はじめに
このドキュメントでは、SCIM標準に基づいて、Azure Active DirectoryおよびOktaからのユーザーとグループIDのプロビジョニングをサポートするUmbrellaについて説明します。
サポートされる使用例
包括SWG:
- IPsecトンネル、PACファイル、またはプロキシチェーンを介してSWGに接続しているエンドユーザーのAzure AD/Oktaに対するSAML認証のセットアップと併せて、Azure AD/OktaからユーザーおよびグループIDをインポートします。
- オンプレミスADまたはAzure ADに対して認証を行うデバイスでAnyConnect SWGモジュールのユーザーIDを有効にするには、Azure ADからユーザーとグループのIDをインポートします。
- オンプレミスADに対して認証を行うデバイスでAnyConnect SWGモジュールのユーザIDを有効にするために、OktaからユーザとグループのIDをインポートします。
包括DNS:
- オンプレミスADまたはAzure ADに対して認証を行うデバイスでAnyConnect DNSモジュール/ローミングクライアントのユーザーIDを有効にするには、Azure ADからユーザーとグループのIDをインポートします。
- オンプレミスADに対して認証を行うデバイスでAnyConnect DNSモジュール/ローミングクライアントのユーザIDを有効にするために、OktaからユーザとグループのIDをインポートします。
制約
- Azure AD/Oktaは、Umbrella仮想アプライアンス(VA)のユーザーID統合を提供できません。 これは、Azure AD/OktaにプライベートIP (VAで必要なユーザーマッピング)の可視性がないためです。VAの導入では、引き続きオンプレミスのUmbrella ADコネクタを導入してAD統合を促進する必要があります。
- オンプレミスADとAzure AD/Oktaからの同じユーザー/グループIDの同時展開はサポートされていません。以前にオンプレミスのADコネクタを展開してユーザーとグループをプロビジョニングし、Azure AD/Oktaから同じユーザーとグループのIDをプロビジョニングしようとしている場合は、Azure AD/Oktaプロビジョニングを有効にする前に、ADコネクタを停止する必要があります。
- Azure AD/Oktaからプロビジョニングできるユーザー数に制限はありません。グループでは、Azure AD/OktaからUmbrella組織に最大200個のグループをプロビジョニングできます。Azure ADは動的グループをサポートしているため、'All Users'グループを作成し、このグループを、Umbrellaポリシーを定義するその他の最大199のグループと共にプロビジョニングできます。Oktaにも同様にEveryoneグループが組み込まれているため、ポリシーを定義する他のグループを最大199個このグループとともにプロビジョニングできます。
- AnyConnect SWGは、Azure ADに対するSAML認証をサポートしていません。これは、オンプレミスADで使用されるのと同じパッシブ認証メカニズムに依存します。
プロビジョニングID
これらのアイデンティティプロバイダーのいずれかからIDをプロビジョニングするには、次のリンクで説明されている手順を使用できます。