> For the complete documentation index, see [llms.txt](https://library.zoom.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://library.zoom.com/technical-library/zh-tw/guan-li-yuan-zhuan-qu/account-and-endpoint-management/sso-field-guide.md).

# SSO 指南

### 簡介

將單一登入（SSO）與 Zoom 整合，可為管理員提供使用者管理與安全性選項，進而簡化帳戶管理。一旦設定完成，使用者會改以其公司憑證向貴公司的身分識別提供者進行驗證，而不是使用 Google 或 Facebook 整合等替代驗證方式，或直接使用 Zoom 的使用者名稱與密碼。

本文件除了疑難排解與安全性資訊外，亦提供 Zoom 中 SSO 組態與設定的完整概覽。

### SSO 整合

#### <mark style="color:藍色;">SSO 需要先有 Vanity URL 才能開始</mark>

帳戶必須先有已核准的 vanity URL，才能設定 SSO。一旦 Vanity URL 核准，Zoom 管理員即可存取 [SSO 組態](https://zoom.us/account/sso) 頁面，可透過網頁入口網站中的進階選項子選單進入。請參閱我們關於 [Vanity URL](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) 以取得更多資訊。

#### <mark style="color:藍色;">Zoom SSO 可與任何 SAML 2.0 身分識別提供者搭配使用</mark>

Zoom 可與任何支援 Security Assertion Markup Language（SAML）2.0 驗證的身分識別提供者整合。雖然已有許多整合操作說明文件，但部分身分識別提供者並未提供與 Zoom 整合的文件。若帳戶找不到設定說明，建議聯絡其身分識別提供者以取得更多資訊。

#### <mark style="color:藍色;">Zoom 管理員可透過 SAML 回應對應或 SCIM 整合來管理使用者設定檔資訊與授權</mark>

管理員可依身分識別提供者所支援的功能，透過 SAML 回應對應或 System for Cross-Domain Identity Management（SCIM）應用程式介面（API）要求來管理使用者設定檔資訊與授權。這兩種使用者管理方式在設定檔資訊對應與授權管理上幾乎具有相同功能，但部分 SCIM 對應需要手動設定。

如需 SCIM 功能的完整清單，請參閱我們的 [SCIM API 文件](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:藍色;">Zoom 管理員可透過 SCIM 管理使用者帳戶狀態，但不能透過 SAML</mark>

由於 SCIM 允許身分識別提供者可隨時直接與 Zoom 通訊，使用者帳戶可以被 *啟用*, *停用*, *建立*，或 *刪除* 並透過 SCIM 整合自動完成。例如，若 Active Directory 中某位使用者的帳戶已停用，或其應用程式被取消指派，SCIM 可自動向 Zoom 傳送該使用者帳戶的停用要求。此功能取決於身分識別提供者之 SCIM 應用程式的能力，且各提供者之功能可能有所不同。

#### <mark style="color:藍色;">提供適用於 Zoom 的 SCIM 的身分識別提供者有限</mark>

許多身分識別提供者的服務中並未內建適用於 Zoom 的 SCIM 整合。若使用的身分識別提供者不支援 Zoom 的 SCIM，則必須使用 SAML 回應對應來進行自動化使用者管理。

#### <mark style="color:藍色;">SCIM 需要關聯網域才能自動佈建使用者</mark>

使用 SCIM 來管理並佈建 SSO 使用者的帳戶 **必須** 將電子郵件網域與 Zoom 關聯。若未關聯網域，將導致使用者佈建失敗。請參閱我們關於 [關聯網域](https://support.zoom.us/hc/en-us/articles/203395207) 以了解該流程的更多資訊。

#### <mark style="color:藍色;">以下 SSO 整合已有文件說明</mark>

{% hint style="success" %}
**Zoom 提示**

按一下「提供者」或「Zoom 文件」欄中的 ✔，即可在新視窗中開啟操作說明。
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>供應商文件</th><th>Zoom 文件</th><th>支援 SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>AD Sync Tool</td></tr><tr><td>Clever</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID（原 Azure）</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:藍色;">內部部署的 Active Directory 可使用 AD Sync Tool 取代 SCIM</mark>

想要透過 SCIM 自動化使用者佈建，但沒有雲端式身分識別提供者的帳戶，可使用 Zoom 開發、用於管理使用者的 Active Directory（AD）Sync Tool 應用程式。此應用程式執行於 Oracle JDK 8，並透過 API 指令管理使用者，以模擬 SCIM 佈建。請參閱我們關於 [AD Sync Tool](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) 以取得更多資訊。

