# SSOフィールドガイド ### はじめに シングルサインオン(SSO)をZoomと統合すると、管理者はアカウント管理を簡素化できるユーザー管理とセキュリティオプションを利用できます。設定後は、ユーザーはGoogleやFacebookの連携、またはZoomへの直接のユーザー名とパスワードではなく、会社の認証情報を使用して、会社のIDプロバイダーで認証します。 このドキュメントでは、トラブルシューティングおよびセキュリティ情報に加えて、Zoom内のSSO設定と設定の包括的な概要を提供します。 ### SSO連携 #### SSOを開始するにはバニティURLが必要です SSOを設定する前に、アカウントには承認済みのバニティURLが必要です。バニティURLが承認されると、Zoom管理者はWebポータルの詳細オプションのサブメニューから [SSO設定](https://zoom.us/account/sso) ページにアクセスできます。 [バニティURL](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) 詳細については。 #### Zoom SSO は、あらゆる SAML 2.0 ID プロバイダーで動作します Zoom は、SAML 2.0 認証をサポートするあらゆる ID プロバイダーと連携できます。文書化された連携の手順は数多くありますが、一部の ID プロバイダーでは Zoom との連携に関するドキュメントが提供されていません。設定手順を見つけられないアカウントは、詳細について ID プロバイダーに問い合わせることをお勧めします。 #### Zoom 管理者は、SAML 応答マッピングまたは SCIM 連携を通じて、ユーザープロフィール情報とライセンスを管理できます 管理者は、ID プロバイダーから利用可能な機能に応じて、SAML 応答マッピングまたは System for Cross-Domain Identity Management (SCIM) アプリケーションプログラミングインターフェース (API) リクエストを通じて、ユーザープロフィール情報とライセンスを管理できます。どちらのユーザー管理方法も、プロフィール情報のマッピングとライセンス管理においてほぼ同等の機能を提供しますが、一部の SCIM マッピングでは手動設定が必要です。 SCIM の機能の包括的な一覧については、以下を参照してください [SCIM API ドキュメント](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&SessionId=1778697171616). #### Zoom 管理者は、SCIM を通じてユーザーアカウントのステータスを管理できますが、SAML ではできません SCIM により ID プロバイダーはいつでも Zoom と直接通信できるため、ユーザーアカウントは *有効化されました*, *無効化されました*, *作成されました*、または *削除されました* SCIM連携を通じて自動的に。たとえば、ユーザーのActive Directory内のアカウントが無効化された場合、またはそのユーザーにアプリケーションが割り当て解除された場合、SCIMはZoom内のユーザーのアカウントに対して自動無効化リクエストを送信できます。この機能は、IDプロバイダーのSCIMアプリケーションの能力に依存しており、機能性はプロバイダーによって異なる場合があります。 #### Zoom向けにSCIMを提供しているIDプロバイダーは限られています 多くのIDプロバイダーは、自社サービスの一部としてZoom向けに構築されたSCIM連携を備えていません。ZoomでSCIMをサポートしていないIDプロバイダーを使用するアカウントは、自動化されたユーザー管理のためにSAMLレスポンスマッピングを使用する必要があります。 #### SCIMでは、ユーザーを自動的にプロビジョニングするために関連付けられたドメインが必要です SSO向けにユーザーを管理およびプロビジョニングするためにSCIMを使用するアカウント **必要があります** メールドメインをZoomに関連付けます。ドメインを関連付けないと、ユーザーのプロビジョニングに失敗します。詳細については、次のサポート記事を参照してください。 [関連ドメイン](https://support.zoom.us/hc/en-us/articles/203395207) プロセスの詳細について。 #### 次のSSO統合については文書化されています {% hint style="success" %} **Zoomのヒント** プロバイダまたはZoomドキュメント列の✔をクリックすると、手順を新しいウィンドウで開きます。 {% endhint %}
プロバイダドキュメントZoomドキュメントSCIMをサポートします
auth0

