Control Hub の SSO

組織内の複数の ID プロバイダーに SSO を設定する場合は、「Webex で複数の IdP を使用する SSO」を参照してください。

組織の証明書の使用状況が [なし] に設定されているにもかかわらず、まだアラートを受信している場合は、アップグレードを続行することをおすすめします。SSO 展開では現在証明書を使用していませんが、将来変更するには証明書が必要な場合があります。

Webex サービス プロバイダー (SP) 証明書

Control Hub で、Webex シングル サインオン (SSO) 証明書が期限切れとなるという旨のメール通知を受信したか、またはアラートを見たことがあると思います。この記事のプロセスに従って、Cisco (SP) から SSO クラウド証明書のメタデータを取得し、IdP に追加してください。そうしないと、ユーザーは Webex サービスを使用できなくなります。

Webex 組織で SAML Cisco (SP) SSO 証明書を使用している場合、できるだけ早く定期的なメンテナンス期間中にクラウド証明書を更新することを計画する必要があります。

お客様の Webex 組織のサブスクリプションの一部である全サービスが影響を受けます。これには次を含みますが、それらに限定されません。

  • Webex アプリ (すべてのプラットフォームに対する新しいサインイン: デスクトップ、モバイル、Web)

  • Webex サービス (Control Hub内、Calling を含む)

  • Webex Meetings サイト (Control Hub を通じて管理)

  • Cisco Jabber (SSO と統合されている場合)

始める前に

開始する前に、すべての指示をお読みください。証明書を変更するか、またはウィザードを通じて証明書を更新した後、新しいユーザーは正常にサインインできない場合があります。

IdP が複数の証明書をサポートしていない場合 (市場のほとんどの IdP はこの機能をサポートしていません)、Webex アプリのユーザーが影響を受けないメンテナンス期間中に、このアップグレードをスケジュールすることを推奨します。これらのアップグレード タスクは、運用時間とイベント後の検証に約 30 分かかります。

1

SAML Cisco (SP) SSO 証明書の有効期限切れを確認するには:

  • メールまたは Webex アプリ のメッセージを受け取っている可能性がありますが、Control Hub で確認する必要があります。

  • https://admin.webex.com にサインインし、[アラート センター] を確認します。SSO サービス プロバイダー証明書の更新に関する通知がある場合があります。

  • https://admin.webex.com にサインインし、[管理] > [組織設定] > [シングル サインオン] に移動し、[SSO と IdP の管理] をクリックします。
  • [ID プロバイダー] タブに進み、Cisco SP 証明書のステータスと有効期限に注意してください。

SSO ウィザードに直接移動して、証明書を更新することもできます。完了する前にウィザードを終了する場合、[管理] > [組織設定] > [シングル サインオン]https://admin.webex.com からいつでも再度アクセスできます。

2

IdP に移動し、 をクリックします。

3

[証明書と有効期限を確認する] をクリックします。

4

[証明書を更新] をクリックします。

5

組織で使用する IdP のタイプを選択します。

  • 複数の証明書をサポートする IdP
  • 単一の証明書をサポートする IdP

お客様の IdP が単一の証明書をサポートする場合、しばらくお待ちになって計画されたダウンタイムの間にこの手順を実施することをお勧めします。Webex 証明書が更新される一方、新規ユーザーのサインインは簡単には動作しません。既存のサインインが保存されています。

6

更新のために証明書のタイプを選択します:

  • Cisco による自己署名—この選択をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公共認証局による署名: より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない場合)。

    信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。

7

[メタデータ ファイルをダウンロード] をクリックして、Webex クラウドから新しい証明書付きの更新されたメタデータのコピーをダウンロードします。この画面を開いたままにします。

8

IdP 管理インターフェイスに移動して、新しい Webex メタデータ ファイルをアップロードします。

  • この手順は、IdP のセットアップや、別の IdP 管理者がこのステップを担当するかに応じて、ブラウザー タブ、リモート デスクトップ プロトコル (RDP)、または特定のクラウド プロバイダー サポートを通じて行うことができます。
  • 参考として、SSO インテグレーション ガイドを参照するか、IdP 管理者に連絡してサポートを受けてください。Active Directory フェデレーション サービス(AD FS) の場合、AD FS で Webex メタデータを更新する方法を確認できます。
9