{% hint style="success" %}
**Zoom 建議**

AD Sync Tool 需要精確的使用者管理設定。在全面導入之前，必須徹底測試並檢視此工具的組態，以避免服務中斷。
{% endhint %}

#### <mark style="color:藍色;">身分識別提供者甚至可以驗證沒有 Zoom 帳戶的會議參與者</mark>

想要要求使用者驗證身分，但不希望提供 Zoom 帳戶的帳戶，可與其身分識別提供者設定外部驗證設定檔。啟用會議後，嘗試加入的使用者必須向您的身分識別提供者驗證其登入憑證，才能取得存取權。這是學校常見的設定，因為學校不會為所有學生提供帳戶，但仍要求學生在加入課程時進行驗證。請參閱我們關於 [設定外部驗證](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) 以取得更多資訊。

#### <mark style="color:藍色;">變更身分識別提供者需要重新設定 Zoom 內的 SSO</mark>

變更身分識別提供者的帳戶必須在 Zoom 中重新完成其 SSO 組態。這包括更新組態頁面中的所有欄位，以符合新的身分識別提供者。建議帳戶確認 SAML 回應對應在新的身分識別提供者下不會改變。

假設沒有其他變更，則不應需要額外的設定或變更。

#### <mark style="color:藍色;">擁有子帳戶的客戶可從主帳戶或子帳戶設定 SSO</mark>

擁有子帳戶的客戶有兩種 SSO 設定方式：

1. 所有使用者皆透過主帳戶的 Vanity URL 進行驗證，並透過進階 SAML 對應自動登入子帳戶（[部分對應限制適用](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)）；或
2. 每個子帳戶都有唯一的 Vanity URL 與獨立的 SSO 組態，僅供該子帳戶成員使用

每種組態各有其獨特優勢，其中第二種選項最具彈性。考慮實作任一組態的客戶，應與其帳戶團隊討論哪種組態最適合其需求。

### SSO 設定與安全性

Zoom 管理員在為 Zoom 設定 SSO 整合時，可為其組織選擇最佳的安全性與設定選項。本節將說明這些設定及其對 SSO 整合的影響。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SSO 整合設定範例。</p></figcaption></figure>

#### <mark style="color:藍色;">Zoom 支援已簽署的登入與登出 SAML 要求</mark>

需要額外服務提供者驗證的 Zoom 管理員，可將 Zoom 設定為對身分識別提供者簽署所有登入與登出要求。

若其身分識別提供者不支援動態中繼資料重新整理，使用此設定的帳戶可能需要進行憑證輪替。請參閱我們關於 [憑證輪替](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) 以取得更多資訊。

#### <mark style="color:藍色;">在驗證時，Zoom 支援加密的 SAML 斷言</mark>

Zoom 管理員可將 Zoom 設定為在驗證時支援加密的斷言。若啟用此設定，未加密的斷言將被捨棄。若其身分識別提供者不支援動態中繼資料重新整理，使用此設定的帳戶可能需要進行 SSO 憑證輪替。請參閱我們關於 [憑證輪替](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) 以取得更多資訊。

#### <mark style="color:藍色;">Zoom 管理員可強制在指定時間後自動登出</mark>

Zoom 管理員可將 Zoom 設定為在指定時間後自動將使用者從作用中工作階段登出，時間可自訂為 15 分鐘至 180 天。此程序會在權杖生成時，將 Zoom 存取權杖設定為在預定時間到期。此權杖與身分識別提供者無關，且為 Zoom 專用。

#### <mark style="color:藍色;">可儲存 SAML 回應記錄以供疑難排解</mark>

Zoom 可在驗證後保存七天內的驗證嘗試 SAML 回應記錄。這些回應記錄除了可用於 SAML 回應對應組態之外，還是排解設定與使用者錯誤的寶貴工具。請參閱下方的章節： [使用 SAML 回應記錄排解錯誤](#using-saml-response-logs-to-troubleshoot) 以取得更多資訊。

{% hint style="success" %}
**Zoom 建議**

啟用儲存 SAML 回應記錄，以便更輕鬆進行疑難排解。
{% endhint %}

#### <mark style="color:藍色;">登入時佈建可立即建立帳戶，且是最簡單的佈建選項</mark>

當 SSO 設定為佈建 *登入時* （亦稱即時佈建），身分識別提供者中的任何授權使用者都可驗證登入 Zoom。若使用者沒有現有帳戶，登入時將立即建立一個。

登入時佈建可讓公司更容易部署 Zoom，因為它允許使用者在驗證時建立自己的帳戶，而不必事先建立使用者。搭配 SAML 回應對應後，使用者的完整設定檔與授權可在首次驗證後數秒內完成。

