ユーザ プロファイルについて
ユーザプロファイルで、ユーザのログイン、パスワード、およびロール(権限)を定義します。
ユーザの内部プロファイルと外部プロファイルの両方を設定できます。内部ユーザプロファイルは Cisco DNA Center に配置され、外部ユーザプロファイルは外部 AAA サーバに配置されます。
Cisco DNA Center をインストールすると、SUPER-ADMIN-ROLE 権限を持つデフォルトのユーザプロファイルが作成されます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ユーザプロファイルで、ユーザのログイン、パスワード、およびロール(権限)を定義します。
ユーザの内部プロファイルと外部プロファイルの両方を設定できます。内部ユーザプロファイルは Cisco DNA Center に配置され、外部ユーザプロファイルは外部 AAA サーバに配置されます。
Cisco DNA Center をインストールすると、SUPER-ADMIN-ROLE 権限を持つデフォルトのユーザプロファイルが作成されます。
実行できる機能を指定する次のユーザロールがユーザに割り当てられます。
管理者(SUPER-ADMIN-ROLE):このロールを持つユーザは、Cisco DNA Center のすべての機能へのフルアクセスが可能です。管理者は、SUPER-ADMIN-ROLE を含むさまざまなロールを持つ他のユーザプロファイルを作成できます。
ネットワーク管理者(NETWORK-ADMIN-ROLE):このロールを持つユーザは、Cisco DNA Center のすべてのネットワーク関連機能へのフルアクセスが可能です。ただし、バックアップと復元など、システム関連の機能へのアクセス権はありません。
オブザーバ(OBSERVER-ROLE):このロールを持つユーザは、Cisco DNA Center の機能への表示専用アクセスが可能です。オブザーバ ロールを持つユーザは、Cisco DNA Center やそれが管理するデバイスを設定または制御する機能にはアクセスできません。
ユーザを作成し、このユーザにロールを割り当てることができます。
SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。詳細については、ユーザ ロールの概要を参照してください。
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
ステップ 2 |
[Add] をクリックします。 |
ステップ 3 |
新しいユーザの姓、名、ユーザ名を入力します。 |
ステップ 4 |
[Role List] で、SUPER-ADMIN-ROLE、NETWORK-ADMIN-ROLE、または OBSERVER-ROLE のいずれかのロールを選択します。 |
ステップ 5 |
ロールのパスワードを入力し、確認のためにもう一度入力します。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
ユーザロールを変更できます(ユーザ名は変更できません)。
SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。詳細については、ユーザ ロールの概要を参照してください。
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
ステップ 2 |
編集するユーザの横にあるオプションボタンをクリックします。 |
ステップ 3 |
[Edit] をクリックします。 |
ステップ 4 |
[Role List] で、新しいロール([SUPER-ADMIN-ROLE]、[NETWORK-ADMIN-ROLE]、または [OBSERVER-ROLE])を選択します。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。詳細については、ユーザ ロールの概要を参照してください。
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
ステップ 2 |
削除するユーザの横にあるオプションボタンをクリックします。 |
ステップ 3 |
[削除(Delete)] をクリックします。 |
ステップ 4 |
確認のプロンプトで、[Continue] をクリックします。 |
別のユーザのパスワードをリセットできます。
セキュリティ上の理由から、パスワードは、どのユーザに対しても(管理者権限を持つユーザに対してさえも)、表示されません。
SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。詳細については、ユーザ ロールの概要を参照してください。
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
ステップ 2 |
パスワードをリセットするユーザの横にあるオプションボタンをクリックします。 |
ステップ 3 |
[Reset Password] をクリックします。 |
ステップ 4 |
パスワードを入力し、確認します。新しいパスワードは次の要件を満たす必要があります。
|
ステップ 5 |
[保存(Save)] をクリックします。 |
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
ステップ 2 |
必要なフィールドに情報を入力します。 |
ステップ 3 |
[更新(Update)] をクリックします。 |
