リモート認証のサポート

リモート認証では、IoT FND を既存の AD とネットワーク ポリシー サーバ（NPS）インフラストラクチャに統合するのが簡単です。これにより、管理者は AD のユーザの IoT FND へのアクセスを設定することができます。

リモート認証を IoT FND に設定すると、認証と認証責任を AD と NPS に引き渡します。AD はユーザ認証を行い、ユーザ クレデンシャルの有効性を確認します。RADIUS サーバはユーザ認証を行い、ユーザがユーザ ロールを定義するグループに属しているかどうかを確認します。属している場合、サーバはロール名を IoT FND に返します。

以下は、AD と NPS によるユーザ認証と認可のフローです。

1. ユーザが認証情報を入力します。

2. リモート ユーザに関しては、認証が成功すると、割り当てられたユーザ ロールが、RADIUS サーバから NMS サーバに返されます。

3. 返されたロールが有効だった場合、ユーザはアクセスを許可されます。

（注）リモート認証を有効にすると、ユーザ管理は AD で実行されます。IoT FND から削除された AD ユーザがログインした場合、そのプロファイルは IoT FND に再度追加されます。IoT FND へのアクセスを防止するため、その AD ユーザ プロファイルは、最初に AD から削除する必要があります。

AD でのリモート認証の設定

IoT FND がリモートでユーザ認証できるように AD を設定する方法：

1. NPS にログインします。

2. IoT FND を RADIUS サーバの RADIUS クライアントとして追加します。

IoT FND サーバのフレンドリ名と IP アドレスまたは DNS 名を提供し、IoT FND が RADIUS サーバへの接続に使用する共有秘密を設定します。

RADIUS クライアントのエントリが、RADIUS クライアントとサーバの下に表示されます。

3. AD にログインし、組織単位を作成します。

シスコはすべてのセキュリティ グループ（IoT FND ロール）をこの組織単位内に作成することを推奨します。

4. IoT FND のロールに対応するセキュリティ グループを組織単位に追加します。

次の例は、NMS_ROLES 組織単位に定義されたセキュリティ グループを示します。

ヒント：セキュリティ グループを作成するときは、それらが IoT FND ロールに 1 対 1 でマッピングされている（つまり IoT FND に定義された各ロールが、1 つの AD セキュリティ グループにのみマッピングされている）ことを確認します。セキュリティ グループの名前は IoT FND のロール名と一致する必要はありませんが、組織的な目的から、シスコは セキュリティ グループの名前を IoT FND ロールに関連付ける名前を使用することを推奨します。

（注）AD に IoT FND root ロールを作成または割り当てることはできません。

5. AD ユーザをロールへのセキュリティ グループ マッピングに追加することで、ユーザをそのロールに割り当てます。

ユーザは 1 つのセキュリティ グループにのみ属することができるため、ユーザがログイン後に割り当てられる IoT FND のロールは、割り当てられた AD セキュリティ グループによって決まります。

ヒント：AD では、ユーザは複数の IoT FND ロールに割り当てられたり、複数のセキュリティ グループに属したりすることはできません。複数のロールからユーザ グループにアクセス許可を割り当てるには、必要ななアクセス許可のある新しい IoT FND ロールを作成し、対応する AD セキュリティ グループを作成します。この新しいグループのユーザはその後、このロールによって許可されているタスクを実行できます。

6. ダイヤルイン ネットワーク アクセス権を設定して、NPS のネットワーク ポリシーを使用します。

RADIUS サーバ セキュリティ ポリシーの設定

IoT FND にアクセスするユーザを認証するには、RADIUS サーバのセキュリティ ポリシーを設定します。

RADIUS サーバにセキュリティ ポリシーを設定するには、次の手順に従います。

1. ユーザが AD に作成した各セキュリティ グループのネットワーク ポリシーを作成します。

2. ポリシーを次のように設定します。

a. [Overview] ペインでポリシー名を定義して有効にし、アクセス権限を付与します。

b. [Conditions] タブをクリックして、[User Groups] を選択し、[Add] をクリックします。

[User Groups] の条件は、接続するユーザが選択したグループに属する必要があることを指定します。このポリシーが条件を満たすには、認証されているユーザがこのポリシーで設定されるユーザ グループに属している必要があります。

c. [User Groups] ウィンドウで、[Add Groups] をクリックします。

d. [Select Group] ウィンドウで、グループの名前を入力します。

e. [OK] をクリックして [Select Group] ダイアログボックスを閉じ、次に [OK] をクリックして [User] ダイアログボックスを閉じます。

f. [Cancel] をクリックして、[Select condition] ウィンドウを閉じます。

[Conditions] ペインに条件が表示されます。

g. [Settings] タブをクリックし、[Add] をクリックして [Attribute Information] ウィンドウを表示します。

h. [Add] をクリックして、ユーザ クレデンシャルとセキュリティ グループのメンバーシップが確認された後に IoT FND（RADIUS クライアント）に送信される [Vendor Specific Attribute]（VSA）を定義します。

