このページの内容は機械翻訳です。Zoomは機械翻訳の正確性を保証しません。
Ctrlk
Zoom CommunityCustomer Support
For the complete documentation index, see llms.txt. This page is also available as Markdown.

SSOフィールドガイド

はじめに

シングルサインオン(SSO)をZoomと連携すると、管理者はユーザー管理や、アカウント管理を簡素化できるセキュリティオプションを利用できます。設定後、ユーザーはGoogleやFacebookの連携、またはZoomでの直接のユーザー名とパスワードといった別の認証方法を使用する代わりに、自社のIDプロバイダーに対して会社の認証情報を使用して認証します。

このドキュメントでは、トラブルシューティングやセキュリティ情報に加えて、Zoom内のSSO構成と設定の包括的な概要を提供します。

SSO 連携

SSOを開始するにはバニティURLが必要です

SSOを設定する前に、アカウントには承認済みのバニティURLが必要です。バニティURLが承認されると、Zoom管理者はウェブポータルの詳細オプションサブメニューから SSO設定 ページにアクセスできます。詳細については、 バニティURL に関するサポート記事を参照してください。

Zoom SSOは、任意のSAML 2.0 IDプロバイダーで動作します

Zoomは、SAML 2.0 認証をサポートする任意のIDプロバイダーと連携できます。連携手順として文書化されたガイドは多数ありますが、一部のIDプロバイダーはZoomとの連携に関するドキュメントを提供していません。設定手順を見つけられないアカウントは、詳細についてIDプロバイダーに問い合わせることをお勧めします。

Zoom管理者は、SAML応答マッピングまたはSCIM連携を通じて、ユーザープロファイル情報とライセンスを管理できます

管理者は、IDプロバイダーで利用可能な機能に応じて、SAML応答マッピングまたはSystem for Cross-Domain Identity Management(SCIM)のAPIリクエストを通じて、ユーザープロファイル情報とライセンスを管理できます。どちらのユーザー管理方法も、プロフィール情報のマッピングとライセンス管理についてほぼ同等の機能を提供しますが、一部のSCIMマッピングでは手動設定が必要です。

SCIM機能の包括的な一覧については、 SCIM APIドキュメント.

Zoom管理者はSCIMを通じてユーザーのアカウント状態を管理できますが、SAMLではできません

SCIMではIDプロバイダーがいつでもZoomと直接通信できるため、ユーザーアカウントは アクティブ化, 非アクティブ化, 作成、または 削除 をSCIM連携によって自動的に行うことができます。たとえば、ユーザーのActive Directory内のアカウントが無効化された場合や、そのユーザーにアプリケーションの割り当てが解除された場合、SCIMはZoom内のそのユーザーのアカウントに対して自動的に非アクティブ化リクエストを送信できます。この機能はIDプロバイダーのSCIMアプリケーションの性能に依存しており、機能はプロバイダーによって異なる場合があります。

Zoom向けにSCIMを提供しているIDプロバイダーは限られています

多くのIDプロバイダーは、サービスの一部としてZoom向けに構築されたSCIM連携を備えていません。ZoomでSCIMをサポートしていないIDプロバイダーを使用しているアカウントは、自動化されたユーザー管理のためにSAML応答マッピングを使用する必要があります。

SCIMでは、ユーザーを自動的にプロビジョニングするために関連ドメインが必要です

SSOのためにユーザーの管理およびプロビジョニングにSCIMを使用するアカウントは、 必ず メールドメインをZoomに関連付ける必要があります。ドメインの関連付けに失敗すると、ユーザープロビジョニングが失敗します。手順の詳細については、 関連ドメイン に関するサポート記事を参照してください。

以下のSSO連携は文書化されています

Zoomのヒント

ProviderまたはZoom Documentation列の✔をクリックすると、手順が新しいウィンドウで開きます。

プロバイダーのドキュメント
Zoomドキュメント
SCIMをサポート

auth0

ADFS

AD同期ツール

Clever

CyberArk

Duo

Entra ID(旧Azure)

Google

JumpCloud

miniOrange

Okta

OneLogin

Ping Identity

Shibboleth

オンプレミスのActive Directoryでは、SCIMの代わりにAD同期ツールを使用できます

SCIMによるユーザーのプロビジョニングを自動化したいが、クラウドベースのIDプロバイダーを持たないアカウントは、ユーザー管理のためにZoomが開発したActive Directory (AD) 同期ツールアプリケーションを使用できます。このアプリケーションはOracle JDK 8上で動作し、APIコマンドを使用してユーザーを管理することでSCIMプロビジョニングをシミュレートします。詳細は、次のサポート記事を参照してください。 AD同期ツール に関するサポート記事を参照してください。