パスワードを忘れた場合は、CLI を使用してパスワードをリセットできます。
ステップ 1 |
システムでそのユーザが作成されているかどうかを確認するには、次のコマンドを入力します。
このコマンドは、パスワードをリセットするために使用できるテナント名を返します。出力は、次のようになります。
|
ステップ 2 |
パスワードをリセットするには、次のコマンドにテナント名を入力します。
新しいパスワードを入力するように求められます。 |
ステップ 3 |
新しいパスワードを入力します。 確認のために新しいパスワードを再入力するよう求められます。 |
ステップ 4 |
新しいパスワードを入力します。パスワードがリセットされ、新しいパスワードを使用して Cisco DNA Center にログインできます。 |
Cisco DNA Center は、ロールベース アクセス コントロール(RBAC)をサポートしています。これにより、SUPER-ADMIN-ROLE 権限を持つユーザは、特定の Cisco DNA Center 機能へのユーザアクセスを許可または制限するカスタムロールを定義できます。
カスタムロールを定義し、定義したロールにユーザを割り当てるには、次の手順を実行します。
SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。
ステップ 1 |
カスタムロールを定義します。 |
ステップ 2 |
作成したカスタムロールにユーザを割り当てるには、[Add Users] をクリックします。 ] ウィンドウが表示されます。このウィンドウでは、カスタムロールを既存のユーザまたは新規ユーザに割り当てることができます。
|
ステップ 3 |
既存のユーザがログイン中に、管理者がそのユーザのアクセス権限を変更した場合、新しい権限設定を有効にするには、ユーザが Cisco DNA Center からログアウトして、ログインし直す必要があります。 |
機能 | 説明 | ||
---|---|---|---|
アシュアランス |
ネットワークのあらゆる側面を完全に可視化して一貫したサービスレベルを維持できます。 |
||
モニタリングおよびトラブルシューティング |
問題のトラブルシューティングと修復、プロアクティブなネットワークモニタリング、および AI ネットワーク分析から得られるインサイトにより、ネットワークの正常性のモニタリングと管理を行います。 このロールでは次のことが可能です。
|
||
モニタリングの設定(Monitoring Settings) |
問題の設定と管理を行います。ネットワーク、クライアント、およびアプリケーションの正常性のしきい値を更新します。 注:[Monitoring and Troubleshooting] に対する読み取り権限が最低限必要です。 |
||
トラブルシューティング ツール |
センサーテストの作成と管理を行います。クライアントのトラブルシューティングのためのオンデマンドのフォレンジック パケット キャプチャ(インテリジェントキャプチャ)をスケジュールします。 注:[Monitoring and Troubleshooting] に対する読み取り権限が最低限必要です。 |
||
ネットワーク設計 |
ネットワーク階層の設定、ソフトウェア イメージ リポジトリの更新、サイトやネットワークデバイスの管理に使用するネットワークプロファイルと設定の構成を行います。 |
||
詳細ネットワーク設定(Advanced Network Settings) |
|
||
イメージリポジトリ |
ソフトウェアイメージを管理し、物理および仮想ネットワークエンティティのアップグレードと更新を促進します。 |
||
ネットワーク階層 |
サイト、ビルディング、フロア、およびエリアのネットワーク階層を地理的な場所に基づいて定義および作成します。このロールを持つユーザは、[System Settings] で CMX サーバを追加することもできます。 |
||
ネットワーク プロファイル(Network Profiles) |
ルーティング、エンタープライズ NFV、スイッチング、およびワイヤレスのネットワークプロファイルを作成し、プロファイルをサイトに割り当てます。このロールには、テンプレートエディタ、タギング、モデル設定エディタ、および認証テンプレートが含まれます。 注:SSID を作成するには、[Network Settings] に対する書き込み権限が必要です。 |
||
ネットワーク設定 |
AAA、NTP、DHCP、DNS、Syslog、SNMP、テレメトリなど、サイト全体の共通のネットワーク設定。このロールを持つユーザは、[System Settings] で SFTP サーバの追加とネットワーク再同期間隔の変更が可能です。 注:ワイヤレスプロファイルを作成するには、[Network Profiles] に対する書き込み権限が必要です。 |
||
仮想ネットワーク |
仮想ネットワーク(VN)を管理します。トラフィックの分離や VN 間通信の制御のために、物理ネットワークを複数の論理ネットワークにセグメント化します。 |
||
ネットワーク プロビジョニング |
ネットワークデバイスの設定、アップグレード、プロビジョニング、スケジュール、および管理を行います。 |
||
コンプライアンス |
コンプライアンス プロビジョニングを管理します。 |
||
イメージの更新 |
デバイスのソフトウェアイメージを、完全なアップグレード ライフサイクルの後でアップグレードします。 |
||
インベントリ管理 |
