# Hướng dẫn thực hành SSO

### Giới thiệu

Tích hợp đăng nhập một lần (SSO) với Zoom cung cấp cho quản trị viên Quản lý người dùng và các tùy chọn bảo mật có thể đơn giản hóa việc quản lý tài khoản. Sau khi được cấu hình, người dùng xác thực bằng thông tin đăng nhập công ty của họ với nhà cung cấp danh tính của công ty bạn thay vì sử dụng các phương thức xác thực thay thế như tích hợp Google hoặc Facebook, hoặc tên người dùng và mật khẩu trực tiếp với Zoom.

Tài liệu này cung cấp tổng quan toàn diện về các cấu hình SSO và Cài đặt trong Zoom, cùng với thông tin khắc phục sự cố và bảo mật.

### Tích hợp SSO

#### <mark style="color:xanh;">SSO yêu cầu một URL tùy biến để bắt đầu</mark>

Một tài khoản phải có một URL tùy biến đã được phê duyệt trước khi cấu hình SSO. Sau khi URL tùy biến được phê duyệt, quản trị viên Zoom có thể truy cập [cấu hình SSO](https://zoom.us/account/sso) trang thông qua menu phụ tùy chọn nâng cao trên cổng web. Tham khảo bài viết Hỗ trợ của chúng tôi về [URL tùy biến](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) để biết thêm thông tin.

#### <mark style="color:xanh;">SSO của Zoom hoạt động với bất kỳ nhà cung cấp danh tính Ngôn ngữ đánh dấu bảo đảm an toàn 2.0 nào</mark>

Zoom có thể tích hợp với bất kỳ nhà cung cấp danh tính nào hỗ trợ Ngôn ngữ đánh dấu xác nhận bảo mật (Ngôn ngữ đánh dấu bảo đảm an toàn) 2.0 xác thực. Mặc dù có nhiều hướng dẫn Thành phần tích hợp đã được ghi lại, một số nhà cung cấp danh tính không cung cấp tài liệu để tích hợp với Zoom. Các tài khoản không thể tìm thấy hướng dẫn cấu hình được khuyến khích liên hệ với nhà cung cấp danh tính của họ để biết thêm thông tin.

#### <mark style="color:xanh;">Quản trị viên Zoom có thể quản lý thông tin hồ sơ người dùng và giấy phép thông qua ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn hoặc các Thành phần tích hợp SCIM</mark>

Quản trị viên có thể quản lý thông tin hồ sơ người dùng và giấy phép thông qua ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn hoặc các yêu cầu Giao diện lập trình ứng dụng hệ thống để quản lý danh tính liên miền (SCIM) (API), tùy thuộc vào các tính năng có sẵn từ nhà cung cấp danh tính. Cả hai phương thức quản lý người dùng đều cung cấp chức năng gần như tương đương cho việc ánh xạ thông tin hồ sơ và quản lý giấy phép, nhưng một số ánh xạ SCIM yêu cầu cấu hình thủ công.

Để biết danh sách đầy đủ về các khả năng của SCIM, hãy tham khảo [tài liệu SCIM API](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User).

#### <mark style="color:xanh;">Quản trị viên Zoom có thể quản lý trạng thái tài khoản người dùng thông qua SCIM, nhưng không phải Ngôn ngữ đánh dấu bảo đảm an toàn</mark>

Vì SCIM cho phép các nhà cung cấp danh tính giao tiếp trực tiếp với Zoom bất kỳ lúc nào, các tài khoản người dùng có thể được *kích hoạt*, *vô hiệu hóa*, *tạo*, hoặc *đã xóa* thông qua các tích hợp SCIM tự động. Ví dụ: nếu tài khoản của người dùng trong Active Directory bị tắt, hoặc nếu họ không được gán ứng dụng, SCIM có thể gửi yêu cầu tự động tắt/mở deactivation cho tài khoản của người dùng trong Zoom. Tính năng này phụ thuộc vào các khả năng của ứng dụng SCIM của nhà cung cấp danh tính và chức năng có thể khác nhau tùy theo nhà cung cấp.

#### <mark style="color:xanh;">Chỉ một số nhà cung cấp danh tính cung cấp SCIM cho Zoom</mark>

Nhiều nhà cung cấp danh tính không có thành phần tích hợp SCIM được xây dựng cho Zoom như một phần dịch vụ của họ. Các tài khoản sử dụng nhà cung cấp danh tính không hỗ trợ SCIM với Zoom phải dùng ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để tự động Quản lý người dùng.

#### <mark style="color:xanh;">SCIM yêu cầu một tên miền liên kết để tự động cung cấp người dùng</mark>

Các tài khoản sử dụng SCIM để quản lý và cấp phát người dùng cho SSO **phải** liên kết miền email với Zoom. Việc không liên kết miền sẽ dẫn đến lỗi cấp phát người dùng. Tham khảo bài viết Hỗ trợ của chúng tôi về [Miền được liên kết](https://support.zoom.us/hc/en-us/articles/203395207) để biết thêm thông tin về quy trình.

#### <mark style="color:xanh;">Các tích hợp SSO sau đây được tài liệu hóa</mark>

{% hint style="success" %}
**Mẹo Zoom**

Nhấp vào dấu ✔ trong cột Tài liệu nhà cung cấp hoặc Tài liệu Zoom để mở một cửa sổ mới với hướng dẫn.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Tài liệu nhà cung cấp</th><th>Tài liệu Zoom</th><th>Hỗ trợ SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>Công cụ đồng bộ hóa AD</td></tr><tr><td>Clever</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (trước đây là Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:xanh;">Active Directory tại chỗ có thể sử dụng Công cụ đồng bộ hóa AD thay vì SCIM</mark>

Các tài khoản muốn tự động hóa việc cấp phép người dùng thông qua SCIM nhưng không có nhà cung cấp danh tính dựa trên đám mây có thể sử dụng ứng dụng Công cụ Đồng bộ Active Directory (AD) do Zoom phát triển để quản lý người dùng của họ. Ứng dụng này chạy trên Oracle JDK 8 và mô phỏng việc cấp phép SCIM bằng cách quản lý người dùng thông qua các lệnh API. Xem bài viết Hỗ trợ của chúng tôi trên the [Công cụ đồng bộ hóa AD](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) để biết thêm thông tin.

