> For the complete documentation index, see [llms.txt](https://library.zoom.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://library.zoom.com/technical-library/zh/guan-li-yuan-jiao-luo/account-and-endpoint-management/sso-field-guide.md).

# SSO 指南

### 简介

将单点登录（SSO）与 Zoom 集成，可为管理员提供用户管理和安全选项，从而简化账户管理。配置完成后，用户将使用其公司凭据通过贵公司的身份提供商进行身份验证，而不是使用 Google 或 Facebook 集成等其他身份验证方式，或直接使用 Zoom 的用户名和密码。

本文档对 Zoom 中的 SSO 配置和设置进行了全面概述，并提供故障排除和安全信息。

### SSO 集成

#### <mark style="color:蓝色;">SSO 需要实名网址才能开始使用</mark>

在配置 SSO 之前，账户必须先拥有已获批准的实名网址。实名网址获批后，Zoom 管理员可以访问 [SSO 配置](https://zoom.us/account/sso) 页面，可通过 Web 门户中的高级选项子菜单访问。请参阅我们关于 [实名网址](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) 了解更多信息。

#### <mark style="color:蓝色;">Zoom SSO 可与任何 SAML 2.0 身份提供商配合使用</mark>

Zoom 可以与任何支持安全断言标记语言（SAML）2.0 身份验证的身份提供商集成。尽管有许多已记录的集成指南，但有些身份提供商并未提供与 Zoom 集成的文档。找不到配置说明的账户应联系其身份提供商以获取更多信息。

#### <mark style="color:蓝色;">Zoom 管理员可以通过 SAML 响应映射或 SCIM 集成来管理用户个人资料信息和许可证管理</mark>

管理员可以根据身份提供方在线提供的功能，通过 SAML 响应映射或跨域身份管理系统 (SCIM) 应用程序编程接口 (API) 请求来管理用户个人资料信息和许可证管理。这两种用户管理方法在个人资料信息映射和许可证管理方面提供几乎相同的功能，但某些 SCIM 映射需要手动配置。

有关 SCIM 功能的完整列表，请参阅我们的 [SCIM API 文档](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:蓝色;">Zoom 管理员可以通过 SCIM 管理用户账户状态，但不能通过 SAML</mark>

由于 SCIM 允许身份提供方随时直接与 Zoom 通信，用户账户可以被 *激活*, *停用*, *创建*，或 *删除* 通过 SCIM 集成自动执行。例如，如果某个用户在 Active Directory 中的账户被禁用，或者未分配该应用程序，SCIM 可以向 Zoom 内该用户的账户发送自动停用请求。此功能依赖于身份提供方的 SCIM 应用程序的能力，并且可能因提供方而异。

#### <mark style="color:蓝色;">有限的身份提供商为 Zoom 提供 SCIM</mark>

许多身份提供商并未将用于 Zoom 的 SCIM 集成作为其服务的一部分内置。使用不支持与 Zoom 的 SCIM 的身份提供商的账户必须使用 SAML 响应映射来进行自动化用户管理。

#### <mark style="color:蓝色;">SCIM 需要一个关联域才能自动配置用户</mark>

使用 SCIM 管理并为 SSO 配置用户的账户 **必须** 将电子邮件域名与 Zoom 关联。如果未关联该域名，将导致用户配置失败。请参阅我们关于……的支持文章 [关联域](https://support.zoom.us/hc/en-us/articles/203395207) 有关该流程的更多信息。

#### <mark style="color:蓝色;">以下 SSO 集成已有文档说明</mark>

{% hint style="success" %}
**Zoom 提示**

点击 Provider 或 Zoom Documentation 列中的 ✔ 可在新窗口中打开说明。
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>提供商文档</th><th>Zoom 文档</th><th>支持 SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>AD 同步工具</td></tr><tr><td>Clever</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID（原 Azure）</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:蓝色;">本地 Active Directory 可以使用 AD 同步工具 来替代 SCIM</mark>

希望通过 SCIM 自动化用户配置，但没有基于云的身份提供程序的账户，可以使用 Zoom 为管理其用户开发的 Active Directory（AD）同步工具应用程序。该应用程序在 Oracle JDK 8 上运行，并通过 API 命令来管理用户，从而模拟 SCIM 配置。请参阅我们的 支持 文章，关于 [AD 同步工具](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) 了解更多信息。

