SSOフィールドガイド

はじめに

Zoomとシングルサインオン（SSO）を統合することで、管理者はアカウント管理を簡素化できるユーザー管理およびセキュリティオプションを利用できます。構成後、ユーザーはGoogleやFacebook統合のような代替認証方法やZoomの直接のユーザー名とパスワードを使う代わりに、自社の識別プロバイダーに対して自社の資格情報で認証します。

本書は、Zoom内のSSO構成と設定の包括的な概要に加え、トラブルシューティングおよびセキュリティ情報を提供します。

SSOの統合

SSOを開始するにはバニティURLが必要です

アカウントはSSOを構成する前に承認済みのバニティURLを持っている必要があります。バニティURLが承認されると、Zoom管理者はウェブポータルの詳細オプションのサブメニューから SSO構成 ページにアクセスできます。詳細についてはサポート記事の バニティURL を参照してください。

Zoom SSOは任意のSAML 2.0識別プロバイダーと動作します

ZoomはSecurity Assertion Markup Language（SAML）2.0認証をサポートする任意の識別プロバイダーと統合できます。多くの統合手順が文書化されていますが、いくつかの識別プロバイダーはZoomとの統合に関するドキュメントを提供していません。構成手順が見つからないアカウントは、識別プロバイダーに問い合わせることを推奨します。

Zoom管理者はSAMLレスポンスマッピングまたはSCIM統合を通じてユーザープロファイル情報とライセンスを管理できます

管理者は、識別プロバイダーの提供する機能に応じて、SAMLレスポンスマッピングまたはSystem for Cross-Domain Identity Management（SCIM）APIリクエストを通じてユーザープロファイル情報とライセンスを管理できます。どちらのユーザー管理方法もプロファイル情報のマッピングとライセンス管理においてほぼ同等の機能を提供しますが、いくつかのSCIMマッピングは手動設定が必要です。

SCIMの機能一覧については、 SCIM APIドキュメント.

Zoom管理者はSCIMを使ってユーザーアカウントの状態を管理できます（SAMLでは不可）

SCIMは識別プロバイダーがいつでもZoomと直接通信できるため、ユーザーアカウントを 有効化, 無効化, 作成、または 削除 といった操作をSCIM統合を通じて自動的に行うことができます。例えば、Active Directory内のユーザーアカウントが無効にされた場合、またはアプリケーションの割り当てが解除された場合、SCIMはZoom内の当該ユーザーアカウントに対して自動的な無効化リクエストを送信できます。この機能は識別プロバイダーのSCIMアプリケーションの機能に依存し、プロバイダーによって動作は異なる場合があります。

限られた識別プロバイダーがZoom向けのSCIMを提供しています

多くの識別プロバイダーは、サービスの一部としてZoom向けのSCIM統合を構築していません。ZoomとSCIMをサポートしない識別プロバイダーを使用するアカウントは、自動化されたユーザー管理のためにSAMLレスポンスマッピングを使用する必要があります。

SCIMはユーザーを自動的にプロビジョニングするために関連付けられたドメインを必要とします

SSOのためにSCIMを使用してユーザーを管理およびプロビジョニングするアカウントは 必ず メールドメインをZoomに関連付ける必要があります。ドメインを関連付けないとユーザープロビジョニングが失敗します。プロセスの詳細についてはサポート記事の 関連ドメイン を参照してください。

以下のSSO統合が文書化されています

オンプレミスのActive DirectoryはSCIMの代わりにAD同期ツールを使用できます

SCIMでユーザーのプロビジョニングを自動化したいがクラウドベースの識別プロバイダーを持たないアカウントは、Zoomが開発したActive Directory（AD）Sync Toolアプリケーションを使ってユーザーの管理を行うことができます。このアプリケーションはOracle JDK 8上で動作し、APIコマンドを通じてユーザーを管理することでSCIMプロビジョニングを模擬します。詳細はサポート記事の AD同期ツール を参照してください。

