シングル サインオン (SSO) を使用すると、ユーザーは組織の共通 ID プロバイダーに認証することで、Webex に安全にサインインできます。アイデンティティ プロバイダー (IdP) は、ユーザーのデジタル ID を安全に保存および管理し、Webex ユーザーにユーザー認証サービスを提供します。

複数のIdPが必要な理由

多くの大企業は合併や買収を行っていますが、これらの企業が同じ IT インフラストラクチャや ID プロバイダーを持つことはほとんどありません。政府機関にはその傘下にさまざまな組織や機関があります。多くの場合、これらの組織は、それぞれ独自の IT 部門とインフラストラクチャに対して単一の電子メール アドレスを持っています。主要な教育機関には中央購買部門がありますが、大学ごとに IT 組織や部門が異なります。

IdP とサービス プロバイダー (SP) が相互に連携するのはよくあることです。IdP はユーザーの資格情報を認証する役割を担い、SP は IdP によって行われた認証を信頼します。これにより、ユーザーは同じデジタル ID を使用してさまざまな SaaS アプリケーションやサービスにアクセスできるようになります。ただし、何らかの理由で組織が IdP 間で連携できない場合は、Webex が複数の IdP をサポートするための回避策を提供します。これらの理由から、Webex で複数の IdP に対して SSO を設定し、ユーザーの認証プロセスを簡素化するオプションを提供しています。

制限

  • 組織内で Directory Connector を使用している場合は、すべてのユーザーに Directory Connector をプロビジョニングする必要があります。詳細については、 ディレクトリコネクタ導入ガイド を参照してください。
  • 現在、ID プロバイダーとして SAML、OpenID Connect、Webex Identity のみをサポートしています。

範囲外

  • グループの割り当てを構成します。

このセクションでは、ID プロバイダー (IdP) を Webex 組織と統合する方法について説明します。組織の要件に最適な IdP を選択できます。

Webex Meetings サイト (サイト管理で管理) の SSO 統合が必要な場合は、 Webex 管理のシングル サインオンの構成を参照してください。

前提条件

開始する前に

次の条件が満たされていることを確認してください。

    • Control Hub で完全な管理者ロールを持っている必要があります。
    • Webex に渡す IdP からのメタデータ ファイルと、IdP に渡す Webex からのメタデータ ファイル。詳細については、 Control Hub でのシングル サインオン統合を参照してください。これは SAML 構成にのみ適用されます。
    • 複数の IdP を設定する前に、ルーティング ルールの動作を計画する必要があります。

    最初の IdP を構成すると、デフォルトのルーティング ルールが適用されます。ただし、別の IdP をデフォルトとして設定することもできます。この記事の「ルーティング ルール」タブの「ルーティング ルールの追加または編集」 を参照してください。

SAMLを構成する
1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動し、 SSO のアクティブ化をクリックします。

4

IdPとして SAML を選択し、 次へをクリックします。

5

証明書タイプを選択します。

  • Cisco による自己署名—この選択をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公的証明機関によって署名されている— より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない限り)。

信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。

6

[メタデータのダウンロード] をクリックし、[次へ] をクリックします。

Webex アプリのメタデータ ファイル名は idb-meta-<org-ID>-SP.xmlです。

7

IdP メタデータ ファイルをアップロードするか、構成フォームに入力します。

メタデータ ファイルをアップロードする場合、顧客 IdP からメタデータを検証する方法は 2 つあります。

  • 顧客 IdP は、公的ルート CA により署名されたメタデータの署名を提供します。
  • 顧客 IdP は事故署名のプライベート CA を提供するか、メタデータには署名を提供しません。このオプションは安全性が薄れます。
それ以外の場合は、構成フォームに IdP 情報を入力します。

[次へ] をクリックします。

8

(オプション) Webex ユーザー名 または プライマリ メール アドレス の SAML 属性の名前を uid から IdP マネージャーと合意した emailupnなどに変更できます。

9

(オプション) Just In Time (JIT) 設定と SAML マッピング応答を構成します。

この記事の「IdP の管理」タブの 「 Just In Time (JIT) と SAML マッピングを構成する 」を参照してください。
10

SSO セットアップのテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーが発生した場合は、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から URL をクリップボードにコピー をクリックし、プライベート ブラウザ ウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

11

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSOとIdPをアクティブ化 し、 アクティブ化をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。エラーを修正するには前の手順に戻ってください