{% hint style="success" %}
**Zoom 建议**

AD 同步工具需要为用户管理进行精确配置。在全面实施之前，必须对该工具的配置进行充分测试和审查，以避免服务中断。
{% endhint %}

#### <mark style="color:蓝色;">身份提供商甚至可以对没有 Zoom 账户的参会者进行身份验证</mark>

希望要求用户验证其身份但又不想提供 Zoom 账户的账户，可以与其身份提供商配置外部身份验证配置文件。启用后用于会议时，尝试加入的用户必须通过其身份提供商验证登录凭据才能获得访问权限。这是学校的一种常见配置，这些学校不会向所有学生提供账户，但要求进行身份验证才能加入课程。请参阅我们关于 [配置外部身份验证](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) 了解更多信息。

#### <mark style="color:蓝色;">更改身份提供商需要在 Zoom 中重新配置 SSO</mark>

更改身份提供商的账户必须在 Zoom 中重新进行 SSO 配置。这包括更新配置页面中的所有字段，以匹配其新的身份提供商。建议账户确认，SAML 响应映射不会随新的身份提供商而更改。

在没有进一步更改的情况下，不应需要额外的配置或更改。

#### <mark style="color:蓝色;">拥有子账户的客户可以从主账户或子账户配置 SSO</mark>

拥有子账户的客户在配置 SSO 时有两个选项：

1. 所有用户使用主账户的实名网址进行身份验证，并通过高级 SAML 映射自动登录到子账户（[存在一些映射限制](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)）；或
2. 每个子账户都有唯一的实名网址和独立的 SSO 配置，仅供该子账户的成员使用

每种配置都具有独特优势，其中第二种选项最灵活。考虑实施任一配置的客户应与其账户团队讨论哪种配置最适合他们的需求。

### SSO 设置与安全

Zoom 管理员在为 Zoom 配置 SSO 集成时，可以为其组织选择最佳的安全和设置选项。本节说明这些设置及其对 SSO 集成的影响。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SSO 集成设置示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">Zoom 支持已签名的登录和注销 SAML 请求</mark>

需要额外服务提供商身份验证的 Zoom 管理员可以配置 Zoom，对发送给身份提供商的所有登录和注销请求进行签名。

使用此设置的账户，如果其身份提供商不支持动态元数据刷新，可能需要进行证书轮换。请参阅我们关于 [证书轮换](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) 了解更多信息。

#### <mark style="color:蓝色;">Zoom 支持在身份验证时加密的 SAML 断言</mark>

Zoom 管理员可以配置 Zoom，在身份验证时支持加密断言。如果启用此设置，未加密的断言将被丢弃。如果其身份提供商不支持动态元数据刷新，使用此设置的账户可能需要进行 SSO 证书轮换。请参阅我们关于 [证书轮换](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) 了解更多信息。

#### <mark style="color:蓝色;">Zoom 管理员可以强制在规定时长后自动注销</mark>

Zoom 管理员可以配置 Zoom，在 15 分钟到 180 天的可自定义范围内，于定义的时长后自动将用户从有效会话中注销。此过程将在令牌生成后，将 Zoom 访问令牌设置为在预定时长后过期。此令牌与身份提供商无关，且仅适用于 Zoom。

#### <mark style="color:蓝色;">可以保存 SAML 响应日志以便排查故障</mark>

Zoom 可以保存身份验证尝试中的 SAML 响应日志，并在一次身份验证后的七天内保留。这些响应日志对于排查配置和用户错误，以及 SAML 响应映射配置，都是极有价值的工具。请查看关于 [使用 SAML 响应日志排查错误](#using-saml-response-logs-to-troubleshoot) 了解更多信息。

{% hint style="success" %}
**Zoom 建议**

启用保存 SAML 响应日志，以便更轻松地进行故障排查。
{% endhint %}

#### <mark style="color:蓝色;">登录时预配可以立即创建账户，并且是最简单的预配选项</mark>

当 SSO 设置为预配时 *在登录时* （也称为即时预配），身份提供商中的任何经授权用户都可以通过身份验证登录 Zoom。没有现有账户的用户将在登录时立即创建一个账户。

登录时预配可以通过允许用户在身份验证时创建他们的账户，而不是要求主动创建用户，从而简化 Zoom 向公司部署的过程。结合 SAML 响应映射，完整的用户资料和许可会在用户首次身份验证后的数秒内就绪。

