Cisco Jabber for iPhone and iPad 9.6 インストレーション/コンフィギュレーション ガイド
展開オプション
展開オプション

目次

展開オプション

Cisco Jabber for iPhone and iPad を展開するためのオプションについて説明します。

オンプレミス展開

オンプレミス展開とは、社内ネットワークのすべてのサービスをセットアップ、管理、保守する展開です。

製品モード

デフォルトの製品モードは、ユーザのプライマリ認証がプレゼンス サーバに対して行われるモードです。

少なくとも、Cisco Jabber for iPhone and iPad ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。

次のモードでクライアントを展開できます。

フル UC

フル UC モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 その後、ボイスメールと会議の機能に加えて、音声とビデオ用のデバイスをユーザにプロビジョニングします。

IM 専用

IM 専用モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 デバイスをユーザにプロビジョニングしません。

フル UC の図

フル UC 機能のオンプレミス展開のアーキテクチャ図を確認してください。

メモ:

フル UC および IM 専用の展開は、どちらもユーザのプライマリ認証ソースとしてプレゼンス サーバを必要とします。 ただし、IM 専用の展開はインスタント メッセージとプレゼンス機能だけを必要とします。 IM 専用の展開では、デバイスをユーザにプロビジョニングする必要はありません。

Cisco Unified Presence の図

図 1. 社内アーキテクチャ.

このトピックでは、Cisco Unified Presence リリース 8.6 について述べます。

次の図は、Cisco Unified Presence を含むオンプレミス展開のアーキテクチャを図示したものです。





以下は、オンプレミス展開で使用できるサービスです。

プレゼンス

Cisco Unified Presence を介してユーザはアベイラビリティを公開し、他のユーザのアベイラビリティを登録できます。

チャット/IM

Cisco Unified Presence を介してユーザはインスタント メッセージを送受信できます。

音声通話

Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。

ビデオ

Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。

ボイスメール

Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。

会議

次のいずれかと統合します。

Cisco WebEx Meeting Center

ホステッド会議機能を実現します。

Cisco WebEx Meetings Server

社内会議機能を提供します。

オンプレミス展開における連絡先ソースの詳細については、「連絡先ソース」のトピックを参照してください。

関連コンセプト

Cisco Unified Communications IM and Presence の図

図 2. 社内アーキテクチャ.

このトピックは、Cisco Unified Communications Manager IM and Presence リリース 9.0 以降に該当します。

次の図は、Cisco Unified Communications Manager IM and Presence を含むオンプレミス展開のアーキテクチャを図示したものです。





以下は、オンプレミス展開で使用できるサービスです。

プレゼンス

Cisco Unified Communications Manager IM and Presence を介してユーザはアベイラビリティを公開し、他のユーザのアベイラビリティを登録できます。

チャット/IM

Cisco Unified Communications Manager IM and Presence を介してユーザはインスタント メッセージを送受信できます。

音声通話

Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。

ビデオ

Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。

ボイスメール

Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。

会議

次のいずれかと統合します。

Cisco WebEx Meeting Center

ホステッド会議機能を提供します。

Cisco WebEx Meetings Server

社内会議機能を提供します。

オンプレミス展開における連絡先ソースの詳細については、「連絡先ソース」のトピックを参照してください。

関連コンセプト

クラウドベース展開

クラウドベース展開は、Cisco WebEx がサービスをホストする展開の 1 つです。 クラウドベース展開の管理およびモニタは Cisco WebEx 管理ツール を使用して行います。

クラウドベースの図

図 3. クラウドベースのアーキテクチャ. 次の図は、クラウドベース展開のアーキテクチャを図示したものです。



以下は、クラウドベース展開で使用できるサービスです。

連絡先ソース

Cisco WebEx Messenger サービスは、連絡先を解決します。

プレゼンス

Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、他のユーザのアベイラビリティを登録できるようにします。

チャット/IM

Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信できるようにします。

会議

Cisco WebEx Meeting Center は、ホステッド会議機能を提供します。

ハイブリッド クラウドベースの図

図 4. ハイブリッド クラウドベースのアーキテクチャ. 次の図は、ハイブリッド クラウドベース展開のアーキテクチャを図示したものです。



以下は、ハイブリッド クラウドベース展開で使用できるサービスです。

連絡先ソース

Cisco WebEx Messenger サービスは、連絡先を解決します。

プレゼンス

Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、他のユーザのアベイラビリティを登録できるようにします。

チャット/IM

Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信できるようにします。

会議

Cisco WebEx Meeting Center は、ホステッド会議機能を提供します。

音声通話

Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。

ビデオ

Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。

ボイスメール

Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。

クライアントがサービスに接続する方法

サービスに接続するために、Cisco Jabber は次の情報を必要とします。
  • ユーザがクライアントにサインインできるようにする認証ソース。
  • サービスの場所。
次の方法で、この情報をクライアントに提供できます。
サービス ディスカバリ
クライアントはサービスを自動的に検出して接続します。
手動接続設定
ユーザは、クライアント ユーザ インターフェイスで接続設定を手動で入力します。

推奨される接続方式

サービスに接続するために必要な情報をクライアントに提供するために使用するべき方式は、展開タイプ、サーバのバージョン、製品モードによって異なります。

オンプレミス展開

製品モード サーバのバージョン 検出方法
フル UC(デフォルト モード)
バージョン 9 以降:
  • Cisco Unified Communications Manager
  • Cisco Unified Communications Manager IM and Presence

