ADFSを使用してZoom SSOを設定する

ADFS（Active Directoryフェデレーションサービス）を使用したシングルサインオン（SSO）でログインするように自身のアカウントを設定できます。SAMLマッピングを使用して、ADFS設定に基づくライセンス、グループ、ロールをユーザーに割り当てることができます。シングルサインオン（SSO）についての詳細を読む。

ADFSを使用したSSOの要件

• 承認されたバニティURLを持つビジネスアカウントまたは教育機関アカウント
• ADFSサーバーアクセス
• Zoom管理者またはオーナーのアクセス権

注: 承認された関連ドメインがない場合、ユーザーはユーザーに自動送信されたメールを介してアカウントにプロビジョニングされることを確認する必要があります。プロビジョニングは、承認されたドメインに該当するユーザーに対して、メールによる確認を行わずに実行されます。

ZoomでADFSのSSOを設定する方法

1. https://[SERVER]/FederationMetadata/2007-06/FederationMetadata.xmlでADFS XMLメタデータを検索し、ダウンロード/表示します
   *[SERVER]: 自身のADFSサーバー（adfs.example.com)
2. Zoom管理者ページで [シングルサインオン（SSO）] をクリックすると [SAML] タブが表示されます。
3. 以下の情報を [SAML] タブのオプションに入力します。
   • サインインページのURL:https://[SERVER]/adfs/ls/idpinitiatedsignon.aspx?logintoRP=[ZoomSPEntityID]
     • 注: ZoomのSPエンティティIDが https://[vanity].zoom.us に設定されている場合、サインインURLのlogintoRPセクションは、「...?logintoRP=https://[vanity].zoom.us」と一致する必要があります。SPエンティティIDが異なる形式で表示される場合は、そのままコピーしてください。
   • サインアウトページのURL: https://[SERVER]/adfs/ls/?wa=wsignout1.0
   • IDプロバイダー証明書: ステップ1のXMLメタデータからのX509証明書
     *XMLファイルの最初のX509証明書を使用します:
     <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
     <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
     <X509Data>
     <X509Certificate>
   • サービスプロバイダー（SP）エンティティID: httpsを含まないオプションを選択します。
   • 発行者: httpまたはhttps://[SERVER]/adfs/services/trust（メタデータの entityID）
   • バインディング: HTTP-POST
   • セキュリティ
     • SAML署名リクエスト: ADFSでSAMLリクエストに署名する場合はこのオプションをオンにします。
     • 暗号化されたアサーションのサポート: ADFSで暗号化されたアサーションを使用している場合は、このオプションをオンにします。
     • ユーザーがサインインしてから自動サインアウトを強制するまでの時間: 特定の時間が経過した後にユーザーをログアウトさせる場合は、これをオンにします。
       注: このオプションが無効になっていて、ユーザーが過去30日間サインインしていない場合、ZoomはユーザーをZoomデスクトップアプリからログアウトします。

ADFSでZoomのSSOを設定する方法

1. ADFSサーバーにログインします。
2. ADFS 2.0 MMCを開きます。
3. 証明書利用者信頼を追加します。
   オンラインまたはローカルネットワークで発行された証明書利用者信頼に関するデータのインポートを選択します
   フェデレーションメタデータアドレス: https://YOURVANITY.zoom.us/saml/metadata/sp?
   • 注: 複数のバニティURLまたはIDPが有効になっているZoomアカウントの場合、フェデレーションメタデータのアドレスは次の形式に従います: https://YOURVANITY.zoom.us/saml/metadata/sp?samlAppId=。一意のIDは、Zoom SPのエンティティIDからコピーする必要があります。
4. 表示名（「Zoom」）を追加し、デフォルトの設定を使用してウィザードを終了します
5. 2つの要求規則を追加します。
   • 種類: LDAP属性を要求として送信
   • 名前: Zoom - メールに送信
   • マッピング
     • E-Mail-Addresses > メールアドレス
     • Given-Name > urn:oid:2.5.4.42
     • Surname > urn:oid:2.5.4.4
     • User-Principal-Name > UPN
     • E-Mail-Addresses > 名前ID
   • 種類: 受信する要求を変換
   • 名前: Zoom - メールから名前ID
   • 受信する要求の種類: メールアドレス
   • 送信する要求の種類: 名前ID
   • 送信する名前IDの形式: メール

設定手順を完了すると、設定内容に基づいて、Active Directoryのすべてのユーザーがログインできるようになります。テストするには、http://YOURVANITY.zoom.us にアクセスして [ログイン] を選択します。

単一のバニティURLとIDPから複数のバニティURLまたはIDPに切り替える方法

1. ADFSサーバーにログインします。
2. ADFS 2.0 MMCを開きます。
3. 証明書利用者信頼を追加します。
   新規Zoom SPメタデータを再インポートするか、リライイングパーティのメタデータURLを更新するかを選択します。
   フェデレーションメタデータアドレス: https://YOURVANITY.zoom.us/saml/metadata/sp?samlAppId=。一意のIDは、Zoom SPのエンティティIDからコピーする必要があります。

トラブルシューティング

Google ChromeまたはFirefoxを使用してログインできない

ChromeまたはFirefoxを使用してログインできない場合、ADFSサーバーでイベントビューアに「ステータス: 0xc000035b」の「監査失敗」イベントが表示される場合は、拡張保護をオフにする必要があります。ChromeとFirefoxはADFSの拡張保護をサポートしていません（IEはサポートしています）。

1. IISマネージャーを起動します。
2. 左側のパネルで、[サイト] をクリックし、次に [デフォルトのウェブサイト] をクリックします。
3. [ADFS]、[LS] の順にクリックします。
4. [認証] アイコンをダブルクリックします。
5. [Windows認証] を右クリックします。
6. [詳細設定] を選択します。
7. [拡張保護] をオフにします。

X509証明書の生成および更新方法

ZoomポータルでIDプロバイダーの証明書を更新するように指示された場合は、Microsoftのサポートサイトにアクセスし、ADFSで新規証明書を生成する方法の手順を参照してください。新規証明書を入手したら、ZoomポータルでSSO設定を編集し、既存の証明書を新しく生成された証明書に置き換えます。