概要
Zoomはシングルサインオン(SSO)証明書のサポートを強化しました。これにより、アカウントオーナーと管理者は証明書を手動で更新する代わりに、新しい証明書が利用可能になったときにZoom側で自動的に証明書を更新することができます。管理者はシングルサインオン(SSO)構成をロールバックして以前の証明書を利用することもできます。
重要
標準的な業界慣行に従い、Zoomは2024年1月2日の期限切れを前に、現在のシングルサインオン(SSO)証明書を更新いたします。
新しいSSO証明書はDigiCert Global Root G2から発行されます(現在はDigiCert Global Root CA)。そのため、サービスの停止を避けるため、2023年12月1日より前に新しい証明書をトラストストアに追加する必要があります。サービスプロバイダ(SP)証明書の自動ローテーションが設定されているシステムでは、IDプロバイダー(IdP)側の証明書トラストストアにDigiCert Global Root G2が含まれていない場合、障害が発生する可能性があります。
- 更新日:2023年12月1日
- DigiCert Global Root G2:https://cacerts.digicert.com/DigiCertGlobalRootG2.crt
- 有効期限:2038年1月15日
- Serial #:03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
- SHA1 Fingerprint:DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
- SHA256 Fingerprint:CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F
対応について
対応が不要
-
2023年12月1日以降、IDプロバイダー(IdP)は最新のZoom証明書を自動的にダウンロードし、アカウントの構成にローテーションするため、IDプロバイダー(IdP)または動的メタデータ更新をサポートする構成を使用しているアカウント(テナント)については、ご対応いただく必要はありません。シングルサインオン設定の[サービスプロバイダー (SP) 証明書]セクションに次のように表示されます。
- Zoom証明書(01/02/2024 UTCに失効します)
- 「証明書を自動的に管理する」オプションがチェックされています
- さらに、IDプロバイダー(IdP)の実装にサービスプロバイダー証明書を必要としない場合、上記のオプションはWebポータルに表示されないため対応の必要はありません。
対応が必要(2023年12月1日~2024年1月2日)
-
次のセキュリティオプションが選択されている状態でZoomでのシングルサインオン(SSO)設定をする場合は、お客様による対応が必要です。
- SAMLリクエストにサイン
- SAMLログアウトリクエストに署名する
- 暗号化アサーションをサポート
-
自動更新を無効にすることを選択した場合、またはIDプロバイダー(IdP)が証明書ローテーションをサポートしていない場合は、2023年12月1日から2024年1月2日までの間に対応が必要です。以下の手順でシングルサインオン設定で新しい証明書を選択することで、証明書のローテーションプロセスを開始できます。
- Zoom Webポータルのシングルサインオンの画面で[編集]をクリックします
- 「Zoom証明書(01/02/2024 UTCに失効します)」を選択します
- 下にスクロールし[変更を保存]をクリックします
- 確認のポップアップが表示されるため、[はい]をクリックします
また上記ページで、IDプロバイダー(IdP)とのインタラクションのために使用する証明書を変更することもできます。新しい証明書がローテーションされると、ユーザーは中断することなく シングルサインオン(SSO)を使用してZoomに引き続きログインできます。
- Zoom Webポータルのシングルサインオンの画面で[編集]をクリックします
この記事の内容:
前提条件
-
- Zoomのオーナーまたは管理者権限
- 承認されたバニティ URLを持つビジネスまたは教育機関向けアカウント
新しい SSO 証明書管理オプション
サービス プロバイダー証明書
サービスプロバイダ証明書は、SAML要求とSAMLログアウト要求をIDプロバイダー(IdP)に送信する際に、これらの要求に署名するために使用されます。IDプロバイダー(IdP)はこれらの証明書を使用して SAML/logout 要求の署名を検証するため、証明書は ZoomとIDプロバイダー(IdP)の両方で同じであることが不可欠です。証明書が異なる場合、IDプロバイダー(IdP)でエラーが発生し、ユーザーがログインできなくなる可能性があります。
