シングル サインオン (SSO) を使用すると、組織の共通 ID プロバイダーに認証することで、ユーザーは Webex に安全にサインインできます。 ID プロバイダー (IdP) は、ユーザーのデジタル ID を安全に保存および管理し、Webex ユーザーにユーザー認証サービスを提供します。

複数の IdP が必要な理由

多くの大企業はM&Aを受け、これらの企業はほとんど同じITインフラストラクチャとIDプロバイダーを持っていません。 政府機関には、その下にさまざまな組織や機関があります。 多くの場合、これらの組織はそれぞれ独自のIT部門とインフラストラクチャ用の単一のメールアドレスを持っています。 主要な教育機関には、中央購買部門がありますが、異なるIT組織や部門を持つさまざまな大学やカレッジがあります。

IdPs とサービス プロバイダー (SP) が互いにフェデレーションしていることはよくあります。 IdP はユーザーの資格情報を認証する責任があり、SP は IdP による認証を信頼します。 これにより、ユーザーは、同じデジタルIDを使用してさまざまなSaaSアプリケーションとサービスにアクセスできます。 しかし、何らかの理由で組織が IdP 間でフェデレーションできない場合、Webex は複数の IdP をサポートするための回避策を提供します。 これらの理由から、Webex で複数の IdP に対して SSO を設定し、ユーザーの認証プロセスを簡素化するオプションを提供します。

制限事項

  • この機能は、Webex 拡張セキュリティ パックを購入した場合にのみ利用できます。
  • 組織で Directory Connector を使用している場合は、すべてのユーザーを Directory Connector でプロビジョニングする必要があります。 詳細については、「Directory Connector導入ガイド」を参照してください。
  • 現在、ID プロバイダーとして SAML、OpenID Connect、および Webex Identity のみをサポートしています。

範囲外

  • グループ割り当てを設定します。
  • ドメインの検証。 詳細については、「ドメインの管理」を参照してください。

このセクションでは、ID プロバイダー (IdP) を Webex 組織と統合する方法について説明します。 組織の要件に最も適した IdP を選択できます。

Webex Meetings サイト (サイト管理で管理) の SSO インテグレーションをお探しの場合は、「Webex 管理のシングル サインオンを設定する」を参照してください。

始める前に

以下の条件が満たされていることを確認してください。

  • Control Hub で複数の IdP を使用して SSO を設定するには、Webex 拡張セキュリティ パックが必要です。
  • Control Hub でフル管理者のロールを持っている必要があります。
  • IdP から Webex に与えるメタデータ ファイルと Webex から与えるメタデータ ファイル。 詳細については、「Control Hub でのシングルサインオン統合」を参照してください。 これは SAML 設定にのみ適用されます。
  • 複数の IdP を設定する前に、ルーティング ルールの動作を計画する必要があります。

 
初期の IdP を設定すると、デフォルトのルーティング ルールが適用されます。 ただし、別の IdP をデフォルトとして設定できます。 この記事の「ルーティングルール」タブの「ルーティングルールの追加または編集」を参照してください。
1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン] までスクロールし、[SSOとIdPの管理] をクリックして設定ウィザードを開始します。

3

IdP として SAML を選択し、[次へ] をクリックします。

4

証明書タイプを選択します。

  • Cisco による自己署名 - この選択を推奨します。 当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • パブリック認証局による署名—より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしている場合を除く)。

 
信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。 詳細については、IdP ドキュメントを参照してください。
5

[メタデータのダウンロード] をクリックし、[次へ] をクリックします。

Webex アプリのメタデータのファイル名は idb-meta--SP.xml です。<org-ID>

6

IdPs メタデータ ファイルをアップロードするか、設定フォームに記入します。

メタデータ ファイルをアップロードする場合、顧客 IdP からメタデータを検証する方法は 2 つあります。

  • 顧客 IdP は、公的ルート CA により署名されたメタデータの署名を提供します。
  • 顧客 IdP は事故署名のプライベート CA を提供するか、メタデータには署名を提供しません。 このオプションは安全性が薄れます。
それ以外の場合は、設定フォームで IdP 情報を入力します。

