Cisco Webex Control Hub と ADFS を統合する


構成ガイドでは、SSO 統合の特定の例について説明します。すべての可能性に対応する構成を網羅的に扱っているわけではありません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient の統合のステップは説明しています。 他の形式、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified or urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress なども SSO 統合で機能しますが、これは本書の範囲を超えています。

この統合を Cisco Webex 組織のユーザー (Cisco Webex TeamsCisco Webex Meetings、および Cisco Webex Control Hub で管理される他のサービスを含む) のためにセットアップします。 WebexCisco Webex Control Hub で統合されている場合、Webex は、ユーザー管理を引き継ぎます。 この方法で Cisco Webex Meetings にアクセスできず、Cisco Webex Control Hub で管理されない場合、Cisco Webex Meetings で SSO を有効にするには、別の統合を実施する必要があります (サイト管理における SSO 統合の詳細については、「Webex のシングル サインオンの構成」を参照してください)。

ADFS での認証メカニズムでの構成によっては、統合 Windows 認証 (IWA) がデフォルトで有効になる場合もあります。 有効にすると、最初のメールのプロンプト中で入力したメール アドレスにはかかわりなく、Windows を通じて起動するアプリケーション(Webex TeamsCisco Directory Connector など)が、サインインするユーザーとして認証します。

Cisco Webex メタデータをお使いのローカル システムにダウンロードする

1

https://admin.webex.comの顧客ビューから、[設定] に移動して、[認証] までスクロールします。

2

[変更] をクリックし、[サードパーティ アイデンティティ プロバイダーの統合 (高度)]をクリックし、[次へ] をクリックします。

3

メタデータ ファイルをダウンロードします。

Cisco Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

ADFS に Cisco Webex メタデータをインストールする

始める前に

Cisco Webex Control Hub ADFS 2.x 以降をサポートします。

Windows 2008 R2 は ADFS 1.0 だけを含んでいます。 Microsoft から少なくとも ADFS 2.x を入手して、インストールする必要があります。

SSO および Cisco Webex サービスを使用する場合、アイデンティティ プロバイダー (IdP) は以下の SAML 2.0 仕様に準拠している必要があります。

  • [NameID Format] 属性を [urn:oasis:names:tc:SAML:2.0:nameid-format:transient] に設定します。

  • IdP 上の要求を構成して、 で選択した属性にマップされている値を持つ [uid]Cisco Directory Connector 属性名を含めるか、または Cisco Webex アイデンティティ サービスで選択したものとマッチするユーザー属性を含めるようにします (この属性は、たとえば E-mail-Addresses または User-Principal-Name などにできます)。 この点のガイドについては、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

1

管理者権限で ADFS サーバーにサインインします。

2

ADFS 管理コンソールを開いて、[信頼関係] > [証明書利用者信頼] > [証明書利用者信頼の追加]を参照します。

3

[証明書利用者信頼の追加ウィザード]ウィンドウ から [開始] を選択します。

4

[データ ソースの選択][証明書利用者についてのデータをファイルからインポートする] を選択し、ダウンロードした Cisco Webex Control Hub のメタデータ ファイルを参照して、[次へ] をクリックします。

5

[表示名の指定] で、この証明書利用者のトラストの表示名 (Cisco Webex など) を作成して、[次へ] を選択します。

6

[発行認可規則の選択] で、[すべてのユーザーにこの証明書利用者へのアクセスを許可] を選択し、[次へ] を選択します。

7

[信頼の追加の準備完了] で、[次へ] を選択して、ADFS への信頼の追加を完了します。

クレーム ルールを作成して認証を許可する: Cisco Webex

1

メイン ADFS ペインで、自分が作成した信頼関係を選択し、[クレームルールの編集]を選択します。 発行変換ルールタブで、[追加ルール] を選択します。

2

ルールの種類を選ぶ手順で、[LDAP 属性をクレームとして送る] を選択し、[次へ] を選択します。

  1. [クレーム ルール名] を入力します。

  2. 属性ストアとして [Active Directory] を選択します。

  3. [メール アドレス] LDAP 属性を uid 出力方向のクレームの種類にマッピングします。

    このルールにより、フィールドがユーザーを識別するため Cisco Webex にマッピングする ADFS が分かります。 出力方向のクレームの種類を示されている通り正確にスペルアウトします。

  4. 変更を保存します。

3

[ルールの追加] を再度選択し、[カスタムルールを使用してクレームを送信する] を選択し、[次へ]を選択します。

このルールにより、Cisco Webex がそれ以外の場合には提供しない、「spname qualifier」属性を持つ ADFS が提供されます。

  1. テキスト エディターで開いて、以下のコンテンツをコピーします。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "URL1", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "URL2");