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 構成は組織内で有効になりません。

次に行うこと

ルーティングルールを設定できます。この記事の「ルーティング ルール」タブの「ルーティング ルールの追加または編集」 を参照してください。

自動メールの抑制 の手順に従って、組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

OpenID Connectを構成する
1

Control Hub にサインインします。

2

管理へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動し、 SSO のアクティブ化をクリックします。

4

IdPとして OpenID Connect を選択し、 次へをクリックします。

5

IdP 情報を入力します。

  • 名前—IdP を識別するための名前。
  • クライアント ID— お客様と IdP を識別するための一意の ID。
  • クライアントシークレット— あなたと IdP が知っているパスワード。
  • スコープ—IdP に関連付けるスコープ。

6

エンドポイントを追加する方法を選択します。これは自動または手動で実行できます。

  • 検出 URL を使用してエンドポイントを自動的に追加します。

    • IdPの 検出URL を入力します。この URL は、OIDC シングル ログアウト (SLO) に必要なエンドポイントを自動的に入力します。
    • セッションの自動サインアウトを許可する をオンにして、ユーザーが Webex からログアウトしたときに、接続されているすべてのアプリケーションとサービスからサインアウトされていることを確認します。

  • すべてのエンドポイント情報を手動で追加する場合は、次の詳細を追加します。

    • 発行者—IdP によって指定された発行者 URL を入力します。
    • 認証エンドポイント—認証エンドポイントの URL を入力します。
    • トークンエンドポイント—トークンエンドポイントの URL を入力します。
    • JWKSエンドポイント—JSON Web Key Set (JWKS) URL を入力します。
    • ユーザー情報エンドポイント—ユーザー情報エンドポイントの URL を入力します。
    • セッションの自動サインアウトを許可する がオンになっている場合は、 セッション サインアウト エンドポイント URL を入力して、接続されているすべてのアプリケーションでシングル ログアウト (SLO) を有効にする必要があります。
    詳細については、 OpenID Connect 構成ガイドを参照してください。

7

(オプション) Just In Time (JIT) 設定を構成します。

この記事の「IdP の管理」タブの 「 Just In Time (JIT) と SAML マッピングを構成する 」を参照してください。
8

SSO セットアップのテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーが発生した場合は、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から URL をクリップボードにコピー をクリックし、プライベート ブラウザ ウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

9

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSOとIdPをアクティブ化 し、 アクティブ化をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。エラーを修正するには前の手順に戻ってください

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 構成は組織内で有効になりません。

次に行うこと

ルーティングルールを設定できます。この記事の「ルーティング ルール」タブの「ルーティング ルールの追加または編集」 を参照してください。

自動メールの抑制 の手順に従って、組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

Webex Identity を設定する
1

Control Hub にサインインします。

2

管理へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動し、 SSO のアクティブ化をクリックします。

4

IdPとして Webex を選択し、 次へをクリックします。

5

Webex IdP の仕組みを読んで理解しました にチェックを入れ、 次へをクリックします。

6

ルーティングルールを設定します。

この記事の「ルーティング ルール」タブの「ルーティング ルールの追加または編集」 を参照してください。

ルーティング ルールを追加すると、IdP が追加され、 ID プロバイダー タブの下に表示されます。

次に行うこと

自動メールの抑制 の手順に従って、組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

ルーティング ルールは、複数の IdP を設定する場合に適用されます。ルーティング ルールにより、複数の IdP を設定している場合に、Webex はユーザーを送信する IdP を識別できるようになります。

複数の IdP を設定する場合は、SSO 構成ウィザードでルーティング ルールを定義できます。ルーティング ルールの手順をスキップすると、Control Hub は IdP を追加しますが、IdP はアクティブ化されません。IdP をアクティブ化するには、ルーティング ルールを追加する必要があります。

ルーティングルールを追加または編集する
1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

ルーティングルール タブに移動します。

最初の IdP を構成すると、ルーティング ルールが自動的に追加され、 デフォルト ルールとして設定されます。後で別の IdP を選択して、デフォルト ルールとして設定することもできます。

4

新しいルーティングルールの追加をクリックします。

5

ルーティング ルールの詳細を入力します。

  • ルール名—ルーティング ルールの名前を入力します。
  • ルーティングタイプを選択します—ドメインまたはグループを選択します。
  • これらがあなたの domains/groups—入力してください domains/groups 組織内で。
  • この ID プロバイダーを使用します—IdP を選択します。