Zoomの推奨事項

AD同期ツールは、ユーザー管理のために正確な設定を必要とします。本格導入の前に、サービスの中断を避けるため、ツールの設定を十分にテストし、レビューする必要があります。

IDプロバイダーは、Zoomアカウントを持っていないミーティング参加者でも認証できます

ユーザーに本人認証を必須にしたいが、Zoomアカウントは提供したくないアカウントは、IDプロバイダーで外部認証プロファイルを設定できます。ミーティングで有効にすると、参加しようとするユーザーは、アクセス権を得るために自分のログイン資格情報をIDプロバイダーに対して認証する必要があります。これは、すべての学生にアカウントを提供しない一方で、授業参加には認証を求める学校でよく使われる設定です。詳細は、次のサポート記事を参照してください。 外部認証の設定 に関するサポート記事を参照してください。

IDプロバイダーを変更する場合は、Zoom内のSSOを再設定する必要があります

IDプロバイダーを変更するアカウントは、Zoom内でSSOの設定をやり直す必要があります。これには、新しいIDプロバイダーに合わせるために、設定ページ内のすべてのフィールドを更新することが含まれます。新しいIDプロバイダーに切り替えてもSAMLレスポンスのマッピングが変わらないことを確認するよう推奨します。

その後さらに変更がない限り、追加の設定や変更は必要ありません。

サブアカウントを持つお客様は、マスターアカウントまたはサブアカウントからSSOを設定できます

サブアカウントを持つお客様には、SSOを設定するための2つの選択肢があります。

  1. すべてのユーザーはマスターアカウントのバニティURLを使って認証し、高度なSAMLマッピング(一部のマッピング制限が適用されます)によって自動的にサブアカウントにログインします。あるいは

  2. 各サブアカウントには固有のバニティURLと独立したSSO設定があり、そのサブアカウントのメンバーだけが使用します

それぞれの設定には固有の利点がありますが、2つ目の選択肢が最も柔軟です。どちらの設定を導入するか検討しているお客様は、どちらの設定が要件に最も適しているかをアカウントチームと相談してください。

SSO設定とセキュリティ

Zoomの管理者は、ZoomとのSSO連携を設定する際に、自社の組織に最適なセキュリティと設定オプションを選択できます。このセクションでは、これらの設定とSSO連携への影響について説明します。

SSO連携設定の例。

Zoomは、署名付きのログインおよびログアウトSAMLリクエストをサポートしています

追加のサービスプロバイダー認証を必要とするZoomの管理者は、すべてのログインおよびログアウトリクエストに署名するようZoomを設定して、IDプロバイダーに送信できます。

この設定を使用するアカウントは、IDプロバイダーが動的なメタデータ更新をサポートしていない場合、証明書のローテーションが必要になることがあります。詳細は、次のサポート記事を参照してください。 証明書ローテーション に関するサポート記事を参照してください。

Zoomは、認証時に暗号化されたSAMLアサーションをサポートしています

Zoomの管理者は、認証時に暗号化されたアサーションをサポートするようZoomを設定できます。この設定を有効にすると、暗号化されていないアサーションは破棄されます。この設定を使用するアカウントは、IDプロバイダーが動的なメタデータ更新をサポートしていない場合、SSO証明書のローテーションが必要になることがあります。詳細は、次のサポート記事を参照してください。 証明書ローテーション に関するサポート記事を参照してください。

Zoomの管理者は、一定時間経過後の自動ログアウトを強制できます

Zoomの管理者は、設定した時間の経過後にアクティブなセッションからユーザーを自動的にログアウトするようZoomを設定できます。時間は15分から180日までカスタマイズ可能です。この処理では、トークン生成時にZoomアクセス トークンの有効期限が事前に設定した時間に設定されます。このトークンはIDプロバイダーとは関係がなく、Zoomに固有のものです。

SAMLレスポンスログはトラブルシューティングのために保存できます

Zoomは、認証後7日間、認証試行時のSAMLレスポンスログを保存できます。これらのレスポンスログは、SAMLレスポンスのマッピング設定に加えて、設定やユーザーのエラーをトラブルシューティングするうえで非常に役立つツールです。次の項目を確認してください。 SAMLレスポンスログを使用したエラーのトラブルシューティング に関するサポート記事を参照してください。

Zoomの推奨事項

トラブルシューティングを容易にするために、SAMLレスポンスログの保存を有効にしてください。

サインイン時のプロビジョニングは、アカウントを即座に作成でき、最も簡単なプロビジョニング方法です

SSOがプロビジョニングされるよう設定されている場合 サインイン時 (ジャストインタイムプロビジョニングとも呼ばれます)、IDプロバイダー内の認可されたユーザーは誰でもZoomに認証できます。既存のアカウントを持たないユーザーは、サインイン時に即座にアカウントが作成されます。

