概要
Zoomは、シングルサインオン(SSO)の証明書サポートを強化し、アカウントオーナーや管理者が、新しい証明書が利用可能になった際にZoomが自動的に証明書を更新する機能を提供します。この機能により、証明書を手動で更新する必要がなくなります。また、管理者はSSO構成を以前の証明書に戻すことも可能です。
重要なお知らせ
業界標準に従い、Zoomは2024年12月31日(火)の有効期限に先立ち、SSO証明書を更新します。この更新を進める前に、以下を確認してください:
-
DigiCert Global Root G2が信頼ストアに含まれていること。
- 多くのクラウドベースIDプロバイダー(IdP)サービスはすでに対応していますが、オンプレミス型IdPサーバーでは信頼ストアの更新が必要な場合があります。
- DigiCert Global Root G2が含まれていない場合、Zoom SSO証明書のローテーション時にサービスが中断する可能性があります。
自動更新が有効な場合(対応不要)
動的メタデータリフレッシュをサポートするIdPまたは構成を使用しているアカウントでは、特別な対応は必要ありません。この場合、以下の挙動となります。
- Zoomが最新の証明書を自動でダウンロード
- 2024年11月22日(金)以降、自動更新が開始されます。
- 確認ポイント
- Zoom Webポータルのシングルサインオン設定内「サービスプロバイダー(SP)証明書」セクションに以下の情報が表示されます:
- Zoom証明書(2025年12月21日 UTCに失効)
- [証明書を自動的に管理する]にチェックが入っていること
- Zoom Webポータルのシングルサインオン設定内「サービスプロバイダー(SP)証明書」セクションに以下の情報が表示されます:
注:
IDPの構成でサービスプロバイダー証明書が不要な場合、これらのオプションはZoom Webポータルに表示されません。その場合、追加の対応は不要です。
手動対応が必要(対応期間:2024年11月22日~2024年12月31日)
以下のセキュリティオプションがZoom SSO設定で有効になっている場合は対応が必要です。
- SAMLリクエストへの署名
- SAMLログアウトリクエストへの署名
- 暗号化アサーションのサポート
対応期間: 2024年11月22日~12月31日
自動更新を無効化している場合や、IdPが自動証明書ローテーションをサポートしていない場合、以下の手順を実施してください。
- Zoom Webポータルのシングルサインオンの画面で[編集]をクリックします。
-
[Zoom証明書(2025/12/21 UTCに失効します)]を選択します
- 下にスクロールし[変更を保存]をクリックします
- 確認のポップアップが表示されるため、[はい]をクリックします
- 新しい証明書をローテーションした後、SSOを利用して中断なくZoomへログイン可能になります。
この記事の内容:
$$$
前提条件
-
- Zoomのオーナーまたは管理者権限
- 承認されたバニティ URLを持つビジネスまたは教育機関向けアカウント
新しい SSO 証明書管理オプション
サービス プロバイダー証明書
サービスプロバイダー証明書は、SAMLリクエストおよびSAMLログアウトリクエストをIDプロバイダー(IDP)に送信する際に署名するために使用されます。
IDPはこれらの証明書を使用して、SAML/ログアウトリクエストの署名を検証します。そのため、ZoomとIDPの両方で使用される証明書が同じであることが重要です。証明書が異なる場合、IDPがエラーを返し、ユーザーがログインできなくなる可能性があります。
この証明書は、次のURLにあるZoom SAMLメタデータ内で確認できます
- https://yourvanityurl.zoom.us/saml/metadata/sp
証明書の自動管理
Zoom Webポータルのシングルサインオン設定内「証明書を自動的に管理する」について
状態 | 動作 |
オン (デフォルト) |
最新の証明書が現在SAMLリクエストに使用されていない場合、Zoomメタデータには2つの証明書が設定されます。 |
オフ | Zoomメタデータには1つの証明書のみがSSO設定に設定されます。この場合、Zoomは新しい証明書に自動ローテーションを行いません。 |
ADFS 証明書のローテーション
ADFSサーバーでZoom SAMLメタデータURLの「Relying Party Monitoring(モニタリングの依頼元)」が有効になっていない場合、証明書を手動で更新する必要があります。
メタデータ URL を介して証明書を自動的に更新する
ADFS サーバーでモニタリングオプションを有効にするには:
-
- ADFS サーバーにサインインします。
- [管理ツール] を開き、[AD FS 管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします
- [モニタリング] タブで、Zoom SAML メタデータ URL(https://yourvanityurl.zoom.us/saml/metadata/sp)を入力します。
- [証明書利用者のモニタリング] を有効にします。
- [適用] をクリックします。
メタデータ URL を介して証明書を手動で更新する
メタデータ URL を使用して証明書を手動で更新するには:
-
- Zoom ウェブポータルにサインインします。
- ナビゲーション メニューで、[詳細設定]>[シングル サインオン] の順にクリックします。
- 右上の[編集] をクリックし[サービスプロバイダー(SP)証明書] セクションで「Zoom証明書(2025/12/21 UTCに失効します)」 を選択します。
これでZoom証明書が最新の証明書( 最も有効期限が長い証明書)に更新されます。 - ADFS サーバーにサインインします。
- [管理ツール] を開き、[AD FS 管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoomの証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
- Zoom SAMLメタデータURL(https://yourvanityurl.zoom.us/saml/metadata/sp)を入力します。
- [URLのテスト] をクリックします。
- 検証が完了したら、[OK] をクリックした後、[適用] をクリックします。
- [プロパティ] ウィンドウを閉じます。
- [Zoomの証明書利用者情報] を右クリックして、[Federationメタデータから更新] をクリックします。
- [識別子] タブで、[更新] をクリックします。
- [暗号化] タブと [署名] タブの新しい証明書の有効日と有効期限日を確認します。
注: SSOで暗号化アサーションをサポートしていない場合、Encryptionタブには証明書が1つだけ、または全く表示されない場合があります。同様に、Sign SAML RequestやSign SAML Logout Requestを有効にしていない場合、Signatureタブでも同じことが言えます。 - 証明書が更新されたら、Zoom社はSSOが正常に動作していることを確認するために、数回テストログインすることを推奨します。
ADFS ログエラーのトラブルシューティング
証明書の署名エラー MSIS3015(エラーメッセージ例)
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: The signing certificate of the claims provider trust 'xxxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid.