ネットワーク上のデバイスの検出、追加、置換、削除、およびデバイス属性と設定プロパティの管理を行います。 注:デバイスを置換するには、 に対する書き込み権限が必要です。 |
||
ライセンス |
ソフトウェア資産やネットワーク資産のライセンス使用状況とコンプライアンスに関する情報を一元管理します。 |
||
ネットワークテレメトリ |
デバイスからのアプリケーションテレメトリの収集を有効または無効にします。割り当てられたサイトに関連付けられているテレメトリ設定を構成します。Wireless Service Assurance やコントローラ証明書など他の設定を構成します。 注:ネットワークテレメトリを有効または無効にするには、[Provision] に対する書き込み権限が必要です。 |
||
PnP |
新しいデバイスを自動的にオンボードしてサイトに割り当て、サイト固有のコンテキスト設定に基づいて設定します。 |
||
Provision |
サイト固有の設定とネットワークに対して設定されたポリシーを使用してデバイスをプロビジョニングします。このロールには、ファブリック、アプリケーションポリシー、アプリケーションの可視性、クラウド、サイト間 VPN、ネットワーク/アプリケーションテレメトリ、Stealthwatch、および Umbrella プロビジョニングが含まれます。 注:ネットワークプロファイルが関連付けられたサイトのデバイスをプロビジョニングするには、[Network Profiles] に対する読み取り権限が最低限必要です。 |
||
スケジューラ |
他のバックエンドサービスと統合されたスケジューラを使用して、ポリシーの展開、ネットワークデバイスのプロビジョニング、アップグレードなどのタスクをスケジュールできます。 |
||
ネットワーク サービス |
ネットワークのサービスをプロビジョニングします。 |
||
アプリケーション ホスティング |
ネットワークデバイスで実行される仮想化されたコンテナベースのアプリケーションを展開、管理、およびモニタします。 |
||
Bonjour |
ポリシーベースのサービス検出を有効にするために、ネットワーク全体で Wide-Area Bonjour サービスを有効にします。 |
||
Stealthwatch |
暗号化されたトラフィックに含まれる脅威も検出して軽減できるようにするために、ネットワーク要素から Cisco Stealthwatch にデータを送信するように設定します。 Stealthwatch をプロビジョニングするには、次のコンポーネントに対する書き込み権限が必要です。 |
||
Umbrella |
サイバーセキュリティの脅威に対する最前線の防御策として、ネットワーク要素で Cisco Umbrella を使用するように設定します。 Umbrella をプロビジョニングするには、次のコンポーネントに対する書き込み権限が必要です。 また、[Advanced Network Settings] に対する読み取り権限も必要です。 |
||
プラットフォーム |
アクセス可能なインテントベースのワークフロー、データ交換、通知、およびサードパーティ製アプリケーションの統合に使用できるオープンなプラットフォーム。 |
||
API |
Cisco DNA Center に REST API を使用してアクセスできます。 |
||
バンドル |
生産性の向上のために、ITSM との統合用に事前設定されたバンドルを設定およびアクティブ化します。 |
||
イベント |
ネットワークやシステムの関心があるイベントに登録することで、それらのイベントについての通知をほぼリアルタイムで受け取り、修正処置を開始できます。 電子メールおよび Syslog ログの設定は、 で設定できます。 |
||
レポート |
事前定義されたレポーティングテンプレートを使用して、ネットワークのあらゆる側面についてのレポートを生成できます。 ウェブフックは、 で設定できます。 |
||
セキュリティ |
ネットワークへのセキュアなアクセスを管理および制御します。 |
||
グループベース ポリシー |
シスコのセキュリティグループタグに基づいてネットワークのセグメンテーションとアクセス制御を適用するグループベースポリシーを管理します。このロールには、エンドポイント分析が含まれます。 |
||
IP ベースのアクセス制御 |
IP アドレスに基づいてネットワークのセグメンテーションを適用する IP ベースのアクセス制御リストを管理します。 |
||
セキュリティ アドバイザリ |
ネットワークをスキャンしてセキュリティアドバイザリを検索します。シスコが公開しているセキュリティアドバイザリでネットワークに影響する可能性がある情報を確認および把握できます。 |
||
システム |
Cisco DNA Center の構成管理、ネットワーク接続、ソフトウェアアップグレードなどを一元管理します。 |
||
機械推論 |
セキュリティの脆弱性を迅速に特定して問題の自動分析を改善するために、機械推論ナレッジベースの自動更新を設定します。 |
||
システム管理 |
システムのコア機能と接続の設定を管理します。ユーザロールを管理し、外部認証を設定します。 このロールには、シスコのクレデンシャル、整合性検証、プロキシ設定、デバイスの EULA、HA、統合設定、ディザスタリカバリ、デバッグログ、テレメトリコレクション、システムの EULA、IPAM、vManage サーバ、バックアップと復元、およびデータプラットフォームが含まれます。 |
||
ユーティリティ |
広く使用されているトラブルシューティング ツールやサービスなど、生産性に役立つ情報がまとめられています。 |
