シングル サインオンと Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを不要にします。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Webex クラウドとお使いの ID プロバイダー (IdP) の間で SSO 認証を提供するために使用されます。

プロファイル

Webex アプリは Web ブラウザーの SSO プロファイルのみをサポートします。 Web ブラウザーの SSO プロファイルでは、Webex アプリ は以下のバインドをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NameID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Webex アプリは次の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータで、最初のエントリは Webex で使用するために設定されます。

SingleLogout

Webex アプリは、シングル ログアウト プロファイルをサポートします。 Webex アプリでは、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることによりセッションを終了し、IdP でのサインアウトを確認できます。 IdP が SingleLogout に対して構成されていることを確認してください。

Control Hub と ADFS を統合する


 

この設定ガイドでは、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対し網羅的な設定を提供するものではありません。 たとえば、 nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順が掲載されています。 その他のフォーマット (例: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress) は SSO インテグレーションで機能しますが、Cisco のドキュメントでは取り上げていません。

Webex 組織のユーザーについて、このインテグレーションをセットアップします (Webex アプリ、Webex Meetings、その他の Control Hub で管理されるサービスなど)。 Webex サイトが Control Hub で統合されている場合、その Webex サイトはユーザー管理を引き継ぎます。 この方法で Webex Meetings にアクセスできず、Control Hub で管理されていない場合、Webex Meetings で SSO を有効にするには、個別にインテグレーションを実行する必要があります。 (サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください)

ADFS の認証メカニズムで設定されているものに応じて、Integrated Windows Authentication (IWA) をデフォルトで有効に設定することができます。 Windows を通じて起動するアプリケーション (Webex アプリおよび Cisco Directory Connector) が最初のメールのプロンプト中で入力するメール アドレスにかかわらず、サインインするユーザーを認証します。

Webex メタデータをローカル システムにダウンロードする

1

https://admin.webex.com の顧客ビューから、[管理] > [組織の設定] に移動し、[認証] までスクロールして、[シングル サインオン] 設定に切り替えて、セットアップ ウィザードを開始します。

2

組織の証明書タイプを選択します。

  • Cisco による自己署名 - この選択を推奨します。 当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • パブリック認証局による署名 - より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない限り)。

 

信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。 詳細については、IdP ドキュメントを参照してください。

3

メタデータ ファイルをダウンロードします。

Webex メタデータのファイル名は idb-meta--SP.xml です。<org-ID>

ADFS に Webex メタデータをインストールする

始める前に

Control Hub は ADFS 2.x 以降をサポートしています。

Windows 2008 R2 は ADFS 1.0 だけを含んでいます。 Microsoft から少なくとも ADFS 2.x を入手して、インストールする必要があります。

SSO および Webex サービスの場合、ID プロバイダー (IdP) は以下の SAML 2.0 仕様に準拠している必要があります。

  • NameID 形式の属性を urn:oasis:names:tc:SAML:2.0:nameid-format:transient に設定します

  • IdP で要求を設定して、uid 属性名を含めます。この値は Cisco Directory Connector で選択された属性または Webex アイデンティティ サービスで選択された属性と一致するユーザー属性にマッピングされています。 (この属性はたとえば、E-mail-Addresses または User-Principal-Name となる場合があります)。 この点のガイドについては、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

1

管理者権限で ADFS サーバーにサイン インします。

2

ADFS 管理コンソールを開き、[信頼関係] > [証明書利用者信頼] > [証明書利用者信頼の追加] を開きます。

3

[証明書利用者信頼の追加] ウィザードウィンドウ から [開始] を選択します。

4

[データ ソースの選択]で、[証明書利用者に関するデータをファイルからインポート] を選択し、ダウンロードした Control Hub メタデータ ファイルを参照して、[次へ] をクリックします。

5

[表示名の指定] で、Webex など、この証明書利用者信頼の表示名を作成し、[次へ] を選択します。

6

[発行承認規則の選択] で、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] を選択します。

7

信頼を追加する準備をする場合、 [次へ] を選択し、ADFS に依存する信頼の追加を終了します。

Webex 認証の要求ルールを作成する

1

メイン ADFS ペインで、自分が作成した信頼関係を選択し、[クレーム ルールの編集] を選択します。 発行変換ルールタブで、[追加ルール] を選択します。

2

ルールの種類を選ぶ手順で、[LDAP 属性をクレームとして送る] を選択し、 [次へ] を選択します。

  1. [クレーム ルール名]を入力します。

  2. 属性ストアとして [Active Directory] を選択します。

  3. [メール アドレス] LDAP 属性を uid 出力方向のクレームの種類にマッピングします。

    このルールにより、フィールドがユーザーを識別するために Webex にマッピングする ADFS が分かります。 出力方向のクレームの種類を示されている通り正確にスペルアウトします。