識別プロバイダーはZoomアカウントを持たない会議参加者を認証することも可能です

ユーザーにZoomアカウントを提供したくないが認証を要求したいアカウントは、識別プロバイダーで外部認証プロファイルを構成できます。会議で有効にすると、参加を試みるユーザーは識別プロバイダーに対してログイン資格情報を認証する必要があります。これはすべての生徒にアカウントを提供しない学校が、授業参加のために認証を要求する一般的な構成です。外部認証の構成についてはサポート記事の 外部認証の構成 を参照してください。

識別プロバイダーの変更にはZoom内でのSSO再構成が必要です

識別プロバイダーを変更するアカウントは、Zoom内でSSO構成をやり直す必要があります。これには、すべての構成ページ内のフィールドを新しい識別プロバイダーに合わせて更新することが含まれます。アカウントは、SAMLレスポンスマッピングが新しい識別プロバイダーで変更されないことを確認することを推奨します。

さらに変更がないことを前提とすれば、追加の構成や変更は不要なはずです。

サブアカウントを持つお客様はマスターまたはサブアカウントからSSOを構成できます

サブアカウントを持つお客様はSSOの構成について2つのオプションがあります：

1. すべてのユーザーがマスターアカウントのバニティURLで認証し、高度なSAMLマッピングを通じて自動的にサブアカウントにログインする（一部のマッピングに制限があります）；または

2. 各サブアカウントが固有のバニティURLと独立したSSO構成を持ち、そのサブアカウントのメンバーのみが使用する

各構成はそれぞれ固有の利点を提供し、2番目のオプションが最も柔軟性を提供します。どちらの構成を実装するか検討するお客様は、どの構成がニーズに最適かをアカウントチームと相談することを推奨します。

SSOの設定とセキュリティ

Zoom管理者はSSO統合を構成する際に組織に最適なセキュリティと設定オプションを選択できます。本節ではこれらの設定とSSO統合への影響を説明します。

ZoomはログインおよびログアウトのSAMLリクエストに署名をサポートします

追加のサービスプロバイダー認証が必要なZoom管理者は、Zoomが識別プロバイダーへのすべてのログインおよびログアウト要求に署名するよう構成できます。

この設定を使用するアカウントは、識別プロバイダーが動的メタデータ更新をサポートしない場合、証明書のローテーションが必要になることがあります。詳細はサポート記事の 証明書のローテーション を参照してください。

Zoomは認証時のSAMLアサーションの暗号化をサポートします

Zoom管理者は認証時に暗号化されたアサーションをサポートするようZoomを構成できます。この設定が有効な場合、暗号化されていないアサーションは破棄されます。この設定を使用するアカウントは、識別プロバイダーが動的メタデータ更新をサポートしない場合、SSO証明書のローテーションが必要になることがあります。詳細はサポート記事の 証明書のローテーション を参照してください。

Zoom管理者は定義された期間後に自動ログアウトを強制できます

Zoom管理者は、Zoomを構成してユーザーをアクティブセッションから定義された期間後に自動的にログアウトさせることができます。これは15分から180日までカスタマイズ可能です。このプロセスは、アクセス トークンが生成された時点で事前に定められた長さで期限切れになるよう設定します。このトークンは識別プロバイダーとは無関係で、Zoom固有のものです。

SAMLレスポンスログはトラブルシューティングのために保存できます

Zoomは認証後7日間、認証試行からのSAMLレスポンスログを保存できます。これらのレスポンスログは、構成やユーザーのエラーのトラブルシューティング、ならびにSAMLレスポンスマッピングの構成において非常に有用なツールとなります。 SAMLレスポンスログによるトラブルシューティングのエラー を参照してください。

サインイン時のプロビジョニングはアカウントを即座に作成でき、最も簡単なプロビジョニングオプションです

SSOがプロビジョニングを サインイン時に （ジャストインタイムプロビジョニングとも呼ばれます）に設定されている場合、識別プロバイダー内の許可された任意のユーザーがZoomに認証できます。既存のアカウントを持たないユーザーはサインイン時に即座にアカウントが作成されます。