[次へ] をクリックします。

7

(オプション)から Webex ユーザー名またはプライマリ メール アドレスの SAML 属性の名前を変更できます。 uid IdPマネージャーと合意した何か、例えば emailupn など。

8

(オプション) ジャストインタイム (JIT) 設定と SAML マッピング応答を設定します。

この記事のIdPの管理タブのジャストインタイム(JIT)およびSAMLマッピングの設定を参照してください。
9

[SSO設定のテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。


 

有効にする前に、 SSO接続をテストします。 このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーを受信すると、資格情報に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。


 

SSOサインインを確認するには、この画面からURLをクリップボードにコピーをクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。 そこから、SSO のサインインをウォークスルーできます。 これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザにキャッシュされた情報を削除するのに役立ちます。

10

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。 SSO と IdP を有効にし、[有効化] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。 エラーを修正するには、前の手順に戻ります

 
最初のオプション ボタンを選択して SSO を有効にしない限り、組織で SSO 設定は有効になりません。

次に行うこと

ルーティング ルールを設定できます。 この記事の「ルーティングルール」タブの「ルーティングルールの追加または編集」を参照してください。

組織内の新しい Webex アプリ ユーザーに送信されたメールを無効にするには、「自動メールの抑制」の手順に従います。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン] までスクロールし、[SSOとIdPの管理] をクリックして設定ウィザードを開始します。

3

IdP として [OpenID Connect] を選択し、[次へ] をクリックします。

4

IdP 情報を入力します。

  • Name:IdP を識別する名前。
  • クライアントID—あなたとあなたのIdPを識別する一意のID。
  • クライアントシークレット—あなたとあなたの IdP が知っているパスワード。
  • Scopes—IdP に関連付けるスコープ。
5

エンドポイントを追加する方法を選択します。 これは自動または手動で行うことができます。

  • 検出 URL を使用:IdP の設定 URL を入力します。
  • エンドポイント情報を手動で追加する—次の情報を入力します。

    • 発行元
    • 認証エンドポイント
    • トークン エンドポイント
    • JWKS エンドポイント
    • Userinfo エンドポイント
    詳細については、「OpenID Connect構成ガイド」を参照してください。
6

(オプション) ジャストインタイム (JIT) 設定を構成します。

この記事のIdPの管理タブのジャストインタイム(JIT)およびSAMLマッピングの設定を参照してください。
7

[SSO設定のテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。


 

有効にする前に、 SSO接続をテストします。 このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーを受信すると、資格情報に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。


 

SSOサインインを確認するには、この画面からURLをクリップボードにコピーをクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。 そこから、SSO のサインインをウォークスルーできます。 これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザにキャッシュされた情報を削除するのに役立ちます。

8

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。 SSO と IdP を有効にし、[有効化] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。 エラーを修正するには、前の手順に戻ります

 
最初のオプション ボタンを選択して SSO をアクティブにしない限り、組織で SSO 設定は有効になりません。

次に行うこと

ルーティング ルールを設定できます。 この記事の「ルーティングルール」タブの「ルーティングルールの追加または編集」を参照してください。

組織内の新しい Webex アプリ ユーザーに送信されたメールを無効にするには、「自動メールの抑制」の手順に従います。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン] までスクロールし、[SSOとIdPの管理] をクリックして設定ウィザードを開始します。

3

IdP として Webex を選択し、[次へ] をクリックします。

4

Webex IdP の仕組みを読み取り、理解したことを確認し、[次へ] をクリックします。

5

ルーティング ルールを設定します。

この記事の「ルーティングルール」タブの「ルーティングルールの追加または編集」を参照してください。

ルーティング ルールを追加すると、IdP が追加され、[ID プロバイダ] タブの下に表示されます。

次に行うこと

「自動化されているメールを抑制する」の手順に従って、組織の新しい Webex アプリ ユーザーに送信されるメールを無効にできます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