6

多要素認証 (MFA) 方法を選択します。

  • 現在の MFA ステータスを維持する—変更を加えずに既存の MFA 方法を維持できます。
  • 現在の MFA ステータスを上書きする—既存の MFA 方法を新しい構成に変更できます。
  • このルールに対してのみ MFA を許可する—オンにすると、現在のルーティング ルールに対してのみ MFA が有効になります。

組織の MFA の構成の詳細については、 Control Hub で多要素認証の統合を有効にするを参照してください。

7

[追加] をクリックします。

8

新しいルーティングルールを選択し、 アクティブ化をクリックします。

複数の IdP にルーティング ルールがある場合は、ルーティング ルールの優先順位を変更できます。

ルーティングルールを無効化または削除する
1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

ルーティングルール タブに移動します。

4

ルーティングルールを選択します。

5

ルーティングルールを 無効化 するか 削除 するかを選択します。

IdP には別のアクティブなルーティング ルールを設定することをお勧めします。そうしないと、SSO ログインで問題が発生する可能性があります。

デフォルト ルール を非アクティブ化または削除することはできませんが、ルーティングされた IdP を変更することはできます。

アイデンティティプロバイダ(IdP)証明書を管理する

開始する前に

Control Hub で、IdP 証明書が期限切れとなるという旨のメール通知を受信したか、アラートを見たことがあると思います。IdP ベンダーには証明書の更新に関する固有のドキュメントがあるため、Control Hub で必要な内容を説明します。これには、更新された IdP メタデータを取得し、それを Control Hub にアップロードして証明書を更新するための汎用手順もあります。

これは SAML 構成にのみ適用されます。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

IdP に移動し、 アップロード をクリックして Idp メタデータのアップロードを選択します。

メタデータ ファイルをダウンロードするには、 ダウンロード をクリックし、 Idp メタデータのダウンロードを選択します。
5

IdP 管理インターフェイスに移動して、新しいメタデータ ファイルを取得します。

6

Control Hub に戻り、IdP メタデータ ファイルをアップロード領域にドラッグ アンド ドロップするか、 ファイルの選択 をクリックしてメタデータをアップロードします。

7

IdP メタデータの署名方法に応じて、 安全性の低い (自己署名) または 安全性の高い (パブリック CA による署名) を選択し、 保存をクリックします。

8

Just In Time (JIT) 設定と SAML マッピング応答を構成します。

この記事の「IdP の管理」タブの 「 Just In Time (JIT) と SAML マッピングを構成する 」を参照してください。
9

SSO セットアップのテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーが発生した場合は、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から URL をクリップボードにコピー をクリックし、プライベート ブラウザ ウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

10

[保存] をクリックします。

サービスプロバイダー(SP)証明書を管理する

開始する前に

SP 証明書を更新するときは、組織内のすべての IdP を更新することをお勧めします。

これは SAML 構成にのみ適用されます。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

IdPに移動して をクリックします。

5

証明書と有効期限の確認をクリックします。

これにより、 サービス プロバイダー (SP) 証明書 ウィンドウが表示されます。
6

証明書の更新をクリックします。

7

組織内の IdP の種類を選択します。

  • 複数の証明書をサポートするIdP
  • 単一の証明書をサポートするIdP
8

更新のために証明書のタイプを選択します:

  • Cisco による自己署名—この選択をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公的証明機関によって署名されている— より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない限り)。

信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。

9

メタデータのダウンロード または 証明書のダウンロード をクリックして、更新されたメタデータ ファイルまたは証明書のコピーを Webex クラウドからダウンロードします。

10

IdP 管理インターフェイスに移動して、新しい Webex メタデータ ファイルまたは証明書をアップロードします。

この手順は、IdP のセットアップや、別の IdP 管理者がこのステップを担当するかに応じて、ブラウザー タブ、リモート デスクトップ プロトコル (RDP)、または特定のクラウド プロバイダー サポートを通じて行うことができます。

詳細については、 SSO 統合ガイド を参照するか、IdP 管理者にサポートを依頼してください。Active Directory Federation Services (AD FS) を使用している場合は、 AD FS で Webex メタデータを更新する方法を確認してください

11

Control Hub インターフェイスに戻り、 次へをクリックします。

12

すべての IdP を正常に更新しました を選択し、 次へをクリックします。

これにより、SP メタデータ ファイルまたは証明書が組織内のすべての IdP にアップロードされます。

13

更新を完了するをクリックします。

SSO 設定をテスト

始める前に

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

IdPに移動して 詳細メニューをクリックします。

5

IdPテストを選択します。

6

SSO セットアップのテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

認証エラーが発生した場合は、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から URL をクリップボードにコピー をクリックし、プライベート ブラウザ ウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