此外，登入時佈建可為既有帳戶動態建立 SSO 登入類型。若使用者已有使用者名稱與密碼的現有 Zoom 帳戶，套用此組態後，登入時將建立 SSO 登入類型。

#### <mark style="color:藍色;">登入前佈建需要已預先建立且具備 SSO 登入類型的帳戶</mark>

為 SSO 佈建使用者 *在登入前* 需要驗證使用者同時具備 **兩者皆有** 現有 Zoom 帳戶，且該帳戶已建立 SSO 登入類型。這種佈建方式通常會因自動化帳戶建立流程而與 SCIM 佈建搭配使用，但並不僅限於此。透過關聯網域或直接邀請整合到公司帳戶的 Zoom 使用者，通常不會具有 SSO 登入類型。

Zoom 管理員可透過查看帳戶使用者在 [使用者管理](https://zoom.us/account/user#/) 網頁入口網站中的頁面，並查看使用者電子郵件下方是否有「SSO」圖示。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>使用者電子郵件下方的 SSO 圖示位置。</p></figcaption></figure>

若圖示存在，表示該使用者已佈建為 SSO；若圖示不存在，則在啟用預先佈建期間，使用者將無法透過 SSO 登入，直到新增該圖示為止。Zoom 管理員可透過 CSV 檔案批次新增使用者並選取「SSO 使用者」選項來新增此登入類型，或在啟用登入時佈建時讓使用者完成驗證。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>批次上傳時顯示 SSO 使用者選項的範例。</p></figcaption></figure>

{% hint style="success" %}
**Zoom 建議**

為避免使用者無法登入，在首次為帳戶設定 SSO 時，請使用登入時佈建。待您確認使用者已預先佈建且已具備預先佈建方法後，可視需要切換為預先佈建。
{% endhint %}

#### <mark style="color:藍色;">必須先關聯並管理網域，才能強制 SSO 驗證</mark>

Zoom 管理員只有在電子郵件網域已在 Zoom 中關聯並管理時，才可強制 SSO 驗證。啟用後，所有使用貴公司網域驗證的使用者都會自動重新導向至身分識別提供者的驗證頁面，不論平台為何。 *僅* 若電子郵件網域已在 Zoom 中關聯且管理，則 Zoom 管理員可透過帳戶的

安全性頁面 [下的](https://zoom.us/account/setting/security) 登入方式 **。請參閱我們關於**。請參閱我們關於 [關聯網域](https://support.zoom.us/hc/en-us/articles/203395207) 以取得關聯與管理網域的更多資訊。

#### <mark style="color:藍色;">指定使用者可免於強制 SSO 驗證</mark>

Zoom 管理員可排除特定使用者，使其免於強制 SSO 驗證。若 SSO 組態故障且帳戶管理員需要以非 SSO 方式存取 Zoom 帳戶，排除特定使用者（例如管理員帳戶）可能很有幫助。若帳戶發生鎖定或 SSO 組態故障，被豁免的管理員可隨時登入 admin.zoom.us（使用者必須具備標準 **管理員** 角色）。如果 Zoom 管理員無法存取帳戶，則必須聯絡 Zoom 支援尋求協助。

若要啟用使用者例外，請前往帳戶 [下的](https://zoom.us/account/setting/security) 在網頁入口網站的進階選項下，找到強制網域清單，並透過編輯清單新增例外。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>SSO 網域清單範例。</p></figcaption></figure>

#### <mark style="color:藍色;">可將行動版與桌面版用戶端設定為要求使用者使用 SSO 驗證</mark>

可透過群組原則、行動裝置管理（MDM）服務與大量部署用戶端，預先設定 Zoom 用戶端以自動化 SSO 功能，包括自動登入、自動登出、僅限 SSO 驗證裝置等更多功能。

如需完整的設定選項清單，請參閱我們針對以下項目的設定選項： [群組原則](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) 與 [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:藍色;">Office 365 使用者可使用 SSO 憑證自動登入 Zoom for Outlook 增益集</mark>

使用 Office 365 的客戶可利用 SSO 憑證，讓其使用者自動登入 Zoom for Outlook 增益集。這可以搭配 [自訂增益集資訊清單](https://support.zoom.us/hc/en-us/articles/360041403311) 來預先填入帳戶的 vanity URL，為使用者打造順暢的驗證體驗。此功能會使用使用者的 SSO 工作階段權杖（若為作用中），若找不到作用中工作階段，則會提示使用者透過身分識別提供者進行新的驗證。

