シングル サインオンと Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを不要にします。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Webex クラウドとお使いの ID プロバイダー (IdP) の間で SSO 認証を提供するために使用されます。

プロファイル

Webex は Web ブラウザーの SSO プロファイルのみをサポートします。 Web ブラウザーの SSO プロファイルでは、Webex は以下のバインドをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NamedID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Webex は次の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータで、最初のエントリは Webex で使用するために設定されます。

Control Hub を Microsoft Azure に統合する


この設定ガイドでは、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対し網羅的な設定を提供するものではありません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Webex 組織 (WebexWebex MeetingsControl Hub で管理されるその他のサービスなど) のユーザーを対象に、このインテグレーションをセットアップします。 Webex サイトが Control Hub で統合されている場合、その Webex サイトはユーザー管理を引き継ぎます。 この方法で Webex Meetings にアクセスできず、Control Hub で管理されていない場合、Webex Meetings で SSO を有効にするには、個別にインテグレーションを実行する必要があります。 (サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください)

始める前に

SSO および Control Hub では、IdP は SAML 2.0 の仕様を満たす必要があります。 加えて、IdP は以下のように設定されている必要があります。


Azure Active Directory で、プロビジョニングは手動モードでのみサポートされています。 本書はシングル サインオン(SSO)統合のみを取り上げます。

Webex メタデータをローカルのシステムにダウンロードする

1

https://admin.webex.com の顧客ビューから、[設定] に移動して、[認証] までスクロールします。

2

[変更] をクリックして、[サードパーティ アイデンティティ プロバイダーの統合] をクリックします。 (高度)をクリックし、[次へ] をクリックします。

3

メタデータ ファイルをダウンロードします。

Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

シングル サインオン アプリケーションの設定を Azure で設定する

始める前に

  • Azure Active Directory とは何か」を参照して、Azure Active Directory の IdP 機能について理解しておいてください。

  • Azure Active Directory を設定します。

  • ローカル ユーザーを作成するか、オンプレミス アクティブディレクトリ システムと同期します。

  • Control Hub からダウンロードした Webex メタデータ ファイルを開きます。

  • 関連チュートリアルが Microsoft ドキュメント サイトにあります。

1

https://portal.azure.com の Azure ポータルに管理者資格情報でサインインします。

2

組織の Azure Active Directory に進みます。

3

[エンタープライズ アプリケーション] を開き、[追加] をクリックします。

4

[ギャラリーからアプリケーションを追加する] をクリックします。

5

[検索] ボックスに「Cisco Webex」と入力します。

6

結果ペインで [Webex Teams] を選択し、[追加] をクリックしてアプリケーションを追加します。

アプリケーションが正常に追加されたことを示すメッセージが表示されます。

7

シングル サインオン 用に追加した Webex アプリケーションが確実にユーザー ポータルに表示されないようにするには、新しいアプリケーションを開き、[プロパティ] に移動し、[ユーザーに表示する][いいえ] に設定します。

8

シングル サインオンを設定する:

  1. アプリケーション合意書を作成した後で、[シングル サインオン] タブに進み、[シングル サインオン方法の選択] の下で、[SAML] を選択します。

  2. [SAML でシングル サインオンをセットアップ] ページで、[編集] アイコンをクリックして、[基本的な SAML 構成] を開きます。

  3. [メタデータ ファイルのアップロード] をクリックして、Control Hub からダウンロードしたメタデータ ファイルを選択します。

    一部のフィールドは自動的に記入されます。

  4. 返信 URL の値をコピーしてサインオン URL に貼り付け、変更を保存します。

9

[管理] > [ユーザーとグループ] に移動し、Webex へのアクセス権を付与する適用可能なユーザーとグループを選択します。

10

[SAML でシングル サインオンをセットアップする] ページの [SAML の署名証明書] セクションで、[ダウンロード] をクリックして フェデレーション メタデータ XML をダウンロードし、自分のコンピュータに保存します。

11

[プロパティ] ページで [ユーザーに表示][いいえ] に設定されていることを確認します。

Webex アプリをユーザーに表示する機能はサポートされていません。

IdP メタデータをインポートし、テスト後シングル サインオンを有効化する

Webex メタデータをエクスポートし、IdP を設定して IdP メタデータをローカルのシステムにダウンロードすると、お使いの Webex 組織に Control Hub からインポートする準備が整います。

始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。 サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • ブラウザーの [Control Hub - ディレクトリ メタデータのエクスポート] ページに戻り、[次へ] をクリックします。
  • Control Hub がブラウザー タブを開いていない場合は、https://admin.webex.com の顧客ビューから [設定] に進み、[認証] までスクロールして、[サードパーティ アイデンティティ プロバイダーを統合する(高度)] を選択し、その後、信頼できるファイル ページ上で [次へ] をクリックします(以前に一度実行済みのため)。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

できればより安全なオプション ([証明機関が署名した証明書がメタデータに必要です]) を使用してください。 これは、IdP がパブリック CA を使用してメタデータに署名した場合にのみ可能です。

その他の場合は、安全性の低いオプション ([メタデータ内に自己署名証明書を含めることも可能です]) を使用する必要があります。 たとえば、メタデータに署名がない場合、自己署名の場合、プライベート CA が署名した場合などです。

3

[SSO 接続をテストする] を選択し、新しいブラウザー タブが開いたとき、IdP でサイン インすることで認証します。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

通常、Webex エラーは SSO セットアップの問題です。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合、このテストは成功しましたを選択してください。 [シングル サインオン] オプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 [シングル サインオン] オプションを無効化し、[次へ] をクリックする。

次に行うこと

自動化されているメールを抑制する」の手順に従って、組織の新しい Webex ユーザーに送信されるメールを無効にすることができます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

Azure Active Directory インテグレーションのトラブルシューティング

SAML テストを行うときに、Mozilla Firefox を使用していて、SAML トレーサーをインストールしていることを確認してください https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Azure からのアサーションをチェックし、正しい NamedID 形式が使用されており、Webex のユーザーに一致する属性 UID を持っていることを確認します。