Cisco ScanCenter アドミニストレータ ガイド バージョン 5.2
認証
認証

認証

認証は、ユーザのアイデンティティを確認する動作です。 Cisco ScanCenter では、ユーザ単位、またはユーザ グループ単位で Web へのアクセスを制御できます。 認証を使用することで組織のポリシーを徹底し、規制へのコンプライアンスが保てます。 Cisco ScanCenter はクライアント ソフトウェアを使用せずに認証を実行できますが、Cisco AnyConnect セキュア モビリティ Web セキュリティやコネクタ(シスコ 適応型セキュリティ アプライアンスおよびシスコ サービス統合型ルータ 統合コネクタを含む)での使用に向けた、組織、グループ、個人ユーザの認証キーを生成することもできます。 詳細については、関連する管理者ガイドを参照してください。 グループ キーまたはユーザ キーを生成する場合、事前にそのグループまたはユーザを作成しておく必要があります。 ユーザ管理 を参照してください。

会社キー

会社キーは、会社全体の認証に使用されます。

手順
    ステップ 1   [管理] タブをクリックして、管理メニューを表示します。
    ステップ 2   [認証] メニューの [会社キー] をクリックして、[会社キー] ページを表示します。

    次の作業

    アクティブなキーを非アクティブにするには、[非アクティブ化] をクリックします。 非アクティブなキーをアクティブにするには、[アクティブ化] をクリックします。

    キーを完全に削除にするには、[取消] をクリックします。


    (注)  


    キーを廃止または非アクティブにすると、Cisco Cloud Web Security でユーザを認証できなくなります。 そのため、キーを廃止した場合は、新しいキーを生成する必要があります。


    会社キーを生成するには、[新規作成] をクリックします。 [認証キー] ページが表示されます。

    表示されている認証キーを安全な場所にコピーします。


    注意    


    セキュリティ上の理由により、認証キーは 1 度しか表示されません。 キーを紛失した場合は、既存のキーを廃止し、新しいキーを作成する必要があります。


    グループ キー

    はじめる前に

    グループ キーは、ユーザのグループを認証する目的で使用されます。 グループ キーを作成する場合、事前にそのグループを作成しておく必要があります。 ユーザ管理を参照してください。

    手順
      ステップ 1   [管理] タブをクリックして、管理メニューを表示します。
      ステップ 2   [認証] メニューの [グループ キー] をクリックして、[グループ認証キー] ページを表示します。

      次の作業

      キーを作成してアクティブにするには、[キーの作成] をクリックします。 [認証キー] ページが表示されます。 [電子メールでユーザに送信] ボックスにグループのメール アドレスを入力し、ボックスのリストからドメインを選択し、[送信] をクリックして、そのグループのメンバーに電子メール メッセージを送信します。

      アクティブなキーを非アクティブにするには、[非アクティブ化] をクリックします。 非アクティブなキーをアクティブにするには、[アクティブ化] をクリックします。

      グループを検索するには、[検索] ボックスにグループ名の一部または全体を入力し、[検索] をクリックします。 検索前のリスト全体を再度表示するには、[リストをリロード] をクリックします。


      (注)  


      グループを削除すると、グループに関連付けられている認証キーも削除されます。いったん削除すると、元に戻すことはできません。


      グループの一括管理

      複数のグループ キーをまとめてアクティブ、非アクティブ、および廃止にできます。

      キーが生成されているグループに対する [選択] 列のチェック ボックスをオンにし、グループを選択します。 [すべて選択] をクリックすると、キーが生成されているすべてのグループのチェック ボックスがオンになります。[すべて選択解除] をクリックすると、キーが生成されているすべてのグループのチェック ボックスがオフになります。

      選択したすべてのグループ キーをアクティブにするには、[選択したキーをアクティブにする] をクリックします。

      選択したすべてのグループ キーを非アクティブにするには、[選択したキーを非アクティブにする] をクリックします。

      選択したすべてのグループ キーを完全に削除するには、[選択したキーを廃止] をクリックします。

      ユーザ キー

      はじめる前に

      ユーザ キーは、個別のユーザを認証する目的で使用されます。 ユーザ キーを作成する場合、事前にそのユーザをインポートしておく必要があります。 ユーザ管理を参照してください。

      手順
        ステップ 1   [管理] タブをクリックして、管理メニューを表示します。
        ステップ 2   [認証] メニューの [ユーザ キー] をクリックして、[ユーザ認証キー] ページを表示します。

        次の作業

        キーを作成してアクティブにするには、[キーの作成] をクリックします。 [認証キー] ページが表示されます。 [電子メールでユーザに送信] ボックスにユーザのメール アドレスを入力し、ドロップダウン リストでドメインを選択し、[送信] をクリックして、そのユーザに電子メール メッセージを送信します。

