- ホーム
- /
- 投稿記事
コメントありがとうございます。
F5 Big-IP と統合された Control Hub でシングル サインオンを設定する
この記事の内容
フィードバックがある場合Control Hub と、F5 Big-IP を ID プロバイダー (IdP) として使用する展開の間で、シングル サインオン (SSO) インテグレーションを設定できます。
シングル サインオンと Control Hub
シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。
Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Webex クラウドとお使いの ID プロバイダー (IdP) の間で SSO 認証を提供するために使用されます。
プロファイル
Webex アプリは Web ブラウザーの SSO プロファイルのみをサポートします。Web ブラウザーの SSO プロファイルでは、Webex アプリ は以下のバインドをサポートします。
-
SP 初期化済み POST -> POST バインディング
-
SP 初期化済み REDIRECT -> POST バインディング
NameID 形式
SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。Webex アプリは次の NameID 形式をサポートします。
-
urn:oasis:names:tc:SAML:2.0:nameid-format:transient -
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified -
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
IdP から読み込んだメタデータで、最初のエントリは Webex で使用するために設定されます。
SingleLogout
Webex アプリは、シングル ログアウト プロファイルをサポートします。Webex アプリでは、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることによりセッションを終了し、IdP でのサインアウトを確認できます。IdP が SingleLogout に対して構成されていることを確認してください。
Control Hub を F5 Big-IP と統合する
この設定ガイドでは、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対し網羅的な設定を提供するものではありません。たとえば、 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient の統合手順が文書化されています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress などの他の形式は SSO 統合には機能しますが、ドキュメントの範囲外です。
Webex 組織のユーザーについて、このインテグレーションをセットアップします (Webex アプリ、Webex Meetings、その他の Control Hub で管理されるサービスなど)。Webex サイトが Control Hub で統合されている場合、その Webex サイトはユーザー管理を引き継ぎます。この方法で Webex Meetings にアクセスできず、Control Hub で管理されていない場合、Webex Meetings で SSO を有効にするには、個別にインテグレーションを実行する必要があります。
始める前に
SSO および Control Hub では、IdP は SAML 2.0 の仕様を満たす必要があります。加えて、IdP は以下のように設定されている必要があります。
Webex メタデータをローカル システムにダウンロードする
| 1 | |
| 2 |
. |
| 3 |
アイデンティティプロバイダ タブに移動し、 SSO のアクティブ化をクリックします。 |
| 4 |
IdP を選択します。 |
| 5 |
組織の証明書タイプを選択します。
信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。 |
| 6 |
メタデータ ファイルをダウンロードします。 Webex メタデータ ファイル名は idb-meta-<org-ID>-SP.xmlです。 |
外部サービス プロバイダーおよびID プロバイダーを設定する
| 1 |
BIG-IP F5 管理インターフェースから、 を開きます。 |
| 2 |
外部 SP コネクタから を選択します。 |
| 3 |
サービス プロバイダー名には、<yourorganizationname>.ciscowebex.com など、わかりやすい名前を入力してください。 |
| 4 |
セキュリティ設定で、以下のチェックボックスにチェックを入れてください。
|
| 5 |
に戻り、新しいID プロバイダ (IdP) サービスを作成します。 |
| 6 |
IdP サービス名に、CI などの意味のある名称を入力してください。 |
| 7 |
IdP エンティティ ID の場合、Big-IP サーバーの FQDN の前に何かを追加して使用します。たとえば、「https://bigip0a.uc8sevtlab13.com/CI」などです。 |
| 8 |
[アサーション設定]で、[アサーションサブジェクトの種類]に[一時的な識別子]を選択します。 |
| 9 |
[アサーション サブジェクト値]に、ユーザーのメールの値 %{session.ad.last.attr.mail} が戻ります。 |