Zoom 管理員可在帳戶的 [下的](https://zoom.us/account/setting/security) 下的 **進階** 選單中啟用此設定。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Outlook 增益集的 SSO 管理員設定範例。</p></figcaption></figure>

### SAML 回應對應

SAML 屬性是由 SAML 值定義的資料類別，用於將資訊從身分識別提供者傳遞至像 Zoom 這類服務提供者。對應屬性和值對於自動化使用者設定檔資訊與管理使用者授權至關重要。

SAML 回應對應分為兩部分： *基本* 與 *進階*基本對應用於對應基本設定檔資訊，包括名字、姓氏、部門、電話號碼等。進階對應用於管理動態授權指派、指定使用者群組、使用者角色等。

本節涵蓋 SAML 回應對應的基礎、基本與進階 SAML 回應對應，並說明某些功能所需的特殊條件。

#### <mark style="color:藍色;">基本概念：SAML 屬性與值</mark>

大多數身分識別提供者會使用一般的屬性名稱和值傳遞基本設定檔資訊。例如，員工的部門可能會透過 SAML 以 department 屬性與 Human Resources 值傳遞。下表示範在傳遞使用者資訊時屬性和值之間的關係。

| SAML 屬性 | SAML 值                         |
| ------- | ------------------------------ |
| 名字      | John                           |
| 姓氏      | Smith                          |
| 電子郵件    | <john.smith@companydomain.com> |
| 部門      | 人力資源                           |

只要正確將 SAML 屬性指派給回應對應，系統就能自動將使用者資訊套用至使用者設定檔，以簡化帳戶建立與管理流程。

#### <mark style="color:藍色;">基本對應：設定檔資訊</mark>

SAML 基本資訊對應用於從目錄將名字、姓氏、部門、電話號碼、成本中心與位置等設定檔資訊套用至使用者設定檔。這些類別大多一目了然，也可輕易設定；不過，某些類別需要說明才能正確設定，以避免非預期後果或應用程式錯誤。以下章節將重點說明基本對應的特殊對應選項與設定。請參閱我們的 [基本 SAML 對應文章](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) 以取得受支援屬性的完整清單。

#### <mark style="color:藍色;">預設授權類型僅適用於</mark> *<mark style="color:藍色;">全新使用者</mark>*

預設授權類型選項會將指定授權套用至帳戶中透過 SAML 佈建的所有 *全新* 使用者。這不適用於第二次驗證的使用者、從先前帳戶整合進來的使用者、透過 SCIM 佈建的使用者，或已手動邀請的使用者。

如需 *更新* 透過驗證更新使用者授權的資訊，請參閱 [進階 SAML 對應](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:藍色;">預設授權類型為</mark> *<mark style="color:藍色;">無</mark>* <mark style="color:藍色;">將不允許新使用者驗證，除非已設定進階對應以指派授權</mark>

Zoom 使用者必須具有已指派的授權類型（基本、已授權或 On-Prem）才能登入 Zoom 服務。若選擇預設授權類型為無，則新使用者無法登入或建立新帳戶，除非他們將透過 [進階 SAML 對應](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:藍色;">除非另有說明，多數基本對應會在登入時重新套用</mark>

預設情況下，大多數基本 SAML 對應會在使用者每次登入時更新， *除了* *以下項目：* 名字、姓氏、顯示名稱與電話號碼。預設情況下，這四項對應僅在使用者首次驗證時套用，之後即使由使用者或管理員更新，也不會再次套用。Zoom 管理員可透過啟用以下選項來變更此行為： **每次 SSO 登入時更新** 於 SAML 回應對應頁面上。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>每次 SSO 登入時更新選項範例。</p></figcaption></figure>

#### <mark style="color:藍色;">若電話號碼位於美國境外，對應應包含國碼與區碼</mark>

透過 SAML 對應的電話號碼，應在可行時於 SAML 斷言中包含使用者的國碼與區碼。若未定義，Zoom 預設會假設國碼為 +1。

若帳戶的目錄中未保留國碼，則可在身分識別提供者中編輯其 SAML 斷言，必要時自動加入這些資訊。

#### <mark style="color:藍色;">每位使用者的設定檔最多可對應三個電話號碼與一個傳真號碼</mark>

Zoom 管理員最多可為每位使用者設定三個獨立電話號碼與一個傳真號碼對應。每個電話號碼都必須唯一，且不得重複其他欄位的值。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>每位使用者的電話號碼選項範例。</p></figcaption></figure>