  4. 変更を保存します。

3

[ルールの追加] を再度選択し、[カスタム ルールを使用してクレームを送信する] を選択し、[次へ]を選択します。

このルールにより、Webex が他に提供していない「spname qualifier」属性を持つ ADFS が提供されます。

  1. テキスト エディターで開いて、以下のコンテンツをコピーします。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    テキスト内の URL1 と URL2 を次のように置き換えます。

    • URL1 は、あなたがダウンロードした ADFS メタデータ ファイル内の entityID です。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS メタデータ ファイルから entityID のみをコピーして、URL1 を置き換えるために、テキスト ファイルに貼り付けます。

    • URL2 は、ダウンロードした Webex メタデータ ファイルの最初の行にあります。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Webex メタデータ ファイルから entityID のみをコピーして、テキスト ファイルに貼り付け、URL2 を置き換えます。

  2. アップデートした URL でテキストエディター (c:」で開始) からルールをコピーし、 ADFS サーバー上のカスタムルールボックス にペーストします。

    完了したルールは以下のようになります。

  3. [完了] を選択してルールを作成し、クレームルールの編集ウィンドウを編集します。

4

メイン ウィンドウの [Relying Party Trust] を選択し、右のペインの[プロパティ] を選択します。

5

プロパティ ウィンドウが表示されたら、[アドバンスト] タブを参照して [SHA-256] から [OK] を選択し変更を保存します。

6

社内 ADFS サーバー上の以下の URL を参照して、ファイルをダウンロードします。 https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

このページで右クリックして、ページ ソースを確認し、適切にフォーマットされた XML ファイルを取得することが必要な場合があります。

7

ローカル マシンにこのファイルを保存します。

次に行うこと

これで ADFS メタデータを管理ポータルサイトから Webex にインポートする準備ができました。

IdP メタデータをインポートし、テスト後にシングル サインオンを有効にする

Webex メタデータをエクスポートし、IdP を設定して IdP メタデータをローカルのシステムにダウンロードすると、お使いの Webex 組織に Control Hub からインポートする準備が整います。

始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。 サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • Control Hub に戻る - ブラウザーの証明書選択ページに戻り、[次へ] をクリックします。
  • ブラウザー タブに Control Hub が開いていない場合は、 の顧客ビューから、[管理] > [組織の設定] に進み、[認証] までスクロールして、[アクション] > [メタデータをインポート] を選択します。https://admin.webex.com
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

可能な場合は [安全性が高い] オプションを使用してください。 これは、IdP がパブリック CA を使用してメタデータに署名した場合にのみ可能です。

それ以外のすべての場合、[安全性が低い] オプションを使用する必要があります。 たとえば、メタデータに署名がない場合、自己署名の場合、プライベート CA が署名した場合などです。


 

Okta はメタデータに署名しないため、Okta SSO インテグレーションには [安全性が低い] を選択する必要があります。

3

[SSO セットアップのテスト] を選択し、新しいブラウザー タブが開いたら、サインインすることで IdP の認証を受けます。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。


 

SSO サインイン エクスペリエンスを直接見るには、この画面から [URL をクリップボードに貼り付け] をクリックして、それをプライベート ブラウザ ウィンドウに貼り付けることもできます。 そこから、SSO のサインインをウォークスルーできます。 このステップにより、既存セッションに存在する可能性があるアクセストークンによる誤判定でサインインできなくなるのを回避できます。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。 SSO をオンにし[次へ] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。 SSO をオフにし[次へ] をクリックします。

 

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

次に行うこと

[Okta ユーザーを Cisco Webex Control Hub に同期する] の手順を使用して、Webex クラウドに Okta からのユーザー プロビジョニングを実行します。

Azure AD から Webex クラウドにユーザープロビジョニングを実行する場合、Azure Active Directory ユーザーを Cisco Webex Control Hub に同期するための手順を使用します。

「自動化されているメールを抑制する」の手順に従って、組織の新しい Webex アプリ ユーザーに送信されるメールを無効にできます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

