Webex での複数の IdP による SSO
シングルサインオン(SSO)を使用すると、ユーザーは組織の共通IDプロバイダーで認証することで、Webexに安全にサインインできます。IDプロバイダー(IdP)は、ユーザーのデジタルIDを安全に保存および管理し、Webexユーザー向けのユーザー認証サービスを提供します。
複数のIDプロバイダーが必要になる理由
多くの大企業は合併や買収を繰り返すが、これらの企業が同じITインフラやIDプロバイダーを持つことは稀である。政府機関は、その傘下に様々な組織や機関を有している。多くの場合、これらの組織は、IT部門とインフラストラクチャそれぞれに単一のメールアドレスを使用している。主要な教育機関には中央購買部門があるが、大学やカレッジごとにIT組織や部門は異なっている。
IDプロバイダー(IdP)とサービスプロバイダー(SP)が連携することはよくある。IdPはユーザーの認証情報を認証する責任を負い、SPはIdPが行った認証を信頼します。これにより、ユーザーは同じデジタルIDを使用して、さまざまなSaaSアプリケーションやサービスにアクセスできるようになります。しかし、何らかの理由で組織がIDプロバイダー間で連携できない場合、Webexは複数のIDプロバイダーをサポートするための回避策を提供します。こうした理由から、Webexでは複数のIDプロバイダー(IdP)に対応したSSO(シングルサインオン)を設定できるオプションを提供し、ユーザーの認証プロセスを簡素化します。
制限
- 組織内でディレクトリコネクタを使用する場合は、すべてのユーザーにディレクトリコネクタをプロビジョニングする必要があります。詳細については、 ディレクトリコネクタの導入ガイド を参照してください。
- 現在、IDプロバイダーとしてサポートしているのは、SAML、OpenID Connect、およびWebex Identityのみです。
対象外
- グループ割り当てを設定します。
- ドメイン認証。詳細については、 ドメインの管理 を参照してください。
- ユーザープロビジョニング。詳細については、 Control Hub 組織にユーザーを追加する方法 を参照してください。
このセクションでは、IDプロバイダー(IdP)をWebex組織と統合する方法について説明します。組織の要件に最適なIDプロバイダーを選択できます。
Webex Meetings サイト (サイト管理で管理) の SSO 統合をお探しの場合は、 Webex 管理のシングル サインオンの設定を参照してください。
開始する前に
以下の条件が満たされていることを確認してください。
- コントロールハブでフル管理者権限を持っている必要があります。
- IdPからWebexに渡すメタデータファイルと、WebexからIdPに渡すメタデータファイル。詳細については、 コントロールハブでのシングルサインオン統合を参照してください。これはSAMLの設定にのみ適用されます。
- 複数のIDプロバイダーを設定する前に、ルーティングルールの動作を計画しておく必要があります。
初期IdPを設定すると、デフォルトのルーティングルールが適用されます。ただし、別のIDプロバイダーをデフォルトとして設定することもできます。この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。
| 1 | |
| 2 |
。 |
| 3 |
ID プロバイダー タブに移動し、 SSO を有効にするをクリックします。 |
| 4 |
IdPとして SAML を選択し、 次へをクリックします。 |
| 5 |
証明書タイプを選択します。
|
| 6 |
[メタデータのダウンロード] をクリックし、[次へ] をクリックします。 Webexアプリのメタデータファイル名は idb-meta-<org-ID>-SP.xmlです。 |
| 7 |
IDプロバイダーのメタデータファイルをアップロードするか、設定フォームに記入してください。 メタデータファイルをアップロードする際、顧客IDプロバイダーからのメタデータを検証する方法は2つあります。
[次へ] をクリックします。 |
| 8 |
(オプション) Webex ユーザー名 または プライマリメールアドレス の SAML 属性の名前を |
| 9 |
(オプション)Just In Time(JIT)設定とSAMLマッピング応答を設定します。 この記事の「IdP の管理」タブにある 「 Just In Time (JIT) と SAML マッピングの設定 」を参照してください。
|
| 10 |
SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。 有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。 認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。 通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。 SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。 |
| 11 |
Control Hub ブラウザー タブに戻ります。
最初のラジオボタンを選択してSSOを有効化しない限り、SSOの設定は組織内で有効になりません。 |
次に行うこと
ルーティングルールを設定できます。この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。
