クロスドメイン アイデンティティ管理のシステム (SCIM)

ディレクトリのユーザーと Control Hub の間のインテグレーションは、クロスドメイン アイデンティティ管理システム (SCIM) API を使用します。 SCIM は、アイデンティティ ドメインまたは IT システム間のユーザー アイデンティティ情報の交換を自動化するオープン標準です。 SCIM は、クラウドベースのアプリケーションおよびサービスでのユーザー アイデンティティの管理を容易にするように設計されています。 SCIM は、REST を通じて標準化された API を使用しています。


 

Entra ID は null 値を同期しません。 属性値を NULL に設定しても、削除されたり、 Webexで NULL 値がパッチされたりすることはありません。 この制限によってユーザーが影響を受ける場合は、 Microsoftのサポートに連絡してください。

Azure AD ウィザード アプリ

Control Hub で Azure AD ウィザードアプリを使用して、 Webexとのユーザーとグループの同期を簡素化します。 ウィザード アプリを使用すると、同期する属性、ユーザー、グループを簡単に構成でき、ユーザーのアバターをWebexに同期するかどうかを決定できます。 参照先Control Hub で Azure AD ウィザードアプリをセットアップするに移動して、ウィザードを使用する利点の詳細を確認します。

Entra ID で自動ユーザープロビジョニングのために Control Hub を設定する前に、Entra ID アプリケーション ギャラリーから Webex を管理対象アプリケーションのリストに追加する必要があります。


 

Webex Control Hub とシングル サインオン (SSO) 用の Entra ID を統合している場合、Cisco Webex はすでにエンタープライズ アプリケーションに追加されているため、この手順をスキップできます。

1

https://portal.azure.com の Azure ポータルに管理者資格情報でサインインします。

2

組織の Entra ID に移動します。

3

[エンタープライズ アプリケーション] を開き、[追加] をクリックします。

4

[ギャラリーからアプリケーションを追加する] をクリックします。

5

[検索] ボックスに「Cisco Webex」と入力します。

6

結果ペインで [Webex Teams] を選択し、[追加] をクリックしてアプリケーションを追加します。

アプリケーションが正常に追加されたことを示すメッセージが表示されます。

7

同期のために追加した Webex アプリケーションが確実にユーザー ポータルに表示されないようにするには、新しいアプリケーションを開き、[プロパティ] に移動して、[ユーザーに表示][いいえ] に設定します。

この手順で Webex クラウドに同期するユーザーを選択できます。

Entra ID は「割り当て」という概念を使用して、選択したアプリへのアクセスをどのユーザーが受け取るべきかを決定します。 自動ユーザ プロビジョニングのコンテキストでは、Entra ID のアプリケーションに「割り当てられた」ユーザおよび/またはユーザのグループだけが Control Hub に同期されます。


 

Control Hub の Azure AD ウィザード アプリ を使用して、Entra ID グループ内の両方のユーザーと個々のグループ オブジェクトを同期します。 Webex は Azure AD ウィザード アプリの外で個々のグループを同期できません。

初めて統合を構成する場合は、テスト用に 1 人のユーザーを割り当て、テストが成功してから、他のユーザーとグループを追加することをお勧めします。

1

Entra ID ポータルで Webex アプリケーションを開き、[ユーザーとグループ] に移動します。

2

[割り当てを追加] をクリックします。

3

アプリケーションに追加するユーザーやグループを見つけます:

  • アプリケーションに割り当てる個々のユーザーを見つけます。
  • アプリケーションに割り当てるユーザーのグループを見つけます。
4

[選択] をクリックし、[割り当て] をクリックします。

Webex と同期するグループとユーザーがすべて揃うまで、この手順を繰り返します。

この手順を使用して、Entra ID からプロビジョニングを設定し、組織のベアラートークンを取得します。 この手順には、必要で推奨した管理設定が記載されています。


 
組織がすべてのユーザーに検証済みのドメインを持っている必要があると強制する場合、今後の同期では未検証のドメインでユーザーを作成することはできません。 ほとんどの政府Webexの組織では、検証済みドメインが必要です。

始める前に

Control Hub の顧客ビューから組織IDを取得します。 左下の組織名をクリックし、 組織IDをテキストファイルに変換します。 テナントURLを入力する際に、この値が必要になります。 この記事では例としてこの値を使用します。 a35bfbc6-ccbd-4a17-a488-72gf46c5420c

1

Azure ポータル にサインインし、 > エンタープライズアプリケーション > すべてのアプリケーション

2

エンタープライズ アプリケーションのリストから [Cisco Webex] を選択します。

3

[プロビジョニング] にアクセスし、[プロビジョニング モード][自動] に変更します。

Webex アプリには、Entra ID ユーザー属性と Webex ユーザー属性の間のデフォルトのマッピングが含まれています。 これらの属性だけでも十分ユーザーを作成できますが、この記事の後半で説明するように、属性を追加することもできます。

4

テナント URL を入力します。

Webex のオファーの URL を次の表に示します。 以下を置換: OrgId 特定の値で置換します。

表 1. Webex のテナント URL
Webex のオファー使用するテナント URL
Webex (既定)https://api.ciscospark.com/v1/scim/OrgId
Webex for Governmenthttps://api-usgov.webex.com/v1/scim/OrgId

テナント URL は次のようになります。 https://api.ciscospark.com/v1/scim/a35bfbc6-ccbd-4a17-a488-72gf46c5420c です。

5

以下の手順に従って、秘密トークンのベアラー トークン値を確認します。

  1. 次の URL をコピーし、シークレット ブラウザ タブで実行します。 https://idbroker.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose です。


