Zoom の SSO 証明書のローテーション

Zoom では、シングル サインオン（SSO）証明書のサポートが強化され、アカウント オーナーと管理者は、手動で証明書を更新する代わりに、新しい証明書が利用可能になったときに、Zoom 側で自動的に証明書を更新するようにできます。 管理者は、SSO 設定をロールバックして、以前の証明書を使用することもできます。

注: 標準的な業界慣行に追従するため、Zoom は 2023 年 1 月 4 日（水）の期限切れに先立ち、シングル サインオン（SSO）証明書を廃止します。 証明書のローテーション前に、サービスの中断を回避し、SSO を使用した Zoom へのログインを引き続き利用するためには、お客様側でご対応が必要になる場合があります。

• 2022 年 12 月 3 日（土）からアイデンティティ プロバイダー（IdP）によって最新の Zoom 証明書が自動的にダウンロードされ、アカウントの設定にローテーションされるため、IdP または動的メタデータの更新をサポートする設定を使用しているアカウントに対しては、ご対応いただく必要はありません。 [シングル サインオン] 設定の [サービス プロバイダー（SP）証明書] セクションに次の項目が表示されます。
  • Zoom 証明書（有効期限: 協定世界時 2024 年 1 月 2 日）
  • [証明書の自動管理] オプションのチェックがオンになっている
  • また、IdP の実装にサービス プロバイダー証明書が必要ない場合は、上記のオプションはウェブポータルに表示されないため、追加のご対応は必要ありません。
• 以下のセキュリティ オプションが選択された状態で、Zoom でのシングル サインオン（SSO）を設定する場合は、ご対応が必要になります。
  • SAML リクエストに署名する
  • SAML ログアウト リクエストに署名する
  • 暗号化されたアサーションをサポート
• 自動更新を無効にする場合、または IdP が自動証明書のローテーションをサポートしていない場合は、12 月 3 日から 2023 年 1 月 4 日までの間にご対応が必要になります。 証明書のローテーション プロセスを開始するには、Zoom ウェブポータルの [シングル サインオン] 設定で新しい証明書を選択します。 また、Zoom がそのページで IdP とのインタラクションのために使用する証明書を変更することもできます。 新しい証明書がローテーションされると、ユーザーは中断することなく SSO を使用して Zoom に引き続きログインできます。

この記事では、次の項目について説明します。

• • 新しい SSO 証明書の管理オプション
    • サービス プロバイダー証明書
    • 証明書の自動管理
  • AD FS 証明書のローテーション
    • メタデータ URL による証明書の自動更新
    • メタデータ URL による証明書の手動更新
      • AD FS ログエラーのトラブルシューティング
    • 証明書ファイルによる証明書の手動更新
  • Shibboleth 証明書のローテーション
    • Shibboleth V3
    • ウェブサーバーの再起動による証明書の手動更新
    • Graceful による証明書の手動更新

前提条件

• • Zoom オーナーまたは管理者権限
  • バニティ URL が承認済みのビジネスまたは教育機関向けアカウント

新しい SSO 証明書の管理オプション

サービス プロバイダー証明書

サービス プロバイダー証明書は、リクエストを IdP に送信するときに、SAML 要求および SAML ログアウト リクエストに署名するために使用されます。 IdP がこれらの証明書を使用して SAML/ ログアウト リクエストの署名を検証するため、証明書は Zoom と IdP の両方で同一であることが不可欠です。 証明書が異なる場合、IdP はエラーを発生させ、ユーザーによるログインが許可されない可能性があります。

この証明書は、https://yourvanityurl.zoom.us/saml/metadata/sp にある Zoom SAML メタデータ内にあります。

証明書の自動管理

ADFS 証明書のローテーション

ADFS サーバーで Zoom SAML メタデータ URL に対して、[証明書利用者のモニタリング] が有効になっていない場合は、証明書を手動で更新する必要があります。

メタデータ URL による証明書の自動更新

ADFS サーバーでモニタリング オプションを有効にするには、次の手順に従ってください。

1. 1. ADFS サーバーにサインインします。
   2. [管理ツール] を開き、[AD FS 管理コンソール（MMC）] を開きます。
   3. 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
   4. [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
   5. [モニタリング] タブで、Zoom SAML メタデータ URL（https://yourvanityurl.zoom.us/saml/metadata/sp）を入力します。
   6. [証明書利用者のモニタリング] を有効にします。
   7. [適用] をクリックします。

メタデータ URL による証明書の手動更新

メタデータ URL を使用して証明書を手動で更新するには、次の手順に従ってください。

1. 1. Zoom ウェブポータルにサインインします。
   2. ナビゲーション メニューで、[詳細設定]、[シングル サインオン] の順にクリックします。
   3. [サービス プロバイダー（SP）証明書] セクションで、[編集] をクリックし、Zoom 証明書（有効期限: 協定世界時 2024 年 1 月 2 日のもの）を選択します。
      これで Zoom 証明書が最新の証明書（最も有効期限が先の証明書）に更新されます。
   4. ADFS サーバーにサインインします。
   5. [管理ツール] を開き、[AD FS 管理コンソール（MMC）] を開きます。
   6. 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
   7. [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
   8. Zoom SAML メタデータ URL（https://yourvanityurl.zoom.us/saml/metadata/sp）を入力します。
   9. [URL のテスト] をクリックします。
   10. 検証が完了したら、[OK] をクリックした後、[適用] をクリックします。
   11. [プロパティ] ウィンドウを閉じます。
   12. [Zoom の証明書利用者情報] を右クリックして、[Federation メタデータから更新] をクリックします。
   13. [識別子] タブで、[更新] をクリックします。
   14. [暗号化] タブと [署名] タブの新しい証明書の有効日と有効期限日を確認します。
       注: SSO で [暗号化されたアサーションのサポート] が有効になっていない場合、[暗号化] タブに証明書が 1 つしか含まれていないか、または証明書が含まれていない場合もあります。 これは、SSO で [SAML リクエストの署名] または [SAML ログアウト リクエストの署名] が有効になっていない場合、 [署名] タブも同様です。

