Zoom - SAML認証

本記事では、OneLoginからZoomへのSAML シングルサインオン（SSO）およびJITプロビジョニングの設定手順をご案内します。

目次

前提条件

SAML連携の設定

1. OneLogin側の設定

2. Zoom側の設定

JITプロビジョニングによるライセンスの制御方法

1. Zoom側の設定

2. OneLogin側の設定

JITプロビジョニングによるグループの設定方法

1. Zoom側の設定

2. OneLogin側の設定

SAML SSOの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Zoomにおける管理者権限をお持ちであること
• ZoomにおけるバニティURLが承認済みであること

SAML連携の設定

1. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. Zoom と検索し、該当コネクタを選択します
   
   
    
5. ［Save］をクリックします
   
   
    
6. Configuration タブに移動し、Subdomain を入力します
   例）https://pentio.zoom.us の場合、pentio と入力
   
   
    
7. Zoom OAuth の［Authenticate］をクリックします
   
   
    
8. Zoom をクリックします
   
   
    
9. Zoomにおける管理者権限を持つユーザーでサインインを行います
   記入後、［サインイン］をクリックします
   
   
    
10. SSO タブに移動し、Issuer URL（必須）と SAML2.0 Endpoint (HTTP)（必須）と SLO Endpoint (HTTP)（任意）をクリップボードへコピーします
    
    
     
11. View Details をクリックします
    
    
     
12. X.509 Certificate の -----BEGIN CERTIFICATE----- と -----END CERTIFICATE------ を除く内容をクリップボードへコピーします
    

2. Zoom側の設定

1. Zoomに管理者としてログインします
   ［管理コンソール］>［シングルサインオン(SSO)］のページを開きます
   
   
    
2. ［詳細］>［シングルサインオン］のページを開きます
   
   
    

3. サインインページURL、発行者(IDPエンティティID)、プロバイダの証明書を特定、サインアウトページURL（任意）の項目にOneLoginのパラメータを入力します
   Zoom側に設定する設定値一覧

   Zoomの項目	OneLoginの値
   サインインページURL	SAML 2.0 Endpoint (HTTP)
   サインアウトページURL	SLO Endpoint (HTTP)
   プロバイダの証明書を特定	SSO タブ >［View Details］でコピーした証明書を貼り付けます
   発行者(IDPエンティティID)	Issuer URL

   
   
   
    

4. ［変更を保存］をクリックし、Zoom側での設定は完了です

SAML連携の設定は以上です。

JITプロビジョニングによるライセンスの制御

Zoomの ビジネスプラン をご契約されているお客様は、JIT Provisioning を用いたライセンスと役割を制御することが可能です。ZoomにはSAML認証時に新規ユーザーの作成または既存ユーザーの更新を行うことができるJIT Provisioningの機能がございます。加えて、ビジネスプラン をご契約の場合は、Zoom内でライセンスと役割をユーザーにMappingする機能がございます。これら2つの機能を用いることで、OneLoginからZoomにJIT Provisioningを行うことでZoomのユーザーのライセンス制御を行う事ができます。

1. Zoom側の設定

1. Zoomに管理者としてログインします
   管理コンソール > 詳細 > シングルサインオン > SAML レスポンスマッピングのページを開きます
   
   
    
2. SAMLレスポンスマッピング の下部にある SAML詳細情報マッピング に移動します
   
   SAML属性の値においてユーザータイプ、ユーザーの役割、グループの管理者などといった特定の値が含まれる場合、設定した値に応じてライセンスを振り分けることができます
   SAML属性の値は任意で設定できますが、OneLogin側の属性と一致する必要があり、OneLoginと連携する場合はSAML属性は User Type を利用します
   
   ここでは、「OneLogin側からSSOする際に、User Type 属性が Basic であれば、Zoomにおいて基本ユーザーとなる」という設定をする場合を例としてご紹介します
   ⇒SAML属性: User Type　SAML値: Basic　結果の値: 基本
   
   
    
3. ライセンスタイプの設定を行うため、ライセンスタイプ内の［編集］をクリックします
   
   
    

4. 編集をクリックすると、SAML属性、SAML値、結果の値が設定可能になります
   まず、User Type属性において、Basicが割り当てられたユーザーは基本ユーザーとなるような設定をします
   

   SAML属性	SAML値	結果の値
   User Type	Basic	基本

   
    

5. その次に、User Type属性において、Licensedが割り当てられたユーザーはライセンスありのメンバーとなるような設定を行います
   

   SAML属性	SAML値	結果の値
   User Type	Licensed	ライセンスあり

   
    

6. 結果の値で ライセンスあり を選択後、どのミーティングのライセンスが割り当てるかを選択します
   
   
    
7. ［変更を保存］をクリックして保存します
   

2. OneLogin側の設定

1. 設定したZoomコネクタの編集画面から Rules タブに移動し、［Add Rule］をクリックします
   
   
    