サインイン時のプロビジョニングでは、事前にユーザーを作成する必要がなく、認証時にユーザーがアカウントを作成できるため、企業へのZoom展開を簡素化できます。SAMLレスポンスのマッピングと組み合わせることで、ユーザープロファイル全体とライセンスがユーザーの最初の認証から数秒以内に利用可能になります。

さらに、サインイン時のプロビジョニングでは、既存のアカウントに対してSSOログインタイプを動的に作成できます。ユーザーがユーザー名とパスワードを持つ既存のZoomアカウントを持っている場合、この設定でサインインするとSSOログインタイプが作成されます。

サインイン前のプロビジョニングでは、SSOログインタイプが作成済みのアカウントが必要です

SSOのためのユーザーのプロビジョニング サインイン前に では、認証するユーザーに 両方とも 既存のZoomアカウントがあり、さらにそのアカウントにSSOログインタイプが作成されていることが必要です。この種のプロビジョニングは、アカウント作成プロセスが自動化されているためSCIMプロビジョニングと組み合わせられることが多いですが、SCIM専用ではありません。関連ドメインまたは直接招待によって会社アカウントに統合されたZoomユーザーは、SSOログインタイプを持っていない可能性が高いです。

Zoomの管理者は、ユーザーアカウントを次の場所で表示することで、アカウントにSSOログインタイプがあるかどうかを確認できます。 ユーザー管理 ウェブポータル内のページで、ユーザーのメールの下にある「SSO」アイコンを探します。

ユーザーのメールの下にあるSSOアイコンの位置情報。

アイコンが提示されている場合、ユーザーは SSO 用にプロビジョニングされます。アイコンがない場合、事前プロビジョニングが有効になっている間は、それが追加されるまで、ユーザーは SSO 経由でサインインできません。Zoom の管理者は、CSV ファイルを使ってユーザーを一括追加し、「SSO User」オプションを選択することで、このログイン タイプを追加できます。または、「Provision at Sign-in」が有効になっている間に、ユーザーが 認証 するようにできます。

一括アップロード用のSSOユーザーオプションを示す例。

Zoomの推奨事項

ユーザーがサインインできなくなることを阻止するため、アカウントでSSOを最初に設定するときは、サインイン時のプロビジョニングを使用してください。ユーザーが事前プロビジョニング済みであり、事前プロビジョニングの方法が整っていることを確認できたら、必要に応じて事前プロビジョニングに切り替えてください。

SSO認証を適用するには、ドメインが関連付けられ、管理されている必要があります

Zoom 管理者は SSO 認証を強制できます のみ メールドメインが Zoom 内で関連付けられ、管理されている場合。これを有効にすると、会社のドメインを使用して認証するすべてのユーザーは、プラットフォームに関係なく、自動的にアイデンティティプロバイダーの認証ページにリダイレクトされます。

ドメインが承認され、管理されると、Zoom管理者はアカウントのSSO認証を適用できます セキュリティページ の下 サインイン方法。詳細については、サポート記事を参照してください 関連ドメイン ドメインの関連付けと管理の詳細については、こちらをご覧ください。

指定されたユーザーは、強制されたSSO認証の対象外にできます

Zoom管理者は、特定のユーザーを強制されたSSO認証の対象外にできます。特定のユーザー(たとえば管理者アカウント)を対象外にすることは、SSO構成が壊れた場合やアカウント管理者がZoomアカウントへのSSO以外のアクセスを必要とする場合に役立ちます。対象外の管理者は、アカウントのロックアウトまたはSSO構成の破損が発生した場合、いつでもadmin.zoom.usにサインインできます(ユーザーはスタンダード 管理者 ロールを持っている必要があります)。Zoom管理者がアカウントにアクセスできない場合は、Zoomサポートに連絡して支援を受ける必要があります。

ユーザー例外を有効にするには、アカウントに移動します セキュリティページ Webポータルの詳細オプションで、強制ドメインの一覧を見つけ、編集リストから例外を追加します。

SSOのドメイン一覧の例。

モバイルおよびデスクトップのクライアントは、ユーザーにSSO認証の使用を必須にするよう設定できます

Zoomクライアントは、自動ログイン、自動ログアウト、デバイス上でのSSOのみの認証など、SSO機能を自動化するよう事前設定できます。これは、グループ ポリシー、モバイル デバイス管理(MDM)サービス、および一括展開クライアントを通じて行えます。

構成の可能性をすべて一覧で確認するには、次の構成オプションをご参照ください グループ ポリシー, iOS, Android, Mac および Windows.

