シングル サインオン (SSO) により、ユーザーは組織の共通 ID プロバイダーを認証することで、Webex に安全にサインインできます。ID プロバイダー (IdP) は、ユーザーのデジタル ID を安全に保存および管理し、Webex ユーザーのユーザー認証サービスを提供します。

複数の IdP が必要な理由

多くの大企業が合併や買収を受けており、これらの企業は、ほとんど同じ IT インフラストラクチャと ID プロバイダーを持つことはありません。政府機関には、さまざまな組織や機関がある。多くの場合、これらの組織には、それぞれ独自の IT 部門とインフラストラクチャに対して、単一のメール アドレスがあります。主要な教育機関には中央購入部門がありますが、IT組織や部署が異なる大学や大学があります。

IdP とサービス プロバイダー (SP) が相互にフェデレーションしていることがよくあります。IdP はユーザーの資格情報を認証する責任があり、SP は IdP によって行われた認証を信頼します。これにより、ユーザは同じデジタル ID を使用してさまざまな SaaS アプリケーションとサービスにアクセスできます。ただし、何らかの理由で IdP 間でフェデレーションできない場合、Webex は複数の IdP をサポートするための回避策を提供します。これらの理由から、Webex で複数の IdP に SSO を設定し、ユーザーの認証プロセスを簡素化するオプションが提供されています。

制限

  • この機能は、Webex 拡張セキュリティ パックを購入した場合にのみ利用できます。
  • 組織で Directory Connector を使用している場合は、すべてのユーザーを Directory Connector でプロビジョニングする必要があります。詳細については、『Directory Connector 展開ガイド 』を参照してください。
  • 現在、SAML、OpenID Connect、および Webex ID のみを ID プロバイダとしてサポートしています。

範囲外

  • グループ割り当てを設定します。

このセクションでは、ID プロバイダー (IdP) を Webex 組織と統合する方法について説明します。組織の要件に最適な IdP を選択できます。

Webex Meetings サイト (サイト管理で管理) の SSO インテグレーションを探している場合は、「Webex 管理にシングル サインオンを設定する」を参照してください。

前提条件

開始する前に

次の条件が満たされていることを確認します。

  • Control Hub で複数の IdP を使用して SSO を設定するには、Webex 拡張セキュリティ パックが必要です。
  • Control Hub でフル管理者ロールが必要です。
  • 複数の IdP を設定する前に、ルーティング ルールの動作を計画する必要があります。
最初の IdP を設定すると、デフォルトのルーティング ルールが適用されます。ただし、別の IdP をデフォルトとして設定することもできます。この記事の [ルーティング ルール] タブの [ルーティング ルールの追加または編集] を参照してください。
SAML の設定
1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックして、構成ウィザードを開始します。

3

IdP として [SAML] を選択し、[次へ] をクリックします。

4

証明書タイプを選択します。

  • Cisco による自己署名—この選択をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公共認証局による署名: より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない場合)。
信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。
5

[メタデータのダウンロード] をクリックし、[次へ] をクリックします。

Webex アプリのメタデータのファイル名は idb-meta--SP.xml です。

6

IdP メタデータ ファイルをアップロードするか、設定フォームに入力します。

メタデータ ファイルをアップロードする場合、顧客 IdP からメタデータを検証するには 2 つの方法があります。

  • 顧客 IdP は、公的ルート CA により署名されたメタデータの署名を提供します。
  • 顧客 IdP は事故署名のプライベート CA を提供するか、メタデータには署名を提供しません。このオプションは安全性が薄れます。
それ以外の場合は、設定フォームで IdP 情報を入力します。

[次へ] をクリックします。

7

(オプション) Webex ユーザー名 またはプライマリ メール アドレス の SAML 属性の名前を uid から、emailupn などの IdP マネージャで合意したものに変更できます。

8

(オプション)Just In Time(JIT)設定と SAML マッピング応答を設定します。

この記事の [IdP の管理] タブで、Just In Time (JIT) と SAML マッピングを構成する を参照してください。
9

[SSO セットアップのテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーを受信した場合、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から [URL をクリップボードにコピー] をクリックして、プライベート ブラウザ ウィンドウに貼り付けることをおすすめします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

10

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSO と IdP をアクティベートし[アクティベート] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。前のステップに戻り、エラーを修正します
最初のラジオ ボタンを選択し、SSO を有効化しない限り、SSO 設定は組織で有効になりません。