||
監査ログ |
UI または API インターフェイスを通じてネットワークデバイスや Cisco DNA Center に加えられた変更の詳細なログ。 |
||
ネットワーク推論機能 |
ネットワーク分野の専門家の知識に基づく、ネットワークの問題についての自動化された論理的なトラブルシューティングを開始します。 |
||
検索 |
サイト、ネットワークデバイス、クライアント、アプリケーション、ポリシー、設定、タグ、メニュー項目など、Cisco DNA Center のさまざまなオブジェクトを検索します。 |
各ユーザロールに属しているユーザの数を示す統計を表示できます。ドリルダウンして、選択したロールを持つユーザのリストを表示することもできます。
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( デフォルトのすべてのユーザロールとカスタムロールが表示されます。 |
ステップ 2 |
各ユーザロールに対応する番号をクリックすると、そのロールを持つユーザのリストが表示されます。 |
外部ユーザの認証と許可に外部サーバを使用している場合、Cisco DNA Center で外部認証を有効にする必要があります。
SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。詳細については、ユーザ ロールの概要を参照してください。
少なくとも 1 つの認証サーバを設定する必要があります。
![]() (注) |
Cisco DNA Center のこのリリースでは、外部認証のフォールバック動作が変更されました。2.1.x 以前のリリースでは、外部認証が有効になっている場合、Cisco DNA Center は AAA サーバに到達できないか、AAA サーバが不明なユーザ名を拒否すると、ローカルユーザにフォールバックしていました。現在のリリースでは、AAA サーバに到達できない場合や AAA サーバが不明なユーザ名を拒否した場合に Cisco DNA Center がローカルユーザにフォールバックすることはありません。 外部認証フォールバックを有効にするには、Cisco DNA Center インスタンスに SSH 接続し、次の CLI コマンドを入力します。
|
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
ステップ 2 |
Cisco DNA Center で外部認証を有効にするには、[Enable External User] チェックボックスをオンにします。 |
ステップ 3 |
(任意) AAA 属性を設定します。 AAA サーバの Cisco DNA Center ユーザプロファイルを、[Cisco-AVPair] で AAA 属性として設定する限り、ほとんどの場合、デフォルト AAA 属性設定(Cisco-AVPair)で十分です。Cisco DNA Center でデフォルトの設定を変更する必要があるのは、AAA サーバの Cisco DNA Center ユーザプロファイルで別の値が設定されている場合だけです。たとえば、AAA 属性を「Cisco-AVPair=Role=SUPER-ADMIN-ROLE」と手動で定義してもかまいません。
|
ステップ 4 |
(任意) AAA サーバを設定します。 これらの設定は、現在のプライマリ AAA サーバとセカンダリ AAA サーバを交換したり、異なる AAA サーバを定義したりする場合にのみ行います。Cisco DNA Center GUI で [Menu] アイコン( |
二要素認証(2FA)は、ユーザ名とパスワードに加えて識別子手法を使用することで、ユーザ認証のセキュリティを強化するものです。識別子手法は、一般に、実際の対象ユーザだけが所持し(スマホアプリやキーフォブなど)、元のログイン方法と意図的に異なるものを使用します。
Cisco DNA Center の二要素認証の実装では、トークンクライアント(適切な PIN が入力された後に使い捨てトークンコードを生成)、トークンサーバ(トークンコードを検証)、およびユーザのアクセスを管理する認証サーバを使用できます。認証処理には、RADIUS または TACACS+ プロトコルが使用されます。
このセクションでは、次の内容について説明します。
二要素認証を実装するために満たす必要がある要件。
必要な設定。
二要素認証を使用した Cisco DNA Center のログイン手順。
Cisco DNA Center で使用する二要素認証を設定するには、次の前提条件を満たしている必要があります。
認証された Cisco DNA Center ユーザの RBAC ロール認可を伝達する属性値ペアを返すことができる認証サーバ。この例では、Cisco Identity Services Engine(Cisco ISE)2.3 パッチ 1 を使用しています。
認証サーバと統合する二要素トークンサーバ。この例では、RSA Authentication Manager 7.2 を使用しています。
ソフトウェアトークンを生成するクライアントのマシン上のトークン カード アプリケーション。この例では、RSA SecurID ソフトウェアトークンを使用しています。
以下に、二要素認証が設定されている Cisco DNA Center アプライアンスにユーザがログインしたときの動作の概要を示します。
RSA SecurID トークンクライアントでは、ユーザは PIN を入力してトークンコードを取得します。
