シングルサインオンと Webex Control Hub

シングル サインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Webex クラウドとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

プロファイル

Cisco Webex Teams は、Web ブラウザの SSO プロファイルのみをサポートします。 Web ブラウザ SSO プロファイルでは、Cisco Webex Teams は以下のバインディングをサポートします。

  • SP 初期化済み POST -> POST バインディング

  • SP 初期化済み REDIRECT -> POST バインディング

NamedID 形式

SAML 2.0 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Webex Teams は、以下の NameID 形式をサポートします。

  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

IdP から読み込んだメタデータにおいて、最初のエントリは Cisco Webex で設定されます。

SingleLogout

Cisco Webex Teams は、シングル ログアウト プロファイルをサポートします。 Cisco Webex Teams アプリにおいて、ユーザーは SAML シングル ログアウト プロトコルを使用するアプリケーションからサインアウトすることにより、セッションを終了し、IdP でのサインアウトを確認することができます。 IdP が SingleLogout に対して構成されていること確認してください。

ADFS で Cisco Webex Control Hub を統合する


この設定は、SSO インテグレーションの具体的な例を示しますが、すべての可能性に対して徹底的な設定を提供しません。 たとえば、nameid-format urn:oasis:names:tc:SAML:2.0:nameid-format:transient のインテグレーション手順がドキュメントにまとめられています。 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified または urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress のようなその他の形式は、SSO インテグレーションで動作しますが、当社のドキュメントの対象外にあります。

Cisco Webex 組織のユーザー (Cisco Webex Teams、Cisco Webex Meetings、および Cisco Webex Control Hub で管理されているその他のサービスを含む) のために、この統合をセットアップします。 Webex が Cisco Webex Control Hub で統合されている場合、Webex はユーザー管理を引き継ぎます。 この方法で Cisco Webex Meetings にアクセスできず、Cisco Webex Control Hub で管理されない場合、Cisco Webex Meetings で SSO を有効にするには、別の統合を実施する必要があります。 (サイト管理の SSO インテグレーションの詳細については、「Webex のシングル サインオンの設定」を参照してください。)

ADFS の認証メカニズムで設定されているものに応じて、Integrated Windows Authentication (IWA) をデフォルトで有効に設定することができます。 Windows を通じて起動するアプリケーション(Webex Teams および Cisco Directory Connector)が最初のメールのプロンプト中で入力するメール アドレスにかかわらず、サインインするユーザーを認証します。

Cisco Webex メタデータをお使いのローカル システムにダウンロードする

1

https://admin.webex.comの顧客ビューから、[設定] に移動して、[認証] までスクロールします。

2

[変更] をクリックして、 [サードパーティ アイデンティティ プロバイダーの統合] をクリックします。 (高度) をクリックし、[次へ] をクリックします。

3

メタデータ ファイルをダウンロードします。

Cisco Webex メタデータのファイル名は idb-meta-<org-ID>-SP.xml です。

ADFS に Cisco Spark Metadata をインストールする

始める前に

Cisco Webex Control Hub は ADFS 2 x 以降をサポートしています。

Windows 2008 R2 は ADFS 1.0 だけを含んでいます。 Microsoft から少なくとも ADFS 2.x を入手して、インストールする必要があります。

SSO および Cisco Webex サービスの場合、アイデンティティ プロバイダー (IdP) は以下の SAML 2.0 仕様に準拠している必要があります。

  • NameID 形式の属性を urn:oasis:names:tc:SAML:2.0:nameid-format:transient に設定します

  • IdP でクレームを設定して、Cisco Directory Connector で選択された属性または Cisco Webex アイデンティティ サービスで選択された属性と一致するユーザー属性にマッピングされた値を持つ uid 属性名を含めます。 (この属性はたとえば、E-mail-Addresses または User-Principal-Name となる場合があります。) この点のガイドについては、https://www.cisco.com/go/hybrid-services-directory のカスタム属性情報を参照してください。

1

管理者権限で ADFS サーバーにサイン インします。

2

ADFS 管理コンソールを開き、[信頼関係] > [証明書利用者信頼] > [証明書利用者信頼の追加]を開きます。

3

[証明書利用者信頼の追加ウィザード] ウィザードを追加するウィンドウ から [開始] を選択します。

4

[データ ソースの選択] については、[ファイルから依存するパーティについてのデータをインポートする] を選択し、ダウンロードした Cisco Webex Control Hub のメタデータ ファイルを参照して、[次へ] をクリックします。

5

[表示名の指定] で、「Cisco Webex」など、この証明書利用者のトラストの表示名を作成し、[次へ] を選択します。

6

[発行承認規則の選択] で、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択し、[次へ] を選択します。