Office 365ユーザーは、SSO認証情報を使用してOutlook向けZoomアドインに自動的にサインインできます

Office 365を使用するお客様の声は、SSO認証情報を使用してユーザーをOutlook向けZoomアドインに自動的にサインインさせることができます。これは、 カスタムアドインマニフェスト がアカウントのバニティURLを事前入力し、ユーザーにシームレスな認証体験を提供するものです。この機能は、ユーザーのSSOセッション トークンがアクティブな場合はそれを使用し、アクティブなセッションが見つからない場合は、IDプロバイダーで新しい認証を求めます。

Zoom管理者は、アカウントの次の場所でこの設定を有効にできます セキュリティページ の下の 詳細設定 メニュー。

OutlookアドインでのSSOに関する管理者設定の例。

SAMLレスポンスマッピング

SAML属性は、SAMLの値によって定義されるデータのカテゴリであり、アイデンティティプロバイダーからZoomのようなサービスプロバイダーへ情報を渡すために使用されます。属性と値のマッピングは、ユーザープロフィール情報の自動化やユーザーライセンスの管理に不可欠です。

SAMLレスポンスマッピングは2つに分かれます: 基本 および 詳細設定。ベーシックマッピングは、名前、電話番号、部署などの基本的なプロフィール情報をマッピングするために使用されます。高度なマッピングは、動的なライセンス割り当て、ユーザーグループ、ユーザーロールなどの割り当てを管理するために使用されます。

このセクションでは、SAMLレスポンスマッピングの基礎、ベーシックおよび高度なSAMLレスポンスマッピングを扱い、一部の機能で必要となる固有の条件を示します。

基礎: SAML属性と値

ほとんどのアイデンティティプロバイダーは、基本的なプロフィール情報をプレーンな属性名と値を使って渡します。たとえば、従業員の部署は、departmentという属性とHuman Resourcesという値を持つSAMLとして送られる場合があります。次の表は、ユーザーに関する情報を渡す際の属性と値の関係を示しています。

SAML属性
SAML値

John

Smith

メール

john.smith@companydomain.com

部署

人事

SAML属性をレスポンスマッピングに正しく割り当てることで、ユーザー情報をユーザープロフィールに自動適用し、アカウント作成と管理のプロセスを簡素化できます。

基本マッピング: プロフィール情報

SAML基本情報マッピングは、ディレクトリから名、姓、部署、電話番号、コストセンター、位置情報などのプロフィール情報をユーザープロフィールに適用するために使用されます。これらのカテゴリの多くは自明で、簡単に設定できますが、いくつかのカテゴリは、予期しない結果やアプリケーションエラーを防ぐために、適切な設定の説明が必要です。以下のセクションでは、基本マッピングの独自のマッピングオプションと設定を紹介します。詳しくは、 基本SAMLマッピングの記事 で、サポートされている属性の完全な一覧をご確認ください。

デフォルトのライセンスタイプは 新規ユーザー

にのみ適用されます 新規の SAML経由でアカウント内にプロビジョニングされるユーザーすべてに、指定されたライセンスが適用されます。これは、2回目の認証を行うユーザー、以前のアカウントからこのアカウントに統合されたユーザー、SCIM経由でプロビジョニングされたユーザー、または手動で招待されたユーザーには適用されません。

については 更新 の認証によるユーザーライセンスの更新については、 高度なSAMLマッピング.

のデフォルトライセンスタイプが なし に設定されている場合、ライセンスを割り当てるよう高度なマッピングが設定されていない限り、新規ユーザーは認証できません

Zoomユーザーは、Zoomサービスにログインするために割り当て済みのライセンスタイプ(ベーシック、ライセンスユーザー、またはオンプレミス)を持っている必要があります。デフォルトのライセンスタイプとして「なし」を選択した場合、以下を通じてライセンスを受け取る場合を除き、新規ユーザーはサインインしたり新しいアカウントを作成したりできません 高度なSAMLマッピング.

特に指定がない限り、ほとんどの基本マッピングはログイン時に再適用されます

デフォルトでは、ほとんどの基本SAMLマッピングはユーザーがサインインするたびに更新されますが、 ただし 名、姓、表示名、電話番号は例外です。デフォルトでは、これら4つのマッピングはユーザーが最初に認証したときにのみ適用され、その後ユーザーまたは管理者によって更新されても再適用されません。Zoom管理者は、SAMLレスポンスマッピングページで SSOログインごとに更新 オプションを有効にすることで、この動作を変更できます。

SSOログインごとに更新オプションの例。

電話番号のマッピングには、米国以外の場合は国番号と市外局番を含める必要があります

SAMLでマッピングされる電話番号には、可能であればSAMLアサーション内にユーザーの国番号と市外局番を含める必要があります。Zoomは、既定では定義されていない場合、国番号を+1として扱います。

