Go to Qiita Advent Calendar 2024 Top
LoginSignup
4
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@hisssa0102(hisssa)

ZoomをAzure ADでSSOする構成にしてみた(前編)

Last updated at Posted at 2020-05-01

SalesforceTableauに続く第3弾。今回はZoomをOffice365にSSOする設定をしてみた。

今回のゴールは、組織のドメインのユーザーは、強制でSSOさせること。利便性とセキュリティの両立、ってことでやってみた。

前提条件
バニティURLの取得
SSOの構成(Azure AD上の設定)
SSOの構成(Zoom上の設定)
参考資料

#前提条件
前提条件として「SSOするならビジネス版を10アカウント」というのが最低条件らしい。
SSOさせたければ、一定以上のライセンスが必要な、というSaaSは多く、Zoomもその例に漏れない。しかし、どうもビジネス版を10ライセンスあればよいみたい。

くわしくは、ここ。
https://zoom.us/pricing

#バニティURLの取得

バニティURLとは、カスタムのZoom用ドメイン。yourcompany-jp.zoom.usみたいな感じ。これを取らないとSSOできないので、前提条件その2ともいえる。

管理者アカウントで管理画面に入って、管理者 - アカウント管理 - アカウントプロフィールを開く。すると、下のほうにバニティURL欄が出てくるので、申請。

メールのドメインに準じて設定しないといけない。
メールドメインがyourcompnay.jpなら、yourcompany-jp.zoom.usみたいな感じで、"."を"-"で置き換える。yourcompany.zoom.usではリジェクトされました。

申請してたら数日待つ。のだけど数時間で回答きた。
image.png

#SSOの構成(AzureAD上の設定)

3回目ともなれば慣れたもので「公式ドキュメントは正しいとは限らない」「最新だとは思わない」を前提に進められるようになってきた。毎度おなじみ、Azure Portalと、Zoomの管理画面を行ったり来たり。

1.Azure Portalでの作業
Azure Portal - Azure ActiveDirectory -エンタープライズアプリーケーション を開いて、ギャラリーでZoomを検索
image.png

画面が切り替わったら、シングルサインオンの設定 - SAML と進めて、入力。
Identifier (Entity ID) yourcompany-jp.zoom.us
Reply URL (Assertion Consumer Service URL) https://yourcompany-jp.zoom.us/SAML/SSO/
Sign on URL https://yourcompany-jp.zoom.us

image.png
※バニティドメインはそれぞれ置き換えてください。

それから、Base64の証明書をダウンロードして、Login URL、Azure AD Identifier、Logout URLをこぴっておく。

image.png

#SSOの構成(Zoom上の設定)

ここまでやったら、次はZoomの管理画面。管理者 - 詳細 - シングルサインオンを開いて、以下入力

AzureADの値
サインインページ AADのLogin URLの値
サインアウトページ AADのLogout URLの値
プロバイダの証明書を特定 さっきダウンロードした証明書をメモ帳で開いてそのままコピペ
発行者(IDPエンティティID) AADのAzure AD Identifierの値

image.png

#テストする

あとはAzure AD - エンタープライズアプリケーション - Zoom - ユーザーとグループでユーザーを割り当てて、実際にテスト。

バニティURLを開いて、サインインを選んだら、見慣れたOffice365のログイン画面が表示されるはずなので、そのままサインインできればOK。

・・・なのだが。

https://yourcompany-jp.zoom.us
からであればSSOになるのだけど、

https://zoom.us
からなら、素のパスワードでログインできてしまう。これではSSOの利便性は担保できるけど、認証制御の意味ないやん!

うちのドメインのユーザーは、強制でSSOしかできなくしないと意味がないんよ!

というわけで、後編に続く

#参考資料
チュートリアル:Azure Active Directory シングル サインオン (SSO) と Zoom の統合
https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/zoom-tutorial

SSO入門(Zoom)
https://support.zoom.us/hc/ja/articles/201363003-SSO%E5%85%A5%E9%96%80

ほかのSaaSもいくつかまとめてみました。各種SaaSとAzure Active Directoryのシングルサインオン対応状況を調べてみたを参照してください。

4
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?