Active Directoryフェデレーションサービス(ADFS)を使用すると、シングルサインオン(SSO)でログインできるようアカウントを設定することができます。SAMLマッピングを使用して、ユーザーのライセンス、グループ、および役割をADFS設定に基づいて割り当てることができます。 シングルサインオンに関する詳細はこちらをご参照ください。
前提条件
- 承認されたバニティURLのあるZoomのBusinessまたはEducationアカウント
- ADFSサーバーアクセス
- Zoom管理者またはオーナーアクセス
Zoomでの設定
- https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xmlでADFS XMLメタデータを検索してダウンロード/閲覧します
*[SERVER]:ADFSサーバー(adfs.example.com) - Zoom管理者ページで、シングルサインオンをクリックし、SAMLタブを表示します。
- SAMLタブオプションに、次の情報を入力します。
- [Sign SAML Request ]:ADFSでSAMLリクエストにサインする場合は、このオプションにチェックを入れます。
- [Support Encrypted Assertions]:ADFSで暗号化アサーションを使用する場合は、このオプションにチェックを入れます。
- [Enforce automatic logout after the user has been logged in for]:ユーザーがログインして指定の期間が経過したら自動ログアウトを実行したい場合は、これにチェックを入れます。
- [Sign-in page URL]:
https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us - [Sign-out page URL]: https://[SERVER]/adfs/ls/?wa=wsignout1.0
- [Identity provider certificate]: ステップ1のXMLメタデータからのX509証明書
*XMLファイルの最初のX509証明書を使用:
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate> - [Service Provider (SP) Entity ID ]:httpsなしでオプションを選択します。
- [Issuer]: httpまたは https://[SERVER]/adfs/services/trust(メタデータのentityID)
- [Binding]: HTTP-POST
- Security
ADFSでの設定
- ADFSサーバーにログインします。
- ADFS 2.0 MMCを開きます。
- Relying Party Trust(証明書利用者信頼)を追加します。
オンラインまたはローカルネットワーク上に公開されたRP(Relying Party)に関する重要なデータを選択します。
フェデレーションメタデータのアドレス: https://YOURVANITY.zoom.us/saml/metadata/sp - ディスプレイ名(「Zoom」)を追加して、デフォルト設定でウィザードを終了します。
- リダイレクトおよびポストSAMLログアウトエンドポイント(新規の証明書利用者信頼を右クリック > Properties > Endpointsタブ)URLを次のとおり変更します:
https://SERVER/adfs/ls/?wa=wsignout1.0
注意:ログアウトエンドポイントを変更できない場合
[Monitor]タブを開いて「Automatically update relying party」のチェックを解除し、
変更を適用します。 - 2つのクレームルール(要求規則)を追加します。
項目 入力内容 Type(タイプ) Send LDAP Attributes as Claims
(LDAP属性をクレームとして送信)Name(名称) Zoom - Send to Email(電子メールに送信) Mappings(マッピング) E-Mail-Addresses > E-Mail Address(メールアドレス)
User-Principal-Name > UPN
Given-Name > urn:oid:2.5.4.42
Surname > urn:oid:2.5.4.4
Type(タイプ) Transform Incoming Claim
(受け付け要求変換)Name(名称) Zoom - Email to Name ID
(電子メールから名前ID)Incoming claim type
(受け付け要求タイプ)E-Mail Address
(メールアドレス)Outgoing claim type
(送信要求タイプ)Name ID
(名前ID)Outgoing name ID format
(送信名ID形式)Email
(電子メール)
設定が終わったら
設定した内容に基づいて、アクティブディレクトリ内のどのユーザーもログインできる必要があります。
テストするには
http://YOURVANITY.zoom.usで[Login]を選択します。
トラブルシューティングのヒント
ログインできないケース:
- Google Chromeを使ってログインできない
- Firefoxを使ってログインできない
- ADFSサーバーのイベントビューアーに 「Status: 0xc000035b」の「Audit Failure」イベントが表示される
対応策:
拡張保護をオフにする必要があります。
ChromeとFirefoxは、ADFSの拡張保護をサポートしていません(IEはサポートしています)。
- IISマネージャーを起動します。
- 左側のパネルで、Sites > Default Web Site > ADFS > LSに移動します。
- [Authentication]アイコンをダブルクリックします。
- [Windows Authentication]を右クリックします。
- [Advanced Settings]を選択します。
- [Extended Protection]をオフにします。
この記事の詳細は、ADFSでZoomを設定するをご参照ください。