Control Hub にサインインしたタブに戻り、[次へ] をクリックします。

10

新しい SP 証明書とメタデータで IdP を更新し、[次へ] をクリックします。

  • すべての IdP を更新しました
  • 更新に時間が必要な場合は、更新した証明書をセカンダリ オプションとして保存してください
11

[更新の終了] をクリックします。

ID プロバイダー (IdP) 証明書

Control Hub で、IdP 証明書が期限切れとなるという旨のメール通知を受信したか、アラートを見たことがあると思います。IdP ベンダーには証明書の更新に関する固有のドキュメントがあるため、Control Hub で必要な内容を説明します。これには、更新された IdP メタデータを取得し、それを Control Hub にアップロードして証明書を更新するための汎用手順もあります。

1

IdP SAML 証明書の有効期限切れを確認するには:

  • メールまたは Webex アプリ のメッセージを受け取っている可能性がありますが、Control Hub で確認する必要があります。
  • https://admin.webex.com にサインインし、[アラート センター] を確認します。IdP SAML 証明書の更新に関する通知がある場合があります。

  • https://admin.webex.com にサインインし、[管理] > [組織設定] > [シングル サインオン] に移動し、[SSO と IdP の管理] をクリックします。
  • [ID プロバイダー] タブに進み、IdP 証明書のステータス (有効期限またはまもなく有効期限が切れます) と有効期限に注意してください。

  • SSO ウィザードに直接移動して、証明書を更新することもできます。完了する前にウィザードを終了する場合、[管理] > [組織設定] > [シングル サインオン]https://admin.webex.com からいつでも再度アクセスできます。

2

IdP 管理インターフェイスに移動して、新しいメタデータ ファイルを取得します。

  • この手順は、IdP のセットアップや、別の IdP 管理者がこのステップを担当するかに応じて、ブラウザー タブ、リモート デスクトップ プロトコル (RDP)、または特定のクラウド プロバイダー サポートを通じて行うことができます。
  • 参考として、SSO インテグレーション ガイドを参照するか、IdP 管理者に連絡してサポートを受けてください。
3

[ID プロバイダー] タブに戻ります。

4

IdP に進み、アップロード をクリックし、[Idp メタデータをアップロード] を選択します。

5

ウィンドウに IdP メタデータ ファイルをドラッグ アンド ドロップするか、[ファイルを選択] をクリックして、その方法でアップロードします。

6

IdP メタデータの署名方法に応じて、[セキュリティが低い] (自己署名) または [セキュリティが高い] (公共 CA により署名済み) を選択します。

7

[SSO 更新のテスト] をクリックして、Control Hub 組織に新しいメタデータ ファイルがアップロードされ、正確に解釈されていることを確認します。ポップアップ ウィンドウで期待される結果を確認し、テストが成功した場合は、[テストに成功しました:] を選択します。SSO と IdP をアクティベートし[保存] をクリックします。

SSO サインイン エクスペリエンスを直接確認するには、この画面から [URL をクリップボードにコピー] をクリックして、プライベート ブラウザ ウィンドウに貼り付けることをおすすめします。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

結果: 完了すると、組織の IdP 証明書が更新されます。[ID プロバイダー] タブでいつでも証明書のステータスを確認できます。

IdP に戻す必要が出てきた場合でも、最新の Webex SP メタデータをエクスポートできます。インポートされた IdP SAML メタデータが期限切れになりそうなときか、期限切れになったときに通知が表示されます。

この手順は、IdP 管理が使用可能でなかったり、IdP が証明書をアップデートする機能しかサポートしていなかったりすることによりメタデータが IdP にインポートされていなかった場合、エクスポートが先に行われていない複数の証明書をサポートする IdP など、共通の IdP SAML 証明書を管理するシナリオで役立ちます。このオプションを使うと、SSO 設定とイベント後の検証で証明書を更新するだけで、変更を最小限に抑えるのに役立ちます。

1

https://admin.webex.com の顧客ビューから、[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

2

[ID プロバイダー] タブに移動します。

3

IdP に進み、ダウンロード をクリックして、[SP メタデータをダウンロード] を選択します。

Webex アプリのメタデータのファイル名は idb-meta--SP.xml です。

4

メタデータを IdP にインポートします。

IdP のドキュメントに従って、Webex SP メタデータをインポートします。IdP インテグレーション ガイドを使用するか、または特定の IdP が記載されていない場合はドキュメントを参照できます。

5

完了したら、この記事の「Webex 証明書 (SP) を更新する 」の手順を使用して、SSO テストを実行します。

IdP 環境が変更された場合、または IdP 証明書の有効期限が切れそうな場合、更新されたメタデータを Webex にいつでもインポートできます。

始める前に

IdP メタデータを収集します。通常はエクスポートされた xml ファイルです。

1

https://admin.webex.com の顧客ビューから、[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