此外，登录时预配可以为现有账户动态创建 SSO 登录类型。如果用户有一个带有用户名和密码的现有 Zoom 账户，则会在使用此配置登录时创建一个 SSO 登录类型。

#### <mark style="color:蓝色;">登录前预配需要带有 SSO 登录类型的预先创建的账户</mark>

为 SSO 预配用户 *在登录前* 要求进行身份验证的用户具有 **这两个** 一个现有的 Zoom 账户，并且该账户已创建 SSO 登录类型。这种预配类型由于自动化账户创建流程，通常会与 SCIM 预配搭配使用，但并不局限于此。通过关联域或直接邀请合并到公司账户中的 Zoom 用户，不太可能拥有 SSO 登录类型。

Zoom 管理员可以通过在用户账户上查看来确认某个账户是否具有 SSO 登录类型 [用户管理](https://zoom.us/account/user#/) 网页门户中的页面，并在用户的电子邮件下方查找“SSO”图标。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>用户的电子邮件下方的 SSO 图标位置。</p></figcaption></figure>

如果图标显示，则用户已为 SSO 进行预配置；如果图标缺失，在启用预配置期间，用户将无法通过 SSO 登录，直到该图标被添加。Zoom 管理员可以通过使用 CSV 文件批量添加用户并选择“SSO 用户”选项来添加此登录类型，或者在启用“登录时预配置”时让用户进行身份验证。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>批量上传的 SSO 用户选项示例。</p></figcaption></figure>

{% hint style="success" %}
**Zoom 建议**

为阻止用户无法登录，请在账户上首次配置 SSO 时使用登录时预配。若需要，在确认用户已预先预配且你已具备预先预配方法后，可切换为预先预配。
{% endhint %}

#### <mark style="color:蓝色;">必须关联并管理域，以强制执行 SSO 身份验证</mark>

Zoom 管理员可以强制执行 SSO 身份验证 *仅* 如果电子邮件域已在 Zoom 中关联并管理。当启用此功能时，所有使用贵公司域名进行身份验证的用户，无论使用哪个平台，都会自动重定向到您身份提供商的身份验证页面。

一旦域名获得批准并得到管理，Zoom 管理员可以通过您的账户的 SSO 身份验证 [安全页面](https://zoom.us/account/setting/security) 在……下方 **登录方式**. 请参阅我们的支持文章，了解有关 [关联域](https://support.zoom.us/hc/en-us/articles/203395207) 有关关联和管理域的更多信息。

#### <mark style="color:蓝色;">指定用户可以免于强制 SSO 身份验证</mark>

Zoom 管理员可以从强制 SSO 身份验证中排除特定用户。排除特定用户（例如管理员 账户）在以下情况下可能很有用：如果 SSO 配置中断，而 账户管理员需要对 Zoom 账户进行非 SSO 访问。被豁免的管理员可在发生账户锁定或 SSO 配置中断时，随时登录 admin.zoom.us （用户必须具备标准 **管理员** 角色）。如果 Zoom 管理员无法访问账户，他们必须联系 Zoom 支持寻求帮助。

要启用用户例外，请转到账户 [安全页面](https://zoom.us/account/setting/security) 在 Web 门户的高级选项下，找到强制域名列表，并通过编辑列表添加例外。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>SSO 域名列表示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">可将移动端和桌面客户端配置为要求用户使用 SSO 身份验证</mark>

可对 Zoom 客户端进行预配置，以通过组策略、移动设备管理（MDM）服务和批量部署客户端自动执行 SSO 功能，包括自动登录、自动注销、设备上的仅限 SSO 身份验证等。

有关完整的配置可能性列表，请参阅我们的配置选项，适用于 [组策略](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) 和 [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:蓝色;">Office 365 用户可以使用 SSO 凭据自动登录适用于 Outlook 的 Zoom 插件</mark>

使用 SSO 凭据的客户可以自动将其用户登录到适用于 Outlook 的 Zoom 插件。此功能可以与一个 [自定义加载项清单](https://support.zoom.us/hc/en-us/articles/360041403311) 配合使用，该清单会预先填充账户的实名网址，为用户创造无缝的身份验证体验。如果用户的 SSO 会议令牌有效，此功能会使用该令牌；如果未找到有效会议，则会提示用户通过您的身份提供商进行新的身份验证。

