SSO.

Quản trị viên Zoom có thể xác nhận liệu một tài khoản có loại đăng nhập SSO hay không bằng cách xem tài khoản người dùng trên Quản lý người dùng trang trong cổng web và tìm biểu tượng “SSO” bên dưới email của người dùng.

Nếu biểu tượng được trình bày, người dùng sẽ được cấp phép cho SSO; nếu biểu tượng bị thiếu, người dùng sẽ không thể đăng nhập qua SSO trong khi bật cấp phép trước cho đến khi nó được thêm. Quản trị viên Zoom có thể thêm kiểu đăng nhập này bằng cách thêm người dùng theo lô thông qua tệp CSV và chọn tùy chọn “SSO User” hoặc để người dùng xác thực khi bật tùy chọn Provision at Sign-in.

Một miền phải được liên kết và quản lý để thực thi xác thực SSO

Quản trị viên Zoom có thể bắt buộc xác thực SSO chỉ nếu miền email được liên kết và quản lý trong Zoom. Khi tính năng này được bật, tất cả người dùng thực hiện xác thực bằng miền công ty của bạn sẽ tự động được chuyển hướng đến trang xác thực của nhà cung cấp danh tính của bạn, bất kể nền tảng.

Sau khi miền được phê duyệt và được quản lý, một quản trị viên Zoom có thể thực thi xác thực SSO thông qua của tài khoản bạn trang bảo mật dưới Các phương thức đăng nhập. Tham khảo bài viết Hỗ trợ của chúng tôi về Miền được liên kết để biết thêm thông tin về việc liên kết và quản lý một tên miền.

Người dùng được chỉ định có thể được miễn khỏi xác thực SSO bắt buộc

Quản trị viên Zoom có thể loại trừ một số người dùng cụ thể khỏi việc bắt buộc xác thực SSO. Việc loại trừ một số người dùng cụ thể (chẳng hạn như một quản trị viên tài khoản) có thể hữu ích nếu cấu hình SSO bị lỗi và quản trị viên tài khoản cần quyền truy cập không SSO vào Tài khoản Zoom. Các quản trị viên được miễn trừ có thể đăng nhập vào admin.zoom.us bất cứ lúc nào trong trường hợp bị khóa tài khoản hoặc cấu hình SSO bị lỗi (người dùng phải có Tiêu chuẩn quản trị viên Vai trò). Nếu một quản trị viên Zoom không thể truy cập tài khoản, họ phải liên hệ Hỗ trợ Zoom để được hỗ trợ.

Để Bật một ngoại lệ người dùng, hãy điều hướng đến tài khoản trang bảo mật trên cổng web, trong các tùy chọn nâng cao, hãy tìm danh sách các miền được thực thi và Thêm một ngoại lệ thông qua danh sách chỉnh sửa.

Các ứng dụng khách trên thiết bị di động và máy tính để bàn có thể được cấu hình để yêu cầu người dùng sử dụng xác thực SSO

Các ứng dụng khách Zoom có thể được cấu hình sẵn để tự động hóa chức năng SSO, bao gồm đăng nhập tự động, đăng xuất tự động, xác thực chỉ dành cho SSO trên Thiết bị và nhiều hơn nữa thông qua Chính sách nhóm, các dịch vụ quản lý Thiết bị di động (MDM) và các ứng dụng khách triển khai hàng loạt.

Để xem danh sách đầy đủ các khả năng cấu hình, hãy tham khảo các tùy chọn cấu hình của chúng tôi cho Chính sách nhóm, iOS, Android, Mac và Windows.

Người dùng Office 365 có thể tự động đăng nhập vào tiện ích bổ sung Zoom dành cho Outlook bằng thông tin xác thực SSO

Khách hàng sử dụng Office 365 có thể tự động đăng nhập người dùng của họ vào tiện ích bổ sung Zoom dành cho Outlook bằng thông tin xác thực SSO. Điều này có thể được kết hợp với một tệp kê khai tiện ích bổ sung tùy chỉnh điền sẵn URL tùy biến của tài khoản, tạo ra trải nghiệm xác thực liền mạch cho người dùng. Tính năng này sử dụng mã thông báo phiên SSO của người dùng nếu nó đang Đang hoạt động, hoặc sẽ nhắc xác thực mới với nhà cung cấp danh tính của bạn nếu không tìm thấy phiên Đang hoạt động nào.