{% hint style="success" %}
**Khuyến nghị Zoom**

Công cụ đồng bộ hóa AD yêu cầu cấu hình chính xác cho Quản lý người dùng. Cần kiểm tra và xem xét kỹ lưỡng cấu hình của công cụ trước khi triển khai đầy đủ để tránh gián đoạn dịch vụ.
{% endhint %}

#### <mark style="color:xanh;">Các nhà cung cấp danh tính thậm chí có thể xác thực Người tham gia cuộc họp không có Tài khoản Zoom</mark>

Các tài khoản muốn yêu cầu người dùng xác thực danh tính nhưng không muốn cung cấp tài khoản Zoom có thể Cấu hình hồ sơ xác thực bên ngoài với nhà cung cấp danh tính của họ. Khi được bật cho một cuộc họp, người dùng cố gắng Tham gia phải xác thực thông tin đăng nhập của mình với nhà cung cấp danh tính của bạn để được Truy cập. Đây là một cấu hình phổ biến đối với các trường học không cung cấp tài khoản cho tất cả học sinh nhưng yêu cầu xác thực để tham gia các lớp học. Tham khảo bài viết Hỗ trợ của chúng tôi về [cấu hình xác thực bên ngoài](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) để biết thêm thông tin.

#### <mark style="color:xanh;">Việc thay đổi nhà cung cấp danh tính yêu cầu cấu hình lại SSO trong Zoom</mark>

Các tài khoản đang Thay đổi nhà cung cấp danh tính phải thiết lập lại cấu hình SSO của họ trong Zoom. Điều này bao gồm việc cập nhật tất cả các trường trong trang cấu hình để khớp với nhà cung cấp danh tính mới của họ. Các tài khoản được khuyến khích xác nhận rằng các ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn sẽ không Thay đổi với nhà cung cấp danh tính mới.

Không cần thêm cấu hình hoặc thay đổi nào, với điều kiện không có thay đổi nào khác.

#### <mark style="color:xanh;">Khách hàng có các tài khoản phụ có thể cấu hình SSO từ tài khoản chính hoặc tài khoản phụ</mark>

Khách hàng có các tài khoản phụ có hai lựa chọn để cấu hình SSO:

1. Tất cả người dùng xác thực bằng URL tùy biến của tài khoản chính và tự động được đăng nhập vào tài khoản phụ thông qua ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao ([một số giới hạn về ánh xạ được áp dụng](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); hoặc
2. Mỗi tài khoản phụ có một URL tùy biến duy nhất và cấu hình SSO độc lập, chỉ được dùng bởi các thành viên của tài khoản phụ đó

Mỗi cấu hình mang lại những lợi ích riêng, trong đó lựa chọn thứ hai mang lại sự linh hoạt cao nhất. Khách hàng đang cân nhắc triển khai một trong hai cấu hình nên trao đổi với nhóm tài khoản của mình để xác định cấu hình nào phù hợp nhất với nhu cầu của họ.

### Cài đặt SSO & Bảo mật

Quản trị viên Zoom có thể Chọn các tùy chọn bảo mật và Cài đặt tối ưu cho Tổ chức của mình khi cấu hình một Thành phần tích hợp SSO với Zoom. Phần này giải thích các Cài đặt này và ý nghĩa của chúng đối với một Thành phần tích hợp SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về Cài đặt Thành phần tích hợp SSO.</p></figcaption></figure>

#### <mark style="color:xanh;">Zoom hỗ trợ các yêu cầu đăng nhập và đăng xuất Ngôn ngữ đánh dấu bảo đảm an toàn đã ký</mark>

Quản trị viên Zoom cần xác thực nhà cung cấp dịch vụ bổ sung có thể Cấu hình Zoom để ký tất cả các yêu cầu đăng nhập và đăng xuất tới nhà cung cấp danh tính.

Các tài khoản sử dụng Cài đặt này có thể yêu cầu xoay vòng chứng chỉ nếu nhà cung cấp danh tính của họ không hỗ trợ làm mới siêu dữ liệu động. Xem bài viết Hỗ trợ của chúng tôi về [xoay vòng chứng chỉ](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) để biết thêm thông tin.

#### <mark style="color:xanh;">Zoom hỗ trợ các xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn được mã hóa khi đang xác thực</mark>

Quản trị viên Zoom có thể Cấu hình Zoom để hỗ trợ các xác nhận được mã hóa khi đang xác thực. Nếu Cài đặt này được bật, các xác nhận không được mã hóa sẽ bị loại bỏ. Các tài khoản sử dụng Cài đặt này có thể yêu cầu xoay vòng chứng chỉ SSO nếu nhà cung cấp danh tính của họ không hỗ trợ làm mới siêu dữ liệu động. Xem bài viết Hỗ trợ của chúng tôi về [xoay vòng chứng chỉ](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) để biết thêm thông tin.

#### <mark style="color:xanh;">Quản trị viên Zoom có thể thực thi đăng xuất tự động sau một khoảng thời gian xác định</mark>

Quản trị viên Zoom có thể Cấu hình Zoom để tự động đăng xuất người dùng khỏi các phiên đang hoạt động sau các khoảng thời gian xác định, có thể tùy chỉnh từ 15 phút đến 180 ngày. Quy trình này sẽ đặt mã thông báo truy cập Zoom hết hạn theo khoảng thời gian được xác định trước sau khi mã thông báo được tạo. Mã thông báo này không có liên quan đến nhà cung cấp danh tính và là duy nhất đối với Zoom.

#### <mark style="color:xanh;">Có thể lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để khắc phục sự cố</mark>

Zoom có thể lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn từ các lần thử xác thực trong bảy ngày sau một lần xác thực. Các nhật ký phản hồi này có thể là một công cụ vô giá để khắc phục sự cố cấu hình và lỗi người dùng, ngoài các cấu hình ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn. Xem phần về [khắc phục sự cố lỗi bằng nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn](#using-saml-response-logs-to-troubleshoot) để biết thêm thông tin.

{% hint style="success" %}
**Khuyến nghị Zoom**

Bật lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để giúp khắc phục sự cố dễ dàng hơn.
{% endhint %}

#### <mark style="color:xanh;">Cấp phát khi đăng nhập có thể tạo tài khoản ngay lập tức và là tùy chọn cấp phát dễ nhất</mark>

Khi SSO được đặt để cấp phát *Khi đăng nhập* (còn được gọi là cấp phát đúng lúc), bất kỳ người dùng nào được ủy quyền trong nhà cung cấp danh tính đều có thể xác thực vào Zoom. Người dùng chưa có tài khoản hiện có sẽ được tạo một tài khoản ngay khi đăng nhập.

Cấp phát khi đăng nhập có thể đơn giản hóa việc triển khai Zoom cho một công ty bằng cách cho phép người dùng tạo tài khoản của họ tại thời điểm xác thực thay vì yêu cầu tạo người dùng chủ động. Khi kết hợp với ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, toàn bộ hồ sơ người dùng và giấy phép sẽ sẵn sàng chỉ trong vài giây kể từ lần xác thực đầu tiên của người dùng.

Ngoài ra, cấp phát khi đăng nhập có thể tạo động loại đăng nhập SSO cho các tài khoản đã tồn tại trước đó. Nếu một người dùng có Tài khoản Zoom hiện có với Tên người dùng và mật khẩu, một loại đăng nhập SSO sẽ được tạo khi đăng nhập với cấu hình này.