Zoom 管理员可以在账户的 [安全页面](https://zoom.us/account/setting/security) 在 **高级** 菜单。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>使用 Outlook 插件的 SSO 管理员设置示例。</p></figcaption></figure>

### SAML 响应映射

SAML 属性是由 SAML 值定义的数据类别，用于将信息从身份提供商传递到像 Zoom 这样的服务提供商。映射属性和值对于自动化用户资料信息和管理用户许可证至关重要。

SAML 响应映射分为两部分： *基础版* 和 *高级*。基础版映射用于映射基本资料信息，包括名字、电话号码、部门等。高级映射用于管理动态许可证分配、分配用户组、用户角色等。

本节介绍 SAML 响应映射的基础知识、基础版和高级 SAML 响应映射，并重点说明某些功能/特性所需的特殊条件。

#### <mark style="color:蓝色;">基础知识：SAML 属性和值</mark>

大多数身份提供商使用普通的属性名称和值来传递基本资料信息。例如，员工的部门可能会通过 SAML 以 department 属性和 人力资源 值传入。下表演示了在向用户传递信息时属性和值之间的关系。

| SAML 属性    | SAML 值                         |
| ---------- | ------------------------------ |
| firstName  | John                           |
| lastName   | Smith                          |
| 电子邮件       | <john.smith@companydomain.com> |
| department | 人力资源                           |

通过将 SAML 属性正确分配到响应映射中，用户信息可以自动应用到用户资料中，从而简化账户创建和管理流程。

#### <mark style="color:蓝色;">基础版映射：个人资料信息</mark>

SAML 基本信息映射用于将目录中的个人资料信息，如名字、姓氏、部门、电话号码、成本中心和位置，应用到用户的资料中。其中许多类别不言自明，且可轻松配置；不过，为了正确配置，某些类别需要说明，以阻止意外后果或应用程序错误。下一部分重点介绍基础版映射的独特映射选项和配置设置。请参阅我们的 [《基础版 SAML 映射》文章](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) ，以获取支持的属性完整列表。

#### <mark style="color:蓝色;">默认许可证类型仅适用于</mark> *<mark style="color:蓝色;">全新用户</mark>*

默认许可证类型选项会将指定的许可证应用于账户中通过 SAML 配置的所有 *全新* 用户。这不适用于第二次进行身份验证的用户、从先前账户合并到该账户的用户、通过 SCIM 配置的用户或手动邀请的用户。

有关 *更新* 通过身份验证更新用户许可证的信息，请参阅 [高级 SAML 映射](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:蓝色;">默认许可证类型为</mark> *<mark style="color:蓝色;">None</mark>* <mark style="color:蓝色;">将不允许新用户进行身份验证，除非已配置高级映射来分配许可证</mark>

Zoom 用户必须具有已分配的许可证类型（基础版、已授权或企业部署）才能登录 Zoom 服务。如果选择默认许可证类型 None，则新用户无法登录或创建新账户，除非他们将通过……获得许可证 [高级 SAML 映射](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:蓝色;">大多数基础版映射会在登录时重新应用，除非另有说明</mark>

默认情况下，大多数基础版 SAML 映射会在用户每次登录时更新， *除外* *对于* 名字、姓氏、显示名称和电话号码。默认情况下，这四个映射只会在用户首次进行身份验证时应用一次，即使由用户或管理员更新，也不会再次重新应用。Zoom 管理员可以通过在 SAML 响应映射页面上启用 **每次 SSO 登录时更新** ，以更改此行为。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>“每次 SSO 登录时更新”选项示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">如果在美国以外，电话号码映射应包含国家代码和区号</mark>

通过 SAML 映射的电话号码应尽可能在 SAML 断言中包含用户的国家代码和区号。如果未定义，Zoom 默认将假定国家代码为 +1。

目录中不保留国家代码的账户可以在其身份提供商中编辑其 SAML 断言，以便在必要时自动包含这些代码。

#### <mark style="color:蓝色;">每个用户最多可以将三个电话号码和一个传真号码映射到其个人资料</mark>

Zoom 管理员最多可以为每个用户配置三个单独的电话号码映射和一个传真号码映射。每个电话号码都必须唯一，且不能与其他字段的值重复。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>每个用户的电话号码选项示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">个人资料图片必须通过可公开访问的 URL 进行映射，或使用 Base64 编码</mark>