        アクティブなキーを非アクティブにするには、[非アクティブ化] をクリックします。

        非アクティブなキーをアクティブにするには、[アクティブ化] をクリックします。

        ユーザに対してモバイル機能を有効にするには、そのユーザの [Mobile(モバイル)] 列のチェックボックスをオンにします。 モバイル機能を無効にするには、このチェック ボックスをオフにします。 操作を確認するダイアログ ボックスが表示されます。

        ユーザを検索するには、[検索] ボックスにユーザ名の一部または全体を入力し、[検索] をクリックします。 検索前のリスト全体を再度表示するには、[リストをリロード] をクリックします。


        (注)  


        ユーザを削除すると、ユーザに関連付けられている認証キーも削除されます。いったん削除すると、元に戻すことはできません。


        ユーザの一括管理

        複数のユーザ キーをまとめてアクティブ、非アクティブ、および廃止にできます。

        キーが生成されているユーザに対する [選択] 列のチェック ボックスをオンにし、ユーザを選択します。 [すべて選択] をクリックすると、キーが生成されているすべてのユーザのチェック ボックスがオンになります。[すべて選択解除] をクリックすると、キーが生成されているすべてのユーザのチェック ボックスがオフになります。

        選択したすべてのユーザ キーをアクティブにするには、[選択したキーをアクティブにする] をクリックします。

        選択したすべてのユーザ キーを非アクティブにするには、[選択したキーを非アクティブにする] をクリックします。

        選択したすべてのユーザ キーを削除するには、[選択したキーを廃止] をクリックします。

        ユーザ宛てのメール メッセージの設定

        認証キーをユーザに設定すると、その認証キーは電子メール メッセージとしてユーザに送信されます。

        手順
          ステップ 1   [管理] タブをクリックして、管理メニューを表示します。
          ステップ 2   [認証] メニューの [電子メール メッセージ] をクリックして、[電子メール メッセージ] ページを表示します。
          ステップ 3   1 番目のボックスでメッセージを編集します。 [username] および [company_name] はそれぞれ、実際のユーザ名および会社名に置き換えられます。
          ステップ 4   2 番目のフィールドで署名を編集します。
          ステップ 5   [送信] をクリックして変更を適用します。 または、そのまま別のページに移動すると、変更が破棄されます。

          次の作業

          [デフォルト メッセージに戻す] をクリックすると、デフォルト メッセージに戻すことができます。

          クライアントレス認証

          クライアントレス認証を有効にすると、Cisco Cloud Web Security はユーザを認証してから宛先サーバへの接続を許可します。 これは、Cisco ScanCenter でユーザまたはグループに認証ルールを作成することで可能になります。 ローミング ユーザの場合は、トラフィックを Cisco Cloud Web Security プロキシ サーバに送信するようにブラウザを設定する必要もあります。通常は PAC ファイルを使用して設定します。

          Cisco ScanCenter は Lightweight Directory Access Protocol(LDAP)をサポートしており、標準およびセキュア LDAP 認証が可能です。

          認証を有効にするには、1 つ以上の認証レルムを作成する必要があります。 認証レルムは、特定の構成を備えた、1 つの認証プロトコルをサポートしている複数の認証サーバ(または単独のサーバ)です。

          複数のレルムを作成すると、ユーザは認証に使用するレルムをログイン画面で選択できるようになります。


          (注)  


          クライアントレス認証では、ユーザのブラウザでサードパーティ Cookie を有効にする必要があります。

          LDAP 認証

          Lightweight Directory Access Protocol(LDAP)サーバ データベースは従業員ディレクトリのリポジトリです。 これらのディレクトリには、従業員の名前のほか、電話番号、電子メール アドレス、その従業員固有の情報など、さまざまなタイプの個人データが含まれています。 LDAP データベースは属性と値を含むオブジェクトで構成されています。 各オブジェクト名は識別名(DN)と呼ばれています。 検索の起点となる LDAP サーバ上の場所はベース識別名、またはベース DN と呼ばれます。

          Cisco Cloud Web Security は標準 LDAP サーバ認証、セキュア LDAP 認証、および StartTLS をサポートしています。 LDAP をサポートしているため、既存環境でユーザの認証に従来の LDAP サーバ データベースをそのまま使い続けることができます。 セキュア LDAP の場合、Cisco ScanCenter は TLS による LDAP 接続をサポートしています。 TLS プロトコルは、機密性を保証するための業界標準です。 TLS により LDAP サーバはキー暗号化アルゴリズムと認証局(CA)署名付き証明書を使用してアプライアンスのアイデンティティの検証が可能になります。 StartTLS は接続を作成する前に証明書を使用して LDAP サーバを識別します。

