概要

ZoomをAzureと接続すると、会社のAzure認証情報を使用して、SSO経由でアカウントにログインすることができます。また、Azureのグループを使って、Zoomライセンスをユーザーに割り当てることもできます。

重要：

Zoom社は、2023年9月8日以降、JWTアプリタイプの利用ができなくなることを発表しています。AzureADからの自動プロビジョニングについてもJWTからサーバー間OAuth、またはOAuthアプリを作成して置き換える必要があります。詳細な切り替え方法についてはZoom社からの発表をお待ちください。

この記事は、以下の内容を説明しています。

• AzureギャラリーからZoomを追加する
• シングルサインオンを構成する
• AzureユーザーとグループをZoomに割り当てる
• グループマッピングを設定する (任意)
• 基本情報をマッピングする
• Azure ADからの自動プロビジョニングを設定する

前提条件

• Zoomアカウントオーナーもしくは管理者権限
• バニティURLが承認済みのビジネス、エンタープライズ、教育アカウント
• Azure ADサブスクリプション

AzureギャラリーからZoomを追加する

注: この記事に掲載しているスクリーンショットはAzureのデフォルトのテーマを使っています。テーマを変更している場合、見た目が異なる可能性があります。

1. Azureポータルにサインインします。
2. 「Azure Active Directory」をクリックします。
3. 「エンタープライズアプリケーション」をクリックします。
4. 「すべてのアプリケーション」> 「新しいアプリケーション」の順にクリックします。
5.  Azure ADギャラリーで "Zoom" で検索します。
6.  Zoomを選択し「作成」をクリックします。

シングルサインオンを構成する

1. AzureポータルのZoomアプリケーションページに移動し、「シングルサインオン」> 「SAML」の順にクリックします。
2. 「基本的なSAML構成」の編集ボタンをクリックします。
3. 以下のフィールドを記載します。
   • 識別子 (エンティティID) に、バニティURLから https:// を抜いた文字列を入力します。
     (例. )yourvanityurl.zoom.us
   • 応答URL (Assertion Consumer Service URL)に、 https://<バニティURL>.zoom.us/saml/SSO と入力します。
   • サインオンURLに、https:// を含むバニティURLを入力します。
     (例.) https://yourvanityurl.zoom.us
4. 「保存」をクリックします。
5. Azureが渡すクレームを閲覧するには、「ユーザー属性とクレーム」の編集ボタンをクリックします。
6. 「SAML署名証明書」セクションへ移動し、証明書 (Base64)をダウンロードします。状態が非アクティブの場合、編集画面から、「証明書をアクティブにする」をクリックします。
7. 「Zoomのセットアップ」セクションまでスクロールします。「または詳細な説明を表示」をクリックすると、ステップ毎の手順を表示することもできます。「構成URL」に記載されている情報を後の手順で使用します。
   Note: アプリケーション名を変更している場合、その名前が表示されます。(例. Zoom (テスト用) のセットアップ)
8. 新しいブラウザのタブかウィンドウを表示し、Zoomウェブポータルにログインします。
9. 「シングルサインオン」に移動します。
   
   
10. 「サインインページURL」フィールドに、手順7 ログインURLの値をペーストします。
11. 手順6 でダウンロードした証明書をエディターで開き、----BEGIN CERTIFICATE---- と ---- END CERTIFICATE ---- の間にあるテキストをコピーし、「プロバイダの証明書を特定」フィールドにペーストします。
12. 「サービスプロバイダ (SP) エンティティID」フィールドはhttpsを含まないバニティURLを選択します。(例. yourvanityurl.zoom.us)
13. 「発行者 (IDPエンティティID) 」フィールドに手順7 Azure AD 識別子の値をペーストします。
    
14. Azureポータルに戻り、「すべてのサービス」 > 「アプリの登録」に移動します。
15. 「エンドポイント」をクリックし、「SAML-P サインアウト エンドポイント」の値を、サインアウトページURLにペーストします。
16. 「バインディング」に HTTP-POSTを選択します。
17. 「変更を保存」をクリックします。

AzureユーザーとグループをZoomに割り当てる

1. Azureポータルにサインインします。
2. 「Azure Active Directory」をクリックします。
3. 「エンタープライズアプリケーション」をクリックします。
4. 「すべてのアプリケーション」から構成するZoomアプリを検索し、クリックします。
5. [ユーザーとグループ]、[ユーザーまたはグループの追加]の順にクリックします。
6. [ユーザーとグループ]の下の[選択されていません]をクリックし、割り当てるユーザー、またはグループを選択します。選択されたユーザーやグループは、[選択済み]の欄に表示されます。
   
   
7. [ロールを選択してください]の下の[選択されていません]をクリックし、手順6で選択したユーザーやグループに割り当てるロールを選択します。
   
   注: この手順で割り当てるロールは、自動プロビジョニングを設定した場合にのみ影響します。自動プロビジョニングを利用しない場合は、詳細SAMLレスポンスマッピングを利用してユーザーに割り当てるライセンスを制御する必要があります。
   各ロールの自動プロビジョニングでの動作については下記の通りです。
   • Basic: 基本ライセンスを割り当てます。
   • Licensed: ミーティング有償ライセンスを割り当てます。
   • On-Prem: オンプレミス用の有償ミーティングライセンスを割り当てます。
     注：下記の2つのロールについては廃止が予定されているため、利用は推奨されません。
     