サインイン時のプロビジョニングは、認証時にユーザーがアカウントを作成できるようにすることで、Zoomの導入を簡素化できます。SAMLレスポンスマッピングと組み合わせることで、ユーザーの初回認証から数秒で完全なユーザープロファイルとライセンスが用意されます。

さらに、サインイン時のプロビジョニングは既存アカウントに対してSSOログインタイプを動的に作成できます。ユーザーがユーザー名とパスワードで既にZoomアカウントを持っている場合でも、この構成でサインインするとSSOログインタイプが作成されます。

サインイン前のプロビジョニングは事前作成されたSSOログインタイプのアカウントを必要とします

SSOのためのユーザーのプロビジョニングを サインイン前に 行うには、認証するユーザーが 両方とも 既存のZoomアカウントを持ち、かつそのアカウントにSSOログインタイプが作成されている必要があります。この種のプロビジョニングは、自動化されたアカウント作成プロセスのためにSCIMプロビジョニングと組み合わせて使用されることが多いですが、それに限定されるものではありません。関連ドメインや直接招待によって企業アカウントに統合されたZoomユーザーは、SSOログインタイプを持っている可能性は低いです。

Zoom管理者は、ウェブポータルの ユーザー管理 ページでユーザーアカウントを表示し、ユーザーのメールの下に“SSO”アイコンがあるかどうかを確認して、そのアカウントにSSOログインタイプがあるかどうかを確認できます。

アイコンが存在する場合、そのユーザーはSSO用にプロビジョニングされています。アイコンがない場合、事前プロビジョニングが有効な間はSSO経由でサインインできません。Zoom管理者はCSVファイルでユーザーを一括追加し「SSOユーザー」オプションを選択するか、サインイン時のプロビジョニングが有効な状態でユーザーに認証させることでこのログインタイプを追加できます。

SSO認証を強制するにはドメインが関連付けられ管理されている必要があります

Zoom管理者はSSO認証を強制することができます のみ メールドメインがZoom内で関連付けられ管理されている場合に限ります。有効にすると、プラットフォームに関係なく貴社のドメインで認証するすべてのユーザーは自動的に識別プロバイダーの認証ページにリダイレクトされます。

ドメインが承認され管理されると、Zoom管理者はアカウントの セキュリティページ の下で サインイン方法を通じてSSO認証を強制できます。 関連ドメイン ドメインの関連付けと管理に関する詳細については、サポート記事を参照してください。

指定されたユーザーは強制されたSSO認証の例外にできる

Zoom管理者は強制されたSSO認証から特定のユーザーを除外できます。特定のユーザー（例えば管理者アカウント）を除外することは、SSO構成が破損した場合にアカウント管理者が非SSOアクセスを必要とする場合に有用です。除外された管理者は、アカウントのロックアウトやSSO構成の破損が発生した際にいつでもadmin.zoom.usにサインインできます（ユーザーには標準の 管理者 ロールが必要です）。Zoomの管理者がアカウントにアクセスできない場合は、Zoomサポートに連絡する必要があります。

ユーザーの例外を有効にするには、ウェブポータルでアカウントの セキュリティページ 詳細オプションの下にある強制ドメインのリストを見つけ、リストの編集から例外を追加してください。

モバイルおよびデスクトップクライアントはユーザーにSSO認証を要求するよう構成できます

Zoomクライアントは、グループポリシー、モバイルデバイス管理（MDM）サービス、および一括展開クライアントを通じて、自動ログイン、自動ログアウト、デバイス上でのSSOのみの認証など、SSO機能を自動化するよう事前構成できます。

構成可能なオプションの完全な一覧については、次の構成オプションを参照してください： グループポリシー, iOS, Android, Mac および Windows.