ディレクトリ内で国番号を保持しないアカウントは、必要に応じて、アイデンティティプロバイダー内でSAMLアサーションを編集し、これらを自動的に含めることができます。

各ユーザーのプロフィールには、最大3つの電話番号と1つのFAX番号をマッピングできます

Zoom管理者は、各ユーザーに対して最大3つの別々の電話番号と1つのFAX番号のマッピングを設定できます。各電話番号は一意でなければならず、他のフィールドの値と重複できません。

各ユーザーの電話番号オプションの例。

プロフィール画像は、公開アクセス可能なURLからマッピングするか、Base64でエンコードする必要があります

ディレクトリからプロフィール画像をマッピングしたいアカウントは、画像を公開アクセス可能なURLを使用してマッピングするか、アサート時に画像をBase64でエンコードする必要があります。

従業員一意ID

従業員一意IDは、Zoomがユーザーを識別するために使用する主識別子を変更します

この 従業員一意ID は、アイデンティティ管理を支援するためにZoomが提供する機能です。既定では、Zoomユーザーの主な識別はその メール アドレスです。これは、仕事用メールアドレスのログインタイプが john.smith@company.comの場合、Zoomは常にこのメールアドレスでこのユーザーを識別することを意味します。この識別子により、SSOやFacebook、Google OAuthアカウントなどの統合がユーザーを同じZoomアカウントに関連付けられます。

ただし、この識別プロセスは、ユーザーの名前やメールが変更された場合に問題になることがあります。たとえば、もし john.smith@company.com 〜へのメール変更があります jonathan.smith@company.com、Zoom はこれらが同一人物であると安全に判定できません(基本の識別子が異なるため)ので、Zoom は最初のときに新しいアカウントを作成します jonathan.smith@company.com ログインします。

この問題を簡素化するために、Zoom は一意の従業員ID機能を提供しており、これによりユーザーの主要な識別子がメールアドレスから確立された一意のIDに変更されます。 これはユーザーの Zoom ユーザー名を変更しません、しかしその代わりに代替の識別属性を提供します。この変更により、以下の場合に Zoom 内でユーザーのメールアドレスを動的に更新できるようになります:

  • a 新規 メールアドレスには既知の一意の従業員IDが付随していること。

  • 影響を受けるユーザーのメールドメインがZoom内で関連付けられていること

たとえば、 john.smith@company.com が認証され、従業員一意ID属性に対してSAML値12345(その人の従業員番号)を渡した場合、Zoomは今後、アサートされた値によってアカウント内のユーザーを識別します。Johnが再度、メールを使用して認証した場合、 jonathan.smith@company.com 従業員一意ID 12345を引き続き渡している間、Zoomはjohn.smith@company.comが現在 jonathan.smith@company.com であり、ドメインが関連付けられている場合はアカウント内のユーザーのメールを動的に更新します。

ID管理者は、 確信している このカテゴリのSAMLマッピングを確立する前に、同じ従業員一意ID値で重複する2人のユーザーがいないことを。同じ値を渡す別のユーザーが認証すると、メールは再び新しいユーザーに更新され、ユーザー向けサービスと体験に重大な混乱を引き起こす可能性があります。

従業員一意ID機能では、ユーザーのメールを変更するために関連ドメインが必要です

従業員固有ID機能では、メールドメインが正式にあなたのアカウントプロファイルに関連付けられていない限り、ユーザーのメールアドレスを更新できません。に関する当社のサポート記事を参照してください 関連ドメイン に関するサポート記事を参照してください。

管理者とオーナーは、従業員固有IDを通じて自分のメールを更新できません

Zoom内の管理者およびオーナーのメールは、従業員固有ID機能を通じて更新できません。これは、不正アクセスを阻止するためのセキュリティ対策として意図されています。管理者とオーナーは、プロファイルページから自分のメールを変更する必要があります。

ユーザーのメールは、従業員固有IDを通じて1日1回しか更新できません

ユーザーのメールは、従業員固有ID機能を通じて24時間ごとに1回しか更新できません。ユーザーは、前回の更新から丸1カレンダー日待ってから、SSOを通じて再度メールを更新する必要があります。

ユーザーのメールを更新するためのフロー例の図。

SAML属性を<NameID>に設定すると、ユーザーのアサートされたNameIDが使用されます

従業員固有IDのSAML属性を次にマッピングする <NameID> を指定すると、ユーザーのアサートされたNameID値がその一意の識別子として自動的に使用されます。これは、IDプロバイダーがユーザーのメール以外のNameID(たとえば、変更されないUser Principal Name(UPN)や同様の値)をアサートする場合に有用なツールとなることがあります。ユーザーのNameIDがそのメールと一致する場合は、この値を使用しないでください。

