Webex での複数の IdP による SSO

list-menuフィードバックがある場合
SSOを使用すると、ユーザーは Webexアプリアプリケーションや組織内の他のアプリケーションで、単一の共通の認証情報セットを使用できます。 Webex を使用すると、組織内の複数の ID プロバイダー (IdP) に対して SSO を設定し、ユーザー認証を行うことができます。また、さまざまな ドメインやユーザーグループの認証を設定するための ルーティングルールを作成することもできます。

シングルサインオン(SSO)を使用すると、ユーザーは組織の共通IDプロバイダーで認証することで、Webexに安全にサインインできます。IDプロバイダー(IdP)は、ユーザーのデジタルIDを安全に保存および管理し、Webexユーザー向けのユーザー認証サービスを提供します。

複数のIDプロバイダーが必要になる理由

多くの大企業は合併や買収を繰り返すが、これらの企業が同じITインフラやIDプロバイダーを持つことは稀である。政府機関は、その傘下に様々な組織や機関を有している。多くの場合、これらの組織は、IT部門とインフラストラクチャそれぞれに単一のメールアドレスを使用している。主要な教育機関には中央購買部門があるが、大学やカレッジごとにIT組織や部門は異なっている。

IDプロバイダー(IdP)とサービスプロバイダー(SP)が連携することはよくある。IdPはユーザーの認証情報を認証する責任を負い、SPはIdPが行った認証を信頼します。これにより、ユーザーは同じデジタルIDを使用して、さまざまなSaaSアプリケーションやサービスにアクセスできるようになります。しかし、何らかの理由で組織がIDプロバイダー間で連携できない場合、Webexは複数のIDプロバイダーをサポートするための回避策を提供します。こうした理由から、Webexでは複数のIDプロバイダー(IdP)に対応したSSO(シングルサインオン)を設定できるオプションを提供し、ユーザーの認証プロセスを簡素化します。

制限

  • 組織内でディレクトリコネクタを使用する場合は、すべてのユーザーにディレクトリコネクタをプロビジョニングする必要があります。詳細については、 ディレクトリコネクタの導入ガイド を参照してください。
  • 現在、IDプロバイダーとしてサポートしているのは、SAML、OpenID Connect、およびWebex Identityのみです。

対象外

  • グループ割り当てを設定します。

このセクションでは、IDプロバイダー(IdP)をWebex組織と統合する方法について説明します。組織の要件に最適なIDプロバイダーを選択できます。

Webex Meetings サイト (サイト管理で管理) の SSO 統合をお探しの場合は、 Webex 管理のシングル サインオンの設定を参照してください。

開始する前に

以下の条件が満たされていることを確認してください。

    • コントロールハブでフル管理者権限を持っている必要があります。
    • 複数のIDプロバイダーを設定する前に、ルーティングルールの動作を計画しておく必要があります。

    初期IdPを設定すると、デフォルトのルーティングルールが適用されます。ただし、別のIDプロバイダーをデフォルトとして設定することもできます。この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

ID プロバイダー タブに移動し、 SSO を有効にするをクリックします。

4

IdPとして SAML を選択し、 次へをクリックします。

5

証明書タイプを選択します。

  • Ciscoによる自己署名—この選択肢をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公開認証局によって署名されています— より安全ですが、メタデータを頻繁に更新する必要があります。
6

[メタデータのダウンロード] をクリックし、[次へ] をクリックします。

Webexアプリのメタデータファイル名は idb-meta-<org-ID>-SP.xmlです。

7

IDプロバイダーのメタデータファイルをアップロードするか、設定フォームに記入してください。

メタデータファイルをアップロードする際、顧客IDプロバイダーからのメタデータを検証する方法は2つあります。

  • 顧客 IdP は、公的ルート CA により署名されたメタデータの署名を提供します。
  • 顧客 IdP は事故署名のプライベート CA を提供するか、メタデータには署名を提供しません。このオプションは安全性が薄れます。
それ以外の場合は、設定フォームにIdP情報を入力してください。

[次へ] をクリックします。

8

(オプション) Webex ユーザー名 または プライマリメールアドレス の SAML 属性の名前を uid から、IdP マネージャーと合意した emailupnなどに変更することができます。

9

(オプション)Just In Time(JIT)設定とSAMLマッピング応答を設定します。

この記事の「IdP の管理」タブにある 「 Just In Time (JIT) と SAML マッピングの設定 」を参照してください。
10

SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

11

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSOとIdPを有効化 して 有効化をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。エラーを修正するには、前の手順に戻ってください

