クロスドメイン アイデンティティ管理のシステム (SCIM)

ディレクトリのユーザーと Control Hub の間のインテグレーションは、クロスドメイン アイデンティティ管理システム (SCIM) API を使用します。SCIM は、アイデンティティ ドメインまたは IT システム間のユーザー アイデンティティ情報の交換を自動化するオープン標準です。SCIM は、クラウドベースのアプリケーションおよびサービスでのユーザー アイデンティティの管理を容易にするように設計されています。SCIM は、REST を通じて標準化された API を使用しています。

Entra ID は null 値を同期しません。属性値を NULL に設定した場合、Webex では削除されないか、NULL 値でパッチ適用されません。この制限がユーザーに影響する場合、Microsoft に連絡してサポートを受け取る必要があります。

Entra IDウィザードアプリ

Control Hub の Entra ID ウィザード アプリを使用して、ユーザーとグループと Webex の同期を簡素化します。ウィザード アプリを使用すると、同期する属性、ユーザー、グループを簡単に構成し、ユーザーのアバターを Webex に同期するかどうかを決定できます。ウィザードを使用する利点の詳細については、 Control Hub で Entra ID ウィザード アプリを設定する を参照してください。

Azure アプリケーション ギャラリーから Webex を追加する

Entra ID を使用して自動ユーザー プロビジョニングを行うように Control Hub を構成する前に、Azure アプリケーション ギャラリーから管理対象アプリケーションのリストに Webex を追加する必要があります。

すでに シングル サインオン (SSO) 用に Control Hub と Entra ID を統合している場合、Webex はすでにエンタープライズ アプリケーションに追加されているため、この手順をスキップできます。

1

https://portal.azure.com の Azure ポータルに管理者資格情報でサインインします。

2

組織の Entra ID にアクセスしてください。

3

[エンタープライズ アプリケーション] を開き、[追加] をクリックします。

4

[ギャラリーからアプリケーションを追加する] をクリックします。

5

[検索] ボックスに「Cisco Webex」と入力します。

6

結果ペインで [Webex Teams] を選択し、[追加] をクリックしてアプリケーションを追加します。

Cisco Webex アプリケーションが強調表示された「アプリケーションの追加」画面の例。

アプリケーションが正常に追加されたことを示すメッセージが表示されます。

7

同期のために追加した Webex アプリケーションが確実にユーザー ポータルに表示されないようにするには、新しいアプリケーションを開き、[プロパティ] に移動して、[ユーザーに表示][いいえ] に設定します。

「ユーザーに表示」トグルの位置を強調表示したプロパティ ページの画面。画面の下部、「メモ」フィールドのすぐ上にあります。
割り当てる groups/users Entra IDのアプリケーションに

この手順で Webex クラウドに同期するユーザーを選択できます。

Entra ID は、「割り当て」と呼ばれる概念を使用して、選択したアプリへのアクセスを許可するユーザーを決定します。自動ユーザープロビジョニングのコンテキストでは、ユーザーのみが and/or Entra ID のアプリケーションに「割り当てられている」ユーザーのグループは、Control Hub に同期されます。

Control Hub の [] Entra ID ウィザード アプリを使用して、Entra ID グループ内のユーザーと個々のグループ オブジェクトの両方を同期します。Webex は、Entra ID ウィザード アプリの外部で個々のグループを同期することはできません。

初めて統合を構成する場合は、テスト用に 1 人のユーザーを割り当て、テストが成功してから、他のユーザーとグループを追加することをお勧めします。

1

Entra ID ポータルで Webex アプリケーションを開き、 ユーザーとグループに移動します。

2

[割り当てを追加] をクリックします。

3

アプリケーションに追加するユーザーやグループを見つけます:

  • アプリケーションに割り当てる個々のユーザーを見つけます。
  • アプリケーションに割り当てるユーザーのグループを見つけます。
4

[選択] をクリックし、[割り当て] をクリックします。

Webex と同期するグループとユーザーがすべて揃うまで、この手順を繰り返します。

Entra ID を承認して、ユーザーを Control Hub 組織と同期します

この手順を使用して、Entra ID からのプロビジョニングを設定し、組織のベアラー トークンを取得します。この手順には、必要で推奨した管理設定が記載されています。

組織がすべてのユーザーに検証済みドメインを持つ必要がある場合、将来の同期では、未確認のドメインのユーザー作成は許可されません。ほとんどの Webex の政府組織は検証済みドメインを必要とします。

始める前に

Control Hub の顧客ビューから組織 ID を取得します。左下の組織名をクリックして、組織 ID をテキスト ファイルにコピーします。この値は、テナント URL を入力する際に必要になります。この値をこの記事の例として使用します。 a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Azureポータル にサインインして に移動します > エンタープライズアプリケーション > すべてのアプリケーション

2

エンタープライズ アプリケーションのリストから [Cisco Webex] を選択します。

3

[プロビジョニング] にアクセスし、[プロビジョニング モード][自動] に変更します。

Entra ID の Cisco Webex プロビジョニング画面。[プロビジョニング モード] ドロップダウン メニューをクリックして、[自動] を選択します。

Webex アプリには、Entra ID ユーザー属性と Webex ユーザー属性間のデフォルトのマッピングがいくつか含まれています。これらの属性だけでも十分ユーザーを作成できますが、この記事の後半で説明するように、属性を追加することもできます。

4

テナント URL を入力します。

Webex のオファーの URL を次の表に示します。 OrgId を特定の値に置き換えます。

表1. Webex のテナント URL
Webex のオファー使用するテナント URL
Webex (既定) https://api.ciscospark.com/v1/scim/OrgId
Webex for Government https://api-usgov.webex.com/v1/scim/OrgId

テナント URL は次のようになります。https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c.

5

以下の手順に従って、秘密トークンのベアラー トークン値を確認します。

  1. 次の URL をコピーし、シークレット ブラウザ タブで実行します。 https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose.

    上記の URL はデフォルトの Webex ID ブローカーに適用されます。政府向け Webex を使用している場合、以下の URL を使用して、ベアラー トークンを得る必要があります。

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    正しい管理者資格情報を使用して確実にサインインするには、シークレット ブラウザを使うことが重要です。ユーザーを作成できない権限の低いユーザーとしてすでにサインインしている場合、戻るベアラー トークンはユーザーを作成できます。

  2. 表示される [Webex サインイン] ページから、組織のフル管理者アカウントでログインします。

    サイトに到達できないという内容のエラーページが表示されますが、これは通常のものです。

    エラー ページの URL には生成されたベアラー トークンが含まれます。このトークンは 365 日間有効です (期限が過ぎると失効します)。

    生成されたベアラー トークンが強調表示されたエラー ページ URL の例。「access_token」の間にあるベアラトークンの値をコピーします。 =" そして "& amp;token_type=Bearer".

  3. ブラウザのアドレスバーの URL から、 access_token=&token_type=Bearerの間のベアラー トークンの値をコピーします。

    たとえば、次の URL のトークン値が強調表示されています。http://localhost:3000/auth/code#access_token={sample_token}&token_type=Bearer&expires_in=3887999&state=this-should-be-a-random-string-for-security-purpose