          SAML 認証

          Security Assertion Markup Language(SAML)は異なるセキュアなネットワーク(セキュリティ ドメインとも呼ばれます)間で認証および許可データを交換するための XML ベースの標準です。 SAML は主に、異なるセキュリティ ドメイン間でのシングル サインオンの問題を解決します。 通常、シングル サインオンはあるドメインのユーザが Web ブラウザを使用してネットワーク(別のドメイン)にアクセスすることを指します。 これは Web ブラウザ シングル サインオンとも呼ばれます。

          Web ブラウザ シングル サインオンには、SAML で次の用語で定義される各ドメインのエンティティとの SAML ダイアログが必要です。

          • アイデンティティ プロバイダー。 アイデンティティ プロバイダー(IdP)は SAML アサーションを生成するエンティティです。 アイデンティティ プロバイダーは SAML アサーションを生成する前にエンド ユーザを認証します。
          • サービス プロバイダー。 サービス プロバイダー(SP)は SAML アサーションを使用するエンティティです。 Cisco Cloud Web Security はサービス プロバイダーです。 サービス プロバイダーはアイデンティティ プロバイダーを使用してエンド ユーザを識別し、その識別情報を SAML アサーションで受け取ります。 サービス プロバイダーはこのアサーションに基づいてアクセス制御を決定します。

          SAML アサーションは、アイデンティティ プロバイダーとサービス プロバイダー間の SAML 要求および応答で渡される情報のコンテナです。 アサーションにはサービス プロバイダーがアクセス制御の決定に使用するステートメント(認証ステートメントや許可ステートメント)が含まれています。 アサーションは <saml:Assertion> タグで始まります。

          SAML ダイアログはフローと呼ばれ、フローはどちらのプロバイダーでも開始できます。

          • サービス プロバイダーが開始するフロー。 サービス プロバイダー(SP)は、アクセスを要求するエンド ユーザからの問い合わせを受け、アイデンティティ プロバイダーにそのユーザの識別情報を提供するように問い合わせて SAML ダイアログを開始します。 サービス プロバイダーが開始したフローの場合、エンド ユーザは http://www.example.com/<URI> など、サービス プロバイダーのドメインを含む URL を使用してサービス プロバイダーにアクセスします。
          • アイデンティティ プロバイダーが開始するフロー。 アイデンティティ プロバイダー(IdP)は、エンド ユーザに代わってサービス プロバイダーに問い合わせてアクセスを要求することで SAML ダイアログを開始します。 アイデンティティ プロバイダーが開始したフローの場合、エンド ユーザは http://saas.example.com/<URI> など、ローカル ドメインを含む URL を使用してサービス プロバイダーにアクセスします。

          Cisco Cloud Web Security はサービス プロバイダーが開始するフローのみをサポートしており、現在は PingFederate Server バージョン 5.0 以降と Microsoft Active Directory Federated Services(ADFS)バージョン 2.0 以降の 2 つの SAML アイデンティティ プロバイダーをサポートしています。 SAML の詳細については、http:/​/​docs.oasis-open.org/​security/​saml/​v2.0/​ を参照してください。

          認証のしくみ

          Web にアクセスするユーザを認証するために、Cisco Cloud Web Security は外部認証サーバに接続するか、ユーザをアイデンティティ プロバイダーにリダイレクトします。 認証サーバにはユーザとそれぞれのパスワードが階層状に整理されたリストが格納されています。 ネットワーク上のユーザが認証に成功するには、有効な認証クレデンシャル(認証サーバに保存されている、またはンティティ プロバイダーが渡すユーザ名とパスワード)を提供する必要があります。 認証サーバの場合、ユーザが Cisco Cloud Web Security から Web にアクセスすると、サービスはクライアントと認証サーバの両方と通信してユーザを認証し、要求を処理します。 アイデンティティ プロバイダーの場合、Cisco Cloud Web Security はアイデンティティ プロバイダーにユーザをリダイレクトし、このアイデンティティ プロバイダーから認証アサーションを受け取ります。

          Cisco Cloud Web Security は次の認証プロトコルをサポートしています。

          • Lightweight Directory Access Protocol(LDAP)。 Cisco Cloud Web Security は LDAP バインド オペレーションを使用して LDAP と互換性のある認証サーバに問い合わせます。 Cisco Cloud Web Security は標準 LDAP サーバ認証とセキュア LDAP(LDAPS)認証をサポートしています。セキュア LDAP では LDAP サーバ上にサーバ証明書が必要です。
          • StartTLS。 LDAP サーバが StartTLS 拡張をサポートしている場合、Cisco Cloud Web Security は認証の前にサーバと Transport Layer Security を確立できます。 StartTLS では LDAP サーバ上にサーバ証明書が必要です。
          • Security Assertion Markup Language(SAML)。 Cisco Cloud Web Security はサービス プロバイダーが開始するフローを使用し、ユーザを外部のアイデンティティ プロバイダーで認証します。 この方法では、SAML 2.0 をサポートするアイデンティティ プロバイダー(IdP)が必要です。
          • 基本認証。 Cisco Cloud Web Security では、クライアント アプリケーションは要求を行う際にユーザ名とパスワードの形式の認証クレデンシャルを使用できます。