組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にするには、 自動メールの抑制 の手順に従ってください。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。
Entra ID またはメールアドレスが永続的な識別子ではない IdP を使用して OpenID Connect を設定する場合は、 externalId リンク属性を使用して一意の識別子にマッピングすることをお勧めします。Entra ID については、OIDC を externalIdにマッピングすることをお勧めします。メールアドレスがリンク属性と一致しない場合、ユーザーには本人確認を行うか、正しいメールアドレスで新しいユーザーを作成するよう求められます。
| 1 | |
| 2 |
。 |
| 3 |
ID プロバイダー タブに移動し、 SSO を有効にするをクリックします。 |
| 4 |
IdPとして OpenID Connect を選択し、 次へをクリックします。 |
| 5 |
アイデンティティプロバイダー(IdP)の情報を入力してください。
|
| 6 |
(オプション) コード交換用証明キー(PKCE)構成を許可する をオンに切り替えて、このセキュリティ拡張機能を使用して OIDC IdP を設定します。 これにより、クライアントアプリケーションのセキュリティが強化され、それを必要とするユーザーとの互換性が確保されます。 |
| 7 |
エンドポイントを追加する方法を選択してください。これは自動的に行うことも、手動で行うことも可能です。
|
| 8 |
(オプション)ジャストインタイム(JIT)設定を構成します。 この記事の「IdP の管理」タブにある 「 Just In Time (JIT) と SAML マッピングの設定 」を参照してください。
|
| 9 |
SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。 有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。 認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。 通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。 SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。 |
| 10 |
Control Hub ブラウザー タブに戻ります。
最初のラジオボタンを選択してSSOを有効化しない限り、SSOの設定は組織内で有効になりません。 |
次に行うこと
ルーティングルールを設定できます。この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。
組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にするには、 自動メールの抑制 の手順に従ってください。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。
| 1 | |
| 2 |
。 |
| 3 |
ID プロバイダー タブに移動し、 SSO を有効にするをクリックします。 |
| 4 |
IdPとして Webex を選択し、 次へをクリックします。 |
| 5 |
Webex IdP の仕組みを読み、理解しました にチェックを入れ、 次へをクリックします。 |
| 6 |
ルーティングルールを設定します。 この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。 |
ルーティングルールを追加すると、IdPが追加され、 IDプロバイダー タブの下に表示されます。
次に行うこと
組織内の新しい Webex アプリユーザーに送信されるメールを無効にするには、 自動メールの抑制 の手順に従ってください。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。
ルーティングルールは、複数のIDプロバイダーを設定する場合に適用されます。ルーティングルールを使用すると、複数のIDプロバイダー(IdP)を設定している場合に、WebexがユーザーをどのIdPに送信するかを識別できます。
複数のIDプロバイダーを設定する場合、SSO設定ウィザードでルーティングルールを定義できます。ルーティングルールの設定手順をスキップすると、コントロールハブはIdPを追加しますが、IdPをアクティブ化しません。IdPを有効にするには、ルーティングルールを追加する必要があります。
| 1 | |
| 2 |
。 |
| 3 |
ルーティングルール タブに移動します。 最初の IdP を設定すると、ルーティング ルールが自動的に追加され、 デフォルト ルールとして設定されます。後で別のIDプロバイダーを選択して、デフォルトルールとして設定することもできます。 |
| 4 |
新しいルーティングルールを追加をクリックします。 |
| 5 |
ルーティングルールの詳細を入力してください。
|
| 6 |
多要素認証(MFA)の方法を選択してください。
組織向けにMFAを設定する方法の詳細については、 Control Hubで多要素認証統合を有効にするを参照してください。 |
| 7 |
[追加] をクリックします。 |
| 8 |
新しいルーティングルールを選択し、 有効化をクリックします。 |
