シングルサインオン

Webex シングルサインオンは固有の ID を使うことで、社内のユーザーがすべての企業アプリケーションにアクセスできる権限を付与します。 管理者は Webex サイト管理を使用して、Cisco Webex アプリケーションに対する SSO を設定することができます。


シングルサイノンはサイトでのプロビジョンが必要なオプション機能です。 詳細についてはカスタマサクセスマネージャに問い合せてください。

SSO の設定

次の操作で SSO および SAML 2.0 を設定します。

始める前に

次の要件に適した証明書を取得し、設定を行います。

  • 標準的な SAML 2.0 または WS Federate 1.0 に準拠する ID および Access Management (IAM) システム、CA SiteMinder、ADFS、Ping Identity などです。

  • 信頼できる証明書を発行する機関からの企業用 X.509 公開鍵の証明書、例えば VeriSign や Thawte です。

  • ユーザーアカウント情報および SAML システム ID で SAML アサーションを提供するために構成された IAM です。

  • IdP XML ファイルです。

  • 企業向け IAM サービス用 URL です。

1

Webex サイト管理にサインインし、[設定] > [共通のサイト設定] > SSO設定に進みます。

2

[フェデレーションプロトコル] ドロップダウンメニューで [SAML 2.0] を選択します。

既存の設定がある場合、一部のフィールドに値がすでに埋め込まれています。

3

[サイトの証明書マネージャ] リンクを選択します。

4

[サイトの証明書マネージャ] ウィンドウで [参照] を選択し、使用する X.509 証明書の .CER ファイルを見つけます。

5

.CER ファイルを選択し、[OK] を選択します。

6

[閉じる] を選択します。

7

[SSO 構成] ページで必須情報を入力し、有効にしたいオプションを追加します。

8

[更新] を選択します。

SSO 設定ページ

次の表では [SSO 設定] ページのフィールドとオプションについて記載しています。


設定中に使用する情報は正確に入力する必要があります。 サイトの SSO 設定で必要なより詳しい情報が必要な場合は、ID プロバイダに問い合わせてください。

表 1. SSO 設定ページのフィールドとオプション

フィールドまたはオプション

説明

SSO プロファイル

ユーザーがどのように Webex にアクセスするかを指定します。 ユーザーが ミーティングサイトから開始し、認証のために会社の IdP システムにリダイレクトさせるには、[SP 開始]Webex を選択します。 ユーザーが社内 IAM システムから にアクセスするには、[IdP 開始]Webex を選択します。

SAML メタデータ (リンク) のインポート

[フェデレーションウェブ SSO の構成 - SAML メタデータ] ダイアログボックスをクリックして開きます。 インポートされたメタデータフィールドには次のものが含まれます:

  • AuthnRequest 署名された宛先

  • SAML (IdP ID) の発行者

  • カスタマー SSO サービスログイン URL

Webex SAML 発行者 (SP ID)

URI は Cisco Webex メッセンジャー サービスを SP として識別します。 構成は顧客 Identity Access Management システム中の設定と一致する必要があります。 推奨する名前変換: Webex ミーティングの場合は、Webex Meetings サイトの URL を入力します。 Webex メッセンジャーサービスでは、client-domain-name の形式を使用します。例えば、 IM-Client-ADFS-WebExEagle-Com です。

SAML (IdP ID) の発行者

URI は固有の IdP を識別します。 構成は Customer IAM 中の設定と一致する必要があります。 IdP XML ファイルに配置されます。例えば、 entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

カスタマー SSO サービスログイン URL

企業用シングルサインオンサービスの URL。 ユーザーは通常この URL からサインインします。 IdP XML ファイルに配置されます。例えば、 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

SAML メタデータの Webex 構成ファイルをインポートすることができます

将来インポートできる、一部のメタデータをエクスポートすることができます。 インポートされたメタデータフィールドには次のものが含まれます:

  • AuthnRequest 署名された宛先

  • SAML (IdP ID) の発行者

  • 顧客 SSO サービスログイン URL

NamedID 形式

IAM 構成と一致しており、さらに次の形式に対応している必要があります:

  • 指定なし

  • メール アドレス

  • X509 サブジェクト名

  • エンティティの識別子

  • 永続的な識別子

AuthnContextClassRef

IdP での認証を記述する SAML statement。 これは IAM 構成に一致する必要があります。 ADFS の例: urn:federation:authentication:windows or urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping example: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified Note: 複数の AuthnContextClassRef 値を使用するには、 ";;」 を追加します。例: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

デフォルトの Webex ターゲット ページ URL (オプション)

認証時にウェブアプリケーションのみに指定されているターゲットページを表示します。

顧客の SSO エラー URL (オプション)

エラーが発生する場合、URL に追加されるエラーコードでこの URL にリダイレクトします。

シングルログアウト (オプション)

サインアウトとログアウト URL を指定する場合はチェックを入れます。


 

IdP initiated のシングルログアウトには対応していません。

AuthnRequest 用署名アルゴリズム

セキュリティ強化のため、SHA-1、SHA-256、または SHA-512 の署名入り証明書を生成することができます。

出席者用 SSO 認証

この機能により、Webex Meeting、Webex Training、Webex Events を使う社内出席者の SAML アサーションユーザー認証にさらに多くのアカウンタビリティを提供します。 有効時、この機能が Webex Meetings の [参加者リストで内部ユーザータグを表示する] 機能に代わりに働きます。

自動アカウント作成 (オプション)

選択してユーザーアカウントを作成します。 UID、メール、名と姓のフィールドが SAML アサーションに表示されている必要があります。

自動アカウント更新 (オプション)

Webex アカウントが SAML アサーション中の updateTimeStamp 属性によって更新することができます。 IAM で変更が行われると、新しいタイムスタンプが Webex サイトに送られ、それが SAML アサーションに送信される属性をもつアカウントを更新します。

Active Diretory UPN の UID ドメイン サフィックスを削除する

選択時に User Principal Name (UPN) から Active Directory のドメインを削除します。