Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
4
Help us understand the problem. What is going on with this article?
@hisssa0102

ZoomをAzure ADでSSOする構成にしてみた(前編)

SalesforceTableauに続く第3弾。今回はZoomをOffice365にSSOする設定をしてみた。

今回のゴールは、組織のドメインのユーザーは、強制でSSOさせること。利便性とセキュリティの両立、ってことでやってみた。

前提条件
バニティURLの取得
SSOの構成(Azure AD上の設定)
SSOの構成(Zoom上の設定)
参考資料

前提条件

前提条件として「SSOするならビジネス版を10アカウント」というのが最低条件らしい。
SSOさせたければ、一定以上のライセンスが必要な、というSaaSは多く、Zoomもその例に漏れない。しかし、どうもビジネス版を10ライセンスあればよいみたい。

くわしくは、ここ。
https://zoom.us/pricing

バニティURLの取得

バニティURLとは、カスタムのZoom用ドメイン。yourcompany-jp.zoom.usみたいな感じ。これを取らないとSSOできないので、前提条件その2ともいえる。

管理者アカウントで管理画面に入って、管理者 - アカウント管理 - アカウントプロフィールを開く。すると、下のほうにバニティURL欄が出てくるので、申請。

メールのドメインに準じて設定しないといけない。
メールドメインがyourcompnay.jpなら、yourcompany-jp.zoom.usみたいな感じで、"."を"-"で置き換える。yourcompany.zoom.usではリジェクトされました。

申請してたら数日待つ。のだけど数時間で回答きた。
image.png

SSOの構成(AzureAD上の設定)

3回目ともなれば慣れたもので「公式ドキュメントは正しいとは限らない」「最新だとは思わない」を前提に進められるようになってきた。毎度おなじみ、Azure Portalと、Zoomの管理画面を行ったり来たり。

1.Azure Portalでの作業
Azure Portal - Azure ActiveDirectory -エンタープライズアプリーケーション を開いて、ギャラリーでZoomを検索
image.png

画面が切り替わったら、シングルサインオンの設定 - SAML と進めて、入力。

Identifier (Entity ID) yourcompany-jp.zoom.us
Reply URL (Assertion Consumer Service URL) https://yourcompany-jp.zoom.us/SAML/SSO/
Sign on URL https://yourcompany-jp.zoom.us

image.png
※バニティドメインはそれぞれ置き換えてください。

それから、Base64の証明書をダウンロードして、Login URL、Azure AD Identifier、Logout URLをこぴっておく。

image.png

SSOの構成(Zoom上の設定)

ここまでやったら、次はZoomの管理画面。管理者 - 詳細 - シングルサインオンを開いて、以下入力

AzureADの値
サインインページ AADのLogin URLの値
サインアウトページ AADのLogout URLの値
プロバイダの証明書を特定 さっきダウンロードした証明書をメモ帳で開いてそのままコピペ
発行者(IDPエンティティID) AADのAzure AD Identifierの値

image.png

テストする

あとはAzure AD - エンタープライズアプリケーション - Zoom - ユーザーとグループでユーザーを割り当てて、実際にテスト。

バニティURLを開いて、サインインを選んだら、見慣れたOffice365のログイン画面が表示されるはずなので、そのままサインインできればOK。

・・・なのだが。

https://yourcompany-jp.zoom.us
からであればSSOになるのだけど、

https://zoom.us
からなら、素のパスワードでログインできてしまう。これではSSOの利便性は担保できるけど、認証制御の意味ないやん!

うちのドメインのユーザーは、強制でSSOしかできなくしないと意味がないんよ!

というわけで、後編に続く

参考資料

チュートリアル:Azure Active Directory シングル サインオン (SSO) と Zoom の統合
https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/zoom-tutorial

SSO入門(Zoom)
https://support.zoom.us/hc/ja/articles/201363003-SSO%E5%85%A5%E9%96%80

ほかのSaaSもいくつかまとめてみました。各種SaaSとAzure Active Directoryのシングルサインオン対応状況を調べてみたを参照してください。

4
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
hisssa0102
ユーザー企業でMicrosoft 365の管理者・社内利活用促進をやってます。

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
4
Help us understand the problem. What is going on with this article?