ルーティングルールは、複数の IdP を設定する場合に適用されます。 ルーティング ルールにより、複数の IdP を設定したときに、Webex がユーザーを送信する IdP を識別できます。

複数の IdP を設定する場合、SSO 設定ウィザードでルーティング ルールを定義できます。 ルーティング ルールの手順をスキップすると、Control Hub は IdP を追加しますが、IdP をアクティブ化しません。 IdP をアクティブにするには、ルーティング ルールを追加する必要があります。

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ルーティングルール] タブに移動します。


 

最初の IdP を設定すると、ルーティング ルールが自動的に追加され、[デフォルト ルール] として設定されます。 別の IdP を選択して、後でデフォルトのルールとして設定できます。

4

[新しいルーティングルールを追加] をクリックします。

5

新しいルールの詳細を入力します。

  • ルール名:ルーティング ルールの名前を入力します。
  • ルーティング タイプを選択—ドメインまたはグループを選択します。
  • これらがドメイン/グループの場合—組織内のドメイン/グループを入力します。
  • 次に、この ID プロバイダーを使用します—IdP を選択します。
6

[追加] をクリックします。

7

新しいルーティング ルールを選択し、[有効化] をクリックします。


 
複数の IdP のルーティング ルールがある場合、ルーティング ルールの優先順位を変更できます。
1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ルーティングルール] タブに移動します。

4

ルーティング ルールを選択します。

5

ルーティング ルールを非アクティブ化するか、削除するかを選択します。

IdP の別のアクティブなルーティング ルールを使用することをお勧めします。 それ以外の場合は、SSO ログインで問題が発生する可能性があります。


 
デフォルトルールは無効化または削除できませんが、ルーティングIdPを変更できます。

始める前に


 

Control Hub で、IdP 証明書が期限切れとなるという旨のメール通知を受信したか、アラートを見たことがあると思います。 IdP ベンダーには証明書の更新に関する固有のドキュメントがあるため、Control Hub で必要な内容を説明します。これには、更新された IdP メタデータを取得し、それを Control Hub にアップロードして証明書を更新するための汎用手順もあります。

これは SAML 設定にのみ適用されます。

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ID プロバイダ] タブに移動します。

4

IdP に移動し、uploadを選択しIdp メタデータをアップロードします。

メタデータ ファイルをダウンロードするには、DownloadIdp メタデータをダウンロード]を選択します
5

IdP 管理インターフェイスに移動して、新しいメタデータ ファイルを取得します。

6

Control Hub に戻り、IdP メタデータ ファイルをアップロード エリアにドラッグ アンド ドロップするか、[ファイルを選択]をクリックしてメタデータをアップロードします。

7

IdP メタデータの署名方法に応じて、[安全性の低下] (自己署名) または [安全性の向上] (パブリック CA による署名) を選択し、[保存] をクリックします。

8

ジャストインタイム(JIT)設定と SAML マッピング応答を設定します。

この記事のIdPの管理タブのジャストインタイム(JIT)およびSAMLマッピングの設定を参照してください。
9

[SSO設定のテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。


 

有効にする前に、 SSO接続をテストします。 このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーを受信すると、資格情報に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。


 

SSOサインインを確認するには、この画面からURLをクリップボードにコピーをクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。 そこから、SSO のサインインをウォークスルーできます。 これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザにキャッシュされた情報を削除するのに役立ちます。

10

[保存] をクリックします。

始める前に


 

SP 証明書を更新するときに、組織内のすべての IdP を更新することをお勧めします。

これは SAML 設定にのみ適用されます。

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ID プロバイダ] タブに移動します。

4

IdP に移動し、です。

5

[証明書と有効期限の確認] をクリックします。

これで、[サービスプロバイダ(SP)証明書] ウィンドウに移動します。
6

[証明書の更新] をクリックします。

7

組織の IdP のタイプを選択します。

  • 複数の証明書をサポートする IdP
  • 単一の証明書をサポートする IdP
8

更新のために証明書のタイプを選択します:

  • Cisco による自己署名 - この選択を推奨します。 当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • パブリック認証局による署名 - より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない限り)。

 
信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。 詳細については、IdP ドキュメントを参照してください。
9

[メタデータのダウンロード] または [証明書のダウンロード] をクリックして、Webex クラウドから更新されたメタデータ ファイルまたは証明書のコピーをダウンロードします。

10

IdP 管理インターフェイスに移動して、新しい Webex メタデータ ファイルまたは証明書をアップロードします。

この手順は、IdP のセットアップや、別の IdP 管理者がこのステップを担当するかに応じて、ブラウザー タブ、リモート デスクトップ プロトコル (RDP)、または特定のクラウド プロバイダー サポートを通じて行うことができます。

詳細については、SSO インテグレーション ガイドを参照するか、IdP 管理者に連絡してサポートを受けてください。 Active Directory フェデレーション サービス (AD FS) を使用している場合は、AD FS で Webex メタデータを更新する方法を確認できます

11

Control Hub インターフェイスに戻り、[次へ] をクリックします。

12

[すべてのIdPが正常に更新されました]を選択し、[次へ]をクリックします。

これにより、SP メタデータ ファイルまたは証明書が組織内のすべての IdP にアップロードされます。

13

更新を完了をクリックします。

始める前に

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ID プロバイダ] タブに移動します。

4

IdP に移動し、です。

5

IdPのテストを選択します。

6

[SSO設定のテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。


 

認証エラーを受信すると、資格情報に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。


 

SSOサインインを確認するには、この画面からURLをクリップボードにコピーをクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。 そこから、SSO のサインインをウォークスルーできます。 これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザにキャッシュされた情報を削除するのに役立ちます。

7

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。 SSO と IdP を有効にして、[保存] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。 エラーを修正するには、前の手順に戻ります

 
最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

始める前に

以下の前提条件を満たしていることを確認してください。

  • SSO はすでに設定されています。

  • ドメインはすでに検証済みです。

  • ドメインが要求され、オンになります。 この機能により、IdP で認証するたびに、ドメインのユーザが作成され、更新されます。

  • DirSync または Azure AD が有効になっている場合、SAML JIT の作成または更新は機能しません。

  • 「ユーザープロファイルの更新をブロック」が有効になっています。 SAML 更新マッピングは許可されます。この設定はユーザーが属性を編集する機能を制御するためです。 管理者が管理する作成方法と更新方法はまだサポートされています。


 

Azure AD または IdP で SAML JIT を設定する場合、メールが永続的な識別子ではない場合、次のものを使用することをお勧めします。 externalId 一意の識別子にマッピングする属性をリンクします。 メールがリンク属性に一致しない場合、ユーザは ID を確認するか、正しいメール アドレスで新しいユーザを作成するように求められます。

新しく作成されたユーザーは、組織に自動ライセンステンプレートが設定されていない限り、自動的に割り当てられたライセンスを取得しません。

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ID プロバイダ] タブに移動します。

4

IdP に移動し、です。

5

[SAML マッピングの編集] を選択します。

6

ジャストインタイム(JIT)設定を設定します。

  • ユーザーを作成または有効化: アクティブなユーザが見つからない場合、Webex ID はユーザを作成し、ユーザが IdP で認証された後、属性を更新します。
  • SAML 属性でユーザーを更新: メール アドレスを持つユーザーが見つかった場合、Webex ID は SAML アサーションでマップされた属性を持つユーザーを更新します。
ユーザーが別の識別できないメールアドレスでサインインできることを確認します。
7

SAML マッピング必須属性を設定します。

表 1. 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名/プライマリ メール アドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

リンク属性を設定します。

これはユーザーに一意である必要があります。 Webex がユーザーのメールを含むすべてのプロファイル属性を更新できるように、ユーザーを検索するために使用されます。
表 2. 属性のリンク

