Übersicht
Sie können Ihr Konto so konfigurieren, dass es sich über Single Sign-On (SSO) mit Active Directory Federation Services (ADFS) anmeldet. Sie können die SAML-Zuordnung verwenden, um Benutzern Lizenzen, Gruppen und Rollen basierend auf ihrer ADFS-Konfiguration zuzuweisen. Erfahren Sie mehr über Einmaliges Anmelden (SSO).
Dieser Artikel behandelt:
Voraussetzungen
- Business- oder Bildungskonto bei Zoom mit genehmigter Vanity-URL
- ADFS Server-Zugriff
- Zoom Admin- oder Inhaberzugriff
- Suchen Sie Ihre ADFS-XML-Metadaten und laden sie herunter/zeigen sie an, unter https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xml
*[SERVER]: your ADFS server (adfs.example.com) - Klicken Sie auf der ‚‚Zoom-Administrator‘‘-Seite auf Single Sign-On, um die Registerkarte SAML anzuzeigen.
- Geben Sie die folgenden Informationen in die Optionen der SAML-Registerkarte ein:
- Sign-in-URL eingeben:
[https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us - Sign-out-URL eingeben:: [https://[SERVER]/adfs/ls/?wa=wsignout1.0
- Identitätsanbieterzertifikat: X509-Zertifikat aus XML-Metadaten in Schritt 1
*Das erste X509-Zertifikat in der XML-Datei verwenden:
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate> - Dienstleister (SP) Entität-ID: Wählen Sie die Option ohne https.
- Aussteller: http oder https://[SERVER]/adfs/services/trust (entityID in metadata)
- Bindung: HTTP-POST
- Sicherheit
- SAML-Anfrage signieren: Diese Option aktivieren, wenn Sie die SAML-Anfrage in ADFS signieren
- Unterstützung von verschlüsselten Assertionen: Bei Verwendung in ADFS verschlüsselter Assertionen diese Option aktivieren.
- Automatische Abmeldung erzwingen, nachdem der Benutzer angemeldet wurde: Diese Option aktivieren, wenn der Benutzer nach einer bestimmten Zeit abgemeldet werden soll.
- Sign-in-URL eingeben:
- Melden Sie sich in Ihren ADFS-Server an.
- Öffnen Sie ADFS 2.0 MMC
- Vertrauensstellung einer vertrauenden Partei hinzufügen
Importieren der Daten zur vertrauenden Partei wählen, die online oder in einem lokalen Netzwerk veröffentlicht wurde
Federation Metadaten-Adresse: https://YOURVANITY.zoom.us/saml/metadata/sp - Einen Anzeigenamen hinzufügen ("Zoom") und Wizard mit den Standardeinstellungen beenden
- Die URLs von sowohl der Redirect als auch dem Post SAML Logout Endpoint (Mit der rechten Maustaste auf die neue Vertrauensstellung klicken; Relying Party Trust> Properties> Endpoints Tab) ändern auf:
https://SERVER/adfs/ls/?wa=wsignout1.0
*Hinweis: Wenn Sie die Abmelde-Endpunkte nicht ändern können die Registerkarte ‚‚Monitor‘‘ öffnen und klicken auf deaktivieren bei „Automatically update relying party“ auswählen und Änderungen übernehmen“. - Fügen Sie zwei Anspruchsregeln hinzu:
Sobald Sie die Konfigurationsschritte abgeschlossen haben, sollte sich jeder Benutzer in Ihrem Active Directory basierend auf der von Ihnen festgelegten Konfiguration anmelden können. Besuchen Sie zum Testen http://YOURVANITY.zoom.us und wählen Login.
Einloggen mit Google Chrome oder Firefox nicht möglich
Wenn Sie sich nicht mit Chrome oder Firefox anmelden können und in der Ereignisanzeige auf dem ADFS-Server ein Ereignis 'Audit Failure' mit "Status: 0xc000035b" angezeigt wird, müssen Sie die Extended Protection deaktivieren. Chrome und Firefox unterstützen die Extended Protection von ADFS nicht (IE tut dies).
- Den IIS Manager starten
- Im linken Bereich zu Sites navigieren > Standardwebsite > ADFS > LS
- Zweimal auf das Authentifizierung Symbol klicken
- Mit der rechten Maustaste auf Windows-Authentifizierung klicken
- Erweiterte Einstellungen bearbeiten
- Extended Protection deaktivieren