Một quản trị viên Zoom có thể Bật cài đặt này trên của tài khoản trang bảo mật trong nâng cao trình đơn.

Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn

Các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn là các danh mục dữ liệu được xác định bởi các giá trị Ngôn ngữ đánh dấu bảo đảm an toàn và được օգտագործة để փոխանցar thông tin từ nhà cung cấp danh tính đến một nhà cung cấp dịch vụ như Zoom. Việc ánh xạ các thuộc tính và giá trị là điều cần thiết để tự động hóa thông tin hồ sơ người dùng và quản lý các giấy phép của người dùng.

Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn được chia thành hai phần: cơ bản và nâng cao. Ánh xạ Cơ bản được dùng để ánh xạ thông tin hồ sơ cơ bản, bao gồm tên, số điện thoại, phòng ban, v.v. Ánh xạ nâng cao được dùng để quản lý việc gán giấy phép động, gán nhóm người dùng, vai trò người dùng và nhiều hơn nữa.

Phần này trình bày những kiến thức cơ bản về ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn cơ bản và nâng cao, đồng thời nêu bật các điều kiện riêng biệt cần có cho một số tính năng.

Kiến thức cơ bản: Thuộc tính và giá trị Ngôn ngữ đánh dấu bảo đảm an toàn

Hầu hết các nhà cung cấp danh tính chuyển thông tin hồ sơ cơ bản bằng cách sử dụng tên thuộc tính và giá trị thuần túy. Ví dụ: phòng ban của một nhân viên có thể được truyền qua Ngôn ngữ đánh dấu bảo đảm an toàn với một thuộc tính là phòng ban và một giá trị là Nhân sự. Bảng sau minh họa mối quan hệ giữa các thuộc tính và giá trị khi truyền thông tin về một người dùng.

Bằng cách Chỉ định chính xác một thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn cho một ánh xạ phản hồi, thông tin người dùng có thể được tự động áp dụng cho hồ sơ người dùng để đơn giản hóa quy trình tạo và quản lý tài khoản.

Ánh xạ Cơ bản: Thông tin hồ sơ

Ánh xạ Thông tin Cơ bản Ngôn ngữ đánh dấu bảo đảm an toàn được sử dụng để áp dụng thông tin hồ sơ như tên, họ, phòng ban, số điện thoại, trung tâm chi phí và Vị trí từ một thư mục vào hồ sơ của người dùng. Nhiều danh mục trong số này có thể tự giải thích và dễ dàng cấu hình; tuy nhiên, một số danh mục cần được giải thích để Cấu hình đúng cách nhằm ngăn các hậu quả ngoài dự kiến hoặc lỗi ứng dụng. Phần sau đây nêu bật các tùy chọn ánh xạ và Cài đặt cấu hình riêng biệt cho ánh xạ cơ bản. Tham khảo bài viết Ánh xạ Cơ bản Ngôn ngữ đánh dấu bảo đảm an toàn để xem danh sách đầy đủ các thuộc tính được hỗ trợ.

Loại giấy phép mặc định chỉ áp dụng cho người dùng hoàn toàn mới

Tùy chọn loại giấy phép mặc định sẽ áp dụng giấy phép được chỉ định cho tất cả hoàn toàn mới người dùng được cấp phát trong tài khoản thông qua Ngôn ngữ đánh dấu bảo đảm an toàn. Điều này không áp dụng cho người dùng đang xác thực lần thứ hai, người dùng đã được hợp nhất vào tài khoản từ một tài khoản trước đó, người dùng được cấp phát thông qua SCIM hoặc người dùng đã được mời thủ công.

Để biết thông tin về cập nhật giấy phép của người dùng bằng xác thực, hãy tham khảo cấu hình giấy phép trong phần Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao.

