管理

この章では、次の項目について説明します。

管理に関する FAQ

このセクションでは、Cisco Secure Email Encryption Service(Encryption Service)企業アカウント管理者のロールについてよく寄せられる質問(FAQ)の回答を示します。

Q. Cisco Secure Email Encryption Service 企業アカウントとは何ですか。

A:暗号化テクノロジーおよび Encryption Service を使用する各組織には、サービスの企業アカウントがあります。このアカウントは、暗号化されたメッセージを送信する 1 つ以上の Cisco Secure Email Gateway と組み合わせて使用できます。

通常、組織には単一の企業のアカウントがあり、アカウント管理者はそのアカウントだけを管理します。

Q. アカウント管理者の一般的なタスクとは何ですか?

A. 一般的な管理タスクは次のとおりです。

  • 企業アカウントの構成(たとえば、組織のロゴをアップロードして、アカウントを使用して送信されるセキュア メッセージに表示すること)

  • アカウント使用状況のモニタリング(たとえば、ユーザー登録およびユーザー アカウント アクティベーションの統計情報を表示します)。

  • このアカウントを使用して送信されるメッセージの管理(たとえば、特定メッセージへのアクセスを無効にします)。


Note
アカウント管理者は、Administration Console で管理するユーザー メッセージのコンテンツにアクセスできません。

管理タスクの詳細については、共通タスクを参照してください。

Q. このガイドでは、どのような電子メール管理トピックが説明されますか?

A. Cisco セキュア電子メールソリューションの管理には、2 つの異なる責任領域があります:

  • Cisco Secure Email Gateways と Encryption アプライアンスの管理

  • Encryption Service 企業アカウントの管理

このガイドでは、Encryption Service 企業アカウントの管理について説明します。Cisco Secure Email Gateways の管理については、シスコのカスタマー サポート ポータルで入手可能な製品ドキュメントを参照してください。

Q. 受信者の登録とは何ですか?

A. 受信者の登録は、ユーザー登録とも呼ばれ、登録済みセキュア メッセージの初回受信者となる Encryption Service ユーザーのアカウントを作成するプロセスです。ほとんどのメッセージ受信者は、受信した暗号化されたメッセージを開封する前に、ユーザープロファイル情報を提供し、パスワードを選択することによって、登録プロセスを完了する必要があります。ただし、メッセージが低セキュリティを使用している場合、ユーザーは登録せずにメッセージを開くことができます。

Cisco Secure Email Encryption Service アカウント

Q. ユーザーが Encryption Service に登録するときに、そのユーザーは、なぜ特定の送信者の企業アカウントに関連付けられないのですか?

A:送信者と受信者には Encryption Service アカウントがあります。送信者の Encryption Service アカウントでは、暗号化されたメッセージの送信者は、メッセージを期限切れにするか取り消しにすることで、セキュアなメッセージを管理できます。

ユーザー

ユーザー アカウントの管理は、Encryption Service でシステム管理者によって処理されます。通常、企業アカウントの管理者は、個々のユーザー アカウントを管理しません。

企業管理者は、パスワードのリセットや既存アカウントのロックのために、内部 Encryption Service ユーザーを管理します。Encryption Service の管理者がユーザー アカウントを管理する場合は、カスタマー サポート チケットを提出して、管理対象ドメインをアカウントに追加する必要があります。

Q. ユーザグループとロールとは何ですか?

A. グループとは、登録ユーザーのリストです。ロールとは、グループに関連付けることができる権限セットです。たとえば、アカウント管理者を作成するには、アカウントの管理権限を持つ担当者がユーザをアカウント管理者グループに追加する必要があります。ロールはユーザに関連付けられません。


Note
特定のアカウント管理者グループ内のユーザーは、そのアカウントを管理できます。

はじめに

このセクションでは、Cisco Secure Email Encryption Service の企業アカウント用に、管理コンソールを開いて使用する方法について説明します。

企業アカウントの設定プロセスについて

ホステッド キー サービスとして Cisco Secure Email Encryption Service で暗号化を使用するように組織で Cisco Secure Email Gateway を構成すると、企業アカウントが組織に対して作成されます。組織の Cisco Secure Email Gateway は、その企業アカウントに関連付けられます。


Note
企業アカウント管理者は、アカウントの初期設定プロセスを管理しません。

デフォルトで、新規アカウントのアカウント管理者グループには、組織の最初の企業アカウント管理者が含まれます。企業アカウント管理者は、アカウント管理者グループにユーザーを追加することによって追加の管理者を作成できます。詳細については、企業アカウント管理者の追加を参照してください。アカウント管理者グループには、Cisco Secure Email Gateways や組織のシステム構成を熟知した Cisco セールスエンジニアを含めることもできます。

ログイン

企業アカウントを管理するには、この URL を使用してログインします。

https://res.cisco.com/admin/index.action

複数アカウントの管理者は、ログイン時にアカウントを選択するよう求められます。次のアクションを実行する必要があります。

  • 選択したアカウントをこのコンピュータ上に記憶しておく。

  • 次回ログイン時にこの保存されたアカウントを自動的に選択する。

[情報をコンピュータに保存する(Remember me on thsi computer)]オプションを選択すると、ブラウザに永続的なCookieが保存されます。ユーザーがセキュア メッセージを開くとき、Cisco Secure Email Encryption がこのCookieを使用してユーザーを識別します。

[情報をコンピュータに保存する(Remember me on this computer)] オプションを選択すると、セキュア メッセージを少ない手順で開くことができます。実際の手順数は、送信者が指定したメッセージのセキュリティ レベルに応じて決まります。


Note
共有コンピュータを使用する場合は、[情報をコンピュータに保存する(Remember me on this computer)] チェックボックスをオンにしないでください。

[Remember account on this computer] チェック ボックスがオンでない場合、[Automatically select remembered account] チェックボックスは有効になりません。

ログイン後に別のアカウントを選択するには、Administration Console のホーム ページの下部にある [Select Account] リンクを使用します。このリンクでは、[Automatically select remembered account] チェック ボックスをオフにすることもできます。

