クロスドメイン アイデンティティ管理のシステム (SCIM)

ディレクトリのユーザーと Control Hub の間のインテグレーションは、クロスドメイン アイデンティティ管理システム (SCIM) API を使用します。 SCIM は、アイデンティティ ドメインまたは IT システム間のユーザー アイデンティティ情報の交換を自動化するオープン標準です。 SCIM は、クラウドベースのアプリケーションおよびサービスでのユーザー アイデンティティの管理を容易にするように設計されています。 SCIM は、REST を通じて標準化された API を使用しています。


 

Azure AD は null 値を同期しません。 属性値を NULL に設定しても、削除されたり、 Webexで NULL 値がパッチされたりすることはありません。 この制限によってユーザーが影響を受ける場合は、 Microsoftのサポートに連絡してください。

Azure AD ウィザード アプリ

Control Hub で Azure AD ウィザードアプリを使用して、 Webexとのユーザーとグループの同期を簡素化します。 ウィザード アプリを使用すると、同期する属性、ユーザー、グループを簡単に構成でき、ユーザーのアバターをWebexに同期するかどうかを決定できます。 参照先Control Hub で Azure AD ウィザードアプリをセットアップするに移動して、ウィザードを使用する利点の詳細を確認します。

Azure Application Gallery から Cisco Webex を追加する

Azure AD で自動的にユーザーをプロビジョニングするために Webex Control Hub を設定する前に、Azure AD アプリケーション ギャラリーから管理対象アプリケーションのリストに Cisco Webex を追加する必要があります。


 

すでに シングル サインオン (SSO) のために Webex Control Hub が Azure に統合されている場合、Cisco Webex はすでにエンタープライズ アプリケーションに追加されているため、この手順をスキップすることができます。

1

https://portal.azure.com の Azure ポータルに管理者資格情報でサインインします。

2

組織の Azure Active Directory に進みます。

3

[エンタープライズ アプリケーション] を開き、[追加] をクリックします。

4

[ギャラリーからアプリケーションを追加する] をクリックします。

5

[検索] ボックスに「Cisco Webex」と入力します。

6

結果ペインで [Webex Teams] を選択し、[追加] をクリックしてアプリケーションを追加します。

アプリケーションが正常に追加されたことを示すメッセージが表示されます。

7

同期のために追加した Webex アプリケーションが確実にユーザー ポータルに表示されないようにするには、新しいアプリケーションを開き、[プロパティ] に移動して、[ユーザーに表示][いいえ] に設定します。

Azure AD のアプリケーションにグループやユーザーを割り当てる

この手順で Webex クラウドに同期するユーザーを選択できます。

Azure AD は「割り当て」と呼ばれる概念を使用して、どのユーザーに選択したアプリへのアクセスを与えるかを決定します。 自動ユーザー プロビジョニングの場合は、Azure AD のアプリケーションに割り当てられたユーザーやユーザーのグループのみが、Control Hub に同期されます。


 

Webex は Azure AD グループのユーザーを同期できますが、グループ オブジェクト自体は同期しません。

初めて統合を構成する場合は、テスト用に 1 人のユーザーを割り当て、テストが成功してから、他のユーザーとグループを追加することをお勧めします。

1

Azure ポータルで Cisco Webex アプリケーションを開き、[ユーザーとグループ] に移動します。

2

[割り当てを追加] をクリックします。

3

アプリケーションに追加するユーザーやグループを見つけます:

  • アプリケーションに割り当てる個々のユーザーを見つけます。
  • アプリケーションに割り当てるユーザーのグループを見つけます。
4

[選択] をクリックし、[割り当て] をクリックします。

Webex と同期するグループとユーザーがすべて揃うまで、この手順を繰り返します。

Azure がユーザーを Control Hub 組織と同期させることを承認する

この手順を使用して、Azure AD からのプロビジョニングを設定し、組織のベアラー トークンを取得します。 この手順には、必要で推奨した管理設定が記載されています。


 
組織がすべてのユーザーに検証済みのドメインを持っている必要があると強制する場合、今後の同期では未検証のドメインでユーザーを作成することはできません。 ほとんどの政府Webexの組織では、検証済みドメインが必要です。

始める前に

Control Hub の顧客ビューから組織IDを取得します。 左下の組織名をクリックし、 組織IDをテキストファイルに変換します。 テナントURLを入力する際に、この値が必要になります。 この記事では例としてこの値を使用します。 a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Azure ポータル にサインインして、[Azure Active Directory] > [Enterprise アプリケーション] > [すべてのアプリケーション] に移動します

2

エンタープライズ アプリケーションのリストから [Cisco Webex] を選択します。

3

[プロビジョニング] にアクセスし、[プロビジョニング モード][自動] に変更します。

Webexアプリには、Azure AD ユーザー属性とWebexユーザー属性の間にいくつかのデフォルト マッピングが含まれています。 これらの属性だけでも十分ユーザーを作成できますが、この記事の後半で説明するように、属性を追加することもできます。

4

テナント URL を入力します。

Webex のオファーの URL を次の表に示します。 以下を置換: OrgId 特定の値で置換します。

表 1. Webex のテナント URL
Webex のオファー使用するテナント URL
Webex (既定) https://api.ciscospark.com/v1/scim/OrgId
Webex for Government https://api-usgov.webex.com/v1/scim/OrgId