7

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSOとIdPを有効化し保存をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。エラーを修正するには前の手順に戻ってください

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

ジャストインタイム(JIT)とSAMLマッピングを構成する

始める前に

次の条件が満たされている必要があります。

  • SSO設定済みです。

  • ドメインはすでに検証済みです。

  • ドメインが要求され、有効になっています。この機能により、ドメインのユーザーは IdP で認証されるたびに作成され、更新されます。

  • DirSync または Azure AD が有効になっている場合、SAML JIT の作成または更新は機能しません。

  • 「更新ユーザー プロファイルブロックする」が有効になっています。この構成は属性を編集するユーザーの能力をコントロールするために、SAML 更新マッピングが許可されます。管理者が管理する作成および更新の方法は引き続きサポートされています。

電子メールが永続的な識別子ではない Azure AD または IdP を使用して SAML JIT を設定する場合は、 externalId リンク属性を使用して一意の識別子にマップすることをお勧めします。メールアドレスがリンク属性と一致しないことが判明した場合、ユーザーは自分の身元を確認するか、正しいメールアドレスで新しいユーザーを作成するように求められます。

新しく作成されたユーザーは、組織が自動 ライセンス テンプレートをセットアップしない限り、割り当てられたライセンスを自動的に 取得しません。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

IdPに移動して 詳細メニューをクリックします。

5

SAML マッピングの編集を選択します。

6

ジャストインタイム (JIT) 設定を構成します。

  • ユーザーを作成または有効化: アクティブなユーザーが見つからない場合、Webex Identity はユーザーを作成し、ユーザーが IdP で認証された後に属性を更新します。
  • SAML 属性でユーザーを更新します: メールアドレスを持つユーザーが見つかった場合、Webex Identity は SAML アサーション中にマップされた属性でユーザーを更新します。
ユーザーが別の識別不可能なメール アドレスを使用してサインインできることを確認します。

7

SAMLマッピングの必須属性を構成します。

表1. 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名 /メインのメールアドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

リンク属性を設定します。

これはユーザーごとに一意である必要があります。これは、Webex がユーザーの電子メールを含むすべてのプロファイル属性を更新できるように、ユーザーを検索するために使用されます。
表 2. リンク属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

ユーザーの従業員番号、または HR システム内の識別番号。これは externalid用ではないことに注意してください。 employeenumber は他のユーザーのために再利用またはリサイクルできるためです。

内線属性 1

例: user.extensionattribute1

追跡コードのために、これらのカスタム属性を Active Directory、Azure、またはディレクトリ内の拡張属性にマップします。

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: ユーザー.拡張子属性4

内線属性 5

例: user.extensionattribute5

9

プロファイル属性を構成します。

表 3。 プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

このユーザーの従業員番号または人事システム内の ID 番号です。これは「externalid」用ではないので、他のユーザーに対して「employeenumber」を再利用または再利用することができます。