Loại giấy phép mặc định là Không có sẽ không Cho phép người dùng mới xác thực trừ khi ánh xạ nâng cao được cấu hình để Chỉ định một giấy phép

Người dùng Zoom phải có một loại giấy phép được chỉ định (Cơ bản, Được cấp giấy phép hoặc tại chỗ) để đăng nhập vào dịch vụ Zoom. Nếu loại giấy phép mặc định là Không có được chọn, người dùng mới không thể đăng nhập hoặc tạo tài khoản mới trừ khi họ sẽ nhận được giấy phép thông qua Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao.

Hầu hết các ánh xạ cơ bản sẽ được áp dụng lại khi đăng nhập, trừ khi có quy định khác

Hầu hết các ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn cơ bản sẽ được cập nhật mỗi khi người dùng đăng nhập theo mặc định, ngoại trừ đối với tên, họ, tên hiển thị và số điện thoại. Theo mặc định, bốn ánh xạ này sẽ chỉ được áp dụng vào lần đầu tiên người dùng xác thực và sẽ không được áp dụng lại, ngay cả khi được cập nhật bởi người dùng hoặc quản trị viên. Quản trị viên Zoom có thể Thay đổi hành vi này bằng cách bật tùy chọn Cập nhật ở mỗi lần đăng nhập SSO trên trang ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn.

Ánh xạ số điện thoại phải bao gồm mã quốc gia và mã vùng nếu ở ngoài Hoa Kỳ

Số điện thoại được ánh xạ thông qua Ngôn ngữ đánh dấu bảo đảm an toàn nên bao gồm mã quốc gia và mã vùng của người dùng trong khẳng định Ngôn ngữ đánh dấu bảo đảm an toàn khi có thể. Zoom sẽ giả định mã quốc gia là +1 nếu không được xác định theo mặc định.

Các tài khoản không lưu giữ mã quốc gia trong thư mục của họ có thể chỉnh sửa các khẳng định Ngôn ngữ đánh dấu bảo đảm an toàn trong nhà cung cấp danh tính của họ để tự động bao gồm các mã này nếu cần.

Mỗi người dùng có thể có tối đa ba Số điện thoại và một số fax được ánh xạ tới hồ sơ của họ

Quản trị viên Zoom có thể Cấu hình tối đa ba ánh xạ số điện thoại riêng biệt và một ánh xạ số fax cho mỗi người dùng. Mỗi số điện thoại phải là duy nhất và không được trùng lặp với giá trị của trường khác.

Ảnh hồ sơ phải được ánh xạ từ một URL có thể truy cập công khai hoặc được mã hóa bằng Base64

Các tài khoản muốn ánh xạ ảnh hồ sơ từ thư mục của họ phải ánh xạ hình ảnh bằng URL có thể truy cập công khai hoặc mã hóa hình ảnh bằng Base64 khi xác nhận.

ID duy nhất của nhân viên

ID duy nhất của nhân viên thay đổi mã nhận diện chính mà Zoom sử dụng để xác định người dùng

Mục này ID duy nhất của nhân viên là một Tính năng mà Zoom cung cấp để hỗ trợ quản lý danh tính. Theo mặc định, thông tin nhận dạng chính của một người dùng Zoom là email địa chỉ. Điều này có nghĩa là nếu loại đăng nhập bằng email công việc là [email protected], thì Zoom sẽ luôn xác định người dùng này bằng địa chỉ email đó. Mã nhận diện này là yếu tố Cho phép các tích hợp như SSO hoặc các tài khoản OAuth của Facebook và Google liên kết người dùng với cùng một Tài khoản Zoom.

Tuy nhiên, quy trình nhận diện này có thể gặp vấn đề nếu tên hoặc email của một người dùng thay đổi. Ví dụ, nếu [email protected] có Thay đổi email thành [email protected], Zoom không thể xác định một cách an toàn rằng đây là cùng một người (vì mã nhận diện cơ bản là khác nhau) nên Zoom sẽ tạo một tài khoản mới ngay lần đầu tiên [email protected] đăng nhập.