ADFS
AD同期ツール
Clever

CyberArk

Duo

Entra ID(旧 Azure)
Google
JumpCloud
miniOrange

Okta
OneLogin
Ping Identity
Shibboleth

#### オンプレミスのActive Directoryでは、SCIMの代わりにAD同期ツールを使用できます SCIMを通じてユーザーのプロビジョニングを自動化したいが、クラウドベースのIDプロバイダーを持たないアカウントは、ユーザー管理のためにZoomが開発したActive Directory(AD)同期ツールアプリケーションを使用できます。このアプリケーションはOracle JDK 8上で動作し、APIコマンドを通じてユーザーを管理することでSCIMプロビジョニングをシミュレートします。詳細は、次に関するサポート記事をご覧ください [AD同期ツール](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) 詳細については。 {% hint style="success" %} **Zoomの推奨事項** AD同期ツールでは、ユーザー管理のために正確な設定が必要です。サービスの中断を避けるため、完全な実装の前にツールの設定を徹底的にテストおよび確認する必要があります。 {% endhint %} #### IDプロバイダーは、Zoomアカウントを持たないミーティング参加者であっても認証できます ユーザーに本人確認のための認証を必須にしたいが、Zoomアカウントは提供したくないアカウントでは、IDプロバイダーを使用して外部認証プロファイルを設定できます。ミーティングでこれを有効にすると、参加しようとするユーザーはアクセスを得るために、ログイン認証情報をIDプロバイダーに対して認証する必要があります。これは、すべての生徒にアカウントを提供していないが、授業に参加するには認証を必要とする学校で一般的な設定です。詳細は、次に関するサポート記事をご参照ください [外部認証の設定](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) 詳細については。 #### IDプロバイダーの変更には、Zoom内でSSOを再設定する必要があります IDプロバイダーを変更するアカウントは、Zoom内でSSO設定をやり直す必要があります。これには、新しいIDプロバイダーに合わせて設定ページ内のすべての項目を更新することが含まれます。アカウントは、新しいIDプロバイダーによってSAMLレスポンスマッピングが変更されないことを確認することが推奨されます。 追加の設定や変更は、さらなる変更がない限り不要であるはずです。 #### サブアカウントを持つお客様の声は、マスターアカウントまたはサブアカウントからSSOを設定できます サブアカウントを持つお客様の声には、SSOを設定するための2つのオプションがあります。 1. すべてのユーザーはマスターアカウントのバニティURLを使用して認証し、高度なSAMLマッピングを通じて自動的にサブアカウントにログインします([いくつかのマッピング制限が適用されます](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); または 2. 各サブアカウントは一意のバニティURLと独立したSSO設定を持ち、そのサブアカウントのメンバー専用に使用されます 各設定には固有の利点があり、2番目のオプションが最も柔軟性を提供します。いずれかの設定の実装を検討しているお客様の声は、どの設定がニーズに最適かについてアカウントチームと相談する必要があります。 ### SSO設定とセキュリティ Zoom管理者は、ZoomとのSSO連携を設定する際に、組織に最適なセキュリティおよび設定オプションを選択できます。このセクションでは、これらの設定と、SSO連携に対するその影響について説明します。

SSO連携設定の例。

#### Zoomは、署名付きのログインおよびログアウトSAMLリクエストをサポートしています 追加のサービスプロバイダー認証を必要とするZoom管理者は、IDプロバイダーへのすべてのログインおよびログアウトリクエストにZoomが署名するよう設定できます。 この設定を使用するアカウントでは、IDプロバイダーが動的メタデータ更新をサポートしていない場合、証明書のローテーションが必要になることがあります。詳細は、次に関するサポート記事をご覧ください [証明書のローテーション](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) 詳細については。 #### Zoomは、認証時に暗号化されたSAMLアサーションをサポートしています Zoom管理者は、認証時に暗号化されたアサーションをサポートするようにZoomを設定できます。この設定を有効にすると、暗号化されていないアサーションは破棄されます。この設定を使用するアカウントでは、IDプロバイダーが動的メタデータ更新をサポートしていない場合、SSO証明書のローテーションが必要になることがあります。詳細は、次に関するサポート記事をご覧ください [証明書のローテーション](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) 詳細については。 #### Zoom管理者は、定義した時間が経過した後に自動ログアウトを強制できます Zoom管理者は、15分から180日までカスタマイズ可能な定義済みの時間が経過した後、アクティブなセッションからユーザーを自動的にログアウトするようにZoomを設定できます。このプロセスでは、トークンが生成されると、あらかじめ定められた期間でZoomアクセス トークンが期限切れになるよう設定されます。このトークンはIDプロバイダーとは関係がなく、Zoom固有のものです。 #### SAMLレスポンスログはトラブルシューティングのために保存できます Zoomでは、認証の試行によるSAMLレスポンスログを、認証後7日間保存できます。これらのレスポンスログは、SAMLレスポンスマッピング設定に加えて、設定やユーザーエラーのトラブルシューティングに非常に役立つツールとなります。次のセクションを確認してください [SAMLレスポンスログを使用したエラーのトラブルシューティング](#using-saml-response-logs-to-troubleshoot) 詳細については。 {% hint style="success" %} **Zoomの推奨事項** SAMLレスポンスログの保存を有効にして、トラブルシューティングを容易にします。 {% endhint %} #### サインイン時のプロビジョニングではアカウントを即座に作成でき、最も簡単なプロビジョニングオプションです SSOが次のように設定されている場合、プロビジョニングは *サインイン時* (ジャストインタイムプロビジョニングとも呼ばれます)、IDプロバイダー内の認可された任意のユーザーがZoomに認証できます。既存のアカウントを持たないユーザーには、サインイン時に即座に1つ作成されます。 サインイン時のプロビジョニングは、事前にユーザーを作成する必要なく、認証時にユーザーが自分のアカウントを作成できるようにすることで、企業へのZoom導入を簡素化できます。SAMLレスポンスマッピングと組み合わせることで、ユーザーの最初の認証から数秒以内に、ユーザープロファイル全体とライセンスの準備が整います。 さらに、サインイン時のプロビジョニングでは、既存アカウントに対してSSOログインタイプを動的に作成できます。ユーザー名とパスワードを持つ既存のZoomアカウントがユーザーにある場合、この設定でサインインするとSSOログインタイプが作成されます。 #### サインイン前のプロビジョニングでは、SSOログインタイプを持つ事前作成済みアカウントが必要です SSO向けのユーザーのプロビジョニング *サインイン前に* には、認証するユーザーが **両方** 既存のZoomアカウントを持ち、かつそのアカウントにSSOログインタイプが作成されていることが必要です。この種類のプロビジョニングは、自動アカウント作成プロセスのためSCIMプロビジョニングと組み合わせられることが多いですが、それに限定されません。関連ドメインまたは直接の招待を通じて会社のアカウントに統合されるZoomユーザーは、SSOログインタイプを持っていない可能性が高いです。 Zoom管理者は、ユーザーのアカウントを表示することで、アカウントにSSOログインタイプがあるかどうかを確認できます [ユーザー管理](https://zoom.us/account/user#/) ウェブポータル内のページで、ユーザーのメールの下にある「SSO」アイコンを探しています。