複数のIDプロバイダー(IdP)に対してルーティングルールを設定している場合、ルーティングルールの優先順位を変更できます。
開始する前に
Control Hub で、IdP 証明書が期限切れとなるという旨のメール通知を受信したか、アラートを見たことがあると思います。IdP ベンダーには証明書の更新に関する固有のドキュメントがあるため、Control Hub で必要な内容を説明します。これには、更新された IdP メタデータを取得し、それを Control Hub にアップロードして証明書を更新するための汎用手順もあります。
これはSAMLの設定にのみ適用されます。
| 1 | |
| 2 |
。 |
| 3 |
IDプロバイダー タブに移動してください。 |
| 4 |
IdP に移動し、 メタデータファイルをダウンロードするには、
をクリックして Idpメタデータのダウンロードを選択します。 |
| 5 |
IdP 管理インターフェイスに移動して、新しいメタデータ ファイルを取得します。 |
| 6 |
コントロール ハブに戻り、IdP メタデータ ファイルをアップロード領域にドラッグ アンド ドロップするか、 ファイルを選択 をクリックしてメタデータをアップロードします。 |
| 7 |
IdPメタデータの署名方法に応じて、 安全性が低い (自己署名) または 安全性が高い (公開CAによる署名) を選択し、 保存をクリックします。 |
| 8 |
ジャストインタイム(JIT)設定とSAMLマッピング応答を構成します。 この記事の「IdP の管理」タブにある 「 Just In Time (JIT) と SAML マッピングの設定 」を参照してください。
|
| 9 |
SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。 有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。 認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。 通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。 SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。 |
| 10 |
[保存] をクリックします。 |
開始する前に
SP証明書を更新する際には、組織内のすべてのIDプロバイダー(IdP)を更新することをお勧めします。
これはSAMLの設定にのみ適用されます。
| 1 | |
| 2 |
。 |
| 3 |
IDプロバイダー タブに移動してください。 |
| 4 |
IdP に移動して |
| 5 |
証明書と有効期限を確認するをクリックしてください。 これにより、 サービスプロバイダー(SP)証明書 ページに移動します。 組織でデュアル証明書を使用している場合は、セカンダリ証明書をプライマリ証明書に切り替えたり、既存のセカンダリ証明書を削除したりすることもできます。 |
| 6 |
証明書の更新をクリックします。 |
| 7 |
組織内で使用するIDプロバイダーの種類を選択してください。
|
| 8 |
更新のために証明書のタイプを選択します:
|
| 9 |
現在の証明書を選択した証明書に置き換えることを確認するには、 [証明書の置き換え] をクリックして現在の証明書を選択した証明書に置き換えますにチェックを入れ、 [証明書の置き換え]をクリックします。 |
| 10 |
サービスプロバイダー (SP) 証明書の更新 ページで、 メタデータのダウンロード または 証明書のダウンロード をクリックして、Webex クラウドから更新されたメタデータ ファイルまたは証明書のコピーをダウンロードします。 |
| 11 |
IdP管理インターフェースに移動して、新しいWebexメタデータファイルまたは証明書をアップロードしてください。 この手順は、IdP のセットアップや、別の IdP 管理者がこのステップを担当するかに応じて、ブラウザー タブ、リモート デスクトップ プロトコル (RDP)、または特定のクラウド プロバイダー サポートを通じて行うことができます。 詳細については、 SSO統合ガイド を参照するか、サポートが必要な場合はIdP管理者にお問い合わせください。Active Directory Federation Services (AD FS) を使用している場合は、 AD FS で Webex メタデータを更新する方法を参照してください |
| 12 |
コントロールハブのインターフェースに戻ります。 サービスプロバイダー (SP) 証明書の更新 ページで、 すべての IdP のメタデータを既に更新しましたにチェックを入れ、 次へをクリックします。 |
| 13 |
[完了] をクリックします。 |
始める前に
| 1 | |
| 2 |
。 |
| 3 |
IDプロバイダー タブに移動してください。 |
| 4 |
IdP に移動して |
| 5 |
テスト IdPを選択してください。 |
| 6 |
SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。 認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。 通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。 SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。 |