企業アカウントにログインすると、Administration Console が表示されます。

ホームページは、アカウント アクティビティの要約を表示する [Monitor Account] ページです。

Administration Console には、サイトを移動するための次のタブとリンクがあります。

  • [ホーム(Home)]:[アカウントのモニター(Monitor Account)] ページを表示します。

    [Monitor Account] ページを使用して、システムおよびアカウントのステータスを表示します。[更新(Update)] ボタンをクリックして最新のステータス情報を取得するか、[更新間隔(Update Interval)] フィールドに値を入力します。[更新(Update)] をクリックすると、定期的に(たとえば、10 秒ごとに)ページが更新されます。

  • [ユーザー(Users)]:[ユーザーの管理(User Management)] ページを表示します。

    このページは通常、シスコのシステム管理者だけが使用します。企業アカウント管理者は、自分のアカウントに割り当てられているユーザーにのみアクセスできます。この場合は、それらのユーザーが正しいドメインを追加していることが前提条件となります。

  • [レポート(Reports)]:[レポートの表示(View Reports)] ページを表示します。

    [View Reports] ページは通常、Account Usage レポートを実行するために使用されます。Account Usage レポートの詳細については、レポートを参照してください。

    [View Reports] ページには、以下のレポートへのリンクがあります。

    • [User Informationレポート(User Information Report)]:アカウントに関連付けられたユーザーのリストを表示します。これには、シーケンス番号(#)、ユーザー ID、電子メールアドレス、名、姓、ステータス、作成日、最終ログイン日、最終変更日などが含まれます。ただし、1 つ以上のドメインがアカウントに関連付けられている場合に限ります。

    • [Users Statusレポート(Users Status Report)]:ドメインに関連付けられたユーザーのステータス([新規(New)]、[アクティブ(Active)]、[ブロック(Blocked)])を表示します。

    • [Account Usageレポート(Account Usage Report)] :企業アカウントの使用状況の統計情報を表示します。Account Usage レポートの詳細については、レポートを参照してください。

  • [アカウント(Accounts)]:[アカウントの管理(Account Management)] ページと [登録済みエンベロープの管理(Manage Registered Envelopes)] ページにタブを表示します。

    [アカウントの管理(Manage Accounts)] タブをクリックすると、[アカウントの管理(Account Management)] ページが表示され、Encryption Service の企業アカウントを構成できます。詳細については、セキュア メッセージのブランディング企業アカウント管理者の追加、およびテンプレートのカスタマイズを参照してください。

    [セキュア メッセージの管理(Manage Registered Envelopes))] タブをクリックすると、企業アカウントを使用して送信されセキュア メッセージを検索し、管理できます。詳細については、「メッセージの管理」を参照してください。

Administration Console のアイコンについて

システムを移動したり、アカウントやユーザーなどの領域を管理したりするには、Administration Console のアイコンを使用します。各アイコンの意味は、ポップアップされるテキストで示されます。

Table 1. アイコンのリスト

アイコン

タイトル

アクション

Manage Users

[Group Membership] ページにアクセスします。

Manage Roles

[Group Authorization] ページにアクセスします。

Save Token

トークンをローカル マシンに保存します。トークンとは、Cisco Secure Email Gateway と Encryption Service(またはローカル キー サーバー)との間でデータを暗号化するために使用されるお客様固有のキーです。現在はカスタマー サポートでのみ使用されます。

Manage Rules

[Rules] ページにアクセスします。

Close or

Delete item

項目を削除します。

Preview

Template

選択した言語でテンプレートをプレビューします。

共通タスク

このセクションでは、以下の管理タスクを実行するために Administration Console を使用する方法について説明します。


Note
ユーザーはタイムスタンプをローカル タイム ゾーンに設定したり、希望の形式(12 時間または 24 時間)に設定したりできます。タイムスタンプをローカル タイム ゾーンに設定したユーザーの場合、ユーザー タイムスタンプが含まれる任意の Administration Console 画面がこの機能の影響を受けます。

Cisco Secure Email Encryption Service アドインの構成

Cisco Secure Email Encryption Serviceアドインを使用すると、エンド ユーザーはMicrosoft Outlookから 1回のクリックでメッセージを直接暗号化できます。このアドインは、Microsoft Outlook(Windows および macOS 用)および Outlook Web App に展開できます。

メッセージの暗号化に加えて、エンド ユーザーはアドインを使用して次のことを行えます。

  • 受信者がメッセージを読んだかどうかを識別する

  • 暗号キーを失効させる

  • 暗号化されたメッセージに有効期限を設定する

  • 暗号化メッセージのロックとロック解除

  • 暗号化されたメッセージの管理と検索

サポートされている構成

Microsoft Office の種類

認定

企業向け Microsoft 365 のアプリ

Outlook Web App

(Google Chrome、Mozilla Firefox、Microsoft Edge、および Apple Safari の最新バージョン上のもの)。

(注)  

Cisco Secure Email Encryption Service アドインは、Office 365/Microsoft 365 サブスクリプションを使用している場合にのみ、インストールできます。

(注)  

Microsoft Office 365 および Exchange Online だけが、Secure Email Encryption アドインに対してサポートされています。Exchange Server(オンプレミス)はサポートされていません。

Cisco Secure Email Encryption Service アドインの構成方法

手順

操作手順

詳細情報

1

前提条件と展開のベスト プラクティスを確認します。

2

Azure Active Directory 管理センターで、Cisco Secure Email Encryption Service アドインをアプリケーションとして登録します。

https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app」を参照してください。

(注)  

 
または、既存の登録済みアプリケーションを再利用することもできます。

3

Azure Active Directory 管理センターから、登録済みアプリケーションに関する次の詳細を取得します。

  • テナントID

  • クライアントID

  • クライアントのシークレット

Azure AD からテナント ID、クライアント ID、およびクライアント シークレットを取得する

4

Azure Active Directory 管理センターで登録されたアプリケーションのグラフ API 権限を構成します。

Azure AD での Graph API 権限の設定

5

Cisco Secure Email Encryption Service アドインを Cisco Secure Email Encryption Service ポータルで構成します。

