証明書の管理と一般的なSSOメンテナンス作業 (有効期限が切れる証明書の更新、既存のSSO設定の確認など) に Control Hub のSSO管理機能を使用します。 SSO の管理機能は、それぞれこの記事の個別のタブで説明されています。
組織内の複数の ID プロバイダーに対して SSO を設定する場合は、Webex で複数の IdP を使用する SSO を参照してください。
組織の証明書の使用状況が [なし] に設定されているにもかかわらず、まだアラートを受信している場合は、アップグレードを続行することをおすすめします。 SSO 展開では現在証明書を使用していませんが、将来変更するには証明書が必要な場合があります。 |
Control Hub で、Webex シングル サインオン (SSO) 証明書が期限切れとなるという旨のメール通知を受信したか、またはアラートを見たことがあると思います。 この記事のプロセスに従って、Cisco (SP) から SSO クラウド証明書のメタデータを取得し、IdP に追加してください。そうしないと、ユーザーは Webex サービスを使用できなくなります。 |
Webex 組織で SAML Cisco (SP) SSO 証明書を使用している場合は、できるだけ早く定期的なスケジュールされたメンテナンス期間中にクラウド証明書を更新することを計画する必要があります。
お客様の Webex 組織のサブスクリプションの一部である全サービスが影響を受けます。これには次を含みますが、それらに限定されません。
Webex アプリ (すべてのプラットフォームに対する新しいサインイン: デスクトップ、モバイル、Web)
Webex サービス (Control Hub内、Calling を含む)
Webex Meetings サイト (Control Hub を通じて管理)
Cisco Jabber (SSO と統合されている場合)
始める前に
開始する前に、すべての指示をお読みください。 証明書を変更するか、またはウィザードを通じて証明書を更新した後、新しいユーザーは正常にサインインできない場合があります。 |
IdP が複数の証明書をサポートしていない場合 (市場のほとんどの IdP はこの機能をサポートしていません)、Webex アプリのユーザーが影響を受けないメンテナンス期間中に、このアップグレードをスケジュールすることを推奨します。 これらのアップグレードタスクは、運用時間とイベント後の検証に約 30 分かかる必要があります。
1 | SAML Cisco (SP) SSO 証明書の有効期限切れを確認するには:
SSO ウィザードに直接移動して、証明書を更新することもできます。 ウィザードを終了する前に終了する場合は、https://admin.webex.com。 イン | ||
2 | IdP に移動し、です。 | ||
3 | [証明書と有効期限の確認] をクリックします。 | ||
4 | [証明書の更新] をクリックします。 | ||
5 | 組織が使用する IdP のタイプを選択します。
| ||
6 | 更新のために証明書のタイプを選択します:
| ||
7 | [メタデータ ファイルをダウンロード] をクリックして、Webex クラウドから新しい証明書付きの更新されたメタデータのコピーをダウンロードします。 この画面を開いたままにします。 | ||
8 | IdP 管理インターフェイスに移動して、新しい Webex メタデータ ファイルをアップロードします。
| ||
9 | Control Hub にサインインしたタブに戻り、[次へ] をクリックします。 | ||
10 | 新しい SP 証明書とメタデータを使用して IdP を更新し、[次へ] をクリックします。
| ||
11 | 更新を完了をクリックします。 |
Control Hub で、IdP 証明書が期限切れとなるという旨のメール通知を受信したか、アラートを見たことがあると思います。 IdP ベンダーには証明書の更新に関する固有のドキュメントがあるため、Control Hub で必要な内容を説明します。これには、更新された IdP メタデータを取得し、それを Control Hub にアップロードして証明書を更新するための汎用手順もあります。 |
1 | IdP SAML 証明書の有効期限切れを確認するには:
| ||
2 | IdP 管理インターフェイスに移動して、新しいメタデータ ファイルを取得します。
| ||
3 | ID プロバイダタブに戻ります。 | ||
4 | IdP に移動し、を選択しIdp メタデータをアップロードします。 | ||
5 | IdP メタデータ ファイルをウィンドウにドラッグ アンド ドロップするか、[ファイルを選択]をクリックしてアップロードします。 | ||
6 | IdP メタデータの署名方法に応じて、[セキュリティが低い] (自己署名) または [セキュリティが高い] (公共 CA により署名済み) を選択します。 | ||
7 | [SSO 更新をテスト] をクリックして、Control Hub 組織に新しいメタデータ ファイルがアップロードされ、正確に解釈されていることを確認します。 ポップアップウィンドウで期待される結果を確認し、テストが成功した場合、「テストが成功しました: SSOとIdPを有効にし、「保存」をクリックします。
結果: 完了すると、組織の IdP 証明書が更新されます。 証明書のステータスは、[IDプロバイダ]タブからいつでも確認できます。
|
IdP に戻す必要が出てきた場合でも、最新の Webex SP メタデータをエクスポートできます。 インポートされた IdP SAML メタデータが期限切れになりそうなときか、期限切れになったときに通知が表示されます。
この手順は、IdP 管理が使用可能でなかったり、IdP が証明書をアップデートする機能しかサポートしていなかったりすることによりメタデータが IdP にインポートされていなかった場合、エクスポートが先に行われていない複数の証明書をサポートする IdP など、共通の IdP SAML 証明書を管理するシナリオで役立ちます。 このオプションを使うと、SSO 設定とイベント後の検証で証明書を更新するだけで、変更を最小限に抑えるのに役立ちます。
1 | https://admin.webex.comの顧客ビューから 、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。 |