preferredLanguage

例: user.preferred言語

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: user.タイムゾーン

ユーザーのプライマリ タイムゾーン。

displayName

例: user.displayname

Webex でのユーザーの表示名です。

name.givenName

例: user.givenname

ユーザーの名。

name.familyName

例: user.姓

ユーザーの姓。

addresses.streetAddress

例: user.streetaddress

主な勤務地の住所。

アドレス.州

例: user.state

主な作業場所の状態です。

アドレス.地域

例: user.region

主な勤務地の地域。

addresses.郵便番号

例: user.郵便番号

主な勤務地の郵便番号。

アドレス.国

例: ユーザー.国

主な勤務地の国。

phoneNumbers.work

例: 仕事用電話番号

主な勤務地の電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

phoneNumbers.extension

例: 携帯電話番号

主な勤務先電話番号の内線。国際的な E.164 形式のみを使用します (最大 15 桁)。

代名詞

例: user.pronoun

ユーザーの発表。これはオプションの属性であり、ユーザーまたは管理者はプロファイルで表示可能です。

title

例: user.jobtitle

ユーザーの職位です。

部門

例: user.department

ユーザーの所属する部署またはチームです。

代名詞

例: user.pronoun

これはユーザーの第一例です。この属性の可視性は管理者とユーザーにより制御されます

マネージャー

例: マネージャー

ユーザーのマネージャーまたはチームのリード。

コストセンター

例: コストセンター

これは姓または姓とも呼ばれるユーザーの姓です

メール。代替1

例: user.mailnickname

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替2

例: user.primaryauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代替3

例: user.alternativeauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替4

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代わりの 5

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。
10

拡張属性を構成します。

これらの属性を、これらの属性を Active Directory Azure、またはディレクトリの拡張属性にトラッキング コード。
表 4. 内線の属性

Webex Identity 属性名

SAML 属性名

内線属性 1

例: user.extensionattribute1

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: user.extensionattribute4

内線属性 5

例: user.extensionattribute5

内線属性 6

例: user.extensionattribute6

内線属性 7

例: user.extensionattribute7

内線属性 8

例: user.extensionattribute8

内線属性 9

例: user.extensionattribute9

内線属性 10

例: user.extensionattribute10

11

グループ属性を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動し、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、この属性名と Webex グループ ID (例: c65f7d85-b691-42b8-a20b-12345xxxx) を含むクレームを含めます。外部 ID は、グループ名の変更を管理したり、将来の統合シナリオに使用したりするためにも使用できます。たとえば、Azure AD との同期や SCIM グループ同期の実装などです。
  4. グループ ID とともに SAML アサーションで送信される属性の正確な名前を指定します。これはユーザーをグループに追加するために使用されます。
  5. ディレクトリのグループを使用して SAML アサーションでメンバーを送信する場合は、グループ オブジェクトの外部 ID の正確な名前を指定します。

ユーザー A が groupID 1234 に関連付けられ、ユーザー B が groupID 4567 に関連付けられている場合、それらは別々のグループに割り当てられます。このシナリオは、単一の属性によってユーザーを複数のグループ ID に関連付けることができることを示しています。これはまれですが、起こり得ることであり、追加的な変更として考えることができます。たとえば、ユーザー A が最初に groupID 1234 を使用してサインインすると、対応するグループのメンバーになります。ユーザー A が後で groupID 4567 を使用してサインインすると、この 2 番目のグループにも追加されます。

SAML JIT プロビジョニングでは、グループからのユーザーの削除やユーザーの削除はサポートされていません。

表 5. グループ属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループID

例: グループID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループ外部ID

例: グループ外部ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

SAML アサーション属性の一覧については、Webex Meetingsを参照してください https://help.webex.com/article/WBX67566

アイデンティティプロバイダ(IdP)を削除する

開始する前に

IdP を削除する前に、まず IdP のルーティング ルールを無効化または削除することをお勧めします。

1

Control Hub にサインインします。

2

管理へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

IdPに移動して 詳細メニューをクリックします。

5

[削除] を選択します。

1

Control Hub にサインインします。

2

管理へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

SSOを無効化をクリックします。

SSO の無効化を確認します。

確認すると、組織内のすべての IdP に対して SSO が無効になります。

証明書が期限切れに設定される前に Control Hub でアラートを受信しますが、アラートのルールを事前にセットアップすることもできます。このルールにより、SP または IdP 証明書の有効期限が切れる前に通知されます。この通知はメール、Webex アプリのスペース、または両方を通じて送ることができます。

配信チャネルの設定にかかわらず、すべてのアラートは常に Control Hub に表示されます。詳細については、「Control Hub のアラート センター」を参照してください。

1

Control Hub にサインインします。

2

アラートセンターに移動します。

3

[管理][すべてのルール] の順に選択します。

4

[ルール] リストから、作成するいずれかの SSO ルールを選択します:

  • SSO IdP 証明書の期限切れ
  • SSO SP 証明書の期限切れ
5

[配信チャネル] セクションで、[メール][Webex スペース]、または両方のチェックボックスをオンにします。

[メール] を選択した場合、通知を受け取る必要があるメール アドレスを入力します。

[Webex スペース] オプションを選択した場合、Webex アプリのスペースに自動的に追加され、そこに通知が送信されます。

6

変更を保存します。

次に行うこと

証明書の期限切れのアラートは 15 日おきに 1 回送信され、期限切れの 60 日前に開始されます。(60 日目、45 日目、30 日目、15 日目にアラートが届くことが予想されます。) 証明書を更新するとアラートは停止します。

SSO ログインで問題が発生した場合は、 SSO 自己回復オプション を使用して、Control Hub で管理されている Webex 組織にアクセスできます。自己回復オプションを使用すると、Control Hub で SSO を更新または無効にすることができます。