Cisco Secure Email Encryption Service アドインを Cisco Secure Email 暗号化ポータルで構成する

前提条件

次の点を確認します。

  • アドインの使用を予定しているすべてのエンド ユーザーが、Office 365/Microsoft 365 サブスクリプションを使用していること。

  • アドインの使用を予定しているすべてのエンドユーザーが、Cisco Secure Email Encryption Service の登録済みユーザーであること。


    (注)  
    このリリースの Cisco Secure Email Encryption Service アドインでは、SAML および Google ベースの認証はサポートされていません。

  • Cisco Secure Email Encryption Service の管理コンソールで、 アカウントでアドインを構成する予定のドメインを追加していること。詳細については、カスタマ サポート(support@res.cisco.com)までお問い合わせください。

Cisco Secure Email Encryption Service アドインを展開するためのベストプラクティス

Cisco Secure Email Encryption Service アドインはを段階的に展開することをお勧めします。推奨されるフェーズは次のとおりです:

  1. テスト フェーズ。アドインを部署または機能内の少数のエンドユーザーセットに展開します。結果を評価し、成功した場合は次のフェーズに移行します。

  2. パイロット フェーズ。さまざまな部署や職務のエンドユーザーがアドインを導入できるようになります。結果を評価し、成功した場合は次のフェーズに移行します。

  3. 実稼働フェーズ。アドインをすべてのユーザーに展開します。

Azure AD からテナント ID、クライアント ID、およびクライアント シークレットを取得する

手順

ステップ 1

管理者として Azure Active Directory 管理センター https://aad.portal.azure.com/ にログインします。

ステップ 2

アプリケーションを登録していたテナントに切り替えます。

ステップ 3

[アプリの登録(App registrations)] で、使用するアプリケーションをクリックします。

ステップ 4

[概要(Overview)] から、[アプリケーション(クライアント)ID(Application(client)ID)][ディレクトリ(テナント)ID(Directory(tenant)ID)] の値をコピーします。

ステップ 5

[証明書およびシークレット(Certificates & secrets)]から、既存のクライアント シークレットの値をコピーするか、新しいシークレットを生成します。

(注)  

 

このページを閉じる前に、必ずクライアント シークレットの値をコピーしてください。そうしなかった場合には、[Microsoft O365 の設定(Microsoft O365 Settings)] ページで別のクライアント シークレットを作成する必要が生じます。

Azure AD での Graph API 権限の設定

手順

ステップ 1

管理者として Azure Active Directory 管理センター https://aad.portal.azure.com/ にログインします。

ステップ 2

アプリケーションを登録していたテナントに切り替えます。

ステップ 3

[アプリの登録(App registrations)] で、使用するアプリケーションをクリックします。

ステップ 4

[API 権限(API Permissions)] で、以下のアプリケーション権限を追加します。

  • Mail.Read

  • Mail.ReadWrite

  • Mail.Send

  • User.Read.All

Cisco Secure Email Encryption Service アドインを Cisco Secure Email 暗号化ポータルで構成する

手順

ステップ 1

Cisco Secure Email Encryption Service ポータルにアカウント管理者としてログインします。

ステップ 2

[アカウント(Accounts)] > [アカウントの管理(Manage Accounts)]に移動します。

ステップ 3

Cisco Secure Email Encryption Service アドインを構成するアカウント番号をクリックします。

ステップ 4

[構成(config)] タブをクリックします。

ステップ 5

[Office 365/Microsoft 365 メールボックス(Office 365/Microsoft 365 Mailbox)] 設定を構成します。Azure 管理ポータルから取得した Azure AD の詳細を入力し、 [詳細の保存(Save Details)] をクリックします。

ステップ 6

Cisco Secure Email Encryption Service アドインを構成します。必要に応じて次のオプションを調整し、 [構成の保存(Save Configuration)]をクリックします。

オプション

説明

ドメイン

Cisco Secure Email Encryption Service アドインを構成するドメインを選択します。

暗号化タイプ

次のいずれかの暗号化タイプを選択します。

  • [フラグ(Flag)]:エンドユーザーが暗号化対象のメッセージにフラグを設定できるようにします。Cisco Secure Email Gateway はメッセージを暗号化してからネットワークの外部に送信します。ゲートウェイを、フラグが設定されたメッセージを検出し、ゲートウェイ内で暗号化するように構成します。詳細については、Cisco Secure Email Gateway の関連するユーザー ガイドを参照してください。

  • [暗号化(Encrypt)]:エンド ユーザーは Outlook 内からメッセージを暗号化して送信できます。

アドイン クライアント用にパスワードを記憶する

ユーザーがクライアントを開くたびにパスワードを入力する必要がないように、パスワードをアドインに保存する日数を入力します。

[暗号化タイプ(Encryption Type)] として [暗号化(Encrypt)] を選択した場合、アドインは最大 30 日間パスワードを記憶することができます。[暗号化タイプ(Encryption Type)] として [フラグ(Flag)] を選択した場合は、アドインにパスワードを記憶させる日数を入力する必要はありません。

フラグのタイプ

次の暗号化フラグのいずれかを選択します:

  • [サブジェクト フラグ(Subject Flag)]:サブジェクト フィールドに特定の値を追加します。元の件名に ${subject} を使用します。

  • [ヘッダー フラグ(Header Flag)]:MIME ヘッダーに特定の値を追加します。

(注)  

 
暗号化タイプが [フラグ(Flag)] の場合にのみ、このオプションを構成してください。

フラグの値

件名フィールドまたは MIME ヘッダーに追加する値を入力します。

(注)  

 
暗号化タイプが [フラグ(Flag)] の場合にのみ、このオプションを構成してください。

セキュリティ レベル(Security Level)

暗号化メッセージのセキュリティ レベルを選択します。

  • [高(High)]: 受信者は、メッセージを復号化するたびに認証する必要があります。

  • [中(Medium)]: 受信者のパスワードがキャッシュされている場合、受信者は、メッセージが復号化されるたびに認証する必要はありません。

  • [低(Low)]: 安全に送信されます。受信者は、メッセージが復号化されるたびに認証する必要はありません。

(注)  

 

