シングルサインオン

Webex SSO固有の ID を使用して、組織内のユーザーがすべての企業アプリケーションにアクセスできる権限を与える場合に使用します。管理者は Webex 管理を使用して、Webex SSOを設定できます。

シングルサイノンはサイトでのプロビジョンが必要なオプション機能です。詳細については、Cisco サポートにお問い合わせください。

SSO の設定

次の操作で SSO および SAML 2.0 を設定します。

始める前に

次の要件に適した証明書を取得し、設定を行います。

  • 標準的な SAML 2.0 または WS Federate 1.0 に準拠する ID プロバイダー (IdP)、CA SiteMinder、ADFS、Ping Identity などです。

    SAML 1.1 および WS Federate 1.0 は廃止され、Cisco Webex。

  • 信頼できる証明書を発行する機関からの企業用 X.509 公開鍵の証明書、例えば VeriSign や Thawte です。

  • ネットワーク情報および SAML システム ID で SAML アサーションユーザーアカウント提供するように構成された IdP。

  • IdP XML ファイルです。

  • 企業向け IAM サービス用 URL です。

1

Webex 管理にサインインし、[構成] [共通のサイト設定] > 、[サイト設定] の>SSOします。

2

[フェデレーションプロトコル] ドロップダウンメニューで [SAML 2.0] を選択します。

既存の設定がある場合、一部のフィールドに値がすでに埋め込まれています。

3

[サイトの証明書マネージャ] リンクを選択します。

4

[サイトの証明書マネージャ] ウィンドウで [参照] を選択し、使用する X.509 証明書の .CER ファイルを見つけます。

5

.CER ファイルを選択し、[OK] を選択します。

6

[閉じる] を選択します。

7

[SSO 構成] ページで必須情報を入力し、有効にしたいオプションを追加します。

8

[更新] を選択します。

SSO 設定ページ

次の表では [SSO 設定] ページのフィールドとオプションについて記載しています。

設定中に使用する情報は正確に入力する必要があります。サイトの SSO 設定で必要なより詳しい情報が必要な場合は、ID プロバイダに問い合わせてください。

表1。 SSO 設定ページのフィールドとオプション

フィールドまたはオプション

説明

AuthnContextClassRef

IdP での認証を記述する SAML statement。これは IAM 構成に一致する必要があります。ADFS の例:urn:federation:authentication:windows または urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping の例:urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified

複数の AuthnContextClassRef 値を使用するには、 ";;」 を追加します。例: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

自動アカウント作成 (オプション)

選択してユーザーアカウントを作成します。UID、メール、名とラストネームのフィールドがアサーションを提示する必要があります。

自動アカウント更新 (オプション)

Webex アカウントは updateTimeStamp 属性がある状態で更新できます。 IdP で変更が加われた場合、新しいタイムスタンプが Webex サイトに送信され、w はこの SAML アサーションに送信される属性を持つアカウントです。

顧客の SSO エラー URL (オプション)

エラーが発生する場合、URL に追加されるエラーコードでこの URL にリダイレクトします。

顧客 SSO サービスログイン URL

企業用シングルサインオンサービスの URL。ユーザーは通常この URL からサインインします。IdP XML ファイルにあります (例: <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

デフォルトの Webex ターゲット ページ URL (オプション)

認証時にウェブアプリケーションのみに指定されているターゲットページを表示します。

SAML メタデータ (リンク) のインポート

[フェデレーションウェブ SSO の構成 - SAML メタデータ] ダイアログボックスをクリックして開きます。インポートされたメタデータフィールドには次のものが含まれます:

  • AuthnRequestSigned の移動先

  • SAML (IdP ID) の発行者

  • 顧客 SSO サービスログイン URL

SAML (IdP ID) の発行者

URI は固有の IdP を識別します。構成は Customer IAM 中の設定と一致する必要があります。IdP XML ファイルに配置されます。例えば、entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust")