Để đơn giản hóa vấn đề này, Zoom cung cấp Tính năng ID nhân viên duy nhất, tính năng này Thay đổi mã nhận diện chính của một người dùng từ địa chỉ email của họ sang một ID duy nhất đã được thiết lập. Điều này không Thay đổi Tên người dùng Zoom của một người dùng, mà thay vào đó cung cấp một thuộc tính nhận diện thay thế. Thay đổi này cho phép Zoom cập nhật động địa chỉ email của một người dùng trong Zoom nếu:

• một mới địa chỉ email đi kèm với một ID nhân viên duy nhất đã biết; và

• miền email của người dùng bị ảnh hưởng được liên kết trong Zoom

Ví dụ, nếu [email protected] xác thực và truyền một giá trị Ngôn ngữ đánh dấu bảo đảm an toàn là 12345 (số nhân viên của họ) cho thuộc tính ID duy nhất của nhân viên, Zoom giờ đây sẽ xác định người dùng trong tài khoản bằng giá trị được xác nhận. Nếu John xác thực lại bằng email [email protected] trong khi vẫn truyền Mã định danh duy nhất của nhân viên là 12345, Zoom sẽ xác định rằng [email protected] hiện là [email protected] và sẽ tự động cập nhật email của người dùng trong tài khoản nếu tên miền được liên kết.

Quản trị viên danh tính nên tích cực rằng sẽ không có hai người dùng nào chồng lấp với cùng một giá trị ID nhân viên duy nhất trước khi thiết lập ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn cho danh mục này. Nếu một người dùng khác xác thực và cung cấp cùng một giá trị, email sẽ cập nhật lại sang người dùng mới và có thể gây gián đoạn đáng kể cho dịch vụ và trải nghiệm của người dùng.

Tính năng Mã định danh duy nhất của nhân viên yêu cầu Miền được liên kết để Thay đổi email của người dùng

Tính năng Mã định danh duy nhất của nhân viên không thể cập nhật địa chỉ email của người dùng trừ khi miền email được liên kết chính thức với hồ sơ tài khoản của bạn. Tham khảo bài viết Hỗ trợ của chúng tôi về Miền được liên kết để biết thêm thông tin.

Quản trị viên và Chủ sở hữu không thể cập nhật email của họ thông qua ID duy nhất của nhân viên

Email của quản trị viên và Chủ sở hữu trong Zoom không thể được cập nhật thông qua Tính năng ID duy nhất của nhân viên. Việc này được thiết kế như một biện pháp bảo mật để ngăn ngừa truy cập trái phép. Quản trị viên và Chủ sở hữu phải Thay đổi email của họ thông qua trang hồ sơ của họ.

Email của người dùng chỉ có thể được cập nhật một lần mỗi ngày thông qua ID duy nhất của nhân viên

Email của người dùng chỉ có thể được cập nhật một lần mỗi 24 giờ thông qua Tính năng ID duy nhất của nhân viên. Một người dùng phải đợi trọn một ngày lịch kể từ lần cập nhật trước đó trước khi cập nhật lại email của họ thông qua SSO.

Đặt thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn thành <NameID> sẽ sử dụng NameID đã được khẳng định của người dùng

Ánh xạ thuộc tính ID duy nhất của nhân viên Ngôn ngữ đánh dấu bảo đảm an toàn tới <NameID> sẽ tự động sử dụng giá trị NameID đã được xác nhận của người dùng làm mã nhận diện duy nhất của họ. Điều này có thể là một công cụ có lợi nếu nhà cung cấp dịch vụ nhận dạng của bạn xác nhận một NameID khác với email của người dùng, như User Principal Name (UPN) hoặc một giá trị tương tự không thay đổi. Không sử dụng giá trị này nếu NameID của người dùng khớp với email của họ.

Ánh xạ nâng cao: Giấy phép, tiện ích bổ sung và Truy cập

Phần Ánh xạ thông tin nâng cao Ngôn ngữ đánh dấu bảo đảm an toàn có thể áp dụng động các giấy phép (bao gồm Zoom Phone), tiện ích bổ sung và nhóm truy cập người dùng cho người dùng khi họ xác thực. Không giống như ánh xạ cơ bản, ánh xạ nâng cao chứa nhiều sắc thái có thể đòi hỏi sự chú ý cẩn thận khi cấu hình, tùy thuộc vào mức độ phức tạp của môi trường của bạn. Phần này nêu bật các sắc thái khi cấu hình ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao. Tham khảo bài viết Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao để xem danh sách đầy đủ các thuộc tính được hỗ trợ.