#### <mark style="color:藍色;">設定檔圖片必須透過可公開存取的 URL 或以 Base64 編碼對應</mark>

想要從目錄對應設定檔圖片的帳戶，必須在斷言時使用可公開存取的 URL 對映圖片，或將圖片以 Base64 編碼。

#### 員工唯一 ID

<mark style="color:藍色;">**員工唯一 ID 會變更 Zoom 用於識別使用者的主要識別碼**</mark>

這項 *員工唯一 ID* 是 Zoom 為協助身分管理而提供的功能。預設情況下，Zoom 使用者的主要識別為其 **電子郵件** **地址**。這表示如果工作電子郵件登入類型為 **<john.smith@company.com>**，Zoom 會一律以該電子郵件地址識別此使用者。此識別碼可讓 SSO 或 Facebook、Google OAuth 帳戶等整合將使用者與相同的 Zoom 帳戶關聯。

然而，若使用者名稱或電子郵件變更，這個識別流程就可能產生問題。例如，若 **<john.smith@company.com>** 的電子郵件變更為 **<jonathan.smith@company.com>**，Zoom 無法安全地判定這兩者是同一人（因為基礎識別碼不同），因此 Zoom 會在 **<jonathan.smith@company.com>** 首次登入時建立新的帳戶。

為簡化此問題，Zoom 提供「員工唯一 ID」功能，將使用者的主要識別碼從電子郵件地址變更為既有的唯一 ID。 *這不會變更使用者的 Zoom 使用者名稱*，而是提供另一個識別屬性。此變更可讓 Zoom 在以下情況下動態更新使用者在 Zoom 內的電子郵件地址：

* 一個 *新的* 電子郵件地址伴隨已知的員工唯一 ID；以及
* 受影響使用者的電子郵件網域已在 Zoom 中關聯

例如，若 **<john.smith@company.com>** 進行驗證，並為「員工唯一 ID」屬性傳遞 SAML 值 12345（其員工編號），則 Zoom  այժմ會以該斷言值識別帳戶中的使用者。若 John 再次使用電子郵件 **<jonathan.smith@company.com>** ，同時仍傳遞員工唯一 ID 12345，Zoom 會識別出 <john.smith@company.com> 現在是 **<jonathan.smith@company.com>** ，並且在網域已關聯的情況下，動態更新帳戶中的使用者電子郵件。

身分管理員應該 *確定* 在為此類別建立 SAML 對應前，沒有兩位使用者會以相同的員工唯一 ID 值重疊。若另一位使用者驗證並傳遞相同的值，電子郵件將再次更新為新使用者，並可能對使用者服務與體驗造成重大中斷。

<mark style="color:藍色;">**員工唯一 ID 功能需要關聯網域才能變更使用者的電子郵件**</mark>

除非電子郵件網域已正式關聯至您的帳戶設定檔，否則員工唯一 ID 功能無法更新使用者的電子郵件地址。請參閱我們關於 [關聯網域](https://support.zoom.us/hc/en-us/articles/203395207) 以取得更多資訊。

<mark style="color:藍色;">**管理員與擁有者無法透過員工唯一 ID 更新其電子郵件**</mark>

Zoom 中的管理員與擁有者電子郵件無法透過員工唯一 ID 功能更新。此設計為安全措施，以防止未經授權的存取。管理員與擁有者必須透過其設定檔頁面變更電子郵件。

<mark style="color:藍色;">**使用者電子郵件透過員工唯一 ID 每天僅可更新一次**</mark>

使用者電子郵件透過員工唯一 ID 功能每 24 小時僅可更新一次。使用者必須在前一次更新後等待整整一個日曆日，才能再次透過 SSO 更新電子郵件。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>使用者電子郵件更新流程示意圖。</p></figcaption></figure>

<mark style="color:藍色;">**將 SAML 屬性設定為 \<NameID> 將使用使用者斷言的 NameID**</mark>

將員工唯一 ID SAML 屬性對應至 **\<NameID>** 將自動使用使用者斷言的 NameID 值作為其唯一識別碼。如果您的身分識別提供者斷言的 NameID 不是使用者的電子郵件，例如 User Principal Name（UPN）或其他不會變更的類似值，這會是很有用的功能。若使用者的 NameID 與其電子郵件相同，請勿使用此值。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>&#x3C;NameID> 管理員設定範例。</p></figcaption></figure>

### 進階對應：授權、附加元件與存取

SAML 進階資訊對應區段可在使用者驗證時，動態將授權（包含 Zoom Phone）、附加元件與使用者存取群組套用至使用者。與基本對應不同，進階對應包含許多細節，視您的環境複雜度而定，在設定時需要仔細留意。本節將重點說明進階 SAML 對應的設定細節。請參閱我們的 [進階 SAML 對應文章](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) 以取得受支援屬性的完整清單。