アカウント管理者がセキュリティ レベルを変更する際には、新しいセキュリティ レベルの変更を反映するため構成を更新するように、エンド ユーザーに通知する必要があります。

(注)  

 
アカウント内のすべてのドメインに同じアドイン構成を適用する場合は、 [すべてのドメインの構成を保存(Save Configuration for All Domains)] をクリックします。

ステップ 7

マニフェスト ファイルをダウンロードします。[マニフェストのダウンロード(Download Manifest)] を クリックして、マニフェスト ファイルを保存します。

ステップ 8

ステップ 7 でダウンロードしたマニフェスト ファイルを使用して、エンド ユーザーに Cisco Secure Email Encryption Service アドインを展開します。

(注)  

 
Microsoft 365 管理センターの集中型展開機能を使用することも、マニフェストファイルをエンド ユーザと直接共有することもできます。集中展開機能の詳細については、Microsoft Office のマニュアルを参照してください。

ステップ 9

Cisco Secure Email Encryption Service アドインで新しい構成の更新を利用できることをエンドユーザーに通知します。次の手順を実行します。

  1. エンド ユーザーの電子メール アドレスを含む CSV ファイルをアップロードし、[受信者アドレス(Recipient addresses)] フィールドに電子メール アドレスを直接入力します。

  2. 通知の件名を更新します。

  3. [構成の更新を通知(Config Update Notification)] をクリックします。

ストレージと接続の構成

メッセージからの読み取り(Read from Message)

[メッセージからの読み取り(Read from Message)] 機能(旧 Easy Open)を使用すると、受信者は、クライアント側のアプリケーションをインストールすることなく、どのデバイスからでもエンベロープを開封することができます。これは、メッセージを受信者への添付ファイルとして送信することに加えて、Cisco Secure Email Encryption Service に暗号化されたメッセージのコピーを保存することによって実現できます。

メッセージからの読み取り機能が有効になっている場合は、[メッセージの読み取り(Read Message)] ボタンを備えた新しいテンプレートが使用されます。受信者がこのボタンをクリックすると、その受信者は、セキュアメッセージを認証して復号するように指示されます。


Important
[メッセージの読み取り(Read Message)] のサポートは、Cisco Secure Email Gateway(ESA)11.1.0-302、11.1.3-006、および 12.x(一般展開)以降のリリースで利用できます。

この機能を有効にすると、暗号化されたエンベロープのコピーが AWS の Cisco ストレージに保存されます。

保持、保護、および消去

リンクの有効期限が切れた後は、受信者は、Web ブラウザで添付ファイル(残っていれば)を開くか、mobile@res.cisco.com にメッセージを転送することにより、メッセージを読むことができます。

データは、256 ビットキーによる AES 暗号を使用して暗号化されます。保存期限しきい値の期間を過ぎると、すべてのファイルとそれらの重複データがストレージスペースから削除されます。


Note

  • デフォルトでは、パブリック ドメインまたは未登録ドメインのユーザーの間で交換されるメッセージは、Cisco Registered Envelope Service ストレージに保存されず、それらの受信者が受信するメッセージには [メッセージを読む(Read Message)] ボタンは表示されません。

  • パブリックドメインユーザーから Easy Open 対応アカウントユーザーに送信および返信されるメッセージには、[メッセージの読み取り(Read Message)] ボタンがあります。このシナリオでは、パブリック ドメイン ユーザーから返信される暗号化されたエンベロープは、5 日間だけ Cisco Secure Email Encryption に保存されます。

大容量添付ファイル(Large File Attachments)

Cisco Secure Email Encryption Service の大容量添付ファイル機能を使用すると、最大 100 MB の添付ファイルをセキュアな電子メールで送信できます。デフォルトでは許可されるサイズは 25MB までです。この機能を有効にすると、エンドユーザーは 25MB を超えるサイズの添付ファイルを電子メールで送信できます。暗号化された電子メールには、セキュアにされた文書としての添付ファイルは含められません。このリストには [メッセージの読み取り(Read Message)] ボタンのみが含められます。ただし、添付ファイルサイズが 25 MB までであれば、暗号化された電子メールに、セキュアにされた文書としての添付ファイルが含まれます。


Note

大容量添付ファイル機能を有効にできるのは、[メッセージからの読み取り(Read from Message)] 機能を有効にしている場合のみです。

Note

大容量添付ファイル機能は、WebSafe ポータルを使用して送信される暗号化された電子メールでのみ使用できます。Cisco Secure Email Gateway(ESA)、Secure Email Add-In、および Secure Email Plug-In を使用して送信される電子メールではサポートされません。

ストレージ オプションと大容量添付ファイルの有効化

手順

ステップ 1

管理者アカウントのログイン情報を使用して Encryption Service にログインします。

ステップ 2

[Accounts] タブで、[Manage Accounts] タブを選択します。

ステップ 3

アカウント番号をクリックして、[ストレージと添付ファイル(Storage and Attachments)] タブを選択します。

ステップ 4

[メッセージから読み取る(Read from Message)] チェックボックスをオンにします。

ステップ 5

保存期間の日数を入力します。入力できる最長日数は 30 です。

ステップ 6

[大容量添付ファイルの有効化(Enable Large Attachments)] チェックボックスをオンにします。有効にすると、エンドユーザーは、最大100MBのサイズの添付ファイルを含む暗号化された電子メールを送信できるようになります。

(注)  

 

[メッセージからの読み取り(Read from Message)] が有効である場合にのみ、大容量添付ファイル機能を有効にできます。

ステップ 7

[Save Settings] をクリックします。

これはグローバル設定です。[メッセージから読み取り(Read from Message)] を構成すると、WebSafe ポータルから電子メールを送信するときに、すべてのエンベロープが選択したストレージに保存されます。

(注)  

 
新しいセキュアメッセージの一部をカスタマイズすることもできます。詳細については、セキュア メッセージのブランディング を参照してください。

[メッセージからの読み取り(Read from Message)] 機能を無効にすると、Cisco Secure Email Encryption Service ストレージ内の既存のメッセージはすべてすぐに消去され、大容量添付ファイル機能も無効になります。受信者は、HTML 添付ファイルをダウンロードすることにより、セキュリティ保護された既存のメッセージを引き続き読むことができます。

