Konfigurieren von Zoom mit ADFS Folgen

Übersicht

Sie können Ihr Konto so konfigurieren, dass es sich über Single Sign-On (SSO) mit Active Directory Federation Services (ADFS) anmeldet. Sie können die SAML-Zuordnung verwenden, um Benutzern Lizenzen, Gruppen und Rollen basierend auf ihrer ADFS-Konfiguration zuzuweisen. Erfahren Sie mehr über Einmaliges Anmelden (SSO).

Dieser Artikel behandelt:

Voraussetzungen

  • Business- oder Bildungskonto bei Zoom mit genehmigter Vanity-URL
  • ADFS Server-Zugriff
  • Zoom Admin- oder Inhaberzugriff

Konfigurieren in Zoom

  1. Suchen Sie Ihre ADFS-XML-Metadaten und laden sie herunter/zeigen sie an, unter https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xml
    *[SERVER]: your ADFS server (adfs.example.com)
  2. Klicken Sie auf der ‚‚Zoom-Administrator‘‘-Seite auf Single Sign-On, um die Registerkarte SAML anzuzeigen.
  3. Geben Sie die folgenden Informationen in die Optionen der SAML-Registerkarte ein:
    • Sign-in-URL eingeben:
      [https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us
    • Sign-out-URL eingeben::  [https://[SERVER]/adfs/ls/?wa=wsignout1.0
    • Identitätsanbieterzertifikat:    X509-Zertifikat aus XML-Metadaten in Schritt 1
      *Das erste X509-Zertifikat in der XML-Datei verwenden:
            <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                  <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                       <X509Data>
                          <X509Certificate>
    • Dienstleister (SP) Entität-ID: Wählen Sie die Option ohne https.
    • Aussteller:    http oder https://[SERVER]/adfs/services/trust (entityID in metadata)
    • Bindung:    HTTP-POST
    • Sicherheit
      • SAML-Anfrage signieren: Diese Option aktivieren, wenn Sie die SAML-Anfrage in ADFS signieren
      • Unterstützung von verschlüsselten Assertionen: Bei Verwendung in ADFS verschlüsselter Assertionen diese Option aktivieren.
      • Automatische Abmeldung erzwingen, nachdem der Benutzer angemeldet wurde: Diese Option aktivieren, wenn der Benutzer nach einer bestimmten Zeit abgemeldet werden soll. 
        adaf1fa5-cebe-4e8b-9785-f15c9126e1fb.png

Konfigurieren in ADFS

  1. Melden Sie sich in Ihren ADFS-Server an.
  2. Öffnen Sie ADFS 2.0 MMC
  3. Vertrauensstellung einer vertrauenden Partei hinzufügen
    Importieren der Daten zur vertrauenden Partei wählen, die online oder in einem lokalen Netzwerk veröffentlicht wurde
    Federation Metadaten-Adresse:   https://YOURVANITY.zoom.us/saml/metadata/sp 
  4. Einen Anzeigenamen hinzufügen ("Zoom") und Wizard mit den Standardeinstellungen beenden
  5. Die URLs von sowohl der Redirect als auch dem Post SAML Logout Endpoint (Mit der rechten Maustaste auf die neue Vertrauensstellung klicken; Relying Party Trust> Properties> Endpoints Tab) ändern auf: 
    https://SERVER/adfs/ls/?wa=wsignout1.0
     
    *Hinweis: Wenn Sie die Abmelde-Endpunkte nicht ändern können die Registerkarte ‚‚Monitor‘‘ öffnen und klicken auf deaktivieren bei „Automatically update relying party“ auswählen und Änderungen übernehmen“.
  6. Fügen Sie zwei Anspruchsregeln hinzu:
    • Eingeben:    LDAP-Attribute als Ansprüche senden
    • Name:    Zoom - An Email senden
    • Zuordnungen
      • E-Mail-Addresses > E-Mail Address
      • User-Principal-Name > UPN
      • Given-Name > urn:oid:2.5.4.42
      • Surname > urn:oid:2.5.4.4
    • Eingeben:    Eingehenden Anspruch transformieren
    • Name:    Zoom - Email an Name ID
    • Eingehender Anspruchstyp::    E-Mail-Adresse
    • Ausgehender Anspruchstyp::    Name ID:
    • Ausgehender Namen-ID-Format:    E-Mail

Nach der Konfiguration

Sobald Sie die Konfigurationsschritte abgeschlossen haben, sollte sich jeder Benutzer in Ihrem Active Directory basierend auf der von Ihnen festgelegten Konfiguration anmelden können. Besuchen Sie zum Testen http://YOURVANITY.zoom.us und wählen Login. 

Tipps zur Fehlerbehebung

Einloggen mit Google Chrome oder Firefox nicht möglich

Wenn Sie sich nicht mit Chrome oder Firefox anmelden können und in der Ereignisanzeige auf dem ADFS-Server ein Ereignis 'Audit Failure' mit "Status: 0xc000035b" angezeigt wird, müssen Sie die Extended Protection deaktivieren. Chrome und Firefox unterstützen die Extended Protection von ADFS nicht (IE tut dies).

  1. Den IIS Manager starten
  2. Im linken Bereich zu Sites navigieren > Standardwebsite > ADFS > LS
  3. Zweimal auf das Authentifizierung Symbol klicken
  4. Mit der rechten Maustaste auf Windows-Authentifizierung klicken
  5. Erweiterte Einstellungen bearbeiten
  6. Extended Protection deaktivieren
War dieser Beitrag hilfreich?
Haben Sie Fragen? Anfrage einreichen
Powered by Zendesk