#### <mark style="color:藍色;">每次使用者驗證時都會套用進階對應</mark>

與某些類別可選擇更新的基本對應不同，進階對應設定會依照由上而下的套用順序，在使用者每次驗證時套用。

例如，若使用者擁有基本授權，之後透過 SSO 驗證並傳遞對應至授予完整授權的 SAML 屬性和值，則該使用者會立即獲得完整授權。若之後在身分識別提供者中將其設定檔改回基本授權，當使用者再次於 Zoom 驗證時，系統會再次指派基本授權。

#### <mark style="color:藍色;">進階對應允許每個類別使用多個 SAML 屬性和值</mark>

與每個類別僅允許一個 SAML 屬性的基本對應不同，進階對應可為每個類別支援多個屬性和值。這使得可依下列設定，透過身分識別提供者中的安全性群組管理使用者授權與存取時，具備極高彈性。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SAML 屬性對應範例。</p></figcaption></figure>

{% hint style="success" %}
**Zoom 提示**

SAML 屬性會因身分識別提供者而異，特別是安全性群組。請向您的身分識別提供者確認，或透過 [SAML 回應記錄](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) 了解 SAML 屬性如何被斷言。
{% endhint %}

#### <mark style="color:藍色;">當斷言多個屬性時，進階對應會自上而下套用授權</mark>

若使用者傳遞多個已設定為進階 SAML 對應的 SAML 屬性或值，Zoom 將由上而下對應授權。請參閱下列範例：

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>管理員設定中的授權類型選擇範例。</p></figcaption></figure>

根據上述設定，若使用者同時傳遞以下兩者的屬性： **global\_users** 與 **marketing**，因為 **marketing** 在設定中優先順序最高，此屬性會套用至使用者，其餘適用屬性將被忽略。

或者，若設定中將 **global\_users** 設為最高優先順序，如下圖所示，若使用者的斷言包含 **global\_users**, **marketing**, **human** **resources**，以及 **IT**，因為 **global\_users** 為最高優先順序，則僅會斷言基本授權。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>調整優先順序範例</p></figcaption></figure>

Zoom 管理員可在編輯對應值時，使用編輯器中的 ↑↓ 箭頭調整套用順序。

{% hint style="success" %}
**Zoom 建議**

請以最具體到最一般的順序設定進階組態，以避免授權誤套用。
{% endhint %}

#### <mark style="color:藍色;">網路研討會與大型會議的對應可共用相同值，以同時套用兩種附加元件</mark>

為簡化套用流程，Zoom 管理員可將相同的 SAML 屬性和值設定兩次，以同時為使用者套用網路研討會與大型會議附加元件，如下圖所示，使用 **global\_users** 值。若需要，這些附加元件也可獨立設定，如下所示： **webinar\_only** 與 **large\_meeting\_only** 值。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>large_meeting_only 與 webinar_only 的 SAML 屬性範例。</p></figcaption></figure>

#### <mark style="color:藍色;">使用一個 SAML 值即可將使用者加入多個使用者群組</mark>

Zoom 管理員可設定使用者群組對應，透過一個 SAML 值將使用者加入多個群組。

第一個加入的使用者群組將設為使用者的主要群組，並決定使用者的預設設定 *除非底層群組有已鎖定的設定*。如需使用者群組的更多資訊，請參閱我們的 [支援文章](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>多個使用者群組對應範例。</p></figcaption></figure>

#### <mark style="color:藍色;">指定使用者與使用者群組可豁免於特定 SAML 對應</mark>

進階 SAML 對應下的每個選項都可設定為讓特定使用者與使用者群組免於對應行為。這有助於防止 VIP 使用者因授權變更而造成服務中斷。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>使用者豁免範例。</p></figcaption></figure>

#### <mark style="color:藍色;">若該值先前未對應至任何群組，自動對應會依使用者斷言的 SAML 值，將使用者自動指派至以該值命名的使用者、頻道或 IM 群組</mark>

自動對應可將使用者自動指派至以其斷言 SAML 值命名的使用者群組、頻道與 IM 群組。與其他可依 SAML 值將使用者指派至任意群組的進階對應元件不同，自動對應一律會根據精確的 SAML 值將使用者指派至群組。若該群組先前不存在，系統會自動建立。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SAML 自動對應範例。</p></figcaption></figure>