2. まず、ZoomのUser Type が Basic の場合のRuleを設定をしていきます
   Name 欄にRuleの名前を入力します
   例: User type >> Basic
   
   
    
3. Conditions に移動し、User Type が Basic としたいユーザーが含まれているロールを割り当てます。ここでは、R_ZoomというRoleに所属したユーザーはZoom上でライセンスなしとします
   
   
    
4. Actions に移動し、一番上のタブから Set User Type in Zoom を選択します
   
   
    
5. 次に、Set User Type to 後のタブから、-Macro- を選択します
   
   
    
6. -Macro- を選択後、右隣の欄に Basic と入力します
   
   
    
7. Ruleの設定が完了後、［Save］をクリックし、保存します
   
   
    
8. Rule が作成されていることを確認します
   
   
    
9. 手順3〜9と同様の流れで、ZoomのUser Type が Licensed の場合のRuleを設定をしていき、設定が完了後、［Save］をクリックします。ここでは、R_Zoom LicensedというRoleに所属したユーザーはZoom上でライセンスありとします
   
   
    
10. ZoomのUser Type が Basic の場合、Licensed の場合の双方のRuleが設定されていることを確認します
    
    
     
11. 確認出来次第、右上の More Actions タブ から、［Reapply entitlement mappings］をクリックします
    
    
     
12. 続いて、Users タブに移動してユーザーの内の一人を選択し、実際にBasic または Licensed が自動的に割り当たっているかどうかを確認します
    
    
     
13. 編集画面中部に User Type の項目がありますので、Basic または Licensed が記載されていることを確認します
    

JITプロビジョニング によるライセンスの制御は以上です。

JITプロビジョニングによるグループの設定

Zoomの ビジネスプラン をご契約されているお客様は、JIT Provisioning を用いたライセンスの制御設定に加えて、JIT Provisioning を用いたグループの設定が可能です
ZoomのMapping機能とOneLoginのRulesをを用いることで、OneLoginからZoomにJIT Provisioningを行うことでグループ設定を行う事ができます。

以下では、「OneLoginで サポート担当 というRoleに割りあたっているメンバーが、ZoomでOneLogin Support というグループ名に所属する」という設定をする場合を例としてご紹介します

1. Zoom側の設定

1. Zoomに管理者としてログインします
   管理コンソール > 詳細 > シングルサインオン > SAML レスポンスマッピングのページを開きます
   
   
    
2. SAMLレスポンスマッピング の下部にある SAML詳細情報マッピング > ユーザーグループ に移動します
   
   
    
3. 設定を行うため、ユーザーグループ内の［編集］をクリックします
   
   
    

4. 編集をクリックすると、SAML属性、SAML値、結果の値が設定可能になります
   まず、User Type属性が onelogin であるユーザーはZoomにおいて OneLogin Support というグループに所属するという設定をします
   

   SAML属性	SAML値	結果の値
   User Group	onelogin	OneLogin Support

   
    

5. ［変更を保存］をクリックして保存します
   

2. OneLogin側の設定

1. 設定したZoomコネクタの編集画面から Rules タブに移動し、［Add Rule］をクリックします
   
   
    
2. Name 欄にRuleの名前を入力します
   例: グループ割当 (OneLogin Support)
   
   
    
3. Conditions に移動し、Zoom上でUser Group が OneLogin Support としたいユーザーが含まれているロールを割り当てます。ここでは、サポート担当というRoleに所属したユーザーはZoom上でOneLogin Support のグループに所属するものとします
   
   
    
4. Actions に移動し、一番上のタブから Set User Group in Zoom を選択します
   
   
    
5. 次に、Set User Group to 後のタブから、-Macro- を選択します
   
   
    
6. -Macro- を選択後、右隣の欄に onelogin と入力します
   
   
    
7. Ruleの設定が完了後、［Save］をクリックし、保存します
   
   
    
8. Rule が作成されていることを確認します
   
   
    
9. 確認出来次第、右上の More Actions タブ から、［Reapply entitlement mappings］をクリックします
   
   
    
10. 続いて、Users タブに移動してユーザーの内の一人を選択し、実際に onelogin が自動的に割り当たっているかどうかを確認します
    
    
     
11. 編集画面中部に User  Group の項目がありますので、onelogin が記載されていることを確認します
    
    
     
12. Zoomに管理者でログインし、管理コンソール > ユーザー管理 > グループ管理 からメンバーにZoom側でグループが割り当てられていることを確認します
    
    
     
13. Zoom側で OneLogin Support が割り当てられていることを確認します
    

JITプロビジョニングによるグループの設定は以上です。

SAML SSOの無効化

1. OneLoginにZoomにおける管理者権限を持つユーザーでログインし、 Zoom をクリックします
   
   
    
2. ［管理コンソール］>［詳細］>［シングルサインオン］をクリックします
   
   
    
3. Zoomのシングルサインオン設定ページへ移動します
   ［シングルサインオンを無効化］をクリックして、SAML連携を解除することができます
   

SAML SSOの無効化は以上です。