最初のラジオボタンを選択してSSOを有効化しない限り、SSOの設定は組織内で有効になりません。

次に行うこと

ルーティングルールを設定できます。この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。

組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にするには、 自動メールの抑制 の手順に従ってください。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

Entra ID またはメールアドレスが永続的な識別子ではない IdP を使用して OpenID Connect を設定する場合は、 externalId リンク属性を使用して一意の識別子にマッピングすることをお勧めします。Entra ID については、OIDC を externalIdにマッピングすることをお勧めします。メールアドレスがリンク属性と一致しない場合、ユーザーには本人確認を行うか、正しいメールアドレスで新しいユーザーを作成するよう求められます。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

ID プロバイダー タブに移動し、 SSO を有効にするをクリックします。

4

IdPとして OpenID Connect を選択し、 次へをクリックします。

5

アイデンティティプロバイダー(IdP)の情報を入力してください。

  • 名前— IdP を識別するための名前。
  • クライアントID— あなたとあなたのIDプロバイダーを識別するための固有のID。
  • クライアントシークレット— あなたとあなたの IdP が知っているパスワード。
  • スコープ— IdP に関連付けるスコープ。

6

(オプション) コード交換用証明キー(PKCE)構成を許可する をオンに切り替えて、このセキュリティ拡張機能を使用して OIDC IdP を設定します。

これにより、クライアントアプリケーションのセキュリティが強化され、それを必要とするユーザーとの互換性が確保されます。

7

エンドポイントを追加する方法を選択してください。これは自動的に行うことも、手動で行うことも可能です。

  • 検出URL を使用してエンドポイントを自動的に追加します。

    • ご利用のIdPの 検出URL を入力してください。このURLは、OIDCシングルログアウト(SLO)に必要なエンドポイントを自動的に設定します。
    • セッションの自動サインアウトを許可する をオンにすると、Webex からログアウトしたときに、接続されているすべてのアプリケーションとサービスからユーザーが確実にサインアウトされます。

  • すべてのエンドポイント情報を手動で追加する場合は、次の詳細を追加してください。

    • 発行者—IdPによって指定された発行者URLを入力してください。
    • 認証エンドポイント—認証エンドポイントのURLを入力してください。
    • トークンエンドポイント—トークンエンドポイントのURLを入力してください。
    • JWKSエンドポイント—JSON Web Key Set (JWKS) URLを入力します。
    • ユーザー情報エンドポイント—ユーザー情報エンドポイントのURLを入力してください。
    • セッションの自動サインアウトを許可する がオンになっている場合は、接続されているすべてのアプリケーションでシングルログアウト (SLO) を有効にするために、 セッションサインアウトエンドポイント URL を入力する必要があります。
    詳細については、 OpenID Connect 構成ガイドを参照してください。

8

(オプション)ジャストインタイム(JIT)設定を構成します。

この記事の「IdP の管理」タブにある 「 Just In Time (JIT) と SAML マッピングの設定 」を参照してください。
9

SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

10

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSOとIdPを有効化 して 有効化をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。エラーを修正するには、前の手順に戻ってください

最初のラジオボタンを選択してSSOを有効化しない限り、SSOの設定は組織内で有効になりません。

次に行うこと

ルーティングルールを設定できます。この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。

組織内の新しい Webex アプリ ユーザーに送信されるメールを無効にするには、 自動メールの抑制 の手順に従ってください。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

ID プロバイダー タブに移動し、 SSO を有効にするをクリックします。

4

IdPとして Webex を選択し、 次へをクリックします。

5

Webex IdP の仕組みを読み、理解しました にチェックを入れ、 次へをクリックします。

6

ルーティングルールを設定します。

この記事の「ルーティングルール」タブにある 「ルーティングルール の追加または編集」を参照してください。

ルーティングルールを追加すると、IdPが追加され、 IDプロバイダー タブの下に表示されます。

次に行うこと

組織内の新しい Webex アプリユーザーに送信されるメールを無効にするには、 自動メールの抑制 の手順に従ってください。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

ルーティングルールは、複数のIDプロバイダーを設定する場合に適用されます。ルーティングルールを使用すると、複数のIDプロバイダー(IdP)を設定している場合に、WebexがユーザーをどのIdPに送信するかを識別できます。

複数のIDプロバイダーを設定する場合、SSO設定ウィザードでルーティングルールを定義できます。ルーティングルールの設定手順をスキップすると、コントロールハブはIdPを追加しますが、IdPをアクティブ化しません。IdPを有効にするには、ルーティングルールを追加する必要があります。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