_cisco-uds .<domain> に対する DNS SRV 要求

フル UC(デフォルト モード)
バージョン 8.x:
  • Cisco Unified Communications Manager
  • Cisco Unified Presence

_cuplogin.<domain> に対する DNS SRV 要求

IM 専用(デフォルト モード)
バージョン 9 以降:
  • Cisco Unified Communications Manager IM and Presence

_cisco-uds .<domain> に対する DNS SRV 要求

IM 専用(デフォルト モード)
バージョン 8.x:
  • Cisco Unified Presence

_cuplogin .<domain> に対する DNS SRV 要求


(注)  


Cisco Unified Communications Manager バージョン 9 以降は、_cuplogin DNS SRV 要求を使用してフル Unified Communications およびインスタント メッセージ専用のサービスを検出できますが、_cisco-uds 要求が存在する場合はこの要求が優先されます。

ハイブリッド クラウドベース展開

サーバのバージョン 接続方式
  • Cisco WebEx Messenger

http://loginp.webexconnect.com/cas/FederatedSSO?org=<domain> に対する HTTPS 要求

クラウドベース展開

展開タイプ 接続方式
シングル サインオン(SSO)で有効 Cisco WebEx 管理ツール
SSO で無効 Cisco WebEx 管理ツール

認証ソース

認証ソースまたはオーセンティケータは、ユーザがクライアントにサインインできるようにします。

使用できる認証ソースには、次が含まれます。
Cisco Unified Presence
フル UC または IM 専用のいずれかでのオンプレミス展開。
Cisco WebEx Messenger サービス
クラウドベースまたはハイブリッド クラウドベース展開。

初回起動シーケンス

インストール後の最初の起動時に、Cisco Jabber はデフォルトの製品モードで開始されます。 その後、クライアントはオーセンティケータを取得し、ユーザをサインインさせます。 サインイン後、クライアントは製品モードを特定します。

次の図は、初回起動シーケンスを図示したものです。

クライアントのオーセンティケータの取得方法

Cisco Jabber は次のようにオーセンティケータを探します。
  1. クライアントはキャッシュの手動設定をチェックします。 ユーザはクライアント ユーザ インターフェイスを介してオーセンティケータを手動で入力できます。
  2. クライアントはユーザのドメインが WebEx 組織であるかどうかを検出するためにキャッシュをチェックします。 クライアントはオーセンティケータとして WebEx を選択します。
  3. クライアントはユーザのドメイン設定が WebEx 組織であるかどうかを検出するために WebEx クラウド サービスの HTTP 要求を行います。 クライアントはオーセンティケータとして WebEx を選択します。
  4. クライアントはキャッシュのサービス ディスカバリをチェックします。 クライアントは以前のサービス(SRV)レコードのクエリーから設定をロードします。
  5. クライアントは SRV レコードのクエリーを行います。 クライアントはサービスを探すために SRV レコードの DNS ネーム サーバのクエリーを行います。 クライアントは _cisco-uds SRV レコードが見つけたら、サービス プロファイルからオーセンティケータを取得できます。

クライアントがオーセンティケータを取得できない場合、クライアント ユーザ インターフェイスで認証ソースを手動で選択するようユーザに求めます。

サービス ディスカバリ

サービス ディスカバリを使用すると、クライアントが、企業ネットワーク内のサービスを自動的に検索して検出できます。 クライアントは、ドメイン ネーム サーバのクエリーを実行して、サーバの場所を提供するサービス(SRV)レコードを取得します。

サービス ディスカバリを使用した場合の主な利点は次のとおりです。
  • 導入期間が短縮されます。
  • 複数の場所にあるサーバを集中的に管理できます。
重要:

Cisco Unified Presence 8.x から Cisco Unified Communications IM and Presence 9.0 以降に移行できます。

Cisco Unified Communications Manager の移行された UC サービスで Cisco Unified Presence サーバの FQDN を指定する必要があります。 [Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] インターフェイスを開きます。 [ユーザ管理(User Management)] > [ユーザ設定(User Settings)] > [UC サービス(UC Service)] を選択します。

[IM and Presence] タイプの UC サーバの場合は、Cisco Unified Presence 8.x から Cisco Unified Communications IM and Presence に移行すると、[ホスト名/IP アドレス(Host Name/ IP Address)] フィールドにドメイン名が入力されるため、このドメイン名を Cisco Unified Presence サーバの FQDN に変更する必要があります。

ただし、Cisco Jabber は、さまざまなサーバが存在することと、さまざまなサービスを利用できることをクライアントに示す、さまざまな SRV レコードを取得できます。 これにより、クライアントは、各 SRV レコードを取得するときに、環境に関する特定の情報を得ることができます。