Office 365ユーザーはSSO資格情報を使用してZoom for Outlookアドインに自動サインインできます

Office 365を使用するお客様は、ユーザーをSSO資格情報を使ってZoom for Outlookアドインに自動的にサインインさせることができます。これは、アカウントのバニティURLを事前に入力する カスタムアドインマニフェスト と組み合わせることで、ユーザーにシームレスな認証体験を提供できます。この機能は、ユーザーのSSOセッショントークンがアクティブであればそれを使用し、アクティブなセッションが見つからない場合は識別プロバイダーによる新しい認証を要求します。

Zoom管理者はアカウントの設定でこの設定を有効にできます（ セキュリティページ の下） 詳細 メニュー内。

SAMLレスポンスマッピング

SAML属性はSAML値で定義されるデータのカテゴリであり、識別プロバイダーからZoomのようなサービスプロバイダーへ情報を渡すために使用されます。属性と値のマッピングは、ユーザープロファイル情報の自動化とユーザーライセンス管理に不可欠です。

SAMLレスポンスマッピングは2つに分かれます： 基本 および 詳細。基本マッピングは名前、電話番号、部署などの基本的なプロファイル情報をマップするために使用されます。高度なマッピングは動的なライセンス割り当て、ユーザーグループやユーザーロールの割当てなどの管理に使用されます。

このセクションではSAMLレスポンスマッピングの基本、基本および高度なSAMLレスポンスマッピングの説明、および一部機能に必要な固有の条件を説明します。

基本：SAML属性と値の基礎

ほとんどの識別プロバイダーは、プレーンな属性名と値を使用して基本的なプロファイル情報を渡します。例えば、従業員の部署はSAMLでattributeがdepartment、valueがHuman Resourcesとして渡される場合があります。次の表は、ユーザーに関する情報を渡す際の属性と値の関係を示しています。

SAML属性を適切にレスポンスマッピングに割り当てることで、ユーザー情報をユーザープロファイルに自動的に適用し、アカウント作成および管理プロセスを簡素化できます。

基本マッピング：プロファイル情報

SAML基本情報マッピングは、ディレクトリからユーザーのプロファイルへfirst name、last name、department、電話番号、コストセンター、所在地などのプロファイル情報を適用するために使用されます。これらのカテゴリの多くは自明であり簡単に構成できますが、いくつかのカテゴリは予期せぬ結果やアプリケーションエラーを防ぐために適切な構成の説明が必要です。以下のセクションでは基本マッピングの固有オプションと構成設定を強調します。サポート記事の Basic SAML Mapping記事 でサポートされている属性の完全な一覧を参照してください。

デフォルトのライセンスタイプは 全くの新規ユーザー

にのみ適用されます デフォルトのライセンスタイプのオプションは、SAMLを介してアカウント内にプロビジョニングされる指定されたライセンスを 全くの新規

ユーザーに適用します。これは、2回目の認証を行うユーザー、以前のアカウントから統合されたユーザー、SCIMでプロビジョニングされたユーザー、または手動で招待されたユーザーには適用されません。 ライセンスの 更新 に関する情報は、.

高度なSAMLマッピング の下のライセンス構成を参照してください。 デフォルトのライセンスタイプが

なし に関する情報は、.

に設定されていると、新規ユーザーは高度なマッピングでライセンスが割り当てられるように構成されない限り認証できません。

ZoomユーザーはZoomサービスにログインするために割り当てられたライセンスタイプ（Basic、Licensed、またはOn-Prem）を持っている必要があります。デフォルトのライセンスタイプがNoneに選択されている場合、新規ユーザーはサインインまたは新規アカウント作成ができません。ただし、次の方法でライセンスを受け取る場合は例外です： ほとんどの基本マッピングは、特に指定がない限りログイン時に再適用されます ほとんどの基本SAMLマッピングはデフォルトでユーザーがサインインするたびに更新されます、 ただし 氏名（名）、氏名（姓）、表示名、および電話番号については例外です。デフォルトでは、これら4つのマッピングはユーザーが最初に認証したときにのみ適用され、その後はユーザーまたは管理者によって更新されても再適用されません。Zoom管理者はSAMLレスポンスマッピングページで 各SSOログイン時に更新

各SSOログイン時に更新オプションの例。

電話番号のマッピングには、アメリカ合衆国以外の場合、国番号および市外局番を含める必要があります

SAMLを通じてマッピングされる電話番号は、可能な場合、SAMLアサーション内にユーザーの国番号および市外局番を含める必要があります。定義されていない場合、Zoomはデフォルトで国番号+1を想定します。

