Zoom SSO証明書のローテーション
Zoomはシングルサインオン(SSO)証明書のサポート強化し、アカウントオーナーと管理者は新規証明書が利用可能になった場合、証明書を手動で更新する代わりに、Zoomが自動的に更新するように設定できます。また、管理者はSSO設定をロールバックして、以前の証明書を活用することもできます。
注: Zoomは業界の標準的な慣行に従い、現在の証明書が2025年12月21日に期限が切れる前に、2025年11月1日に更新されたシングルサインオン(SSO)証明書を提供しました。SSOログイン機能が中断されないように、措置を講じる必要がある可能性があります。
措置を講じる必要はありますか?
|
✅ 措置を講じる必要はありません
|
⚠️ 措置を講じてください
|
|
以下の条件のいずれかが該当する場合:
- シングルサインオン(SSO)の設定で、サービスプロバイダー(SP)証明書のセクションが表示されない
- シングルサインオン(SSO)設定の「サービスプロバイダー(SP)証明書セクションに、最新のZoom証明書(有効期限: 2026年12月1日UTC)が表示されている
|
次の場合は12月21日までに対応してください。サービスプロバイダー(SP)証明書ドロップダウンが表示され、さらに
注: 「証明書オプションを自動管理する」がオンになっている場合、IdPが証明書を自動的にローテーションするまで数日かかる場合があります。すべてのIdPが自動ローテーションに対応するわけではありません。ご質問がある場合は、IdPのドキュメントを参照してください。
|
- シングルサインオン(SSO)設定のSP証明書セクションは、以下の場合にのみ表示されます。
- SAMLリクエストに署名する
- SAMLログアウトリクエストに署名する
- 暗号化されたアサーションをサポートする
- シングルサインオン(SSO)証明書を手動でローテーションする必要がある場合は、Zoomウェブポータルのシングルサインオン(SSO)設定で新規証明書を選択して、証明書のローテーション処理を開始できます。この証明書はIdPに供給する必要があります。IdPがZoom SSO証明書を使用するように設定する方法がわからない場合は、IdPプロバイダーに問い合わせるか、プロバイダーのドキュメントを参照してください。
Zoom SSO証明書をローテーションするための要件
-
- Zoomオーナーまたは管理者特権
- バニティURLが承認済みのビジネスまたは教育機関向けアカウント
- トラストストアに含まれるDigiCert Global Root G2
- 以下のいずれかのシングルサインオン(SSO)オプションが有効になっている:
- SAMLリクエストに署名する
- SAMLログアウトリクエストに署名する
- 暗号化されたアサーションをサポートする
新規SSO証明書の管理オプション
サービスプロバイダー証明書
サービスプロバイダー証明書は、これらのリクエストをIDPに送信するときに、SAMLリクエストとSAMLログアウトリクエストに署名するために使用されます。これらの証明書を使用してSAML / ログアウトリクエストの署名を検証する場合、証明書がZoomとIDPの両方で同じであることが非常に重要です。証明書が異なる場合、IDPはエラーを出し、ユーザーはサインインできなくなります。
この証明書はZoom SAMLメタデータ内にあります(https://yourvanityurl.zoom.us/saml/metadata/sp)。
証明書の自動管理
| ステータス | 動作 |
| オン(デフォルト) |
SAMLリクエストで検出された最新の証明書が現在選択されていない場合、Zoomメタデータで2つの証明書が設定されます。
IDPがZoomメタデータURLを監視、暗号化されたアサーションをサポートするよう設定されている場合、Zoomは証明書の自動ローテーション(更新)を試みます。
注: IdPは証明書の自動ローテーションをサポートする必要があります。すべてのIdPが自動ローテーションに対応するわけではありません。ご不明な点は、IdPプロバイダーにお問合せください。 |
| オフ |
SSO設定ではZoomメタデータに1件の証明書のみが設定されます。Zoomは新規証明書に自動ローテーションしません。有効期限が切れたら、証明書を手動でローテーションする必要があります。
|
ADFS証明書のローテーション
ADFSサーバーでZoom SAMLメタデータURLの証明書利用者の監視が有効になっていない場合、証明書を手動で更新する必要があります。
メタデータURL経由での証明書の自動更新
ADFSサーバーで監視オプションを有効にするには:
-
- ADFSサーバーにサインインします。
- [管理ツール] を開き、[AD FS管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoomの証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
- [監視] タブで、Zoom SAMLメタデータURL(https://yourvanityurl.zoom.us/saml/metadata/sp)を入力します。