例如，若自動對應設定為依使用者的部門將其對應到群組，而該部門值尚未在使用者群組、頻道或 IM 群組中定義，則使用者會自動指派至符合其部門名稱的群組，如下表所示：

| SAML 屬性 | SAML 值 | Zoom 群組是否已存在？ | 結果                             |
| ------- | ------ | ------------- | ------------------------------ |
| 部門      | 人力資源   | 是             | 使用者已新增至人力資源群組                  |
| 部門      | 行銷     | 是             | 使用者已新增至行銷群組                    |
| 部門      | 銷售     | 否             | 已建立 Sales 群組，並將使用者新增至 Sales 群組 |

#### Zoom 最多支援五個自訂 SAML 屬性

Zoom 管理員最多可在 *五* 個自訂 SAML 屬性，以在 [進階使用者管理](https://zoom.us/account/user#/advanced) 頁面下，將使用者資料新增至其 Zoom 設定檔。新增自訂欄位後，Zoom 管理員可在 [SAML 回應對應](https://zoom.us/account/sso/mapping) 頁面上設定對應。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>自訂 SAML 屬性範例</p></figcaption></figure>

#### <mark style="color:藍色;">將使用者對應至子帳戶將</mark> *<mark style="color:藍色;">僅</mark>* <mark style="color:藍色;">套用會議授權與附加元件</mark>

將使用者對應至子帳戶只會將使用者的會議授權與附加元件（如網路研討會與大型會議）套用至子帳戶。使用者群組、IM 群組、使用者角色等不會套用，必須在子帳戶內設定。

若客戶需要在子帳戶中使用更彈性的 SAML 回應對應，則子帳戶必須具備唯一的 Vanity URL 與新的 SSO 組態。

### SSO 疑難排解

#### <mark style="color:藍色;">使用 SAML 回應記錄進行疑難排解</mark>

已儲存的 SAML 回應記錄可作為疑難排解設定與使用者錯誤，以及 SAML 回應對應組態的重要工具。若您的 SSO 組態已設定為儲存 SAML 回應記錄，則可透過 [SAML 回應記錄](https://zoom.us/account/sso/saml_logs) 索引標籤進入，該索引標籤位於進階設定中的 SSO 組態頁面。若要檢視 SAML 回應記錄，請按一下 **檢視詳細資料** 旁的認證嘗試。

#### <mark style="color:藍色;">大多數驗證會顯示在回應記錄中</mark>

大多數失敗或未成功的驗證嘗試都會顯示在回應記錄頁面上。若未顯示某次驗證嘗試，最可能的原因是 Zoom 未從您的身分識別提供者收到 SAML 斷言，或是未啟用儲存 SAML 回應記錄。

#### <mark style="color:藍色;">回應記錄可告訴您組態是否不正確，或憑證是否已過期</mark>

啟用 SAML 回應記錄時，身分識別提供者的資訊會被斷言給 Zoom，以驗證各方的身分。若被斷言的設定或資訊字串（例如 X509 憑證或簽發者 ID）與 Zoom 目前的組態不同，系統將顯示錯誤，提示資訊「與目前的 SSO 設定不符」。若被斷言值正確，Zoom 管理員可更新 SSO 組態以符合這些值，進而解決錯誤。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>不正確組態警告範例。</p></figcaption></figure>

#### <mark style="color:藍色;">回應記錄會告訴您目前斷言的是哪些 SAML 值與屬性</mark>

檢閱回應記錄可透過驗證使用者在進行驗證時所斷言的屬性與值，協助解決 SAML 回應對應設定。這些內容可與組態進行比對，以確保屬性與值相符。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>由身分識別提供者服務所斷言的資訊範例。</p></figcaption></figure>

如果 SAML 屬性或值遺失，表示該資訊並未由身分識別提供者服務斷言。遇到此問題的使用者建議聯絡其身分識別提供者支援服務，以取得更多協助。

#### <mark style="color:藍色;">若失敗，回應記錄會包含錯誤代碼與簡要說明</mark>

如果使用者無法通過驗證或收到錯誤，SAML 回應記錄會包含錯誤代碼與該錯誤的簡要說明。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>錯誤代碼與說明範例。</p></figcaption></figure>

大多數問題都可透過這些錯誤訊息來識別並解決。如果您無法解決錯誤，請聯絡 Zoom 支援以取得進一步協助。

#### <mark style="color:藍色;">Web 追蹤 ID 錯誤</mark>

如果使用者的 SSO 驗證失敗，將會收到一個 WEB 追蹤 ID 錯誤代碼。這些代碼不是與特定失敗相關的錯誤訊息，而是一個可在 SAML 回應對應中檢閱的唯一記錄 ID，用於識別驗證問題。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>使用者看到的含有 WEB 追蹤 ID 錯誤代碼的錯誤範例。</p></figcaption></figure>