暗号化証明書エラー MSIS3014(エラーメッセージ例)
Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: The encryption certificate of the relying party trust 'microsoft:identityserver:xxxxxxx.zoom.us' identified by thumbprint '175F66EE7911A55ECF3549280C85A0BB941CEC16' is not valid.
上記いずれかのエラーが発生した場合、以下の可能性があります。
- 証明書が失効している
- 期限が切れている
- 証明書チェーンが信頼されていない
その場合、以下の解決策を実施してください。
- 証明書を以前のものにロールバックします。
- エラーが解決したことを確認するためにテストを行います。
- エラーが解消されたら、メタデータURLを使用して証明書を再更新します。
証明書ファイルによる手動更新
Zoomから証明書をダウンロードする
-
- Zoom Web ポータルにサインインします。
- [詳細] > [シングル サインオン] の順にクリックします。
-
[編集]をクリックし[サービス プロバイダー (SP) 証明書] セクションで、 「Zoom証明書(2025/12/21 UTCに失効します)」 を選択します。
これでZoom証明書が最新の証明書に更新されます。 -
[表示] をクリックして、証明書の詳細ページを開きます。
-
[ダウンロード] をクリックして 、証明書ファイルをダウンロードします。
証明書をADFSにアップロードする
-
- ADFS サーバーにログインします。
- [管理ツール] を開き、[AD FS 管理コンソール(MMC)] を開きます。
- 左側のナビゲーションで、[信頼関係] をクリックして、[証明書利用者信頼] をクリックします。
- [Zoom の証明書利用者信頼] を右クリックして、[プロパティ] をクリックします。
- [暗号化] タブをクリックした後、[ブラウズ] をクリックします。
- ダウンロードした証明書ファイルを開きます。
- [署名] タブをクリックします。
- 現在掲載されている証明書をすべて削除します。
- [追加] をクリックして、最新の証明書を選択します。
テストとロールバック
- 証明書が更新されたら、ZoomはSSOが正常に動作していることを確認するために、数回テストログインを行うことを推奨します。
- SSOログインが正常に動作しない場合、以前の証明書にロールバックして再度テストを行います。その後、再度証明書をアップロードしてください。
Shibboleth 証明書のローテーション
Shibboleth V3
注: Shibbolethを使用する場合、暗号化アサーションをサポートする設定が有効になっていることを確認してください。
メタデータプロバイダーの種類による対応
-
HTTPMetadataProvider, FileBackedHTTPMetadataProvider, DynamicHTTPMetadataProviderを使用している場合
ShibbolethがZoomのメタデータを監視します。この場合、特別な対応は必要ありません。 -
上記以外のメタデータプロバイダータイプを使用している場合
- ResourceBackedMetadataProvider
- LocalDynamicMetadataProvider
- FilesystemMetadataProvider
これらを使用している場合は、Shibbolethサーバー上のメタデータファイルを手動でダウンロードして更新する必要があります。ただし、サーバーの再起動をせずにメタデータファイルを更新できる場合があります(例: Apache Tomcatやその他のJavaアプリケーションの場合)。
詳しくは、Shibboleth の設定に関する wikiをご覧ください。
Web サーバーの再起動による証明書の手動更新
-
- Zoom Web ポータルにサインインします。
- ナビゲーションメニューで、 [詳細] > [シングル サインオン] の順にクリックします。
- [編集]をクリックし[サービス プロバイダー (SP) 証明書] セクションで、
-
[Zoom証明書(2025/12/21 UTCに失効)] を選択します。
これによりZoom証明書が最新の証明書( 最も有効期限が長い証明書)に更新されます。 -
https://yourvanityur l.zoom.us/saml/metadata/spから新しいメタデータをダウンロードします。
- 新しい証明書ファイルを使用して、Shibbolethサーバー上の既存のメタデータファイルを更新します。
- Webサーバーを再起動します。
注 : Webサーバーを再起動しない場合、Shibbolethがファイルを読み込むまで少なくとも5分、最大で24時間待機する必要があります。この間、ユーザーはSSOを使用してログインできない可能性があります。
Graceful による証明書の手動更新
- https://yourvanityurl.zoom.us/saml/metadata/sp から新しいメタデータをダウンロードします。
- 新しい証明書ファイルを使用して、Shibbolethサーバー上の既存のメタデータファイルを更新します。
- Zoomが自動検出し、新しい証明書に更新されるまで48時間待機します。
-
Zoom Webポータルのシングルサインオン設定をチェックして、証明書が最新のものに自動更新されているかを確認します。
- 成功した場合:メタデータURLからメタデータ ファイルを再度ダウンロードして、新しいファイルでサーバーを更新します。
- 失敗した場合:Zoomが新しい証明書を自動検出するまでもう1日待機します。
こちらの記事は、「Zoom SSO certificate rotation」を元に作成しました。
__________________________________________________________________________
Zoomに関するご要望はこちらから
今後のコンテンツやサービスの検討のため、ぜひ忌憚なきご意見をお寄せください
※こちらにご記入いただいた内容は外部公開はされません
※お問い合わせフォームではございませんので、回答が必要なご質問については営業/ 当社サポートまでお問い合わせください