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: ユーザー.objectid

他の個人プロファイルからこのユーザーを識別します。 これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

enumumberとは

例: ユーザー. eid

ユーザーの従業員番号、または人事システム内のID番号。 これは次の目的ではないことに注意してください: externalid 再利用やリサイクルが可能なため employeenumber 他のユーザー向け。

内線属性 1

例: user.extensionattribute1 ユーザー.extensionattribute1

トラッキングコードのために、これらのカスタム属性を Active Directory、Azure、またはディレクトリ内の拡張属性にマッピングします。

内線属性 2

例: user.extensionattribute2 ユーザー.extensionattribute2

内線属性 3

例: user.extensionattribute3 ユーザー.extensionattribute3

内線属性 4

例: user.extensionlattribute4。

内線属性 5

例: user.extensionattribute5 ユーザー

9

プロファイル属性を設定します。

表 3. プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: ユーザー.objectid

他の個人プロファイルからこのユーザーを識別します。 これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

enumumberとは

例: ユーザー. eid

このユーザーの従業員番号、または人事システム内の識別番号。 これは "externalid" のためではなく、他のユーザのために " enumber" を再利用またはリサイクルできるためです。

preferredLanguage

例: ユーザ.preferredlanguage

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: ユーザー.timezone

ユーザーのプライマリ タイムゾーン。

displayName

例: ユーザー.displayname

Webex でのユーザーの表示名です。

name.givenName

例: ユーザー.givenname

ユーザーの名。

name.familyName

例: ユーザー名

ユーザーの姓。

address.streetアドレス

例: ユーザー.streetaddress

主な勤務地の住所。

アドレス.state

例: ユーザー.state

主な勤務地の状態。

アドレス:region

例: ユーザー.region

主な勤務地の地域。

address.postalコード

例: ユーザー.postalcode

主な勤務地の郵便番号。

アドレス:国

例: ユーザー.country

主な勤務地の国。

電話番号.work

例: ワーキング・フォネナンバー

主な勤務地の電話番号。 国際的な E.164 形式のみを使用します (最大 15 桁)。

PhoneNumbers.extensionについて

例: モバイルフォネヌム

主な勤務先電話番号の内線。 国際的な E.164 形式のみを使用します (最大 15 桁)。

プロノウン

例: ユーザー.pronoun

ユーザーの代名詞。 これはオプションの属性であり、ユーザーまたは管理者はプロファイルでそれを表示できます。

title

例: ユーザー.jobtitle

ユーザーの職位です。

部門

例: ユーザー.department

ユーザーの所属する部署またはチームです。

プロノウン

例: ユーザー.pronoun

これはユーザーの代名詞です。 この属性の可視性は、管理者とユーザーによって制御されます。

manager

例: manager

ユーザーのマネージャーまたはチームのリーダー。

コストセンター

例: コストセンター

姓または家族名とも呼ばれるユーザーの姓です。

メール:alternate1

例: user.mailnickname(ユーザー名)

