基本的なSAMLマッピングを使用すると、ユーザーがSSO経由でZoomにサインインする際に、デフォルトのライセンスタイプを指定できます。また、Zoomでは、電子メールアドレス、氏名、代名詞、電話番号、部門など、アイデンティティプロバイダー(IdP)から渡される特定のSAML属性をマッピングできます。これにより、IdPからZoomに対し、これらの情報を自動的に提供することが可能です。
電子メールアドレスは、従業員固有IDのマッピングを開始しない限り、初回サインイン時のみZoomにマッピングされます。デフォルトでは、氏名も初回サインイン時のみマッピングされますが、SSOサインインのたびに更新するかどうかを選択できます。一方、その他のフィールドは、ユーザーがサインインするたびにマッピングが行われます。
また、ユーザーごとに異なるライセンスを割り当てたり、部署ごとのグループに所属させる場合は、IdPから渡されるSAML属性の値に基づいて、ライセンスやアドオン、ロール、グループを適用する「詳細SAMLレスポンスマッピング」の設定が必要です。
前提条件
- アカウントオーナー、または管理者
- シングルサインオンの有効化
基本SAMLレスポンスマッピングの設定方法
SAML属性と対応する値についてはIdP側で構成する必要があります。IdP側で設定を行った後、Zoomで基本SAMLレスポンスマッピングを設定できます。
- アカウントオーナーまたは管理者としてZoom Webポータルにサインインします。
- [詳細]>[シングルサインオン]の順にクリックします。
-
[SAMLレスポンスマッピング]をクリックします。
[SAML基本情報マッピング]セクションに以下のSAML属性が表示されます。-
デフォルトのライセンスタイプ:[編集]を選択することでデフォルトのユーザータイプを変更することが可能です。[なし]を選択した場合、SSOでのサインイン時にユーザーのZoomアカウントが作成されず、SSO経由でのアクセスが拒否されます。
注:詳細SAMLレスポンスマッピングを利用することで、特定のユーザーにのみSSO経由でのZoom アクセスを許可、もしくはアクセスを禁止するといったことも可能になります。また、ユーザー毎のSAML属性に基づい異なるライセンスタイプを割り当てることも可能になります。
-
デフォルトのライセンスタイプ:[編集]を選択することでデフォルトのユーザータイプを変更することが可能です。[なし]を選択した場合、SSOでのサインイン時にユーザーのZoomアカウントが作成されず、SSO経由でのアクセスが拒否されます。
-
その他の設定可能な項目は下記の通りです。デフォルトのライセンスタイプ以外のフィールドは、[SAML属性へのマッピング]を選択し、IdPから渡されるSAML属性を指定します。
-
メールアドレス:ユーザーのプロフィールに表示されるメールアドレスを設定します。
注:- メールアドレスのマッピングが設定されていない場合、nameIDの値がユーザーのプロファイルとして使用されます。
- IdPから送信されたメールアドレスとnameIDが異なる場合は、メールアドレスの値がnameIDの値よりも優先され、ユーザーの識別子として使用されます。
- 名:ユーザーのプロフィールに表示される名前を設定します。
- 姓:ユーザーのプロフィールに表示される苗字を設定します。
- 表示名:名、姓とは別にミーティング、ウェビナーに参加する際の表示名が追加で設定されます。
-
代名詞:
-
アカウント設定で代名詞の設定を有効化すると、代名詞を入力する欄がユーザープロフィールに追加されます。入力した代名詞は、Zoomデスクトップクライアントとモバイルアプリで表示されるプロフィールの一部としてZoom連絡先に登録されます。ユーザーはミーティングやウェビナーで代名詞を共有するかを選択することができます。
注:この機能を使用する場合はバージョン5.7.0以上が必要です。 - [自分のプロフィールからこのフィールドを更新することをユーザーに許可しません]を有効にすることでIdPの情報から代名詞が設定され、ユーザー側での設定変更が行えないようになります。
-
アカウント設定で代名詞の設定を有効化すると、代名詞を入力する欄がユーザープロフィールに追加されます。入力した代名詞は、Zoomデスクトップクライアントとモバイルアプリで表示されるプロフィールの一部としてZoom連絡先に登録されます。ユーザーはミーティングやウェビナーで代名詞を共有するかを選択することができます。