    テキスト内の URL1 と URL2 を次のように置き換えます。
    • URL1 は、あなたがダウンロードした ADFS メタデータ ファイル内の entityID です。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS メタデータ ファイルから entityID のみをコピーして、URL1 を置き換えるために、テキスト ファイルに貼り付けます。

    • URL2 は、ダウンロードした Cisco Webex メタデータ ファイルの最初の行にあります。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Cisco Webex メタデータ ファイルから entityID のみをコピーして、テキスト ファイルに貼り付けて URL2 を置き換えます。

  2. アップデートした URL でテキストエディター (「c:」で開始) からルールをコピーし、 ADFS サーバー上のカスタムルールボックス にペーストします。

    完了したルールは以下のようになります。
  3. [完了] を選択してルールを作成し、クレームルールの編集ウィンドウを編集します。

4

メインウィンドウの [証明書利用者信頼] を選択し、右のペインの [プロパティ] を選択します。

5

プロパティ ウィンドウが表示されたら、[アドバンスト] タブを参照して SHA-256 から [OK] を選択し変更を保存します。

6

社内 ADFS サーバー上の以下の URL を参照して、ファイルをダウンロードします。 https://AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

このページで右クリックして、ページ ソースを確認し、適切にフォーマットされた XML ファイルを取得することが必要な場合があります。

7

ローカル マシンにこのファイルを保存します。

次のタスク

これで ADFS メタデータを管理ポータルサイトから Cisco Webex にインポートする準備ができました。

IdP メタデータをインポートし、テスト後シングル サインオンを有効化する

Cisco Webex メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカル システムにダウンロードします。これでお使いの Cisco Webex 組織に Control Hub からインポートする準備ができました。

1

いずれか 1 つを選択します。

  • ブラウザーの [Cisco Webex Control Hub– ディレクトリ メタデータのエクスポート] ページに戻り、[次へ] をクリックします。
  • Control Hub がブラウザー タブを開いていない場合は、https://admin.webex.com の顧客ビューから [設定] に進み、[認証] までスクロールして、[サードパーティ アイデンティティ プロバイダーを統合する(高度)] を選択し、その後、信頼できるファイル ページ上で [次へ] をクリックします(以前、それを行っているため)。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

メタデータに署名が行われていない場合、自己署名の証明書で署名されている場合、またはプライベートなエンタープライズ証明機関 (CA) により署名されている場合には、[メタデータの証明機関によって署名された証明書を要求する (よりセキュア)] を使用することを推奨します。 証明書が自己署名されている場合は、[安全性が低い] オプションを選択する必要があります。

3

[SSO 接続のテスト]を選択して、新しいブラウザ タブが開いたら、サインインすることによって、IdP で認証します。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

Webex Teams エラーは通常、SSO セットアップのことを意味します。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合、[このテストは成功しました] を選択してください。 [シングル サインオン] オプションを有効化し、[次へ] をクリックします。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 [シングル サインオン] オプションを無効化し、[次へ] をクリックします。

次のタスク

[自動メールの抑制] の手順に従って、組織の新しい Webex Teams ユーザーに送信されるメールを無効にすることができます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

ADFS トラブルシューティング

Windows ログの ADFS エラー

Windows ログで、ADFS イベントログエラーコード 364 が表示されることがあります。 イベントの詳細によって無効な証明書を識別します。 この場合、ADFS ホストはポート 80 のファイアウォールを通じて証明書を有効化することを許可されていません。

フェデレーション ID

フェデレーション ID では、大文字と小文字が区別されます。 これが組織のメール アドレスである場合には、 ADFS が送信したものと全く同じに入力してください。そうでないと、Cisco Webex はマッチするユーザーを見つけられません。

カスタムクレームルールは送信する前に LDAP 属性をノーマライズするために書き込むことはできません。

お使いの環境にセットアップした ADFS サーバー からご自分のメタデータをインポートします。

にナビゲートするのに必要な場合には、URL を確認してください サービス > エンドポイント > メタデータ > 種類: フェデレーション メタデータ ADFS 管理において。

時間同期

ADFS サーバーのシステム時計が信頼できる Network Time Protocol (NTP) を使用するインターネット時間ソースに同期されていることを確認してください。 以下の PowerShell コマンドを使用して、時計を Cisco Webex 証明書利用者信頼のみにスキューします。

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

16 進数の値はあなたの環境固有のものです。 Cisco Webex メタデータ ファイルの SP EntityDescriptor ID の値からこの値に置き換えてください。 例:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">