Ánh xạ nâng cao được áp dụng mỗi khi một người dùng xác thực

Không giống như ánh xạ cơ bản, vốn có các bản cập nhật Tùy chọn cho một số danh mục, các cấu hình ánh xạ nâng cao sẽ được áp dụng mỗi khi một người dùng xác thực, theo thứ tự áp dụng từ trên xuống dưới.

Ví dụ: nếu một người dùng có giấy phép cơ bản rồi xác thực thông qua SSO bằng cách truyền một thuộc tính và giá trị Ngôn ngữ đánh dấu bảo đảm an toàn được ánh xạ để cấp giấy phép đầy đủ, người dùng đó sẽ ngay lập tức được cấp giấy phép đầy đủ. Nếu hồ sơ của người dùng sau đó được thay đổi trong nhà cung cấp danh tính để chuyển họ trở lại giấy phép cơ bản, họ sẽ được gán lại giấy phép cơ bản sau khi xác thực lại trong Zoom.

Ánh xạ nâng cao cho phép nhiều thuộc tính và giá trị Ngôn ngữ đánh dấu bảo đảm an toàn cho mỗi danh mục

Không giống như ánh xạ cơ bản, vốn chỉ cho phép một thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn cho mỗi danh mục, ánh xạ nâng cao có thể hỗ trợ nhiều thuộc tính và giá trị cho từng danh mục. Điều này cho phép tính linh hoạt đáng kể khi quản lý việc cấp giấy phép và quyền truy cập của người dùng thông qua các nhóm bảo mật trong nhà cung cấp danh tính của bạn như được thấy trong cấu hình sau.

Ánh xạ nâng cao áp dụng giấy phép từ trên xuống dưới khi nhiều thuộc tính được khai báo

Nếu một người dùng truyền nhiều thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn hoặc các giá trị được cấu hình cho ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao, Zoom sẽ ánh xạ các giấy phép từ trên xuống dưới. Xem ví dụ sau:

Theo cấu hình ở trên, nếu một người dùng truyền một thuộc tính cho cả global_users và marketing, vì marketing là mức cao nhất trong cấu hình, thuộc tính này sẽ được áp dụng cho người dùng, và các thuộc tính áp dụng còn lại sẽ bị bỏ qua.

Ngoài ra, nếu cấu hình được đặt với global_users là mức cao nhất, như thấy trong ảnh chụp màn hình sau, nếu xác nhận của người dùng chứa global_users, marketing, con người tài nguyên, và CNTT, vì global_users là mức ưu tiên cao nhất, thì chỉ một giấy phép Cơ bản sẽ được xác nhận.

Quản trị viên Zoom có thể điều chỉnh thứ tự ứng dụng khi chỉnh sửa các giá trị ánh xạ bằng cách sử dụng các mũi tên ↑↓ trong trình chỉnh sửa.

Ánh xạ của hội thảo trực tuyến và Cuộc họp lớn có thể dùng chung một giá trị để áp dụng cả hai tiện ích bổ sung

Để đơn giản hóa quy trình ứng dụng, quản trị viên Zoom có thể Cấu hình cùng một thuộc tính và giá trị Ngôn ngữ đánh dấu bảo đảm an toàn hai lần để áp dụng cả tiện ích bổ sung hội thảo trực tuyến và cuộc họp lớn cho người dùng, như được thấy trong hình ảnh sau với global_users giá trị. Các tiện ích bổ sung này cũng có thể được cấu hình độc lập nếu muốn, như được hiển thị với Thêm hội thảo trực tuyến_chỉ và chỉ cuộc họp lớn giá trị.

Người dùng có thể được thêm vào nhiều Nhóm người dùng bằng một giá trị Ngôn ngữ đánh dấu bảo đảm an toàn

Quản trị viên Zoom có thể Cấu hình ánh xạ nhóm người dùng để Thêm một người dùng vào nhiều nhóm với một giá trị Ngôn ngữ đánh dấu bảo đảm an toàn.