次の表は、展開できる SRV レコードを示し、各レコードの目的と利点について説明しています。

SRV レコード 目的 展開する理由
_cisco-uds

Cisco Unified Communications Manager バージョン 9.0 以降の場所を提供します。

クライアントは、Cisco Unified Communications Manager からサービス プロファイルを取得してオーセンティケータを特定できます。

  • インストール引数を指定する必要がなくなります。
  • UC サービス プロファイルで設定を集中管理できるようにします。
  • クライアントがユーザのホーム クラスタを検出できるようにします。 このため、クライアントはユーザのデバイス構成を自動的に取得し、デバイスを登録できます。 CCMCIP プロファイルまたは TFTP サーバ アドレスでユーザをプロビジョニングする必要はありません。
  • 混合製品モードをサポートします。 フル UC または IM 専用モードの機能でユーザを簡単に展開できます。
_cuplogin

Cisco Unified Presence の場所を提供します。

Cisco Unified Presence をオーセンティケータとして設定します。

  • Cisco Unified Communications Manager および Cisco Unified Presence バージョン 8.x での展開をサポートします。
  • Cisco Unified Communications Manager 9 にアップグレードされていないクラスタがまだ残っている展開をサポートします。

クライアントがサービスを検出する方法

次の手順では、クライアントが SRV レコードでサービスを検出する方法について説明します。
  1. クライアントのデバイスがネットワークに接続します。 クライアントのデバイスは、ネットワークに接続すると、DHCP 設定から DNS ネーム サーバのアドレスも取得できます。
  2. ユーザは、最初のサインインで次の手順のいずれかを実行して、サービスを検出します。
    • ユーザは Cisco Jabber を起動し、初期画面で電子メール形式のアドレスを入力します。
    • ユーザは URL 設定リンクをタップします。

      (注)  


      URL 設定によりユーザは、サービス ディスカバリのために電子メール形式のアドレスを手動で入力することなく、リンクをタップして Cisco Jabber を相互起動することができます。 サービス ディスカバリのために Cisco Jabber に必要なドメインを含む URL 設定リンクを作成できます。 必要に応じて、Cisco Unified Communications Manager に接続して電話機サービスを利用するための情報も含めることができます。 その後、電子メールまたは Web サイトを使用してユーザにリンクを提供できます。

      リンクは、ciscojabber://provision?ServicesDomain=<domain_for_service_discovery>&VoiceServicesDomain=<domain_for_voice_services> の形式で作成します。

      例を示します。
      • ciscojabber://provision?servicesdomain=cisco.com
      • ciscojabber://provision?ServicesDomain=cisco.com&VoiceServicesDomain=alphauk.cisco.com

  3. クライアントは、DHCP 設定から DNS ネーム サーバのアドレスを取得します。
  4. クライアントは、次の SRV レコードのネーム サーバのクエリーを優先度順で実行します。
    • _cisco-uds
    • _cuplogin

クライアントは、次回起動時にロードされるように、DNS クエリーの結果をキャッシュします。

次に示すのは、SRV レコード エントリの例です。
  • _cisco-uds._tcp.DOMAIN SRV service location:
     priority = 0
     weight = 0
     port = 8443
     svr hostname=cucm1.example.com
  • _cuplogin._tcp.DOMAIN SRV service location:
     priority = 0
     weight = 0
     port = 8443
     svr hostname=192.168.0.26

社内 DNS 構造への SRV レコードの展開に関する詳細については、『Cisco Jabber DNS Configuration Guide』を参照してください。 『Cisco Jabber DNS Configuration Guide』では、クライアントが SRV レコードを取得および使用する方法についての詳細情報を提供し、内部および外部の DNS ネーム サーバに SRV レコードを展開する方法について詳しく説明しています。

クライアントによる HTTP クエリーの発行

利用できるサービスを探すために SRV レコードのネーム サーバのクエリーを実行するほか、Cisco JabberCisco WebEx Messenger サービスのために CAS URL に HTTP クエリーを送信します。 この要求は、クライアントがクラウドベース展開を判定し、ユーザが Cisco WebEx Messenger サービスの認証を受けられるようにします。

クライアントはユーザからドメインを取得すると、そのドメインに次の HTTP クエリーを追加します。
http://loginp.webexconnect.com/cas/FederatedSSO?org=
たとえば、クライアントがユーザからドメインとして example.com を取得すると、次の HTTP クエリーを追加します。
http://loginp.webexconnect.com/cas/FederatedSSO?org=example.com

クエリーは、ドメインが有効な Cisco WebEx ドメインであるかどうかをクライアントが判定するために使用する XML 応答を返します。

クライアントは、ドメインが有効な Cisco WebEx ドメインであるかどうかを判定し、Cisco WebEx のクレデンシャルを入力するようにユーザに要求します。 その後、クライアントは Cisco WebEx Messenger サービスの認証を受けます。

ドメインが有効な Cisco WebEx ドメインではないとクライアントが判定した場合、クライアントは使用できるサービスを検出するためにネーム サーバのクエリー結果を使用します。


(注)  


クライアントは CAS URL に HTTP 要求を送信する際に、設定済みの任意のシステム プロキシを使用します。 この要求のプロキシのサポートには、次の制約事項があります。
  • プロキシ認証はサポートされません。
  • バイパス リストではワイルドカードがサポートされません。 たとえば、*.example.com ではなく、example.com を使用してください。

Cisco UDS SRV レコード

Cisco Unified Communications Manager バージョン 9 以降の展開では、Cisco Jabber は自動的に _cisco-uds SRV レコードでサービスと設定を自動的に検出できます。