NamedID 形式

IdP 構成と一致し、以下の形式がサポートされている必要があります。

  • 指定なし

  • メールアドレス

  • X509 サブジェクト名

  • エンティティの識別子

  • 永続的な識別子

アクティブディレクトリ UPN のドメインサフィックスを削除する

選択時に User Principal Name (UPN) からアクティブディレクトリのドメインを削除します。

SSO プロファイル

ユーザーがどのように Webex サイトにアクセスしたのか指定します。ユーザー が Webex ミーティングサイト から開始し、認証のために会社の IdP システムにリダイレクトされる場合、[SP 開始] を選択します。ユーザー が社内 IAM システムから Webex サイトにアクセスする場合、[IdP 開始] を選択します。

出席者の SSO 認証

この機能により、Webex Meetings、テスト、およびパスワードを使用する内部出席者の SAML アサーションユーザー認証にWebex TrainingアビリティをWebex Events。有効時、この機能がWebex Meetingsの「参加者リストで内部ユーザータグを表示する」機能に代わりに働きます。

AuthnRequest のデジタル署名アルゴリズム

セキュリティ強化のため、SHA-1、SHA-256、または SHA-512 の署名入り証明書を生成することができます。

シングルログアウト (オプション)

サインアウトとログアウト URL を指定する場合はチェックを入れます。

IdP initiated のシングルログアウトには対応していません。

Webex SAML 発行者 (SP ID)

URI は Webex Messenger サービスを SP として識別します。構成は顧客 Identity Access Management システム中の設定と一致する必要があります。推奨する名前変換: 詳細Webex Meetingsサイト URL をWebex Meetingsします。Webex メッセンジャーサービスでは、client-domain-name の形式を使用します。例えば、IM-Client-ADFS-WebexEagle-Com)。

SAML メタデータの Webex 構成ファイルをインポートすることができます

将来インポートできる、一部のメタデータをエクスポートすることができます。インポートされたメタデータフィールドには次のものが含まれます:

  • AuthnRequestSigned の移動先

  • SAML (IdP ID) の発行者

  • 顧客 SSO サービスログイン URL

期限切れの証明書を更新する

始める前に

この機能は、Webex 管理で設定SSO、Control Hub でサイトを管理していない管理者専用です。

証明書は 2022 年 11 月までに ID プロバイダー (IdP) に更新することをお勧めします。証明書の期限が切れると、ユーザーは正常にサインインできない場合があります。

1

Webex 管理にサインインし、[構成] [共通のサイト設定] > 、[サイト設定] の>SSOします。

2

[サイト SP 証明書マネージャ] までスクロールします。

有効期限および新しい証明書の詳細(シリアル番号、有効期限、キーの詳細、ステータス、アクション)が表示されます。現在使用されている証明書はアクティブとしてマークされます。

3

新しい証明書に移動し、[証明書のエクスポート] をクリックします。

画面の下部にある [ メタデータ をエクスポート] をクリックして、新しい証明書でメタデータをダウンロードできます。

新しい証明書ファイルの有効期間が 1 年後に切れます。管理者は警告通知を確認する必要があります。

4

新しい証明書ファイルを ID プロバイダー (IdP) にアップロードします。

5

新しい証明書の [アクティブ ] ラジオ ボタンを選択します。

6

[アップデート] をクリックします。

新しい証明書が有効になります。

7

新しい証明書をテストします。

証明書の更新時のよくある質問

Q. すべての管理者がこの機能に影響を受けていますか?

回答いいえ、Webex 管理でシステムをSSO管理者だけが影響を受ける可能性があります。

Q. 期限日前に管理者が証明書を更新しなかった場合はどうなりますか?

回答証明書の有効期間が切れ、ユーザーは Webex に正常にサインインできない場合があります。証明書は 2023 年 10 月までに更新することをお勧めします。

証明書の有効期限が切れている場合でも、サイト管理にサインインして、対応する ID プロバイダーに新しい証明書を更新してアクティベートすることができます。証明書を更新する際に問題に直面した場合、管理者のチームWebex Supportします。

Q. 新しい証明書はどのくらい有効ですか?

回答新しい証明書は約 1 年間有効です。Webex オペレーションチームは既存の証明書の期限が切れる 2 ヶ月前に新しい証明書を生成します。これにより、期限日の前に証明書を計画し、更新する時間が提供されます。