シングル サインオンと Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Webex クラウドとお使いの ID プロバイダー (IdP) の間で SSO 認証を提供するために使用されます。

プロファイル

Webex アプリは Web ブラウザーの SSO プロファイルのみをサポートします。Web ブラウザーの SSO プロファイルでは、Webex アプリ は以下のバインドをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NameID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。Webex アプリは次の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータで、最初のエントリは Webex で使用するために設定されます。

Control Hub を Microsoft Azure に統合する

Webex は、認証要求ごとに 1 つの IdP のみをサポートします。認証フローは次のとおりです。ユーザー > Webex認証 > IdP 1 > Webex認証 > ユーザー。つまり、異なるユーザーは異なる IdP を使用して認証できますが、ユーザーは単一の認証プロセス中に複数の IdP を切り替えることはできません。MFA などの追加手順は、特定のリクエストに使用される単一の IdP と統合する必要があります。

この設定ガイドでは、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対し網羅的な設定を提供するものではありません。たとえば、 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient の統合手順が文書化されています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress などの他の形式は SSO 統合には機能しますが、ドキュメントの範囲外です。

Webex 組織のユーザーについて、このインテグレーションをセットアップします (Webex アプリ、Webex Meetings、その他の Control Hub で管理されるサービスなど)。Webex サイトが Control Hub で統合されている場合、その Webex サイトはユーザー管理を引き継ぎます。この方法で Webex Meetings にアクセスできず、Control Hub で管理されていない場合、Webex Meetings で SSO を有効にするには、個別にインテグレーションを実行する必要があります。

始める前に

SSO および Control Hub では、IdP は SAML 2.0 の仕様を満たす必要があります。加えて、IdP は以下のように設定されている必要があります。

  • Azure Active Directory で、プロビジョニングは手動モードでのみサポートされています。本書はシングル サインオン(SSO)統合のみを取り上げます。
  • 以前のフェデレーション構成を使用している既存の Webex 顧客は、SAML 属性の変更により、標準の Entra ID Webex テンプレートで問題が発生する可能性があります。以前の SAML 設定を使用してこれを解決するには、カスタム Entra ID フェデレーションを設定することをお勧めします。互換性を確保し、不一致に対処するために、Control Hub SSO テストを必ず実施してください。

Webex メタデータをローカル システムにダウンロードする

1

Control Hub にサインインします。

2

管理へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動し、 SSO のアクティブ化をクリックします。

4

IdP を選択します。

5

組織の証明書タイプを選択します。

  • Cisco による自己署名—この選択をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公的証明機関によって署名されている— より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない限り)。

信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。

6

メタデータ ファイルをダウンロードします。

Webex メタデータ ファイル名は idb-meta-<org-ID>-SP.xmlです。

Azure で SSOアプリケーション設定を構成する

始める前に

  • Azure Active Directory とは何か」を参照して、Azure Active Directory の IdP 機能について理解しておいてください。

  • Azure Active Directory を設定します。

  • ローカル ユーザーを作成するか、オンプレミス アクティブディレクトリ システムと同期します。

  • Control Hub からダウンロードした Webex メタデータ ファイルを開きます。

  • 関連チュートリアルが Microsoft ドキュメント サイトにあります。

1

https://portal.azure.com の Azure ポータルに管理者資格情報でサインインします。

2

Azure サーバーアイコンが表示されない 場合Active Directory サービス] を クリックします

3

組織の Azure Active Directory に進みます。

4

[エンタープライズ アプリケーション] を開き、[追加] をクリックします。

5

[ギャラリーからアプリケーションを追加する] をクリックします。

6

[検索] ボックスに「Cisco Webex」と入力します。

7

結果のペインで [削除] を Cisco Webex、[作成] をクリック してアプリケーション を追加します。

8

サイトのために追加した Webex アプリケーションがシングル サインオンポータルに表示されていない場合は、新しいアプリケーションを開きます。[管理 ] の下で、[ プロパティ] をクリックし、[ユーザーに 表示しますか?] を [いいえ]設定します

Webex アプリをユーザーに表示する機能はサポートされていません。

9

シングル サインオンを設定する:

  1. [管理 ] の下で [シングル サインオン] をクリックし、[シングル サインオン方法の選択] の下で、[SAML] を選択 します

  2. メタデータ ファイルのアップロード をクリックし、Control Hub からダウンロードしたメタデータ ファイルを選択します。

    Azure でメタデータ ファイルをインポートする

    一部のフィールドは自動的に記入されます。

  3. [管理] の下、[SAML でシングル サインオンをセットアップ] をクリックし、[編集] アイコンをクリックして、[基本的な SAML 構成] を開きます

  4. 返信 URL の値をコピーしてサインオン URL に貼り付け、変更を保存します。

10

管理へ移動 > ユーザーとグループを選択し、Webex アプリへのアクセスを許可する該当するユーザーとグループを選択します。

11

[SAML でシングル サインオンをセットアップする] ページの [SAML の署名証明書] セクションで、[ダウンロード] をクリックして フェデレーション メタデータ XML をダウンロードし、自分のコンピューターに保存します。

IdP メタデータをインポートし、テスト後にシングル サインオンを有効にする

Webex メタデータをエクスポートし、IdP を設定して IdP メタデータをローカルのシステムにダウンロードすると、お使いの Webex 組織に Control Hub からインポートする準備が整います。

始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • ブラウザで「Control Hub – 証明書選択」ページに戻り、 をクリックします。
  • ブラウザ タブで Control Hub が開いていない場合は、再度開きます。コントロールハブの顧客ビューから、 管理 に移動します。 > 安全 > 認証、IdPを選択し、 アクション を選択します。 > メタデータをインポート
2

「IdP メタデータのインポート」ページで、IdP メタデータ ファイルをページにドラッグ アンド ドロップするか、ファイル ブラウザ オプションを使用してメタデータ ファイルを見つけてアップロードします。[次へ] をクリックします。

可能な場合は [安全性が高い] オプションを使用してください。これは、IdP がパブリック CA を使用してメタデータに署名した場合にのみ可能です。

それ以外のすべての場合、[安全性が低い] オプションを使用する必要があります。たとえば、メタデータに署名がない場合、自己署名の場合、プライベート CA が署名した場合などです。

Okta はメタデータに署名しないため、Okta SSO インテグレーションには [安全性が低い] を選択する必要があります。

3

SSO セットアップのテストを選択し、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

認証エラーを受け取った場合、証明書に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを直接見るには、この画面から [URL をクリップボードに貼り付け] をクリックして、それをプライベート ブラウザー ウィンドウに貼り付けることもできます。そこから、SSO のサインインをウォークスルーできます。このステップにより、既存セッションに存在する可能性があるアクセストークンによる誤判定でサインインできなくなるのを回避できます。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSO をオンにし[次へ] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。SSO をオフにし[次へ] をクリックします。

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

次に行うこと

[Okta ユーザーを Cisco Webex Control Hub に同期する] の手順を使用して、Webex クラウドに Okta からのユーザー プロビジョニングを実行します。

Azure AD から Webex クラウドにユーザープロビジョニングを実行する場合、Azure Active Directory ユーザーを Cisco Webex Control Hub に同期するための手順を使用します。

自動メールの抑制 の手順に従って、組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

Azure インテグレーションのトラブルシューティング

SAML テストを行うときに、Mozilla Firefox を使用していて、SAML トレーサーをインストールしていることを確認してください https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Azure からのアサーションをチェックし、正しい NameID 形式が使用されており、Webex アプリのユーザーに合う属性 UID を持っていることを確認します。