シングルサインオン（SSO）のクイックスタートガイド

リンク: https://www.pingidentity.com/partners/saas-partner-directory.cfm?request=details&partner=268シングルサインオン（SSO）では、会社の認証情報を使用してサインインできます。Zoomシングルサインオン（SSO）はSAML 2.0に基づいています。Zoomは、Okta、Microsoft Entra ID、およびActive Directory On-PremのZoom連携を開発しました（「AD同期ツールの管理」と「ADFSを使用したZoom SSOの設定」の記事を参照してください）。Zoom SSOは、Centrify、Microsoft Active Directory、Gluu、OneLogin、PingOne、Shibbolethなどのアイデンティティプロバイダー（IdP）とも連携します。Zoomでは、機能をコントロールできる別のグループにユーザーをプロビジョニングするために、属性をマッピングすることがあります。

Zoomはサービスプロバイダー（SP）として機能し、自動ユーザープロビジョニングを提供します。Zoomでユーザーとして登録する必要はありません。Zoomは、IDプロバイダー（IdP）からSAML応答を受信すると、ユーザーが存在するかを確認します。ユーザーが存在しない場合、Zoomは受信した名前IDを使用して自動的にユーザーアカウントを作成します。

SSOを使用するための要件

• ビジネス、教育機関、またはエンタープライズ向けアカウント
• 承認済みのバニティURL
• SCIM2プロトコルを使用してユーザーを事前プロビジョニングするには、承認済みの関連ドメインが必要です。一致する関連ドメインがない場合、ユーザーを事前プロビジョニングしようとするとエラーが表示されます。サインイン時を含め、他のすべての種類のプロビジョニングでは、ユーザーアカウントのプロビジョニングに関するメールの所有権を確認するためにユーザーに招待メールが送信されます。

SSOを設定する方法

注: 承認されたバニティURLがまだない場合は、バニティURL（https://yourcompany.zoom.usなど）を [アカウントプロファイル] ページで申請してください。この申請が承認されるまで、Zoom側でSSOを設定できません。

1. 次の情報を送信できるよう、IdPを設定します。
   • edupersonTargetedID、persistentID、mailなど、名前IDにリンクされた固有の識別子
   • （オプション）受け入れられる属性は、email（urn:oid:0.9.2342.19200300.100.1.3）、sn（urn:oid:2.5.4.4）、givenName（urn:oid:2.5.4.42）
2. Zoomウェブポータルにサインインします。
3. ナビゲーションメニューで、[詳細]、[シングルサインオン（SSO）] の順にクリックします。
4. IdPに設定するバニティURLを選択します。
   注: バニティURLが1つしかない場合、追加のオプションは表示されません。複数のバニティURLについての詳細情報をご覧ください。
5. 次のSSO情報を入力します。
   • サインインページのURL: <SingleSignOnService>
   • サインアウトページのURL: <SingleLogoutService>
   • IDプロバイダー証明書: <X509Certificate>
     注: 保存する前に [証明書の開始] 部分と [証明書の終了] 部分を削除します。
   • サービスプロバイダー（SP）エンティティID: httpsを含まないオプションを選択します。
   • 発行者（IDPエンティティID）: <ID of EntityDescriptor>
   • バインディング: http-postまたはhttp-redirectを選択します。
   • 署名ハッシュアルゴリズム: 使用するハッシュアルゴリズムを SHA-1またはSHA-256から選択します。
   • セキュリティ:
     • SAMLリクエストに署名する
     • SAMLサインアウトリクエストに署名する
     • 暗号化されたアサーションをサポートする
     • ユーザーがログインしてからX日以上経過したら自動ログアウトする
     • ユーザーのサインイン時にSAMLレスポンスログを保存する
   • ユーザーのプロビジョニング: Zoomでユーザーをプロビジョニングするタイミングを、[サインイン時] または [サインイン前] のいずれかから選択します。
6. [変更内容を保存] をクリックします。

設定が完了すると、「https://yourcompany.zoom.us/saml/metadata/sp」からSPメタデータXMLファイルを取得でき、ユーザーはSSOを使用してサインインできます。

SSO証明書の自動ローテーションを有効または無効にする方法

管理者は、SSO証明書を自動的に管理する設定を有効または無効にすることができます。新しい証明書が利用可能になると、Zoomが自動的に証明書を差し替えます。管理者は、以前の証明書にロールバックすることもできます。この設定はデフォルトで有効になっています。

新しいSSO証明書の更新については、ウェブのリリースノートを参照してください。

1. Zoomウェブポータルにサインインします。
2. ナビゲーションメニューで、[詳細]、[シングルサインオン（SSO）] の順にクリックします。
3. 右上の [編集] をクリックします。
4. [サービスプロバイダー（SP）エンティティID] セクションで、[証明書を自動管理] チェックボックスをオンまたはオフにします。
   注: [証明書を自動管理] オプションが表示される前に、次の3つの [セキュリティ] 設定のいずれかを有効にする必要があります。

• SAMLリクエストに署名する
• SAMLサインアウトリクエストに署名する
• 暗号化されたアサーションをサポートする