次に行うこと

ルーティング ルールを設定できます。この記事の [ルーティング ルール] タブの [ルーティング ルールの追加または編集] を参照してください。

自動メールを抑制する 」の手順に従って、組織の新しい Webex アプリユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

OpenID Connect を設定
1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックして、構成ウィザードを開始します。

3

IdP として [OpenID Connect] を選択し、[次へ] をクリックします。

4

IdP 情報を入力します。

  • 名前: IdP を識別する名前。
  • クライアント ID—自分と IdP を識別するための固有の ID。
  • クライアント シークレット—お客様と IdP が知っているパスワードです。
  • スコープ: IdP に関連付けるスコープ。

5

エンドポイントの追加方法を選択します。これは、自動または手動で行うことができます。

  • ディスカバリー URL を使用する—IdP の構成 URL を入力します。
  • エンドポイント情報を手動で追加する—次の詳細を入力します。

    • 発行者
    • 認証エンドポイント
    • トークン エンドポイント
    • JWKS エンドポイント
    • Userinfo エンドポイント
    詳細については、『OpenID Connect 構成ガイド』を参照してください。

6

(オプション)Just In Time(JIT)設定を行います。

この記事の [IdP の管理] タブで、Just In Time (JIT) と SAML マッピングを構成する を参照してください。
7

[SSO セットアップのテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーを受信した場合、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から [URL をクリップボードにコピー] をクリックして、プライベート ブラウザ ウィンドウに貼り付けることをおすすめします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

8

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSO と IdP をアクティベートし[アクティベート] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。前のステップに戻り、エラーを修正します
最初のラジオ ボタンを選択し、SSO を有効化しない限り、SSO 設定は組織で有効になりません。

次に行うこと

ルーティング ルールを設定できます。この記事の [ルーティング ルール] タブの [ルーティング ルールの追加または編集] を参照してください。

自動メールを抑制する 」の手順に従って、組織の新しい Webex アプリユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

Webex ID を設定
1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックして、構成ウィザードを開始します。

3

IdP として [Webex] を選択し、[次へ] をクリックします。

4

[Webex IdP の仕組みを読み、理解しました] をチェックし、[次へ] をクリックします。

5

ルーティング ルールをセットアップします。

この記事の [ルーティング ルール] タブの [ルーティング ルールの追加または編集] を参照してください。

ルーティング ルールを追加すると、IdP が追加され、[ID プロバイダー] タブの下に表示されます。

次に行うこと

[自動メールを抑制する] の手順に従って、組織の新しい Webex アプリユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

複数の IdP を設定する場合は、ルーティング ルールを適用できます。ルーティング ルールにより、複数の IdP を設定しているときに、Webex はどの IdP をユーザーに送信するかを特定できます。

複数の IdP をセットアップする場合、SSO 設定ウィザードでルーティング ルールを定義できます。ルーティング ルールのステップをスキップすると、Control Hub は IdP を追加しますが、IdP はアクティブになりません。IdP を有効にするには、ルーティング ルールを追加する必要があります。

ルーティング ルールの追加または編集
1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ルーティング ルール] タブに移動します。

最初の IdP を設定すると、ルーティング ルールが自動的に追加され、[デフォルト ルール] として設定されます。別の IdP を選択して、後でデフォルト ルールとして設定できます。

4

[新しいルーティング ルールを追加] をクリックします。

5

新しいルールの詳細を入力します。

  • ルール名—ルーティング ルールの名前を入力します。
  • ルーティング タイプを選択—ドメインまたはグループを選択します。
  • これらが自分のドメイン/グループの場合: 組織内のドメイン/グループを入力します。
  • 次に、この ID プロバイダーを使用—IdP を選択します。

6

[追加] をクリックします。

7

新しいルーティング ルールを選択し、[アクティベート] をクリックします。

複数の IdP のルーティング ルールがある場合は、ルーティング ルールの優先順位を変更できます。
ルーティング ルールを無効化または削除
1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ルーティング ルール] タブに移動します。

