シングル サインオンと Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを不要にします。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Webex クラウドとお使いの ID プロバイダー (IdP) の間で SSO 認証を提供するために使用されます。

プロファイル

Webex アプリは Web ブラウザーの SSO プロファイルのみをサポートします。 Web ブラウザーの SSO プロファイルでは、Webex アプリ は以下のバインドをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NameID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Webex アプリは次の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータで、最初のエントリは Webex で使用するために設定されます。

SingleLogout

Webex アプリは、シングル ログアウト プロファイルをサポートします。 Webex アプリでは、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることによりセッションを終了し、IdP でのサインアウトを確認できます。 IdP が SingleLogout に対して構成されていることを確認してください。

Control Hub を PingFederate と統合する

この設定ガイドでは、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対し網羅的な設定を提供するものではありません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Webex 組織のユーザーについて、このインテグレーションをセットアップします (Webex アプリWebex Meetings、その他の Control Hub で管理されるサービスなど)。 Webex サイトが Control Hub で統合されている場合、その Webex サイトはユーザー管理を引き継ぎます。 この方法で Webex Meetings にアクセスできず、Control Hub で管理されていない場合、Webex Meetings で SSO を有効にするには、個別にインテグレーションを実行する必要があります。 (サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください)

始める前に

SSO および Control Hub では、IdP は SAML 2.0 の仕様を満たす必要があります。 加えて、IdP は以下のように設定されている必要があります。

Webex メタデータをローカル システムにダウンロードする

1

https://admin.webex.com の顧客ビューから、[管理] > [組織の設定] に移動し、[認証] までスクロールして、[シングル サインオン] 設定に切り替えて、セットアップ ウィザードを開始します。
2

組織の証明書タイプを選択します。

  • Cisco による自己署名 - この選択を推奨します。 当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • パブリック認証局による署名 - より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない限り)。

 

信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。 詳細については、IdP ドキュメントを参照してください。
3

メタデータ ファイルをダウンロードします。

Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

新しいサービス プロバイダー接続を設定する

1

PingFederate 管理ポータル (https://<FQDN of PingFederate>:9999/pingfederate/app ) に https://<FQDN of PingFederate>:9999/pingfederate/app)。

2

[SP CONNECTIONS][新規作成]を選択します。
3

[この接続にテンプレートを使わないでください] ラジオボタンを選択し、 [次へ] を選択します。
4

[ブラウザ SSO プロファイル]を選択し、 [次へ] をクリックします。
5

[メタデータをインポートする]タブを選択します。
6

[ファイルを選択する] をクリックして Control Hub からダウンロードしたメタデータ ファイルを参照およびインポートし、[次へ] をクリックします。
7

情報を一般情報タブで検討し、[完了] をクリックします。

ブラウザーのシングル サインオンを設定する

1

PingFederate 管理ポータルサイトから [ブラウザ SSO 設定する] を選択します。
2

SP-Initiated SSO チェックボックスをチェックし、[次へ] をクリックします。
3

[アサーション作成を設定する] を選択します。

  1. NameID 形式を一時的 に変更し、一時的な標識に加えて属性を含める チェックボックスをチェックします。

  2. メールurn:oasis:names:tc:SAML:2.0:attrname-format-basic 形式のuid 属性を追加して契約属性を延長し、[次へ] をクリックします。

  3. [新しいアダプター インスタンスをマッピングする] を選択して、認証メカニズムを選択します。 ADAPTER INSTANCE ドロップダウンから、設定済み認証メカニズムのいずれかを選択し、[次へ] をクリックします。

  4. マッピングを 1つ使用して複数のデータストアから追加の属性を検索するラジオボタンを選択し、 [次へ] をクリックします。

  5. [属性ソースを追加する]を選択して Active Directory ドメイン コントローラーをそのドメインに追加し、 [次へ] をクリックします。

  6. [Base DN] を指定して、ルート オブジェクト クラス <Show All Attributes> を選択します。 フィルタテキストボックスで LDAP フィルタを入力し、 [次へ] をクリックします。

    この入力は、ユーザーが提供することが見込まれる属性を含んでいる必要があります。 また、LDAP ソースにマッピングする値も含む必要があります。 例えば、 active directory が Windows のログイン属性上のフィルタに設定されている場合、sAMAccountName=${Username} を入力します。

  7. ソースと値を選択して AD データストアが提供した属性を持つアサーション属性にマッピングします。 (発行基準には何も入力しないでください。)

  8. アサーション設定で、[アイデンティティ マッピング][一時的] に設定され、[属性契約][uid] に設定され、[アダプター インスタンス][1] に設定されていることを確認します。


     

    uid 属性をユーザーのメール アドレスにマッピングする必要があります。
4

[プロトコル設定を設定する]を選択します。

  1. 許可される SAML 義務については、 [POST] および[リダイレクト] チェックボックスのみをチェックします。

  2. 署名ポリシーについては、[常時 SAML アサーションで署名する]を選択します。

    プロトコル設定は以下のように表示されます。

  3. [資格情報を設定する] を選択し、アサーションの証明書を設定します。

  4. SAML アサーション用に作成済みの証明書を選択します。
5

[アクティベーションおよび概要] スクリーン上で、[接続ステータス][アクティブ] に設定します。

PingFederate からメタデータをエクスポートする

1

メインスクリーンで、[すべての SP を管理する] をクリックします。
2

作成した接続を見つけ、[メタデータをエクスポートする] をクリックします。
3

証明書を選択して、ドロップダウンからエクスポートされたファイルに署名するために使用します。
4

[エクスポート] をクリックします。

IdP メタデータをインポートし、テスト後にシングル サインオンを有効にする

Webex メタデータをエクスポートし、IdP を設定して IdP メタデータをローカルのシステムにダウンロードすると、お使いの Webex 組織に Control Hub からインポートする準備が整います。

始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。 サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • Control Hub に戻る - ブラウザーの証明書選択ページに戻り、[次へ] をクリックします。
  • ブラウザー タブに Control Hub が開いていない場合は、https://admin.webex.com の顧客ビューから、[管理] > [組織の設定] に進み、[認証] までスクロールして、[アクション] > [メタデータをインポート] を選択します。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

可能な場合は [安全性が高い] オプションを使用してください。 これは、IdP がパブリック CA を使用してメタデータに署名した場合にのみ可能です。

それ以外のすべての場合、[安全性が低い] オプションを使用する必要があります。 たとえば、メタデータに署名がない場合、自己署名の場合、プライベート CA が署名した場合などです。
3

[SSO セットアップのテスト] を選択し、新しいブラウザー タブが開いたら、サインインすることで IdP の認証を受けます。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

 

SSO サインイン エクスペリエンスを直接見るには、この画面から [URL をクリップボードに貼り付け] をクリックして、それをプライベート ブラウザー ウィンドウに貼り付けることもできます。 そこから、SSO のサインインをウォークスルーできます。 このステップにより、既存セッションに存在する可能性があるアクセストークンによる誤判定でサインインできなくなるのを回避できます。
4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。 SSO をオンにし[次へ] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。 SSO をオフにし[次へ] をクリックします。

 

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

次に行うこと

自動化されているメールを抑制する」の手順に従って、組織の新しい Webex アプリ ユーザーに送信されるメールを無効にできます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。