#### <mark style="color:xanh;">Cấp phát trước khi đăng nhập yêu cầu các tài khoản được tạo trước với một loại đăng nhập SSO</mark>

Cung cấp người dùng cho SSO *trước khi đăng nhập* yêu cầu rằng người dùng xác thực có **cả hai** một Tài khoản Zoom hiện có, và rằng tài khoản đó đã được tạo kiểu đăng nhập SSO. Loại cung cấp này thường được ghép với việc cung cấp SCIM do quá trình tạo tài khoản tự động, nhưng không chỉ dành riêng cho nó. Người dùng Zoom được Hợp nhất vào tài khoản công ty thông qua Miền được liên kết hoặc một lời mời trực tiếp thì nhiều khả năng sẽ không có kiểu đăng nhập SSO.

Các quản trị viên Zoom có thể xác nhận liệu một tài khoản có loại đăng nhập SSO hay không bằng cách xem tài khoản người dùng trên [Quản lý người dùng](https://zoom.us/account/user#/) trang trong cổng web và tìm biểu tượng “SSO” bên dưới email của người dùng.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Vị trí của biểu tượng SSO bên dưới email của người dùng.</p></figcaption></figure>

Nếu biểu tượng được trình bày, người dùng được cấp quyền cho SSO; nếu biểu tượng bị thiếu, người dùng sẽ không thể đăng nhập qua SSO khi tính năng cấp trước được bật cho đến khi nó được Thêm. Một quản trị viên Zoom có thể Thêm loại đăng nhập này bằng cách Thêm người dùng hàng loạt qua tệp CSV và chọn tùy chọn “Người dùng SSO” hoặc để người dùng xác thực trong khi Provision at Sign-in được bật.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ví dụ minh họa tùy chọn Người dùng SSO để tải lên hàng loạt.</p></figcaption></figure>

{% hint style="success" %}
**Khuyến nghị Zoom**

Để ngăn người dùng không thể đăng nhập, hãy dùng cấp phép khi đăng nhập khi lần đầu cấu hình SSO trên một tài khoản. Chuyển sang cấp phép trước nếu muốn sau khi bạn đã xác nhận rằng người dùng của bạn đã được cấp phép trước và bạn đã có sẵn các phương thức cấp phép trước.
{% endhint %}

#### <mark style="color:xanh;">Một miền phải được liên kết và quản lý để thực thi xác thực SSO</mark>

Quản trị viên Zoom có thể thực thi xác thực SSO *chỉ* nếu miền email được liên kết và quản lý trong Zoom. Khi tính năng này được bật, tất cả người dùng xác thực bằng miền công ty của bạn sẽ tự động được chuyển hướng đến trang xác thực của nhà cung cấp danh tính của bạn, bất kể nền tảng.

Sau khi miền được phê duyệt và quản lý, quản trị viên Zoom có thể thực thi xác thực SSO thông qua [trang bảo mật](https://zoom.us/account/setting/security) trong **Phương thức đăng nhập**. Tham khảo bài viết Hỗ trợ của chúng tôi về [Miền được liên kết](https://support.zoom.us/hc/en-us/articles/203395207) để biết thêm thông tin về việc liên kết và quản lý một tên miền.

#### <mark style="color:xanh;">Người dùng được chỉ định có thể được miễn xác thực SSO bắt buộc</mark>

Quản trị viên Zoom có thể loại trừ một số người dùng cụ thể khỏi việc xác thực SSO bắt buộc. Loại trừ một số người dùng cụ thể (chẳng hạn như một quản trị viên tài khoản) có thể hữu ích nếu một cấu hình SSO bị lỗi và một quản trị viên tài khoản cần quyền truy cập không phải SSO vào Tài khoản Zoom. Các quản trị viên được miễn có thể đăng nhập vào admin.zoom.us bất kỳ lúc nào trong trường hợp bị khóa tài khoản hoặc cấu hình SSO bị lỗi (người dùng phải có tiêu chuẩn **quản trị viên** Vai trò). Nếu một quản trị viên Zoom không thể truy cập vào tài khoản, họ phải liên hệ Hỗ trợ Zoom để được hỗ trợ.

Để Bật ngoại lệ người dùng, hãy điều hướng đến tài khoản [trang bảo mật](https://zoom.us/account/setting/security) trên cổng web, trong các tùy chọn nâng cao, tìm danh sách các miền được thực thi và Thêm một ngoại lệ thông qua danh sách chỉnh sửa.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ví dụ về danh sách miền cho SSO.</p></figcaption></figure>

#### <mark style="color:xanh;">Các ứng dụng khách trên di động và máy tính để bàn có thể được cấu hình để yêu cầu người dùng sử dụng xác thực SSO</mark>

Các ứng dụng khách Zoom có thể được cấu hình sẵn để tự động hóa chức năng SSO, bao gồm đăng nhập tự động, đăng xuất tự động, xác thực chỉ SSO trên Thiết bị, và nhiều hơn nữa thông qua Chính sách nhóm, các dịch vụ quản lý Thiết bị di động (MDM) và các ứng dụng khách triển khai hàng loạt.

Để xem danh sách đầy đủ các khả năng cấu hình, hãy tham khảo các tùy chọn cấu hình của chúng tôi cho [Chính sách nhóm](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) và [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:xanh;">Người dùng Office 365 có thể tự động đăng nhập vào tiện ích bổ sung Zoom dành cho Outlook bằng thông tin xác thực SSO</mark>

Khách hàng sử dụng Office 365 có thể tự động đăng nhập người dùng của họ vào tiện ích bổ sung Zoom dành cho Outlook bằng thông tin xác thực SSO. Điều này có thể được kết hợp với một [tệp kê khai tiện ích bổ sung tùy chỉnh](https://support.zoom.us/hc/en-us/articles/360041403311) giúp điền sẵn URL tùy biến của tài khoản, tạo ra trải nghiệm xác thực liền mạch cho người dùng. Tính năng này sử dụng mã thông báo phiên SSO của người dùng nếu nó đang hoạt động, hoặc sẽ nhắc thực hiện xác thực mới với nhà cung cấp danh tính của bạn nếu không tìm thấy phiên đang hoạt động.

quản trị viên Zoom có thể Bật cài đặt này trên [trang bảo mật](https://zoom.us/account/setting/security) dưới **nâng cao** menu.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về cài đặt quản trị viên cho SSO với phần bổ trợ Outlook.</p></figcaption></figure>

### Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn

Các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn là các danh mục dữ liệu được xác định bởi các giá trị Ngôn ngữ đánh dấu bảo đảm an toàn, và được sử dụng để truyền thông tin từ nhà cung cấp danh tính đến một nhà cung cấp dịch vụ như Zoom. Việc ánh xạ các thuộc tính và giá trị là điều cần thiết để tự động hóa thông tin hồ sơ người dùng và quản lý giấy phép người dùng.

Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn được chia thành hai phần: *cơ bản* và *nâng cao*. Ánh xạ Cơ bản được dùng để ánh xạ thông tin hồ sơ cơ bản, bao gồm tên, số điện thoại, phòng ban, v.v. Ánh xạ nâng cao được dùng để quản lý việc gán giấy phép động, gán nhóm người dùng, vai trò người dùng và nhiều hơn nữa.

Phần này đề cập đến những nguyên tắc cơ bản của việc ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn cơ bản và nâng cao, đồng thời nêu bật các điều kiện riêng biệt cần thiết cho một số tính năng.

#### <mark style="color:xanh;">Nguyên tắc cơ bản: Thuộc tính và Giá trị Ngôn ngữ đánh dấu bảo đảm an toàn</mark>

Hầu hết các nhà cung cấp danh tính truyền thông tin hồ sơ cơ bản bằng cách sử dụng tên thuộc tính và giá trị thuần túy. Ví dụ: phòng ban của một nhân viên có thể được truyền qua Ngôn ngữ đánh dấu bảo đảm an toàn với một thuộc tính là department và một giá trị là Human Resources. Bảng sau minh họa mối quan hệ giữa thuộc tính và giá trị khi truyền thông tin về một người dùng.

| Thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn | Giá trị Ngôn ngữ đánh dấu bảo đảm an toàn |
| -------------------------------------------- | ----------------------------------------- |
| firstName                                    | John                                      |
| lastName                                     | Smith                                     |
| email                                        | <john.smith@companydomain.com>            |
| phòng ban                                    | Nhân sự                                   |

Bằng cách Chỉ định chính xác một thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn cho ánh xạ phản hồi, thông tin người dùng có thể được áp dụng tự động cho hồ sơ người dùng để đơn giản hóa quy trình tạo và quản lý tài khoản.

#### <mark style="color:xanh;">Ánh xạ Cơ bản: Thông tin hồ sơ</mark>

Ánh xạ Thông tin Cơ bản Ngôn ngữ đánh dấu bảo đảm an toàn được sử dụng để áp dụng thông tin hồ sơ như tên, họ, phòng ban, số điện thoại, trung tâm chi phí và Vị trí từ một thư mục vào hồ sơ của người dùng. Nhiều danh mục trong số này có thể tự giải thích và có thể được Cấu hình dễ dàng; tuy nhiên, một số danh mục cần được giải thích để Cấu hình đúng cách nhằm ngăn các hậu quả không lường trước hoặc lỗi ứng dụng. Phần sau đây nêu bật các tùy chọn ánh xạ riêng biệt và Cài đặt cấu hình cho ánh xạ cơ bản. Tham khảo [bài viết Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn Cơ bản](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) để xem danh sách đầy đủ các thuộc tính được hỗ trợ.

#### <mark style="color:xanh;">Loại giấy phép mặc định chỉ áp dụng cho</mark> *<mark style="color:xanh;">người dùng hoàn toàn mới</mark>*

Tùy chọn loại giấy phép mặc định sẽ áp dụng giấy phép được chỉ định cho tất cả *hoàn toàn mới* người dùng được cấp phát trong tài khoản thông qua Ngôn ngữ đánh dấu bảo đảm an toàn. Điều này không áp dụng cho người dùng đang xác thực lần thứ hai, người dùng đã được hợp nhất vào tài khoản từ một tài khoản trước đó, người dùng được cấp phát thông qua SCIM hoặc người dùng đã được mời thủ công.

Để biết thông tin về *cập nhật* giấy phép người dùng bằng xác thực, hãy tham khảo cấu hình giấy phép trong [Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn Nâng cao](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:xanh;">Loại giấy phép mặc định là</mark> *<mark style="color:xanh;">Không có</mark>* <mark style="color:xanh;">sẽ không Cho phép người dùng mới xác thực trừ khi ánh xạ nâng cao được Cấu hình để Chỉ định một giấy phép</mark>

Người dùng Zoom phải có một loại giấy phép được Chỉ định (Cơ bản, Được cấp giấy phép hoặc tại chỗ) để đăng nhập vào dịch vụ Zoom. Nếu chọn loại giấy phép mặc định là Không có, người dùng mới không thể đăng nhập hoặc tạo tài khoản mới trừ khi họ sẽ nhận được giấy phép thông qua [Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn Nâng cao](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:xanh;">Hầu hết các ánh xạ cơ bản sẽ được áp dụng lại khi đăng nhập, trừ khi được chỉ định khác</mark>

Hầu hết các ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn cơ bản sẽ được cập nhật mỗi khi người dùng đăng nhập theo mặc định, *ngoại trừ* *đối với* tên, họ, tên hiển thị và số điện thoại. Theo mặc định, bốn ánh xạ này sẽ chỉ được áp dụng vào lần đầu tiên người dùng xác thực và sẽ không được áp dụng lại, ngay cả khi được cập nhật bởi người dùng hoặc quản trị viên. Các quản trị viên Zoom có thể Thay đổi hành vi này bằng cách bật tùy chọn cho **Cập nhật ở mỗi lần đăng nhập SSO** trên trang ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về tùy chọn Cập nhật ở mỗi lần đăng nhập SSO.</p></figcaption></figure>

#### <mark style="color:xanh;">Ánh xạ số điện thoại phải bao gồm mã quốc gia và mã vùng nếu ở ngoài Hoa Kỳ</mark>

Số điện thoại được ánh xạ thông qua Ngôn ngữ đánh dấu bảo đảm an toàn nên bao gồm mã quốc gia và mã vùng của người dùng trong xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn khi có thể. Zoom sẽ giả định mã quốc gia là +1 nếu không được xác định theo mặc định.

Các tài khoản không lưu giữ mã quốc gia trong thư mục của họ có thể chỉnh sửa các xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn trong nhà cung cấp danh tính của họ để tự động bao gồm các mã này nếu cần.

#### <mark style="color:xanh;">Mỗi người dùng có thể có tối đa ba Số điện thoại và một số fax được ánh xạ vào hồ sơ của họ</mark>

Các quản trị viên Zoom có thể Cấu hình tối đa ba Số điện thoại riêng biệt và một ánh xạ số fax cho mỗi người dùng. Mỗi số điện thoại phải là duy nhất và không được trùng lặp với giá trị của trường khác.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ví dụ về các tùy chọn số điện thoại cho mỗi người dùng.</p></figcaption></figure>

#### <mark style="color:xanh;">Ảnh hồ sơ phải được ánh xạ từ URL có thể truy cập công khai hoặc được mã hóa bằng Base64</mark>

Các tài khoản muốn ánh xạ ảnh hồ sơ từ thư mục của họ phải ánh xạ hình ảnh bằng URL có thể truy cập công khai hoặc mã hóa hình ảnh bằng Base64 khi xác nhận.