設定する VSA は次のとおりです。

（注）[Attribute value] フィールドに入力されるストリングは、IoT FND の [Roles] ページの [Radius Server VSA] 列に表示される正確な文字列である必要があります（[Admin] > [Access Management] > [Roles]）。

i. [OK] をクリックします。

VSA の属性が [Settings] ペインに表示されます。

j. [OK] をクリックします。

IoT FND でのリモート認証の設定

リモート ユーザ認証を有効にして、[Remote Authentication] ページで RADIUS サーバを設定します（[Admin] > [Access Management] > [Remote Authentication]）。

リモート認証の設定方法：

1. [Admin] > [Access Management] > [Remote Authentication] の順に選択します。

2. [Enable Remote Authentication] チェックボックスをオンにします。

3. RADIUS サーバに関する以下の情報を入力します。

4. IoT FND の RADIUS サーバへの到達を確認するには [Test Configuration] をクリックします。

a. AD のユーザ名とパスワードを入力します。

b. [Submit] をクリックします。`

設定テストの結果が表示されます。

c. [OK] をクリックします。

5. 完了したら、[Save] をクリックします。

リモート ユーザ アカウントの有効化と無効化

IoT FND では、AD ユーザ アカウントをリモートで有効または無効にすることはできません。リモート AD ユーザ アカウントを有効または無効にするには、AD サーバを使用します。

リモート ユーザ アカウントの削除

IoT FND で、リモート ユーザ アカウントを削除できます。ただし、これは IoT FND の [Users] ページ（[Admin] > [Access Management] > [Users]）からユーザを削除するのみで、AD からユーザ アカウントを削除することはありません。削除されたユーザが IoT FND にログインし、AD 認証が成功すると、ユーザのエントリが、IoT FND の [Users] ページに追加されます。

リモート ユーザ アカウントを使用したIoT FND へのログイン

リモート AD ユーザ アカウントを使用した IoT FND へのログインはユーザーに対しトランスペアレントです。バックグラウンドでは、IoT FND はアカウントがローカルであるかどうかをチェックし、リモート ユーザには [Remote Authentication] ページで設定した RADIUS サーバに認証要求を送信します（[Admin] > [Access Management] > [Remote Authentication]）。認証に成功したら、IoT FND はユーザのエントリを [Users] ページで追加します（[Admin] > [Access Management] > [Users]）。

[Users] ページのローカル ユーザのエントリとは異なり、リモート ユーザのエントリにファイルされたユーザ名は、リンクではありません。ユーザに関する詳細情報を得るためにリモート ユーザの名前をクリックすることはできません。

（注）IoT FND でリモート ユーザを管理することはできません。リモート ユーザがパスワードを更新するには、組織の AD パスワード更新ツールを使用する必要があります。リモート ユーザは IoT FND を使用して自分のパスワードを更新できません。

基本ユーザ権限

IoT FND のユーザ権限 で、基本的な IoT FND のアクセス許可について説明します。

システム定義ユーザー ロール

（注）システム定義された root ロールは、ユーザに割り当てることはできません。

システム定義ユーザー ロールで、システム定義ロールを説明します。このロールは変更できません。

カスタム ユーザ ロール

IoT FND では、カスタム ロールを定義できます。ユーザが作成する各ロールに、1 つ以上の基本ユーザ権限を割り当てることができます（IoT FND のユーザ権限 参照）。これらの権限はこのロールのユーザが実行できるアクションのタイプを指定します。