4

ルーティング ルールを選択します。

5

ルーティング ルールを非アクティブ化 または削除 するかどうかを選択します。

IdP に対して別のアクティブなルーティング ルールがあることを推奨します。そうしないと、SSO ログインで問題が発生する可能性があります。

[デフォルト ルール] は非アクティブ化または削除できませんが、ルーティングされた IdP を変更できます。
ID プロバイダー (IdP) 証明書を管理する

開始する前に

Control Hub で、IdP 証明書が期限切れとなるという旨のメール通知を受信したか、アラートを見たことがあると思います。IdP ベンダーには証明書の更新に関する固有のドキュメントがあるため、Control Hub で必要な内容を説明します。これには、更新された IdP メタデータを取得し、それを Control Hub にアップロードして証明書を更新するための汎用手順もあります。

これは SAML 設定にのみ適用されます。

1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ID プロバイダー] タブに移動します。

4

IdP に進み、アップロード をクリックし、[Idp メタデータをアップロード] を選択します。

メタデータ ファイルをダウンロードするには、ダウンロード をクリックし、[Idp メタデータをダウンロード] を選択します。
5

IdP 管理インターフェイスに移動して、新しいメタデータ ファイルを取得します。

6

Control Hub に戻り、IdP メタデータ ファイルをアップロード エリアにドラッグ アンド ドロップするか、[ファイルを選択] をクリックしてメタデータをアップロードします。

7

IdP メタデータの署名方法に応じて、[安全性が低い] (自己署名) または [安全性の向上] (パブリック CA により署名済み) を選択し、[保存] をクリックします。

8

Just In Time (JIT) 設定と SAML マッピング応答を設定します。

この記事の [IdP の管理] タブで、Just In Time (JIT) と SAML マッピングを構成する を参照してください。
9

[SSO セットアップのテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーを受信した場合、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から [URL をクリップボードにコピー] をクリックして、プライベート ブラウザ ウィンドウに貼り付けることをおすすめします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

10

[保存] をクリックします。

サービスプロバイダー (SP) 証明書を管理する

開始する前に

SP 証明書を更新する際には、組織内のすべての IdP を更新することをお勧めします。

これは SAML 設定にのみ適用されます。

1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ID プロバイダー] タブに移動します。

4

IdP に移動し、 をクリックします。

5

[証明書と有効期限を確認する] をクリックします。

これにより、[サービス プロバイダー (SP) 証明書] ウィンドウに移動します。
6

[証明書を更新] をクリックします。

7

組織内の IdP のタイプを選択します。

  • 複数の証明書をサポートする IdP
  • 単一の証明書をサポートする IdP
8

更新のために証明書のタイプを選択します:

  • Cisco による自己署名—この選択をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公共認証局による署名: より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない場合)。
信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。
9

[メタデータをダウンロード] または [証明書をダウンロード] をクリックして、更新されたメタデータ ファイルまたは証明書のコピーを Webex クラウドからダウンロードします。

10

IdP 管理インターフェイスに移動して、新しい Webex メタデータ ファイルまたは証明書をアップロードします。

この手順は、IdP のセットアップや、別の IdP 管理者がこのステップを担当するかに応じて、ブラウザー タブ、リモート デスクトップ プロトコル (RDP)、または特定のクラウド プロバイダー サポートを通じて行うことができます。

詳細については、SSO インテグレーション ガイドを参照 するか、または IdP 管理者に連絡してサポートを受けてください。Active Directory フェデレーション サービス (AD FS) を使用している場合、AD FS で Webex メタデータを更新する方法を確認できます

11

Control Hub インターフェイスに戻り、[次へ] をクリックします。

12

[すべての IdP を正常に更新しました] を選択し、[次へ] をクリックします。

これにより、SP メタデータ ファイルまたは証明書が組織内のすべての IdP にアップロードされます。

13

[更新の終了] をクリックします。

SSO 設定をテスト

始める前に

1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ID プロバイダー] タブに移動します。

4

IdP に移動し、詳細メニュー をクリックします。

5

[IdP のテスト] を選択します。

6

[SSO セットアップのテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。

認証エラーを受信した場合、資格情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを確認するには、この画面から [URL をクリップボードにコピー] をクリックして、プライベート ブラウザ ウィンドウに貼り付けることをおすすめします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

7

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSO と IdP をアクティベートし[保存] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。前のステップに戻り、エラーを修正します
最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