#### ID nhân viên duy nhất

<mark style="color:xanh;">**ID nhân viên duy nhất thay đổi mã nhận diện chính mà Zoom sử dụng để nhận diện người dùng**</mark>

Thẻ *ID nhân viên duy nhất* là một Tính năng Zoom cung cấp để hỗ trợ quản lý danh tính. Theo mặc định, phương thức nhận diện chính cho một người dùng Zoom là **email** **địa chỉ**. Điều này có nghĩa là nếu loại đăng nhập email công việc là **<john.smith@company.com>**, thì Zoom sẽ luôn nhận diện người dùng này bằng địa chỉ email đó. Mã nhận diện này là yếu tố Cho phép các tích hợp như SSO hoặc các tài khoản OAuth của Facebook và Google liên kết người dùng với cùng một Tài khoản Zoom.

Tuy nhiên, quy trình nhận diện này có thể gặp vấn đề nếu tên hoặc email của người dùng thay đổi. Ví dụ, nếu **<john.smith@company.com>** có thay đổi email thành **<jonathan.smith@company.com>**, Zoom không thể xác định một cách an toàn rằng đây là cùng một người (vì mã nhận diện cơ bản là khác nhau), vì vậy Zoom sẽ tạo một tài khoản mới vào lần đầu tiên **<jonathan.smith@company.com>** đăng nhập.

Để đơn giản hóa vấn đề này, Zoom cung cấp Tính năng Mã nhân viên duy nhất, tính năng này Thay đổi mã nhận diện chính của một người dùng từ địa chỉ email của họ thành một ID duy nhất đã được thiết lập. *Điều này không Thay đổi Tên người dùng Zoom của một người dùng*, mà thay vào đó cung cấp một thuộc tính nhận dạng thay thế. Thay đổi này cho phép Zoom cập nhật động địa chỉ email của một người dùng trong Zoom nếu:

* một *mới* địa chỉ email đi kèm với một Mã nhân viên duy nhất đã biết; và
* miền email của người dùng bị ảnh hưởng được liên kết trong Zoom

Ví dụ, nếu **<john.smith@company.com>** xác thực và truyền một giá trị Ngôn ngữ đánh dấu bảo đảm an toàn là 12345 (số nhân viên của họ) cho thuộc tính Mã nhân viên duy nhất, Zoom giờ đây sẽ nhận diện người dùng trong tài khoản bằng giá trị được xác nhận. Nếu John xác thực lại bằng email **<jonathan.smith@company.com>** trong khi vẫn truyền Mã nhân viên duy nhất là 12345, Zoom sẽ xác định rằng <john.smith@company.com> hiện là **<jonathan.smith@company.com>** và sẽ cập nhật động email của người dùng trong tài khoản nếu miền được liên kết.

Các quản trị viên danh tính nên *chắc chắn* rằng không có hai người dùng nào trùng nhau với cùng một giá trị Mã nhân viên duy nhất trước khi thiết lập ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn cho danh mục này. Nếu một người dùng khác xác thực và truyền cùng giá trị đó, email sẽ lại được cập nhật thành người dùng mới và có thể gây gián đoạn đáng kể cho dịch vụ và trải nghiệm người dùng.

<mark style="color:xanh;">**Tính năng Mã nhân viên duy nhất yêu cầu các miền được liên kết để Thay đổi email của một người dùng**</mark>

Tính năng Mã nhân viên duy nhất không thể cập nhật địa chỉ email của một người dùng trừ khi miền email được liên kết chính thức với hồ sơ tài khoản của bạn. Tham khảo bài viết Hỗ trợ của chúng tôi về [Miền được liên kết](https://support.zoom.us/hc/en-us/articles/203395207) để biết thêm thông tin.

<mark style="color:xanh;">**Quản trị viên và Chủ sở hữu không thể cập nhật email của họ thông qua Mã nhân viên duy nhất**</mark>

Email của quản trị viên và Chủ sở hữu trong Zoom không thể được cập nhật thông qua Tính năng Mã nhân viên duy nhất. Điều này nhằm mục đích như một biện pháp bảo mật để ngăn Truy cập trái phép. Quản trị viên và chủ sở hữu phải Thay đổi email của họ thông qua trang hồ sơ của họ.

<mark style="color:xanh;">**Email của người dùng chỉ có thể được cập nhật một lần mỗi ngày thông qua Mã nhân viên duy nhất**</mark>

Email của người dùng chỉ có thể được cập nhật một lần mỗi 24 giờ thông qua Tính năng Mã nhân viên duy nhất. Một người dùng phải đợi trọn vẹn một ngày lịch kể từ lần cập nhật trước đó trước khi cập nhật email của họ thông qua SSO lần nữa.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Sơ đồ của một quy trình ví dụ để cập nhật email người dùng.</p></figcaption></figure>

<mark style="color:xanh;">**Đặt thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn thành \<NameID> sẽ sử dụng NameID được xác nhận của người dùng**</mark>

Ánh xạ thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn của Mã nhân viên duy nhất thành **\<NameID>** sẽ tự động sử dụng giá trị NameID được xác nhận của người dùng làm mã nhận diện duy nhất của họ. Đây có thể là một công cụ hữu ích nếu nhà cung cấp danh tính của bạn xác nhận một NameID khác với email của người dùng, như Tên chính của người dùng (UPN) hoặc giá trị tương tự không thay đổi. Không sử dụng giá trị này nếu NameID của người dùng trùng với email của họ.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về Cài đặt quản trị viên &#x3C;NameID>.</p></figcaption></figure>

### Ánh xạ nâng cao: giấy phép, tiện ích bổ sung và Truy cập

Phần Ánh xạ thông tin nâng cao Ngôn ngữ đánh dấu bảo đảm an toàn có thể áp dụng động giấy phép (bao gồm cả Zoom Phone), tiện ích bổ sung và nhóm truy cập người dùng cho người dùng khi họ xác thực. Không giống như ánh xạ cơ bản, ánh xạ nâng cao chứa nhiều điểm tinh tế có thể đòi hỏi sự chú ý cẩn thận khi cấu hình, tùy thuộc vào mức độ phức tạp của môi trường của bạn. Phần này nêu bật các điểm tinh tế khi cấu hình ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao. Tham khảo [bài viết Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) để xem danh sách đầy đủ các thuộc tính được hỗ trợ.

#### <mark style="color:xanh;">Ánh xạ nâng cao được áp dụng mỗi khi một người dùng xác thực</mark>

Không giống như ánh xạ cơ bản, vốn có các cập nhật Tùy chọn cho một số danh mục, các cấu hình ánh xạ nâng cao sẽ được áp dụng mỗi khi một người dùng xác thực, theo thứ tự áp dụng từ trên xuống dưới.

