この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
標準構成では、ユーザのサインイン名とパスワードは、企業または組織で使用されている認証資格情報とは無関係です。そのため、ユーザは別の一連のサインイン資格情報を覚える必要があります。また、組織管理者は別の一連のユーザ アカウントを管理する必要があります。
シングル サインオンを採用している企業は、社内のシングル サインオン システムを使用して、Cisco WebEx 管理の管理を簡素化できます。シングル サインオンにより、ユーザは自社のサインイン資格情報を使用してアプリケーションに安全にサインインできます。ユーザのサインイン資格情報は Cisco WebEx に送信されないため、ユーザの会社のサインイン情報は保護されます。
シングル サインオン設定オプションを設定すると、ユーザの初回サインイン時にユーザ アカウントが自動的に作成されます。シングル サインオンを使用すると、会社のサインイン アカウントが非アクティブ化されている場合に、ユーザが Cisco WebEx アプリケーションにアクセスするのを防ぐこともできます。
Cisco WebEx アプリケーションは、業界標準のセキュリティ アサーション マークアップ言語(SAML2)および WS-Federation プロトコルに基づくシングル サインオン システムをサポートします。
Cisco WebEx サービスの 1 つの目的は、組織のユーザ アイデンティティを包括的に管理することです。ユーザ アイデンティティの管理には、認証と認可のための安全な機能の提供が含まれます。これらの機能は、組織内のユーザ ロールとグループ関係に基づいた使い勝手を高め、ポリシー制御を容易にします。
SAML2(セキュリティ アサーション マークアップ言語)および WS フェデレーションなどのフェデレーテッド シングル サインオン標準は、そのような安全な認証機能を提供しています。SAML 対応のアイデンティティ管理システムは、Cisco WebEx サービスに SAML アサーションを送信します。SAML アサーションは、情報カテゴリに関する信頼されたステートメントが記述された XML ドキュメントです。通常、これらの信頼されたステートメントには、ユーザ名、電子メール、およびその他のプロファイル情報などの情報が含まれます。信頼性を確保するために、SAML アサーションはデジタル署名されます。
通常、企業はユーザ アイデンティティの管理のためにフェデレーテッド ID と Access Management System(IAM)を展開しています。これらの IAM システムは、ユーザ アイデンティティ管理アクティビティに SAML および WS フェデレーション標準を使用します。より優れたエンタープライズクラスの IAM システムには、CA SiteMinder、Ping Federate、および Windows Active Directory Federation Services(ADFS)などがあります。これらの IAM システムが社内のイントラネットの一部を形成し、従業員やパートナーのユーザ認証およびシングル サインオン要件に対応します。IAM システムは、ファイアウォールの外側にあるパートナー Web サイトと相互運用するため、SAML または WS フェデレーション プロトコルを使用します。顧客、パートナー、ベンダーは、IAM システムを使用して Cisco WebEx サービスに対してそのユーザを自動的に認証することができます。ユーザは Cisco WebEx サービスを使用するために自分のユーザ名とパスワードを思い出す必要がないため、効率が向上します。
また、退職する従業員を外部管理ツールで明示的に無効にする必要もありません。従業員が顧客の IAM システムから削除されると、Cisco WebEx サービスのいずれに対してもその従業員を認証できなくなります。
(注) | Cisco WebEx Messenger でシングル サインオンを有効にするには、担当のカスタマー サクセス マネージャにお問い合わせください。 |
Cisco WebEx 組織にフェデレーテッド シングル サインオンを実装するには、次のシステム要件が必要です。これらのシステム要件は、Cisco WebEx Messenger および Cisco WebEx Meeting アプリケーションと同じです。
組織管理者は Cisco WebEx 管理ツールを使用して、シングル サインオンの設定を行い、Cisco WebEx 組織のセキュリティ設定および証明書を変更できます。オプションは、管理者が設定する組織の設定に基づいて表示されます。すべてのオプションが常に表示されるわけではありません。
[フェデレーテッド Web SSO 構成(Federated Web SSO Configuration)]を選択すると、シングル サインオンを有効にしている組織の管理者向けのダイアログが表示されます。
[組織証明書の管理(Organization Certificate Management)]を選択すると、シングル サインオンを有効にしている組織の管理者、または「委任認証」管理者用の、管理者向けダイアログが表示されます。これは、X.509 証明書を手動でインポート、検証、または削除するために使用します。組織証明書の管理は、組織管理者のための管理ツールです。
[WebEx 証明書の管理(WebEx Certificate Management)]を選択すると、シングル サインオンを有効にしている組織の管理者向けのダイアログが表示されます。これは、組織管理者がサービス プロバイダーの証明書を作成するための管理ツールとして使用されます。このツールは、SP からの開始によって使用されます。自己署名証明書は Cisco WebEx によって生成され、IAM システムにアップロードする必要があります。証明書は以下の場合に生成されます。
[パートナー Web SSO 構成(Partner Web SSO Configuration)]を選択すると、「委任認証」の組織の管理者向けダイアログが表示されます。パートナー委任では、管理者がパートナー アプリケーション向けに単一のユーザ名とパスワード認証によるサインオン ページを設定することができます。管理者は、この機能を使用してセキュリティを高め、サインオンとパスワードの複数の要件を減らし、ユーザが複数のサインオン資格情報を追跡する必要性を排除する必要があります。
SAML 2.0 の構成も設定できます。属性は次の表に表示されています。
組織で IM ログ記録が有効になっていて、該当する属性が存在しない場合、wbx_default_endpoint に設定されます。 |
||
ヌル以外の「upgradesite」属性が存在する場合、有効化または無効化されているアカウントの自動作成機能およびアカウントの自動更新機能に対応したアクションが実行されます。 |
(注) | 組織が認証メカニズムを「クラウドに保存されたユーザ名とパスワード」から「IDP による SSO」に移行している段階では、[CAS API 経由で接続アカウントのユーザ名とパスワードによるログインを許可(Allow Connect account username and password login via CAS API)] チェックボックスが選択されています。これにより、組織は段階的に SSO に移行できます。 |
SAML メタデータ ファイルが正常にインポートされたら、[フェデレーテッド Web SSO 設定(Federated Web SSO Configuration)]ダイアログ ボックスの関連フィールドにデータが入力されていることを確認します。
パートナー委任では、管理者がパートナー アプリケーション向けに単一のユーザ名とパスワード認証によるサインオン ページを設定することができます。管理者は、この機能を使用してセキュリティを高め、サインオンとパスワードの複数の要件を減らし、ユーザが複数のサインオン資格情報を追跡する必要性を排除する必要があります。
顧客とパートナーの間で信頼関係を確立する必要があります。パートナーは、顧客のユーザに代わってパートナー ルート経由で Cisco WebEx サービスにログオンする機能を果たします。パートナーの委任認証は、信頼関係と同意関係を構築するために使用される次の属性で構成されます。
ステップ 1 | [パートナーの Web SSO 設定(Partner Web SSO Configuration)]を選択します。 |
ステップ 2 | SAML 設定をインポートしていない場合、[SAML メタデータをインポート(Import SAML Metadata)]を選択して [パートナーの Web シングル サインオン設定 - SAML メタデータ(Partner Web Single sign-on Configuration - SAML Metadata)] ダイアログボックスを開きます。
詳細については、次を参照してください。 フェデレーテッド Web SSO 設定 |