次の図は、クライアントが _cisco-uds SRV レコードをどのように使用するかを示します。



  1. クライアントは SRV レコードのドメイン ネーム サーバのクエリーを行います。
  2. ネーム サーバは、_cisco-uds SRV レコードを返します。
  3. クライアントは、ユーザのホーム クラスタを検出します。 ユーザのホーム クラスタが自動的に検出されるため、クライアントはユーザのデバイス構成を取得し、テレフォニー サービスを自動的に登録できます。

    (注)  


    複数の Cisco Unified Communications Manager クラスタを使用した環境では、クラスタ間検索サービス(ILS)を設定する必要があります。 ILS は、クライアントがユーザのホーム クラスタを検出できるようにします。

    ILS を設定する方法については、適切なバージョンのCisco Unified Communications Manager Features and Services Guide』を参照してください。


  4. クライアントは、ユーザのサービス プロファイルを取得します。 ユーザのサービス プロファイルには、UC サービスのアドレスと設定およびクライアント構成が含まれます。 また、クライアントはサービス プロファイルからオーセンティケータを決定します。
  5. クライアントは、オーセンティケータにユーザをサインインさせます。

CUP ログイン SRV レコード

Cisco Jabber は、_cuplogin SRV レコードを使用して Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence を自動的に検出して接続できます。

次の図は、クライアントが _cuplogin SRV レコードをどのように使用するかを示します。



  1. クライアントは SRV レコードのドメイン ネーム サーバのクエリーを行います。
  2. ネーム サーバは、_cuplogin SRV レコードを返します。 このため、Cisco Jabber はプレゼンス サーバを検出し、その Cisco Unified Presence がオーセンティケータであることを決定できます。
  3. クライアントはユーザにクレデンシャルを要求し、プレゼンス サーバの認証を受けます。
  4. クライアントは、プレゼンス サーバからサービス プロファイルを取得します。

(注)  


_cuplogin SRV レコードは、[手動設定とサインイン(Manual setup and sign in)] 画面のデフォルトのサーバ アドレスも設定します。


手動接続設定

Cisco Jabber の起動時に、[手動設定とサインイン(Manual setup and sign in)] 画面でオーセンティケータとサーバ アドレスを指定できます。 クライアントは、次回起動時にロードするローカル アプリケーションの設定にサーバ アドレスをキャッシュします。

Cisco Jabber は、初回起動時に [手動設定とサインイン(Manual setup and sign in)] 画面で次のように設定を入力するようユーザに求めます。
Cisco Unified Communications Manager バージョン 9.x 以降でのオンプレミス展開
クライアントがサービス プロファイルからオーセンティケータとサーバ アドレスを取得できなかった場合。
Cisco Unified Communications Manager バージョン 8.x でのクラウドベース展開またはオンプレミス展開
クライアントは、SRV レコードでサーバ アドレスを設定しない場合、[手動設定とサインイン(Manual setup and sign in)] 画面にサーバ アドレスを入力するようユーザに求めます。

ユーザが [手動設定とサインイン(Manual setup and sign in)] 画面に入力した設定は、SRV レコードを含め、その他のソースよりも優先されます。

オンプレミス展開の手動接続設定

ユーザは Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence をオーセンティケータとして設定し、[手動設定とサインイン(Manual setup and sign in)] 画面でサーバ アドレスを指定できます。

メモ:

_cuplogin SRV レコードを使用して、デフォルトのサーバ アドレスを自動的に設定することもできます。

次の図は、クライアントがオンプレミス展開で手動接続設定をどのように使用するかを示します。



  1. ユーザは、[手動設定とサインイン(Manual setup and sign in)] 画面で接続設定を手動で入力します。
  2. クライアントは、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence の認証を受けます。
  3. クライアントは、プレゼンス サーバからサービス プロファイルを取得します。

クラウドベース展開の手動接続設定

ユーザは Cisco WebEx Messenger サービスをオーセンティケータとして設定し、[手動設定とサインイン(Manual setup and sign in)] 画面へのログインに CAS URL を指定できます。

次の図は、クライアントがクラウドベース展開で手動接続設定をどのように使用するかを示します。





  1. ユーザは、[手動設定とサインイン(Manual setup and sign in)] 画面で接続設定を手動で入力します。
  2. クライアントは、Cisco WebEx Messenger サービスの認証を受けます。
  3. クライアントは設定とサービスを取得します。

社内サービス接続

オンプレミス展開でクライアントがサービスを検出し、接続する方法について説明します。

フル UC および IM 専用の展開

デフォルトでは、クライアントはユーザを認証してサービス プロファイルを取得するためにプレゼンス サーバに接続します。 クライアントは、プレゼンス サーバを自動的に検出できます。

プレゼンス サーバの検出

クライアントは、DNS SRV を使用したサーバの自動検出をサポートしています。 ユーザがサインイン時にプレゼンス サーバのアドレスを指定しなかった場合、クライアントは Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence を自動的に検出します。



プレゼンス サーバを検出するため、クライアントは最初にドメインを決定する必要があります。 クライアントは、この情報をユーザから収集します。ユーザはクライアントへのサインイン時にユーザ名とドメインを入力する必要があります。

