前提条件

前提条件として「SSOするならビジネス版を10アカウント」というのが最低条件らしい。
SSOさせたければ、一定以上のライセンスが必要な、というSaaSは多く、Zoomもその例に漏れない。しかし、どうもビジネス版を10ライセンスあればよいみたい。

くわしくは、ここ。
https://zoom.us/pricing

バニティURLの取得

バニティURLとは、カスタムのZoom用ドメイン。yourcompany-jp.zoom.usみたいな感じ。これを取らないとSSOできないので、前提条件その2ともいえる。

管理者アカウントで管理画面に入って、管理者 - アカウント管理 - アカウントプロフィールを開く。すると、下のほうにバニティURL欄が出てくるので、申請。

メールのドメインに準じて設定しないといけない。
メールドメインがyourcompnay.jpなら、yourcompany-jp.zoom.usみたいな感じで、"."を"-"で置き換える。yourcompany.zoom.usではリジェクトされました。

申請してたら数日待つ。のだけど数時間で回答きた。

3回目ともなれば慣れたもので「公式ドキュメントは正しいとは限らない」「最新だとは思わない」を前提に進められるようになってきた。毎度おなじみ、Azure Portalと、Zoomの管理画面を行ったり来たり。

1.Azure Portalでの作業
Azure Portal - Azure ActiveDirectory -エンタープライズアプリーケーションを開いて、ギャラリーでZoomを検索

画面が切り替わったら、シングルサインオンの設定 - SAML と進めて、入力。

欄	値
Identifier (Entity ID)	yourcompany-jp.zoom.us
Reply URL (Assertion Consumer Service URL)	https://yourcompany-jp.zoom.us/SAML/SSO/
Sign on URL	https://yourcompany-jp.zoom.us

※バニティドメインはそれぞれ置き換えてください。

それから、Base64の証明書をダウンロードして、Login URL、Azure AD Identifier、Logout URLをこぴっておく。

ここまでやったら、次はZoomの管理画面。管理者 - 詳細 - シングルサインオンを開いて、以下入力

欄	AzureADの値
サインインページ	AADのLogin URLの値
サインアウトページ	AADのLogout URLの値
プロバイダの証明書を特定	さっきダウンロードした証明書をメモ帳で開いてそのままコピペ
発行者（IDPエンティティID）	AADのAzure AD Identifierの値

あとはAzure AD - エンタープライズアプリケーション -　Zoom - ユーザーとグループでユーザーを割り当てて、実際にテスト。

バニティURLを開いて、サインインを選んだら、見慣れたOffice365のログイン画面が表示されるはずなので、そのままサインインできればOK。

・・・なのだが。

https://yourcompany-jp.zoom.us
からであればSSOになるのだけど、

https://zoom.us
からなら、素のパスワードでログインできてしまう。これではSSOの利便性は担保できるけど、認証制御の意味ないやん！

うちのドメインのユーザーは、強制でSSOしかできなくしないと意味がないんよ！

というわけで、後編に続く

チュートリアル:Azure Active Directory シングルサインオン (SSO) と Zoom の統合
https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/zoom-tutorial