Ví dụ, nếu một người dùng có giấy phép cơ bản rồi xác thực thông qua SSO, truyền một thuộc tính và giá trị Ngôn ngữ đánh dấu bảo đảm an toàn được ánh xạ để cấp một giấy phép đầy đủ, người dùng sẽ ngay lập tức được cấp giấy phép đầy đủ. Nếu hồ sơ của người dùng sau đó được thay đổi trong nhà cung cấp danh tính để đưa họ trở lại giấy phép cơ bản, họ sẽ được gán lại giấy phép cơ bản sau khi xác thực lại trong Zoom.

#### <mark style="color:xanh;">Ánh xạ nâng cao cho phép nhiều thuộc tính và giá trị Ngôn ngữ đánh dấu bảo đảm an toàn cho mỗi danh mục</mark>

Không giống như ánh xạ cơ bản, vốn chỉ cho phép một thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn cho mỗi danh mục, ánh xạ nâng cao có thể hỗ trợ nhiều thuộc tính và giá trị cho từng danh mục. Điều này cho phép tính linh hoạt đáng kể khi quản lý việc cấp giấy phép và quyền truy cập của người dùng thông qua các nhóm bảo mật trong nhà cung cấp danh tính của bạn như được thấy trong cấu hình sau.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về ánh xạ thuộc tính cho Ngôn ngữ đánh dấu bảo đảm an toàn.</p></figcaption></figure>

{% hint style="success" %}
**Mẹo Zoom**

Các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn có thể khác nhau tùy theo nhà cung cấp danh tính, đặc biệt là đối với các nhóm bảo mật. Xác nhận với nhà cung cấp danh tính của bạn hoặc thông qua [nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) cách các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn được xác nhận.
{% endhint %}

#### <mark style="color:xanh;">Ánh xạ nâng cao áp dụng giấy phép từ trên xuống dưới khi nhiều thuộc tính được xác nhận</mark>

Nếu một người dùng truyền nhiều thuộc tính hoặc giá trị Ngôn ngữ đánh dấu bảo đảm an toàn được cấu hình cho ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn nâng cao, Zoom sẽ ánh xạ các giấy phép từ trên xuống dưới. Xem ví dụ sau:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về lựa chọn loại giấy phép trong Cài đặt quản trị viên.</p></figcaption></figure>

Theo cấu hình ở trên, nếu một người dùng truyền một thuộc tính cho cả **global\_users** và **marketing**, vì **marketing** ở vị trí cao nhất trong cấu hình, thuộc tính này sẽ được áp dụng cho người dùng và các thuộc tính áp dụng còn lại sẽ bị bỏ qua.

Ngoài ra, nếu cấu hình được đặt với **global\_users** ở vị trí cao nhất, như trong ảnh chụp màn hình sau, nếu xác nhận của một người dùng chứa **global\_users**, **marketing**, **human** **resources**, và **IT**, vì **global\_users** là ưu tiên cao nhất, chỉ một giấy phép Cơ bản sẽ được xác nhận.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về việc điều chỉnh thứ tự ưu tiên</p></figcaption></figure>

Quản trị viên Zoom có thể điều chỉnh thứ tự của ứng dụng khi chỉnh sửa các giá trị ánh xạ bằng cách sử dụng các mũi tên ↑↓ trong trình chỉnh sửa.

{% hint style="success" %}
**Khuyến nghị Zoom**

Cấu hình các cấu hình nâng cao từ cụ thể nhất đến tổng quát nhất để ngăn áp dụng sai giấy phép.
{% endhint %}

#### <mark style="color:xanh;">Ánh xạ hội thảo trực tuyến và Cuộc họp lớn có thể chia sẻ một giá trị chung để áp dụng cả hai tiện ích bổ sung</mark>

Để đơn giản hóa quy trình ứng dụng, quản trị viên Zoom có thể Cấu hình cùng một thuộc tính và giá trị Ngôn ngữ đánh dấu bảo đảm an toàn hai lần để áp dụng cả tiện ích bổ sung hội thảo trực tuyến và cuộc họp lớn cho người dùng, như được thấy trong hình ảnh sau với **global\_users** giá trị. Những tiện ích Thêm này cũng có thể được cấu hình độc lập nếu muốn, như được hiển thị với the **hội thảo trực tuyến\_only** và **large\_cuộc họp\_only** các giá trị.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn cho large_cuộc họp_only và hội thảo trực tuyến_only.</p></figcaption></figure>

#### <mark style="color:xanh;">Người dùng có thể được thêm vào nhiều Nhóm người dùng bằng một giá trị Ngôn ngữ đánh dấu bảo đảm an toàn</mark>

Quản trị viên Zoom có thể Cấu hình ánh xạ Nhóm người dùng để Thêm một người dùng vào nhiều nhóm bằng một giá trị Ngôn ngữ đánh dấu bảo đảm an toàn.

nhóm người dùng đầu tiên được Thêm sẽ được đặt làm Nhóm chính của người dùng và sẽ xác định Cài đặt mặc định của người dùng *trừ khi một nhóm cơ sở có một Cài đặt bị khóa*. Để biết thêm thông tin về Nhóm người dùng, hãy tham khảo [bài viết hỗ trợ](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về ánh xạ nhiều Nhóm người dùng.</p></figcaption></figure>

#### <mark style="color:xanh;">Những người dùng được chỉ định và các Nhóm Người dùng có thể được miễn trừ khỏi các ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn cụ thể</mark>

Mọi tùy chọn trong Ánh xạ Ngôn ngữ đánh dấu bảo đảm an toàn Nâng cao đều có thể được cấu hình để miễn trừ những người dùng cụ thể và các Nhóm Người dùng khỏi hành vi ánh xạ. Điều này có thể hữu ích để ngăn người dùng VIP bị gián đoạn dịch vụ do một Thay đổi tiềm ẩn trong cấp phép.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về các miễn trừ người dùng.</p></figcaption></figure>

#### <mark style="color:xanh;">Ánh xạ Tự động tự động Chỉ định người dùng vào một nhóm Người dùng, Kênh hoặc IM được đặt tên theo giá trị Ngôn ngữ đánh dấu bảo đảm an toàn đã xác nhận của họ nếu giá trị đó trước đó chưa được ánh xạ tới một nhóm</mark>