ドメインを見つけると、クライアントはドメイン ネーム サーバ(DNS)からプレゼンス サーバのアドレスを取得します。

プレゼンス サーバのアドレスを取得すると、クライアントはプレゼンス サーバに接続し、プレゼンス サーバのアドレスをキャッシュします。

クラスタ内の別のサーバへのリダイレクトが発生すると、クライアントはリダイレクト前のサーバのアドレスではなく、接続先のプレゼンス サーバのアドレスをキャッシュします。

DNS SRV レコード

クライアントはドメイン ネーム サーバ(DNS)から _cuplogin._tcp SRV レコードを取得し、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence のいずれかを検索します。

(注)

  • プレゼンス サーバ ドメインの DNS サーバに、この SRV レコードを追加する必要があります。
  • クライアントはポート 8443 を使用し、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence に接続します。
  • クライアントは SRV レコードの重みと優先順位がサポートします。

次は SRV レコードの例です。

_cuplogin._tcp.domain SRV 0 1 8443 cup_server.domain

使用可能なサービスへの接続

Cisco Unified Communications Manager IM and Presence バージョン 9 以降または Cisco Unified Communications Manager バージョン 9 以降を使用する場合、サービス プロファイルをセットアップできます。

クライアントはサービス プロファイルを取得したら、使用可能なサービスに接続します。

  • プロファイルに会議の設定が含まれている場合、クライアントは会議サービスに接続します。
  • プロファイルにボイスメールの設定が含まれている場合、クライアントはボイスメール サービスに接続します。
  • プロファイルに Cisco Unified Communications Manager の設定が含まれる場合は、次の処理が行われます。
    • クライアントは、ユーザのデバイス リストを取得します。
    • クライアントは、クライアントの設定を TFTP サーバから取得します。
    • クライアントが Cisco Unified Communications Manager に登録されます。

クラウドベース サービスの接続

クラウドベース展開でクライアントがサービスを検出し、接続する方法について説明します。

使用可能なサービスへの接続

クライアントが Cisco WebEx Messenger サービスに接続すると、ユーザはインスタント メッセージとプレゼンス機能および連絡先の解決を使用できます。 また、Cisco WebEx Meeting Center でホステッド会議を有効にした場合は、ユーザは会議機能も使用できます。

ハイブリッド クラウドベース展開では、クライアントは社内サービスの接続の詳細を取得します。 接続の詳細は、Cisco WebEx 管理ツール で指定します。

  • 展開に Cisco Unity Connection が含まれている場合、クライアントはボイスメール サービスに接続します。
  • 展開に Cisco Unified Communications Manager が含まれる場合は、次の処理が行われます。
    • クライアントは、ユーザのデバイス リストを取得します。
    • クライアントは、クライアントの設定を TFTP サーバから取得します。
    • クライアントが Cisco Unified Communications Manager に登録されます。

シングル サインオン(SSO)展開

特定の展開シナリオでシングル サインオン(SSO)を有効にできます。

使用可能な SSO 機能を調べて、SSO 展開でクライアント認証がどのように機能するかを理解するためにログイン フローを確認します。

クラウドベース SSO

クラウドベース展開では、クライアントは Cisco WebEx Messenger サービスを使用した SSO をサポートします。

次のステップは、ユーザがクライアントを起動した後のクラウドベース SSO のログイン フローについて説明します。

  1. クライアントはログイン要求を Cisco WebEx Messenger サービスに送信します。
  2. Cisco WebEx Messenger サービスは、アイデンティティ プロバイダーが存在するドメインへクライアントをリダイレクトします。
  3. クライアントはリダイレクトに従い、アイデンティティ プロバイダーにログイン トークンを要求します。
  4. アイデンティティ プロバイダーはクライアントにログイン トークンを与えます。
  5. クライアントは、そのログイン トークンを Cisco WebEx Messenger サービスに渡します。

このため、クライアントは Cisco WebEx Messenger サービスで認証されます。

次の図は、クラウドベース SSO のログイン フローを示します。



Cisco AnyConnect の展開

Cisco AnyConnect は、Wi-Fi ネットワークまたはモバイル データ ネットワークなどのリモート ロケーションから社内ネットワークにクライアントが安全に接続できるサーバクライアント インフラストラクチャを参照します。

Cisco AnyConnect 環境には次のコンポーネントが含まれます。

Cisco Adaptive Security Appliance

安全なリモート アクセスにサービスを提供します。

Cisco AnyConnect Secure Mobility Client

ユーザのデバイスから Cisco Adaptive Security Appliance への安全な接続を確立します。

Cisco Adaptive Security ApplianceCisco AnyConnect Secure Mobility Client の要件の詳細については、「ソフトウェア要件」のトピックを参照してください。

Cisco AnyConnect 導入に関する考慮事項

Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for iPhone and iPad のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。

Cisco Adaptive Security Appliance のインストールと設定の作業ベースの情報を取得するには、Cisco Adaptive Security Appliance のコンフィギュレーション ガイドを参照する必要があります。


(注)  


シスコは、Cisco AnyConnect Secure Mobility Client を使用した Cisco Jabber for iPhone and iPad をサポートしています。 他の VPN クライアントは正式にはサポートされませんが、他の VPN クライアントでも Cisco Jabber for iPhone and iPad を使用できる可能性があります。 別の VPN クライアントを使用する場合は、次のように VPN を設定します。