ユーザーのメールの下にあるSSOアイコンの位置情報。

アイコンが提示されている場合、そのユーザーはSSO用にプロビジョニングされています。アイコンが表示されていない場合、事前プロビジョニングが有効になっている間は、それが追加されるまでユーザーはSSO経由でサインインできません。Zoom 管理者は、CSVファイルを介してユーザーを一括で追加し、「SSO ユーザー」オプションを選択することでこのログインタイプを追加するか、または Provision at Sign-in が有効になっている間にユーザーを認証させることができます。

一括アップロード用のSSOユーザーオプションを示す例。

{% hint style="success" %} **Zoomの推奨事項** ユーザーがサインインできなくなるのを阻止するには、アカウントで SSO を初めて構成する際に、サインイン時のプロビジョニングを使用してください。ユーザーが事前プロビジョニングされていること、および事前プロビジョニングの方法が整っていることを確認した後であれば、必要に応じて事前プロビジョニングに切り替えてください。 {% endhint %} #### SSO認証を適用するには、ドメインが関連付けられ、管理されている必要があります Zoom の管理者は SSO 認証を強制できます *のみ* メールドメインが Zoom 内で関連付けられ、管理されている場合。この設定を有効にすると、プラットフォームに関係なく、会社のドメインを使用して認証するすべてのユーザーは、自動的にお使いのIDプロバイダーの認証ページにリダイレクトされます。 ドメインが承認され管理されると、Zoomの管理者はあなたのアカウントのSSO認証を強制できます [セキュリティページ](https://zoom.us/account/setting/security) の下の **サインイン方法**。詳細については、次のサポート記事を参照してください: [関連ドメイン](https://support.zoom.us/hc/en-us/articles/203395207) ドメインの関連付けと管理に関する詳細情報。 #### 指定されたユーザーは、強制されたSSO認証の対象外にできます Zoom管理者は、特定のユーザーを強制されたSSO認証の対象から除外できます。特定のユーザー(管理者アカウントなど)を除外すると、SSO設定が壊れた場合にアカウント管理者がZoomアカウントへ非SSOアクセスする必要があるときに役立つことがあります。対象外の管理者は、アカウントのロックアウトやSSO設定の破損が発生した場合でも、いつでもadmin.zoom.usにサインインできます(ユーザーはstandard **管理者** ロールを持っている必要があります)。Zoom管理者がアカウントにアクセスできない場合は、サポートを受けるためにZoomサポートへ連絡する必要があります。 ユーザー例外を有効にするには、アカウント [セキュリティページ](https://zoom.us/account/setting/security) ウェブポータルの詳細オプションで、強制ドメインの一覧を見つけ、編集リストから例外を追加します。

SSO 用のドメイン一覧の例。

#### モバイルおよびデスクトップクライアントは、ユーザーに SSO 認証の使用を必須にするよう設定できます Zoom クライアントは、グループ ポリシー、モバイル デバイス管理 (MDM) サービス、および一括展開クライアントを通じて、自動ログイン、自動ログアウト、デバイス上での SSO のみの認証など、SSO 機能を自動化するように事前設定できます。 設定可能な項目の完全な一覧については、次の設定オプションを参照してください。 [グループ ポリシー](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) および [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows). #### Office 365 ユーザーは、SSO認証情報を使用して Outlook向けZoom アドインに自動的にサインインできます Office 365 を使用するお客様の声は、SSO認証情報を使用してユーザーを Outlook向けZoom アドインに自動的にサインインさせることができます。これは、 [カスタム アドイン マニフェスト](https://support.zoom.us/hc/en-us/articles/360041403311) と組み合わせることができます。これにより、アカウントのバニティURLが事前入力され、ユーザーにシームレスな認証体験を提供します。この機能は、ユーザーのSSO セッショントークンがアクティブな場合はそれを使用し、アクティブなセッションが見つからない場合はアイデンティティ プロバイダーによる新しい認証を求めます。 Zoom管理者は、この設定をアカウントの [セキュリティページ](https://zoom.us/account/setting/security) で有効にすることができます。 **詳細設定** メニュー。