     • Corp: オンプレミス用の有償ミーティングライセンスを割り当てます。
     • Pro: ミーティング有償ライセンスを割り当てます。
       
8. [割り当て]をクリックします。
   
   

グループマッピングを設定する (任意)

AzureユーザーのロールとZoomを紐づける場合は、次の手順を実行します。ユーザーにロールを割り当てる方法はこちらの手順を確認してください。

1. Azureポータルに戻り、「すべてのサービス」 > 「Azure Active Directory」に移動します。
2. 「グループ」をクリックします。
   
3. マッピングしたいグループを選択し、後の手順で使うため、オブジェクトIDをコピーします。
4. Zoomウェブポータルにログインし、「シングル サインオン」に移動します。
5. 「SAMLレスポンスマッピング」のタブに移動します。
6. 「SAML詳細情報マッピング」まで下にスクロールし「ユーザータイプ」を編集します。
   • SAML属性：http://schemas.xmlsoap.org/ws/2005/05/identity/claims/groupsを入力します。期待した通り動作しない場合、http://schemas.microsoft.com/ws/2008/06/identity/claims/groups を入力します。
   • SAML値：手順3でコピーしたオブジェクトIDをペーストします。
   • 返り値：マッピングする値を選択します。
7. 手順6をマッピングしたい全てのグループに対して繰り返します。

基本情報をマッピングする

1. Zoomウェブポータルにログインし、「シングル サインオン」に移動します。
2. 「SAMLレスポンスマッピング」のタブに移動します。
3. 「SAML基本情報」にマッピングしたいSAML属性値を入力します。以下は一般的な属性値の例になります。

   名前	ソース属性
   メールアドレス	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   名	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
   姓	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
   電話番号	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/phone
   部門	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/department

   ソース属性がわからない場合、Azure ADの「ユーザー属性とクレーム」を確認してください。

Azure ADからの自動プロビジョニングを設定する

自動プロビジョニングを使うことで、Azure ADのユーザーを使ってZoomのユーザーを管理することができます。Azureにユーザーが追加され、Zoomアプリケーションに割り当てると、Zoomへ自動的にユーザーがプロビジョニングされます。ユーザーがAzure上で割り当てを解除される、あるいは非アクティブになると、同じようにZoom上でもユーザーを停止することができます。

1. 下のURLを開き、OAuthを有効化した状態のAzureへアクセスします。
   https://portal.azure.com/?feature.userProvisioningV2Authentication=true
   注：上記のリンクを使用しない場合、OAuthが利用できず、プロビジョニング設定をすることができません。
2. Azureポータルにサインインします。
3. 「Azure Active Directory」をクリックします。
4. 「エンタープライズアプリケーション」をクリックします。
   
5. 「すべてのアプリケーション」から構成するZoomアプリを検索し、クリックします。
6. 「プロビジョニング」をクリックします。
   
7. 「作業の開始」をクリックします。
   
   
8. プロビジョニングモードに「自動」を選択します。
   
   
9. 「管理者資格情報」を設定します。
   • 認証方法の項目で[OAuth2 認可コードの付与]を選択します。
   • テナントのURLに「https://api.zoom.us/scim」を入力します。
     
10. [承認する]をクリックします。
    Zoom Marketplaceを通じてAzure Identityアプリを追加するための画面が開きます。
    注：[承認する]のボタンがグレーアウトされている場合は、JWTトークンを再承認してください。
11. Zoom Webポータルへのサインインを行うと、Marketplace画面に遷移し、アプリの追加許可画面が表示されます。「Approve for all users」のスイッチを有効化し、アプリの追加を許可します。
    
    注：この画面はMarketplaceにてアプリの追加に管理者の事前承認を要求する場合に必要になります。事前承認を不要としている場合、この画面は表示されず、次の画面が表示されます。
12. 追加の許可が完了すると、アプリの連携確認画面が表示されます。アプリケーションに付与される権限を確認し連携に問題がなければ[Allow]をクリックします。
    
13. 処理の承認が完了すると右上に下記のメッセージが表示されます。
    
14. [接続テスト]をクリックして、Azure Active DirectoryがAPI経由でZoomへ接続できることを確認します。テストが正常に完了すると右上に下記のメッセージが表示されます。
    
    注：Azureがバックエンドに設定を保存するまで時間を要する場合があります。バックエンドで設定が適切に反映されるまでテスト接続は失敗を繰り返す可能性があります。数分待ってからもう一度テスト接続を試みてください。
15. 「マッピング」はデフォルトのままスキップします。
16. 「設定」で通知用メールを指定し、同期する範囲を選択します。
17. 「プロビジョニング状態」をオンにします。
18. [保存]をクリックします。
    

この記事は「Configuring Zoom with Azure」を元に作成しました。