希望从其目录映射个人资料图片的账户必须使用可公开访问的 URL 映射这些图像，或在断言时将图像编码为 Base64。

#### 员工唯一 ID

<mark style="color:蓝色;">**员工唯一 ID 会更改 Zoom 用于识别用户的主要标识符**</mark>

此 *员工唯一 ID* 是 Zoom 为协助身份管理而提供的一项功能/特性。默认情况下，Zoom 用户的主要识别信息是其 **电子邮件** **地址**。这意味着，如果工作电子邮件登录类型是 **<john.smith@company.com>**，那么 Zoom 将始终通过该电子邮件地址识别此用户。这个标识符使 SSO 或 Facebook 和 Google OAuth 账户等集成能够将该用户关联到同一个 Zoom 账户。

但是，如果用户的姓名或电子邮件发生更改，这一识别过程可能会出现问题。例如，如果 **<john.smith@company.com>** 的电子邮件更改为 **<jonathan.smith@company.com>**，Zoom 无法安全地判断这些是否为同一人（因为基础标识符不同），因此 Zoom 会在首次 **<jonathan.smith@company.com>** 登录时。

为简化此问题，Zoom 提供了员工唯一 ID 功能/特性，可将用户的主要标识符从其电子邮件地址更改为既定的唯一 ID。 *这不会更改用户的 Zoom 用户名*，而是提供一个替代的识别属性。此更改允许 Zoom 在以下情况下动态更新用户在 Zoom 中的电子邮件地址：

* 一个 *新的* 电子邮件地址附带已知的员工唯一 ID；并且
* 受影响用户的电子邮件域已在 Zoom 中关联

例如，如果 **<john.smith@company.com>** 进行身份验证，并为员工唯一 ID 属性传递 SAML 值 12345（其员工编号），那么 Zoom 现在将通过该断言值在账户内识别该用户。如果 John 再次使用以下电子邮件进行身份验证 **<jonathan.smith@company.com>** 同时仍传递员工唯一 ID 12345，Zoom 将识别出 <john.smith@company.com> 现在是 **<jonathan.smith@company.com>** ，并且如果域已关联，将在账户内动态更新该用户的电子邮件。

身份管理员应该 *确信* 在为此类别建立 SAML 映射之前，不会有两个用户使用相同的员工唯一 ID 值而发生重叠。如果另一个用户进行身份验证并传递相同的值，电子邮件将再次更新为该新用户，并可能对用户服务和体验造成重大干扰。

<mark style="color:蓝色;">**员工唯一 ID 功能/特性需要关联域才能更改用户的电子邮件**</mark>

如果电子邮件域未与你的账户信息正式关联，员工唯一 ID 功能/特性将无法更新用户的电子邮件地址。请参阅我们的支持文章： [关联域](https://support.zoom.us/hc/en-us/articles/203395207) 了解更多信息。

<mark style="color:蓝色;">**管理员和所有者无法通过员工唯一 ID 更新其电子邮件**</mark>

Zoom 内的管理员和所有者电子邮件无法通过员工唯一 ID 功能/特性进行更新。这是一项旨在阻止未经授权访问的安全措施。管理员和所有者必须通过其个人资料页面更改其电子邮件。

<mark style="color:蓝色;">**用户电子邮件只能通过员工唯一 ID 每天更新一次**</mark>

用户电子邮件只能通过员工唯一 ID 功能/特性每 24 小时更新一次。用户必须从上一次更新起等待完整的一个日历日，然后才能再次通过 SSO 更新其电子邮件。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>更新用户电子邮件的示例流程图。</p></figcaption></figure>

<mark style="color:蓝色;">**将 SAML 属性设置为 \<NameID> 将使用该用户断言的 NameID**</mark>

将员工唯一 ID SAML 属性映射到 **\<NameID>** 将自动使用用户断言的 NameID 值作为其唯一标识符。如果你的身份提供商断言的 NameID 不是用户的电子邮件，而是用户主体名称 (UPN) 或其他不会更改的类似值，这会是一个有益的工具。如果用户的 NameID 与其电子邮件匹配，请勿使用此值。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>&#x3C;NameID> 管理员设置示例。</p></figcaption></figure>