          認証レルムの構成

          認証レルムは、ネットワークに必要な変更を減らし、ユーザへの Cisco Cloud Web Security のプロビジョニングをシンプルにします。

          Cisco ScanCenter のこの領域では、認証レルムを作成、編集、削除できるほか、(セキュア プロトコルで使用する)証明書を管理できます。

          LDAP 認証レルムを構成する前に、以下が必要です。

          • サーバのアドレス。 ホスト、ポート、プロトコルを含む、LDAP サーバの完全なアドレス。
          • (オプション)証明書。 LDAPS などのセキュア プロトコルを使用する場合に使用する証明書。
          • LDAP アクセス。 Cisco ScanCenter は LDAP サーバへの読み取り専用アクセスが少なくとも必要です。 オープンする必要があるポート、アクセスを有効にする必要がある IP アドレスはプロビジョニング メールに記載されています。
          • 検索ベース。 ユーザやその他の関連情報の検索の起点となる LDAP ツリー上の場所。

          SAML 認証レルムを構成する前に、以下が必要です。

          • アイデンティティ プロバイダー。 内部ネットワークからユーザがアクセス可能な、正しく構成されてサポートされているアイデンティティ プロバイダー(IdP)。
          • サービス プロバイダー メタデータ。 これは ScanCenter からエクスポートし、使用するアイデンティティ プロバイダー(IdP)でインポートする必要があります。
          • アイデンティティ プロバイダーのメタデータ。 これはアイデンティティ プロバイダー(IdP)からエクスポートし、ScanCenter にインポートする必要があります。

          (注)  


          セキュア プロトコルを必要とする認証レルムを作成する前に、証明書をインポートする必要があります。


          証明書の取得

          Cisco ScanCenter では、証明書を取得するために証明書署名要求(CSR)を生成することはできません。 そのため、LDAP サーバ用に証明書を作成するには、別のシステムから署名要求を発行する必要があります。 後で LDAP サーバにインストールする必要があるため、このシステムから発行されたキーは保存してください。

          Windows サーバでは、Microsoft Certificate Services を使用して適切な証明書を生成できます。

          Microsoft Certificate Services の使用については、ベンダーのマニュアルを参照してください。 または、最新バージョンの OpenSSL がインストールされた、任意の UNIX マシンを使用できます。 OpenSSL を使用した CSR の生成方法の詳細については、http:/​/​www.modssl.org/​docs/​2.8/​ssl_​faq.html#ToC28 を参照してください。

          通常、LDAP サーバでは自己署名証明書が使用されます。 自社で認証局(CA)を作成し、使用する方法の詳細については、http:/​/​www.modssl.org/​docs/​2.8/​ssl_​faq.html#cert-ownca を参照してください。


          (注)  


          独自の証明書を生成し、署名するためのツールは、OpenSSL に含まれており、http:/​/​www.openssl.org/​ から無料で取得できます。

          または、CSR が生成されたら、認証局(CA)に送信します。 CA は、証明書を PEM 形式で返します。

          最初に証明書を取得する場合、インターネットで「certificate authority services SSL server certificates(SSL サーバ証明書を提供している認証局)」を検索して、お客様の環境のニーズに最適なサービスを選択してください。 サービスの手順に従って、SSL 証明書を取得します。

          手順
            ステップ 1   公開/秘密キーのキーペアを作成します。
            ステップ 2   証明書署名要求(CSR)を生成します。
            ステップ 3   証明書に自己署名します。 または、任意の認証局(CA)に問い合わせて、証明書の署名を依頼します。 アップロードする証明書は X.509 標準に準拠している必要があります。また、合致する秘密キーを LDAP サーバにインストールする必要があります。

            証明書の管理

            手順
              ステップ 1   [管理] タブをクリックして [認証] メニューを表示し、[管理] をクリックして [LDAP 証明書のアップロード] パネルを表示します。
              ステップ 2   [証明書名] に一意の名を入力します。
              ステップ 3   [参照] をクリックして必要な証明書を見つけて選択します。
              ステップ 4   [追加] をクリックして証明書をアップロードします。

              次の作業

              証明書を削除するには、[削除] アイコンをクリックします。

              ユーザの認証

              ユーザが Cisco Cloud Web Security から Web にアクセスしようとして、ユーザ名とパスワードの入力を求められる場合があります。 Cisco Cloud Web Security は、設定されているアイデンティティ グループやアクセス ポリシー グループに基づいて一部のユーザに認証クレデンシャルを要求します。 ユーザは組織の認証サーバが識別可能なクレデンシャルのユーザ名とパスワードを入力する必要があります。