テナント URL は次のようになります。 https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c になる場合があります。

5

以下の手順に従って、秘密トークンのベアラー トークン値を確認します。

  1. 次の URL をコピーし、シークレット ブラウザ タブで実行します。 https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose になる場合があります。


     
    上記の URL はデフォルトの Webex ID ブローカーに適用されます。 政府Webexを使用している場合、以下のURLを使用してベアラー トークンを確認します。

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    正しい管理者資格情報を使用して確実にサインインするには、シークレット ブラウザを使うことが重要です。 すでにユーザーを作成できない、権限のないユーザーとしてサインインしている場合、返されるベアラー トークンではユーザーを作成できません。

  2. 表示される [Webex サインイン] ページから、組織のフル管理者アカウントでログインします。

    サイトに到達できないという内容のエラーページが表示されますが、これは通常のものです。

    エラー ページのURLには、生成されたベアラー トークンが含まれています。 このトークンは 365 日間有効です (期限が過ぎると失効します)。

  3. このブラウザのアドレス バーにある URL から、ベアラー トークンの値を次の二者間でコピーします。 access_token= および &token_type=Bearer になる場合があります。

    たとえば、次の URL のトークン値が強調表示されています。 http://localhost:3000/auth/code#access_token = {sample_token } (&)token_type =保持者(&)expires_in =3887999&state=これはセキュリティのためのランダム文字列である必要があります。


     

    URLが使用できなくなった場合に備えて、この値をトークンのレコードとしてテキスト ファイルに保存することをお勧めします。

6

Azure portal に戻り、トークン値を 秘密トークンに貼り付けます。

7

クリックテスト接続を実行して、Azure AD が組織とトークンを認識していることを確認します。

正常な結果として、ユーザーのプロビジョニングを有効にするための資格情報が承認されたことが示されます。

8

プロビジョニング エラーが発生したときにメールを受信するには、[通知メール] を入力し、該当するチェックボックスをオンにします。

9

[保存] をクリックします。
この時点で、Webex ユーザーをプロビジョニングおよび同期する権限を Azure AD に与え、同期のセットアップ手順が完了しました。

次に行うこと

さらに Azure AD ユーザー属性をWebex属性にマッピングする場合は、次のセクションに進みます。

同期された組織に変更を加える方法の詳細については、「同期された Azure Active Directory ユーザーを管理する」のヘルプ記事を参照してください。

Azure から Webex にユーザー属性をマップする

この手順を行うと、追加のユーザー属性を Azureから Webex にマップしたり、既存のユーザー属性のマッピングを変更したりできます。


 

Azure からWebexへのマッピングでは、ユーザーの詳細がすべて同期されるわけではありません。 ユーザー データの一部は同期されません。

  • アバター

  • 会議室

  • 下の表に記載されていない属性

デフォルトの属性マッピングは、どうしても必要でない限り、変更しないようお勧めします。 ユーザー名としてマッピングする値は特に重要です。 Webex はユーザーのメール アドレスをユーザー名として使用します。 デフォルトで、Azure AD の userPrincipalName (UPN) をControl Hub のメール アドレス (username) にマッピングします。

userPrincipalName が Control Hub のメールにマッピングされない場合、ユーザーは一致する既存のユーザーの代わりに、新規ユーザーとして Control Hub にプロビジョニングされます。 UPN の代わりにメール アドレス形式の別の Azure ユーザー属性を使用する場合、Azure AD のデフォルトのマッピングを userPrincipalName から適切な Azure AD のユーザー属性に変更する必要があります。

始める前に

Cisco Webex アプリを Azure Active Directory に追加して構成し、接続をテストしておいてください。

ユーザーの同期を開始する前または後に、ユーザー属性のマッピングを変更できます。

1

Azure ポータル にサインインして、 [Azure Active Directory] > [Enterprise アプリケーション] > [すべてのアプリケーション] に移動します。

2

Cisco Webex アプリケーションを開きます。

3

[プロビジョニング] ページを選択し、[マッピング] セクションを展開し、[Azure Active Directory ユーザーをプロビジョニングする] をクリックします。

4

[詳細オプションを表示] チェックボックスをオンにし、[Cisco Webex の属性リストを編集] をクリックします。

5

Azure のユーザー属性を使用して入力される Webex 属性を選択します。 この属性とマッピングは、この手順の後半に示します。

6

Webex 属性を選択した後、[保存][はい] の順にクリックして確認します。

[属性のマッピング] ページが開き、選択した Webex ユーザー属性に Azure AD ユーザー属性をマップできるようになります。

7

ページ下部の [新しいマッピングを追加] をクリックします。

8

[直接] マッピングを選択します。 [ソース属性] (Azure の属性) と [ターゲット属性] (Webex の属性) を選択してから、[OK] をクリックします。

表 2. Azure から Webex へのマッピング

Azure Active Directory 属性 (ソース)

Webex ユーザー属性 (ターゲット)

デフォルトで入力される属性

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

objectId

externalId

その他の使用可能な属性

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value
9

必要なすべてのマッピングの追加または変更が完了するまで前の 2 つの手順を繰り返してから、[保存][はい] の順にクリックして、新しいマッピングを確認します。


 

最初からやり直す場合は、[デフォルトのマッピングを復元] を使用できます。

これでマッピングは完了です。次の同期で Webex ユーザーが作成または更新されます。