Cisco DNA Center ログインページでは、ユーザ名とトークンコードを入力します。
Cisco DNA Center では、Cisco ISE へのログイン要求の送信に、RADIUS または TACACS+ プロトコルを使用します。
Cisco ISE RSA Authentication Manager サーバに要求を送信します。
RSA Authentication Manager でトークンコードを検証し、ユーザが正常に認証されたことを Cisco ISE に通知します。
Cisco ISE は認証されたユーザと設定済みの認可プロファイルを照合し、role=NETWORK-ADMIN-ROLE 属性値ペアを返します。
Cisco DNA Center ユーザのロールベース アクセス コントロール(RBAC)ロールに関連付けられている機能およびページへのアクセス権を付与します。
Cisco DNA Center アプライアンスで二要素認証を設定するには、次の手順を実行します。
ステップ 1 |
RSA Authentication Manager を Cisco ISE と統合します。 |
||
ステップ 2 |
2 つの許可プロファイルを作成します。1 つは Admin ユーザロール用、もう 1 つは オブザーバユーザロール用です。 |
||
ステップ 3 |
Cisco DNA Center アプライアンスの認証ポリシーを作成します。 『Cisco Identity Services Engine Administrator Guide, Release 2.3』の「Configure Authentication Policies」のトピックを参照してください。 |
||
ステップ 4 |
2 つの許可ポリシーを作成します。1 つは Admin ユーザロール用、もう 1 つは オブザーバユーザロール用です。 『Cisco Identity Services Engine Administrator Guide, Release 2.3』の「Configure Authorization Policies」のトピックを参照してください。 |
||
ステップ 5 |
RSA Authentication Manager セキュリティコンソールで、ソフトウェアトークンが両方のユーザに割り当てられていることを確認します。 詳細については、RSA Self-Service Console Help の「View a Token」のトピックを参照してください。
|
RADIUS 用に設定された Cisco ISE サーバを使用する二要素認証を有効にするには、次の手順を実行します。
ステップ 1 |
Cisco ISE と Cisco DNA Center を連動させます。 『Cisco DNA Center Installation Guide』の「Integrate Cisco ISE with Cisco DNA Center」を参照してください。 |
||
ステップ 2 |
認証に Cisco ISE サーバを使用するよう Cisco DNA Center を設定します。 「外部認証の設定」を参照してください。
|
TACACS+ が設定された Cisco ISE サーバを使用する二要素認証を有効にするには、次の手順を実行します。
ステップ 1 |
Cisco ISE で、 の順に選択すると、[Network Devices] ウィンドウが開きます。 |
||
ステップ 2 |
[TACACS Authentication Settings] をクリックしてその内容を表示し、以前に追加した Cisco DNA Center デバイスに対して共有秘密がすでに設定されていることを確認します。 |
||
ステップ 3 |
ウィンドウが開きます。 を選択すると、[TACACS Profiles] |
||
ステップ 4 |
cdnac_admin および cdnac_observer ユーザロールの TACACS+ プロファイルを作成します。 |
||
ステップ 5 |
Cisco ISE と Cisco DNA Center を連動させます。 『Cisco DNA Center Installation Guide』の「Integrate Cisco ISE with Cisco DNA Center」を参照してください。 |
||
ステップ 6 |
認証に Cisco ISE サーバを使用するよう Cisco DNA Center を設定します。 「外部認証の設定」を参照してください。
|
二要素認証を使用して Cisco DNA Center にログインするには、次の手順を実行します。
ステップ 1 |
Cisco DNA Center のログインページで、適切なユーザ名を入力します。 |
ステップ 2 |
RSA SecurID トークンクライアントを開き、以前設定した PIN を入力して使い捨てトークンを生成します。 |
ステップ 3 |
このトークンをコピーして、Cisco DNA Center のログインページの [Password] フィールドに貼り付けます。 |
ステップ 4 |
[Log In] をクリックします。 |
RADIUS/TACACS を介して初めてログインした外部ユーザのリストを表示できます。表示される情報には、ユーザ名とロールが含まれます。
ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
ステップ 2 |
ウィンドウの下部までスクロールします。[External Users] 領域に外部ユーザのリストが表示されます。 |