Ánh xạ Tự động có thể được sử dụng để tự động Chỉ định người dùng vào một Nhóm Người dùng, Kênh và Nhóm IM được đặt tên theo giá trị Ngôn ngữ đánh dấu bảo đảm an toàn đã xác nhận của họ. Không giống các thành phần ánh xạ nâng cao khác, vốn có thể được cấu hình để Chỉ định một người dùng vào bất kỳ nhóm nào dựa trên giá trị Ngôn ngữ đánh dấu bảo đảm an toàn, Ánh xạ Tự động luôn Chỉ định một người dùng vào một nhóm dựa trên chính xác giá trị Ngôn ngữ đánh dấu bảo đảm an toàn. Nếu nhóm đó trước đây chưa tồn tại, nó sẽ được tự động tạo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về Ánh xạ Tự động Ngôn ngữ đánh dấu bảo đảm an toàn.</p></figcaption></figure>

Ví dụ: nếu Ánh xạ Tự động được đặt để ánh xạ một người dùng vào các nhóm dựa trên phòng ban của họ, nếu giá trị phòng ban của họ chưa được xác định cho Nhóm Người dùng, Kênh hoặc Nhóm IM, người dùng sẽ được tự động Chỉ định vào một nhóm khớp với tên phòng ban của họ, như được hiển thị trong bảng sau:

| Thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn | Giá trị Ngôn ngữ đánh dấu bảo đảm an toàn | Nhóm Zoom đã tồn tại chưa? | Kết quả                                                             |
| -------------------------------------------- | ----------------------------------------- | -------------------------- | ------------------------------------------------------------------- |
| Phòng ban                                    | Nhân sự                                   | Có                         | người dùng đã được thêm vào nhóm Human Resources                   |
| Phòng ban                                    | Marketing                                 | Có                         | người dùng đã được thêm vào nhóm Marketing                         |
| Phòng ban                                    | Bán hàng                                  | Không                      | nhóm Bán hàng được tạo, người dùng đã được thêm vào nhóm Bán hàng |

#### Zoom hỗ trợ tối đa năm thuộc tính tùy chỉnh của Ngôn ngữ đánh dấu bảo đảm an toàn

Quản trị viên Zoom có thể Cấu hình tối đa *năm* các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn tùy chỉnh để thêm dữ liệu người dùng vào hồ sơ Zoom của họ dưới [quản lý người dùng nâng cao](https://zoom.us/account/user#/advanced) trang. Sau khi thêm các trường tùy chỉnh, quản trị viên Zoom có thể Cấu hình ánh xạ trên [Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn](https://zoom.us/account/sso/mapping) trang.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ví dụ về các thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn tùy chỉnh</p></figcaption></figure>

#### <mark style="color:xanh;">Việc ánh xạ người dùng vào một tài khoản phụ sẽ</mark> *<mark style="color:xanh;">chỉ</mark>* <mark style="color:xanh;">áp dụng một giấy phép cuộc họp và các tiện ích bổ sung</mark>

Việc ánh xạ một người dùng vào một tài khoản phụ sẽ chỉ áp dụng giấy phép cuộc họp của người dùng và các tiện ích bổ sung như hội thảo trực tuyến và Cuộc họp Lớn cho tài khoản phụ. Nhóm Người dùng, Nhóm IM, Vai trò Người dùng, v.v. sẽ không được áp dụng và phải được cấu hình trong tài khoản phụ.

Khách hàng cần linh hoạt hơn trong việc ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn với các tài khoản con sẽ cần một URL tùy biến duy nhất và cấu hình SSO mới trong tài khoản con.

### Khắc phục sự cố SSO

#### <mark style="color:xanh;">Sử dụng Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để khắc phục sự cố</mark>

Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn đã lưu có thể là một công cụ vô cùng hữu ích để khắc phục sự cố Cấu hình và lỗi của người dùng, ngoài các cấu hình ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn. Nếu Cấu hình SSO của bạn được đặt để lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, chúng có thể được truy cập thông qua [Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn](https://zoom.us/account/sso/saml_logs) thẻ có sẵn trong trang Cấu hình SSO ở Cài đặt nâng cao. Để xem nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, hãy nhấp vào **Xem chi tiết** bên cạnh một lần thử xác thực.

#### <mark style="color:xanh;">Hầu hết các lần xác thực sẽ hiển thị trong nhật ký phản hồi</mark>

Hầu hết các lần thử xác thực thất bại hoặc không thành công sẽ hiển thị trên trang nhật ký phản hồi. Nếu một lần thử xác thực không hiển thị, rất có thể Zoom đã không nhận được một xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn từ nhà cung cấp danh tính của bạn, hoặc việc lưu nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn đang bị tắt.

#### <mark style="color:xanh;">Nhật ký phản hồi có thể cho bạn biết liệu Cấu hình của bạn không chính xác hay chứng chỉ của bạn đã lỗi thời</mark>

Khi nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn được bật, thông tin của nhà cung cấp danh tính được xác nhận với Zoom để xác thực danh tính cho mỗi bên. Nếu một Cài đặt hoặc chuỗi thông tin được xác nhận, như chứng chỉ X509 hoặc ID đơn vị phát hành, khác với Cấu hình hiện tại của Zoom, một lỗi sẽ xuất hiện thông báo rằng thông tin đó “không khớp với Cài đặt SSO hiện tại.” Một quản trị viên Zoom có thể cập nhật Cấu hình SSO để khớp với các giá trị được xác nhận này nếu chúng chính xác nhằm giải quyết lỗi.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về cảnh báo Cấu hình không chính xác.</p></figcaption></figure>

#### <mark style="color:xanh;">Nhật ký phản hồi cho bạn biết những giá trị và thuộc tính Ngôn ngữ đánh dấu bảo đảm an toàn nào đang được xác nhận</mark>

Việc xem lại nhật ký phản hồi có thể hỗ trợ giải quyết các cấu hình ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn bằng cách xác minh những thuộc tính và giá trị nào đang được người dùng xác nhận khi họ xác thực. Những thông tin này có thể được so sánh với Cấu hình để đảm bảo các thuộc tính và giá trị khớp nhau.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về thông tin đang được dịch vụ nhà cung cấp danh tính xác nhận.</p></figcaption></figure>

Nếu các thuộc tính hoặc giá trị Ngôn ngữ đánh dấu bảo đảm an toàn bị thiếu, thông tin đó không đang được dịch vụ nhà cung cấp danh tính xác nhận. Người dùng gặp phải vấn đề này được khuyến khích liên hệ với dịch vụ hỗ trợ của nhà cung cấp danh tính của họ để được trợ giúp thêm.

#### <mark style="color:xanh;">Nhật ký phản hồi bao gồm mã lỗi và giải thích ngắn gọn, nếu không thành công</mark>

Nếu một người dùng không thể xác thực hoặc nhận được lỗi, nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn sẽ chứa mã lỗi và giải thích ngắn gọn về lỗi.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về mã lỗi và phần giải thích.</p></figcaption></figure>

Hầu hết các vấn đề có thể được xác định và giải quyết bằng cách sử dụng các thông báo lỗi này. Nếu bạn không thể giải quyết lỗi, hãy liên hệ Hỗ trợ Zoom để được trợ giúp thêm.