7

[信頼の追加の準備完了][次へ]を選択し、ADFS への依存する信頼の追加を終了します。

クレームルールを作成して Cisco Webex から認証を許可する

1

メイン ADFS ペインで、自分が作成した信頼関係を選択し、[クレーム ルールの編集] を選択します。 発行変換ルールタブで、[追加ルール] を選択します。

2

ルールの種類を選ぶ手順で、[LDAP 属性をクレームとして送る] を選択し、 [次へ] を選択します。

  1. [クレーム ルール名]を入力します。

  2. 属性ストアとして [Active Directory] を選択します。

  3. [メール アドレス] LDAP 属性を uid 出力方向のクレームの種類にマッピングします。

    このルールにより、フィールドがユーザーを識別するため Cisco Webex にマッピングする ADFS が分かります。 出力方向のクレームの種類を示されている通り正確にスペルアウトします。

  4. 変更を保存します。

3

[ルールの追加] を再度選択し、[カスタム ルールを使用してクレームを送信する] を選択し、[次へ]を選択します。

このルールにより、Cisco Webex が提供しない「spname qualifier」属性を持つ ADFS を提供します。

  1. テキスト エディターで開いて、以下のコンテンツをコピーします。

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "<!--SajanXliffTagPlaceHolder:1:SajanXliffTagPlaceHolder-->URL1<!--SajanXliffTagPlaceHolder:2:SajanXliffTagPlaceHolder-->", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "<!--SajanXliffTagPlaceHolder:3:SajanXliffTagPlaceHolder-->URL2<!--SajanXliffTagPlaceHolder:4:SajanXliffTagPlaceHolder-->");

    テキスト内の URL1 と URL2 を次のように置き換えます。
    • URL1 は、あなたがダウンロードした ADFS メタデータ ファイル内の entityID です。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://ad0a.identitylab20.ciscolabs.com/adfs/services/trust" ID="_55515dde-8147-4183-8a85-b704d26b5dba">

      ADFS メタデータ ファイルから entityID のみをコピーして、URL1 を置き換えるために、テキスト ファイルに貼り付けます。

    • URL2 は、あなたがダウンロードした Cisco Webex メタデータ ファイルの最初の行にあります。

      たとえば、次のような entityID を見ることができます。 <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/35a15b0a-0eg1-4029-9f63-a8c54df5df59">

      Cisco Webex メタデータ ファイルから entityID のみをコピーして、テキスト ファイルに貼り付けて URL2 を置き換えます。

  2. アップデートした URL でテキストエディター (c:」で開始) からルールをコピーし、 ADFS サーバー上のカスタムルールボックス にペーストします。

    完了したルールは以下のようになります。
  3. [完了] を選択してルールを作成し、クレームルールの編集ウィンドウを編集します。

4

メイン ウィンドウの [Relying Party Trust] を選択し、右のペインの[プロパティ] を選択します。

5

プロパティ ウィンドウが表示されたら、[アドバンスト] タブを参照して [SHA-256] から [OK] を選択し変更を保存します。

6

社内 ADFS サーバー上の以下の URL を参照して、ファイルをダウンロードします。 https://<AD_FS_Server>/FederationMetadata/2007-06/FederationMetadata.xml


 

このページで右クリックして、ページ ソースを確認し、適切にフォーマットされた XML ファイルうぃ取得することが必要な場合があります。

7

ローカル マシンにこのファイルを保存します。

次のタスク

ADFS メタデータを管理ポータル サイトから Cisco Webex にインポートし直す準備ができました。

IdP メタデータをインポートし、テスト後シングル サインオンを有効化する

Cisco Webex メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカル システムにダウンロードします。Control Hub からお使いの Cisco Webex 組織にインポートする準備ができました。

始める前に

ID プロバイダ (IdP) インターフェイスからの SSO 統合をテストしないでください。 サービス プロバイダーにより開始された (SP 主導) フローのみをサポートしているため、この統合には Control Hub SSO テストを使用する必要があります。

1

1 つを選択します。

  • ブラウザーの [Cisco Webex Control Hub – ディレクトリ メタデータのエクスポート] ページに戻り、[次へ] をクリックします。
  • Control Hub がブラウザー タブを開いていない場合は、https://admin.webex.com の顧客ビューから [設定] に進み、[認証] までスクロールして、[サードパーティ アイデンティティ プロバイダーを統合する(高度)] を選択し、その後、信頼できるファイル ページ上で [次へ] をクリックします(以前、それを行っているため)。
2

[IdP メタデータのインポート] ページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。 [次へ] をクリックします。

メタデータに署名が行われていない場合、自己署名の証明書で署名されている場合、またはプライベートなエンタープライズ証明機関により署名されている場合には、[メタデータの証明機関によって署名された証明書を要求する (よりセキュア)] を使用することを推奨します。 証明書が自己署名されている場合は、安全性の低いオプションを選択する必要があります。