  1. 該当するサードパーティのマニュアルを使用して、VPN クライアントをインストールし、設定します。
  2. Cisco Unified Communications Manager での自動 VPN アクセスの設定」のトピックを使用してオンデマンド VPN をセットアップします。

アプリケーション プロファイル

ユーザが Cisco AnyConnect Secure Mobility Client をデバイスにダウンロードした後、ASA はコンフィギュレーション プロファイルをアプリケーションにプロビジョニングする必要があります。

Cisco AnyConnect Secure Mobility Client のコンフィギュレーション プロファイルには、会社の ASA VPN ゲートウェイ、接続プロトコル(IPSec または SSL)、およびオンデマンド ポリシーなどの VPN ポリシー情報が含まれています。

次のいずれかの方法で、Cisco Jabber for iPhone and iPad のアプリケーション プロファイルをプロビジョニングすることができます。
ASDM

ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect Secure Mobility Client クライアントの VPN プロファイルを定義することを推奨します。

この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。

詳細については、ご使用のリリースのCisco AnyConnect Secure Mobility Client Administrator Guide』「Creating and Editing an AnyConnect Profile」のトピックを参照してください。

iPCU

iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。

高レベルな手順は次のとおりです。

  1. iPCU を使用して、Apple コンフィギュレーション プロファイルを作成します。 詳細については、iPCU の資料を参照してください。
  2. XML プロファイルを .mobileconfig ファイルとしてエクスポートします。
  3. .mobileconfig ファイルをユーザにメールで送信します。 ユーザがこのファイルを開くと AnyConnect VPN プロファイルと他のプロファイル設定がクライアント アプリケーションにインストールされます。
MDM

サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。

高レベルな手順は次のとおりです。

  1. Apple 設定プロファイルを作成するには MDM を使用します。 MDM の使用についての詳細は Apple の資料を参照してください。
  2. 登録済みデバイスに Apple 設定プロファイルをプッシュします。

VPN 接続の自動化

ユーザが社外の Wi-Fi ネットワークから Cisco Jabber を開く場合、Cisco Jabber は Cisco UC アプリケーション サーバにアクセスするために VPN 接続を必要とします。 Cisco AnyConnect Secure Mobility Client が、バックグラウンドで VPN 接続を自動的に確立できるようにシステムを設定できます。これは、シームレスなユーザ エクスペリエンスの提供に役立ちます。

Connect On Demand VPN の設定

Apple iOS Connect On Demand 機能は、ユーザのドメインに基づいて VPN 接続を自動化することにより、ユーザ エクスペリエンスを強化します。

ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークの外に出ると、Cisco AnyConnect は、AnyConnect クライアント プロファイルで指定されたドメインに接続されているか自動的に検出します。 その場合、アプリケーションは VPN を開始して、UC インフラストラクチャへの接続を確認します。 Cisco Jabber を含めて、デバイス上のすべてのアプリケーションがこの機能を利用できます。


(注)  


Connect On Demand は、証明書で認証された接続だけをサポートします。


この機能では、次のオプションを使用できます。

  • [必要に応じて接続する(Connect If Needed)]:Apple iOS は、DNS を使用してアドレスを解決できない場合のみ、このリスト内のドメインへの VPN 接続を開始しようとします。
  • [接続しない(Never Connect)]:Apple iOS は、このリスト内のドメインへの VPN 接続の開始を試行しません。
注目:

Apple は近い将来に、[常に接続する(Always Connect)] オプションを削除する予定です。 [常に接続する(Always Connect)] オプションの削除後は、ユーザは [必要に応じて接続する(Connect if Needed)] オプションを選択できます。 場合によっては、Cisco Jabber ユーザが [必要に応じて接続する(Connect if Needed)] オプションを使用すると問題が発生することがあります。 たとえば、Cisco Unified Communications Manager のホスト名が社内ネットワークの外部で解決可能であれば、iOS は VPN 接続をトリガーしません。 ユーザはコールを発信する前に Cisco AnyConnect Secure Mobility Client を手動で起動することによって、この問題を回避できます。

手順
    ステップ 1   ASDM プロファイル エディタ、iPCU、または MDM ソフトウェアを使用して、AnyConnect クライアント プロファイルを開きます。
    ステップ 2   AnyConnect クライアント プロファイルの [必要に応じて接続する(Connect if Needed)] セクションで、オンデマンド ドメインのリストを入力します。

    ドメイン リストは、ワイルドカード オプション(たとえば、cucm.cisco.com、cisco.com、および *.webex.com)を含むことができます。