### 高级映射：许可证、附加组件和访问

SAML 高级信息映射部分可以在用户进行身份验证时，动态向用户应用许可证（包括 Zoom Phone）、附加组件和用户访问组。与基础映射不同，高级映射在配置时包含许多细微之处，具体取决于你的环境复杂性，这可能需要谨慎关注。本节重点介绍配置高级 SAML 映射时的这些细微之处。请参阅我们的 [高级 SAML 映射文章](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) ，以获取支持的属性完整列表。

#### <mark style="color:蓝色;">高级映射会在用户每次进行身份验证时应用</mark>

与基础映射不同，基础映射对某些类别具有可选更新，而高级映射配置将按照自上而下的应用程序顺序在用户每次进行身份验证时应用。

例如，如果用户拥有基础版许可证，然后通过 SSO 进行身份验证，并传递一个映射到授予完整许可证的 SAML 属性和值，则该用户将立即被授予完整许可证。如果随后在身份提供商中将用户的个人资料更改为将其重新设为基础版许可证，那么当他们在 Zoom 中重新进行身份验证时，将重新分配基础版许可证。

#### <mark style="color:蓝色;">高级映射允许每个类别使用多个 SAML 属性和值</mark>

与基础映射不同，基础映射每个类别只允许一个 SAML 属性，而高级映射可以支持每个类别的多个属性和值。这为在身份提供商中的安全组内管理用户许可证和访问提供了极大的灵活性，如下列配置所示。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SAML 的属性映射示例。</p></figcaption></figure>

{% hint style="success" %}
**Zoom 提示**

SAML 属性可能因身份提供商而异，尤其是安全组。请向您的身份提供商确认，或通过 [SAML 响应日志](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) SAML 属性是如何被断言的。
{% endhint %}

#### <mark style="color:蓝色;">当断言了多个属性时，高级映射会自上而下应用许可证</mark>

如果用户传递了为高级 SAML 映射配置的多个 SAML 属性或值，Zoom 将自上而下映射许可证。请参见以下示例：

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>管理员设置中的许可证类型选择示例。</p></figcaption></figure>

根据上述配置，如果用户为以下两项都传入一个属性， **global\_users** 和 **营销**，因为 **营销** 在配置中最高，因此该属性将应用于用户，其余适用属性将被忽略。

或者，如果配置设置为 **global\_users** 为最高，如下截图所示，如果用户的断言中包含 **global\_users**, **营销**, **人力** **资源**、 **IT**，因为 **global\_users** 为最高优先级，则只会断言一个基础版许可证。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>调整优先级顺序示例</p></figcaption></figure>

Zoom 管理员可以在编辑映射值时使用编辑器中的 ↑↓ 箭头调整应用程序的顺序。

{% hint style="success" %}
**Zoom 建议**

请从最具体到最通用配置高级配置，以阻止许可证误应用。
{% endhint %}

#### <mark style="color:蓝色;">网络研讨会和大型会议映射可以共享一个公共值，以同时应用这两个添加项</mark>

为了简化应用程序流程，Zoom 管理员可以将相同的 SAML 属性和值配置两次，以便将网络研讨会和大型会议添加项应用到用户，如下图中所示，使用的是 **global\_users** 值。这些添加项也可以根据需要单独配置，如下所示，使用的是 **网络研讨会\_only** 和 **大型会议\_only** 值。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>大型会议_only 和 网络研讨会_only 的 SAML 属性示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">用户可以通过一个 SAML 值被添加到多个用户群组中</mark>

Zoom 管理员可以配置用户群组映射，通过一个 SAML 值将用户添加到多个群组中。

添加的第一个用户群组将被设置为用户的主要群组，并将决定用户的默认设置 *除非底层群组锁定了某项设置*。有关用户群组的更多信息，请参阅我们的 [支持文章](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>多个用户群组映射示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">指定的用户和用户群组可以免于特定的 SAML 映射</mark>

高级 SAML 映射下的每个选项都可以配置为使特定用户和用户群组免于映射行为。这有助于防止因许可可能变更而导致 VIP 用户的服务中断。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>用户豁免示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">自动映射会在值尚未预先映射到某个群组时，自动将用户分配到一个以其声明的 SAML 值命名的用户、频道或 IM 群组</mark>