| 7 |
Control Hub ブラウザー タブに戻ります。
最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。 |
始める前に
次の条件が満たされている必要があります。
-
SSO設定済みです。
-
ドメインはすでに検証済みです。
-
ドメインは取得され、有効化されています。この機能により、お客様のドメインのユーザーは、お客様のIDプロバイダーで認証を行うたびに、必ず一度だけ作成および更新されます。
-
DirSyncまたはEntra IDが有効になっている場合、SAML JITによる作成または更新は機能しません。
-
「更新ユーザー プロファイルブロックする」が有効になっています。この構成は属性を編集するユーザーの能力をコントロールするために、SAML 更新マッピングが許可されます。管理者が管理する作成および更新の方法は引き続きサポートされています。
Eメールが永続的な識別子ではないEntra IDまたはIdPを使用してSAML JITを設定する場合は、 externalId リンク属性を使用して一意の識別子にマッピングすることをお勧めします。メールアドレスがリンク属性と一致しない場合、ユーザーには本人確認を行うか、正しいメールアドレスで新しいユーザーを作成するよう求められます。
新しく作成されたユーザーは、組織が自動 ライセンス テンプレートをセットアップしない限り、割り当てられたライセンスを自動的に 取得しません。
| 1 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 2 |
。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 3 |
IDプロバイダー タブに移動してください。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 4 |
IdP に移動して | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 5 |
SAMLマッピングを編集を選択します。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 6 |
ジャストインタイム (JIT) 設定を構成します。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 7 |
SAMLマッピングに必要な属性を設定します。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 8 |
リンク属性を設定します。 これはユーザー固有のものであるべきです。これは、Webexがユーザーのメールアドレスを含むすべてのプロファイル属性を更新できるように、ユーザーを検索するために使用されます。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 9 |
プロファイル属性を設定します。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 10 |
グループ属性を設定します。
ユーザーAが SAML JITプロビジョニングは、グループからのユーザーの削除や、ユーザーの削除をサポートしていません。
Webex Meetings の SAML アサーション属性の一覧については、 Webex Meetings および Jabber の SAML アサーション属性を参照してください。 |
証明書が期限切れに設定される前に Control Hub でアラートを受信しますが、アラートのルールを事前にセットアップすることもできます。このルールにより、SP または IdP 証明書の有効期限が切れる前に通知されます。この通知はメール、Webex アプリのスペース、または両方を通じて送ることができます。
配信チャネルの設定にかかわらず、すべてのアラートは常に Control Hub に表示されます。詳細については、「Control Hub のアラート センター」を参照してください。
| 1 | |
| 2 |
アラートセンターへ移動してください。 |
| 3 |
[管理]、[すべてのルール] の順に選択します。 |
| 4 |
[ルール] リストから、作成するいずれかの SSO ルールを選択します:
|
| 5 |
[配信チャネル] セクションで、[メール]、[Webex スペース]、または両方のチェックボックスをオンにします。 [メール] を選択した場合、通知を受け取る必要があるメール アドレスを入力します。 [Webex スペース] オプションを選択した場合、Webex アプリのスペースに自動的に追加され、そこに通知が送信されます。 |
| 6 |
変更を保存します。 |
次に行うこと
証明書の期限切れのアラートは 15 日おきに 1 回送信され、期限切れの 60 日前に開始されます。(60日目、45日目、30日目、15日目にアラートが届きます。)証明書を更新するとアラートは停止します。
SSO ログインで問題が発生した場合は、 SSO 自己復旧オプション を使用して、Control Hub で管理されている Webex 組織にアクセスできます。自己復旧オプションを使用すると、コントロールハブでSSOを更新または無効にすることができます。
をクリックして
をクリックします。
をクリックすると、SPメタデータまたは証明書をダウンロードできます。