ロールの追加

IoT FND ユーザ ロールを追加するには、次の手順を実行します。

1. [Admin] > [Access Management] > [Roles] を選択します。

2. [Add] をクリックします。

3. ロールの名前を入力します。

4. 該当するチェックボックスをオンにして、権限を割り当てます。

5. [Save（保存）] をクリックします。

6. ロールの追加を続行するには [Yes] をクリックし、続行しない場合は [No] をクリックして [Roles] ページに戻ります。

ロールの削除

（注）使用中のカスタム ロールを削除することはできません。

IoT FND ユーザ ロールを削除するには、次の手順を実行します。

1. [Admin] > [Access Management] > [Roles] を選択します。

2. 削除するロールのチェックボックスをオンにします。

3. [Delete] をクリックします。

4. [Yes] をクリックします。

5. [OK] をクリックします。

ロールの編集

（注）システム定義されたロールは編集できませんが、カスタム ロールは編集できます。

IoT FND のカスタム ロールを編集するには、次の作業を行います。

1. [Admin] > [Access Management] > [Roles] を選択します。

2. 編集するロールをクリックします。

3. 該当するチェックボックスをオンまたはオフにして、権限の割当てを変更します。

4. [Save（保存）] をクリックします。

ロールの表示

IoT FND ユーザ ロールを表示するには、次の手順を実行します。

1. [Admin] > [Access Management] > [Roles] を選択します。

各ロールで、IoT FND はこのロールに割り当てられたユーザを表示します。

2. ロールの権限割り当てを表示するには、ロール リンクをクリックします。

パスワードのリセット

IoT FND が実行される Linux サーバの root ユーザは、パスワードをリセットし、パスワード ユーティリティを使用して他の IoT FND ユーザのパスワードをリセットできます。

パスワードをリセットするには、次のコマンドを入力します。

IoT FND はそれ自体のユーザ アカウント データベースを管理しており、そのため、すべての新しいローカル ユーザを IoT FND のユーザ インターフェイスから追加する必要があります（[Admin] > [Access Management] > [Users] ページ）。リモート ユーザはデータベースに自動的に追加されます。また、このページでユーザを有効化、無効化、編集、削除できます。

無効化されたアカウントのユーザは、管理者がこのアカウントを有効にするまでログインできません。ユーザ アカウントが有効になった後、ユーザはパスワードをリセットする必要があります。使用できるデータベース ストレージ以外に、システムで定義できるユーザの数に制限はありません。

ユーザの表示

IoT FND のユーザを表示するには、[Users] ページを開きます（[Admin] > [Access Management] > [Users]）。

IoT FND により、ユーザに関する以下の情報が表示されます。

ユーザの追加

ユーザを IoT FND に追加するには、以下の手順を実行します。

1. [Admin] > [Access Management] > [Users] の順に選択します。

2. [Add] をクリックします。

3. 以下のユーザ情報を入力します。

4. [Role Assignment] の下の該当するチェックボックスをオンにして、このユーザに割り当てられているユーザ ロールを選択します。

5. [Save（保存）] をクリックします。

IoT FND は、IoT FND データベースにこのユーザのレコードを作成します。

6. 新しいユーザを追加するには、[Yes] をクリックし､追加しない場合は [No] をクリックして [Users] ページに戻ります。

（注）新規ユーザ アカウントはデフォルトで有効になっています。つまり、ユーザは IoT FND にアクセスできます。

ユーザの削除

ユーザ アカウントを削除すると、デフォルトのマッピング ロケーション などのユーザ設定がシステムから削除されます。一時的にユーザ アカウントを非アクティブ化するには、ユーザ アカウントを無効にします。

IoT FND からユーザを削除するには、以下の手順を実行します。

1. [Admin] > [Access Management] > [Users] の順に選択します。

2. 削除するユーザ アカウントのチェックボックスをオンにします。

3. [Delete] をクリックします。

4. 確認のために [Yes] をクリックします。

5. [OK] をクリックします。

ユーザの有効化

IoT FND にアクセスするユーザのユーザ アカウント有効化する必要があります。ユーザが初めてログインすると、IoT FND によりパスワードの変更を求められます。

IoT FND のユーザ アカウントを有効化するには､以下の手順を実行します。

1. [Admin] > [Access Management] > [Users] の順に選択します。

2. 有効化するユーザ アカウントのチェックボックスをオンにします。

3. [Enable] をクリックします。

4. [Yes] をクリックします。

5. [OK] をクリックします。

ユーザの無効化

ユーザが IoT FND にアクセスするのを防ぐには、アカウントを無効化します。ユーザ アカウントを無効にしても、IoT FND データベースからレコードは削除されません。

IoT FND のユーザ アカウントを無効化するには､以下の手順を実行します。

1. [Admin] > [Access Management] > [Users] の順に選択します。

2. 無効化するユーザ アカウントのチェックボックスをオンにします。

3. [Disable] をクリックします。

（注）ユーザ アカウントを無効にすると、IoT FND によりユーザのパスワードがリセットされます。

4. [Yes] をクリックします。

5. [OK] をクリックします。

ユーザの編集

IoT FND のユーザ設定を編集するには､以下の手順を実行します。

1. [Admin] > [Access Management] > [Users] の順に選択します。

2. ユーザ クレデンシャルを編集するには：

a. ユーザ名のリンクをクリックします。

b. ロールの割り当てを編集します。

c. [Save（保存）] をクリックします。