2

[ID プロバイダー] タブに移動します。

3

IdP に進み、アップロード をクリックし、[Idp メタデータをアップロード] を選択します。

4

ウィンドウに IdP メタデータ ファイルをドラッグ アンド ドロップするか、[メタデータ ファイルを選択する] をクリックしてアップロードします。

5

IdP メタデータの署名方法に応じて、[セキュリティが低い] (自己署名) または [セキュリティが高い] (公共 CA により署名済み) を選択します。

6

[SSO セットアップのテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。

証明書が期限切れに設定される前に Control Hub でアラートを受信しますが、アラートのルールを事前にセットアップすることもできます。このルールにより、SP または IdP 証明書の有効期限が切れる前に通知されます。この通知はメール、Webex アプリのスペース、または両方を通じて送ることができます。

配信チャネルの設定にかかわらず、すべてのアラートは常に Control Hub に表示されます。詳細については、「Control Hub のアラート センター」を参照してください。

1

Control Hub にサインインします。

2

[アラート センター] に移動します。

3

[管理][すべてのルール] の順に選択します。

4

[ルール] リストから、作成するいずれかの SSO ルールを選択します:

  • SSO IdP 証明書の期限切れ
  • SSO SP 証明書の期限切れ
5

[配信チャネル] セクションで、[メール][Webex スペース]、または両方のチェックボックスをオンにします。

[メール] を選択した場合、通知を受け取る必要があるメール アドレスを入力します。

[Webex スペース] オプションを選択した場合、Webex アプリのスペースに自動的に追加され、そこに通知が送信されます。

6

変更を保存します。

次に行うこと

証明書の期限切れのアラートは 15 日おきに 1 回送信され、期限切れの 60 日前に開始されます。(60、45、30、15 日にアラートが期待できます。) 証明書を更新するとアラートが停止します。

シングル ログアウト URL が設定されていないという通知が表示される場合があります。

シングル ログアウト (SLO とも呼ばれます) をサポートするために、IdP を設定することをおすすめします。Webex はリダイレクトとPOSTメソッドの両方をサポートしており、Control Hub からダウンロードされたメタデータで使用可能です。すべての IdP が SLO をサポートしているわけではありません。IdP チームに連絡してサポートを受けてください。SLO をサポートする AzureAD、Ping Federate、ForgeRock、Oracle などの主要な IdP ベンダーについては、インテグレーションの構成方法を文書化しています。IDP の詳細と適切に設定する方法については、ID とセキュリティチームに問い合わせてください。

シングル ログアウト URL が設定されていない場合:

  • 既存の IdP セッションは有効のままです。次回ユーザーがサインインするときに、IdP から再認証を求められない場合があります。

  • サインアウト時に警告メッセージが表示されるため、Webex アプリのログアウトはシームレスには行われません。

Webex 組織の中でも Control Hub で管理されているものについて、シングル サインオン (SSO) を無効にできます。ID プロバイダー (IdP) を変更する場合は、SSO を無効にすることができます。

組織のシングル サインオンが有効になっているにもかかわらず失敗している場合は、Webex 組織にアクセスできる Cisco パートナーに連絡してそれを無効にできます。

1

https://admin.webex.com の顧客ビューから、[管理] > [組織設定] に移動し、[シングル サインオン] までスクロールして、[SSO と IdP の管理] をクリックします。

2

[ID プロバイダー] タブに移動します。

3

[SSO を無効にする] をクリックします。

ポップアップ ウィンドウが表示され、SSO の無効化について警告します。

SSO を無効化

SSO を無効にする場合、統合 IdP 構成の代わりに、クラウドによってパスワードが管理されます。

4

SSO を無効にする影響を理解して処理する場合、[無効にする] をクリックします。

SSO が無効化され、すべての SAML 証明書リストが削除されます。

SSO が無効になっている場合、認証が必要なユーザーには、サインインプロセス中にパスワードの入力フィールドが表示されます。

  • Webex アプリのパスワードを持っていないユーザーは、パスワードをリセットするか、パスワードを設定するためのメールを送信する必要があります。

  • 有効な OAuth トークンを持つ既存の認証済みユーザーは、引き続き Webex アプリへのアクセス権を持ちます。

  • SSO が無効になっているときに作成された新しいユーザーは、パスワードの作成を求めるメールを受け取ります。

次に行うこと

自分または顧客が顧客組織の SSO を再構成する場合、ユーザー アカウントは Webex 組織と統合されている IdP により設定されたパスワード ポリシーを使用するように戻ります。

SSO ログインで問題が発生した場合、SSO セルフリカバリ オプション を使用して、Control Hub で管理されている Webex 組織にアクセスできます。セルフリカバリ オプションを使用すると、Control Hub で SSO を更新または無効にできます。