OutlookアドインでのSSOに関する管理者設定の例。

### SAMLレスポンスのマッピング SAML属性は、SAML値によって定義されるデータのカテゴリであり、Zoomのようなサービスプロバイダーにアイデンティティプロバイダーから情報を渡すために使用されます。属性と値をマッピングすることは、ユーザープロファイル情報を自動化し、ユーザーのライセンスを管理するうえで不可欠です。 SAMLレスポンスのマッピングは、2つの部分に分かれています: *ベーシック* および *詳細設定*。ベーシック マッピングは、名前、電話番号、部署などの基本的なプロファイル情報をマッピングするために使用されます。高度なマッピングは、動的なライセンス割り当て、ユーザーグループの割り当て、ユーザーロールなどを管理するために使用されます。 このセクションでは、SAMLレスポンスのマッピングの基本、ベーシックおよび高度なSAMLレスポンスのマッピングを扱い、一部の機能に必要な固有の条件を強調します。 #### 基本: SAML属性と値 ほとんどのアイデンティティプロバイダーは、単純な属性名と値を使用して基本的なプロファイル情報を渡します。たとえば、従業員の部署は、departmentという属性とHuman Resourcesという値を持つSAMLとして送られる場合があります。次の表は、ユーザーに関する情報を渡す際の属性と値の関係を示しています。 | SAML属性 | SAML値 | | ------ | ------------------------------ | | 名 | John | | 姓 | Smith | | メール | | | 部署 | 人事部 | SAML 属性をレスポンス マッピングに正しく割り当てることで、ユーザー情報をユーザープロファイルに自動的に適用し、アカウント作成と管理プロセスを簡素化できます。 #### ベーシック マッピング: プロファイル情報 SAMLベーシック情報マッピングは、ディレクトリからユーザーのプロフィールへ、名、姓、部署、電話番号、コストセンター、位置情報などのプロフィール情報を適用するために使用されます。これらのカテゴリの多くは自明であり、容易に設定できますが、一部のカテゴリは、予期しない結果やアプリケーション エラーを阻止するために、適切な設定のための説明が必要です。次のセクションでは、ベーシック マッピングの固有のマッピング オプションと設定について説明します。詳細なサポート対象属性の一覧については、当社の [ベーシック SAML マッピング記事](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) をご参照ください。 #### デフォルトのライセンスタイプは *新規ユーザー* デフォルトのライセンスタイプ オプションは、指定されたライセンスをすべての *新規* ユーザーに適用します。これらのユーザーは、SAML を通じてアカウント内でプロビジョニングされます。これは、2回目の認証を行うユーザー、以前のアカウントからアカウントに統合されたユーザー、SCIM を通じてプロビジョニングされたユーザー、または手動で招待されたユーザーには適用されません。 についての情報は *更新* 認証を伴うユーザー ライセンスについては、以下のライセンス設定を参照してください。 [詳細な SAML マッピング](#advanced-mapping-licenses-add-ons-and-access). #### デフォルトのライセンスタイプは *なし* 詳細なマッピングでライセンスを割り当てるように構成されていない限り、新しいユーザーが認証することは許可されません ZoomユーザーがZoomサービスにログインするには、割り当てられたライセンスタイプ(ベーシック、ライセンスユーザー、またはOn-Prem)が必要です。デフォルトのライセンスタイプとしてなしが選択されている場合、ユーザーが以下を通じてライセンスを受け取る場合を除き、新しいユーザーはサインインまたは新しいアカウントの作成ができません [詳細な SAML マッピング](#advanced-mapping-licenses-add-ons-and-access). #### ほとんどの基本マッピングは、特に指定がない限り、ログイン時に再適用されます ほとんどの基本SAMLマッピングは、デフォルトではユーザーがサインインするたびに更新されます。 *ただし* *〜の* 名、姓、表示名、および電話番号。デフォルトでは、これら4つのマッピングはユーザーが最初に認証したときにのみ適用され、ユーザーまたは管理者によって更新されても、再度適用されることはありません。Zoom 管理者は、以下のオプションを有効にすることで、この動作を変更できます。 **各SSOログイン時に更新** SAML応答マッピングページで。