ディレクトリで国番号を保持していないアカウントは、必要に応じて識別プロバイダー内のSAMLアサーションを編集してこれらを自動的に含めることができます。

各ユーザーは最大3つの電話番号と1つのFAX番号をプロファイルにマッピングできます

各ユーザーの電話番号オプションの例。

プロファイル画像は公開アクセス可能なURLから、またはBase64でエンコードしてマップする必要があります

ディレクトリからプロファイル画像をマップしたいアカウントは、画像を公開アクセス可能なURLを使用してマップするか、アサート時にBase64でエンコードしてマップする必要があります。

従業員固有のID

従業員固有のIDはZoomがユーザーを識別する際に使用する主要識別子を変更します ディレクトリからプロファイル画像をマップしたいアカウントは、画像を公開アクセス可能なURLを使用してマップするか、アサート時にBase64でエンコードしてマップする必要があります。 この email は、Zoomがアイデンティティ管理を支援するために提供している機能です。デフォルトでは、Zoomユーザーの主要な識別はそのユーザーのメールアドレス です。これは、勤務先のメールログインタイプが[email protected]

である場合、Zoomは常にこのユーザーをそのメールアドレスで識別することを意味します。この識別子により、SSOやFacebook、Google OAuthのような統合が同じZoomアカウントにユーザーを関連付けることができます。 です。これは、勤務先のメールログインタイプが しかし、ユーザーの名前やメールが変更されると、この識別プロセスは問題を引き起こす可能性があります。例えば、 がメールアドレスを[email protected] がメールアドレスを に変更した場合、Zoomはこれらが同一人物であると安全に判断できないため（基本的な識別子が異なるため）、最初に

がログインしたときに新しいアカウントを作成します。 この問題を簡素化するために、ZoomはUnique Employee ID機能を提供しており、ユーザーの主要識別子をメールアドレスから既存の一意のIDに変更できます。これはユーザーのZoomユーザー名を変更するものではありません

• が、代わりに代替の識別属性を提供します。この変更により、次の場合にZoomがユーザーのメールアドレスを動的に更新できるようになります： 新しい メールアドレスが既知の従業員固有のIDに伴う場合、かつ

• 影響を受けるユーザーのメールドメインがZoomに関連付けられている場合

例えば、 です。これは、勤務先のメールログインタイプが が認証し、従業員固有のID属性に対して12345（従業員番号）というSAML値を渡すと、Zoomはアカウント内でその主張された値でユーザーを識別します。Johnが引き続き従業員固有のID12345を渡しながらメール がメールアドレスを で再度認証すると、Zoomは[email protected]が がメールアドレスを であると識別し、ドメインが関連付けられていればアカウント内のユーザーのメールを動的に更新します。

アイデンティティ管理者はSAMLマッピングをこのカテゴリで確立する前に、同じ従業員固有のIDの値が2人のユーザーで重複しないことを 確実に 確認するべきです。もし別のユーザーが同じ値を渡すと、そのメールは新しいユーザーに再度更新され、ユーザーサービスやエクスペリエンスに重大な混乱を引き起こす可能性があります。

従業員固有のID機能はユーザーのメールを変更するには関連ドメインを必要とします

従業員固有のID機能は、メールドメインがアカウントプロファイルに正式に関連付けられていない限り、ユーザーのメールアドレスを更新できません。詳細はサポート記事を参照してください。 関連ドメイン を参照してください。

管理者およびオーナーは従業員固有のIDでメールを更新できません

Zoom内の管理者およびオーナーのメールは従業員固有のID機能で更新できません。これは不正アクセスを防ぐためのセキュリティ対策です。管理者およびオーナーは自分のプロフィールページからメールを変更する必要があります。