ADFS で Webex の証明書利用者信頼を更新する

このタスクは、特にWebexから新しいSAMLメタデータを使用した ADFS の更新に関するものです。 必要に応じて、関連した記事をご覧ください。 ADFS でSSOを設定するするか、する必要がある場合は新しいWebex SSO証明書のSAMLメタデータを使用して(異なる)IdP を更新するを選択します。

始める前に

ADFS でWebex証明書利用者信頼を更新するには、Control Hub からSAMLメタデータ ファイルをエクスポートする必要があります。

1

管理者権限で ADFS サーバーにサイン インします。

2

SAMLから ADFS サーバー上の一時ローカルフォルダにWebexします。例: //ADFS_servername/temp/idb-meta-<org-ID>-SP.xml です。

3

Powershell を開きます。

4

コマンド Get-AdfsRelyingPartyTrust を実行して、すべての証明書利用者信頼を読み取ります。

パラメータ TargetName(Webex 証明書利用者信頼) に注意してください。 「Webex」の例を使用しますが、お使いの ADFS では異なる場合があります。

5

コマンド Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Webex" です。

実際の環境では、ファイル名とターゲット名が正しい値で置き換えられていることを確認してください。

https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust を参照してください。

 

Webex SP の 5 年の証明書をダウンロードし、[署名] または [暗号化証明書の失効] をオンにした場合、以下の 2 つのコマンドを実行する必要があります。 Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex" です。

6

Control Hub にサインインし、SSO のインテグレーションをテストします。

  1. [管理] > [組織の設定] の順に移動し、[認証] までスクロールして、[シングル サインオン] 設定に切り替えて、設定ウィザードを開始します。

  2. [次へ] をクリックして、[IdP メタデータのインポート] ページをスキップします。

    以前に IdP メタデータをインポートしたため、そのステップを繰り返す必要はありません。

  3. 有効にする前に、 SSO接続をテストします。 このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。


     

    SSO サインイン エクスペリエンスを直接見るには、この画面から [URL をクリップボードに貼り付け] をクリックして、それをプライベート ブラウザ ウィンドウに貼り付けることもできます。 そこから、SSO のサインインをウォークスルーできます。 これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザにキャッシュされた情報を削除するのに役立ちます。

  4. テストを完了するために、サイン インしてください。

ADFS トラブルシューティング

Windows ログの ADFS エラー

Windows ログで、ADFS イベントログエラーコード 364 が表示されることがあります。 イベントの詳細によって無効な証明書を識別します。 この場合、ADFS ホストはポート 80 のファイアウォールを通じて証明書を有効化することを許可されていません。

証明書利用者信頼のために証明書チェーンを構築しようとした際のエラー

SSO 証明書を更新するとき、サインイン時に次のエラーが表示される場合があります: Invalid status code in response です。

このエラーが表示された場合、ADFS サーバー上のイベント ビューアーのログを確認し、次のエラーを探してください: An error occurred during an attempt to build the certificate chain for the relying party trust 'https://idbroker.webex.com/<org-ID>' certificate identified by thumbprint '754B9208F1F75C5CC122740F3675C5D129471D80' です。 考えられる原因は、証明書が失効している、証明書チェーンの暗号化証明書失効設定で指定されている通りに証明書チェーンが確認できない、または証明書が有効期間内ではない、などです。

このエラーが発生した場合は、次のコマンドを実行する必要があります: Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None

フェデレーション ID

フェデレーション ID では、大文字と小文字が区別されます。 これが組織のメール アドレスである場合は、ADFS が送信したものと全く同じものを入力してください。そうでないと、Webex は一致するユーザーを見つけられません。

カスタムクレームルールは送信する前に LDAP 属性をノーマライズするために書き込むことはできません。

お使いの環境にセットアップした ADFS サーバー からご自分のメタデータをインポートします。

必要であれば、[サービス] > [エンドポイント] > [メタデータ] > [種類: フェデレーション メタデータ] の順に選択して ADFS 管理で URL を確認します。

時間同期

ADFS サーバーのシステム時計が信頼できる Network Time Protocol (NTP) を使用するインターネット時間ソースに同期されていることを確認してください。 以下の PowerShell コマンドを使用して、時計を Webex 証明書利用者信頼のみにスキューします。

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

16 進数の値はあなたの環境固有のものです。 Webex メタデータ ファイルの SP EntityDescriptor ID の値からこの値に置き換えてください。 例:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">