シングル サインオンと Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Webex クラウドとお使いの ID プロバイダー (IdP) の間で SSO 認証を提供するために使用されます。

プロファイル

Webex アプリは Web ブラウザーの SSO プロファイルのみをサポートします。Web ブラウザーの SSO プロファイルでは、Webex アプリ は以下のバインドをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NameID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。Webex アプリは次の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータで、最初のエントリは Webex で使用するために設定されます。

SingleLogout

Webex アプリは、シングル ログアウト プロファイルをサポートします。Webex アプリでは、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることによりセッションを終了し、IdP でのサインアウトを確認できます。IdP が SingleLogout に対して構成されていることを確認してください。

Control Hub と ADFS を統合する

この設定ガイドでは、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対し網羅的な設定を提供するものではありません。たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Webex 組織のユーザーについて、このインテグレーションをセットアップします (Webex アプリ、Webex Meetings、その他の Control Hub で管理されるサービスなど)。Webex サイトが Control Hub で統合されている場合、その Webex サイトはユーザー管理を引き継ぎます。この方法で Webex Meetings にアクセスできず、Control Hub で管理されていない場合、Webex Meetings で SSO を有効にするには、個別にインテグレーションを実行する必要があります。(サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください)

ADFS の認証メカニズムで設定されているものに応じて、Integrated Windows Authentication (IWA) をデフォルトで有効に設定することができます。Windows を通じて起動するアプリケーション (Webex アプリおよび Cisco Directory Connector) が最初のメールのプロンプト中で入力するメール アドレスにかかわらず、サインインするユーザーを認証します。

Webex メタデータをローカル システムにダウンロードする

1

https://admin.webex.com の顧客ビューから、[管理] > [組織の設定] に移動し、[認証] までスクロールして、[シングル サインオン] 設定に切り替えて、セットアップ ウィザードを開始します。

2

組織の証明書タイプを選択します。

  • Cisco による自己署名—この選択をお勧めします。当社が証明書に署名すれば、5 年に 1 回更新するだけで済みます。
  • 公共認証局による署名: より安全ですが、メタデータを頻繁に更新する必要があります (IdP ベンダーが信頼アンカーをサポートしていない場合)。

信頼アンカーとは、デジタル署名証明書を確認する役目を持つ公開鍵です。詳細については、IdP ドキュメントを参照してください。

3

メタデータ ファイルをダウンロードします。

Webex メタデータのファイル名は idb-meta--SP.xml です。

ADFS に Webex メタデータをインストールする

始める前に

Control Hub は ADFS 2.x 以降をサポートしています。

Windows 2008 R2 は ADFS 1.0 だけを含んでいます。Microsoft から少なくとも ADFS 2.x を入手して、インストールする必要があります。

SSO および Webex サービスの場合、ID プロバイダー (IdP) は以下の SAML 2.0 仕様に準拠している必要があります。

  • NameID 形式属性を urn:oasis:names:tc:SAML:2.0:nameid-format: に設定します。一時的

  • IdP で要求を構成し、uid 属性名を含めます。Cisco Directory Connector で選択された属性、または Webex アイデンティティ サービスで選択された属性と一致するユーザー属性にマッピングされます。(この属性は、例えば E-mail-Addresses または User-Principal-Name です。) 詳細については、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

1

管理者権限で ADFS サーバーにサイン インします。

2

ADFS 管理コンソールを開き、[信頼関係] > [証明書利用者信頼] > [証明書利用者信頼の追加] を開きます。

3

[証明書利用者信頼の追加] ウィザードウィンドウ から [開始] を選択します。

4

[データ ソースの選択] の場合、[証明書利用者に関するデータをファイルからインポートする] を選択し、ダウンロードした Control Hub メタデータ ファイルを参照し、[次へ] を選択します。

5

[表示名の指定] で、Webex など、この証明書利用者信頼の表示名を作成し、[次へ] を選択します。

6

[発行承認規則の選択] で、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] を選択します。

7

信頼を追加する準備をする場合、 [次へ] を選択し、ADFS に依存する信頼の追加を終了します。

Webex 認証の要求ルールを作成する

1

メイン ADFS ペインで、自分が作成した信頼関係を選択し、[クレームルールの編集]を選択します。発行変換ルールタブで、[追加ルール] を選択します。

2

ルールの種類を選ぶ手順で、[LDAP 属性をクレームとして送る] を選択し、[次へ] を選択します。

  1. [クレーム ルール名] を入力します。

  2. 属性ストアとして [Active Directory] を選択します。

  3. [メール アドレス] LDAP 属性を uid 出力方向のクレームの種類にマッピングします。

    このルールにより、フィールドがユーザーを識別するために Webex にマッピングする ADFS が分かります。出力方向のクレームの種類を示されている通り正確にスペルアウトします。

