次のウェブ アクセス管理およびフェデレーション ソリューションは、Webex のユーザーで Cisco Webex 組織に対してテストされます。 以下でリンクした文書は、特定の ID プロバイダー(IdP)と Cisco Webex Control Hub で管理された Webex および Webex 組織をインテグレーションする方法について順を追って説明します。


以下に該当する IdP がリストされていない場合は、この記事の [SSO 設定] タブのハイレベルな手順を使用してください。

前述のガイドは、Cisco Webex Control Hub (https://admin.webex.com) で管理される Webex サービスの SSO インテグレーションを対象にしています。 (サイト管理で管理されている) クラシック Webex サイト の SSO インテグレーションを捜している場合、代わりに、「Cisco Webex サイトのシングル サインオンを設定する」の記事を使用してください。

シングル サインオン (SSO)により、組織の共通 ID プロバイダ(IdP) を認証することによって、ユーザーは Cisco Webex に安全にサインインできます。 Cisco Webex では、Cisco Webex サービスを使用して、Cisco Webex プラットフォーム ID サービスと通信します。 ID サービスは ID プロバイダ (IdP) で認証します。

Cisco Webex Control Hub の設定を開始します。 このセクションでは、サードパーティーの IdP の統合の包括的な手順を示します。

SSO および Cisco Webex Control Hub については、IdPs は SAML 2.0 仕様を満たしていなければなりません。 加えて、IdP は以下のように設定されている必要があります。

  • NameID 形式の属性を urn:oasis:names:tc:SAML:2.0:nameid-format:transient に設定します

  • IdP でクレームを設定して、Cisco Directory Connector で選択された属性または Cisco Webex アイデンティティ サービスで選択された属性と一致するユーザー属性にマッピングされた値を持つ uid 属性名を含めます。 (この属性はたとえば、E-mail-Addresses または User-Principal-Name となる場合があります。) この点のガイドについては、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

  • サポートされているブラウザを使用する。 最新版の Mozilla Firefox または Google Chrome を推奨します。

  • ブラウザーのポップアップブロッカー機能をすべて無効化します。


この設定は、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対して徹底的な設定を提供しません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Cisco Webex プラットフォーム ID サービスおよび IdP 間の SAML 契約を確立する必要があります。

SAML 契約を成功するためには 2 つのファイルが必要です。

これは、IdP からメタデータを持つ PingFederate メタデータ ファイルの例です。

ID サービスからのメタデータ ファイル。

以下は、ID サービスからメタデータ ファイルで確認できることです。

  • EntityID —これは、IdP 構成の SAML 契約を識別するために使用されます

  • 署名された AuthN 要求や署名アサーションに要件はなく、メタデータ ファイルの IdP 要求に準拠します。

  • IdP の署名されたメタデータ ファイルは、ID サービスに属するメタデータを検証します。

1

https://admin.webex.com の顧客ビューから、[設定] に移動して、[認証] までスクロールし、[変更] をクリックします。

2

[サードパーティの ID プロバイダを統合させる] をクリックします。 (高度) をクリックし[開始] をクリックします。

3

[メタデータ ファイルのダウンロード] をクリックし、[次へ] をクリックします。

4

Cisco Webex プラットフォーム ID サービスにより、IdP からメタデータ ファイルを検証します。

顧客 IdP からメタデータを検証するには 2 つの方法があります。

  • 顧客 IdP は、公的ルート CA により署名されたメタデータの署名を提供します。

  • 顧客 IdP は事故署名のプライベート CA を提供するか、メタデータには署名を提供しません。 このオプションは安全性が薄れます。

5

有効にする前に、SSO 接続をテストします。

6

テストに成功した場合、シングルサインオンを有効化します。

SSO インテグレーションで問題が発生した場合、このセクションの要件と手順を使用して、IdP と Cisco Webex サービスの間の SAML フローをトラブルシューティングします。

  • Firefox または Chrome の SAML トレース アドオンを使用する

  • トラブルシューティングするには、SAML トレース デバッグをインストールしたウェブ ブラウザを使用して、 で https://teams.webex.comCisco Webex のウェブ バージョンに進みます

以下は、Cisco WebexCisco Webex サービス、Cisco Webex プラットフォーム ID サービス、ID プロバイダー (IdP) 間のメッセージ フローです。

  1. https://admin.webex.com に進みメール アドレスの SSO 対応 アプリでメールアドレスをプロンプトします。
  2. クライアントは GET 要求をトークンの Oauth 認証サーバーに送信します。 SSO またはユーザー名とパスワード フローに対して、要求は ID サービスにリダイレクトされます。 認証サーバーの URL が戻されます。
  3. Cisco Webex は SAML HTTP POST を使用して IdP から SAML アサーションを要求します。
  4. アプリの認証は、オペレーティング システム ウェブ リソースと IdP 間で発生します。
  5. Cisco Webex HTTP Post を ID サービスに戻し、IdP により提供された初期契約の同意の属性を含みます。
  6. IdP から Webex への SAML アサーション。
  7. ID サービスは、Oauth アクセスと置き換えられた認証コードを受け取り、トークンを更新します。 このトークンはユーザーの代わりにリソースへアクセスするために使用されます。
1

https://admin.webex.com に進みメール アドレスの SSO 対応 アプリでメールアドレスをプロンプトします。

アプリは Cisco Webex サービスに情報を送信し、サービスはメール アドレスを検証します。

2

クライアントは GET 要求をトークンの Oauth 認証サーバーに送信します。 SSO またはユーザー名とパスワード フローに対して、要求は ID サービスにリダイレクトされます。 認証サーバーの URL が戻されます。

トレース ファイルの GET 要求を表示できます。

パラメーター セクションで、サービスは Oauth コード、要求を送信するユーザーのメール、ClientID、redirectURI、Scope などその他の Oauth の詳細を探します。

3

Cisco Webex は SAML HTTP POST を使用して IdP から SAML アサーションを要求します。

SSO が有効になっているとき、ID サービスの認証エンジンは SSO の IdP URL にリダイレクトします。 メタデータが交換されたとき提供された IdP URL。

SAML POST メッセージのトレース ツールでチェックします。 IdPbroker で要求された IdP に対して HTTP POST メッセージが表示されます。

RelayState パラメーターは IdP から正しい返信が表示されます。

SAML 要求のデコード バージョンを確認し、必須の AuthN がなく、応答の宛先が IdP の宛先 URL になるようにする必要があります。 nameid 形式が正しい entityID (SPNameQualifier) の下の、IdP で正しく構成されていることを確認します。

SAML 契約が作成された際、IdP nameid 形式は指定され、構成された契約の名前となります。

4

アプリの認証は、オペレーティング システム ウェブ リソースと IdP 間で発生します。

IdP で構成された IdP および認証メカニズムに応じて、別のフローが IdP から開始されます。

5

Cisco Webex HTTP Post を ID サービスに戻し、IdP により提供された初期契約の同意の属性を含みます。

認証に成功すると、Cisco Webex は SAML POST メッセージの情報を ID サービスに送信します。

EntityID がアサーションを要求している IdP をアプリが伝えている場合、RelayState は以前の HTTP POST メッセージと同じです。

6

IdP から Webex への SAML アサーション。

7

ID サービスは、Oauth アクセスと置き換えられた認証コードを受け取り、トークンを更新します。 このトークンはユーザーの代わりにリソースへアクセスするために使用されます。

ID サービスが IdP からの回答を検証した後、Cisco Webex が別の Cisco Webex クラウド サービスへアクセスできるようになる OAuth トークンを発行します。