ADFSでZoomを設定する フォローする

概要

Active Directoryフェデレーションサービス(ADFS)を使用すると、シングルサインオン(SSO)でログインできるようアカウントを設定することができます。SAMLマッピングを使用して、ユーザーのライセンス、グループ、および役割をADFS設定に基づいて割り当てることができます。 シングルサインオンに関する詳細はこちらをご参照ください

この記事の内容:

前提条件

  • 承認されたバニティURLのあるZoomのBusinessまたはEducationアカウント
  • ADFSサーバーアクセス
  • Zoom管理者またはオーナーアクセス

Zoomでの設定

  1.  https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xmlでADFS XMLメタデータを検索してダウンロード/閲覧します
    *[SERVER]:ADFSサーバー(adfs.example.com)
  2. Zoom管理者ページで、シングルサインオンをクリックし、SAMLタブを表示します。
  3. SAMLタブオプションに、次の情報を入力します。
    • [Sign-in page URL]:
      https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us
    • [Sign-out page URL]  https://[SERVER]/adfs/ls/?wa=wsignout1.0
    • [Identity provider certificate]   ステップ1のXMLメタデータからのX509証明書
      *XMLファイルの最初のX509証明書を使用:
            <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                  <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                       <X509Data>
                          <X509Certificate>
    • [Service Provider (SP) Entity ID ]:httpsなしでオプションを選択します。
    • [Issuer]:  httpまたは https://[SERVER]/adfs/services/trust(メタデータのentityID)
    • [Binding]:   HTTP-POST
    • Security
      • [Sign SAML Request ]:ADFSでSAMLリクエストにサインする場合は、このオプションにチェックを入れます。
      • [Support Encrypted Assertions]:ADFSで暗号化アサーションを使用する場合は、このオプションにチェックを入れます。
      • [Enforce automatic logout after the user has been logged in for]:ユーザーがログインして指定の期間が経過したら自動ログアウトを実行したい場合は、これにチェックを入れます。 
        adaf1fa5-cebe-4e8b-9785-f15c9126e1fb.png

ADFSでの設定

  1. ADFSサーバーにログインします。
  2. ADFS 2.0 MMCを開きます。
  3. Relying Party Trust(証明書利用者信頼)を追加します。
    オンラインまたはローカルネットワーク上に公開されたRP(Relying Party)に関する重要なデータを選択します。
    フェデレーションメタデータのアドレス:  https://YOURVANITY.zoom.us/saml/metadata/sp 
  4. ディスプレイ名(「Zoom」)を追加して、デフォルト設定でウィザードを終了します。
  5. リダイレクトおよびポストSAMLログアウトエンドポイント(新規の証明書利用者信頼を右クリック > Properties > Endpointsタブ)URLを次のとおり変更します: 
    https://SERVER/adfs/ls/?wa=wsignout1.0
     
    *注意:ログアウトエンドポイントを変更できない場合は、[Monitor]タブを開いて「Automatically update relying party」の チェックを解除し、変更を適用します。
  6. 2つのクレームルール(要求規則)を追加します。
    • Type(タイプ):    Send LDAP Attributes as Claims(LDAP属性をクレームとして送信)
    • Name(名称):    Zoom - Send to Email(電子メールに送信)
    • Mappings(マッピング)
      • E-Mail-Addresses > E-Mail Address(メールアドレス)
      • User-Principal-Name > UPN
      • Given-Name > urn:oid:2.5.4.42
      • Surname > urn:oid:2.5.4.4
    • Type(タイプ):    Transform Incoming Claim(受け付け要求変換)
    • Name(名称):    Zoom - Email to Name ID(電子メールから名前ID)
    • Incoming claim type(受け付け要求タイプ):    E-Mail Address(メールアドレス)
    • Outgoing claim type(送信要求タイプ):   Name ID(名前ID)
    • Outgoing name ID format(送信名ID形式):    Email(電子メール)

設定が終わったら

設定の手順を完了したら、その設定に基づいて、アクティブディレクトリ内のどのユーザーもログインできる必要があります。テストするには、http://YOURVANITY.zoom.usで[Login]を選択します。 

トラブルシューティングのヒント

Google ChromeまたはFirefoxを使ってログインできない

ChromeまたはFirefoxを使ってログインできない場合、また、ADFSサーバーのイベントビューアーに 「Status: 0xc000035b」の「Audit Failure」イベントが表示される場合、拡張保護をオフにする必要があります。ChromeとFirefoxは、ADFSの拡張保護をサポートしていません(IEはサポートしています)。

  1. IISマネージャーを起動します。
  2. 左側のパネルで、Sites > Default Web Site > ADFS > LSに移動します。
  3. [Authentication]アイコンをダブルクリックします。
  4. [Windows Authentication]を右クリックします。
  5. [Advanced Settings]を選択します。
  6. [Extended Protection]をオフにします。
この記事は役に立ちましたか?
他にご質問がございましたら、リクエストを送信してください
Powered by Zendesk