Zoom mit ADFS konfigurieren
Überblick
Sie können Ihr Konto so konfigurieren, dass Sie sich über einmaliges Anmelden (Single Sign-On, SSO) mit Active Directory-Verbunddiensten (Active Directory Federation Services, ADFS) anmelden. Sie können die SAML-Zuordnung verwenden, um Benutzern basierend auf ihrer ADFS-Konfiguration Lizenzen, Gruppen und Rollen zuzuweisen. Lesen Sie mehr über Single Sign-On.
In diesem Artikel:
Voraussetzungen
- Business- oder Bildungskonto bei Zoom mit genehmigter Vanity-URL
- ADFS-Serverzugriff
- Admin- oder Inhaberzugriff in Zoom
Hinweis: Ohne genehmigte zugehörige Domäne müssen Benutzer Ihre Bereitstellung im Konto durch eine E-Mail bestätigen, die ihnen automatisch zugesendet wird. Die Bereitstellung der Benutzer, die einer genehmigten Domäne zugeordnet werden können, erfolgt ohne E-Mail-Bestätigung.
In Zoom konfigurieren
- Suchen Sie Ihre ADFS XML-Metadaten unter https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xml
*[SERVER]: Ihr ADFS-Server (adfs.example.com), und laden Sie sie herunter oder zeigen Sie sie an - Klicken Sie auf der Seite „Zoom Admin“ auf „Single Sign-On“, um die Registerkarte „SAML“ anzuzeigen.
-
Geben Sie die folgenden Informationen in die Optionen der Registerkarte „SAML“ ein:
-
URL der anmeldeseite:
https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us- *Hinweis: Wenn die SP Entity ID in Zoom auf https://[vanity].zoom.us festgelegt ist, sollte der logintoRP-Abschnitt der Anmelde-URL als „...? logintoRP=https://[vanity].zoom.us“ übereinstimmen
-
URL der Abmeldeseite: https://[SERVER]/adfs/ls/?wa=wsignout1.0
-
Identitätsanbieterzertifikat: X509 Zertifikat aus XML-Metadaten in Schritt 1
*Verwenden Sie das erste X509-Zertifikat in der XML-Datei:
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
-
Dienstanbieter (SP) Entity ID: Wählen Sie die Option ohne „https“ aus.
-
Aussteller: http oder https://[SERVER]/adfs/services/trust (entityID in Metadaten)
-
Bindung: HTTP-POST
-
Sicherheit
-
SAML-Anfrage signieren: Aktivieren Sie diese Option, wenn Sie die SAML-Anforderung in ADFS signieren.
-
Verschlüsselte Assertionen unterstützen: Wenn Sie verschlüsselte Assertionen in ADFS verwenden, aktivieren Sie diese Option.
-
Automatische Abmeldung erzwingen, nachdem der Benutzer angemeldet ist seit: Aktivieren Sie diese Option, wenn Benutzer nach einer bestimmten Zeit abgemeldet werden sollen.
In ADFS konfigurieren
- Melden Sie sich bei Ihrem ADFS-Server an.
- Öffnen Sie ADFS 2.0 MMC
-
Vertrauensstellung der vertrauenden Seite hinzufügen
Wählen Sie Importdaten über die vertrauende Seite aus, die online oder in einem lokalen Netzwerk veröffentlicht wurden
Verbundmetadatenadresse: https://YOURVANITY.zoom.us/saml/metadata/sp
- Fügen Sie einen Anzeigenamen hinzu („Zoom“) und beenden Sie den Assistenten mit den Standardeinstellungen
-
Fügen Sie zwei Anspruchsregeln hinzu:
- Typ: LDAP-Attribute als Ansprüche senden
- Name: Zoom – an E-Mail senden
- Zuordnungen
- E-Mail-Adressen > E-Mail-Adresse
- User-Principal-Name > UPN
- Given-Name > urn:oid:2.5.4.42
- Nachname > urn:oid:2.5.4.4
-
Typ: Eingehenden Anspruch transformieren
- Name: Zoom – E-Mail an Namens-ID
- Typ des eingehenden Anspruchs: E-Mail-Adresse
-
Typ des ausgehenden Anspruchs: Namens-ID
- Format der ausgehenden Namens-ID: E-Mail
Nach der Konfiguration
Sobald Sie die Konfigurationsschritte abgeschlossen haben, sollte sich jeder Benutzer in Ihrem Active Directory basierend auf der von Ihnen festgelegten Konfiguration anmelden können. Besuchen Sie zum Testen die Seite http://YOURVANITY.zoom.us, und wählen Sie „Anmelden“ aus.
Tipps zur Fehlerbehebung
Anmeldung mit Google Chrome oder Firefox nicht möglich
Wenn Sie sich nicht mit Chrome oder Firefox anmelden können und in der Ereignisanzeige auf dem ADFS-Server das Ereignis „Audit Failure“ mit „Status: 0xc000035b“ angezeigt wird, müssen Sie den erweiterten Schutz deaktivieren. Chrome und Firefox unterstützen den erweiterten Schutz von ADFS nicht (in Internet Explorer hingegen schon).
- IIS-Manager starten
- Navigieren Sie im linken Bereich zu „Sites“ > „Standardwebsite“ > „ADFS“ > „LS“
- Klicken Sie doppelt auf das Authentifizierungssymbol
- Klicken Sie mit der rechten Maustaste auf „Windows-Authentifizierung“
- Wählen Sie „Erweiterte Einstellungen“
- DEAKTIVIEREN Sie den erweiterten Schutz