              (注)  


              LDAP 認証レルムによる認証を有効にする場合は、ユーザが Windows ドメイン名を入力することがないようにしてください。


              失敗した認証への対応

              認証に失敗したためにユーザが Web にアクセスできない場合があります。 認証に失敗する理由とその解決策を以下に示します。

              • クライアント アプリケーションが認証を実行できない。 クライアントによっては、認証を実行できない、または必要とされているタイプの認証を実行できない場合があります。 クライアント アプリケーションが原因で認証に失敗する場合は、そのクライアントに接続を許可する Web フィルタリング ルールを作成してください。
              • 認証サーバが利用できない。 ネットワークが切断されている、サーバに問題が生じているなどの理由で認証サーバが利用できない場合があります。 ユーザをブロックする、キャッシュされているクレデンシャルを使用する、デフォルト ポリシーを適用するなど、フェールオーバー オプションで必要な動作を設定してください。
              • クレデンシャルが無効である。 クライアントから受け取った認証クレデンシャルが無効な場合、Cisco Cloud Web Security は有効なクレデンシャルの要求を続けます。このため、実質的にはデフォルトでは Web へのアクセスはブロックされます。

              認証レルムの作業

              認証レルムは特定の構成を備えた、1 つの認証プロトコルをサポートする複数の認証サーバ、単一のサーバ、またはアイデンティティ プロバイダーです。 LDAP レルムの各サーバは同じ論理データベースを共有しており、どのサーバも同じユーザについては同じ結果を返します。 通常、レルムは Windows ドメインと 1 対 1 で対応しています。 レルムでは、ユーザ名、グループ名などが一意であるようにします。

              認証の構成では、以下の作業を実行できます。
              • 1 つ以上の認証サーバをレルムに含める。
              • 1 つ以上の LDAP レルムを作成する。
              • 1 つ以上の SAML レルムを作成する。
              • 既存の認証レルムを編集する。

              SAML を使用する場合、アクティブにできる SAML レルムは 1 つだけです。 他のすべての SAML レルムと LDAP レルムは非アクティブにする必要があります。


              (注)  


              また、ある認証サーバを複数のレルムに含めることも可能です。通常このような構成は、複数のドメインやレルムのデータを読み取り専用に制限して格納する Active Directory グローバル カタログを使用する場合のみ必要になります。

              LDAP 認証レルムの作成

              手順
                ステップ 1   [管理] タブをクリックして [認証] メニューを表示し、[管理] をクリックして [認証レルム] パネルを表示します。
                ステップ 2   [LDAP レルムの追加] をクリックし、[ネットワーク接続] パネルを表示します。
                ステップ 3   [レルム名] ボックスに一意のレルム名を入力します。
                ステップ 4   レルムに追加するサーバごとに、次の手順を実行します。
                1. [ホスト名] ボックスに IPv4 形式の IP アドレス、またはホスト名を入力します。
                2. [プロトコル] ドロップダウンで、LDAP、StartTLS、SSL(LDAPS)のうち必要なプロトコルを選択します。
                3. [ポート] ボックスにポートを入力します。 LDAP および StartTLS 用のデフォルト値は 389 です。 LDAPS のデフォルトは 636 です。
                4. [接続の確認] をクリックします。
                [別のサーバを追加] をクリックし、必要な数のサーバを追加できます。 不要なサーバを削除するには、[サーバの削除] をクリックします。
                ステップ 5   LDAP サーバが匿名クエリーを受け付ける場合は、接続が成功した時点で、[サーバは匿名クエリーを受け付ける] チェックボックスをオンにします。 または、LDAP サーバの識別名を [バインド DN] ボックスに入力し、[パスワード] ボックスにパスワードを入力します。
                ステップ 6   [認証を確認] をクリックします。
                ステップ 7   [検索ベース] をデフォルトのままにするか、変更します。
                ステップ 8   [属性を検索] ドロップダウン リストで、ユーザ名を含む属性を選択します。 cnuid、または sAMAccountName を選択できます。 または [カスタム] を選択し、ボックスに任意の属性を入力します。
                ステップ 9   [ユーザ フィルタ クエリー] ドロップダウン リストで、ユーザ以外の LDAP エントリを除外するクエリーを選択します。 [なし] または (objectClass=person) を選択できます。 または [カスタム] を選択し、ボックスに任意のクエリーを入力します。
                ステップ 10   [サブジェクト属性] をデフォルトのままにするか、任意の属性を入力します。 このボックスは空白のままにしないでください。
                ステップ 11   属性でユーザを検索するには、[Group Member Of Attribute(グループの Member Of 属性)] をクリックします。 memberOf 属性をそのまま使用するか、[カスタム] をクリックしてボックスに任意の属性を入力します。 グループでユーザを検索するには、[Group Members Attribute(グループの Members 属性)] をクリックします。 users 属性をそのまま使用するか、[カスタム] をクリックしてボックスに任意の属性を入力します。
                ステップ 12   [参照] をクリックし、[次のグループを除外する] リストに値を設定します。
                リストに設定する要素のチェックボックスをオンにします。 設定できる要素には次のようなものがあります。
                • ユーザ
                • グループ
                • 組織部門(OU)
                • コンピュータ
                • フォルダ
                • その他の要素