証明書が更新されたら、SSO が正常に動作していることを確認するために、何度かテスト ログインを実行することをおすすめします。

AD FS ログエラーのトラブルシューティング

証明書の署名エラー MSIS3015

"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: The signing certificate of the claims provider trust 'xxxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid."

暗号化証明書エラー MSIS3014

"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: The encryption certificate of the relying party trust 'microsoft:identityserver:xxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid."

いずれかのエラーが発生した場合は、証明書が失効しているか、期限が切れているか、証明書チェーンが信頼されていない場合があります。 以前の証明書にロールバックし、エラーが解決したか確認するためにテストを実行することをおすすめします。 エラーが解決したら、メタデータ URL で証明書を再度更新します。

ファイルによる証明書の手動更新

Zoom から証明書をダウンロードする

1. 1. Zoom ウェブポータルにサインインします。
   2. ナビゲーション メニューで、[詳細設定]、[シングル サインオン] の順にクリックします。
   3. [サービス プロバイダー（SP）証明書] セクションで、[編集] をクリックし、Zoom 証明書（有効期限: 協定世界時 2024 年 1 月 2 日のもの）を選択します。
      これで Zoom 証明書が最新の証明書（最も有効期限が先の証明書）に更新されます。
   4. [表示] をクリックして、証明書の詳細ページを開きます。
   5. [ダウンロード] をクリックして、証明書ファイルをダウンロードします。

証明書を ADFS にアップロードする

1. 1. ADFS サーバーにログインします。
   2. [管理ツール] を開き、[AD FS 管理コンソール（MMC）] を開きます。
   3. 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
   4. [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
   5. [暗号化] タブをクリックした後、[ブラウズ] をクリックします。
   6. ダウンロードした証明書ファイルを開きます。
   7. [署名] タブをクリックします。
   8. 現在掲載されている証明書をすべて削除します。
   9. [追加] をクリックして、最新の証明書を選択します。

証明書が更新されたら、SSO が正常に動作していることを確認するために、何度かテスト ログインを実行することをおすすめします。

テスト時に SSO ログインが正常に機能しない場合は、以前の証明書にロールバックして、ログインをテストします。 SSO ログインが成功した場合は、上記の手順に従って証明書を再度アップロードします。

Shibboleth 証明書のローテーション

Shibboleth V3

注: Shibboleth を使用する場合は、[暗号化されたアサーションのサポート] が有効になっていることを確認します。

Shibboleth で HTTPMetadataProvider、FileBackedHTTPMetadataProvider、または DynamicHTTPMetadataProvider の MetadataProvider Type が使用されている場合、Shibboleth は Zoom のメタデータのモニタリングを行います。 上記の MetadataProvider Type が使用されていない場合は、Shibboleth サーバー上のメタデータ ファイルを手動でダウンロードして更新する必要があります。

Shibboleth で ResourceBackedMetadataProvider、LocalDynamicMetadataProvider、FilesystemMetadataProvider の MetadataProvider Typeが使用されている場合、ウェブサーバー（Apache Tomcat または別の Java Application など）を再起動することなくメタデータ ファイルを更新できる場合があります。

詳しくは、Shibboleth の設定に関する wiki をご覧ください。

ウェブサーバーの再起動による証明書の手動更新

1. 1. Zoom ウェブポータルにサインインします。
   2. ナビゲーション メニューで、[詳細設定]、[シングル サインオン] の順にクリックします。
   3. [サービス プロバイダー（SP）証明書] セクションで、[編集] をクリックし、Zoom 証明書（有効期限: 協定世界時 2024 年 1 月 2 日のもの）を選択します。
      これで Zoom 証明書が最新の証明書（最も有効期限が先の証明書）に更新されます。
   4. https://yourvanityurl.zoom.us/saml/metadata/sp から新しいメタデータをダウンロードします。
   5. 新しい証明書ファイルを使用して、Shibboleth サーバー上の既存のメタデータ ファイルを更新します。
   6. ウェブサーバーを再起動します。

注: ウェブサーバーを再起動しない場合は、Shibboleth がファイルを読み込むまで待機する必要があります。これには、少なくとも 5 分、最大で 24 時間かかります。 この期間中、ユーザーは SSO を使用してログインできない場合があります。

Graceful による証明書の手動更新

1. 1. https://yourvanityurl.zoom.us/saml/metadata/sp から新しいメタデータをダウンロードします。
   2. 新しい証明書ファイルを使用して、Shibboleth サーバー上の既存のメタデータ ファイルを更新します。
   3. Zoom が自動検出し、新しい証明書に更新されるまで 48 時間待機します。
   4. Zoom の SSO 設定をチェックして、証明書が最新のもの（2023）に自動更新されているかを確認します。
      • 成功した場合: メタデータ URL からメタデータ ファイルを再度ダウンロードして、新しいファイルでサーバーを更新します。
      • 失敗した場合: Zoom が新しい証明書を自動検出するまでもう 1 日待機します。