ユーザーのメールは従業員固有のIDで1日1回のみ更新できます

ユーザーのメールは従業員固有のID機能で24時間に1回のみ更新できます。ユーザーは前回の更新から丸1日待ってから再度SSO経由でメールを更新する必要があります。

SAML属性を<NameID>に設定すると、ユーザーのアサートされたNameIDが使用されます

従業員固有のIDのSAML属性を <NameID> にマッピングすると、ユーザーのアサートされたNameID値が自動的にその一意の識別子として使用されます。これは、識別プロバイダーがユーザーのメール以外のNameID（例えばUser Principal Name（UPN）や変更されない類似の値）を主張する場合に有用です。ユーザーのNameIDがメールと一致する場合はこの値を使用しないでください。

高度なマッピング：ライセンス、アドオン、およびアクセス

SAMLの高度な情報マッピングセクションは、ユーザーが認証する際にライセンス（Zoom Phoneを含む）、アドオン、およびユーザーアクセスグループを動的に適用できます。基本的なマッピングとは異なり、高度なマッピングは環境の複雑さに応じて細心の注意を要する多くのニュアンスを含みます。本節では高度なSAMLマッピングの構成に関するニュアンスを強調します。サポート記事の 高度なSAMLマッピング記事 でサポートされている属性の完全な一覧を参照してください。

高度なマッピングはユーザーが認証するたびに適用されます

基本マッピングとは異なり、いくつかのカテゴリにオプションの更新がある場合でも、高度なマッピング構成はユーザーが認証するたびに、上から下への適用順に従って適用されます。

例えば、ユーザーがベーシックライセンスを持ち、SSOを通じてフルライセンスを付与するSAML属性と値で認証した場合、ユーザーは即座にフルライセンスが付与されます。識別プロバイダー内でユーザーのプロファイルがベーシックライセンスに戻るように変更された場合、ユーザーがZoomで再認証するとベーシックライセンスに再割り当てされます。

高度なマッピングはカテゴリごとに複数のSAML属性および値を許可します

基本マッピングがカテゴリごとに1つのSAML属性のみを許可するのとは異なり、高度なマッピングは各カテゴリに複数の属性および値をサポートできます。これにより、識別プロバイダー内のセキュリティグループを通じたユーザーライセンスおよびアクセス管理において大きな柔軟性が得られます。

複数の属性がアサートされる場合、高度なマッピングは上から下の順でライセンスを適用します

ユーザーが高度なSAMLマッピングに構成された複数のSAML属性または値を渡す場合、Zoomは上から下の順でライセンスをマップします。次の例を参照してください：

上記の構成によれば、ユーザーが global_users および marketingの両方の属性を渡した場合、 marketing が構成内で最も高いため、この属性がユーザーに適用され、残りの該当属性は無視されます。

代わりに、構成が global_users を最優先に設定されている場合、次のスクリーンショットに示されるように、ユーザーのアサーションに global_users, marketing, human resourcesが含まれ、 ITの両方の属性を渡した場合、 global_users が最優先であれば、基本ライセンスのみがアサートされます。

Zoom管理者はエディタ内の↑↓矢印を使用してマッピング値の編集時に適用順序を調整できます。

ウェビナーおよび大規模ミーティングのマッピングは共通の値を共有して両方のアドオンを適用できます

適用プロセスを簡素化するため、Zoom管理者は同じSAML属性と値を2回構成して、ユーザーにウェビナーおよび大規模ミーティングの両方のアドオンを適用できます。以下の画像の global_users 値のように。これらのアドオンは、望む場合は個別に構成することもできます（ webinar_only および large_meeting_only の値のように）。

ユーザーは1つのSAML値で複数のユーザーグループに追加できます

Zoom管理者は、1つのSAML値でユーザーを複数のグループに追加するようユーザーグループマッピングを構成できます。

最初に追加されたユーザーグループはユーザーのプライマリグループとして設定され、ユーザーのデフォルト設定を決定します 基になるグループに設定がロックされている場合を除き。ユーザーグループの詳細についてはサポート記事を参照してください。 サポート記事.

