シングルサインオンと Webex Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Webex クラウドとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

プロファイル

Cisco Webex Teams は、Web ブラウザの SSO プロファイルのみをサポートします。 Web ブラウザ SSO プロファイルでは、Cisco Webex Teams は以下のバインディングをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NamedID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Webex Teams は、以下の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータの最初のエントリは、Cisco Webex で使用するために設定されます。

SingleLogout

Cisco Webex Teams は、シングル ログアウト プロファイルをサポートします。 Cisco Webex Teams アプリは SAML シングル ログアウト プロトコルを使用しており、ユーザーはアプリケーションからサインアウトすることによりセッションを終了し、IdP でのサインアウトを確認できます。 IdP が SingleLogout に対して構成されていることを確認してください。

ADFS で Cisco Webex Control Hub を統合する


この設定ガイドでは、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対し網羅的な設定を提供するものではありません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Cisco Webex 組織のユーザー (Cisco Webex TeamsCisco Webex Meetings、および Cisco Webex Control Hub で管理されているその他のサービスを含む) のために、この統合をセットアップします。 Webex サイトが Cisco Webex Control Hub で統合されている場合、その Webex サイトはユーザー管理を引き継ぎます。 この方法で Cisco Webex Meetings にアクセスできず、Cisco Webex Control Hub で管理されていない場合、Cisco Webex Meetings で SSO を有効にするには、別の統合を実施する必要があります。 (サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください)

ADFS の認証メカニズムで設定されているものに応じて、Integrated Windows Authentication (IWA) をデフォルトで有効に設定することができます。 Windows を通じて起動するアプリケーション(Webex Teams および Cisco Directory Connector)が最初のメールのプロンプト中で入力するメール アドレスにかかわらず、サインインするユーザーを認証します。

Cisco Webex メタデータをお使いのローカル システムにダウンロードする

1

https://admin.webex.com の顧客ビューから、[設定] に移動して、[認証] までスクロールします。

2

[変更] をクリックして、[サードパーティ アイデンティティ プロバイダーの統合] をクリックします。 (高度)をクリックし、[次へ] をクリックします。

3

メタデータ ファイルをダウンロードします。

Cisco Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

ADFS に Cisco Webex Metadata をインストールする

スケジューリングを始める前に

Cisco Webex Control Hub は ADFS 2.x 以降をサポートしています。

Windows 2008 R2 は ADFS 1.0 だけを含んでいます。 Microsoft から少なくとも ADFS 2.x を入手して、インストールする必要があります。

SSO および Cisco Webex サービスの場合、アイデンティティ プロバイダー (IdP) は以下の SAML 2.0 仕様に準拠している必要があります。

  • NameID 形式の属性を urn:oasis:names:tc:SAML:2.0:nameid-format:transient に設定します

  • IdP でクレームを設定して、uid 属性名を含めます。この値は Cisco Directory Connector で選択された属性または Cisco Webex アイデンティティ サービスで選択された属性と一致するユーザー属性にマッピングされています (この属性はたとえば、E-mail-Addresses または User-Principal-Name となる場合があります)。 この点のガイドについては、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

1

管理者権限で ADFS サーバーにサイン インします。

2

ADFS 管理コンソールを開き、[信頼関係] > [証明書利用者信頼] > [証明書利用者信頼の追加] を開きます。

3

[証明書利用者信頼の追加] ウィザードウィンドウ から [開始] を選択します。

4

[データ ソースの選択] については、[証明書利用者についてのデータをファイルからインポートする] を選択し、ダウンロードした Cisco Webex Control Hub のメタデータ ファイルを参照して、[次へ] をクリックします。

5

[表示名の指定] で、Cisco Webexなど、この証明書利用者のトラストの表示名を作成し、[次へ] を選択します。

6

[発行承認規則の選択] で、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] を選択します。

7

信頼を追加する準備をする場合、 [次へ] を選択し、ADFS に依存する信頼の追加を終了します。

クレームルールを作成して Cisco Webex から認証を許可する

1

メイン ADFS ペインで、自分が作成した信頼関係を選択し、[クレーム ルールの編集] を選択します。 発行変換ルールタブで、[追加ルール] を選択します。

2

ルールの種類を選ぶ手順で、[LDAP 属性をクレームとして送る] を選択し、 [次へ] を選択します。

  1. [クレーム ルール名]を入力します。

  2. 属性ストアとして [Active Directory] を選択します。

  3. [メール アドレス] LDAP 属性を uid 出力方向のクレームの種類にマッピングします。

    このルールにより、フィールドがユーザーを識別するため Cisco Webex にマッピングする ADFS が分かります。 出力方向のクレームの種類を示されている通り正確にスペルアウトします。

  4. 変更を保存します。

3

[ルールの追加] を再度選択し、[カスタム ルールを使用してクレームを送信する] を選択し、[次へ]を選択します。

このルールにより、Cisco Webex が提供しない「spname qualifier」属性を持つ ADFS を提供します。

  1. テキスト エディターで開いて、以下のコンテンツをコピーします。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    テキスト内の URL1 と URL2 を次のように置き換えます。
    • URL1 は、あなたがダウンロードした ADFS メタデータ ファイル内の entityID です。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS メタデータ ファイルから entityID のみをコピーして、URL1 を置き換えるために、テキスト ファイルに貼り付けます。

    • URL2 は、ダウンロードした Cisco Webex メタデータ ファイルの最初の行にあります。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Cisco Webex メタデータ ファイルから entityID のみをコピーして、テキスト ファイルに貼り付け、URL2 を置き換えます。

