シングルサインオン

Webexは固有の ID を使うことで、社内のユーザーがすべての企業アプリケーションにアクセスできる権限を付与します。 管理者はWebex管理を使ってSSOアプリケーション用のWebexを設定します。


 

シングルサイノンはサイトでのプロビジョンが必要なオプション機能です。 詳細はCiscoサポートまで問い合わせてください。

SSO の設定

次の操作で SSO および SAML 2.0 を設定します。

始める前に

次の要件に適した証明書を取得し、設定を行います。

  • 標準的なSAML 2.0 または WS Federate 1.0 に準拠する ID プロバイダ(IdP)、たとえば CA SiteMinder、ADFS、Ping Identity です。


     

    SAML 1.1 および WS Federate 1.0 は廃止され、 Cisco Webexサポートされなくなりました。

  • 信頼できる証明書を発行する機関からの企業用 X.509 公開鍵の証明書、例えば VeriSign や Thawte です。

  • ユーザー アカウント情報およびSAMLシステム ID でSAMLアサーションを提供するために構成された IdP。

  • IdP XML ファイルです。

  • 企業向け IAM サービス用 URL です。

1

Webex管理にサインインし、次を実行します:設定次のページにアクセスしてください:共通のサイト設定次のページにアクセスしてください: SSO設定を選択します。

2

[フェデレーションプロトコル] ドロップダウンメニューで [SAML 2.0] を選択します。

既存の設定がある場合、一部のフィールドに値がすでに埋め込まれています。

3

[サイトの証明書マネージャ] リンクを選択します。

4

[サイトの証明書マネージャ] ウィンドウで [参照] を選択し、使用する X.509 証明書の .CER ファイルを見つけます。

5

.CER ファイルを選択し、[OK] を選択します。

6

[閉じる] を選択します。

7

[SSO 構成] ページで必須情報を入力し、有効にしたいオプションを追加します。

8

[更新] を選択します。

SSO 設定ページ

次の表では [SSO 設定] ページのフィールドとオプションについて記載しています。


 

設定中に使用する情報は正確に入力する必要があります。 サイトの SSO 設定で必要なより詳しい情報が必要な場合は、ID プロバイダに問い合わせてください。

表 1. SSO 設定ページのフィールドとオプション

フィールドまたはオプション

説明

AuthnContextClassRef

IdP での認証を記述する SAML statement。 これは IAM 構成に一致する必要があります。 ADFS の例: urn:federation:authentication:windows または urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Ping 例: urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified


 

複数の AuthnContextClassRef 値を使用するには、 ";;」 を追加します。例: urn:federation:authentication:windows;urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

自動アカウント作成 (オプション)

選択してユーザーアカウントを作成します。 UID、メール、名と姓のフィールドが存在アサーションである必要があります。

自動アカウント更新 (オプション)

Webexアカウントは t の updateTimeStamp 属性の存在により更新することができます。 IdP で変更が行われると、 SAMLアサーションで送信される任意の属性を持つアカウントに基づいて、新しいタイムスタンプがWebexサイトに送信されます。

顧客の SSO エラー URL (オプション)

エラーが発生する場合、URL に追加されるエラーコードでこの URL にリダイレクトします。

カスタマー SSO サービスログイン URL

企業用シングルサインオンサービスの URL。 ユーザーは通常この URL からサインインします。 IdP XML ファイルに配置されます。例えば、 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location=" https://adfs20-fed-srv.adfs.webexeagle.com/adfs/ls/ " index="0" isDefault="true" />)

デフォルトの Webex ターゲット ページ URL (オプション)

認証時にウェブアプリケーションのみに指定されているターゲットページを表示します。

SAML メタデータ (リンク) のインポート

[フェデレーションウェブ SSO の構成 - SAML メタデータ] ダイアログボックスをクリックして開きます。 インポートされたメタデータフィールドには次のものが含まれます:

  • AuthnRequest 署名された宛先

  • SAML (IdP ID) の発行者

  • カスタマー SSO サービスログイン URL

SAML (IdP ID) の発行者

URI は固有の IdP を識別します。 構成は Customer IAM 中の設定と一致する必要があります。 IdP XML ファイルに配置されます。例えば、 entityID=" http://adfs20-fed-srv.adfs.webexeagle.com/adfs/services/trust"

