概要

Zoomは、シングルサインオン（SSO）の証明書サポートを強化し、アカウントオーナーや管理者が、新しい証明書が利用可能になった際にZoomが自動的に証明書を更新する機能を提供します。この機能により、証明書を手動で更新する必要がなくなります。また、管理者はSSO構成を以前の証明書に戻すことも可能です。

重要なお知らせ

業界標準の慣習に従い、現在の証明書の有効期限である2025年12月21日に先立ち、Zoomは2025年11月1日に更新されたSSO証明書を提供しました。SSOログイン機能を継続して利用するためには、対応が必要な場合があります。

日程

• 新証明書の提供開始：2025年11月1日（UTC）
• 旧証明書の有効期限：2025年12月21日（UTC）
• 新証明書の失効日：2026年12月01日（UTC）

対応が不要なケース

以下のいずれかの条件に当てはまる場合、対応は不要です。

• SSO設定内に[サービス プロバイダー（SP）証明書]セクションが表示されていない。
  
• SSO設定内の[サービス プロバイダー（SP）証明書]セクションが以下の状態となっている。
  • Zoom証明書(2026/12/01 UTCに失効)
  • [証明書を自動的に管理する]にチェックが入っている
    

注:
IDPの構成でサービスプロバイダー証明書が不要な場合、これらのオプション(「Service Provider (SP) Certificate」セクション)はZoom Webポータルに表示されません。その場合、対応は不要です。

対応が必要なケース(対応期限：2025年12月21日まで)

以下の両方の条件を満たす場合は、2025年12月21日 UTCまでに対応が必要です。

• SSO設定内に[サービス プロバイダー（SP）証明書]のドロップダウンが表示されている。
  
• [サービス プロバイダー（SP）証明書]セクションに、[Zoom証明書(2025/12/21 UTCに失効]と表示されている。
  

注：

[証明書を自動的に管理する]にチェックが入っている場合でも、IdPによっては自動的な証明書ローテーションに対応していない場合があります。また、自動ローテーションが有効な場合でも、証明書が自動的に切り替わるまでに数日かかることがあります。詳細はご利用のIdPのドキュメントをご確認ください。

また、以下のセキュリティオプションがZoom SSO設定で有効になっている場合は[サービス プロバイダー（SP）証明書]セクションが表示されます。

• SAMLリクエストにサイン
• SAMLサインアウトリクエストに署名する
• 暗号化アサーションをサポート
  

対応期限：2025年12月21日まで

自動更新を無効化している場合や、IdPが自動証明書ローテーションをサポートしていない場合、以下の手順を実施してください。

1. Zoom Webポータルのシングルサインオンの画面で[編集]をクリックします。
2. [Zoom証明書(2026/12/01 UTCに失効します)]を選択します
   
3. 下にスクロールし[変更を保存]をクリックします
4. 確認のポップアップが表示されるため、[はい]をクリックします
5. 新しい証明書をローテーションした後、SSOを利用して中断なくZoomへログイン可能になります。

この記事は以下の内容を含んでいます

• 前提条件
• 新しい SSO 証明書管理オプション 
  • サービス プロバイダー証明書
  • 証明書の自動管理
• ADFS 証明書のローテーション  
  • メタデータ URL を介して証明書を自動的に更新する
  • メタデータ URL を介して証明書を手動で更新する
  • 証明書ファイルによる手動更新
• Shibboleth 証明書のローテーション  
  • Shibboleth V3
  • Web サーバーの再起動による証明書の手動更新
  • Graceful による証明書の手動更新

前提条件

ZoomでSSO証明書のローテーションを行うには、以下の条件をすべて満たしている必要があります。

• Zoomアカウントのオーナーまたは管理者権限
• 承認されたバニティ URLを持つビジネスまたは教育機関向けアカウント
• 信頼ストアにDigiCert Global Root G2が含まれていること
• 以下のいずれかのSSOオプションが有効になっていること：
• SAMLリクエストにサイン(Sign SAML request)
• SAML サインアウト リクエストに署名する(Sign SAML Logout request)
• 暗号化アサーションをサポート(Support encrypted assertions)