                展開アイコン()をクリックすると、要素を展開したり折りたたんだりできます。

                フィルタ アイコン()をクリックすると、要素にフィルタを追加できます。

                有効になったフィルタ アイコン()をクリックすると、フィルタを編集または削除できます。

                ステップ 13   [選択] をクリックして、選択した要素を追加します。 または、[キャンセル] をクリックして変更を破棄します。
                ステップ 14   [参照] をクリックし、[次のグループを使用する] リストに値を設定します。
                ステップ 15   [選択] をクリックして、選択した要素を追加します。 または、[キャンセル] をクリックして変更を破棄します。
                ステップ 16   (オプション)[詳細設定] をクリックし、詳細設定を表示します。
                1. [階層化するグループの深さ] ボックスに、対象のノード数を入力します。
                2. [最大グループ数] ボックスに、検索するグループ数の上限を入力します。
                ステップ 17   [グループの表示] ドロップダウン リストで、グループの表示方法として [WinNT グループ] または [LDAP 標準] を選択します。
                ステップ 18   [サンプル ユーザの確認] ボックスにユーザ名を入力し、[LDAP を確認] をクリックして設定を確認します。
                ステップ 19   フェールオーバー オプションの [ユーザをブロックする]、[キャッシュされたクレデンシャルを使用する]、[デフォルトのポリシーを適用する] から必要なものを選択します。
                ステップ 20   (オプション)ユーザを認証から除外するには、次の手順を実行します。
                1. [カスタム属性] ページで、照合する LDAP 属性を [属性] に入力します。
                2. [ルールの照合] ドロップダウン リストで演算子を選択し、ボックスに値を入力します。 次の演算子が使用できます。
                  • =
                  • <
                  • Regex(正規表現。有効な正規表現の作成に関する詳細については、カスタマー サポートにお問い合わせください)
                  • 真か
                  • 偽か
                3. [アクション] リストで、[ユーザをブロックする] をクリックします。
                4. [追加] をクリックします。 ユーザ フィルタを削除するには、[削除] アイコンをクリックします。
                ステップ 21   (オプション)認証されたセッションの間、ユーザをグループに追加するには、次の手順を実行します。
                1. [カスタム属性] ページで、照合する LDAP 属性を [属性] に入力します。
                2. [ルールの照合] ドロップダウン リストで演算子を選択し、ボックスに値を入力します。 次の演算子が使用できます。
                  • =
                  • <
                  • Regex(正規表現。有効な正規表現の作成に関する詳細については、カスタマー サポートにお問い合わせください)
                  • 真か
                  • 偽か
                3. [アクション] ドロップダウン リストで、[グループに追加] を選択します。
                4. [追加] をクリックします。 ユーザ フィルタを削除するには、[削除] アイコンをクリックします。
                (注)      グループにユーザを追加するには、そのグループが LDAP ディレクトリ内に存在し、名前が LDAP 識別名(DN)の形式で設定されている必要があります。
                ステップ 22   認証レルムの設定が終了したら、[設定を適用] をクリックします。 または、そのまま別のページに移動すると、変更が破棄されます。

                SAML 認証レルムの作成

                はじめる前に

                Cisco Cloud Web Security の SAML 認証を使用するには、貴社のネットワークからアクセス可能で、サポートされているアイデンティティ プロバイダー(IdP)が正しく設定されている必要があります。 アイデンティティ プロバイダーの自動設定には、Cloud Web Security の SAML メタデータが必要です。 アイデンティティ プロバイダーを手動で設定する場合は、各サービス プロバイダーの発行者 ID、アサーション コンシューマ エンドポイントの URL、および SAML 要求の署名証明書が必要になります。 アイデンティティ プロバイダー情報で ScanCenter を自動設定するには、アイデンティティ プロバイダーのメタデータが必要です。 ScanCenter を手動で設定する場合は、アイデンティティ プロバイダー エンドポイントのアドレス、グループ属性、アイデンティティ プロバイダーの DER 形式または PEM 形式の署名証明書が必要になります。