ルーティングルール タブに移動します。

最初の IdP を設定すると、ルーティング ルールが自動的に追加され、 デフォルト ルールとして設定されます。後で別のIDプロバイダーを選択して、デフォルトルールとして設定することもできます。

4

新しいルーティングルールを追加をクリックします。

5

ルーティングルールの詳細を入力してください。

  • ルール名— ルーティングルールの名前を入力します。
  • ルーティングタイプを選択してください—ドメインまたはグループを選択してください。
  • もしこれらがあなたの domains/groups—入力 domains/groups 組織内で。
  • 次に、このIDプロバイダーを使用します— IdPを選択します。

6

多要素認証(MFA)の方法を選択してください。

  • 現在のMFAステータスを維持する—変更を加えることなく、既存のMFAメソッドを維持できます。
  • 現在の MFA ステータスを上書きします—既存の MFA 方法を新しい構成に変更することができます。
  • このルールのみMFAを許可する—現在のルーティングルールに対してMFAを有効にするには、オンにします。

組織向けにMFAを設定する方法の詳細については、 Control Hubで多要素認証統合を有効にするを参照してください。

7

[追加] をクリックします。

8

新しいルーティングルールを選択し、 有効化をクリックします。

複数のIDプロバイダー(IdP)に対してルーティングルールを設定している場合、ルーティングルールの優先順位を変更できます。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

ルーティングルール タブに移動します。

4

ルーティングルールを選択してください。

5

ルーティングルールを 無効化 するか 削除 するかを選択してください。

IdP(アイデンティティプロバイダー)に対して、別の有効なルーティングルールを設定しておくことをお勧めします。そうしないと、SSOログインで問題が発生する可能性があります。

デフォルトルール は無効化または削除できませんが、ルーティングされたIdPを変更することはできます。

開始する前に

Control Hub で、IdP 証明書が期限切れとなるという旨のメール通知を受信したか、アラートを見たことがあると思います。IdP ベンダーには証明書の更新に関する固有のドキュメントがあるため、Control Hub で必要な内容を説明します。これには、更新された IdP メタデータを取得し、それを Control Hub にアップロードして証明書を更新するための汎用手順もあります。

これはSAMLの設定にのみ適用されます。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

IDプロバイダー タブに移動してください。

4

IdP に移動し、 アップロード をクリックして IdP メタデータのアップロードを選択します。

メタデータファイルをダウンロードするには、 ダウンロード をクリックして Idpメタデータのダウンロードを選択します。
5

IdP 管理インターフェイスに移動して、新しいメタデータ ファイルを取得します。

6

コントロール ハブに戻り、IdP メタデータ ファイルをアップロード領域にドラッグ アンド ドロップするか、 ファイルを選択 をクリックしてメタデータをアップロードします。

7

IdPメタデータの署名方法に応じて、 安全性が低い (自己署名) または 安全性が高い (公開CAによる署名) を選択し、 保存をクリックします。

8

ジャストインタイム(JIT)設定とSAMLマッピング応答を構成します。

この記事の「IdP の管理」タブにある 「 Just In Time (JIT) と SAML マッピングの設定 」を参照してください。
9

SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

10

[保存] をクリックします。

開始する前に

SP証明書を更新する際には、組織内のすべてのIDプロバイダー(IdP)を更新することをお勧めします。

これはSAMLの設定にのみ適用されます。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

IDプロバイダー タブに移動してください。

4

IdP に移動して 次へアイコンをクリックします。

5

証明書と有効期限を確認するをクリックしてください。

これにより、 サービスプロバイダー(SP)証明書 ページに移動します。 詳細メニュー をクリックすると、SPメタデータまたは証明書をダウンロードできます。

組織でデュアル証明書を使用している場合は、セカンダリ証明書をプライマリ証明書に切り替えたり、既存のセカンダリ証明書を削除したりすることもできます。

6

証明書の更新をクリックします。

7

組織内で使用するIDプロバイダーの種類を選択してください。

  • 単一の証明書をサポートする IdP
  • 複数の証明書をサポートする IdP
8

更新のために証明書のタイプを選択します:

  • Ciscoによる自己署名(推奨)—この選択肢をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公開認証局によって署名されています— より安全ですが、メタデータを頻繁に更新する必要があります。
9

現在の証明書を選択した証明書に置き換えることを確認するには、 [証明書の置き換え] をクリックして現在の証明書を選択した証明書に置き換えますにチェックを入れ、 [証明書の置き換え]をクリックします。

10

サービスプロバイダー (SP) 証明書の更新 ページで、 メタデータのダウンロード または 証明書のダウンロード をクリックして、Webex クラウドから更新されたメタデータ ファイルまたは証明書のコピーをダウンロードします。