<NameID> 管理者設定の例。

高度なマッピング: ライセンス、アドオン、およびアクセス

SAML 高度な情報マッピング セクションでは、ユーザーが認証すると、ライセンス(Zoom Phone を含む)、アドオン、およびユーザー アクセス グループを動的に適用できます。ベーシック マッピングとは異なり、高度なマッピングには多くの нюances があり、環境の複雑さによっては設定時に細心の注意が必要になることがあります。このセクションでは、高度な SAML マッピングを設定する際の нюances を説明します。詳しくは、次の 高度な SAML マッピングの記事 で、サポートされている属性の完全な一覧をご確認ください。

高度なマッピングは、ユーザーが認証するたびに適用されます

一部のカテゴリにオプションの更新があるベーシック マッピングとは異なり、高度なマッピングの設定は、適用の上から下への順序に従って、ユーザーが認証するたびに適用されます。

たとえば、ユーザーがベーシック ライセンスを持っていて、その後 SSO を通じて認証し、完全ライセンスの付与にマップされた SAML 属性と値を渡した場合、ユーザーにはただちに完全ライセンスが付与されます。その後、ID プロバイダー内でユーザーのプロファイルが変更され、ベーシック ライセンスに戻された場合でも、Zoom で再認証するとベーシック ライセンスが再割り当てされます。

高度なマッピングでは、カテゴリごとに複数の SAML 属性と値を使用できます

カテゴリごとに 1 つの SAML 属性しか許可しないベーシック マッピングとは異なり、高度なマッピングでは各カテゴリに対して複数の属性と値をサポートできます。これにより、次の構成に見られるように、ID プロバイダー内のセキュリティ グループを通じてユーザーのライセンスとアクセスを管理する際に、大きな柔軟性が得られます。

SAML の属性マッピングの例。

Zoomのヒント

SAML属性はアイデンティティ プロバイダーによって異なる場合があり、特にセキュリティ グループでそうです。アイデンティティ プロバイダーに確認するか、または SAMLレスポンスログ SAML属性がどのようにアサートされるか。

複数の属性がアサートされる場合、アドバンスド マッピングは上から順にライセンスを適用します

ユーザーがアドバンスド SAMLマッピング用に設定された複数のSAML属性または値を渡すと、Zoomは上から順にライセンスをマップします。次の例を参照してください:

管理者設定でのライセンス種別の選択例。

上記の構成に従うと、ユーザーが両方について属性を渡した場合 global_users および marketing、なぜなら marketing 構成で最も高い場合、この属性はユーザーに適用され、残りの適用可能な属性は無視されます。

あるいは、構成が次のように設定されている場合 global_users が最も高い場合、次のスクリーンショットに示すように、ユーザーのアサーションに global_users, marketing, human resources、および IT、なぜなら global_users が最優先の場合、ベーシック ライセンスのみがアサートされます。

優先順位の順序を調整する例

Zoom 管理者は、エディター内の ↑↓ 矢印を使用してマッピング値を編集する際に、アプリケーションの順序を調整できます。

Zoomの推奨事項

高度な設定を、最も具体的なものから最も一般的なものへと設定することで、ライセンスの誤適用を阻止する。

ウェビナーと大規模ミーティングのマッピングは、両方のアドオンに適用するために共通の値を共有できます

アプリケーション処理を簡素化するために、Zoomの管理者は同じSAML属性と値を2回設定することで、ユーザーにウェビナーと大規模ミーティングの両方の追加オプションを適用できます。以下の画像で示されているように、 global_users 値。これらの追加機能は、必要に応じて個別に設定することもできます。これは、 ウェビナー_only および large_ミーティング_only 値。

large_ミーティング_only と ウェビナー_only の SAML 属性の例。

1つのSAML値を使用して、ユーザーを複数のユーザーグループに追加できます

Zoom 管理者は、1つの SAML 値でユーザーを複数のグループに追加するために、ユーザー グループ マッピングを設定することができます。

最初に追加されたユーザー グループは、ユーザーのプライマリ グループとして設定され、ユーザーのデフォルト設定を決定します ただし、基盤となるグループにロックされた設定がある場合は除きます。ユーザー グループの詳細については、当社の サポート記事.