    Cisco Unified Communications Manager での自動 VPN アクセスの設定
    はじめる前に
    • モバイル デバイスで、証明書ベースの認証での VPN へのオンデマンド アクセスが設定されている必要があります。 VPN アクセスの設定については、VPN クライアントおよびヘッド エンドのプロバイダーにお問い合わせください。
    • Cisco AnyConnect Secure Mobility ClientCisco Adaptive Security Appliance の要件については、「ソフトウェア要件」のトピックを参照してください。
    • Cisco AnyConnect のセットアップの詳細については、Cisco AnyConnect VPN Client Maintain and Operate Guides』を参照してください。
    手順
      ステップ 1   クライアントがオンデマンドで VPN を起動する URL を指定します。
      1. 次のいずれかの方法を使用し、クライアントがオンデマンドで VPN を起動する URL を指定します。
        必要に応じて接続する(Connect if Needed)
        • Cisco Unified Communications Manager を(IP アドレスではなく)ドメイン名経由でアクセスするように設定します。また、ドメイン名がファイアウォールの外では解決できないようにします。
        • Cisco AnyConnect クライアント接続の Connect on Demand ドメイン リストで、このドメインを [必要に応じて接続する(Connect If Needed)] リストに追加します。
        常に接続する(Always Connect)
        • 存在しないドメインにステップ 4 のパラメータを設定します。 存在しないドメインはユーザがファイアウォールの内部または外部にいるときに、DNS クエリーが失敗する原因となります。
        • Cisco AnyConnect クライアント接続の Connect on Demand ドメイン リストで、このドメインを [常に接続する(Always Connect)] リストに追加します。 URL は、ドメイン名だけを含む必要があります。 プロトコルまたはパスは含めないでください(たとえば、「https://cm8ondemand.company.com/vpn」の代わりに「cm8ondemand.company.com」を使用します)。
      2. Cisco AnyConnect で URL を入力し、このドメインの DNS クエリーが失敗することを確認します。
      ステップ 2   [Cisco Unified CM の管理(Cisco Unified CM Administration)] インターフェイスを開きます。
      ステップ 3   ユーザの TCT/TAB デバイス ページに移動します。
      ステップ 4   [プロダクト固有の設定(Product Specific Configuration Layout)] セクションの [オンデマンド VPN の URL(On-Demand VPN URL)] フィールドに、ステップ 1 で Cisco AnyConnect で識別および使用した URL を入力します。

      URL は、ドメイン名だけを含む必要があります。プロトコルやパスを含まないようにしてください。

      ステップ 5   [保存(Save)] を選択します。

      Cisco Jabber が開くと、URL への DNS クエリーを開始します(たとえば、ccm-sjc-111.cisco.com)。 この URL が、この手順で定義したオンデマンドのドメイン リストのエントリ(たとえば、cisco.com)に一致する場合、Cisco Jabber は間接的に AnyConnect VPN 接続を開始します。


      次の作業

      • この機能をテストしてください。
        • この URL を iOS デバイスのインターネット ブラウザに入力し、VPN が自動的に起動することを確認します。 ステータス バーに、VPN アイコンが表示されます。
        • VPN を使用して、iOS デバイスが社内ネットワークに接続できることを確認します。 たとえば、社内イントラネットの Web ページにアクセスしてください。 iOS デバイスが接続できない場合は、ご利用の VPN 製品のプロバイダーに問い合わせてください。
        • VPN が特定のタイプのトラフィックへのアクセスを制限していないか(たとえば、電子メールとカレンダー操作のトラフィックだけが許可されるように、管理者がシステムを設定している場合など)IT 部門に確認します。
      • クライアントが、社内ネットワークに直接接続されるように設定されていることを確認します。

      証明書ベースの認証の設定

      Cisco Adaptive Security Appliance とのセキュアな接続を Cisco AnyConnect Secure Mobility Client からネゴシエートするための証明書ベースの認証を使用することを推奨します。

      ASA は、Cisco IOS CA、Microsoft Windows 2003、Windows 2008 R2、Entrust、VeriSign、RSA Keon などの標準認証局(CA)サーバが発行した証明書をサポートします。 ここでは、証明書ベースの認証のために ASA を設定するための高レベルな手順を説明します。 適切な ASA コンフィギュレーション ガイドの順を追った手順については、「Configuring Digital Certificates」のトピックを参照してください。

      手順
        ステップ 1   ルート証明書を CA から ASA にインポートします。
        ステップ 2   ASA の ID 証明書を生成します。
        ステップ 3   SSL 認証用の ASA の ID 証明書を使用します。
        ステップ 4   証明書失効リスト(CRL)または Online Certificate Status Protocol(OCSP)を設定します。
        ステップ 5   認証にクライアント証明書を要求するように、ASA を設定します。

        次の作業

        ASA で証明書ベースの認証を設定した後、ユーザに証明書を配布する必要があります。 次のいずれかの方法を使用できます。
        • SCEP を使用した証明書の配布
        • Mobileconfig ファイルを使用したクライアント証明書の配布

        SCEP を使用した証明書の配布

        Microsoft Windows Server の Simple Certificate Enrollment Protocol(SCEP)を使用して、クライアント認証のための証明書を安全に発行し、更新できます。

        SCEP を使用して証明書を配布するには、Microsoft Windows Server に SCEP モジュールをインストールする必要があります。 詳細については、次のトピックを参照してください。

        • 「ASA 8.X: AnyConnect SCEP Enrollment Configuration Example」
        • 「Simple Certificate Enrollment Protocol (SCEP) Add-on for Certificate Services」
        Mobileconfig ファイルを使用したクライアント証明書の配布