Nhóm người dùng đầu tiên được thêm sẽ được đặt làm Nhóm Chính của người dùng và sẽ xác định Cài đặt mặc định của người dùng trừ khi một nhóm cơ sở có cài đặt bị khóa. Để biết thêm thông tin về Nhóm người dùng, hãy tham khảo bài viết Hỗ trợ.

Người dùng được chỉ định và Nhóm người dùng có thể được miễn khỏi các ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn cụ thể

Mọi tùy chọn trong Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn Nâng cao đều có thể được cấu hình để miễn cho người dùng cụ thể và Nhóm người dùng khỏi hành vi ánh xạ. Điều này có thể hữu ích để ngăn người dùng VIP bị gián đoạn dịch vụ do một thay đổi tiềm ẩn trong cấp phép.

Ánh xạ Tự động tự động Chỉ định người dùng vào một nhóm Người dùng, kênh hoặc IM được đặt tên theo giá trị Ngôn ngữ đánh dấu bảo đảm an toàn mà họ xác nhận nếu giá trị đó chưa được ánh xạ trước đó tới một nhóm

Ánh xạ Tự động có thể được dùng để tự động Chỉ định người dùng vào một Nhóm Người dùng, kênh và Nhóm IM được đặt tên theo giá trị Ngôn ngữ đánh dấu bảo đảm an toàn mà họ xác nhận. Không giống như các thành phần ánh xạ nâng cao khác, vốn có thể được cấu hình để chỉ định người dùng vào bất kỳ nhóm nào dựa trên giá trị Ngôn ngữ đánh dấu bảo đảm an toàn, Ánh xạ Tự động luôn chỉ định người dùng vào một nhóm dựa trên đúng giá trị Ngôn ngữ đánh dấu bảo đảm an toàn. Nếu nhóm trước đó chưa tồn tại, nhóm đó sẽ được tự động tạo.

Ví dụ, nếu Tự động ánh xạ được đặt để ánh xạ một người dùng vào các nhóm dựa trên phòng ban của họ, nếu giá trị phòng ban của họ chưa được xác định cho Nhóm người dùng, kênh hoặc Nhóm IM, người dùng sẽ tự động được gán vào một nhóm khớp với tên phòng ban của họ, như được hiển thị trong bảng sau:

Zoom hỗ trợ tối đa năm thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn tùy chỉnh

Quản trị viên Zoom có thể Cấu hình tối đa năm các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn tùy chỉnh để thêm dữ liệu người dùng vào hồ sơ Zoom của họ trong Quản lý người dùng nâng cao trang. Sau khi thêm các trường tùy chỉnh, Quản trị viên Zoom có thể Cấu hình ánh xạ trên Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn trang.

Việc ánh xạ người dùng vào một tài khoản phụ sẽ chỉ áp dụng giấy phép cuộc họp và các tiện ích bổ sung

Việc ánh xạ một người dùng vào một tài khoản phụ sẽ chỉ áp dụng giấy phép cuộc họp và các tiện ích bổ sung của người dùng như hội thảo trực tuyến và Cuộc họp lớn cho tài khoản phụ. Nhóm người dùng, Nhóm IM, Vai trò người dùng, v.v. sẽ không được áp dụng và phải được cấu hình trong tài khoản phụ.

Khách hàng cần linh hoạt hơn cho việc ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn với các tài khoản phụ sẽ cần một URL tùy biến riêng và cấu hình SSO mới trong tài khoản phụ.

Khắc phục sự cố SSO

Sử dụng Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để khắc phục sự cố

Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn đã lưu có thể là một công cụ vô giá để khắc phục sự cố cấu hình và lỗi người dùng, ngoài các cấu hình ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn. Nếu cấu hình SSO của bạn được đặt để lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, chúng có thể được truy cập thông qua Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn thẻ nhật ký phản hồi có sẵn trong trang cấu hình SSO ở Cài đặt nâng cao. Để xem nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, hãy nhấp vào Xem chi tiết bên cạnh một lần thử xác thực.