2 | [ID プロバイダ] タブに移動します。 |
3 | IdP に移動し、[SPメタデータのダウンロード]を選択します Webex アプリのメタデータのファイル名は idb-meta--SP.xml です。<org-ID> |
4 | メタデータを IdP にインポートします。 IdP のドキュメントに従って、Webex SP メタデータをインポートします。 IdP インテグレーション ガイドを使用するか、または特定の IdP が記載されていない場合はドキュメントを参照できます。 |
5 | 完了したら、この記事の「Webex 証明書 (SP) を更新する」の手順を使用して、SSO テストを実行します。 |
IdP 環境が変更された場合、または IdP 証明書の有効期限が切れそうな場合、更新されたメタデータを Webex にいつでもインポートできます。
始める前に
IdP メタデータを収集します。通常はエクスポートされた xml ファイルです。
1 | https://admin.webex.comの顧客ビューから 、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。 |
2 | [ID プロバイダ] タブに移動します。 |
3 | IdP に移動し、を選択しIdp メタデータをアップロードします。 |
4 | ウィンドウに IdP メタデータ ファイルをドラッグ アンド ドロップするか、[メタデータ ファイルを選択する] をクリックしてアップロードします。 |
5 | IdP メタデータの署名方法に応じて、[セキュリティが低い] (自己署名) または [セキュリティが高い] (公共 CA により署名済み) を選択します。 |
6 | [SSO設定のテスト] をクリックし、新しいブラウザー タブが開いたら、サインインして IdP で認証します。 |
証明書が期限切れに設定される前に Control Hub でアラートを受信しますが、アラートのルールを事前にセットアップすることもできます。 このルールにより、SP または IdP 証明書の有効期限が切れる前に通知されます。 この通知はメール、Webex アプリのスペース、または両方を通じて送ることができます。
配信チャネルの設定にかかわらず、すべてのアラートは常に Control Hub に表示されます。 詳細については、「Control Hub のアラート センター」を参照してください。 |
1 | |||
2 | アラート センターに移動します。 | ||
3 | [管理]、[すべてのルール] の順に選択します。 | ||
4 | [ルール] リストから、作成するいずれかの SSO ルールを選択します:
| ||
5 | [配信チャネル] セクションで、[メール]、[Webex スペース]、または両方のチェックボックスをオンにします。 [メール] を選択した場合、通知を受け取る必要があるメール アドレスを入力します。
| ||
6 | 変更を保存します。 |
次に行うこと
証明書の期限切れのアラートは 15 日おきに 1 回送信され、期限切れの 60 日前に開始されます。 (アラートは、60 日前、45 日前、30 日前、15 日前に受け取ることができます。) 証明書を更新すると、アラートは停止します。
シングルログアウト URL が設定されていないという通知が表示されることがあります。
シングル ログアウト (SLO とも呼ばれます) をサポートするために、IdP を設定することをおすすめします。 Webex はリダイレクトとPOSTメソッドの両方をサポートしており、Control Hub からダウンロードされたメタデータで使用可能です。 すべての IdP が SLO をサポートしているわけではありません。IdP チームに連絡してサポートを受けてください。 SLOをサポートするAzureAD、Ping Federate、ForgeRock、Oracleなどの主要なIdPベンダーについては、統合の設定方法を文書化します。 IDP の詳細と IDP を適切に設定する方法については、Identity & Security チームにお問い合わせください。 |
シングルログアウト URL が設定されていない場合:
既存の IdP セッションは有効のままです。 次回ユーザーがサインインするときに、IdP から再認証を求められない場合があります。
サインアウト時に警告メッセージが表示されるため、Webex アプリのログアウトはシームレスには行われません。
Webex 組織の中でも Control Hub で管理されているものについて、シングル サインオン (SSO) を無効にできます。 ID プロバイダー (IdP) を変更する場合は、SSO を無効にすることができます。
組織のシングル サインオンが有効になっているにもかかわらず失敗している場合は、Webex 組織にアクセスできる Cisco パートナーに連絡してそれを無効にできます。 |
1 | https://admin.webex.comの顧客ビューから 、[シングルサインオン]までスクロールし、[SSOおよびIdPの管理]をクリックします。 |
2 | [ID プロバイダ] タブに移動します。 |
3 | [SSOの無効化]をクリックします。 ポップアップ ウィンドウが表示され、SSO の無効化について警告します。 SSO を無効にする場合、統合 IdP 構成の代わりに、クラウドによってパスワードが管理されます。 |
4 | SSO を無効にする影響を理解して処理する場合、[無効にする] をクリックします。 SSO は無効になり、すべての SAML 証明書リストが削除されます。 SSO が無効になっている場合、認証が必要なユーザーには、サインインプロセス中にパスワード入力フィールドが表示されます。
|
次に行うこと
お客様または顧客が顧客組織の SSO を再構成する場合、ユーザー アカウントは、Webex 組織と統合された IdP によって設定されたパスワード ポリシーを使用することに戻ります。
SSO ログインで問題が発生した場合は、SSO セルフリカバリオプションを使用して、Control Hub で管理されている Webex 組織にアクセスできます。 セルフリカバリオプションを使用すると、Control Hub で SSO を更新または無効にできます。