3

[SSO 接続のテスト] を選択し、新しいブラウザー タブが開いたとき、サインインすることによって、IdP で認証します。


 

認証エラーを受け取った場合、証明書に問題がある可能性があります。 ユーザー名とパスワードを確認して再度試してください。

Webex Teams エラーは通常、SSO セットアップのことを意味します。 この場合は、この手順、特に Control Hub メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

4

Control Hub ブラウザー タブに戻ります。

  • テストが成功した場合、このテストは成功しましたを選択してください。 [シングル サインオン] オプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 [シングル サインオン] オプションを無効化し、[次へ] をクリックする。

次のタスク

[自動メールの抑制] の手順に従って、組織の新しい Webex Teams ユーザーに送信されるメールを無効にすることができます。 この文書もまた、組織のユーザーにコミュニケーションを送信するためのベストプラクティスも含みます。

AD FS での証明書利用者信頼の更新 Cisco Webex

このタスクは、Cisco Webex から新しい SAML メタデータを使用した AD FS の更新について特になります。 AD FS で SSO を構成する必要がある場合 https://help.webex.com/nyx7kubb/、または 新しい Webex SSO 証明書の SAML メタデータを使用して別の IdP を更新する必要がある場合には、関連記事があります。

始める前に

AD FS で Cisco Webex 証明書利用者信頼を更新するには、Control Hub から SAML メタデータファイルをエクスポートする必要があります。

1

管理者権限で AD FS サーバーにサインインします。

2

Webex から SAML メタデータファイルを AD FS サーバーの一時ローカルフォルダ (例、) にアップロードします。 ADFS_servername<org-ID>/temp/idb-meta-SP-3

3

Powershell を開きます。

4

Get-AdfsRelyingPartyTrust を実行して、 すべての証明書利用者信頼を読み取ります。

Cisco Webex 証明書利用者信頼の TargetName パラメーターに注意してください。 「Cisco Webex」の例を使用していますが、AD FS では異なる場合があります。

5

アップデートを実行する-AdfsRelyingPartyTrust-MetadataFile "//ADFS_servername/temp/idb-meta-<org-ID>sp-3"-TargetName "Cisco Webex"

実際の環境では、ファイル名とターゲット名が正しい値で置き換えられていることを確認してください。

https://docs.microsoft.com/powershell/module/adfs/update-adfsrelyingpartytrust を参照してください。
6

Control Hub にサインインし、SSO のインテグレーションをテストします。

  1. 設定に移動し [認証] までスクロールします。

  2. [ サードパーティの id プロバイダを統合する (アドバンスト)] を選択 し、[次へ] をクリックし ます。

  3. [ 次へ] をクリックし て、IdP メタデータのインポートページをスキップします。

    以前に IdP メタデータをインポートしたため、そのステップを繰り返す必要はありません。

  4. [ テスト SSO 接続] をクリックします。

    新しいブラウザウィンドウが開き、[IdP チャレンジ] ページにリダイレクトされます。

  5. サインインしてテストを完了します。

ADFS トラブルシューティング

Windows ログの ADFS エラー

Windows ログで、ADFS イベントログエラーコード 364 が表示されることがあります。 イベントの詳細によって無効な証明書を識別します。 この場合、ADFS ホストはポート 80 のファイアウォールを通じて証明書を有効化することを許可されていません。

フェデレーション ID

フェデレーション ID では、大文字と小文字が区別されます。 これが組織のメール アドレスである場合は、 ADFS が送信したものと全く同じものを入力してください。そうでないと、Cisco Webex が合致するユーザーを見つけられません。

カスタムクレームルールは送信する前に LDAP 属性をノーマライズするために書き込むことはできません。

お使いの環境にセットアップした ADFS サーバー からご自分のメタデータをインポートします。

必要に応じて、ADFS 管理で [サービス] > [エンドポイント] > [メタデータ] > [種類: フェデレーション メタデータ] の順に選択すれば、URL を確認することができます。

時間同期

ADFS サーバーのシステム時計が信頼できる Network Time Protocol (NTP) を使用するインターネット時間ソースに同期されていることを確認してください。 以下の PowerShell コマンドを使用して時計を Cisco Webex Relying Party Trust 関係のみにスキューします。

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://idbroker.webex.com/$ENTITY_ID_HEX_VALUE" -NotBeforeSkew 3

16 進数の値はあなたの環境固有のものです。 Cisco Webex メタデータ ファイルの SP EntityDescriptor ID の値からこの値を置き換えてください。 例:

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID=" https://idbroker.webex.com/c0cb726f-a187-4ef6-b89d-46749e1abd7a">