11

IdP管理インターフェースに移動して、新しいWebexメタデータファイルまたは証明書をアップロードしてください。

この手順は、IdP のセットアップや、別の IdP 管理者がこのステップを担当するかに応じて、ブラウザー タブ、リモート デスクトップ プロトコル (RDP)、または特定のクラウド プロバイダー サポートを通じて行うことができます。

詳細については、 SSO統合ガイド を参照するか、サポートが必要な場合はIdP管理者にお問い合わせください。Active Directory Federation Services (AD FS) を使用している場合は、 AD FS で Webex メタデータを更新する方法を参照してください

12

コントロールハブのインターフェースに戻ります。 サービスプロバイダー (SP) 証明書の更新 ページで、 すべての IdP のメタデータを既に更新しましたにチェックを入れ、 次へをクリックします。

13

[完了] をクリックします。

始める前に

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

IDプロバイダー タブに移動してください。

4

IdP に移動して 詳細メニューをクリックします。

5

テスト IdPを選択してください。

6

SSO 設定のテストをクリックし、新しいブラウザ タブが開いたら、サインインして IdP で認証します。

認証エラーが発生した場合は、認証情報に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSOサインインの体験を確認するには、この画面から URLをクリップボードにコピー をクリックし、プライベートブラウザウィンドウに貼り付けることをお勧めします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

7

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSOとIdPを有効化し保存をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。エラーを修正するには、前の手順に戻ってください

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

始める前に

次の条件が満たされている必要があります。

  • SSO設定済みです。

  • ドメインはすでに検証済みです。

  • ドメインは取得され、有効化されています。この機能により、お客様のドメインのユーザーは、お客様のIDプロバイダーで認証を行うたびに、必ず一度だけ作成および更新されます。

  • DirSyncまたはEntra IDが有効になっている場合、SAML JITによる作成または更新は機能しません。

  • 「更新ユーザー プロファイルブロックする」が有効になっています。この構成は属性を編集するユーザーの能力をコントロールするために、SAML 更新マッピングが許可されます。管理者が管理する作成および更新の方法は引き続きサポートされています。

Eメールが永続的な識別子ではないEntra IDまたはIdPを使用してSAML JITを設定する場合は、 externalId リンク属性を使用して一意の識別子にマッピングすることをお勧めします。メールアドレスがリンク属性と一致しない場合、ユーザーには本人確認を行うか、正しいメールアドレスで新しいユーザーを作成するよう求められます。

新しく作成されたユーザーは、組織が自動 ライセンス テンプレートをセットアップしない限り、割り当てられたライセンスを自動的に 取得しません。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

IDプロバイダー タブに移動してください。

4

IdP に移動して 詳細メニューをクリックします。

5

SAMLマッピングを編集を選択します。

6

ジャストインタイム (JIT) 設定を構成します

  • ユーザーを作成または有効化: アクティブなユーザーが見つからない場合、Webex Identity はユーザーを作成し、ユーザーが IdP で認証された後に属性を更新します。
  • SAML 属性でユーザーを更新します: メールアドレスを持つユーザーが見つかった場合、Webex Identity は SAML アサーション中にマップされた属性でユーザーを更新します。
ユーザーが、識別不可能な別のメールアドレスでログインできることを確認してください。

7

SAMLマッピングに必要な属性を設定します。

表1. 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名 /メインのメールアドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

リンク属性を設定します。

これはユーザー固有のものであるべきです。これは、Webexがユーザーのメールアドレスを含むすべてのプロファイル属性を更新できるように、ユーザーを検索するために使用されます。
表 2. 属性のリンク