セキュア メッセージのブランディング

Cisco セキュア メッセージ サービスのエンド ユーザーが送信する Secure Messages とセキュリティ保護されたメッセージに表示される企業ロゴをカスタマイズできます。また、Secure Messages とセキュリティ保護されたメッセージのフッター情報の表示と非表示を選択することもできます。

Before you begin

  • Cisco Secure Email Encryption Service サーバーへのアカウント管理者アクセス権がある:https://res.cisco.com/admin

  • Cisco Secure Email Gateway または Cisco Secure Email Cloud Gateway への管理者アクセス権がある。

  • Cisco Secure Email Gateway での暗号化プロファイルの構成とプロビジョニングが完了している。

Procedure

Step 1

クレデンシャルを使用して https://res.cisco.com/admin/ にログインします。

Step 2

[Accounts] タブをクリックします。

Step 3

表示される [アカウントの管理(Account Management)] ページで、[検索結果(Search Results)] の下に表示される企業アカウント番号をクリックします。

Step 4

[ブランディング(Branding)] タブをクリックします。

ロゴのカスタマイズ

手順

ステップ 1

[セキュア メッセージ プロファイル(Secure Message Profile)] ボックスに、暗号化セキュア メッセージ プロファイルの名前を入力します。

(注)  

 

[セキュア メッセージ プロファイル(Secure Message Profile)] 名は、Cisco Secure Email Gateway で使用される暗号化プロファイル名と同じである必要があります。

ステップ 2

[参照(Browse)] をクリックし、ロゴとして設定する必要がある画像ファイルを選択します。

(注)  

 

ファイルサイズは 100 KB 未満、60 X 160 ピクセル未満である必要があります。サポートされているファイルタイプは、GIF、JPEG、PNG、BMP、および WBM です。

ステップ 3

[Add Image] をクリックします。

(注)  

 
WebSafe ポータルと、Secure Email Gateway を使用して送信されたセキュア メッセージで同じロゴを表示するため、同じ画像(手順 2 で選択)を空白のセキュア メッセージ プロファイル名で使用していることを確認してください。

フッターのカスタマイズ

手順

ステップ 1

[管理コンソールへのログイン(Administration Console Log In)] > [アカウント(Accounts)] > [アカウント管理(Account Management)] > [ブランディング(Branding)] に移動します。

ステップ 2

[フッター(Footer)] タブをクリックします。

ステップ 3

次のフィールドに必要な詳細情報を入力して、著作権のテキストおよびその他のフッターリンクを変更します。

  • Copyright Text

  • About Link

  • Terms of Service Link

  • Privacy Policy

(注)  

 
カスタマーサポートのフッターリンクは、デフォルトでシスコのカスタマーサポート情報が表示されるため、カスタマイズできません。

ステップ 4

変更した著作権のテキストとフッターリンクをプレビューするための言語を選択し、[Preview] をクリックします。

ステップ 5

[保存(Save)] をクリックします。

企業アカウント管理者の追加

企業アカウント管理者を追加するには、次の手順を実行します。

Procedure

Step 1

企業アカウントの Administration Console にログインします。

Step 2

[Accounts] タブをクリックします。[Account Management] ページが表示されます。

Step 3

アカウント番号のリンクをクリックします。

Note

 
組織には、通常、1 つの企業アカウントがあります。

アカウントの [Details] タブが表示されます。

Step 4

アカウントの [Groups] タブをクリックします。

Step 5

[Manage Users] アイコンをクリックします。

詳細については、Administration Console のアイコンについてを参照してください。

Step 6

[Group Membership] ページで、企業アカウント管理者として追加する登録済みユーザーのユーザー ID を入力します。

Step 7

[Add to Group] をクリックします。

テンプレートのカスタマイズ

テンプレートをカスタマイズし、カスタム電子メール通知テンプレートの有効期限の日付形式を変更することもできます。

通知メッセージのテンプレートをカスタマイズするには、次の手順を実行します。


Note
通知メッセージに追加できるカスタマイズされたテンプレートは 1 つだけです。

Important
既存のカスタマイズされたテンプレートは、アップグレード後に Encryption Service 6.0 アプリケーションに移行されます。新しいカスタマイズされたテンプレートを追加する場合は、既存のテンプレートを削除する必要があります。

Procedure

Step 1

企業アカウントの Administration Console にログインします。

Step 2

[Accounts] タブをクリックします。[Account Management] ページが開きます。

Step 3

アカウント番号のリンクをクリックします。

Note

 
各組織には、通常、1 つの企業アカウントがあります。

アカウントの [Details] タブが開きます。

Step 4

アカウントの [Templates] タブをクリックします。

Step 5

[Base Template Set] ドロップダウン リストから、コピーするテンプレートを選択し、新しいテンプレート セットのタイトルを入力します。

Step 6

[Add] をクリックします。

Step 7

追加したテンプレートのリンクをクリックします。

Step 8

テンプレートに必要なロケールをクリックします。[Edit Template] ページが開きます。

Step 9

必要に応じて [HTML] および [Text] フィールドの情報を編集します。

Step 10

[Save(保存)] をクリックします。

Step 11

[Back to Templates List] をクリックします。

Step 12

(オプション)[Preview Template] をクリックして、カスタマイズされたテンプレートをプレビューします。

Note

 
カスタマイズされたテンプレートには、Encryption Service アプリケーションの [アカウント管理(Account Management)] > [ブランディング(Branding)] > [画像(Images)] ページでエンベロープ プロファイル用に選択したカスタム ロゴが表示されます。

Step 13

[Back to Template Set List] をクリックします。

Step 14

[Active Template Set] ドロップダウン リストから、必要なテンプレートを選択します。

Step 15

[保存 (Save)] をクリックします。

カスタム電子メール通知テンプレートの有効期限日付形式の変更

Easy Open 機能が有効になっている場合は、カスタム電子メール通知テンプレートで次の変数を設定できます。

  • ${PORTAL_EXPIRATION_MONTH}:月をテキスト形式で表示。

  • ${PORTAL_EXPIRATION_DAY}:タイムスタンプ付きの日付を表示。

次の日付形式が表示されます。

このメッセージを開くためのリンクは、2020 年 6 月 9 日 午後 01:17:44 UTC まで有効です。

Note

 