Just In Time (JIT) および SAML マッピングの設定

始める前に

次の条件が満たされている必要があります。

  • SSO設定済みです。

  • ドメインはすでに検証済みです。

  • ドメインは要求され、オンになっています。この機能により、IdP で認証するたびに、ドメインのユーザーが作成され、更新されます。

  • DirSync または Azure AD が有効になっている場合、SAML JIT の作成または更新は機能しません。

  • 「更新ユーザー プロファイルブロックする」が有効になっています。この構成は属性を編集するユーザーの能力をコントロールするために、SAML 更新マッピングが許可されます。管理者が管理する作成および更新の方法は引き続きサポートされています。

メールが永続的な識別子ではない Azure AD または IdP で SAML JIT を設定する場合は、externalId リンク属性を使用して、一意の識別子にマッピングすることをお勧めします。メール アドレスがリンク属性と一致しないことが判明した場合、ユーザーは ID を確認するか、正しいメール アドレスで新しいユーザーを作成するようにプロンプトされます。

新しく作成されたユーザーは、組織が自動 ライセンス テンプレートをセットアップしない限り、割り当てられたライセンスを自動的に 取得しません。

1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ID プロバイダー] タブに移動します。

4

IdP に移動し、詳細メニュー をクリックします。

5

[SAML マッピングの編集] を選択します。

6

Just-in-Time (JIT) 設定を設定します。

  • ユーザーを作成または有効化: アクティブなユーザーが見つからない場合、Webex Identity はユーザーを作成し、ユーザーが IdP で認証した後、属性を更新します。
  • SAML 属性でユーザーを更新します: メールアドレスを持つユーザーが見つかった場合、Webex Identity は SAML アサーション中にマップされた属性でユーザーを更新します。
ユーザーが別の身元不明のメールアドレスでサインインできることを確認します。

7

SAML マッピングの必須属性を設定します。

表1。 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名 /メインのメールアドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

[リンク属性] を設定します。

これはユーザに固有である必要があります。Webex がユーザーのメールを含むすべてのプロファイル属性を更新できるように、ユーザーの検索に使用されます。
表 2. リンク属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

ユーザーの従業員番号、または人事システム内の ID 番号。これは externalid 用ではないことに注意してください。他のユーザーの雇用番号 を再使用またはリサイクルできるためです。

内線属性 1

例: user.extensionattribute1

これらのカスタム属性をトラッキング コードのために、Active Directory、Azure、ディレクトリの拡張属性にマッピングします。

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: user.extensionlattribute4

内線属性 5

例: user.extensionattribute5

9

プロファイル属性を設定します。

表 3. プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

employeenumber

例: user.employeeid

このユーザーの従業員番号または人事システム内の ID 番号です。これは「externalid」用ではないので、他のユーザーに対して「employeenumber」を再利用または再利用することができます。

preferredLanguage

例: user.preferred言語

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: user.タイムゾーン

ユーザーのプライマリ タイムゾーン。

displayName

例: user.displayname

Webex でのユーザーの表示名です。

name.givenName

例: user.givenname

ユーザーの名。

name.familyName

例: user.姓

ユーザーの姓。

addresses.streetAddress

例: user.streetaddress

主な勤務地の住所。

アドレス.州

例: user.state

主な作業場所の状態です。

アドレス.地域

例: user.region

主な勤務地の地域。

addresses.郵便番号

例: user.郵便番号

主な勤務地の郵便番号。

アドレス.国

例: ユーザー.国

主な勤務地の国。

phoneNumbers.work

例: 仕事用電話番号

主な勤務地の電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

phoneNumbers.extension

例: 携帯電話番号

主な勤務先電話番号の内線。国際的な E.164 形式のみを使用します (最大 15 桁)。

代名詞

例: user.pronoun

ユーザーの発表。これはオプションの属性であり、ユーザーまたは管理者はプロファイルで表示可能です。

title

例: user.jobtitle

ユーザーの職位です。

部門

例: user.department

ユーザーの所属する部署またはチームです。

代名詞

例: user.pronoun

これはユーザーの第一例です。この属性の可視性は管理者とユーザーにより制御されます

マネージャー

例: マネージャー

ユーザーのマネージャーまたはチームのリード。

コストセンター

例: コストセンター

これは姓または姓とも呼ばれるユーザーの姓です

メール。代替1

例: user.mailnickname

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替2

例: user.primaryauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代替3

例: user.alternativeauthoritativemail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メールアドレス。代替4