複数のユーザー グループ マッピングの例。

指定されたユーザーとユーザー グループは、特定のSAMLマッピングから除外できます

Advanced SAML Mapping の下にあるすべてのオプションは、特定のユーザーとユーザー グループをマッピング動作から除外するように設定できます。これは、ライセンスの変更の可能性によるサービス中断からVIPユーザーを保護するのに役立ちます。

ユーザー除外の例。

Auto Mapping は、値が以前にグループにマッピングされていない場合、申告されたSAML値にちなんで名付けられたユーザー、チャネル、またはIMグループにユーザーを自動的に割り当てます

Auto Mapping は、申告されたSAML値にちなんで名付けられたユーザー グループ、チャネル、IMグループにユーザーを自動的に割り当てるために使用できます。SAML値に基づいてユーザーを任意のグループに割り当てるように設定できる他の高度なマッピング コンポーネントとは異なり、Auto Mapping は常に正確なSAML値に基づいてユーザーをグループに割り当てます。グループが以前に存在しなかった場合は、自動的に作成されます。

SAML 自動マッピングの例。

たとえば、自動マッピングが部署に基づいてユーザーをグループにマッピングするよう設定されている場合、その部署の値がユーザー グループ、チャネル、または IM グループにまだ定義されていなければ、ユーザーは次の表に示すように、その部署名に一致するグループに自動的に割り当てられます。

SAML属性
SAML値
Zoom グループはすでに存在しますか?
結果

部署

人事

はい

ユーザーは人事グループに追加されます

部署

マーケティング

はい

ユーザーはマーケティング グループに追加されます

部署

営業

いいえ

営業グループが作成され、ユーザーが営業グループに追加されました

Zoom は最大 5 つのカスタム SAML 属性をサポートしています

Zoom 管理者は最大で設定することができます 5 ユーザーデータを Zoom プロフィールに追加するためのカスタム SAML 属性を、 高度なユーザー管理 ページで設定します。カスタムフィールドを追加した後、Zoom 管理者は SAMLレスポンスマッピング ページでマッピングを設定できます。

カスタム SAML 属性の例

ユーザーをサブアカウントにマッピングすると のみ ミーティングライセンスとアドオンが適用されます

ユーザーをサブアカウントにマッピングすると、そのユーザーのミーティングライセンスと、WebinarやLarge Meetingsなどのアドオンのみがサブアカウントに適用されます。ユーザーグループ、IMグループ、ユーザーロールなどは適用されず、サブアカウント内で設定する必要があります。

サブアカウントでのSAMLレスポンスマッピングにさらに柔軟性を必要とするお客様には、サブアカウント内で一意のバニティURLと新しいSSO設定が必要です。

SSOのトラブルシューティング

SAMLレスポンスログを使用したトラブルシューティング

保存されたSAMLレスポンスログは、SAMLレスポンスマッピングの設定に加えて、設定やユーザーのエラーをトラブルシューティングするうえで非常に有用なツールになります。SSO設定でSAMLレスポンスログを保存するように設定されている場合、次の場所からアクセスできます。 SAMLレスポンスログ 詳細設定のSSO設定ページ内にあるタブです。SAMLレスポンスログを表示するには、 詳細を表示 を認証試行の横でクリックします。

ほとんどの認証はレスポンスログに表示されます

失敗した、または成功しなかった認証試行のほとんどは、レスポンスログページに表示されます。認証試行が表示されない場合、ZoomがアイデンティティプロバイダーからSAMLアサーションを受信していないか、SAMLレスポンスログの保存が無効になっている可能性が高いです。

レスポンスログで、設定が正しくないか証明書が古いかを確認できます

SAMLレスポンスログが有効な場合、各当事者のIDを認証するために、アイデンティティプロバイダーの情報がZoomにアサートされます。X509証明書や発行者IDのようなアサートされた設定や文字列情報がZoomの現在の設定と異なる場合、「現在のSSO設定と一致しません」と案内するエラーが表示されます。Zoom管理者は、これらのアサートされた値が正しい場合、SSO設定を更新して一致させることでエラーを解決できます。

設定が正しくない場合の警告の例。

レスポンスログでは、どのSAML値と属性がアサートされているかがわかります

レスポンスログを確認すると、ユーザーが認証時にどの属性と値をアサートしているかを検証できるため、SAMLレスポンスマッピングの設定の解決に役立ちます。これらは設定と比較して、属性と値が一致していることを確認できます。

アイデンティティプロバイダーサービスによって情報がアサートされている例。

SAML属性または値が欠落している場合、その情報はアイデンティティプロバイダーサービスによってアサートされていません。この問題が発生しているユーザーには、より詳しい支援のためにアイデンティティプロバイダーのサポートサービスへ連絡することを推奨します。

失敗した場合、レスポンスログにはエラーコードと簡単な説明が含まれます

ユーザーが認証できない場合、またはエラーを受け取った場合、SAMLレスポンスログにはエラーコードとその簡単な説明が含まれます。

エラーコードと説明の例。

ほとんどの問題は、これらのエラーメッセージを使用することで特定して解決できます。エラーを解決できない場合は、追加の支援についてZoomサポートにお問い合わせください。