- [証明書利用者を監視] を有効にします。
- [適用] をクリックします。
メタデータURL経由での証明書の手動更新
メタデータURLを使用して証明書を手動で更新するには:
-
- Zoomウェブポータルにサインインします。
- ナビゲーションメニューで、[詳細]、[シングルサインオン(SSO)] の順にクリックします。
- サービスプロバイダー (SP) 証明書セクションで、[編集] をクリックし、[Zoom証明書(有効期限: 2025年12月21日)] を選択します。
これにより、Zoom証明書が最新の証明書(有効期限が最も先の証明書)に更新されます。 - ADFSサーバーにサインインします。
- [管理ツール] を開き、[AD FS管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoomの証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
- Zoom SAMLメタデータURL(https://yourvanityurl.zoom.us/saml/metadata/sp)を入力します。
- [URLをテスト] をクリックします。
- 検証が正常に完了したら、[OK]、[適用] の順にクリックします。
- [プロパティ] ウィンドウを閉じます。
- [Zoomの証明書利用者信頼] を右クリックして、[フェデレーションメタデータから更新] をクリックします。
- [識別子] タブで [更新] をクリックします。
- [暗号化] タブと [署名] タブで新規証明書の発効日と有効期限日を確認します。
注: SSOで [暗号化されたアサーションをサポート] が有効になっていない場合、[暗号化] タブには証明書が1件のみ含まれるか、まったく含まれない可能性があります。これは、SSOで [SAMLリクエストに署名] または [SAMLログアウトリクエストに署名] が有効になっていない場合、[署名] タブにも当てはまります。
証明書が更新されたら、SSOが正常に動作することを確認するためにログインを数回テストすることをおすすめします。
ADFSログエラーのトラブルシューティング
証明書署名エラー: MSIS3015
"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: The signing certificate of the claims provider trust 'xxxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid."
暗号化証明書エラー: MSIS3014
"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: The encryption certificate of the relying party trust 'microsoft:identityserver:xxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid."
いずれかのエラーが発生した場合、証明書が失効しているか、期限が切れているか、証明書チェーンが信頼されていない可能性があります。証明書を以前のものにロールバックして、エラーが解決するかどうかを確認することをおすすめします。エラーが解決したら、メタデータURL経由で証明書を再更新します。
ファイルによる証明書の手動更新
Zoomから証明書をダウンロードする
-
- Zoomウェブポータルにサインインします。
- ナビゲーションメニューで、[詳細]、[シングルサインオン(SSO)] の順にクリックします。
- サービスプロバイダー (SP) 証明書セクションで、[編集] をクリックし、[Zoom証明書(有効期限: 2025年12月21日)] を選択します。
これにより、Zoom証明書が最新の証明書(有効期限が最も先の証明書)に更新されます。 - [表示] をクリックして、証明書の詳細ページを開きます。
- [ダウンロード] をクリックして、証明書ファイルをダウンロードします。
証明書をADFSにアップロードします
-
- ADFSサーバーにログインします。
- [管理ツール] を開き、[AD FS管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoomの証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
- [暗号化] タブ、[閲覧] の順にクリックします。
- ダウンロードした証明書ファイルを開きます。
- [署名] タブをクリックします。
- 現在表示されている証明書を削除します。
- [追加] をクリックして、最新の証明書を選択します。
証明書が更新されたら、SSOが正常に動作することを確認するためにログインを数回テストすることをおすすめします。
テスト時に SSO ログインが正常に機能しない場合は、以前の証明書にロールバックして、ログインをテストします。SSOログインに成功したら、上記の手順に従って証明書を再アップロードします。
この方法については、IdPドキュメントを参照してください。