シングル サインオン プロバイダーの証明書を変更するには?

シングル サインオン プロバイダーの証明書を変更するには?

ADFS 証明書を更新するには?

 

Cisco Webexは、シングル サインオン プロバイダーに対して定期的なメンテナンスを実施するための資料やガイダンスを提供していません。

Webex テクニカル サポートは、この情報を必要とする ADFS 顧客が次の Microsoft Support の記事が役立つことを発見しました。


メモ:
  • Cisco Webex は、この情報の正確性や特定の展開に対する関連性を保証するものではありません。
  • さらにサポートが必要な場合は、シングル サイン オン ベンダーに問い合わせてください。

証明書およびWebex による SAML 2.0 仕様の導入に関する一般的なガイダンス:

一般的に、SSO が動作するには、IDP と呼ばれる Identity 管理サービス、一般的にIDP、および Webex サイト管理 または Webex Messenger 管理ポータルとの間に現在および有効な信頼関係がある必要があります。 (それぞれの Cisco Webex Meetings スイートまたは Cisco Webex メッセンジャーの顧客の場合)

これは、SAML アサーションパーティが SAML 応答に署名することで、SAML で実現します。 Webex では SAML アサーションに公開署名証明書を含める必要はありません。しかし、トラブルシューティングの場合は、SAML 応答にこれを含めるのは良い方法です。 Webex はアサーションに署名する必要があります。 応答にも署名できますが、これは必要ありません。また、Webex は応答からアサーションへ証明書の署名を継承しません。

記憶するべき重要なポイントは次のとおりです。
  • SAML アサーションに署名するために使用する証明書は最新のものであり、使用している Webex サービスの管理ページにアップロードされた証明書と一致する必要があります。
  • HTTPS のようなプロトコル ネゴシエーションではなく、証明書の手動アップロードを通じて信頼関係が確立されると、証明書が CA によって署名される必要があります。
  • Webex 管理にアップロードされた証明書は、最良の結果を得る上で、base-64 でエンコードされた PEM 形式の .cer ファイルでなければなりません。

証明書アップグレード実行のベストプラクティス:

Cisco Webex はこのメンテナンスに対して、最小限のダウンタイムをスケジュールすることをお勧めします。 IDP での証明書の変更と証明書の変更の間、Webex 管理ポータルのユーザーはログインできません。 すでに認証されている主催者/出席者、および現在の認証セッションを持つ Jabber ユーザーには影響しません。 メモ: Jabber から Jabber 通話を使用する Jabber ユーザーは、他のサービスの認証セッションの長さにかかわらず、24 時間ごとに Webex サービス を認証する必要があります。 メンテナンス中に Jabber ユーザーが Webex サービス を認証しようとすると、「無効な応答メッセージ (29)」メッセージを受け取り、認証を試みるアカウントを持つ Webex Business Suite の主催者と出席者は、「SAML アサーションを検証するための間違った X.509 証明書(8)」というエラーを受け取ります。

前提条件:
  • IDP および Webex 管理ページにアップロードする準備ができている秘密鍵と公開鍵の証明書を用意してください。
  • Webex Business Suite サイト管理者は、管理者アカウントのパスワードを持っています。
    • メンテナンスを開始する前に、パスワードを設定することができます。
    • メンテナンス開始後にパスワードを忘れた場合、アカウントにログインするアクセス権が失い、別のサイト管理者または Webex テクニカル サポートの支援を受け直すだけになります。
  • Webex Messenger の管理者はまた、SSO が動作しないときに認証が必要な場合にログインするためのユーザー名とパスワードを持っています。
Webex サイト管理での新しい証明書の更新については、次を参考してください。 Cisco Webex サイトのシングル サインオンを設定する

トラブルシューティング:

新しい証明書を更新した後で認証できない場合は、次の手順を試してください。
  • 証明書が IDP に正常にアップロードされたことを確認します。
  • Webex 管理ポータルが正しい証明書を表示していることを確認してください。
  • IDP が SAML 応答を提供していることを確認します。
    • Webex テクニカル サポートは一般的に Chrome、Firefox、Internet Explorer の組み込みソフトウェア開発者ツールを使用して、SAMLResponse が IDP により提供されていることを検証します。
    • Webex テクニカル サポートは、一般的に Fiddler と呼ばれるサードパーティ アプリケーションを使用して、アプリケーションまたはブラウザーから行われた HTTPS トランザクションのログを収集します。
  • SAML 応答に含まれる証明書が正しい証明書を含むことを確認します。
追加の支援:

サポートが必要な場合は、Cisco Webex テクニカル サポートに連絡してください。

Webex テクニカル サポートは、IDP ベンダーに対し、SSO 構成や実装について具体的な指示を提供することはできません。しかし、エラー メッセージとデバッグに関する一般的なガイダンスを提供できます。
 

この投稿記事は役に立ちましたか?

関連の投稿記事
関連の投稿記事 上矢印 開かれています