各SSOログイン時に更新オプションの例。

#### 電話番号のマッピングには、米国外の場合、国番号と市外局番を含める必要があります SAML を通じてマッピングされる電話番号には、可能な場合、SAML アサーション内にユーザーの国番号と市外局番を含める必要があります。Zoom は、デフォルトで定義されていない場合、国番号を +1 とみなします。 ディレクトリ内で国番号を保持していないアカウントは、必要に応じて、アイデンティティプロバイダー内で SAML アサーションを編集し、これらを自動的に含めることができます。 #### 各ユーザーのプロフィールには、最大3つの電話番号と1つのFAX番号をマッピングできます Zoom 管理者は、各ユーザーに対して最大3つの個別の電話番号と1つのFAX番号のマッピングを設定することができます。各電話番号は一意である必要があり、他のフィールドの値と重複してはなりません。

各ユーザーの電話番号オプションの例。

#### プロフィール画像は、公開アクセス可能なURLからマッピングするか、Base64でエンコードする必要があります プロフィール画像をディレクトリからマッピングしたいアカウントでは、公開アクセス可能なURLを使用して画像をマッピングするか、またはアサート時に画像をBase64でエンコードする必要があります。 #### 従業員一意ID **従業員一意IDは、Zoomがユーザーを識別するために使用する主な識別子を変更します** この *従業員一意ID* は、Zoomが識別管理を支援するために提供する機能です。デフォルトでは、Zoomユーザーの主な識別はその **メール** **アドレス**です。これは、仕事用メールアドレスタイプのログインが ****の場合、Zoomがこのユーザーを常にそのメールアドレスで識別することを意味します。この識別子により、SSOやFacebook、Google OAuthアカウントなどの統合がユーザーを同じZoomアカウントに関連付けることができます。 ただし、この識別プロセスは、ユーザーの名前またはメールが変更した場合、問題になる可能性があります。たとえば、もし **** のメールが次へ変更した場合 ****、Zoom は、これらが同一人物であると安全に判断できません(基本的な識別子が異なるため)。そのため、Zoom は最初に新しいアカウントを作成します **** がログインしたとき。 この問題を簡素化するために、Zoom は Unique 従業員 ID 機能を提供しており、これによりユーザーの主要な識別子がそのメールアドレスから確立された一意の ID に変更されます。 *これはユーザーの Zoom ユーザー名を変更しません*。代わりに、別の識別属性を提供します。この変更により、次の場合に Zoom は Zoom 内のユーザーのメールアドレスを動的に更新できます: * a *新しい* メールアドレスには既知の固有の従業員IDが付随している場合;および * 影響を受けたユーザーのメールドメインはZoom内で関連付けられています たとえば、もし **** 認証し、SAML の値 12345(従業員番号)を従業員固有ID 属性に渡すことで、Zoom は、アサートされた値によりアカウント内のユーザーを特定します。ジョンがメールで再度認証すると、 **** 12345 の従業員固有IDを引き続き渡している間、Zoom は が現在 **** そして、ドメインが関連付けられている場合は、アカウント内のユーザーのメールを動的に更新します。 ID管理者は...であるべきです *肯定的* このカテゴリに対してSAMLマッピングを確立する前に、2人のユーザーが同じ従業員固有ID値で重複しないようにしてください。別のユーザーが認証されて同じ値を渡すと、メールは新しいユーザーに再び更新され、ユーザーサービスと体験に重大な混乱を引き起こす可能性があります。 **従業員 Unique ID 機能では、ユーザーのメールを変更するために関連ドメインが必要です** 従業員固有ID機能では、メールドメインが正式にお客様のアカウントプロファイルに関連付けられていない限り、ユーザーのメールアドレスを更新できません。に関するサポート記事を参照してください [関連ドメイン](https://support.zoom.us/hc/en-us/articles/203395207) 詳細については。 **管理者とオーナーは、従業員固有IDを通じて自分のメールを更新できません** Zoom 内の管理者およびオーナーのメールは、従業員固有ID機能では更新できません。これは、不正なアクセスを阻止するためのセキュリティ対策として意図されています。管理者とオーナーは、プロファイルページからメールを変更する必要があります。 **ユーザーのメールは、従業員固有IDを通じて1日1回のみ更新できます** ユーザーのメールは、従業員固有ID機能を通じて24時間ごとに1回のみ更新できます。ユーザーがSSOを通じて再度メールを更新する前に、前回の更新から丸1カレンダー日待つ必要があります。

ユーザーのメールを更新するためのフロー例の図。

**SAML 属性を \ に設定すると、ユーザーの表明された NameID が使用されます** 従業員固有IDの SAML 属性を次にマッピングすることにより **\** ユーザーの表明された NameID 値が、その一意の識別子として自動的に使用されます。これは、ID プロバイダーがユーザーのメール以外の NameID(ユーザープリンシパル名(UPN)や、変更されない類似の値など)を表明する場合に、有用なツールとなることがあります。ユーザーの NameID がそのメールと一致する場合は、この値を使用しないでください。