  4. 変更を保存します。

3

[ルールの追加] を再度選択し、[カスタム ルールを使用してクレームを送信する] を選択し、[次へ]を選択します。

このルールにより、Webex が他に提供していない「spname qualifier」属性を持つ ADFS が提供されます。

  1. テキスト エディターで開いて、以下のコンテンツをコピーします。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    テキスト内の URL1 と URL2 を次のように置き換えます。

    • URL1 は、ダウンロードした ADFS メタデータ ファイルからの entityID です。

      たとえば、次のようになります。<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS メタデータ ファイルから entityID のみをコピーして、URL1 を置き換えるために、テキスト ファイルに貼り付けます。

    • URL2 は、ダウンロードした Webex メタデータ ファイルの最初の行にあります。

      たとえば、以下は、表示されるもののサンプルです。<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Webex メタデータ ファイルから entityID のみをコピーして、テキスト ファイルに貼り付け、URL2 を置き換えます。

  2. アップデートした URL でテキストエディター (c:」で開始) からルールをコピーし、 ADFS サーバー上のカスタムルールボックス にペーストします。

    完了したルールは以下のようになります。

  3. [完了] を選択してルールを作成し、クレームルールの編集ウィンドウを編集します。

4

メイン ウィンドウの [Relying Party Trust] を選択し、右のペインの[プロパティ] を選択します。

5

プロパティ ウィンドウが表示されたら、[アドバンスト] タブを参照して [SHA-256] から [OK] を選択し変更を保存します。

6

社内 ADFS サーバー上の以下の URL を参照して、ファイルをダウンロードします。https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml

このページで右クリックして、ページ ソースを確認し、適切にフォーマットされた XML ファイルうぃ取得することが必要な場合があります。

7

ローカル マシンにこのファイルを保存します。

次に行うこと

これで ADFS メタデータを管理ポータルサイトから Webex にインポートする準備ができました。

IdP メタデータをインポートし、テスト後にシングル サインオンを有効にする

Webex メタデータをエクスポートし、IdP を設定して IdP メタデータをローカルのシステムにダウンロードすると、お使いの Webex 組織に Control Hub からインポートする準備が整います。

始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • ブラウザの Control Hub - 証明書の選択ページに戻り、[次へ] をクリックします。
  • ブラウザー タブで Control Hub が開いていない場合、https://admin.webex.com の顧客ビューから [管理] > [組織設定] に移動し、[認証] までスクロールして、[アクション] > [メタデータのインポート] を選択します。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。[次へ] をクリックします。

可能な場合は [安全性が高い] オプションを使用してください。これは、IdP がパブリック CA を使用してメタデータに署名した場合にのみ可能です。

それ以外のすべての場合、[安全性が低い] オプションを使用する必要があります。たとえば、メタデータに署名がない場合、自己署名の場合、プライベート CA が署名した場合などです。

Okta はメタデータに署名しないため、Okta SSO インテグレーションには [安全性が低い] を選択する必要があります。

3

[SSO セットアップのテスト] を選択し、新しいブラウザー タブが開いたら、サインインして IdP で認証します。

認証エラーを受け取った場合、証明書に問題がある可能性があります。ユーザー名とパスワードを確認して再度試してください。

通常、Webex アプリのエラーは SSO セットアップの問題です。この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

SSO サインイン エクスペリエンスを直接見るには、この画面から [URL をクリップボードに貼り付け] をクリックして、それをプライベート ブラウザー ウィンドウに貼り付けることもできます。そこから、SSO のサインインをウォークスルーできます。このステップにより、既存セッションに存在する可能性があるアクセストークンによる誤判定でサインインできなくなるのを回避できます。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合は、[テストに成功しました] を選択します。SSO をオンにし[次へ] をクリックします。
  • テストが失敗した場合、[テストに失敗しました] を選択します。SSO をオフにし[次へ] をクリックします。

最初のラジオ ボタンを選択して SSO を有効にしない限り、SSO 設定は組織で有効に機能しません。

次に行うこと

[Okta ユーザーを Cisco Webex Control Hub に同期する] の手順を使用して、Webex クラウドに Okta からのユーザー プロビジョニングを実行します。

Azure AD から Webex クラウドにユーザープロビジョニングを実行する場合、Azure Active Directory ユーザーを Cisco Webex Control Hub に同期するための手順を使用します。

[自動メールを抑制する] の手順に従って、組織の新しい Webex アプリユーザーに送信されるメールを無効にすることができます。この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