この証明書は、https://yourvanityurl.zoom.us/saml/metadata/spにあるZoom SAMLメタデータ内にあります。
証明書の自動管理
Zoom Webポータルのシングルサインオン設定内「証明書を自動的に管理する」について
状態 | 動作 |
オン (デフォルト) |
SAMLリクエストに対して検出された最新の証明書が現在選択されていない場合、Zoomメタデータに2つの証明書が設定されます。 IDプロバイダー(IdP)がZoom メタデータURLをモニタリングするように設定されており、暗号化されたアサーションがサポートされている場合(「暗号化されたアサーションのサポート」オプションをオンにする必要があります)、Zoomは証明書を自動でローテーション(更新)を試行します。 |
オフ | SSO設定では、Zoomメタデータの証明書が1つだけ設定されます。 Zoomは新しい証明書への自動ローテーションを行いません。 |
ADFS 証明書のローテーション
ADFS サーバーで Zoom SAML メタデータ URL に対して、[証明書利用者のモニタリング] が有効になっていない場合は、証明書を手動で更新する必要があります。
メタデータ URL を介して証明書を自動的に更新する
ADFS サーバーでモニタリングオプションを有効にするには:
-
- ADFS サーバーにサインインします。
- [管理ツール] を開き、[AD FS 管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします
- [モニタリング] タブで、Zoom SAML メタデータ URL(https://yourvanityurl.zoom.us/saml/metadata/sp)を入力します。
- [証明書利用者のモニタリング] を有効にします。
- [適用] をクリックします。
メタデータ URL を介して証明書を手動で更新する
メタデータ URL を使用して証明書を手動で更新するには:
-
- Zoom ウェブポータルにサインインします。
- ナビゲーション メニューで、[詳細設定]>[シングル サインオン] の順にクリックします。
- 右上の[編集] をクリックし[サービスプロバイダー(SP)証明書] セクションで、「Zoom証明書(01/02/2024 UTCに失効します)」を選択します。
これで Zoom 証明書が最新の証明書( 最も有効期限が先の証明書)に更新されます。 - ADFS サーバーにサインインします。
- [管理ツール] を開き、[AD FS 管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoomの証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
- Zoom SAMLメタデータURL(https://yourvanityurl.zoom.us/saml/metadata/sp)を入力します。
- [URLのテスト] をクリックします。
- 検証が完了したら、[OK] をクリックした後、[適用] をクリックします。
- [プロパティ] ウィンドウを閉じます。
- [Zoomの証明書利用者情報] を右クリックして、[Federationメタデータから更新] をクリックします。
- [識別子] タブで、[更新] をクリックします。
- [暗号化] タブと [署名] タブの新しい証明書の有効日と有効期限日を確認します。
注: SSO で [暗号化されたアサーションのサポート] が有効になっていない場合、[暗号化] タブに証明書が1つしか含まれていないか、または証明書が含まれていない場合もあります。 これは、SSOで [SAMLリクエストにサイン] または [SAMLログアウトリクエストに署名する] が有効になっていない場合、 [署名]タブにも適用されます。
証明書の更新が完了したら、SSOが正しく動作していることを確認するために、何度かテストログインを行うことをZoomは推奨しています。
ADFS ログエラーのトラブルシューティング
証明書の署名エラー MSIS3015
"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: The signing certificate of the claims provider trust 'xxxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid."
暗号化証明書エラー MSIS3014
"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: The encryption certificate of the relying party trust 'microsoft:identityserver:xxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid."