自动映射可用于自动将用户分配到一个以其声明的 SAML 值命名的用户群组、频道和 IM 群组。不同于其他高级映射组件（它们可配置为根据 SAML 值将用户分配到任意群组），自动映射始终会根据精确的 SAML 值将用户分配到某个群组。如果该群组之前不存在，它将自动创建。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SAML 自动映射示例。</p></figcaption></figure>

例如，如果将自动映射设置为根据用户的部门将其映射到各个群组，并且其部门值尚未为用户群组、频道或 IM 群组定义，则用户将自动分配到一个与其部门名称匹配的群组，如下表所示：

| SAML 属性 | SAML 值 | Zoom 群组是否已存在？ | 结果                 |
| ------- | ------ | ------------- | ------------------ |
| 部门      | 人力资源   | 是             | 用户已添加到人力资源群组       |
| 部门      | 市场营销   | 是             | 用户已添加到市场营销群组       |
| 部门      | 销售     | 否             | 已创建销售群组，用户已添加到销售群组 |

#### Zoom 支持最多五个自定义 SAML 属性

Zoom 管理员可以配置最多 *五* 用于在高级用户管理页面下将用户数据添加到其 Zoom 资料中的自定义 SAML 属性 [高级用户管理](https://zoom.us/account/user#/advanced) 页面。添加自定义字段后，Zoom 管理员可以在以下位置配置映射： [SAML 响应映射](https://zoom.us/account/sso/mapping) 页面。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>自定义 SAML 属性示例</p></figcaption></figure>

#### <mark style="color:蓝色;">将用户映射到子账户将</mark> *<mark style="color:蓝色;">仅</mark>* <mark style="color:蓝色;">应用会议许可证和附加组件</mark>

将用户映射到子账户只会将用户的会议许可证和附加组件（如网络研讨会和大型会议）应用到子账户。用户群组、IM 群组、用户角色等不会应用，必须在子账户中配置。

需要在子账户中对 SAML 响应映射拥有更大灵活性的客户，将需要一个独特的实名网址和在子账户中的新 SSO 配置。

### SSO 故障排除

#### <mark style="color:蓝色;">使用 SAML 响应日志进行故障排除</mark>

已保存的 SAML 响应日志除了 SAML 响应映射配置外，还可以成为排查配置和用户错误的宝贵工具。如果您的 SSO 配置设置为保存 SAML 响应日志，则可通过以下位置访问它们： [SAML 响应日志](https://zoom.us/account/sso/saml_logs) 选项卡可在高级设置中的 SSO 配置页面内在线使用。要查看 SAML 响应日志，请点击 **查看详情** 旁边的身份验证尝试。

#### <mark style="color:蓝色;">大多数身份验证会显示在响应日志中</mark>

大多数失败或不成功的身份验证尝试会显示在响应日志页面上。如果某次身份验证尝试未显示，最有可能是 Zoom 未从您的身份提供商接收到 SAML 断言，或者已禁用保存 SAML 响应日志。

#### <mark style="color:蓝色;">响应日志可以告诉您配置是否不正确，或者证书是否已过期</mark>

启用 SAML 响应日志时，身份提供商的信息会被断言给 Zoom，以便对各方的身份进行身份验证。如果某个被断言的设置或信息字符串（如 X509 证书或颁发者 ID）与 Zoom 当前配置不同，则会出现错误，提示该信息“与当前 SSO 设置不匹配。”如果这些被断言的值是正确的，Zoom 管理员可以更新 SSO 配置以使其匹配，从而解决该错误。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>错误配置警告示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">响应日志会告诉您正在断言哪些 SAML 值和属性</mark>

查看响应日志有助于通过验证用户在身份验证时断言的属性和值来解决 SAML 响应映射配置问题。可将这些与配置进行比较，以确保属性和值匹配。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>身份提供商服务断言的信息示例。</p></figcaption></figure>

如果 SAML 属性或值缺失，则表示该信息未被身份提供商服务断言。遇到此问题的用户建议联系其身份提供商支持服务以获得更多帮助。

#### <mark style="color:蓝色;">如果不成功，响应日志会包含错误代码和简短说明</mark>

如果用户无法身份验证或收到错误，SAML 响应日志会包含错误代码和该错误的简短说明。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>错误代码和说明示例。</p></figcaption></figure>