     
    上記の URL はデフォルトの Webex ID ブローカーに適用されます。 政府Webexを使用している場合、以下のURLを使用してベアラー トークンを確認します。

    https://idbroker-f.webex.com/idb/oauth2/v1/authorize?response_type=token&client_id=C4ca14fe00b0e51efb414ebd45aa88c1858c3bfb949b2405dba10b0ca4bc37402&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2Fauth%2Fcode&scope=spark%3Apeople_read%20spark%3Apeople_write%20Identity%3ASCIM&state=this-should-be-a-random-string-for-security-purpose

    正しい管理者資格情報を使用して確実にサインインするには、シークレット ブラウザを使うことが重要です。 すでにユーザーを作成できない、権限のないユーザーとしてサインインしている場合、返されるベアラー トークンではユーザーを作成できません。

  2. 表示される [Webex サインイン] ページから、組織のフル管理者アカウントでログインします。

    サイトに到達できないという内容のエラーページが表示されますが、これは通常のものです。

    エラー ページのURLには、生成されたベアラー トークンが含まれています。 このトークンは 365 日間有効です (期限が過ぎると失効します)。

  3. このブラウザのアドレス バーにある URL から、ベアラー トークンの値を次の二者間でコピーします。 access_token= および &token_type=Bearer です。

    たとえば、次の URL のトークン値が強調表示されています。 http://localhost:3000/auth/code#access_token = {sample_token } (&)token_type =保持者(&)expires_in =3887999&state=これはセキュリティのためのランダム文字列である必要があります。


     

    URLが使用できなくなった場合に備えて、この値をトークンのレコードとしてテキスト ファイルに保存することをお勧めします。

6

Azure portal に戻り、トークン値を 秘密トークンに貼り付けます。

7

[接続のテスト] をクリックして、Entra ID が組織とトークンを認識していることを確認します。

正常な結果として、ユーザーのプロビジョニングを有効にするための資格情報が承認されたことが示されます。

8

プロビジョニング エラーが発生したときにメールを受信するには、[通知メール] を入力し、該当するチェックボックスをオンにします。

9

[保存] をクリックします。

この時点で、Entra ID に Webex ユーザーのプロビジョニングと同期を許可し、同期を設定する手順を完了しました。

次に行うこと

さらに多くの Entra ID ユーザー属性を Webex 属性にマッピングする場合は、次のセクションに進みます。

同期された組織に変更を加える方法については、「同期された Entra ID ユーザーの管理」のヘルプ記事を参照してください。

次の手順に従って、Entra ID から Webex に追加のユーザー属性をマッピングするか、既存のユーザー属性マッピングを変更します。


 

Entra ID から Webex へのマッピングでは、すべてのユーザーの詳細が同期されません。 ユーザー データの一部は同期されません。

  • アバター

  • 会議室

  • 下の表に記載されていない属性

デフォルトの属性マッピングは、どうしても必要でない限り、変更しないようお勧めします。 ユーザー名としてマッピングする値は特に重要です。 Webex はユーザーのメール アドレスをユーザー名として使用します。 デフォルトで、Azure AD の userPrincipalName (UPN) をControl Hub のメール アドレス (username) にマッピングします。

userPrincipalName が Control Hub のメールにマッピングされない場合、ユーザーは一致する既存のユーザーの代わりに、新規ユーザーとして Control Hub にプロビジョニングされます。 UPN の代わりにメール アドレス形式の別の Azure ユーザー属性を使用する場合は、Entra ID のデフォルトのマッピングを userPrincipalName から適切な Entra ID ユーザー属性に変更する必要があります。

始める前に

Entra ID に Cisco Webex アプリを追加して設定し、接続をテストしました。

ユーザーの同期を開始する前または後に、ユーザー属性のマッピングを変更できます。

1

Azure ポータル にサインインし、[エンタープライズ アプリケーション > すべてのアプリケーション] の順に移動します。

2

Cisco Webex アプリケーションを開きます。

3

[プロビジョニング] ページを選択し、[マッピング] セクションを展開し、[Azure Active Directory ユーザーをプロビジョニングする] をクリックします。

4

[詳細オプションを表示] チェックボックスをオンにし、[Cisco Webex の属性リストを編集] をクリックします。

5

Entra ID ユーザー属性から入力する Webex 属性を選択します。 この属性とマッピングは、この手順の後半に示します。

6

Webex 属性を選択した後、[保存][はい] の順にクリックして確認します。

[属性マッピング] ページが開き、選択した Webex ユーザー属性に Entra ID ユーザー属性をマッピングできます。

7

ページ下部の [新しいマッピングを追加] をクリックします。

8

[直接] マッピングを選択します。 [ソース属性] (Azure の属性) と [ターゲット属性] (Webex の属性) を選択してから、[OK] をクリックします。

表 2. Entra ID から Webex へのマッピング

Entra ID 属性 (ソース)

Webex ユーザー属性 (ターゲット)

デフォルトで入力される属性

userPrincipalName

userName

Switch([IsSoftd], , "False", "True", "True", "False")

active

displayName

displayName

surname

name.familyName

givenName

name.givenName

objectId

externalId

その他の使用可能な属性

jobTitle

title

usageLocation

addresses[type eq "work"].country

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

9

必要なすべてのマッピングの追加または変更が完了するまで前の 2 つの手順を繰り返してから、[保存][はい] の順にクリックして、新しいマッピングを確認します。


 

最初からやり直す場合は、[デフォルトのマッピングを復元] を使用できます。

これでマッピングは完了です。次の同期で Webex ユーザーが作成または更新されます。