                IdP で作成した各グループに対して、ScanCenter にカスタム グループを 1 つずつ作成してください。 両者の名前は正確に一致させる必要があります。 IdP から Cisco Cloud Web Security にグループ属性を通じてグループ名が渡されるためです。 その際、カスタム グループに対して設定したポリシーが IdP グループに基づいて SAML ユーザに適用されます。

                ScanCenter からメタデータをダウンロードするには、[管理] タブをクリックして [認証] メニューを表示し、[管理] をクリックして [認証レルム] パネルを表示します。 [SAML レルムの追加] をクリックし、[弊社の SAML メタデータのエクスポート] をクリックしてメタデータをダウンロードします。 アイデンティティ プロバイダーにメタデータをインポートする方法の詳細については、ベンダーのドキュメントを参照してください。

                ScanCenter からサービス プロバイダーの発行者 ID とアサーション コンシューマ エンドポイントの URL の情報を取得し、SAML 要求の署名証明書をダウンロードするには、[管理] タブをクリックして [認証] メニューを表示し、[管理] をクリックして [認証レルム] パネルを表示します。 [SAML レルムの追加] をクリックし、[弊社の SAML 設定の表示] をクリックします。 [サービス プロバイダーの発行者 ID] と [アサーション コンシューマ エンドポイント] の URL を書き留めます。 [プライマリ署名証明書をエクスポート] をクリックし、[セカンダリ署名証明書をエクスポート] をクリックして、プライマリおよびセカンダリの SAML 要求証明書をダウンロードします。


                (注)  


                アイデンティティ プロバイダーは、Cloud Web Security ユーザ名を SAML アサーションの NameID 属性に含めて送信する必要があります。 アイデンティティ プロバイダーの設定、アイデンティティ プロバイダー メタデータのエクスポート、アイデンティティ プロバイダーの詳細情報の取得、またはアイデンティティ プロバイダー署名証明書のダウンロードに関する詳細については、アイデンティティ プロバイダーのベンダー ドキュメントを参照してください。
                手順
                  ステップ 1   [管理] タブをクリックして [認証] メニューを表示し、[管理] をクリックして [認証レルム] パネルを表示します。
                  ステップ 2   [SAML レルムの追加] をクリックします。
                  ステップ 3   [弊社の SAML 設定の表示] をクリックし、[SAML レルム設定] パネルを表示します。
                  ステップ 4   アイデンティティ プロバイダーのメタデータがある場合は、[IdP メタデータのインポート] をクリックしてインポートします。 ScanCenter を手動で設定する場合は、次の手順を実行します。
                  1. [IdP 詳細の手動入力] をクリックします。
                  2. [レルム名] にレルム名を入力します。
                  3. [IdP エンドポイント アドレス] に URL を入力します。
                  4. [グループ属性] に IdP で使用するグループ属性の名前を入力します。
                  5. [Choose File(ファイルを選択)] をクリックし、[IdP 署名証明書] をアップロードします。
                  既存のアイデンティティ プロバイダー署名証明書を削除するには、[削除] アイコンをクリックします。
                  ステップ 5   [設定を適用] をクリックします。 または、そのまま別のページに移動すると、変更が破棄されます。
                  (注)      設定の編集、追加の IdP 証明書のアップロードが可能になります。

                  認証レルムの管理

                  既存の認証レルムを管理するには、[管理] タブをクリックして [認証] メニューを表示します。次に、[管理] をクリックして [認証レルム] パネルを表示します。

                  非アクティブなレルムをアクティブにするには、[アクティブ] チェックボックスをオンにし、[設定を適用] をクリックします。

                  アクティブなレルムを非アクティブにするには、[アクティブ] チェックボックスをオフにし、[設定を適用] をクリックします。

                  レルムの監査をダウンロードするには、[CSV] アイコンをクリックします。

                  レルムを削除するには、[削除] アイコンをクリックします。

                  レルムを変更するには、[編集] アイコンをクリックします。


                  (注)  


                  複数の LDAP 認証レルムを同時にアクティブにできます。 ただし、ある SAML レルムがアクティブな場合、LDAP であっても SAML であっても、それ以外のレルムはアクティブにできません。

                  複数のレルムと Cisco Cloud Web Security 動作

                  セキュリティ プロトコルが異なる複数のサーバがある場合も含めて、ユーザが複数の認証レルムから使用するレルムを選択できるように Cisco Cloud Web Security を構成できます。

                  これは、たとえばある組織が同じセキュリティ プロトコル、または異なるセキュリティ プロトコルを使う独自の認証サーバを持つ別の組織と合併した場合などに有効です。 こうすることで、1 つのポリシーを作成するだけですべてのユーザを管理できます。


                  (注)  


                  複数のレルムは SAML の使用時はサポートされません。

                  認証設定のテスト

                  認証レルムの作成、または編集では、認証サーバやアイデンティティ プロバイダーに接続するために必要な構成設定を多数入力します。 入力した情報はプロセスの各段階で検証され、正しい情報が入力されていることが確認されます。