  2. アップデートした URL でテキストエディター (c:」で開始) からルールをコピーし、 ADFS サーバー上のカスタムルールボックス にペーストします。

    完了したルールは以下のようになります。
  3. [完了] を選択してルールを作成し、クレームルールの編集ウィンドウを編集します。

4

メイン ウィンドウの [Relying Party Trust] を選択し、右のペインの[プロパティ] を選択します。

5

プロパティ ウィンドウが表示されたら、[アドバンスト] タブを参照して [SHA-256] から [OK] を選択し変更を保存します。

6

社内 ADFS サーバー上の以下の URL を参照して、ファイルをダウンロードします。 https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

このページで右クリックして、ページ ソースを確認し、適切にフォーマットされた XML ファイルうぃ取得することが必要な場合があります。

7

ローカル マシンにこのファイルを保存します。

次に行うこと

ADFS メタデータを管理ポータル サイトから Cisco Webex にインポートし直す準備ができました。

IdP メタデータをインポートし、テスト後シングル サインオンを有効化する

Cisco Webex メタデータをエクスポートし、IdP を設定して IdP メタデータをお使いのローカル システムにダウンロードすると、お使いの Cisco Webex 組織に Control Hub からインポートする準備が整います。

スケジューリングを始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。 サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • ブラウザーの [Cisco Webex Control Hub – ディレクトリ メタデータのエクスポート] ページに戻り、[次へ] をクリックします。
  • Control Hub がブラウザー タブを開いていない場合は、https://admin.webex.com の顧客ビューから [設定] に進み、[認証] までスクロールして、[サードパーティ アイデンティティ プロバイダーを統合する(高度)] を選択し、その後、信頼できるファイル ページ上で [次へ] をクリックします(以前に一度実行済みのため)。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

メタデータに署名が行われていない場合、自己署名の証明書で署名されている場合、またはプライベートなエンタープライズ証明機関により署名されている場合には、[メタデータの証明機関によって署名された証明書を要求する (よりセキュア)] を使用することを推奨します。 証明書が自己署名されている場合は、安全性の低いオプションを選択する必要があります。

3

[SSO 接続をテストする] を選択し、新しいブラウザー タブが開いたとき、IdP でサイン インすることで認証します。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

Webex Teams エラーは通常、SSO セットアップのことを意味します。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合、このテストは成功しましたを選択してください。 [シングル サインオン] オプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 [シングル サインオン] オプションを無効化し、[次へ] をクリックする。

次に行うこと

[自動メールの抑制] の手順に従って、組織の新しい Webex Teams ユーザーに送信されるメールを無効にすることができます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

AD FS で Cisco Webex の依存当事者を更新する

このタスクは、Cisco Webex から新しい SAML メタデータを使用した AD FS の更新について特になります。 AD FS で SSO を構成する必要がある場合、または 新しい Webex SSO 証明書の SAML メタデータを使用して別の IdP を更新する必要がある場合には、関連記事があります。

スケジューリングを始める前に

AD FS で Cisco Webex 証明書利用者信頼を更新するには、Control Hub から SAML メタデータ ファイルをエクスポートする必要があります。

1

管理者権限で AD FS サーバーにサインインします。

2

Webex から SAML メタデータ ファイルを AD FS サーバーの一時ローカル フォルダー (例: ADFS_servername<org-ID>/temp/idb-meta-SP-3) にアップロードします。

3

Powershell を開きます。

4

Get-AdfsRelyingPartyTrust を実行して、すべての証明書利用者信頼を読み取ります。

Cisco Webex 証明書利用者信頼の TargetName パラメーターに注意してください。 「Cisco Webex」の例を使用していますが、AD FS では異なる場合があります。

5

Update-AdfsRelyingPartyTrust -MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>-SP.xml" -TargetName "Cisco Webex を実行します。

実際の環境では、ファイル名とターゲット名が正しい値で置き換えられていることを確認してください。

https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust を参照してください。
6

Control Hub にサインインし、SSO のインテグレーションをテストします。

  1. [設定] に移動し、 [認証] までスクロールし、[修正] をクリックします。

  2. [サードパーティの ID プロバイダを統合する (アドバンスト)] を選択 し、[次へ] をクリックします。

  3. [次へ] をクリックして、[IdP メタデータのインポート] ページをスキップします。

    以前に IdP メタデータをインポートしたため、そのステップを繰り返す必要はありません。

  4. [SSO 接続のテスト] をクリックします

    新しいブラウザ ウィンドウが開くと、[IdP チャレンジ] ページにリダイレクトされます。

  5. テストを完了するために、サイン インしてください。

ADFS トラブルシューティング

Windows ログの ADFS エラー

Windows ログで、ADFS イベントログエラーコード 364 が表示されることがあります。 イベントの詳細によって無効な証明書を識別します。 この場合、ADFS ホストはポート 80 のファイアウォールを通じて証明書を有効化することを許可されていません。

フェデレーション ID

フェデレーション ID では、大文字と小文字が区別されます。 これが組織のメール アドレスである場合は、 ADFS が送信したものと全く同じものを入力してください。そうでないと、Cisco Webex が一致するユーザーを見つけられません。

カスタムクレームルールは送信する前に LDAP 属性をノーマライズするために書き込むことはできません。

お使いの環境にセットアップした ADFS サーバー からご自分のメタデータをインポートします。

必要であれば、[サービス] > [エンドポイント] > [メタデータ] > [種類: フェデレーション メタデータ] の順に選択して ADFS 管理で URL を確認します。

時間同期

ADFS サーバーのシステム時計が信頼できる Network Time Protocol (NTP) を使用するインターネット時間ソースに同期されていることを確認してください。 以下の PowerShell コマンドを使用して時計を Cisco Webex 証明書利用者信頼関係のみにスキューします。

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

16 進数の値はあなたの環境固有のものです。 Cisco Webex メタデータ ファイルの SP EntityDescriptor ID の値からこの値を置き換えてください。 例:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">