変数を追加する際は、必ず「(」を「{」に置き換えてください。

デフォルトのテンプレートには ${PORTAL_EXPIRATION_DATE} 変数があり、次の日付形式が表示されます。

このメッセージを開くためのリンクは、2020 年 6 月 9 日 01:17:44 PM UTC まで有効です。

アカウント アクティビティのモニタリング

Cisco Secure Email Gateway は、暗号化の使用に関する詳細情報を提供します。たとえば、暗号化のメッセージをマーク付けするコンテンツ フィルタに関するレポートを生成するときにゲートウェイを使用できます。

ゲートウェイが生成するレポートを補うために、Encryption Service では企業アカウントのアクティビティに関する一般情報を提供します。この情報は Administration Console で確認できます。ホームページの [アカウントのモニター(Monitor Accounts)] タブには、アカウントのアクティビティに関する情報が表示されます。たとえば、ユーザー登録やログイン数、開封済みおよび送信済み暗号化メッセージ(セキュア メッセージ)に関する統計情報などがあります。

また、[Accounts] タブでは Account Usage レポートを表示できます。Encryption Service レポートの詳細については、レポートを参照してください。

メッセージの管理

企業アカウント管理者は、アカウントを使用して送信されるメッセージのステータスを表示および管理できます。

メッセージを管理するには、次の手順を実行します。

Procedure

Step 1

企業アカウントの Administration Console にログインします。

Step 2

[Accounts] タブをクリックします。次の図に示すように、[アカウントの管理(Account Management)] ページが表示されます。

Step 3

[セキュア メッセージの管理(Manage Secure Message)] タブをクリックします。

[セキュア メッセージの管理(Manage Secure Message)] ページが表示されます。

Step 4

[Search] をクリックすると、最後の 1 時間に送信されたすべてのメッセージを表示します。または、検索条件を入力して [Search] をクリックすると、特定のメッセージを表示します。

送信時刻、最後に開いた時刻、メッセージの有効期限、メッセージのロック情報など、各メッセージのステータスが検索結果に表示されます。

有効期限を設定するには、1 つ以上のメッセージを選択し、[Update Expiration Dates] リンクをクリックします。

メッセージをロックまたはロック解除するには、1 つ以上のメッセージを選択し、[Lock/Unlock Envelopes] リンクをクリックします。エンベロープをロックするときは、ロックの理由を入力できます。受信者がエンベロープを開こうとするときに、理由がエンベロープに表示されます。

ソーシャル ネットワークの資格情報を使用してのエンベロープ開封

[Manage Accounts] ページの [Security] タブでは、セキュリティで保護されたメッセージをソーシャル ネットワークの資格情報を使用して開くことができるように設定できます。Google 認証でメッセージを開くことができるのは Gmail 受信者のみです。ユーザーが Encryption Service に登録されていない Google アカウントを所有している場合、そのユーザーはエンベロープの [Google でサインアップ(Sign-up with Google)] ボタンをクリックして登録する必要があります。登録すると、Google でサインインしてセキュリティで保護されたメッセージを確認できるようになります。このオプションが有効になっていない場合、[Sign-in with Google] ボタンは表示されません。メッセージを開くには、そのユーザーの Encryption Service のパスワードを入力する必要があります。

このオプションを有効にするには、[Enable opening envelopes with social credentials] チェック ボックスをオンにします。

キー保持期間の構成

ユーザーは、暗号化キーを保存する期間を構成できるようになりました。デフォルトでは、キーは 1 年間保存されます。キーの保持期間は最長 5 年間に構成することができます。

キーの保持期間が終了すると、エンド ユーザーはセキュリティ保護された既存のメッセージを開いて読むことができなくなります。

キーの保持期間を選択するには、 [セキュリティ(Security) ] タブに移動し、 [キーの保持期間(Key Retention Period)] ドロップダウンリストで目的の値を選択します。

選択可能なキー保持期間オプションは、30 日、90 日、180 日、1 年、2 年、3 年、4 年、5 年です。

パスワード有効期限の設定

[Manage Accounts] ページの [Security] タブでは、ユーザーと管理者のパスワードに有効期限を設定できます。

パスワードの有効期限を有効にするには、次の手順を実行します。

Procedure

Step 1

[Enable password expiration] チェック ボックスをオンにします。

Step 2

次のフィールドに、パスワードが期限切れとなるまでの日数を入力します。

  • [Password expiration for users]

  • [Password expiration for administrators]

Step 3

[Password expiration warning] フィールドに、ユーザーにパスワード変更を求める通知が送信されるまでの日数を入力します。

Step 4

[保存(Save)] をクリックします。

パスワード要件の管理

パスワードを作成または変更する場合は、パスワードが次の要件を満たすようにしてください。

  • パスワードは、英数字である必要があります(必須)。

  • パスワードは大文字と小文字が区別される必要があります(必須)。

  • パスワードには、小文字、大文字、数字、特殊文字のうち、3 つ以上の文字タイプが含まれる必要があります。

  • パスワードには 3 回以上連続して繰り返される文字を含めることはできません。

  • パスワードにはユーザー名または反転したユーザー名を含めることはできません。

  • パスワードには「Cisco」、「ocsic」の文字列を使用することはできません。また、同様の文字列の小文字を大文字に変更したものや、「i」を「1」、「|」、「!」に置き換えたもの、「o」を「0」に置き換えたもの、「s」を「$」に置き換えたものも使用できません。

2 つのパスワード要件のみデフォルトで設定されています。その他のオプションを選択して、ユーザーのパスワード要件を変更できます。

[Manage Accounts] ページの [Security] タブでパスワード要件を管理できます。

ユーザーの管理

[ユーザー(Users)] タブを使用するとシステムのユーザーを管理できます。このタブではユーザーの作成や検索、パスワードのリセット、グループへのユーザー追加、およびユーザーの無効化ができます。