        証明書を含むモバイル コンフィギュレーション ファイルを作成するには、次の手順を実行します。 このファイルを使用して、証明書をユーザに配布できます。

        手順
          ステップ 1   iPCU ソフトウェアを使用して mobileconfig ファイルを作成し、certificate (.pfx) ファイルを組み込みます。
          ステップ 2   mobileconfig ファイルをユーザに転送します。
          ステップ 3   Cisco ISE のネイティブ サプリカント プロビジョニング プロセスを使用して、ユーザ証明書を配布します。
          ステップ 4   Enterprise MDM ソフトウェアを使用して、登録済みデバイスに証明書をプロビジョニングおよびパブリッシュします。

          セッション パラメータ

          セキュア接続のパフォーマンスを向上するために ASA セッション パラメータを設定できます。 最良のユーザ エクスペリエンスを得るために、次の ASA セッション パラメータを設定する必要があります。

          Datagram Transport Layer Security(DTLS)

          DTLS は遅延およびデータ損失を防止するデータ パスを提供する SSL プロトコルです。

          自動再接続

          自動再接続(またはセッションの持続性)により、Cisco AnyConnect Secure Mobility Client はセッションの中断から回復し、セッションを再確立します。

          セッションの持続性

          このパラメータを使用すると、VPN セッションをサービスの中断から回復し、接続を再確立できます。

          アイドル タイムアウト

          アイドル タイムアウトは、通信アクティビティがない場合に、ASA がセキュアな接続を切断するまでの期間を定義します。

          Dead Peer Detection(DTD)

          DTD によって、ASA および Cisco AnyConnect Secure Mobility Client が接続障害をすばやく検出できます。

          ASA セッション パラメータの設定

          Cisco AnyConnect Secure Mobility Client のエンド ユーザのユーザ エクスペリエンスを最適化するために、次のように ASA セッション パラメータを設定することを推奨します。

          手順
            ステップ 1   DTLS を使用するように、Cisco AnyConnect を設定します。

            詳細については、『Cisco AnyConnect VPN Client Administrator Guide, Version 2.0』「Configuring AnyConnect Features Using ASDM」の章の、「Enabling Datagram Transport Layer Security (DTLS) with AnyConnect (SSL) Connections」のトピックを参照してください。

            ステップ 2   セッションの永続性(自動再接続)を設定します。
            1. ASDM を使用して VPN クライアント プロファイルを開きます。
            2. [自動再接続の動作(Auto Reconnect Behavior)] パラメータを [復帰後に再接続(Reconnect After Resume)] に設定します。

            詳細については、ご使用のリリースのCisco AnyConnect Secure Mobility Client Administrator Guide』「Configuring AnyConnect Features」の章(リリース 2.5)または「Configuring VPN Access」の章(リリース 3.0 または 3.1)の「Configuring Auto Reconnect」のトピックを参照してください。

            ステップ 3   アイドル タイムアウト値を設定します。
            1. Cisco Jabber クライアントに固有のグループ ポリシーを作成します。
            2. アイドル タイムアウト値を 30 分に設定します。

            詳細については、ご使用のリリースの『Cisco ASA 5580 Adaptive Security Appliance Command Reference』「vpn-idle-timeout」のセクションを参照してください。

            ステップ 4   Dead Peer Detection(DPD)を設定します。
            1. サーバ側の DPD を無効にします。
            2. クライアント側の DPD を有効にします。

            詳細については、『Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6』「Configuring VPN」の章の、「Enabling and Adjusting Dead Peer Detection」のトピックを参照してください。


            グループ ポリシーおよびプロファイル

            グループ ポリシー、クライアント プロファイル、および接続プロファイルを作成するために、ASA デバイス マネージャ(ASDM)を使用する必要があります。 最初にグループ ポリシーを作成し、次にそのポリシーをプロファイルに適用します。 ASDM を使用してプロファイルを作成すると、Cisco AnyConnect Secure Mobility Client が ASA への接続を初めて確立した後にプロファイルがダウンロードされます。 ASDM では、中央のロケーションでプロファイルとポリシーを管理および維持することができます。

            ASDM でポリシーとプロファイルを作成する方法の手順については、Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。

            Trusted Network Detection

            Trusted Network Detection は、ユーザ ロケーションに基づいてセキュア接続を自動化する機能です。 ユーザが企業ネットワークを離れると、Cisco AnyConnect Secure Mobility Client は信頼ネットワークの外部であることを自動的に検出し、セキュアなアクセスを開始します。

            クライアント プロファイルの一部として ASA に Trusted Network Detection を設定します。 詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』「Trusted Network Detection」のトピックを参照してください。

            トンネル ポリシー

            トンネル ポリシーは、Cisco AnyConnect Secure Mobility Client がセキュアな接続を介してトラフィックを方向付ける方法を設定します。次が含まれます。

            Full Tunnel ポリシー

            ASA ゲートウェイへのセキュア接続を介してすべてのトラフィックを送信できます。

            ネットワーク ACL での Split Include ポリシー

            宛先 IP アドレスに基づいてセキュア接続を制限できます。 たとえば、オンプレミス展開で、Cisco Unified Communications ManagerCisco Unified Presence、TFTP サーバ、その他のサーバに対して IP アドレスを指定して、クライアントのトラフィックにだけセキュア接続を制限することができます。

            Split Exclude ポリシー

            セキュア接続から特定のトラフィックを除外できます。 セキュア接続を介したクライアントのトラフィックを許可し、特定の宛先サブネットからトラフィックを除外できます。