指定されたユーザーおよびユーザーグループは特定のSAMLマッピングの例外にできます

高度なSAMLマッピングのすべてのオプションは、特定のユーザーおよびユーザーグループをマッピング動作から除外するよう構成できます。これは、VIPユーザーがライセンス変更に起因するサービスの中断を回避するのに有益です。

自動マッピングは、値が以前にグループにマップされていない場合、主張されたSAML値に基づく名前のユーザー、チャンネル、またはIMグループにユーザーを自動的に割り当てます

自動マッピングは、主張されたSAML値に基づいて名前の付いたユーザーグループ、チャンネル、およびIMグループにユーザーを自動的に割り当てるために使用できます。他の高度なマッピングコンポーネントとは異なり、自動マッピングは常に正確なSAML値に基づいてユーザーをグループに割り当てます。グループが以前に存在しなかった場合は、自動的に作成されます。

例えば、自動マッピングが部門に基づいてユーザーをグループにマップするように設定されている場合、その部門の値がユーザーグループにまだ定義されていなければ、ユーザーは部門名と一致するグループに自動的に割り当てられます。以下の表のように：

Zoomは最大5つのカスタムSAML属性をサポートします

Zoom管理者は最大 5つ のカスタムSAML属性を 高度なユーザー管理 ページの下でZoomプロファイルにユーザーデータを追加するために構成できます。カスタムフィールドを追加した後、Zoom管理者は SAMLレスポンスマッピング ページでマッピングを構成できます。

ユーザーをサブアカウントにマップすると のみ ミーティングライセンスとアドオンを適用します

ユーザーをサブアカウントにマッピングすると、ミーティングライセンスやウェビナー、大規模ミーティングのようなアドオンのみがサブアカウントに適用されます。ユーザーグループ、IMグループ、ユーザーロール等は適用されず、サブアカウント内で構成する必要があります。

サブアカウントでのSAMLレスポンスマッピングの柔軟性を高めるには、サブアカウント内で固有のバニティURLおよび新しいSSO構成が必要になります。

SSOのトラブルシューティング

SAMLレスポンスログを使用したトラブルシューティング

保存されたSAMLレスポンスログは、構成やユーザーのエラー、ならびにSAMLレスポンスマッピング構成のトラブルシューティングにおいて非常に有用なツールとなります。SSO構成がSAMLレスポンスログの保存に設定されている場合、これらは以下からアクセスできます： SAMLレスポンスログ Advanced SettingsのSSO構成ページ内で利用可能なタブ。SAMLレスポンスログを表示するには、認証試行の横にある 詳細を表示 をクリックしてください。

ほとんどの認証はレスポンスログに表示されます

ほとんどの失敗または不成功の認証試行はレスポンスログページに表示されます。認証試行が表示されない場合、Zoomが識別プロバイダーからSAMLアサーションを受信していないか、SAMLレスポンスログの保存が無効になっている可能性が高いです。

レスポンスログは構成が不正確か証明書が期限切れかを示します

SAMLレスポンスログが有効な場合、識別プロバイダーの情報がZoomに主張され、各当事者の識別を行います。X509証明書やissuer IDのような主張された設定や情報の文字列がZoomの現在の構成と異なる場合、「現在のSSO設定と一致しません」というエラーが表示されます。Zoom管理者は、これらの主張された値が正しい場合、エラーを解決するためにSSO構成を更新できます。

レスポンスログはどのSAML値と属性が主張されているかを教えてくれます

レスポンスログの確認は、ユーザーが認証する際にどの属性と値が主張されているかを検証することで、SAMLレスポンスマッピング構成の解決に役立ちます。これらは構成と比較して属性と値が一致しているかを確認できます。

SAML属性や値が欠落している場合、その情報は識別プロバイダーによって主張されていません。この問題が発生しているユーザーは、さらなる支援のために識別プロバイダーのサポートに連絡することを推奨します。

レスポンスログには、失敗した場合はエラーコードと簡単な説明が含まれます

ユーザーが認証できないかエラーを受け取った場合、SAMLレスポンスログにはエラーコードとエラーの簡単な説明が含まれます。

ほとんどの問題はこれらのエラーメッセージを使って特定および解決できます。エラーを解決できない場合は、追加の支援を得るためにZoomサポートに連絡してください。

WEBトラッキングIDエラー

ユーザーがSSO認証に失敗すると、WEBトラッキングIDエラーコードが表示されます。これらのコードは特定の失敗に関連するエラーメッセージではなく、認証問題を特定するためにSAMLレスポンスマッピングで確認できる一意のログIDです。

