概要

ADFS（Active Directory Federation Services）を使用したシングル サインオン（SSO）でログインするように自分のアカウントを設定できます。 SAML マッピングを使用して、ADFS 設定に基づくライセンス、グループ、ロールをユーザーに割り当てることができます。 シングル サインオンの詳細を読む

この記事の内容:

• Zoom で設定
• ADFS で設定
• 設定後
• トラブルシューティング手順

前提条件

• 承認されたバニティ URL のあるビジネスまたは教育機関向けの Zoom アカウント
• ADFS サーバー アクセス
• Zoom 管理者またはオーナーのアクセス権

注: 承認済みの関連ドメインがない場合、ユーザーは自動的に送信されるメールを通じてアカウントにプロビジョニングされていることを確認する必要があります。 プロビジョニングは、承認されたドメインに該当するユーザーに対して、メールによる確認を行わずに行われます。

Zoom で設定

1. https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xml でADFS の XML メタデータを検索し、ダウンロードまたは閲覧します
   *[サーバー]: 自分の ADFS サーバー（adfs.example.com など）
2. [Zoom 管理者] ページで [シングル サインオン] をクリックすると [SAML] タブが表示されます
3. 次の情報を [SAML] タブのオプションに入力します
   • サインイン ページの URL:
     https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[Vanity].zoom.us
     • *注: [Zoom の SP エンティティ ID] が https://[vanity].zoom.us に設定されている場合、サインイン用 URL の「logintoRP」部分は「...?logintoRP=https://[vanity].zoom.us」
   • サインアウト ページの URL:  https://[SERVER]/adfs/ls/?wa=wsignout1.0
   • ID プロバイダーの証明書:  ステップ 1 XML メタデータの X509 証明書
     *以下に示すような XML ファイルの最初の X509 証明書を使用
           <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                 <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                      <X509Data>
                         <X509Certificate>
   • サービス プロバイダー（SP）エンティティ ID: https を含まないオプションを選択
   • 発行者:    http または https://[SERVER]/adfs/services/trust（メタデータの entityID）
   • バインディング:    HTTP-POST
   • セキュリティ
     • SAML 署名リクエスト: ADFS で SAML リクエストに署名する場合はこのオプションにチェックマークを付与
     • 暗号化したアサーションをサポート: ADFS で暗号化したアサーションを使用する場合はこのオプションにチェックマークを付与
     • ユーザーがサインイン後、自動サインアウトを強制されるまで時間: 特定の時間が経過したユーザーはサインアウトさせる場合は、このオプションにチェックマーク付与
       

ADFS で設定

1. ADFS サーバーにログインします
2. ADFS 2.0 MMC を開きます
3. 証明書利用者の信頼を追加します。
   オンラインまたはローカル ネットワークで発行された証明書利用者に関するインポート データを選択
   フェデレーション メタデータ アドレス:   https://YOURVANITY.zoom.us/saml/metadata/sp 
4. 表示名（「Zoom」）を追加し、デフォルトの設定をそのまま使用してウィザードを終了します
5. 次の 2 つの要求ルールを追加します
   • 種類:    LDAP 属性を要求として送信
   • 名前:    Zoom - 送信先メール
   • マッピング
     • E-Mail-Addresses > メールアドレス
     • User-Principal-Name > UPN
     • Given-Name > urn:oid:2.5.4.42
     • Surname > urn:oid:2.5.4.4
   • 種類:    受信側の要求を変換
   • 名前:    Zoom - メールの宛先となる名前 ID
   • 受信側の要求の種類:    メールアドレス
   • 送信側の要求の種類:    名前 ID
   • 出力側名前 ID の形式:    メール
   • 

設定後

設定の手順が完了したら、指定した設定に沿って Active Directory 内のユーザーがだれでもサインインできるようになっています。 テストするため、http://YOURVANITY.zoom.us を訪問して [サインイン] を選択します。

トラブルシューティングのヒント

Google Chrome または Firefox を使用したサインインができない場合

Chrome または Firefox を使用したサインインができず、ADFS サーバーのイベント ビューアに「監査失敗」イベントが表示され、「ステータス: 0xc000035b」と付記されている場合は、[拡張保護] をオフにする必要があります。 Chrome と Firefox は ADFS の拡張保護機能をサポートしていません（IE はサポート）。

1. IIS マネージャーを起動します
2. 左のパネルで [サイト] > [デフォルトのウェブサイト] > [ADFS] > [LS] の順に移動します
3. [認証] アイコンをダブルクリックします
4. Windows 認証をダブルクリックします
5. [詳細設定] を選択します
6. [拡張保護] をオフにします