ADFS で Webex の証明書利用者信頼を更新する

このタスクは、Webex から新しい SAML メタデータで ADFS を更新する上で特に重要です。ADFS SSO を構成する必要がある場合、または新しい Webex アカウント証明書に SAML メタデータで (異なる) IdP を更新する必要がある場合、SSOがあります

始める前に

ADFS で Webex 証明書利用者信頼を更新する前に、Control Hub から SAML メタデータ ファイルをエクスポートする必要があります。

1

管理者権限で ADFS サーバーにサイン インします。

2

SAML メタデータ ファイルを Webex から ADFS サーバーの一時ローカル フォルダー (例: //ADFS_servername/temp/idb-meta--SP.xml) にアップロードします。

3

Powershell を開きます。

4

Get-AdfsRelyingPartyTrust を実行して、すべての証明書利用者信頼を読み取ります。

Webex 証明書利用者信頼の TargetName パラメータに注意してください。Webex の例を使用していますが、ADFS では異なる場合があります。

5

Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta--SP.xml" -TargetName "Webex" を実行します。

実際の環境では、ファイル名とターゲット名が正しい値で置き換えられていることを確認してください。

https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust を参照してください。

Webex SP の 5 年の証明書をダウンロードし、[署名] または [暗号化証明書の失効] をオンにした場合、以下の 2 つのコマンドを実行する必要があります。Set-AdfsRelyingPartyTrust -SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None -TargetName "Webex"

6

Control Hub にサインインし、SSO のインテグレーションをテストします。

  1. [管理] > [組織の設定] の順に移動し、[認証] までスクロールして、[シングル サインオン] 設定に切り替えて、設定ウィザードを開始します。

  2. [次へ] をクリックして、[IdP メタデータのインポート] ページをスキップします。

    以前に IdP メタデータをインポートしたため、そのステップを繰り返す必要はありません。

  3. 有効にするSSO前に、テスト接続を行います。このステップはドライ ランのように機能し、次のステップで SSO を有効化するまで組織の設定には影響を与えません。

    SSO サインイン エクスペリエンスを直接見るには、この画面から [URL をクリップボードに貼り付け] をクリックして、それをプライベート ブラウザー ウィンドウに貼り付けることもできます。そこから、SSO のサインインをウォークスルーできます。これは、SSO 設定のテスト時に誤判定の結果をもたらす可能性のある、Web ブラウザーにキャッシュされた情報を削除するのに役立ちます。

  4. テストを完了するために、サイン インしてください。

ADFS トラブルシューティング

Windows ログの ADFS エラー

Windows ログで、ADFS イベントログエラーコード 364 が表示されることがあります。イベントの詳細によって無効な証明書を識別します。この場合、ADFS ホストはポート 80 のファイアウォールを通じて証明書を有効化することを許可されていません。

証明書利用者信頼のために証明書チェーンを構築しようとした際のエラー

SSO 証明書を更新するとき、サインイン時に次のエラーが表示される場合があります:応答に無効なステータス コードがあります

このエラーが表示された場合、ADFS サーバー上のイベント ビューアーのログを確認し、次のエラーを探してください:「754B9208F1F75C5CC122740F3675C5D129471D80」で識別される「https://idbroker.webex.com/<org-ID>' 証明書利用者信頼」の証明書チェーンを構築しようとした際にエラーが発生しました。考えられる原因は、証明書が失効している、証明書チェーンの暗号化証明書失効設定で指定されている通りに証明書チェーンが確認できない、または証明書が有効期間内ではない、などです。

このエラーが発生した場合は、コマンド Set-ADFSRelyingPartyTrust -TargetIdentifier https://idbroker.webex.com/<orgID> -EncryptionCertificateRevocationCheck None を実行する必要があります。

フェデレーション ID

フェデレーション ID では、大文字と小文字が区別されます。これが組織のメール アドレスである場合は、ADFS が送信したものと全く同じものを入力してください。そうでないと、Webex は一致するユーザーを見つけられません。

カスタムクレームルールは送信する前に LDAP 属性をノーマライズするために書き込むことはできません。

お使いの環境にセットアップした ADFS サーバー からご自分のメタデータをインポートします。

必要であれば、サービス > エンドポイント > メタデータ > 種類: フェデレーション メタデータの順に選択して ADFS 管理で URL を確認します。

時間同期

ADFS サーバーのシステム時計が信頼できる Network Time Protocol (NTP) を使用するインターネット時間ソースに同期されていることを確認してください。以下の PowerShell コマンドを使用して、時計を Webex 証明書利用者信頼のみにスキューします。

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

16 進数の値はあなたの環境固有のものです。Webex メタデータ ファイルの SP EntityDescriptor ID の値からこの値に置き換えてください。例:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">