アカウントに関連付けられたドメインについてのみユーザーを管理できます。ドメインをアカウントに関連付ける必要がある場合は、サポートに連絡してください。


Note
ドメインがアカウントに関連付けられる前にシステムに存在するユーザーは、アカウントに移行する必要があります。ドメインの関連付けを要求するときに既存のユーザーがあるかどうかをサポートにお知らせください。

ユーザーの作成

ユーザーを作成するには、次の手順に従います。

Procedure

Step 1

[Manage Users] ページで [Add User] をクリックします。

Step 2

フォームに情報を入力します。

Note

 
パスワードは、シスコのパスワード要件に従う必要があります。

Step 3

パスワードの有効期限を適用する、特定ユーザーのメールボックスの作成を省略するなどのカスタムオプションを設定できます。

Step 4

[Save(保存)] をクリックします。

Note

 
作成するユーザーは、自分の電子メール ドメインに属する必要があります。

ユーザー パスワードのリセット

ユーザーは、次のリンクを使用してパスワードをリセットできます。

https://res.cisco.com/websafe/pswdForgot.action


Note
パスワードのリセット時に、ユーザに関してセキュリティ上の質問をカスタム定義する必要がなくなりました。また、認証されるユーザはパスワードの要求に応える必要がなくなりました。パスワードのリセット中に、ユーザーは新しいパスワードを作成するためのリンクが記載された電子メールを受信します。このリンクをクリックすると、ユーザーは、ブラウザにリダイレクトされ、新しいパスワードを作成し、そのパスワードを使用してアカウントにログインすることができます。

Note

パスワード リセット リンクは 60 分間のみ有効です。ユーザーは、リンクが期限切れになる前にパスワードを変更する必要があります。

グループへのユーザーの追加

ユーザーをグループに追加して(またはユーザーをグループから削除して)、そのユーザーに追加の権限を与えることができます。

ユーザーのグループ メンバーシップを管理するには、次の手順を実行します。

Procedure

Step 1

ユーザーを選択します。[ユーザーの管理(Manage Users)] ページで検索結果のユーザー名をクリックする必要があります。

Step 2

ユーザーの [Actions] 列で [Groups] アイコンをクリックします。

Step 3

[Group Membership] ページが表示されます。左のボックスにはユーザーがメンバーであるグループが表示されます。右のボックスにはその他の使用可能なグループが表示されます。

Step 4

グループをクリックして選択し、右または左矢印をクリックしてグループを 2 つのボックス間で移動します。

Step 5

[Done] をクリックして変更を保存します。

ユーザーの無効化

一時的にユーザのアカウントを無効にする必要があることがあります。たとえば、ユーザが退職する場合があります。ユーザを無効にするには、次の手順を実行します。

Procedure

Step 1

ユーザを選択します([Manage Users] ページで検索結果のユーザ名をクリックします)。

Step 2

[Modify] をクリックします。

Step 3

[User Status] を [Locked] に設定します。

Step 4

変更を保存します。

TLS 配信の使用

Transport Layer Security(TLS)配信では、Encryption Service から発信されたメッセージ(セキュリティ保護された返信など)を、エンベロープを使用せずに、暗号化して送信元ドメインに返すことができます。

TLS 配信を使用すれば、電子メールを配信するセキュリティ保護された方法を提供できます。エンド ユーザーは、電子メールを受信するために Encryption Service にログインしたりする必要はありません。

TLS は、アカウントごとに有効にされます。アカウントごとに TLS ドメインおよびエラー処理の動作を 1 つ以上指定します。


Note
Encryption Service 5.4.1 リリース以降では、メール配信に関して TLS 1.0 だけが有効になっているドメインは、サポートされません。TLS 1.1 以降に移行する必要があります。

Note

Cisco Secure Email Encryption は、大容量添付ファイル機能が有効になっている場合でも、TLS ドメインへの添付ファイルサイズが 25MB を超える電子メールをサポートしません。

TLS ドメインの追加とテスト

アカウントの TLS を有効にするには、少なくとも 1 つのドメインを追加する必要があります。ドメインを追加すると、TLS サポートのためにドメインがスキャンされるプロセスが開始します。ドメインは、追加する前に TLS ドメイン テストに合格する必要があります。

TLS ドメイン テストでは Encryption Service サーバーを使用して情報や接続を確認します。このチェックでは、以下の点を確認します。

  • ドメインエントリと関連する MX レコードが存在すること

  • MX レコードは IP アドレスに解決でき、各 MX レコードには関連付けられた動作しているメールサーバーがあること

  • Encryption Service サーバーが、上記のメール サーバーとポート 25 を介して SMTP 接続を確立できること

  • メールサーバは STARTTLS 拡張をサポートすること

  • Encryption Service サーバーは MX レコードを提供する各メールサーバーへの TLS 接続を正常に開始できること。

セキュリティ保護された返信に TLS を使用するには、https://www.cisco.com/c/dam/en/us/td/docs/security/email_encryption/Compatibility_Matrix/Cisco_Email_Encryption_Compatibility_Matrix.pdf の「Encryption Service でサポートされている認証局」セクションにリストされているいずれかの証明書によって署名されている証明書、またはそのような証明書へのチェーンが存在する証明書を使用する必要があります。また、期限が切れていない証明書を使用する必要があります。証明書は、TLS 接続が作成されたときの日時が証明書の有効期間内でない場合に、期限が切れています。

ドメインの TLS テストは、合格、未確定(一部合格)、失敗という 3 つの考えられる結果のうち 1 つを生成します。

  • 合格:MX レコード内のすべてのサーバでテストが合格した場合、ドメインは TLS テストに合格したと見なされます。TLS テストに合格するドメインは、TLS ドメインとして追加され、カスタマー サポートによる承認の待機中に、[Processing] ステータスを受け取ります。

  • 未確定:少なくとも 1 つの関連付けられたメール サーバでテストが合格したものの、合格しなかったメール サーバがある場合、結果は未確定であると見なされます。未確定のドメインは、デフォルトで TLS ドメインとして追加されません。結果に表示される [Request Approval] ボタンをクリックして、未確定のドメインを追加できます。ドメインを追加すべきである理由を入力し、送信します。