WebトラッキングIDエラー

ユーザーがSSO認証に失敗すると、WEBトラッキングIDのエラーコードが表示されます。これらのコードは特定の失敗に関連するエラーメッセージではなく、SAMLレスポンスマッピングで認証問題を特定するために確認できる一意のログIDです。

WEBトラッキングIDエラーコードを含むユーザー向けエラーの例。

エラーを特定するには、SAMLレスポンスのログ記録が有効な場合、 SAMLレスポンスログ 詳細設定のSSO設定ページ内にあるタブに移動します。そこから、WEBトラッキングIDをトラッキングIDフィールドに入力して検索し、レスポンスログを表示します

前述のWEBトラッキングIDエラーコードを使用してSAMLレスポンスログを検索する例。

SAMLレスポンスログには、SAMLアサーションと、追加のトラブルシューティングに使用できるレスポンス下部のエラーコードおよびメッセージが表示されるはずです。

SCIMエラー

ユーザーが存在しない、またはこのアカウントに属していません

このエラーは、対象ユーザーのメールアドレスが既存のアカウントのためにプロビジョニングに失敗したときに発生します。Zoom管理者はユーザーに直接連絡し、そのアカウントに手動で招待することを推奨します。

プロビジョニングエラーの例。

有料ユーザーは追加できません

このエラーは、アカウントのライセンスが不足している状態でSCIMがユーザーをプロビジョニングしようとしたときに発生します。エラーを解決するには、ユーザーをベーシックユーザーとしてプロビジョニングするか、プロビジョニングに使用できるライセンスを用意する必要があります。

SCIMログを使用したユーザープロビジョニングのトラブルシューティング

Zoomは、 Zoom Marketplaceに最新の100件のAPIリクエストログを提供しています。Zoom管理者はこれらのログを使用して、プロビジョニングAPIを通じて送受信されている情報を確認できます。ログにアクセスするには、Zoom管理者としてZoom Marketplaceにサインインし、 管理をクリックします。次のページで、 通話ログ の下 個人用アプリ管理を選択します。そこからエントリをクリックするとAPIログが展開され、内容を確認できます。

次の画像は、SCIMユーザープロビジョニング要求の例で、ユーザーのIDとライセンス属性が参考用に強調表示されています。

SCIMユーザープロビジョニング要求の例。

SAMLレスポンスマッピングと同様に、Zoomはプロビジョニング要求でアイデンティティプロバイダーから送信された情報のみを適用できます。これらのログを使用して、ユーザーIDとライセンス属性がアイデンティティプロバイダーから送信されていることを確認してください。これらのアサーションに期待した情報が含まれていない場合は、アイデンティティプロバイダーにサポートを依頼してください。

データフローと認証

SAML 認証

次の図は、ユーザーが Zoom でシングルサインオン(SSO)セッションを開始したときの SAML 認証フローの詳細を示しています。

SAML 認証フローの例の図。

SSO Web ログイン トークン

ユーザーが SAML を通じて認証すると、ユーザーのセッションはブラウザ内で構築され、

デフォルトで2時間の有効期間があります。ユーザーが Zoom の Web ページを継続してアクティブに使用している場合、セッションは更新されます。ただし、ユーザーが2時間 Web ページを使用しない場合、トークンは期限切れになり、ユーザーは再認証する必要があります。Zoom 管理者は、 セキュリティ ページの「一定期間操作がない場合はユーザーに再度サインインを求める」と Web での非アクティブ期間を設定する(分).

クライアント ログイン トークン

ユーザーがクライアント内で SSO を介して認証しようとすると、ユーザーのマシンは Web ブラウザを開き、ID プロバイダーのログイン ページにリダイレクトします。ユーザーが認証すると、ユーザーのブラウザに Zoom クライアント起動トークンが届きます。ユーザーが「開く」または「起動」ボタンをクリックすると、ブラウザは URL スキーマと起動トークンを組み合わせて Zoom クライアントを開きます。

Zoom クライアントは起動トークンを使用して、Zoom サーバーからアクセス トークンと更新トークンを取得します。クライアントはアクセス トークンを一度に2時間使用し、期限切れになると更新トークンを使用して新しいトークンのセットを取得します。これらはクライアントのローカル データベースに保存されます。この更新プロセスはデフォルトで無制限であり、ユーザーがサインアウトするかトークンが期限切れになるまで、トークンを継続的に循環させることができます。Zoom 管理者は、 SSO 設定 ページの 自動ログアウトを強制する.

最終更新

役に立ちましたか?