Hầu hết các lần xác thực sẽ hiển thị trong nhật ký phản hồi

Hầu hết các lần thử xác thực thất bại hoặc không thành công sẽ hiển thị trên trang nhật ký phản hồi. Nếu một lần thử xác thực không hiển thị, rất có thể Zoom đã không nhận được một xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn từ nhà cung cấp danh tính của bạn hoặc việc lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn đã bị vô hiệu hóa.

Nhật ký phản hồi có thể cho bạn biết liệu cấu hình của bạn có không chính xác hay chứng chỉ của bạn đã lỗi thời hay không

Khi nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn được bật, thông tin của nhà cung cấp danh tính được xác nhận tới Zoom để xác thực danh tính cho mỗi bên. Nếu một Cài đặt hoặc chuỗi thông tin được xác nhận, như chứng chỉ X509 hoặc ID đơn vị phát hành, khác với cấu hình hiện tại của Zoom, một lỗi sẽ xuất hiện với thông báo rằng thông tin “không khớp với SSO Cài đặt hiện tại.” Một quản trị viên Zoom có thể cập nhật cấu hình SSO để khớp với các giá trị được xác nhận này nếu chúng chính xác nhằm giải quyết lỗi.

Nhật ký phản hồi cho bạn biết những giá trị và thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn nào đang được xác nhận

Việc xem xét nhật ký phản hồi có thể hỗ trợ giải quyết các cấu hình ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn bằng cách xác minh những thuộc tính và giá trị nào đang được người dùng xác nhận khi họ xác thực. Những điều này có thể được so sánh với cấu hình để đảm bảo các thuộc tính và giá trị khớp nhau.

Nếu các thuộc tính hoặc giá trị Ngôn ngữ đánh dấu bảo đảm an toàn bị thiếu, thông tin đó không đang được xác nhận bởi dịch vụ nhà cung cấp danh tính. Người dùng gặp phải vấn đề này được khuyến khích liên hệ với các dịch vụ hỗ trợ của nhà cung cấp danh tính của họ để được trợ giúp thêm.

Nhật ký phản hồi bao gồm mã lỗi và giải thích ngắn gọn, nếu không thành công

Nếu người dùng không thể xác thực hoặc nhận được lỗi, nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn chứa mã lỗi và giải thích ngắn gọn về lỗi.

Hầu hết các sự cố có thể được xác định và khắc phục bằng cách sử dụng các thông báo lỗi này. Nếu bạn không thể giải quyết lỗi, hãy liên hệ với Hỗ trợ Zoom để được hỗ trợ thêm.

Lỗi ID theo dõi Web

Nếu người dùng không xác thực SSO thành công, họ sẽ nhận được mã lỗi ID theo dõi WEB. Các mã này không phải là một thông báo lỗi liên quan đến một lỗi cụ thể, mà là một ID nhật ký duy nhất có thể được xem trong Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để xác định các sự cố xác thực.

Để xác định lỗi, nếu ghi nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn được bật, hãy đi tới Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn thẻ Đang rảnh trong trang cấu hình SSO ở Cài đặt Nâng cao. Từ đó, Đi vào ID theo dõi WEB vào trường ID theo dõi và tìm kiếm để điền nhật ký phản hồi

Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn phải hiển thị xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn cũng như mã lỗi và thông báo ở cuối phản hồi mà có thể được sử dụng để khắc phục sự cố thêm.

Lỗi SCIM

người dùng Không Tồn Tại Hoặc Không Thuộc tài khoản này

Lỗi này xảy ra khi địa chỉ email của một người dùng mục tiêu không được cấp phát do đã có một tài khoản hiện hữu. Quản trị viên Zoom được khuyến khích liên hệ trực tiếp với người dùng và mời thủ công người dùng vào tài khoản.

Bạn Không Thể Thêm Người Dùng Trả Phí

Lỗi này xảy ra khi SCIM cố gắng cấp phát một người dùng khi không có đủ giấy phép trên tài khoản. Để giải quyết lỗi, người dùng phải được cấp phát dưới dạng người dùng cơ bản, hoặc phải có giấy phép khả dụng để cấp phát.