| 10 |
属性メールおよび uid と値 %{session.ad.last.attr.mail} が戻ります。 |
| 11 |
セキュリティ設定で、アサーションに署名する証明書を選択します。 |
| 12 |
変更を保存し、サービス プロバイダと作成した ID プロバイダを結合させます。 |
F5 Big-IP メタデータをダウンロードする
| 1 |
[IDP サービスをエクスポート] を選択します。 |
| 2 |
[メタデータに署名] の値が [はい] になっていることを確認します。 |
| 3 |
メタデータ ファイルをデスクトップまたは見つけやすい場所にダウンロードします。 |
アクセス ポリシーを追加する
| 1 |
[アクセスポリシー] > [(アクセス プロファイル] > [SAML] の順に移動し、作成した IdP の SAML リソースを作成します。 |
| 2 |
アクセス プロファイルを開き、WebEx Messenger CAS で使用するアクセスポリシーを編集します。 |
| 3 |
[ログオン] タブの新規アイテムを [ログオン ページ] 名に追加し、デフォルトの値はそのままにします。 |
| 4 |
[認証]タブの新規アイテムを AD Auth の名称で追加し、サーバーとしての Active Directory を指定します。 |
| 5 |
成功したブランチで、[認証]タブから AD クエリーを追加します。 |
| 6 |
[ブランチ ルール]を開き、[AD クエリーは渡されました]に変更します。 |
| 7 |
AD クエリーの成功したブランチで、[指定] タブから [高度なリソースアサイン] を追加します。 |
| 8 |
[追加/削除]をクリックし、すべての SAML リソースを持つ [SAML] および作成した[Webtop]の 2 つのリソースを追加します。 |
| 9 |
[終了を選択する] に対して、[許可] を選択します。 アクセスポリシーは以下のスクリーンショットのように表示されます。  |
アクセス プロファイルを仮想サーバーに関連付ける
作成した仮想サーバーを持つアクセス プロファイルを関連付ける必要があります。
| 1 |
を開きます。 |
| 2 |
アクセスプロファイルを開き、バーチャル サーバーがプロファイルに関連付けられていないことを確認します。 |
| 3 |
高度なリソース指定を選択します。 |
| 4 |
追加/削除を選択し、新しい SAML リソースを追加します。 |
| 5 |
アクセス ポリシー デザイン ウィンドウを閉じ、新しいアクセス ポリシーを適用します。 |
IdP メタデータをインポートし、テスト後にシングル サインオンを有効にする
Webex メタデータをエクスポートし、IdP を設定して IdP メタデータをローカルのシステムにダウンロードすると、お使いの Webex 組織に Control Hub からインポートする準備が整います。
始める前に
ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。
| 1 |
1 つを選択します。
|
| 2 |
「IdP メタデータのインポート」ページで、IdP メタデータ ファイルをページにドラッグ アンド ドロップするか、ファイル ブラウザ オプションを使用してメタデータ ファイルを見つけてアップロードします。[次へ] をクリックします。
可能な場合は [安全性が高い] オプションを使用してください。これは、IdP がパブリック CA を使用してメタデータに署名した場合にのみ可能です。 それ以外のすべての場合、[安全性が低い] オプションを使用する必要があります。たとえば、メタデータに署名がない場合、自己署名の場合、プライベート CA が署名した場合などです。 Okta はメタデータに署名しないため、Okta SSO インテグレーションには [安全性が低い] を選択する必要があります。 |
| 3 |
SSO セットアップのテストを選択し、新しいブラウザ タブが開いたら、サインインして IdP で認証します。 認証エラーを受け取った場合、証明書に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。 通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。 SSO サインイン エクスペリエンスを直接見るには、この画面から [URL をクリップボードに貼り付け] をクリックして、それをプライベート ブラウザー ウィンドウに貼り付けることもできます。そこから、SSO のサインインをウォークスルーできます。このステップにより、既存セッションに存在する可能性があるアクセストークンによる誤判定でサインインできなくなるのを回避できます。 |
| 4 |
Control Hub ブラウザー タブに戻ります。
最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。 |
次に行うこと
[Okta ユーザーを Cisco Webex Control Hub に同期する] の手順を使用して、Webex クラウドに Okta からのユーザー プロビジョニングを実行します。
Entra ID から Webex クラウドへのユーザー プロビジョニングを実行する場合は、 Microsoft Entra ID ユーザーを Cisco Webex Control Hub に同期する の手順を使用します。
自動メールの抑制 の手順に従って、組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。