<NameID> 管理者設定の例。

### 詳細なマッピング: ライセンス、アドオン、およびアクセス SAML の詳細情報マッピング セクションでは、ユーザーが認証するときに、ライセンス(Zoom Phone を含む)、アドオン、およびユーザー アクセス グループを動的に適用できます。ベーシック マッピングとは異なり、詳細マッピングには多くの нюアンスがあり、環境の複雑さに応じて設定時に注意深い対応が必要になる場合があります。このセクションでは、詳細な SAML マッピングを構成するための нюアンスを紹介します。詳しくは、 [詳細な SAML マッピングの記事](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) をご参照ください。 #### 詳細なマッピングは、ユーザーが認証するたびに適用されます 一部のカテゴリではオプションの更新があるベーシック マッピングとは異なり、詳細なマッピングの設定は、上から下へのアプリケーション順序に従って、ユーザーが認証するたびに適用されます。 たとえば、ユーザーがベーシック ライセンスを持っていて、その後 SSO を通じて認証し、完全ライセンスの付与にマッピングされた SAML 属性と値を渡した場合、ユーザーには即座に完全ライセンスが付与されます。その後、アイデンティティ プロバイダー内でユーザーのプロフィールが変更され、ベーシック ライセンスに戻された場合、Zoom 内で再認証するとベーシック ライセンスが再割り当てされます。 #### 詳細なマッピングでは、カテゴリごとに複数の SAML 属性と値を使用できます カテゴリごとに 1 つの SAML 属性しか使用できないベーシック マッピングとは異なり、詳細なマッピングでは各カテゴリに対して複数の属性と値をサポートできます。これにより、次の設定例に示すように、アイデンティティ プロバイダー内のセキュリティ グループを通じてユーザーのライセンスとアクセスを管理する際に、大きな柔軟性が得られます。

SAML の属性マッピング例。

{% hint style="success" %} **Zoomのヒント** SAML 属性は、特にセキュリティグループについて、アイデンティティプロバイダーごとに異なる場合があります。アイデンティティプロバイダーまたは次の方法で確認してください。 [SAML レスポンスログ](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) SAML 属性がどのようにアサートされるか。 {% endhint %} #### 高度なマッピングでは、複数の属性がアサートされた場合、上位から下位へライセンスを適用します ユーザーが高度な SAML マッピング用に設定された複数の SAML 属性または値を渡すと、Zoom は上位から下位へライセンスをマッピングします。次の例を参照してください。

管理者 設定でのライセンスタイプ選択の例。

上記の設定に従うと、ユーザーが両方に対する属性を渡した場合 **global\_users** および **marketing**、なぜなら **marketing** 構成内で最も高い場合、この属性がユーザーに適用され、残りの適用可能な属性は無視されます。 または、構成が **global\_users** を最も高いものとして設定されていた場合。次のスクリーンショットに示すように、ユーザーのアサーションに **global\_users**, **marketing**, **人事** **リソース**、および **IT**、なぜなら **global\_users** が最優先の場合、ベーシック ライセンスのみがアサートされます。

優先順位の順序を調整する例

Zoom 管理者は、エディター内の ↑↓ 矢印を使用してマッピング値を編集する際に、アプリケーションの順序を調整できます。 {% hint style="success" %} **Zoomの推奨事項** ライセンスの誤適用を阻止するために、詳細設定を最も具体的なものから最も一般的なものへ順に設定する。 {% endhint %} #### ウェビナーと大規模ミーティングのマッピングでは、両方のアドオンに適用するための共通の値を共有できます アプリケーションの手続きを簡略化するため、Zoom 管理者は同じ SAML 属性と値を 2 回設定して、ユーザーにウェビナーと大規模ミーティングの両方の追加オプションを適用できます。次の画像にあるように、 **global\_users** 値。これらの追加機能は、必要に応じて個別に設定することもでき、次のとともに示されているように **ウェビナーのみ** および **large\_ミーティング\_only** 値。

large_ミーティング_only と ウェビナー_only の SAML 属性の例。

#### ユーザーは、1つのSAML値を使用して複数のユーザーグループに追加できます Zoom 管理者は、ユーザー グループのマッピングを設定して、1 つの SAML 値でユーザーを複数のグループに追加できます。 最初に追加されたユーザーグループは、ユーザーのプライマリグループとして設定され、ユーザーのデフォルト設定を決定します *ただし、基盤となるグループにロックされた設定がある場合を除きます*。ユーザーグループの詳細については、こちらの [サポート記事](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

複数のユーザーグループ割り当ての例。

#### 指定されたユーザーおよびユーザーグループは、特定のSAMLマッピングの対象外にできます 高度なSAMLマッピングの下にあるすべてのオプションは、特定のユーザーおよびユーザーグループをマッピング動作の対象外にするよう設定できます。これは、ライセンス変更の可能性によるサービス中断からVIPユーザーを保護するのに有効です。