若要識別該錯誤，且已啟用 SAML 回應記錄，請前往 [SAML 回應記錄](https://zoom.us/account/sso/saml_logs) 可在進階設定中的 SSO 組態頁面內找到的索引標籤。接著，將 WEB 追蹤 ID 輸入追蹤 ID 欄位並搜尋，以填入回應記錄

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>使用前述 WEB 追蹤 ID 錯誤代碼搜尋 SAML 回應記錄的範例。</p></figcaption></figure>

SAML 回應記錄應在回應底部顯示 SAML 斷言，以及可用於進一步疑難排解的錯誤代碼與訊息。

### SCIM 錯誤

#### <mark style="color:藍色;">使用者不存在或不屬於此帳戶</mark>

當目標使用者的電子郵件地址因已存在帳戶而無法佈建時，就會發生此錯誤。建議 Zoom 管理員直接聯絡該使用者，並手動邀請該使用者加入帳戶。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>佈建錯誤範例。</p></figcaption></figure>

#### <mark style="color:藍色;">您無法新增付費使用者</mark>

當 SCIM 嘗試在帳戶授權不足時佈建使用者，就會發生此錯誤。若要解決此錯誤，必須將該使用者佈建為基本使用者，或提供可供佈建的授權。

### 使用 SCIM 記錄疑難排解使用者佈建

Zoom 在 [Zoom Marketplace](https://marketplace.zoom.us/)中提供最近 100 筆 API 請求記錄。Zoom 管理員可使用這些記錄確認透過佈建 API 傳送與接收了哪些資訊。若要存取記錄，請以 Zoom 管理員身分登入 Zoom Marketplace，然後按一下 **管理**。在下一個頁面中，選取 **通話記錄** 登入方式 **個人應用程式管理**。接著，按一下某個項目以展開 API 記錄並檢閱內容。

下圖顯示一個 SCIM 使用者佈建請求範例，其中使用者的身分與授權屬性已標示以供參考。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SCIM 使用者佈建請求範例。</p></figcaption></figure>

如同 SAML 回應對應，Zoom 只能套用在佈建請求中由身分識別提供者提交的資訊。請使用這些記錄確認使用者身分與授權屬性是否由身分識別提供者提交。如果預期資訊未出現在這些斷言中，請聯絡您的身分識別提供者尋求支援。

### 資料流程與驗證

#### <mark style="color:藍色;">SAML 驗證</mark>

下列圖表詳細說明使用者在與 Zoom 啟動單一登入工作階段時的 SAML 驗證流程。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SAML 驗證流程範例圖。</p></figcaption></figure>

#### <mark style="color:藍色;">SSO 網頁登入權杖</mark>

使用者透過 SAML 完成驗證後，該使用者的工作階段會建立在其瀏覽器中，預設有效期為

兩小時。如果使用者持續 सक्रिय使用其 Zoom 網頁頁面，工作階段將會重新整理；然而，如果使用者兩小時內未使用其網頁頁面，權杖將會過期，且使用者必須重新驗證。Zoom 管理員可在 [安全性](https://zoom.us/account/setting/security) 頁面中的「使用者在一段閒置時間後需要再次登入」與 **網頁閒置時間設定（分鐘）**.

#### <mark style="color:藍色;">用戶端登入權杖</mark>

當使用者在用戶端中嘗試透過 SSO 進行驗證時，使用者的電腦會開啟網頁瀏覽器並重新導向至身分識別提供者的登入頁面。使用者完成驗證後，其瀏覽器將收到 Zoom 用戶端啟動權杖。使用者按一下「開啟」或「啟動」按鈕後，瀏覽器會使用 URL 規格與啟動權杖組合來開啟 Zoom 用戶端。

Zoom 用戶端會使用啟動權杖向 Zoom 伺服器取得存取權杖與重新整理權杖。用戶端會一次使用存取權杖兩小時，且在其過期後會使用重新整理權杖取得一組新的權杖，這些權杖會儲存在用戶端的本機資料庫中。此重新整理流程預設不限次數，並可持續循環產生權杖，直到使用者登出或權杖過期為止。Zoom 管理員可在 [SSO 設定](https://zoom.us/account/sso) 頁面中的 [*強制自動登出*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://library.zoom.com/technical-library/zh-tw/guan-li-yuan-zhuan-qu/account-and-endpoint-management/sso-field-guide.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