-
電話:ユーザーのプロフィールに記載される電話番号を設定します。Zoomでは、ユーザーは自身のプロフィールに最大3つの電話番号を記載することができます。オフィス、モバイルなどのラベルを付けてプロフィールに電話番号を記載する際は、[ラベルをつけて番号を追加する]をクリックし、付与するラベルに対応したフィールドにSAML属性を入力します。
注:このフィールドで指定する電話番号は、Zoom Phoneで利用する外線番号とは異なります。 - 会社
- マネージャー:該当のユーザーをマネージメントしているユーザーの情報を記載できます。マネージャーのメールアドレス、またはディスプレイ名と一致するSAML属性を指定する必要があります。
- ジョブタイトル
- 場所
- プロフィール写真
-
パーソナルリンク名:PMIに紐づける固有の文字列を設定します。(例:https://mycompany.zoom.us/my/grant)
パーソナルリンク名は全Zoomユーザーの中で一意な文字列を利用する必要があります。 -
部門:Zoom Phoneの請求管理に利用する部署のフィールドを設定します。
注:この項目は基本SAMLレスポンスマッピングでのみユーザーに設定できます。 -
コストセンター:Zoom Phoneの請求管理に利用するコストセンターのフィールドを設定します。
注:この項目は基本SAMLレスポンスマッピングでのみユーザーに設定できます。 - KalturaユーザーID:Kalturaとの統合をしている場合に、KalturaのIDを指定します。
-
Zoom Phone内線番号: Zoom Phoneを利用する際の内線番号を設定します。
注:一部の番号は予約されており、101~999999までが設定可能な番号です。 - Zoom Phoneの電話番号:Zoom Phoneユーザー個人に割り当てる外線番号を指定します。番号を割り当てるためには、Zoom Phoneユーザーに通話プランが割り当てられている必要があります。Zoom Phoneの通話プランは、詳細SAMLレスポンスマッピングで割り当てることができます。
-
従業員固有のID:ユーザーを識別するための一意なIDを設定します。このフィールドを利用する場合は以下のようなフローが発生します。
- ユーザーがサインインする際、Zoom側ではそれに合致するZoomユーザー側のプロフィールを確認します。
- 一致するユーザが見つかると、そのユーザにてサインインを行い、SAMLマッピングに従ってプロファイルの値全てが更新されます。
- 一致するユーザが見つからない場合、Zoomは一致する従業員固有のIDを持つユーザを確認します。一致する従業員固有のIDが見つかった場合、メールアドレス含めぞのZoomユーザーのプロファイル値が更新されます。
- 一致するユーザーが見つからず、また従業員固有のIDも一致しない場合は新しいZoomユーザーアカウントが作成されます。
注:- 従業員固有のIDは、Zoomのシステム側で、Zoom側ユーザーのプロファイルアドレスの自動更新に使用されます。ユーザーのプロファイルアドレスを自動的に更新するには、そのメールアドレスのドメインが関連ドメインに登録されている必要があります。
- 従業員固有のIDは、ユーザのnameIDやメールアドレスとは異なる静的な値です。一般的な例としては、従業員番号等が使用されます。
- メールアドレスとnameIDの値が異なり、メールアドレスの値がマッピングされている場合、nameIDの値を使用することができます(上記のメールアドレスの注釈を参照してください)
-
メールアドレス:ユーザーのプロフィールに表示されるメールアドレスを設定します。
- 値の入力が完了した後も、[編集]をクリックして値を編集するか、[消去]をクリックして値を削除することができます。
この記事は「Setting up basic SAML mapping」を基に作成されました。
__________________________________________________________________________
Zoomに関するご要望はこちらから
今後のコンテンツやサービスの検討のため、ぜひ忌憚なきご意見をお寄せください
※こちらにご記入いただいた内容は外部公開はされません
※お問い合わせフォームではございませんので、回答が必要なご質問については営業/ 当社サポートまでお問い合わせください