シングルサインオンと Webex Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Webex クラウドとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

プロファイル

Cisco Webex Teams は、Web ブラウザの SSO プロファイルのみをサポートします。 Web ブラウザ SSO プロファイルでは、Cisco Webex Teams は以下のバインディングをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NamedID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Webex Teams は、以下の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータにおいて、最初のエントリは Cisco Webex で設定されます。

SingleLogout

Cisco Webex Teams は、シングル ログアウト プロファイルをサポートします。 Cisco Webex Teams アプリにおいて、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることにより、セッションを終了し、IdP でのサインアウトを確認することができます。 IdP が SingleLogout に対して構成されていること確認してください。

シングル サインオン向け PingFederate で Cisco Webex Control Hub を統合する


この設定は、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対して徹底的な設定を提供しません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Cisco Webex 組織のユーザー (Cisco Webex Teams、Cisco Webex Meetings、および Cisco Webex Control Hub で管理されているその他のサービスを含む) のために、この統合をセットアップします。 Webex が Cisco Webex Control Hub で統合されている場合、Webex はユーザー管理を引き継ぎます。 この方法で Cisco Webex Meetings にアクセスできず、Cisco Webex Control Hub で管理されない場合、Cisco Webex Meetings で SSO を有効にするには、別の統合を実施する必要があります。 (サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください。)

始める前に

SSO および Cisco Webex Control Hub については、IdPs は SAML 2.0 仕様を満たしていなければなりません。 加えて、IdP は以下のように設定されている必要があります。
  • NameID 形式の属性を urn:oasis:names:tc:SAML:2.0:nameid-format:transient に設定します

  • IdP でクレームを設定して、Cisco Directory Connector で選択された属性または Cisco Webex アイデンティティ サービスで選択された属性と一致するユーザー属性にマッピングされた値を持つ uid 属性名を含めます。 (この属性はたとえば、E-mail-Addresses または User-Principal-Name となる場合があります。) 指針については、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

  • サポートされているブラウザを使用する。 最新版の Mozilla Firefox または Google Chrome を推奨します。

  • ブラウザーのポップアップブロッカー機能をすべて無効化します。

Cisco Webex メタデータをお使いのローカル システムにダウンロードする

1

https://admin.webex.comの顧客ビューから、[設定] に移動して、[認証] までスクロールします。

2

[変更] をクリックして、[サードパーティ アイデンティティ プロバイダーの統合] をクリックします。 (高度)をクリックし、[次へ] をクリックします。

3

メタデータ ファイルをダウンロードします。

Cisco Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

新規サービス プロバイダ接続を設定する

1

PingFederate Administration ポータル (https://<FQDN of="" PingFederate="">:9999/pingfederate/app) に移動します。

2

[SP CONNECTIONS][新規作成]を選択します。

3

[この接続にテンプレートを使わないでください] ラジオボタンを選択し、 [次へ] を選択します。

4

[ブラウザ SSO プロファイル]を選択し、 [次へ] をクリックします。

5

[メタデータをインポートする]タブを選択します。

6

[ファイルを選択する] をクリックして Cisco Webex Control Hub からダウンロードしたメタデータ ファイルを参照およびインポートし、[次へ].をクリックします。

7

情報を一般情報タブで検討し、[完了] をクリックします。

ブラウザのシングル サインオンを設定する

1

PingFederate 管理ポータルサイトから [ブラウザ SSO 設定する] を選択します。

2

SP-Initiated SSO チェックボックスをチェックし、[次へ] をクリックします。

3

[アサーション作成を設定する] を選択します。

  1. NameID 形式を一時的 に変更し、一時的な標識に加えて属性を含める チェックボックスをチェックします。

  2. メールurn:oasis:names:tc:SAML:2.0:attrname-format-basic 形式のuid 属性を追加して契約属性を延長し、[次へ] をクリックします。

  3. [新しいアダプター インスタンスをマッピングする] を選択して、認証メカニズムを選択します。 ADAPTER INSTANCE ドロップダウンから、設定済み認メカニズムの いずれかを選択し、[次へ] をクリックします。

  4. マッピングを 1つ使用して複数のデータストアから追加の属性を検索するラジオボタンを選択し、 [次へ] をクリックします。

  5. [属性ソースを追加する]を選択して Active Directory ドメイン コントローラーをそのドメインに追加し、 [次へ] をクリックします。

  6. [Base DN] を指定して、ルート オブジェクト クラス <Show All="" Attributes=""> を選択します。 フィルタテキストボックスで LDAP フィルタを入力し、 [次へ] をクリックします。

    この入力は、ユーザーが提供することが見込まれる属性を含んでいる必要があります。 また、LDAP ソースにマッピングする値も含む必要があります。 例えば、 active directory が Windows のログイン属性上のフィルタに設定されている場合、sAMAccountName=${Username} を入力します。

  7. ソースと値を選択して AD データストアが提供した属性を持つアサーション属性にマッピングします。 (発行基準には何も入力しないでください。)

  8. アサーション設定で、ID マッピング一時的に設定され、属性契約uid に設定され、アダプター インスタンス1に設定されていることを確認します。


     

    uid 属性をユーザーのメール アドレスにマッピングする必要があります。

4

[プロトコル設定を設定する]を選択します。

  1. 許可される SAML 義務については、 [POST] および[リダイレクト] チェックボックスのみをチェックします。

  2. 署名ポリシーについては、[常時 SAML アサーションで署名する]を選択します。

    プロトコル設定は以下のように表示されます。

  3. [資格情報を設定する] を選択し、アサーションの証明書を設定します。

  4. SAML アサーション用に作成済みの証明書を選択します。

5

[アクティベーションおよび概要] スクリーン上で、接続ステータスをアクティブに設定します。

PingFederate メタデータのエクスポート

1

メインスクリーンで、[すべての SP を管理する] をクリックします。

2

作成した接続を見つけ、[メタデータをエクスポートする] をクリックします。

3

証明書を選択して、ドロップダウンからエクスポートされたファイルに署名するために使用します。

4

[エクスポート] をクリックします。

IdP メタデータをインポートし、テスト後シングル サインオンを有効化する

Cisco Webex メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカル システムにダウンロードします。Control Hub からお使いの Cisco Webex 組織にインポートする準備ができました。

始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。 サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • ブラウザーの [Cisco Webex Control Hub – ディレクトリ メタデータのエクスポート] ページに戻り、[次へ] をクリックします。
  • Control Hub がブラウザー タブを開いていない場合は、https://admin.webex.com の顧客ビューから [設定] に進み、[認証] までスクロールして、[サードパーティ アイデンティティ プロバイダーを統合する(高度)] を選択し、その後、信頼できるファイル ページ上で [次へ] をクリックします(以前、それを行っているため)。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

メタデータに署名が行われていない場合、自己署名の証明書で署名されている場合、またはプライベートなエンタープライズ証明機関により署名されている場合には、[メタデータの証明機関によって署名された証明書を要求する (よりセキュア)] を使用することを推奨します。 証明書が自己署名されている場合は、安全性の低いオプションを選択する必要があります。

3

[SSO 接続のテスト]を選択して、新しいブラウザ タブが開いたら、サインインすることによって、IdP で認証します。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

Webex Teams エラーは通常、SSO セットアップのことを意味します。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合、このテストは成功しましたを選択してください。 [シングル サインオン] オプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 [シングル サインオン] オプションを無効化し、[次へ] をクリックする。

次のタスク

[自動メールの抑制] の手順に従って、組織の新しい Webex Teams ユーザーに送信されるメールを無効にすることができます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。