コントロール ハブのシングル サインオン認証を変更する

始める前に

次の条件が満たされている必要があります。

  • SSO設定済みです。SSO 構成ウィザードの使用方法については、 Control Hub でのシングル サインオン統合を参照してください。

  • ドメインはすでに検証済みです。

  • ドメインが要求され、有効になっています。この機能により、ドメインのユーザーは IdP で認証されるたびに作成され、更新されます。

  • DirSync または Entra ID が有効になっている場合、SAML JIT の作成または更新は機能しません。

  • 「更新ユーザー プロファイルブロックする」が有効になっています。この構成は属性を編集するユーザーの能力をコントロールするために、SAML 更新マッピングが許可されます。管理者が管理する作成および更新の方法は引き続きサポートされています。

新しく作成されたユーザーは、組織が自動 ライセンス テンプレートをセットアップしない限り、割り当てられたライセンスを自動的に 取得しません。

グループの SAML JIT プロビジョニングのユーザー プロビジョニングは、1 つのグループのみに制限されます。

1

Control Hub にサインインします。

2

管理へ移動 > 安全 > 認証.

3

アイデンティティプロバイダー タブに移動します。

4

IdPに移動して 詳細メニューをクリックします。

5

SAML マッピングの編集を選択します。

6

ジャストインタイム (JIT) 設定を構成します。

  • ユーザーを作成または有効化: アクティブなユーザーが見つからない場合、Webex Identity はユーザーを作成し、ユーザーが IdP で認証された後に属性を更新します。
  • SAML 属性でユーザーを更新します: メールアドレスを持つユーザーが見つかった場合、Webex Identity は SAML アサーション中にマップされた属性でユーザーを更新します。
ユーザーが別の識別不可能なメール アドレスを使用してサインインできることを確認します。

7

SAMLマッピングの必須属性を構成します。

表1. 必須の属性

Webex Identity 属性名

SAML 属性名

属性の説明

ユーザー名 /メインのメールアドレス

例: uid

UID 属性をプロビジョニングされたユーザーの email、upn、edupersonprincipalname のいずれかにマップします。

8

リンク属性を設定します。

これはユーザーごとに一意である必要があります。これは、Webex がユーザーの電子メールを含むすべてのプロファイル属性を更新できるように、ユーザーを検索するために使用されます。
表 2. リンク属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

内線属性 1

例: user.extensionattribute1

追跡コードのために、これらのカスタム属性を Entra ID またはディレクトリの拡張属性にマップします。

内線属性 2

例: user.extensionattribute2

内線属性 3

例: user.extensionattribute3

内線属性 4

例: ユーザー.拡張子属性4

内線属性 5

例: user.extensionattribute5

9

プロファイル属性を構成します。

表 3。 プロファイルの属性

Webex Identity 属性名

SAML 属性名

属性の説明

externalId

例: user.objectid

他の個人プロファイルからこのユーザーを識別します。これは、ディレクトリ間でマッピングする場合や他のプロファイルの属性を変更する場合に必要です。

preferredLanguage

例: user.preferred言語

ユーザーの優先言語です。

locale

例: user.locale

ユーザーの主な勤務地です。

タイムゾーン

例: user.タイムゾーン

ユーザーのプライマリ タイムゾーン。

displayName

例: user.displayname

Webex でのユーザーの表示名です。

name.givenName

例: user.givenname

ユーザーの名。

name.familyName

例: user.姓

ユーザーの姓。

addresses.streetAddress

例: user.streetaddress

主な勤務地の住所。

住所.地域

例: ユーザー.地域主な勤務地の地方。

アドレス.地域

例: user.region

主な勤務地の地域。

addresses.郵便番号

例: user.郵便番号

主な勤務地の郵便番号。

アドレス.国

例: ユーザー.国

主な勤務地の国。

phoneNumbers.work

例: 仕事用電話番号

主な勤務地の電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

phoneNumbers.extension

例: 内線電話番号

主な勤務先電話番号の内線。国際的な E.164 形式のみを使用します (最大 15 桁)。

電話番号.モバイル

例: 携帯電話番号主な勤務地の携帯電話番号。国際的な E.164 形式のみを使用します (最大 15 桁)。

title

例: user.jobtitle

ユーザーの職位です。

部門

例: user.department

ユーザーの所属する部署またはチームです。

メール.仕事例: 仕事用メールユーザーの勤務先メール。
ご利用ください例: ユーザー.組織ユーザーの組織ID
10

グループ属性を設定します。

  1. Control Hub でグループを作成し、Webex グループ ID をメモします。
  2. ユーザー ディレクトリまたは IdP に移動し、Webex グループ ID に割り当てられるユーザーの属性を設定します。
  3. IdP の設定を更新して、この属性名と Webex グループ ID (例: c65f7d85-b691-42b8-a20b-12345xxxx) を含むクレームを含めます。外部 ID は、グループ名の変更を管理したり、将来の統合シナリオに使用したりするためにも使用できます。たとえば、Entra ID との同期や SCIM グループ同期の実装などです。
  4. グループ ID とともに SAML アサーションで送信される属性の正確な名前を指定します。これはユーザーをグループに追加するために使用されます。
  5. ディレクトリのグループを使用して SAML アサーションでメンバーを送信する場合は、グループ オブジェクトの外部 ID の正確な名前を指定します。

ユーザー A が groupID 1234 に関連付けられ、ユーザー B が groupID 4567 に関連付けられている場合、それらは別々のグループに割り当てられます。このシナリオは、単一の属性によってユーザーを複数のグループ ID に関連付けることができることを示しています。これはまれですが、起こり得ることであり、追加的な変更として考えることができます。たとえば、ユーザー A が最初に groupID 1234 を使用してサインインすると、対応するグループのメンバーになります。ユーザー A が後で groupID 4567 を使用してサインインすると、この 2 番目のグループにも追加されます。

SAML JIT プロビジョニングでは、グループからのユーザーの削除やユーザーの削除はサポートされていません。

表 4. グループ属性

Webex Identity 属性名

SAML 属性名

属性の説明

グループID

例: グループID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

グループ外部ID

例: グループ外部ID

ユーザーのグループ属性を IdP から Webex Identity グループ属性にマッピングして、ユーザーをライセンシングまたは設定サービスのグループにマッピングします。

SAML アサーション属性の一覧については、Webex Meetingsを参照してください https://help.webex.com/article/WBX67566