クロスドメイン アイデンティティ管理のシステム (SCIM)

ディレクトリのユーザーと Control Hub の間のインテグレーションは、クロスドメイン アイデンティティ管理 (SCIM) API のシステムを使用します。 SCIM は、アイデンティティ ドメインまたは IT システム間のユーザー アイデンティティ情報の交換を自動化するオープン標準です。 SCIM は、クラウドベースのアプリケーションおよびサービスでのユーザー アイデンティティの管理を容易にするように設計されています。 SCIM は、REST を通じて標準化された API を使用しています。

Azure AD で自動的にユーザーをプロビジョニングするために Webex Control Hub を設定する前に、Azure AD アプリケーション ギャラリーから管理対象アプリケーションのリストに Cisco Webex を追加する必要があります。


すでに シングル サインオン (SSO) のために Webex Control Hub が Azure に統合されている場合、Cisco Webex はすでにエンタープライズ アプリケーションに追加されているため、この手順をスキップすることができます。

1

https://portal.azure.com の Azure ポータルに管理者資格情報でサインインします。

2

組織の Azure Active Directory に進みます。

3

[エンタープライズ アプリケーション] を開き、[追加] をクリックします。

4

[ギャラリーからアプリケーションを追加する] をクリックします。

5

[検索] ボックスに「Cisco Webex」と入力します。

6

結果ペインで [Webex Teams] を選択し、[追加] をクリックしてアプリケーションを追加します。

アプリケーションが正常に追加されたことを示すメッセージが表示されます。

この手順で Webex クラウドに同期するユーザーを選択できます。

Azure AD は「割り当て」と呼ばれる概念を使用して、どのユーザーに選択したアプリへのアクセスを与えるかを決定します。 自動ユーザー プロビジョニングのコンテキストでは、Azure AD のアプリケーションに割り当てられたユーザーおよび/またはグループのみが、Control Hub に同期されます。

初めて統合を構成する場合は、テスト用に 1 人のユーザーを割り当て、テストが成功してから、他のユーザーとグループを追加することをお勧めします。

1

Azure ポータルで Cisco Webex アプリケーションを開き、[ユーザーとグループ] に移動します。

2

[割り当てを追加] をクリックします。

3

アプリケーションに追加するユーザーやグループを見つけます:

  • アプリケーションに割り当てる個々のユーザーを見つけます。
  • アプリケーションに割り当てるユーザーのグループを見つけます。
4

[選択] をクリックし、[割り当て] をクリックします。

Webex と同期するグループとユーザーがすべて揃うまで、この手順を繰り返します。

この手順を使用して、Azure AD からのプロビジョニングを設定し、組織のベアラー トークンを取得します。 この手順には、必要で推奨した管理設定が記載されています。

始める前に

コントロール ハブの顧客ビューから組織 ID を受け取ります。 左下の組織名をクリックしてから、 組織 ID の値をテキスト ファイルにコピーします。 この値は、テナント URL を入力する際に必要になります。 以下の例のように、この値を使用します。a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Azure ポータル にサインインして、 [Azure Active Directory] > [Enterprise アプリケーション] > [すべてのアプリケーション] に移動します。

2

エンタープライズ アプリケーションのリストから [Cisco Webex] を選択します。

3

[プロビジョニング] にアクセスし、[プロビジョニング モード][自動] に変更します。

Webex アプリは Azure AD ユーザー属性と Webex ユーザー属性間のいくつかのデフォルト マッピングを使用して作成されます。 これらの属性だけでも十分ユーザーを作成できますが、この記事の後半で説明するように、属性を追加することもできます。

4

このフォームにテナント URL を入力します。

https://api.ciscospark.com/v1/scim/{OrgId}

Control Hub から取得した {OrgId} 組織 ID を置換すると、テナント URL は次のようになります。 https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

以下の手順に従って、秘密トークンのベアラー トークン値を確認します。

  1. 次の URL をコピーし、シークレット ブラウザ タブで実行します。 https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    正しい管理者資格情報を使用して確実にサインインするには、シークレット ブラウザを使うことが重要です。 すでにサインインしているものの、ユーザーの権限が限られている場合、返されるベアラー トークンではユーザーの作成を許可されないことがあります。

  2. 表示される [Webex サインイン] ページから、組織のフル管理者アカウントでログインします。

    サイトに到達できないという内容のエラーページが表示されますが、これは通常のものです。

    生成されたベアラー トークンは、エラー ページの URL に含まれています。 このトークンは 365 日間有効です (期限が過ぎると失効します)。

  3. このブラウザのアドレス バーにある URL から、ベアラー トークンの値を次の二者間でコピーします。 access_token= および &token_type=Bearer.

