シングル サインオンと Cisco Webex Teams

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーション プロトコルは、Cisco Webex クラウドとお使いの ID プロバイダー (IdP) の間の SSO 認証を提供するために使用されます。

プロファイル

Cisco Webex Teams Web ブラウザー SSO プロファイルのみをサポートします。 ウェブ ブラウザー SSO プロファイルでは、Cisco Webex Teams は以下のバインディングをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NamedID 形式

SAML 2.0 プロトコルは、特定のユーザーについて通信するためにいくつかの NameID 形式をサポートします。Cisco Webex Teams は次の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータにおいて、最初のエントリは Cisco Webex で設定されます。

SingleLogout

Cisco Webex Teams は、シングル ログアウト プロファイルをサポートします。 Cisco Webex Teams アプリにおいて、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることにより、セッションを終了し、IdP でのサインアウトを確認することができます。 IdP が SingleLogout に対して構成されていること確認してください。

シングル サインオン向け Google アプリと Cisco Webex Control Hub を統合する


この設定は、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対して徹底的な設定を提供しません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Cisco Webex 組織 (Cisco Webex TeamsCisco Webex MeetingsCisco Webex Control Hub のその他のサービスを含む) のユーザーに対して、このインテグレーションをセットアップします。 WebexCisco Webex Control Hub で統合されている場合、Webex は、ユーザー管理を引き継ぎます。 この方法で Cisco Webex Meetings にアクセスできず、Cisco Webex Control Hub で管理されない場合、Cisco Webex Meetings で SSO を有効にするには、別の統合を実施する必要があります。 (サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください。)

始める前に

SSO および Cisco Webex Control Hub について、IdP は SAML 2.0 仕様を満たしていなければなりません。 加えて、IdPs は以下のように設定されている必要があります。
  • NameID 形式の属性を urn:oasis:names:tc:SAML:2.0:nameid-format:transient に設定します

  • IdP でクレームを設定して、Cisco Directory Connector で選択された属性または Cisco Webex アイデンティティ サービスで選択された属性と一致するユーザー属性にマッピングされた値を持つ uid 属性名を含めます。 (この属性はたとえば、E-mail-Addresses または User-Principal-Name となる場合があります。) 指針については、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

  • サポートされているブラウザを使用する。 最新版の Mozilla Firefox または Google Chrome を推奨します。

  • ブラウザーのポップアップブロッカー機能をすべて無効化します。

Cisco Webex メタデータをお使いのローカル システムにダウンロードする

1

https://admin.webex.comの顧客ビューから、[設定] に移動して、[認証] までスクロールします。

2

[変更] をクリックして、[サードパーティ アイデンティティ プロバイダーの統合] をクリックします。 (高度)をクリックし、[次へ] をクリックします。

3

メタデータ ファイルをダウンロードします。

Cisco Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

カスタムアプリを Google 管理設定で設定する

1

https://admin.google.com管理者権限を持つアカウントを使用して Google Apps 管理コンソール () にサインインしてから、[アプリ] をクリックし ます。

2

アプリビューから SAML アプリをクリックします。

3

SAML アプリページ上で、プラス (+) ボタンとポップアップ ページでクリックし、[自分のカスタム アプリをセットアップする] を選択します。

4

オプション 2 セクションの Google Idp 情報ページ上でダウンロードをクリックし、ファイルをお使いのローカルシステムの見つけやすい場所に保存します。

Google メタデータ ファイルがダウンロードされました。 ファイル名の形式は GoogleIDPMetadata です<domain name>。に移動します。

5

[次へ] をクリックします。

6

カスタム アプリの基本情報ページ上で、アプリケーション名 Cisco Webex Teams を入力し、[次へ] をクリックします。

7

サービス プロバイダーの詳細ページに入力するには、テキスト エディターで先程ダウンロードした Cisco Webex メタデータファイルを開きます。

  1. Cisco WebexAssertionConsumerService" の " メタデータを検索し、ロケーション キーワードに続く URL をコピーし、サービス プロバイダー詳細ページの ACS URL フィールドにペーストします。

    例:

    https://idbroker.webex.com/idb/Consumer/metaAlias/a35bfbc6-ccbd-4a17-a499-72fa46cec25c/sp
  2. Cisco Webex[entityID]" の " メタデータを検索し、[サービス プロバイダーの詳細] ページの [Entity ID] フィールドに続く URL をコピーします。

    例:

    https://idbroker.webex.com/a35bfbc6-ccbd-4a17-a499-72fa46cec25c
  3. "Name ID" は、基本情報およびプライマリ メールに設定されている必要があります。

  4. "Name ID Format" は、UNSPECIFIED と設定される必要があります。

  5. 属性マッピングは必須ではありませんので、属性マッピングページでは、 FINISH とクリックします。

Cisco Webex SAML アプリが作成されたら、ユーザーが使用可能な状態にしてください。

8

Cisco Webex SAML アプリの右側にある垂直の点をクリックし、次のうち 1 つを選択します。

  • すべての人にとって
  • いくつかの組織にとって (それから組織を選択する)

IdP メタデータをインポートし、テスト後シングル サインオンを有効化する

Cisco Webex メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカル システムにダウンロードします。これでお使いの Cisco Webex 組織に Control Hub からインポートする準備ができました。

1

1 つを選択します。

  • ブラウザーの [Cisco Webex Control Hub– ディレクトリ メタデータのエクスポート] ページに戻り、[次へ] をクリックします。
  • Control Hub がブラウザー タブを開いていない場合は、https://admin.webex.com の顧客ビューから [設定] に進み、[認証] までスクロールして、[サードパーティ アイデンティティ プロバイダーを統合する(高度)] を選択し、その後、信頼できるファイル ページ上で [次へ] をクリックします(以前、それを行っているため)。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

メタデータに署名が行われていない場合、自己署名の証明書で署名されている場合、またはプライベートなエンタープライズ証明機関により署名されている場合には、[メタデータの証明機関によって署名された証明書を要求する (よりセキュア)] を使用することを推奨します。 証明書が自己署名されている場合は、安全性の低いオプションを選択する必要があります。

3

[SSO 接続のテスト]を選択して、新しいブラウザ タブが開いたら、サインインすることによって、IdP で認証します。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

Webex Teams エラーは通常、SSO セットアップのことを意味します。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合、このテストは成功しましたを選択してください。 [シングル サインオン] オプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 [シングル サインオン] オプションを無効化し、[次へ] をクリックする。

次のタスク

[自動メールの抑制] の手順に従って、組織の新しい Webex Teams ユーザーに送信されるメールを無効にすることができます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。