新しい SSO 証明書管理オプション

サービス プロバイダー証明書

サービスプロバイダー証明書は、SAMLリクエストおよびSAMLログアウトリクエストをIDプロバイダー(IDP)に送信する際に署名するために使用されます。
IDPはこれらの証明書を使用して、SAML/ログアウトリクエストの署名を検証します。そのため、ZoomとIDPの両方で使用される証明書が同じであることが重要です。証明書が異なる場合、IDPがエラーを返し、ユーザーがログインできなくなる可能性があります。

この証明書は、次のURLにあるZoom SAMLメタデータ内で確認できます

• https://yourvanityurl.zoom.us/saml/metadata/sp

証明書の自動管理

Zoom Webポータルのシングルサインオン設定内「証明書を自動的に管理する」について

ADFS 証明書のローテーション 

ADFSサーバーでZoom SAMLメタデータURLの「Relying Party Monitoring(モニタリングの依頼元)」が有効になっていない場合、証明書を手動で更新する必要があります。

メタデータ URL を介して証明書を自動的に更新する

ADFS サーバーでモニタリングオプションを有効にするには:

1. ADFS サーバーにサインインします。
2. [管理ツール] を開き、[AD FS 管理コンソール（MMC）] を開きます。
3. 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
4. [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします
5. [モニタリング] タブで、Zoom SAML メタデータ URL（https://yourvanityurl.zoom.us/saml/metadata/sp）を入力します。
6. [証明書利用者のモニタリング] を有効にします。
7. [適用] をクリックします。

メタデータ URL を介して証明書を手動で更新する

メタデータ URL を使用して証明書を手動で更新するには:

1. Zoom ウェブポータルにサインインします。
2. ナビゲーション メニューで、[詳細設定]>[シングル サインオン] の順にクリックします。
3. 右上の[編集] をクリックし[サービスプロバイダー（SP）証明書] セクションで「Zoom証明書(2026/12/01 UTCに失効します)」 を選択します。
   これでZoom証明書が最新の証明書( 最も有効期限が長い証明書)に更新されます。
4. ADFS サーバーにサインインします。
5. [管理ツール] を開き、[AD FS 管理コンソール（MMC）] を開きます。
6. 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
7. [Zoomの証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
8. Zoom SAMLメタデータURL（https://yourvanityurl.zoom.us/saml/metadata/sp）を入力します。
9. [URLのテスト] をクリックします。
10. 検証が完了したら、[OK] をクリックした後、[適用] をクリックします。
11. [プロパティ] ウィンドウを閉じます。
12. [Zoomの証明書利用者情報] を右クリックして、[Federationメタデータから更新] をクリックします。
13. [識別子] タブで、[更新] をクリックします。
14. [暗号化] タブと [署名] タブの新しい証明書の有効日と有効期限日を確認します。
    注: SSOで暗号化アサーションをサポートしていない場合、Encryptionタブには証明書が1つだけ、または全く表示されない場合があります。同様に、Sign SAML RequestやSign SAML Logout Requestを有効にしていない場合、Signatureタブでも同じことが言えます。
15. 証明書が更新されたら、Zoom社はSSOが正常に動作していることを確認するために、数回テストログインすることを推奨します。

ADFS ログエラーのトラブルシューティング

証明書の署名エラー MSIS3015(エラーメッセージ例)

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: The signing certificate of the claims provider trust 'xxxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid.

暗号化証明書エラー MSIS3014(エラーメッセージ例)

Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: The encryption certificate of the relying party trust 'microsoft:identityserver:xxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid.

上記いずれかのエラーが発生した場合、以下の可能性があります。

• 証明書が失効している
• 期限が切れている
• 証明書チェーンが信頼されていない

その場合、以下の解決策を実施してください。

1. 証明書を以前のものにロールバックします。
2. エラーが解決したことを確認するためにテストを行います。
3. エラーが解消されたら、メタデータURLを使用して証明書を再更新します。

証明書ファイルによる手動更新

Zoomから証明書をダウンロードする

1. Zoom Web ポータルにサインインします。
2. [詳細] > [シングル サインオン] の順にクリックします。
3. [編集]をクリックし[サービス プロバイダー (SP) 証明書] セクションで、 「Zoom証明書(2026/12/01 UTCに失効します)」 を選択します。
   これでZoom証明書が最新の証明書に更新されます。
   