#### <mark style="color:xanh;">Lỗi ID theo dõi web</mark>

Nếu một người dùng không vượt qua xác thực SSO, họ sẽ nhận được mã lỗi ID theo dõi WEB. Những mã này không phải là thông báo lỗi liên quan đến một lỗi cụ thể, mà thay vào đó là một ID nhật ký duy nhất có thể được xem xét trong Ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn để xác định các vấn đề xác thực.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về lỗi hiển thị cho người dùng với mã lỗi ID theo dõi WEB.</p></figcaption></figure>

Để xác định lỗi, nếu việc ghi nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn được bật, hãy điều hướng đến [Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn](https://zoom.us/account/sso/saml_logs) thẻ có sẵn trong trang Cấu hình SSO ở Cài đặt nâng cao. Từ đó, Đi vào ID theo dõi WEB vào trường ID theo dõi và tìm kiếm để điền vào nhật ký phản hồi

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về việc tìm kiếm Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn bằng mã lỗi ID theo dõi WEB nói trên.</p></figcaption></figure>

Nhật ký phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn sẽ hiển thị xác nhận Ngôn ngữ đánh dấu bảo đảm an toàn cùng mã lỗi và thông báo ở cuối phản hồi, có thể được sử dụng để khắc phục sự cố thêm.

### Lỗi SCIM

#### <mark style="color:xanh;">Người dùng không tồn tại hoặc không thuộc về tài khoản này</mark>

Lỗi này xảy ra khi địa chỉ email của một người dùng mục tiêu không thể được cấp phát do đã có một tài khoản tồn tại sẵn. Các quản trị viên Zoom được khuyến khích liên hệ trực tiếp với người dùng và mời người dùng đó vào tài khoản theo cách thủ công.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về lỗi cấp phát.</p></figcaption></figure>

#### <mark style="color:xanh;">Bạn không thể thêm người dùng trả phí</mark>

Lỗi này xảy ra khi SCIM cố gắng cấp phát một người dùng khi không có đủ giấy phép trong tài khoản. Để giải quyết lỗi, người dùng phải được cấp phát như một người dùng cơ bản, hoặc một giấy phép phải được tạo sẵn để cấp phát.

### Sử dụng nhật ký SCIM để khắc phục sự cố cấp phát người dùng

Zoom cung cấp 100 nhật ký yêu cầu API gần đây nhất trong [Zoom Marketplace](https://marketplace.zoom.us/). Một quản trị viên Zoom có thể sử dụng các nhật ký này để xác nhận thông tin nào đang được gửi và nhận thông qua các API cấp phát. Để Truy cập nhật ký, hãy đăng nhập vào Zoom Marketplace với tư cách quản trị viên Zoom và nhấp vào **Quản lý**. Trên trang tiếp theo, Chọn **Nhật ký cuộc gọi** trong **Quản lý ứng dụng cá nhân**. Từ đó, nhấp vào một mục để mở rộng nhật ký API và xem lại nội dung.

Hình ảnh sau đây cho thấy một ví dụ về yêu cầu cấp phát người dùng SCIM, với các thuộc tính danh tính và giấy phép của người dùng được làm nổi bật để tham khảo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ví dụ về yêu cầu cấp phát người dùng SCIM.</p></figcaption></figure>

Giống như ánh xạ phản hồi Ngôn ngữ đánh dấu bảo đảm an toàn, Zoom chỉ có thể áp dụng thông tin được gửi từ nhà cung cấp danh tính trong yêu cầu cấp phát. Hãy sử dụng các nhật ký này để xác nhận rằng các thuộc tính danh tính và giấy phép của người dùng đang được gửi từ nhà cung cấp danh tính. Nếu thông tin mong đợi bị thiếu trong các xác nhận này, hãy liên hệ với nhà cung cấp danh tính của bạn để được hỗ trợ.

### Luồng dữ liệu và xác thực

#### <mark style="color:xanh;">Xác thực Ngôn ngữ đánh dấu bảo đảm an toàn</mark>

Sơ đồ sau đây trình bày chi tiết luồng xác thực Ngôn ngữ đánh dấu bảo đảm an toàn của một người dùng khi bắt đầu một phiên đăng nhập một lần với Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Sơ đồ về một ví dụ luồng xác thực Ngôn ngữ đánh dấu bảo đảm an toàn.</p></figcaption></figure>

#### <mark style="color:xanh;">Mã thông báo đăng nhập web SSO</mark>

Sau khi một người dùng xác thực thông qua Ngôn ngữ đánh dấu bảo đảm an toàn, phiên của người dùng được tạo trong trình duyệt của họ, và có

thời hạn hai giờ theo mặc định. Nếu người dùng tiếp tục chủ động sử dụng trang web Zoom của họ, phiên sẽ được làm mới; tuy nhiên, nếu người dùng không sử dụng trang web của họ trong hai giờ, mã thông báo sẽ hết hạn và người dùng phải xác thực lại. Quản trị viên Zoom có thể Cấu hình thời lượng phiên hoạt động này trên [Bảo mật](https://zoom.us/account/setting/security) trang dưới Người dùng cần đăng nhập lại sau một khoảng thời gian không hoạt động và **Đặt khoảng thời gian không hoạt động trên web (phút)**.

#### <mark style="color:xanh;">Mã thông báo đăng nhập của ứng dụng Zoom</mark>

Khi người dùng cố gắng xác thực qua SSO trong một ứng dụng, máy của người dùng sẽ mở một trình duyệt web và chuyển hướng họ đến trang đăng nhập của nhà cung cấp danh tính. Sau khi người dùng xác thực, trình duyệt của người dùng sẽ nhận được một mã thông báo khởi chạy ứng dụng Zoom. Khi người dùng nhấp vào nút “open” hoặc “launch”, trình duyệt sử dụng lược đồ URL kết hợp với mã thông báo khởi chạy để mở ứng dụng Zoom.

ứng dụng Zoom sẽ sử dụng mã thông báo khởi chạy để lấy mã thông báo truy cập và mã thông báo làm mới từ máy chủ Zoom. Ứng dụng sẽ sử dụng mã thông báo truy cập trong thời hạn hai giờ mỗi lần, và khi hết hạn sẽ sử dụng mã thông báo làm mới để lấy một bộ mã thông báo mới, được lưu trữ trong cơ sở dữ liệu cục bộ của ứng dụng. Quá trình làm mới này là không giới hạn theo mặc định, và có thể liên tục luân chuyển qua các mã thông báo cho đến khi người dùng đăng xuất hoặc các mã thông báo hết hạn. Quản trị viên Zoom có thể tùy chỉnh độ dài phiên trên [Cài đặt SSO](https://zoom.us/account/sso) trang dưới [*áp dụng đăng xuất tự động*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).