    たとえば、次の URL のトークン値が強調表示されています。 http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose


     

    URL がもはや利用できなくなる場合に備えて、この値をテキスト ファイルに貼り付け、保存することをお勧めします。

6

Azure portal に戻り、トークン値を 秘密トークンに貼り付けます。

7

[テスト接続] をクリックして、組織とトークンが Azure AD によって認識されていることを確認します。

正常な結果として、ユーザーのプロビジョニングを有効にするための資格情報が承認されたことが示されます。

8

プロビジョニング エラーが発生したときにメールを受信するには、[通知メール] を入力し、該当するチェックボックスをオンにします。

9

[保存] をクリックします。

Azure AD による Webex ユーザーのプロビジョニングまたは同期を正常に承認できました。

次に行うこと

  • Azure AD ユーザーの一部のみを Webex に同期する場合は、「Azure AD のアプリケーションにユーザー グループを追加する」を参照してください。

  • 追加の Azure AD ユーザー属性を Webex 属性にマップしてからユーザーを同期する場合は、「Azure から Webex にユーザー属性をマップする」を参照してください。

  • これらの手順の後は、「Azure AD から Webex への自動プロビジョニングを有効にする」ことができます。

この手順を行うと、追加のユーザー属性を Azureから Webex にマップしたり、既存のユーザー属性のマッピングを変更したりできます。

始める前に

Cisco Webex アプリを Azure Active Directory に追加して構成し、接続をテストしておいてください。

ユーザーの同期を開始する前または後に、ユーザー属性のマッピングを変更できます。

1

Azure ポータル にサインインして、 [Azure Active Directory] > [Enterprise アプリケーション] > [すべてのアプリケーション] に移動します。

2

Cisco Webex アプリケーションを開きます。

3

[プロビジョニング] ページを選択し、そのページで [マッピング] コントロールを開きます。

4

[Azure Active Directory ユーザーを Cisco Webex に同期] をクリックします

新しいセクションが開きます。

5

[詳細オプションを表示] チェックボックスをオンにし、[Cisco Webex の属性リストを編集] をクリックします。

開いたコントロールで、Azure ユーザー属性から自動入力される Webex 属性を選択できます。 この属性とマッピングは、この手順の後半に示します。

6

Webex 属性を選択した後、[保存][はい] の順にクリックして確認します。

[属性のマッピング] ページが開き、選択した Webex ユーザー属性に Azure AD ユーザー属性をマップできるようになります。

7

ページ下部の [新しいマッピングを追加] をクリックします。

8

[直接] マッピングを選択します。 [ソース属性] (Azure の属性) と [ターゲット属性] (Webex の属性) を選択してから、[OK] をクリックします。

表 1. Azure から Webex へのマッピング

Azure Active Directory 属性 (ソース)

Cisco Webex 属性 (ターゲット)

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

objectId

externalId

9

必要なすべてのマッピングの追加または変更が完了するまで前の 2 つの手順を繰り返してから、[保存][はい] の順にクリックして、新しいマッピングを確認します。


 

デフォルトの属性マッピングは変更しないようお勧めします。 重要なマッピングは Azure AD の userPrincipalName からの Control Hub のメール アドレス (userName) に対するマッピングです。 最初からやり直す場合は、[デフォルトのマッピングを復元] を使用できます。

userPrincipalName が Control Hub でメール アドレスではない場合、ユーザーは新規ユーザーとしてプロビジョニングされ、Control Hub の既存のユーザーとは一致しません。 UPN の代わりに Azure のメール アドレスを使用する場合は、Azure AD のデフォルトのマッピングを userPrincipalName からEmailに変更する必要があります。

これでマッピングは完了です。次の同期で Webex ユーザーが作成または更新されます。

始める前に

完了しておくこと:

  • Cisco Webex アプリケーションを追加する

  • Azure が Webex ユーザーを自動的に作成することを承認し、接続をテストする

  • (任意) 特定のユーザーやグループを Webex アプリケーションに割り当てる

  • (任意) Azure の属性 (デフォルト以外の追加分) を Webex の属性としてマップする

1

Azure ポータルで Cisco Webex アプリケーションを開き、[プロビジョニング] ページに移動します。

2

特定のユーザーまたはグループをアプリケーションに割り当てた場合は、そのプロビジョニングの [範囲][割り当てられたユーザーとグループのみを同期 に設定します。

このオプションを選択したものの、まだユーザーとグループを割り当てていない場合は、プロビジョニングを切り替える前に、「Azure AD のアプリケーションにグループやユーザーを割り当てる」に従う必要があります

3

[プロビジョニング ステータス]オンに切り替えます。

このアクションで、Azure AD から Webex ユーザーへの自動プロビジョニングと同期が開始されます。 これには最大 40 分かかる場合があります。

テスト中で待ち時間を短くする必要がある場合は、オンデマンド プロビジョニングを使用できます。 https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/provision-on-demand を参照してください。

もう 1 つのオプションは、プロビジョニングの再開です。 [プロビジョニング ステータス][オフ] に切り替え、[保存] を選択した後で、[オン] に戻して (もう一度) [保存] を選択します。 これで強制的に新しい同期が行われます。


 

[現在の状態をクリアして同期を再開] オプションは使用しないよう強くお勧めします。

4

https://admin.webex.com にサインインし、[ユーザー] に移動して Azure Active Directory ユーザー アカウントを確認します。

この同期は API によって行われるため、Control Hub にはステータスが表示されません。 Azure ポータルのログをチェックして、ユーザー同期のステータスを確認することができます。


 

Azure AD ユーザーの同期に関連する変更の記録を入手するには、監査ログにアクセスします。 [アクティビティ] の下で、[監査ログ] をクリックします。 このビューでは、すべてのログが表示され、サービス フィルターの [アカウント プロビジョニング] やカテゴリー フィルターの [ユーザー管理] など、特定のカテゴリーをフィルタリングできます。

Azure AD からユーザー割り当てを削除することができます。 これにより Azure AD ユーザー アカウントは保持されますが、そのアカウントはWebex 組織のアプリケーションおよびサービスにアクセスできなくなります。

ユーザー割り当てを削除すると、Webex はグループを非アクティブとしてマークします。

1

Azure portal から、[エンタープライズ アプリケーション] に移動し、追加した Webex アプリケーションを選択します。

2

アプリケーションに割り当てられているユーザーまたはユーザーのグループを選択します。

3

[削除] をクリックし、[はい] をクリックして削除を確認します。

次の同期イベントの際に、ユーザーまたはユーザーのグループが Webex アプリケーションから削除されます。

1

[ユーザー] に移動し、削除する各ユーザーアカウントの隣にあるチェックボックスにチェックを入れ、[ユーザーの削除] をクリックします。

ユーザーが [削除されたユーザー] タブに移動します。

Control Hub では、ユーザーは「ソフト削除」状態に移行し、すぐに削除されません。 名前も変更されます。 Azure AD は Webex クラウドにこの変更を送信します。 この変更は Control Hub に反映され、ユーザーは非アクティブとしてマークされます。 すべてのトークンはユーザーに対して取り消されます。

2

ユーザーの削除のレコードを確認するには、[監査ログ] に移動し、[ユーザー管理] カテゴリで検索を実行する、または [ユーザーの削除] のアクティビティを実行します。


 

削除されたユーザーの監査ログを開き、[ターゲット] をクリックすると、ユーザープリンシパル名には、@ の前に数字と文字の文字列が表示されます。

Control Hub で eDiscovery アクションを実行する場合は、Azure AD の監査ログからユーザー プリンシパル名を得る必要があります。 eDiscoveryに関する詳細については、「Webex アプリとミーティング コンテンツの規制を順守する」を参照してください。

次に行うこと

完全に削除される前に、「ソフト」削除されたユーザーを復元できるのは30日間です。 Azure AD でユーザーを復元すると、Control Hub がユーザーを再アクティベートし、ユーザーの名前を元のメール番号/UPN アドレスに変更します。

ユーザーを復元しない場合、Azure AD によりハード削除が行われます。 Webex 組織によりユーザーが削除され、Control Hub にユーザーが表示されなくなります。 後でメール アドレスを Azure AD に再度追加する場合、Webex はまったく新しいユーザー アカウントを作成します。