4. [表示] をクリックして、証明書の詳細ページを開きます。
    
5. [ダウンロード]  をクリックして 、証明書ファイルをダウンロードします。
   
    

証明書をADFSにアップロードする

1. ADFS サーバーにログインします。
2. [管理ツール] を開き、[AD FS 管理コンソール（MMC）] を開きます。
3. 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
4. [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
5. [暗号化] タブをクリックした後、[ブラウズ] をクリックします。
6. ダウンロードした証明書ファイルを開きます。
7. [署名] タブをクリックします。
8. 現在掲載されている証明書をすべて削除します。
9. [追加] をクリックして、最新の証明書を選択します。

テストとロールバック

• 証明書が更新されたら、ZoomはSSOが正常に動作していることを確認するために、数回テストログインを行うことを推奨します。
• SSOログインが正常に動作しない場合、以前の証明書にロールバックして再度テストを行います。その後、再度証明書をアップロードしてください。

Shibboleth 証明書のローテーション 

Shibboleth V3

注: Shibbolethを使用する場合、暗号化アサーションをサポートする設定が有効になっていることを確認してください。

メタデータプロバイダーの種類による対応

1. HTTPMetadataProvider, FileBackedHTTPMetadataProvider, DynamicHTTPMetadataProviderを使用している場合
   ShibbolethがZoomのメタデータを監視します。この場合、特別な対応は必要ありません。

2. 上記以外のメタデータプロバイダータイプを使用している場合

   • ResourceBackedMetadataProvider
   • LocalDynamicMetadataProvider
   • FilesystemMetadataProvider

   これらを使用している場合は、Shibbolethサーバー上のメタデータファイルを手動でダウンロードして更新する必要があります。ただし、サーバーの再起動をせずにメタデータファイルを更新できる場合があります(例: Apache Tomcatやその他のJavaアプリケーションの場合)。

詳しくは、Shibboleth の設定に関する wikiをご覧ください。

Web サーバーの再起動による証明書の手動更新

1. Zoom Web ポータルにサインインします。
2. ナビゲーションメニューで、 [詳細] > [シングル サインオン] の順にクリックします。
3. [編集]をクリックし[サービス プロバイダー (SP) 証明書] セクションで、
4. [Zoom証明書(2026/12/01 UTCに失効)] を選択します。
   これによりZoom証明書が最新の証明書( 最も有効期限が長い証明書)に更新されます。
5. https://yourvanityur l.zoom.us/saml/metadata/spから新しいメタデータをダウンロードします。
   
    
6. 新しい証明書ファイルを使用して、Shibbolethサーバー上の既存のメタデータファイルを更新します。
7. Webサーバーを再起動します。

注 : Webサーバーを再起動しない場合、Shibbolethがファイルを読み込むまで少なくとも5分、最大で24時間待機する必要があります。この間、ユーザーはSSOを使用してログインできない可能性があります。

Graceful による証明書の手動更新

1. https://yourvanityurl.zoom.us/saml/metadata/sp から新しいメタデータをダウンロードします。
2. 新しい証明書ファイルを使用して、Shibbolethサーバー上の既存のメタデータファイルを更新します。
3. Zoomが自動検出し、新しい証明書に更新されるまで48時間待機します。
4. Zoom Webポータルのシングルサインオン設定をチェックして、証明書が最新のものに自動更新されているかを確認します。
   • 成功した場合：メタデータURLからメタデータ ファイルを再度ダウンロードして、新しいファイルでサーバーを更新します。
   • 失敗した場合：Zoomが新しい証明書を自動検出するまでもう1日待機します。

こちらの記事は、「Zoom SSO certificate rotation」を元に作成しました。

__________________________________________________________________________

Zoomに関するご要望はこちらから

今後のコンテンツやサービスの検討のため、ぜひ忌憚なきご意見をお寄せください

※こちらにご記入いただいた内容は外部公開はされません
※お問い合わせフォームではございませんので、回答が必要なご質問については営業/ 当社サポートまでお問い合わせください