大多数问题都可以通过这些错误消息识别并解决。如果您无法解决该错误，请联系 Zoom 支持以获得更多帮助。

#### <mark style="color:蓝色;">Web 跟踪 ID 错误</mark>

如果用户 SSO 身份验证失败，他们将收到 WEB 跟踪 ID 错误代码。这些代码不是与特定失败相关的错误消息，而是一个唯一的日志 ID，可在 SAML 响应映射中查看以识别身份验证问题。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>带有 WEB 跟踪 ID 错误代码的用户端错误示例。</p></figcaption></figure>

要识别该错误，如果已启用 SAML 响应日志记录，请导航到 [SAML 响应日志](https://zoom.us/account/sso/saml_logs) 高级设置中的 SSO 配置页面内可用的选项卡。从那里，将 WEB 跟踪 ID 输入到跟踪 ID 字段中并搜索，以填充响应日志

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>使用上述 WEB 跟踪 ID 错误代码搜索 SAML 响应日志的示例。</p></figcaption></figure>

SAML 响应日志应在响应底部显示 SAML 断言以及错误代码和消息，可用于进一步故障排除。

### SCIM 错误

#### <mark style="color:蓝色;">用户不存在或不属于此账户</mark>

当目标用户的电子邮件地址因已有账户而无法进行预配时，会发生此错误。建议 Zoom 管理员直接联系该用户，并手动邀请该用户加入账户。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>预配错误示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">您不能添加付费用户</mark>

当 SCIM 尝试在账户中许可证不足时预配用户，就会发生此错误。要解决该错误，必须将该用户预配为基础版用户，或者必须提供可用于预配的许可证。

### 使用 SCIM 日志排查用户预配问题

Zoom 在以下位置提供最近 100 条 API 请求日志： [Zoom Marketplace](https://marketplace.zoom.us/)。Zoom 管理员可以使用这些日志来确认通过预配 API 发送和接收了哪些信息。要访问这些日志，请以 Zoom 管理员身份登录 Zoom Marketplace 并点击 **管理**。在下一页中，选择 **呼叫日志** 在……下方 **个人应用管理**。然后，点击一条记录以展开 API 日志并查看内容。

下图展示了一个 SCIM 用户预配请求示例，其中用户的身份和许可属性已高亮显示以供参考。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SCIM 用户预配请求示例。</p></figcaption></figure>

与 SAML 响应映射类似，Zoom 只能应用在预配请求中由身份提供商提交的信息。使用这些日志确认用户身份和许可属性正在由身份提供商提交。如果这些断言中缺少预期信息，请联系您的身份提供商以获得支持。

### 数据流与身份验证

#### <mark style="color:蓝色;">SAML 身份验证</mark>

下图详细说明了用户在使用 Zoom 发起单点登录会议时的 SAML 身份验证流程。

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>SAML 身份验证流程示意图示例。</p></figcaption></figure>

#### <mark style="color:蓝色;">SSO Web 登录令牌</mark>

用户通过 SAML 进行身份验证后，用户的会议会在其浏览器中建立，并且具有

默认持续两小时。如果用户继续积极使用其 Zoom 网页，会议将刷新；但是，如果用户两小时内未使用其网页，令牌将过期，用户必须重新进行身份验证。Zoom 管理员可以在以下位置配置此有效会议时长： [安全](https://zoom.us/account/setting/security) 页面中的“用户在一段不活动时间后需要再次登录”以及 **设置网页不活动时长（分钟）**.

#### <mark style="color:蓝色;">客户端登录令牌</mark>

当用户尝试在客户端内通过单点登录进行身份验证时，用户的设备将打开浏览器并将其重定向到身份提供商的登录页面。用户完成身份验证后，用户的浏览器将接收一个 Zoom 客户端启动令牌。用户点击“打开”或“启动”按钮后，浏览器会将 URL 方案与启动令牌结合起来以打开 Zoom 客户端。

Zoom 客户端将使用启动令牌从 Zoom 服务器获取访问令牌和刷新令牌。该客户端每次将使用访问令牌两个小时，过期后将使用刷新令牌获取一组新的令牌，这些令牌存储在客户端的本地数据库中。默认情况下，此刷新过程不受限制，并可持续循环令牌，直到用户退出登录或令牌过期。Zoom 管理员可以在以下位置自定义会议时长： [SSO 设置](https://zoom.us/account/sso) 页面中的 [*强制自动退出登录*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://library.zoom.com/technical-library/zh/guan-li-yuan-jiao-luo/account-and-endpoint-management/sso-field-guide.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