ユーザー除外の例。

#### 自動マッピングは、値が以前にグループにマッピングされていない場合、アサートされたSAML値にちなんで名付けられたユーザー、チャネル、またはIMグループにユーザーを自動的に割り当てます 自動マッピングを使用すると、アサートされたSAML値にちなんで名付けられたユーザーグループ、チャネル、およびIMグループにユーザーを自動的に割り当てることができます。SAML値に基づいてユーザーを任意のグループに割り当てるよう設定できる他の高度なマッピングコンポーネントとは異なり、自動マッピングは常に正確なSAML値に基づいてユーザーをグループに割り当てます。グループが以前に存在しなかった場合は、自動的に作成されます。

SAML Auto Mapping の例。

たとえば、Auto Mapping が部署に基づいてユーザーをグループにマッピングするよう設定されている場合、部署の値が ユーザーグループ、チャネル、または IM グループ に対してまだ定義されていなければ、以下の表に示すように、ユーザーはその部署名に一致するグループに自動的に割り当てられます。 | SAML属性 | SAML値 | Zoom グループはすでに存在しますか? | 結果 | | ------ | ------- | -------------------- | -------------------------------- | | 部署 | 人事部 | はい | ユーザーが Human Resources グループに追加される | | 部署 | マーケティング | はい | ユーザーが Marketing グループに追加される | | 部署 | 営業 | いいえ | 営業グループが作成され、ユーザーが営業グループに追加されました | #### Zoom は最大 5 つのカスタム SAML 属性をサポートしています Zoom 管理者は最大で *5* ユーザー データを Zoom プロフィールに追加するためのカスタム SAML 属性を、 [高度なユーザー管理](https://zoom.us/account/user#/advanced) ページで設定できます。カスタム フィールドを追加した後、Zoom 管理者はマッピングを [SAMLレスポンスのマッピング](https://zoom.us/account/sso/mapping) ページで設定できます。

カスタム SAML 属性の例

#### ユーザーをサブアカウントにマッピングすると、 *のみ* ミーティング ライセンスとアドオンが適用されます ユーザーをサブアカウントにマッピングすると、ユーザーのミーティング ライセンスと、ウェビナーや大規模ミーティングなどのアドオンのみがサブアカウントに適用されます。ユーザーグループ、IMグループ、ユーザーロールなどは適用されず、サブアカウント内で設定する必要があります。 サブアカウントでのSAMLレスポンスマッピングにより高い柔軟性を必要とするお客様の声には、固有のバニティURLと、サブアカウント内での新しいSSO設定が必要になります。 ### SSOのトラブルシューティング #### SAMLレスポンスログを使用したトラブルシューティング 保存されたSAMLレスポンスログは、SAMLレスポンスマッピング設定に加えて、設定やユーザーエラーのトラブルシューティングに非常に役立つツールとなります。SSO設定でSAMLレスポンスログを保存するように設定されている場合、これらは詳細設定内のSSO設定ページにある [SAMLレスポンスログ](https://zoom.us/account/sso/saml_logs) タブからアクセスできます。SAMLレスポンスログを表示するには、 **詳細を表示** を認証の試行の横でクリックします。 #### ほとんどの認証はレスポンスログに表示されます 失敗した、または成功しなかった認証の試行のほとんどは、レスポンスログページに表示されます。認証の試行が表示されない場合、ZoomがIDプロバイダーからSAMLアサーションを受信していないか、SAMLレスポンスログの保存が無効になっている可能性が高いです。 #### レスポンスログは、設定が正しくないか、証明書が古いかどうかを示すことができます SAMLレスポンスログが有効になっている場合、各当事者のIDを認証するために、IDプロバイダーの情報がZoomにアサートされます。X509証明書や発行者IDのようなアサートされた設定または情報の文字列が、Zoomの現在の設定と異なる場合、その情報が「現在のSSO設定と一致しません」というエラーが表示されます。Zoomの管理者は、これらのアサートされた値が正しい場合、それに一致するようにSSO設定を更新してエラーを解決できます。

正しくない設定に関する警告の例。

#### レスポンスログは、どのSAML値と属性がアサートされているかを示します レスポンスログを確認することで、ユーザーが認証する際にどの属性と値がアサートされているかを確認し、SAMLレスポンスマッピング設定の解決に役立てることができます。これらを設定と比較して、属性と値が一致していることを確認できます。

IDプロバイダーサービスによってアサートされている情報の例。

SAML属性または値が欠落している場合、その情報はIDプロバイダーサービスによってアサートされていません。この問題が発生しているユーザーは、さらなる支援を受けるためにIDプロバイダーのサポートサービスへ連絡することをお勧めします。 #### レスポンスログには、失敗した場合にエラーコードと簡単な説明が含まれます ユーザーが認証できない、またはエラーを受け取る場合、SAMLレスポンスログにはエラーコードとエラーの簡単な説明が含まれます。

