Cisco Webex Meeting/Teams
【参考】
2017年06月15日時点での情報で掲載しています。
「Cisco Webex Meeting」との認証連携を設定します。
【注意】
- 本手順は「Cisco Webex Teams」のリブランド前の「Cisco Spark」での手順です。Cisco Webex Meeting(旧Cisco WebEX)の設定も旧Cisco Spark側の設定方法にマージされています。
- Cisco WebexがSAMLで認証するキーは「ログインID(メールアドレス)」です。
- IIJ IDサービス内のユーザ属性にCisco Webexの「ログインID」と同一の値を保持しておく必要があります。
- 作業前にCisco Webexの管理者のログインIDを保持するアカウントをIIJ IDサービスに用意してください。用意したアカウントの組み合わせで作業を実施してください。
- Cisco WebexはSP Initiated SSOのみサポートしています。Cisco Webex側のサイトからのみ認証が可能です。
1. IIJ IDサービスにSAMLアプリケーションを登録する
1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。
2. 「アプリケーションを追加する」をクリックし、「カスタムアプリケーションを追加する」をクリックします。
3. 「SAMLアプリケーション」を選択し、「次に進む」をクリックします。
4. アプリケーション情報を入力し、「アプリケーションを追加する」をクリックします。
2. IIJ IDサービスのIDプロバイダ情報を確認する
1. 作成されたアプリケーションに対して「編集する」をクリックします。
2. 「IDプロバイダ情報」をクリックします。
3. 「メタデータ」の「ダウンロードする」をクリックし、IDプロバイダのメタデータをダウンロードします。
4. ダウンロードしたIDプロバイダのメタデータを以下のとおり編集し、保存します。
| 変更箇所 | <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat> |
|---|---|
| 変更後 | <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat> |
3. Cisco Webexのメタデータを取得する
1. Cisco WebexのCisco Webex Control Hubにサイト管理者としてログインします。
2. 左ペインにある「設定」をクリックします。
3. 右ペインの項目から「認証」を開き、「シングル サインオン」の「変更」をクリックします。
4. 「サードパーティの ID プロバイダーを統合させる。(高度)」を選択し、「始めましょう」をクリックします。
5. 「メタデータ ファイルのダウンロード」をクリックし、Cisco Webex 側のメタデータファイルをダウンロードします。
6. Cisco Webex側での作業を終了させます。
4. IIJ IDサービスのSAMLアプリケーションを設定する
1. 「アプリケーション」の「アプリケーションの管理」 をクリックします。
2. アプリケーションに対して「編集する」をクリックします。
3. 「フェデレーション設定」をクリックします。
4. 以下のとおり設定し、「変更を適用する」をクリックします。
| 項目 | 内容 | 備考 | |
|---|---|---|---|
| SAML基本情報 | SAML情報を入力する | 「SAML情報を入力する」をチェック | |
| シングルサインオンURL | 手順3-5で入手したCisco Webex 側のメタデータファイル内に記述されているAssertionConsumerServiceタグ内のLocationの値のURL | 例) https://idbroker.webex.com/idb/Consumer/metaAlias/{お客様環境依存}/sp | |
| エンティティ ID | 手順3-5で入手したCisco Webex側のメタデータファイル内に記述されているEntityDescriptorタグ内のentityIDの値 | 例) https://idbroker.webex.com/{お客様環境依存} | |
| NameIDフォーマット | urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified | ||
| 検証後の遷移先(RelayState) | (空欄) | ||
| アプリケーションのトップページURL | https://{ドメイン名}.webex.com | {ドメイン名}部分は、Cisco Webexで利用するドメイン名を指定します | |
| アサーションの署名アルゴリズム | 例) RSA-SHA256 | ||
| ユーザ識別子(NameID)の指定 | 関連付けるユーザ属性 | 例) ID | Cisco Webexの「ユーザID」の値が格納されている属性を指定します |
【参考】
「アサーションの署名アルゴリズム」は連携先サービス側で指定などがない場合、デフォルト値の「RSA-SHA256」を選択してください。
「RSA-SHA256」を指定して動作しない場合及び連携先サービス側で明示的にそれ以外のものが指定されている場合は、「RSA-SHA512」、または「RSA-SHA1」に変更し、連携を確認してください。
【参考】
- 「ユーザ識別子(NameID)」の指定は、ユーザ単位ではなくSAMLアプリケーション単位でのみ設定できます。
- 「ユーザ識別子(NameID)」の指定した属性にユーザが値を保持していない場合は SAML連携は失敗します。
- 「ユーザ識別子(NameID)」にID以外の複数の値を持つ属性で指定する方法は以下のとおりです。
例として、IIJ IDサービスの各ユーザの属性「Entitlements」に以下のように値が設定されています。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro」の場合は、「タイプと一致する値を使用する」をチェックし、タイプに「SaaS_ID」を指定します。
- 連携先サービス側に「ユーザ識別子(NameID)」として渡す値が「iij-jiro@iij.ad.jp」の場合は、「プライマリの値を使用する」をチェックします。
【注意】
- 「ユーザ識別子(NameID)」としてID以外の属性を指定していると、IIJ IDサービスに対する更新処理でその属性の値が更新される場合があります。ただし、その更新は連携先サービスまで伝搬されないため、IIJ IDサービス側の属性の値が更新されると、連携していたアカウントに接続できなくなります。「ユーザ識別子(NameID)」としている属性の値が更新される場合は、連携先サービス側で紐づく属性(多くの場合、ユーザID)を忘れずに更新してください。
- 以下の画像のように複数のタイプに「SaaS_ID」が設定されている場合、「ユーザ識別子(NameID)」に「SaaS_ID」を指定すると、サービスマニュアルに記載されているルールに基づいていずれかの単数値だけが採用されます。連携対象のサービスに管理者の意図しないアカウントがSAML連携される危険性があります。対象となる各ユーザにおいて、「ユーザ識別子(NameID)」として指定するタイプが複数個存在しないように注意してください。
5. 「利用者設定」をクリックします。
6. 「利用者を追加する」をクリックし、アプリケーションにシングルサインオンさせたいグループ及びユーザを指定します。
【参考】
利用者に登録していないユーザにもこのアプリケーションを利用させたい場合は、「アプリケーションへのログイン」の「編集」をクリックしします。
「利用者でないユーザも、アプリケーションへのログインを許可する」を選択し、「変更を適用する」をクリックします。
5.Cisco WebexにIDプロバイダ情報を登録する
1. Cisco WebexのCisco Webex Control Hubにサイト管理者としてログインし、左ペインにある「設定」をクリックします。
2. 右ペインの項目から「認証」を開き、「シングル サインオン」の「変更」をクリックします。
3. 「サードパーティの ID プロバイダーを統合させる。(高度)」を選択し、「始めましょう」をクリックします。
4. 「次へ」をクリックします。
5. 手順2-4で編集したIIJ IDサービスのメタデータをアップロードします。
6. 「メタデータ内に自己署名証明書を含めることも可能です (安全でない)」を選択し、「次へ」をクリックします。
7. 「SSO 接続のテスト」をクリックします。
8. シングルサインオンが成功したことを確認します。
9. 「テストに成功しました。SSO を有効にします。」を選択し、「保存」をクリックします。