NamedID 形式

IdP 構成と一致して、次の形式がサポートされている必要があります。

  • 指定なし

  • メール アドレス

  • X509 サブジェクト名

  • エンティティの識別子

  • 永続的な識別子

アクティブディレクトリ UPN の uid ドメインサフィックスの削除

選択時に User Principal Name (UPN) から Active Directory のドメインを削除します。

SSO プロファイル

ユーザーがどのようにWebexサイトにアクセスするかを指定します。 選択SP から開始ユーザーがWebexミーティングサイトから開始し、認証のために会社の IdP システムにリダイレクトされる場合。 選択IdP から開始ユーザーが社内 IAM システム経由でWebexサイトにアクセスする場合

出席者の SSO 認証

この機能により、 Webex Meetings、 Webex Training、およびWebex Events を使用する内部出席者のSAMLアサーションユーザー認証にさらに多くのアカウンタビリティを提供します。 有効時、この機能がWebex Meetingsの「参加者リストで内部ユーザータグを表示する」機能に代わりに働きます。

AuthnRequest のデジタル署名アルゴリズム

セキュリティ強化のため、SHA-1、SHA-256、または SHA-512 の署名入り証明書を生成することができます。

シングルログアウト (オプション)

サインアウトとログアウト URL を指定する場合はチェックを入れます。


 

IdP initiated のシングルログアウトには対応していません。

Webex SAML 発行者 (SP ID)

URIはWebex Messengerサービスを SP として識別します。 構成は顧客 Identity Access Management システム中の設定と一致する必要があります。 推奨する名前変換: [Webex Meetings]の場合は、 Webex MeetingsのサイトURLを入力します。 Webex Messengerサービスでは、"client-domain-name" の形式を使用します。例えば、 IM-Client-ADFS-WebexEagle-Com) として共有する必要があります。

SAML メタデータの Webex 構成ファイルをインポートすることができます

将来インポートできる、一部のメタデータをエクスポートすることができます。 インポートされたメタデータフィールドには次のものが含まれます:

  • AuthnRequest 署名された宛先

  • SAML (IdP ID) の発行者

  • 顧客 SSO サービスログイン URL

期限切れの証明書を更新する

始める前に

この機能は、 Webex管理で設定されたSSOがあり、Control Hub でサイトを管理していない管理者のみを対象としています。


 

2022 年 11 月以前に、お使いのアイデンティティ プロバイダー (IdP) に対する証明書を更新することを推奨します。 証明書の期限が切れると、ユーザは正常にサインインできなくなる場合があります。

1

Webex管理にサインインし、次を実行します:設定次のページにアクセスしてください:共通のサイト設定次のページにアクセスしてください: SSO設定を選択します。

2

までスクロールダウンします。サイトの SP 証明書マネージャを選択します。

期限切れと新しい証明書の詳細 (シリアル番号、有効期限、キーの詳細、ステータスとアクション) が表示されます。 現在使用されている証明書には、[アクティブ] のマークが付けられています。

3

新しい証明書に移動して、証明書のエクスポートを選択します。

また、メタデータをエクスポートを選択して、新しい証明書とともにメタデータをダウンロードします。


 

新しい証明書ファイルの有効期限は 1 年後です。 管理者は、アラート通知を確認する必要があります。

4

新しい証明書ファイルを ID プロバイダー (IdP) にアップロードします。

5

を選択します。アクティブ新しい証明書のラジオボタンを選択します。

6

クリック更新を選択します。

新しい証明書がアクティブになります。

7

新しい証明書をテストします。

証明書アップデート時のよくある質問

質問 すべての管理者がこの機能の影響を受けますか?

回答 いいえ。影響を受けるのは、 Webex管理でSSOを設定している管理者のみです。

質問 管理者が期日の前に証明書を更新しない場合、どうなりますか?

回答 証明書の有効期限が切れると、ユーザーはWebexに正常にサインインできなくなる可能性があります。 2023 年 10 月以前に証明書を更新することを推奨します。

証明書の有効期限が切れた場合でも、サイトの管理にサインインして、お使いの アイデンティティ プロバイダーに対して新しい証明書を更新、アクティブ化することができます。 証明書の更新時に問題に直面した場合は、 Webexサポート チームに連絡してください。

質問 新しい証明書の有効期間は?

回答 新しい証明書の有効期間は、約 1 年です。 Webexオペレーション チームは既存の証明書の有効期限が切れる 2 ヵ月前に新しい証明書を生成します。 これにより、期日の前に証明書の計画と更新を行うことができます。