Sử dụng Nhật ký SCIM để Khắc phục Sự cố Cấp phát Người dùng

Zoom cung cấp 100 nhật ký yêu cầu API gần đây nhất trong Zoom Marketplace. Quản trị viên Zoom có thể sử dụng các nhật ký này để xác nhận thông tin nào đang được gửi và nhận thông qua các API cấp phát. Để truy cập nhật ký, hãy đăng nhập vào Zoom Marketplace với tư cách là quản trị viên Zoom và nhấp vào Quản lý. Trên trang sau, Chọn Nhật ký cuộc gọi dưới Quản lý Ứng dụng Cá nhân. Từ đó, nhấp vào một mục để mở rộng nhật ký API và xem lại nội dung.

Hình ảnh sau đây hiển thị ví dụ về một yêu cầu cấp phát người dùng SCIM, trong đó danh tính và các thuộc tính cấp phép của người dùng được làm nổi bật để tham khảo.

Giống như ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, Zoom chỉ có thể áp dụng thông tin được gửi từ nhà cung cấp danh tính trong yêu cầu cấp phát. Hãy sử dụng các nhật ký này để xác nhận rằng danh tính người dùng và các thuộc tính cấp phép đang được gửi từ nhà cung cấp danh tính. Nếu thông tin dự kiến bị thiếu trong các xác nhận này, hãy liên hệ với nhà cung cấp danh tính của bạn để được hỗ trợ.

Luồng dữ liệu và Xác thực

xác thực Ngôn ngữ đánh dấu bảo đảm an toàn

Sơ đồ sau đây mô tả chi tiết luồng xác thực Ngôn ngữ đánh dấu bảo đảm an toàn của người dùng khi bắt đầu một phiên Đăng nhập một lần với Zoom.

Mã thông báo đăng nhập web SSO

Sau khi một người dùng xác thực thông qua Ngôn ngữ đánh dấu bảo đảm an toàn, phiên của người dùng được tạo trong trình duyệt của họ, và có

thời hạn mặc định là hai giờ. Nếu người dùng tiếp tục sử dụng tích cực trang web Zoom của họ, phiên sẽ được làm mới; tuy nhiên, nếu người dùng không sử dụng trang web của họ trong hai giờ, mã thông báo sẽ hết hạn và người dùng phải xác thực lại. Quản trị viên Zoom có thể Cấu hình độ dài phiên đang hoạt động này trên Bảo mật trang bên dưới mục Người dùng cần Đăng nhập lại sau một khoảng thời gian không hoạt động và Đặt khoảng thời gian không hoạt động trên web (phút).

Mã thông báo đăng nhập của ứng dụng

Khi một người dùng cố gắng xác thực qua SSO trong một ứng dụng, máy của người dùng sẽ mở một trình duyệt web và chuyển hướng họ đến trang đăng nhập của nhà cung cấp danh tính. Sau khi người dùng xác thực, trình duyệt của người dùng sẽ nhận được mã thông báo khởi chạy ứng dụng Zoom. Khi người dùng nhấp vào nút “open” hoặc “launch”, trình duyệt sẽ sử dụng lược đồ URL kết hợp với mã thông báo khởi chạy để mở ứng dụng Zoom.

ứng dụng Zoom sẽ sử dụng mã thông báo khởi chạy để lấy mã thông báo truy cập và mã thông báo làm mới từ máy chủ Zoom. Ứng dụng sẽ sử dụng mã thông báo truy cập trong khoảng hai giờ mỗi lần, và khi hết hạn sẽ sử dụng mã thông báo làm mới để nhận một bộ mã thông báo mới, được lưu trữ trong cơ sở dữ liệu cục bộ của ứng dụng. Quá trình làm mới này không bị giới hạn theo mặc định, và có thể liên tục luân chuyển qua các mã thông báo cho đến khi người dùng Đăng xuất hoặc các mã thông báo hết hạn. Quản trị viên Zoom có thể tùy chỉnh độ dài phiên trên cài đặt SSO trang bên dưới buộc đăng xuất tự động.