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate2

例: user.primaryauthoritativemailユーザー

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate3

例: user.alternativeauthoritativemailユーザー

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate4

例: ユーザー.othermail

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。

メール.alternate5

例: ユーザー.othermail

ユーザーの代替メールアドレス。 ユーザーがそれを使用してサインインできるようにするには、uid にマッピングします。
10

内線属性を設定します。

これらの属性をトラッキングコードのために、Active Directory、Azure、またはディレクトリ内の拡張属性にマッピングします。
表 4. 内線属性

Webex Identity 属性名

SAML 属性名

内線属性 1

例: user.extensionattribute1 ユーザー.extensionattribute1

内線属性 2

例: user.extensionattribute2 ユーザー.extensionattribute2

内線属性 3

例: user.extensionattribute3 ユーザー.extensionattribute3

内線属性 4

例: user.extensionattribute4。

内線属性 5

例: user.extensionattribute5 ユーザー

内線属性 6

例: user.extensionattribute6。

内線属性 7

例: user.extensionattribute7。

内線属性 8

例: user.extensionattribute8。

内線属性 9

例: user.extensionattribute9 ユーザー

内線属性 10

例: user.extensionattribute10 ユーザー

11

グループ属性を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動し、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、Webex グループ ID とともにこの属性名を運ぶ要求を含めます (例: c65f7d85-b691-42b8-a20b-12345xxxx)。 外部 ID を使用して、グループ名の変更を管理したり、将来の統合シナリオを管理したりすることもできます。 たとえば、Azure AD と同期したり、SCIM グループ同期を実装したりします。
  4. SAML アサーションで送信される属性の正確な名前をグループ ID で指定します。 これは、ユーザをグループに追加するために使用されます。
  5. SAML アサーションでメンバーを送信するためにディレクトリからグループを使用している場合は、グループオブジェクトの外部 ID の正確な名前を指定します。

 

ユーザー A が関連付けられている場合 groupID 1234とユーザーB groupID 4567、彼らは別々のグループに割り当てられています。 このシナリオは、単一の属性により、ユーザが複数のグループ ID に関連付けられることを示します。 これは珍しいことではありませんが、それは可能であり、付加的な変化と見なすことができます。 たとえば、ユーザー A が最初にサインインした場合、 groupID 1234年、彼らは対応するグループのメンバーになります。 ユーザー A が後でサインインした場合 groupID 4567、彼らはまた、この第2のグループに追加されます。

SAML JIT プロビジョニングは、グループからのユーザの削除やユーザの削除をサポートしていません。

表 5. グループの属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループId

例: グループId

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループexternalId

例: グループexternalId

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

Webex Meetings の SAML アサーション属性のリストについては、https://help.webex.com/article/WBX67566 を参照してください。

始める前に


 
IdP を削除する前に、最初に IdP のルーティング ルールを無効または削除することをお勧めします。
1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ID プロバイダ] タブに移動します。

4

IdP に移動し、です。

5

[削除] を選択します。

1

Control Hub にサインインします。

2

に移動 管理 > 組織設定、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。

3

[ID プロバイダ] タブに移動します。

4

[SSOの無効化]をクリックします。

SSO の無効化を確認します。

確認されると、組織内のすべての IdP に対して SSO が無効になります。

証明書が期限切れに設定される前に Control Hub でアラートを受信しますが、アラートのルールを事前にセットアップすることもできます。 このルールにより、SP または IdP 証明書の有効期限が切れる前に通知されます。 この通知はメール、Webex アプリのスペース、または両方を通じて送ることができます。


 

配信チャネルの設定にかかわらず、すべてのアラートは常に Control Hub に表示されます。 詳細については、「Control Hub のアラート センター」を参照してください。

1

Control Hub にサインインします。

2

アラート センターに移動します。

3

[管理][すべてのルール] の順に選択します。

4

[ルール] リストから、作成するいずれかの SSO ルールを選択します:

  • SSO IdP 証明書の期限切れ
  • SSO SP 証明書の期限切れ
5

[配信チャネル] セクションで、[メール][Webex スペース]、または両方のチェックボックスをオンにします。

[メール] を選択した場合、通知を受け取る必要があるメール アドレスを入力します。


 

[Webex スペース] オプションを選択した場合、Webex アプリのスペースに自動的に追加され、そこに通知が送信されます。

6

変更を保存します。

次に行うこと

証明書の期限切れのアラートは 15 日おきに 1 回送信され、期限切れの 60 日前に開始されます。 (アラートは、60 日前、45 日前、30 日前、15 日前に受け取ることができます。) 証明書を更新すると、アラートは停止します。

SSO ログインで問題が発生した場合は、SSO セルフリカバリオプションを使用して、Control Hub で管理されている Webex 組織にアクセスできます。 セルフリカバリオプションを使用すると、Control Hub で SSO を更新または無効にできます。