クロスドメイン アイデンティティ管理のシステム (SCIM)

ディレクトリのユーザーと Control Hub の間のインテグレーションは、クロスドメイン アイデンティティ管理システム (SCIM) API を使用します。SCIM は、アイデンティティ ドメインまたは IT システム間のユーザー アイデンティティ情報の交換を自動化するオープン標準です。SCIM は、クラウドベースのアプリケーションおよびサービスでのユーザー アイデンティティの管理を容易にするように設計されています。SCIM は、REST を通じて標準化された API を使用しています。

Entra ID が null 値を同期しません。属性値を NULL に設定した場合、Webex では削除されないか、NULL 値でパッチ適用されません。この制限がユーザーに影響する場合、Microsoft に連絡してサポートを受け取る必要があります。

Entra ID (Azure AD) ウィザード アプリ

Control Hub の Entra ID (Azure AD) ウィザード アプリを使用して、Webex とのユーザーとグループの同期を簡素化します。ウィザードアプリを使用すると、同期する属性、ユーザー、グループを簡単に設定し、ユーザーのアバターを Webex に同期するかどうかを決定できます。ウィザードを使用する利点の詳細については、「Control Hub で Entra ID (Azure AD) ウィザード アプリをセットアップする 」を参照してください。

Azure Application Gallery から Cisco Webex を追加する

Entra ID を使用して自動ユーザープロビジョニングするように Control Hub を設定する前に、Entra ID アプリケーション ギャラリーから管理対象アプリケーションのリストに Webex を追加する必要があります。

すでに シングル サインオン (SSO) のための Entra ID と Webex Control Hub を統合している場合、Cisco Webex はすでにエンタープライズ アプリケーションに追加されているため、この手順をスキップできます。

1

https://portal.azure.com の Azure ポータルに管理者資格情報でサインインします。

2

組織の [Entra ID] に移動します。

3

[エンタープライズ アプリケーション] を開き、[追加] をクリックします。

4

[ギャラリーからアプリケーションを追加する] をクリックします。

5

[検索] ボックスに「Cisco Webex」と入力します。

6

結果ペインで [Webex Teams] を選択し、[追加] をクリックしてアプリケーションを追加します。

Cisco Webex アプリケーションが強調表示された [アプリケーションの追加] 画面の例。

アプリケーションが正常に追加されたことを示すメッセージが表示されます。

7

同期のために追加した Webex アプリケーションが確実にユーザー ポータルに表示されないようにするには、新しいアプリケーションを開き、[プロパティ] に移動して、[ユーザーに表示][いいえ] に設定します。

[プロパティ] ページの画面で、[表示可能] トグルの位置が強調表示されます。これは、画面の下部にある [メモ] フィールドのすぐ上に表示されます。
Entra ID のアプリケーションにグループ/ユーザーを割り当てる

この手順で Webex クラウドに同期するユーザーを選択できます。

Entra ID は「割り当て」と呼ばれる概念を使用して、どのユーザーが選択したアプリにアクセスできるかを決定します。自動ユーザー プロビジョニングのコンテキストでは、Entra ID のアプリケーションに「割り当てられた」ユーザーおよび/またはユーザーのグループだけが、Control Hub に同期されます。

Control Hub の Entra ID (Azure AD) ウィザード アプリ を使用して、Entra ID グループと個々のグループ オブジェクトの両方のユーザーを同期します。Webex は Entra ID (Azure AD) ウィザード アプリの外部で個々のグループを同期できません。

初めて統合を構成する場合は、テスト用に 1 人のユーザーを割り当て、テストが成功してから、他のユーザーとグループを追加することをお勧めします。

1

Entra ID ポータルで Webex アプリケーションを開き、[ユーザーとグループ] に移動します。

2

[割り当てを追加] をクリックします。

3

アプリケーションに追加するユーザーやグループを見つけます:

  • アプリケーションに割り当てる個々のユーザーを見つけます。
  • アプリケーションに割り当てるユーザーのグループを見つけます。
4

[選択] をクリックし、[割り当て] をクリックします。

Webex と同期するグループとユーザーがすべて揃うまで、この手順を繰り返します。

Entra ID を認証して、ユーザーを Control Hub 組織と同期させます

この手順を使用して、Entra ID からプロビジョニングをセットアップし、組織のベアラー トークンを取得します。この手順には、必要で推奨した管理設定が記載されています。

組織がすべてのユーザーに検証済みドメインを持つ必要がある場合、将来の同期では、未確認のドメインのユーザー作成は許可されません。ほとんどの Webex の政府組織は検証済みドメインを必要とします。

始める前に

Control Hub の顧客ビューから組織 ID を取得します。左下の組織名をクリックして、組織 ID をテキスト ファイルにコピーします。この値は、テナント URL を入力する際に必要になります。この値をこの記事の例として使用します。a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Azure ポータル にサインインし、 > [エンタープライズ アプリケーション] > [すべてのアプリケーション] に移動します。

2

エンタープライズ アプリケーションのリストから [Cisco Webex] を選択します。

3

[プロビジョニング] にアクセスし、[プロビジョニング モード][自動] に変更します。

Entra ID の Cisco Webex プロビジョニング画面。[プロビジョニングモード(Provisioning Mode)] ドロップダウン メニューをクリックして [自動(Automatic)] を選択します。

Webex アプリには、Entra ID ユーザー属性と Webex ユーザー属性の間のデフォルトのマッピングが含まれています。これらの属性だけでも十分ユーザーを作成できますが、この記事の後半で説明するように、属性を追加することもできます。

4

テナント URL を入力します。

Webex のオファーの URL を次の表に示します。OrgId を特定の値に置き換えます。

表 1YAZ設定オプション Webex のテナント URL
Webex のオファー使用するテナント URL
Webex (既定) https://api.ciscospark.com/v1/scim/OrgId
Webex for Government https://api-usgov.webex.com/v1/scim/OrgId

テナント URL は次のようになります。https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c

5

以下の手順に従って、秘密トークンのベアラー トークン値を確認します。

  1. 次の URL をコピーして、シークレット ブラウザー タブで実行します。 https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    上記の URL はデフォルトの Webex ID ブローカーに適用されます。政府向け Webex を使用している場合、以下の URL を使用して、ベアラー トークンを得る必要があります。

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    正しい管理者資格情報を使用して確実にサインインするには、シークレット ブラウザを使うことが重要です。ユーザーを作成できない権限の低いユーザーとしてすでにサインインしている場合、戻るベアラー トークンはユーザーを作成できます。

  2. 表示される [Webex サインイン] ページから、組織のフル管理者アカウントでログインします。

    サイトに到達できないという内容のエラーページが表示されますが、これは通常のものです。

    エラー ページの URL には生成されたベアラー トークンが含まれます。このトークンは 365 日間有効です (期限が過ぎると失効します)。

    生成されたベアラー トークンを持つエラー ページ URL の例を強調表示します。"access_token=" と "&token_type=ベアラー" の間に見つかったベアラー トークン値をコピーします。

  3. ブラウザのアドレスバーの URL から、access_token=&token_type=ベアラー の間でベアラー トークン値をコピーします。

    たとえば、次の URL のトークン値が強調表示されています。http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose

    URL がもう利用できない場合に備え、この値をテキスト ファイルにトークンのレコードとして保存することを推奨します。

6

Azure portal に戻り、トークン値を 秘密トークンに貼り付けます。

7

[接続のテスト] をクリックして、Entra ID が組織とトークンを認識していることを確認します。

正常な結果として、ユーザーのプロビジョニングを有効にするための資格情報が承認されたことが示されます。

8

プロビジョニング エラーが発生したときにメールを受信するには、[通知メール] を入力し、該当するチェックボックスをオンにします。

9

[保存] をクリックします。

この時点で、Entra ID を使用して Webex ユーザーのプロビジョニングと同期を正常に承認し、同期を設定するための手順を完了しました。

次に行うこと

さらに Entra ID ユーザー属性を Webex 属性にマッピングする場合は、次のセクションに進みます。

同期された組織に変更を加える方法については、「同期された Entra ID ユーザーの管理 」のヘルプ記事を参照してください。

ユーザー属性を Entra ID から Webex にマッピング

追加のユーザー属性を Entra ID から Webex にマッピングするか、既存のユーザー属性のマッピングを変更するには、次の手順に従います。

Entra ID から Webex へのマッピングでは、すべてのユーザーの詳細が同期されるわけではありません。ユーザーデータのいくつかの面は同期化されません。

  • アバター

  • 会議室

  • 下記のテーブルにリストされていない属性

デフォルトの属性マッピングは、どうしても必要でない限り、変更しないようお勧めします。ユーザー名としてマッピングする値は特に重要です。Webex はユーザーのメール アドレスをユーザー名として使用します。デフォルトで、Azure AD の userPrincipalName (UPN) をControl Hub のメール アドレス (username) にマッピングします。

userPrincipalName が Control Hub のメールにマッピングされない場合、ユーザーは一致する既存のユーザーの代わりに、新規ユーザーとして Control Hub にプロビジョニングされます。UPN の代わりにメール アドレス形式の別の Azure ユーザー属性を使用する場合は、Entra ID のデフォルト マッピングを userPrincipalName から適切な Entra ID ユーザー属性に変更する必要があります。

開始する前に

Entra ID に Cisco Webex アプリを追加して構成し、接続をテストしました。

ユーザーの同期を開始する前または後に、ユーザー属性のマッピングを変更できます。

1

Azure ポータル にサインインし、[エンタープライズ アプリケーション] > [すべてのアプリケーション] に移動します。

2

Cisco Webex アプリケーションを開きます。

3

[プロビジョニング] ページを選択し、[マッピング] セクションを展開し、[Azure Active Directory ユーザーをプロビジョニングする] をクリックします。

[マッピング(Mappings)] タブの位置が強調表示された [プロビジョニング(Provisioning)] ページの画面。[マッピング(Mappings)] タブは、[プロビジョニング(Provisioning)] ページの上部にある [管理資格情報(Admin Credentials)] タブから直接見つけることができます。

4

[詳細オプションを表示] チェックボックスをオンにし、[Cisco Webex の属性リストを編集] をクリックします。

[Azure Active Directory ユーザーのプロビジョニング] ページで [高度なオプションを表示] をクリックすると表示されるオプションのイメージ。
5

Entra ID のユーザー属性から入力する Webex 属性を選択します。この属性とマッピングは、この手順の後半に示します。

属性リストの画像。リストには、属性の名前とタイプが含まれており、属性がプライマリキーか必須かを選択できます。
6

Webex 属性を選択した後、[保存][はい] の順にクリックして確認します。

[属性マッピング] ページが開き、Entra ID のユーザー属性を選択した Webex ユーザー属性にマッピングできます。

7

ページ下部の [新しいマッピングを追加] をクリックします。

8

[直接] マッピングを選択します。[ソース属性] (Azure の属性) と [ターゲット属性] (Webex の属性) を選択してから、[OK] をクリックします。

新しいマッピング属性の見た目の例。[マッピング タイプ] で [ダイレクト] を選択します。ソース属性と target 属性は必須です。

表 2. Webex マッピングに Entra ID

Entra ID 属性(ソース)

Webex ユーザー属性 (ターゲット)

デフォルトで入力される属性

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

objectId

externalId

その他の使用可能な属性

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

必要なすべてのマッピングの追加または変更が完了するまで前の 2 つの手順を繰り返してから、[保存][はい] の順にクリックして、新しいマッピングを確認します。

最初からやり直す場合は、[デフォルトのマッピングを復元] を使用できます。

これでマッピングは完了です。次の同期で Webex ユーザーが作成または更新されます。