エラーコードと説明の例。

ほとんどの問題は、これらのエラーメッセージを使用して特定し、解決できます。エラーを解決できない場合は、追加の支援についてZoomサポートへ連絡してください。 #### Web Tracking ID エラー ユーザーがSSO認証に失敗した場合、WEB Tracking ID エラーコードを受け取ります。これらのコードは特定の失敗に関連するエラーメッセージではなく、認証の問題を特定するためにSAMLレスポンスマッピングで確認できる一意のログIDです。

WEB Tracking ID エラーコードを含む、ユーザー向けエラーの例。

エラーを特定するには、SAMLレスポンスログ記録が有効になっている場合、 [SAMLレスポンスログ](https://zoom.us/account/sso/saml_logs) 詳細設定内のSSO設定ページにあるタブへ移動します。そこから、Tracking IDフィールドにWEB tracking IDを入力して検索し、レスポンスログを表示します

前述のWEB Tracking ID エラーコードを使用してSAMLレスポンスログを検索する例。

SAMLレスポンスログには、SAMLアサーションと、追加のトラブルシューティングに使用できるエラーコードおよびレスポンス下部のメッセージが表示されるはずです。 ### SCIM エラー #### ユーザーが存在しないか、このアカウントに属していません このエラーは、対象ユーザーのメールアドレスのプロビジョニングが、すでに存在するアカウントのために失敗した場合に発生します。Zoomの管理者は、ユーザーに直接連絡し、手動でそのユーザーをアカウントに招待することが推奨されます。

プロビジョニングエラーの例。

#### 有料ユーザーは追加できません このエラーは、アカウント上のライセンスが不足している状態でSCIMがユーザーをプロビジョニングしようとした場合に発生します。エラーを解決するには、ユーザーをベーシックユーザーとしてプロビジョニングするか、プロビジョニングに使用できるライセンスを用意する必要があります。 ### SCIMログを使用したユーザープロビジョニングのトラブルシューティング Zoomは、最新の100件のAPIリクエストログを [Zoom Marketplace](https://marketplace.zoom.us/)で提供しています。Zoomの管理者は、これらのログを使用して、どの情報がプロビジョニングAPIを通じて送受信されているかを確認できます。ログにアクセスするには、Zoomの管理者としてZoom Marketplaceにサインインし、 **管理**をクリックします。次のページで、 **通話ログ** の下の **個人用アプリ管理**を選択します。そこから、エントリをクリックしてAPIログを展開し、内容を確認します。 次の画像は、参照用にユーザーのID属性とライセンス属性が強調表示された、SCIMユーザープロビジョニングリクエストの例を示しています。

SCIMユーザープロビジョニングリクエストの例。

SAMLレスポンスマッピングと同様に、ZoomはプロビジョニングリクエストでIDプロバイダーから送信された情報のみを適用できます。これらのログを使用して、ユーザーID属性とライセンス属性がIDプロバイダーから送信されていることを確認してください。これらのアサーションに期待される情報が欠落している場合は、サポートについてIDプロバイダーに連絡してください。 ### データフローと認証 #### SAML 認証 次の図は、Zoom でシングルサインオン(SSO)セッションを開始する際のユーザーの SAML 認証フローの詳細を示しています。

SAML 認証フローの例の図。

#### SSO Web ログイン トークン ユーザーが SAML を通じて認証すると、ユーザーのセッションはブラウザ内で構築され、 デフォルトでは 2 時間持続します。ユーザーが Zoom の Web ページを継続してアクティブに使用している場合、セッションは更新されます。ただし、ユーザーが 2 時間 Web ページを使用しない場合、トークンは期限切れとなり、ユーザーは再認証する必要があります。Zoom の管理者は、このアクティブなセッションの長さを次で設定することができます。 [セキュリティ](https://zoom.us/account/setting/security) ページの「一定時間操作がない後にユーザーに再度サインインを求める」と **Web 上での操作がない期間を設定する(分)**. #### クライアント ログイン トークン ユーザーがクライアント内で SSO を介して認証しようとすると、ユーザーのマシンは Web ブラウザを開き、ID プロバイダーのログイン ページへリダイレクトします。ユーザーが認証した後、ユーザーのブラウザには Zoomクライアント 起動トークンが受け取られます。ユーザーが「開く」または「起動」ボタンをクリックすると、ブラウザは URL スキーマと起動トークンを組み合わせて Zoomクライアント を開きます。 Zoomクライアント は起動トークンを使用して、Zoom サーバーからアクセス トークンとリフレッシュ トークンを取得します。クライアントはアクセス トークンを一度に 2 時間使用し、期限切れになるとリフレッシュ トークンを使用して新しいトークンのセットを取得します。これらはクライアントのローカル データベースに保存されます。この更新プロセスはデフォルトでは無制限であり、ユーザーがサインアウトするかトークンが期限切れになるまで、継続的にトークンを循環できます。Zoom の管理者は、次のページでセッションの長さをカスタマイズできます。 [SSO 設定](https://zoom.us/account/sso) ページの [*自動ログアウトを強制する*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://library.zoom.com/technical-library/ja/kn/account-and-endpoint-management/sso-field-guide.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.