上記いずれかのエラーが発生した場合、以下の可能性があります。
- 証明書が失効している
- 期限が切れている
- 証明書チェーンが信頼されていない
その場合、以前の証明書にロールバックし、エラーが解決したか確認するためにテストを実行することをおすすめします。 エラーが解決したら、メタデータURLで証明書を再度更新します。
証明書ファイルによる証明書の手動更新
Zoomから証明書をダウンロードする
-
- Zoom Web ポータルにサインインします。
- ナビゲーション メニューで、[詳細] >[シングル サインオン]の順にクリックします。
-
[編集]をクリックし[サービス プロバイダー (SP) 証明書]セクションで、「Zoom証明書(01/02/2024 UTCに失効します)」を選択します。
これで Zoom 証明書が最新の証明書( 最も有効期限が先の証明書)に更新されます。 -
[表示]をクリックして、証明書の詳細ページを開きます。
-
[ダウンロード] をクリックして 、証明書ファイルをダウンロードします。
証明書をADFSにアップロードする
-
- ADFS サーバーにログインします。
- [管理ツール] を開き、[AD FS 管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
- [暗号化] タブをクリックした後、[ブラウズ] をクリックします。
- ダウンロードした証明書ファイルを開きます。
- [署名] タブをクリックします。
- 現在掲載されている証明書をすべて削除します。
- [追加] をクリックして、最新の証明書を選択します。
証明書が更新されたら、SSOが正常に動作していることを確認するために、何度かテスト ログインを実行することをおすすめします。
テスト時にSSOログインが正常に機能しない場合は、以前の証明書にロールバックしてログインをテストします。SSOログインが成功した場合は、上記の手順に従って証明書を再度アップロードします。
Shibboleth 証明書のローテーション
Shibboleth V3
注: Shibboleth を使用する場合は、Zoom Webポータルのシングルサインオンのセキュリティ設定で[暗号化されたアサーションのサポート] が有効になっていることを確認します。
Shibboleth でHTTPMetadataProvider、FileBackedHTTPMetadataProvider、またはDynamicHTTPMetadataProviderの MetadataProvider Type が使用されている場合、Shibboleth は Zoom のメタデータのモニタリングを行います。 上記の MetadataProvider Type が使用されていない場合は、Shibboleth サーバー上のメタデータ ファイルを手動でダウンロードして更新する必要があります。
Shibbolethで以下のMetadataProvider Typeが使用されている場合、Webサーバー(Apache Tomcatまたは別のJava Applicationなど)を再起動することなくメタデータ ファイルを更新できる場合があります。
- ResourceBackedMetadataProvider
- LocalDynamicMetadataProvider
- FilesystemMetadataProvider
詳しくは、Shibboleth の設定に関する wikiをご覧ください。
Web サーバーの再起動による証明書の手動更新
-
- Zoom Web ポータルにサインインします。
- ナビゲーションメニューで、[詳細] >[シングル サインオン]の順にクリックします。
- [編集]をクリックし[サービス プロバイダー (SP) 証明書]セクションで、
-
「Zoom証明書(01/02/2024 UTCに失効します)」を選択します。
これで Zoom 証明書が最新の証明書( 最も有効期限が先の証明書)に更新されます。 -
https://yourvanityurl.zoom.us/saml/metadata/spから新しいメタデータをダウンロードします。
- 新しい証明書ファイルを使用して、Shibbolethサーバー上の既存のメタデータファイルを更新します。
- Webサーバーを再起動します。
注: Webサーバーを再起動しない場合は、Shibbolethがファイルを読み込むまで待機する必要があります。これには少なくとも 5 分~最大で24時間かかります。 この待機時間中はユーザーがSSOを使用してログインできない場合があります。
Graceful による証明書の手動更新
- https://yourvanityurl.zoom.us/saml/metadata/sp から新しいメタデータをダウンロードします。
- 新しい証明書ファイルを使用して、Shibbolethサーバー上の既存のメタデータファイルを更新します。
- Zoomが自動検出し、新しい証明書に更新されるまで48時間待機します。
-
Zoom Webポータルのシングルサインオン設定をチェックして、証明書が最新のものに自動更新されているかを確認します。
- 成功した場合:メタデータURLからメタデータ ファイルを再度ダウンロードして、新しいファイルでサーバーを更新します。
- 失敗した場合:Zoomが新しい証明書を自動検出するまでもう1日待機します。
こちらの記事は、「Zoom SSO certificate rotation」を元に作成しました。