                  注意    


                  LDAP サーバの構成を変更した場合は、その変更に合わせて Cisco ScanCenter の認証レルムも変更する必要があります。変更しないままだと、ユーザの認証ができなくなります。

                  テスト プロセス

                  認証設定のテストでは、Cisco ScanCenter はまず、レルムの設定が正しい形式で入力されていることを検証します。 たとえば、テキスト文字列を入力する必要があるフィールドに数値が入力されている場合、Cisco ScanCenter はエラーとして通知します。

                  すべてのフィールドに有効な値が入力されている場合、Cisco ScanCenter は使用しているセキュリティ プロトコルに合わせた手順を実行します。 レルムが複数の認証サーバを含む場合、Cisco ScanCenter は各サーバに対して順番にテスト プロセスを実行します。

                  LDAP テスト

                  Cisco ScanCenter は以下の手順を実行して LDAP 認証設定をテストします。
                  1. LDAP サーバが指定の LDAP ポートでリスニングしていることを確認します。
                  2. セキュア LDAP が選択されている場合、Cisco ScanCenter は LDAP サーバがセキュア LDAP をサポートしていることを確認します。
                  3. StartTLS が選択されている場合、Cisco ScanCenter は LDAP サーバが StartTLS 拡張をサポートしていることを確認します。
                  4. レルムにバインド パラメータが含まれている場合、Cisco ScanCenter は LDAP サーバで認証を試行することでそれらを検証します。

                  Cookie 期間の設定

                  クライアントレス認証では、ブラウザに保存された Cookie を使用します。 デフォルトでは、Cookie はブラウザ セッションの間保持されます。 永続的な Cookie では、ユーザがブラウザを閉じても、設定した期間内はユーザを再認証する必要がなくなります。

                  手順
                    ステップ 1   [管理] タブをクリックして [認証] メニューを表示し、[管理] をクリックして [cookie の有効期限] パネルを表示します。
                    ステップ 2   (オプション)ブラウザが閉じた後もセッションが保持されるようにするには、[永続的な Cookie の使用] チェックボックスをオンにします。
                    ステップ 3   [グループ] ボックスに、グループの Cookie の有効期限が切れるまでの期間を、画面上の例に示されている形式で入力します。
                    ステップ 4   [ユーザ] ボックスに、ユーザの Cookie の有効期限が切れるまでの期間を、画面上の例に示されている形式で入力します。
                    ステップ 5   [ローミング] ボックスに、ローミングの Cookie の有効期限が切れるまでの期間を、画面上の例に示されている形式で入力します。
                    ステップ 6   [適用] をクリックします。 または、そのまま別のページに移動すると、変更が破棄されます。

                    監査レポートのダウンロード

                    手順
                      ステップ 1   [管理] タブをクリックして [認証] メニューを表示し、[管理] をクリックして [監査レポートのダウンロード] パネルを表示します。
                      ステップ 2   [期間] で、レポートの対象となる期間をクリックします。 選択項目は次のとおりです。
                      • 過去5分間
                      • 過去1時間
                      • 過去1日
                      ステップ 3   [CSV] アイコンをクリックします。

                      ユーザ認証ページの設定

                      Cisco Cloud Web Security では、まだ認証されていないユーザがサービスに接続しようとすると、ユーザ認証ページが表示されます。

                      手順
                        ステップ 1   [管理] タブをクリックして [認証] メニューを表示し、[ユーザ メッセージ] をクリックして [ユーザ メッセージ] パネルを表示します。
                        ステップ 2   [Choose File(ファイルの選択)] をクリックし、このページに表示する画像を選択します。 使用可能な画像形式は PNG、GIF、JPEG で、最大サイズは 500 KB です。 任意のピクセル サイズを指定できますが、ユーザがサービスに接続するときに使用するデバイスの画面サイズに適した大きさにする必要があります。
                        ステップ 3   [ヘルプテキスト] ボックスに、最大 1,000 文字のプレーン テキストを入力します。
                        ステップ 4   [ユーザ名のテキスト] ボックスに、使用したい単語やフレーズを入力します。
                        ステップ 5   [パスワードのテキスト] ボックスに、使用したい単語やフレーズを入力します。
                        ステップ 6   [免責事項のテキスト] ボックスに、最大 1,000 文字のプレーン テキストを入力します。
                        ステップ 7   [プレビュー] をクリックし、[ユーザ認証] ページを表示します。
                        ステップ 8   [設定を適用] をクリックし、変更内容を確定します。 または、[キャンセル] をクリックして [User Authentication(ユーザ認証)] ページの編集を続けるか、別のページに移動して変更を破棄します。