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。

メール。代わりの 5

例: user.othermail

ユーザーの代わりのメール アドレスです。ユーザーがそれを使用してサインインできたい場合は、uid にマップします。
10

内線属性を設定します。

これらの属性を、これらの属性を Active Directory Azure、またはディレクトリの拡張属性にトラッキング コード。
表 4. 内線の属性

Webex Identity 属性名

SAML 属性名

内線属性 1

例: user.extensionattribute1

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: user.extensionattribute4

内線属性 5

例: user.extensionattribute5

内線属性 6

例: user.extensionattribute6

内線属性 7

例: user.extensionattribute7

内線属性 8

例: user.extensionattribute8

内線属性 9

例: user.extensionattribute9

内線属性 10

例: user.extensionattribute10

11

[グループ属性] を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動して、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、この属性名を Webex グループ ID とともに含める必要があります (例: c65f7d85-b691-42b8-a20b-12345xxxx)。また、外部 ID を使用して、グループ名の変更を管理したり、将来のインテグレーションシナリオを管理したりすることもできます。たとえば、Azure AD と同期したり、SCIM グループの同期を実装したりできます。
  4. グループ ID を使用して SAML アサーションで送信される属性の正確な名前を指定します。これは、ユーザをグループに追加するために使用されます。
  5. SAML アサーションでメンバーを送信するためにディレクトリからグループを使用している場合、グループ オブジェクトの外部 ID の正確な名前を指定します。

ユーザー A が groupID 1234 と関連付けられ、ユーザー B が groupID 4567 と関連付けられている場合、それらは別のグループに割り当てられます。このシナリオは、1 つの属性により、ユーザが複数のグループ ID に関連付けることができることを示します。これは珍しいですが、それは可能であり、追加的な変更と見なすことができます。たとえば、ユーザー A が最初に groupID 1234 を使用してサインインすると、そのユーザーは対応するグループのメンバーになります。ユーザー A が後で groupID 4567 を使用してサインインすると、この 2 番目のグループにも追加されます。

SAML JIT プロビジョニングでは、グループからのユーザの削除またはユーザの削除はサポートされません。

表 5. グループ属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループ ID

例:グループ ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループ外部 ID

例:グループ外部 ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

SAML アサーション属性の一覧については、Webex Meetingsを参照してください https://help.webex.com/article/WBX67566

ID プロバイダー (IdP) を削除

開始する前に

IdP を削除する前に、まず IdP のルーティング ルールを無効または削除することをお勧めします。
1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ID プロバイダー] タブに移動します。

4

IdP に移動し、詳細メニュー をクリックします。

5

[削除] を選択します。

1

Control Hub にサインインします。

2

[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

3

[ID プロバイダー] タブに移動します。

4

[SSO を無効にする] をクリックします。

SSO を無効化することを確認します。

確認すると、組織内のすべての IdP で SSO が無効になります。

証明書が期限切れに設定される前に Control Hub でアラートを受信しますが、アラートのルールを事前にセットアップすることもできます。このルールにより、SP または IdP 証明書の有効期限が切れる前に通知されます。この通知はメール、Webex アプリのスペース、または両方を通じて送ることができます。

配信チャネルの設定にかかわらず、すべてのアラートは常に Control Hub に表示されます。詳細については、「Control Hub のアラート センター」を参照してください。

1

Control Hub にサインインします。

2

[アラート センター] に移動します。

3

[管理][すべてのルール] の順に選択します。

4

[ルール] リストから、作成するいずれかの SSO ルールを選択します:

  • SSO IdP 証明書の期限切れ
  • SSO SP 証明書の期限切れ
5

[配信チャネル] セクションで、[メール][Webex スペース]、または両方のチェックボックスをオンにします。

[メール] を選択した場合、通知を受け取る必要があるメール アドレスを入力します。

[Webex スペース] オプションを選択した場合、Webex アプリのスペースに自動的に追加され、そこに通知が送信されます。

6

変更を保存します。

次に行うこと

証明書の期限切れのアラートは 15 日おきに 1 回送信され、期限切れの 60 日前に開始されます。(60、45、30、15 日にアラートが期待できます。) 証明書を更新するとアラートが停止します。

SSO ログインで問題が発生した場合、SSO セルフリカバリ オプション を使用して、Control Hub で管理されている Webex 組織にアクセスできます。セルフリカバリ オプションを使用すると、Control Hub で SSO を更新または無効にできます。