エラーを特定するには、SAMLレスポンスのロギングが有効になっている場合、Advanced SettingsのSSO構成ページ内で利用可能な SAMLレスポンスログ タブに移動します。そこから、WEBトラッキングIDをTracking IDフィールドに入力して検索し、レスポンスログを表示します。

SAMLレスポンスログはSAMLアサーションとレスポンスの下部に表示されるエラーコードとメッセージを表示し、追加のトラブルシューティングに使用できます。

SCIMエラー

ユーザーが存在しないかこのアカウントに属していない

このエラーは、対象ユーザーのメールアドレスが既に存在するアカウントのためにプロビジョニングに失敗したときに発生します。Zoom管理者はユーザーに直接連絡し、手動でアカウントに招待することを推奨します。

有料ユーザーを追加できません

このエラーは、アカウントに十分なライセンスがない状態でSCIMがユーザーをプロビジョニングしようとしたときに発生します。エラーを解決するには、ユーザーをベーシックユーザーとしてプロビジョニングするか、プロビジョニング用にライセンスを用意する必要があります。

SCIMログを使用したユーザープロビジョニングのトラブルシューティング

Zoomは Zoom Marketplaceで最新の100件のAPIリクエストログを提供します。Zoom管理者はこれらのログを使用して、プロビジョニングAPIを通じてどの情報が送受信されているかを確認できます。ログにアクセスするには、Zoom管理者としてZoom Marketplaceにサインインし、 管理をクリックしてください。 次のページで、 の下で 通話ログ（Personal App Management）を選択します。そこから、エントリをクリックしてAPIログを展開し内容を確認します。

以下の画像は、ユーザーの識別情報とライセンス属性が参照用に強調表示されたSCIMユーザープロビジョニング要求の例を示しています。

SAMLレスポンスマッピングと同様に、Zoomはプロビジョニング要求で識別プロバイダーから送信された情報のみを適用できます。これらのログを使用して、識別プロバイダーからユーザーの識別情報およびライセンス属性が送信されていることを確認してください。これらのアサーションから期待される情報が欠落している場合は、識別プロバイダーにサポートを依頼してください。

データフローと認証

SAML認証

次の図は、Zoomでシングルサインオンセッションを開始するときのユーザーのSAML認証フローの詳細を示しています。

SSOウェブログイントークン

ユーザーがSAMLで認証した後、ユーザーのセッションはブラウザ内で構築され、

デフォルトで2時間の有効期間があります。ユーザーがZoomのウェブページをアクティブに使用し続けるとセッションは更新されますが、2時間ウェブページを使用しなかった場合、トークンは期限切れとなりユーザーは再認証が必要になります。Zoom管理者はこのアクティブセッションの長さを セキュリティ ページの「ユーザーは非アクティブ時に再度サインインが必要」と ウェブでの非アクティブ期間の設定（分）.

クライアントログイントークン

ユーザーがクライアント内でSSOを使用して認証を試みると、ユーザーのマシンはウェブブラウザを開き識別プロバイダーのログインページにリダイレクトします。ユーザーが認証すると、ユーザーのブラウザはZoomクライアント用の起動トークンを受け取ります。ユーザーが「開く」または「起動」ボタンをクリックすると、ブラウザは起動トークンとURLスキーマを組み合わせてZoomクライアントを開きます。

Zoomクライアントは起動トークンを使用してZoomサーバーからアクセス トークンとリフレッシュ トークンを取得します。クライアントはアクセス トークンを2時間ごとに使用し、有効期限が切れるとリフレッシュ トークンを使用して新しいトークンを取得し、これらはクライアントのローカルデータベースに保存されます。このリフレッシュプロセスはデフォルトで無制限で、ユーザーがサインアウトするかトークンが失効するまでトークンのサイクルを継続できます。Zoom管理者はセッション長を SSO設定 ページの下の 自動ログアウトを強制する.