    URL がもう利用できない場合に備え、この値をテキスト ファイルにトークンのレコードとして保存することを推奨します。

6

Azure portal に戻り、トークン値を 秘密トークンに貼り付けます。

7

テスト接続 をクリックして、Entra ID が組織とトークンを認識していることを確認します。

正常な結果として、ユーザーのプロビジョニングを有効にするための資格情報が承認されたことが示されます。

8

プロビジョニング エラーが発生したときにメールを受信するには、[通知メール] を入力し、該当するチェックボックスをオンにします。

9

[保存] をクリックします。

この時点で、Entra ID が Webex ユーザーのプロビジョニングと同期を行うことを承認し、同期を設定する手順が完了しました。

次に行うこと

さらに多くの Entra ID ユーザー属性を Webex 属性にマッピングする場合は、次のセクションに進みます。

同期された組織に変更を加える方法については、 同期された Entra ID ユーザーの管理 ヘルプ記事を参照してください。

Entra ID から Webex にユーザー属性をマッピングする

Entra ID から Webex に追加のユーザー属性をマッピングしたり、既存のユーザー属性マッピングを変更したりするには、次の手順に従ってください。

Entra ID から Webex へのマッピングでは、すべてのユーザーの詳細が同期されるわけではありません。ユーザーデータのいくつかの面は同期化されません。

  • アバター

  • 会議室

  • 下記のテーブルにリストされていない属性

デフォルトの属性マッピングは、どうしても必要でない限り、変更しないようお勧めします。ユーザー名としてマッピングする値は特に重要です。Webex はユーザーのメール アドレスをユーザー名として使用します。デフォルトで、Azure AD の userPrincipalName (UPN) をControl Hub のメール アドレス (username) にマッピングします。

userPrincipalName が Control Hub のメールにマッピングされない場合、ユーザーは一致する既存のユーザーの代わりに、新規ユーザーとして Control Hub にプロビジョニングされます。UPN ではなく電子メール アドレス形式の別の Azure ユーザー属性を使用する場合は、Entra ID の既定のマッピングを userPrincipalName から適切な Entra ID ユーザー属性に変更する必要があります。

開始する前に

Cisco Webex アプリを Entra ID に追加して設定し、接続をテストしました。

ユーザーの同期を開始する前または後に、ユーザー属性のマッピングを変更できます。

1

Azureポータル にサインインし、 エンタープライズアプリケーションに移動します > すべてのアプリケーション

2

Cisco Webex アプリケーションを開きます。

3

[プロビジョニング] ページを選択し、[マッピング] セクションを展開し、[Azure Active Directory ユーザーをプロビジョニングする] をクリックします。

マッピング タブの場所が強調表示されたプロビジョニング ページの画面。マッピング タブは、プロビジョニング ページの上部にある管理者資格情報タブのすぐ下にあります。

4

[詳細オプションを表示] チェックボックスをオンにし、[Cisco Webex の属性リストを編集] をクリックします。

「Azure Active Directory ユーザーのプロビジョニング」ページで「詳細オプションを表示」をクリックしたときに表示されるオプションの画像。
5

Entra ID ユーザー属性から入力する Webex 属性を選択します。この属性とマッピングは、この手順の後半に示します。

属性リストの画像。リストには属性名とタイプが含まれており、属性が主キーであるか必須であるかを選択することもできます。
6

Webex 属性を選択した後、[保存][はい] の順にクリックして確認します。

属性マッピング ページが開き、Entra ID ユーザー属性を、選択した Webex ユーザー属性にマッピングできます。

7

ページ下部の [新しいマッピングを追加] をクリックします。

8

[直接] マッピングを選択します。[ソース属性] (Azure の属性) と [ターゲット属性] (Webex の属性) を選択してから、[OK] をクリックします。

新しいマッピング属性がどのようになるかの例。マッピングタイプで、[直接]を選択します。ソース属性とターゲット属性は必須です。

表 2. Entra ID から Webex へのマッピング

Entra ID属性(ソース)

Webex ユーザー属性 (ターゲット)

デフォルトで入力される属性

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

objectId

externalId

その他の使用可能な属性

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

必要なすべてのマッピングの追加または変更が完了するまで前の 2 つの手順を繰り返してから、[保存][はい] の順にクリックして、新しいマッピングを確認します。

最初からやり直す場合は、[デフォルトのマッピングを復元] を使用できます。

これでマッピングは完了です。次の同期で Webex ユーザーが作成または更新されます。