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

内線属性 1

例: user.extensionattribute1

これらのカスタム属性をEntra IDまたはディレクトリ内の拡張属性にマッピングして、追跡コードに使用してください。

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: ユーザー拡張機能属性4

内線属性 5

例: user.extensionattribute5

9

プロファイル属性を設定します

表 3。 プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

preferredLanguage

例: user.preferred言語

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: user.タイムゾーン

ユーザーのプライマリ タイムゾーン。

displayName

例: user.displayname

Webex でのユーザーの表示名です。

name.givenName

例: user.givenname

ユーザーの名。

name.familyName

例: user.姓

ユーザーの姓。

addresses.streetAddress

例: user.streetaddress

主な勤務地の住所。

アドレス.地域

例: ユーザー.ローカル主な勤務地の地方。

アドレス.地域

例: user.region

主な勤務地の地域。

addresses.郵便番号

例: user.郵便番号

主な勤務地の郵便番号。

アドレス.国

例: ユーザー.国

主な勤務地の国。

phoneNumbers.work

例: 仕事用電話番号

主な勤務地の電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

phoneNumbers.extension

例: 内線電話番号

主な勤務先電話番号の内線。国際的な E.164 形式のみを使用します (最大 15 桁)。

電話番号.モバイル

例: 携帯電話番号主な勤務地の携帯電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

title

例: user.jobtitle

ユーザーの職位です。

部門

例: user.department

ユーザーの所属する部署またはチームです。

メール.仕事例: 仕事のメールユーザーの勤務先メール。
ご利用ください例: ユーザー組織ユーザーの組織ID
10

グループ属性を設定します

  1. コントロールハブでグループを作成し、WebexグループIDをメモしてください。
  2. ユーザーディレクトリまたはIDプロバイダーにアクセスし、WebexグループIDに割り当てられるユーザーの属性を設定してください。
  3. IdP の設定を更新して、この属性名と Webex グループ ID (例: c65f7d85-b691-42b8-a20b-12345xxxx) を含むクレームを追加してください。外部IDは、グループ名の変更管理や将来の統合シナリオにも使用できます。例えば、Entra IDとの同期やSCIMグループ同期の実装などです。
  4. グループIDとともにSAMLアサーションで送信される属性の正確な名前を指定してください。これは、ユーザーをグループに追加するために使用されます。
  5. SAMLアサーションでメンバーを送信するためにディレクトリ内のグループを使用する場合は、グループオブジェクトの外部IDの正確な名前を指定してください。

ユーザーAが groupID 1234に関連付けられ、ユーザーBが groupID 4567に関連付けられている場合、彼らは別々のグループに割り当てられます。このシナリオは、単一の属性によってユーザーが複数のグループIDに関連付けることができることを示しています。これは稀なケースではあるが、起こり得ることであり、付加的な変化とみなすことができる。例えば、ユーザー A が最初に groupID 1234 を使用してサインインすると、対応するグループのメンバーになります。ユーザー A が後で groupID 4567 を使用してサインインした場合、そのユーザーもこの 2 番目のグループに追加されます。

SAML JITプロビジョニングは、グループからのユーザーの削除や、ユーザーの削除をサポートしていません。

表 4. グループ属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループID

例: グループID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループ外部ID

例: グループ外部ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

Webex Meetings の SAML アサーション属性の一覧については、 Webex Meetings および Jabber の SAML アサーション属性を参照してください。

開始する前に

IdPを削除する前に、まずIdPのルーティングルールを無効化または削除することをお勧めします。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

IDプロバイダー タブに移動してください。

4

IdP に移動して 詳細メニューをクリックします。

5

[削除] を選択します。

1

Control Hub にサインインします。

2

管理 へ移動 > 安全 > 認証

3

IDプロバイダー タブに移動してください。

4

SSOを無効にするをクリックします。

SSOの無効化を確認してください。

確認が完了すると、組織内のすべてのIDプロバイダー(IdP)でSSOが無効化されます。

証明書が期限切れに設定される前に Control Hub でアラートを受信しますが、アラートのルールを事前にセットアップすることもできます。このルールにより、SP または IdP 証明書の有効期限が切れる前に通知されます。この通知はメール、Webex アプリのスペース、または両方を通じて送ることができます。

配信チャネルの設定にかかわらず、すべてのアラートは常に Control Hub に表示されます。詳細については、「Control Hub のアラート センター」を参照してください。

1

Control Hub にサインインします。

2

アラートセンターへ移動してください。

3

[管理][すべてのルール] の順に選択します。

4

[ルール] リストから、作成するいずれかの SSO ルールを選択します:

  • SSO IdP 証明書の期限切れ
  • SSO SP 証明書の期限切れ
5

[配信チャネル] セクションで、[メール][Webex スペース]、または両方のチェックボックスをオンにします。

[メール] を選択した場合、通知を受け取る必要があるメール アドレスを入力します。

[Webex スペース] オプションを選択した場合、Webex アプリのスペースに自動的に追加され、そこに通知が送信されます。

6

変更を保存します。

次に行うこと

証明書の期限切れのアラートは 15 日おきに 1 回送信され、期限切れの 60 日前に開始されます。(60日目、45日目、30日目、15日目にアラートが届きます。)証明書を更新するとアラートは停止します。

SSO ログインで問題が発生した場合は、 SSO 自己復旧オプション を使用して、Control Hub で管理されている Webex 組織にアクセスできます。自己復旧オプションを使用すると、コントロールハブでSSOを更新または無効にすることができます。

この投稿記事は役に立ちましたか?
この投稿記事は役に立ちましたか?