  • 失敗:ドメインに関連付けられたどのメール サーバーも TLS をサポートしない場合、ドメインはテストに失敗しました。TLS テストに失敗したドメインは、TLS ドメインとして追加されません。

合格ドメインごとにカスタマー サポート チケットがオープンし、未確定ドメインの場合は承認要求がオープンします。ドメインが追加されたことを知らせる電子メール、またはドメインに関する詳細情報を要求する電子メールが送信されます。

[Add Domain] ボタンではなく [Test Domain] ボタンを使用して、TLS ドメインのリストに追加せずにドメインをテストすることもできます。テストされるドメインに対してサポート要求はオープンしません。

TLS ドメインを追加またはテストするには、次の手順を実行します。

Procedure

Step 1

[Accounts] タブで、[Manage Accounts] タブを選択します。

Step 2

アカウント番号をクリックして、[Features] タブを選択します。

Step 3

ドメインを入力します。

  1. ドメインをテストするには、[Test Domain] をクリックします。

  2. ドメインを追加するには、[Add Domain] をクリックします。

Step 4

結果を示すメッセージが表示されます。

Step 5

追加されたドメインが合格すると、[Domain] リストに [Processing] ステータスで表示されます。

Step 6

ゴミ箱アイコンをクリックして、ドメインを削除します。

Note

 
TLS エラー処理の動作の指定を忘れないでください。詳細については、TLS エラーの処理を参照してください。

TLS エラーの処理

TLS 配信が動作を停止する場合(たとえば、期限切れの証明書が原因)、TLS エラー処理を設定する必要があります。[メッセージのバウンス(Bounce Messages)] または [セキュア メッセージ配信へのフォールバック(Fallback to Secure Message Delivery)] を選択できます。


Note
TLS 障害時の配信設定を [セキュア メッセージ配信へのフォールバック] に設定する場合は、必ず社内メール サーバーで TLS 配信オプションを TLS 優先に変更してください。

  • セキュア メッセージ配信へのフォールバック:TLS 配信が失敗した場合(たとえば、期限切れの証明書が原因で)システムはセキュア メッセージの送信に戻ります。

  • [Bounce Messages]:メッセージをバウンスするように設定されたアカウントの場合、TLS 配信が失敗すると、1 時間ごとに再試行され、24 時間後にバウンスが発生します。セキュア メッセージの配信にフォールバックするように構成されたアカウントの場合、1 時間後にフォールバックが発生しますが、それまでの間は 20 分ごとに再試行を行います。

アカウントの TLS エラー処理の動作を指定するには、次の手順を実行します。

Procedure

Step 1

[Accounts] タブで、[Manage Accounts] タブを選択します。

Step 2

アカウント番号をクリックして、[Details] タブを選択します。

Step 3

TLS 障害時の配信設定を選択します。

Step 4

[保存(Save)] をクリックします。

送信者の登録の有効化

アカウント単位で送信者の登録を自動的に提供するようにシステムを設定できます。これは、現在 Encryption Service を使用していない電子メール送信者に、Encryption Service アカウントを提供し、暗号化されたメールを送信してもらう場合にも役立ちます。登録すると、送信者は、暗号化されたメッセージを制御するために使用可能なオプションの詳細を確認できます。

この機能を有効にすると、送信者は Encryption Service サーバーでアカウントを作成するよう招待する電子メール メッセージを受信します。送信者は、これらの招待を 30 日ごとに受信しますが、招待に記載の手順に従って簡単にオプト アウトできます。招待の頻度は変更できません。

アカウントの送信者の登録を有効にするには、次の手順を実行します。

Procedure

Step 1

[Accounts] タブで、[Manage Accounts] タブを選択します。

Step 2

アカウント番号をクリックして、[Details] タブを選択します。

Step 3

[Enable Sender Registration] チェック ボックスをオンにします。

Step 4

[保存(Save)] をクリックします。

Java アプレットの有効化


Note
よく使用されているブラウザでは、セキュリティ上の理由により Java アプレットが無効になっています。

Secure Message 内でも、Java アプレットはデフォルトで無効になっています。Java アプレットを有効にするには、次の手順を実行します。

Procedure

Step 1

[Accounts] タブで、[Manage Accounts] をクリックします。

Step 2

アカウント番号をクリックして、[Details] タブを選択します。

Step 3

[セキュリティ上の理由で Java アプレットを無効にする(Suppress Java Applet in Secure Message)] チェックボックスをオフにします、

Step 4

[保存(Save)] をクリックします。

認証方法の選択

Secure Email Encryption Serviceでは、次の方法でのサインインを構成できます:

  • Encryption Service 認証

  • SAML 認証

認証方式を次のどの方法でも組み合わせて、選択できます:

  • WebSafe と管理者ポータルの両方で SAML 2.0 認証、

  • WebSafeと管理者ポータルの両方で Encryption Service認証、または

  • 一方で SAML 2.0、もう一方で Encryption Service 認証。

Encryption Service に登録されている Google アカウントを持っている場合、[Google でサインイン(Sign-in with Google)]ボタンをクリックすると、Google 認証を使用して Websafe にログインできます。また、Google 認証を使用して、セキュリティで保護されたエンベロープを開くこともできます。詳細については、「ソーシャル ネットワークの資格情報を使用してのエンベロープ開封」を参照してください。

認証プロセスを完全にコントロールしたい場合は、Encryption Service 認証を使用できます。

SAML はシングル サインオン(SSO)用の XML アプリケーションです。Encryption Service における SAML 認証の実装方法の詳細については、SAML を使用した認証を参照してください。

SSO の SAML アイデンティティ プロバイダーとして、Cisco セキュア Web アプライアンスまたは PingFederate をすでに使用している場合は、SAML ベースの認証を使用することもできます。詳細については、「PingFederate ログアウト URL の設定」を参照してください。

Encryption Service と SAML 認証の詳細については、以下を参照してください:

Encryption Service アカウント認証の構成

アカウントに Encryption Service 認証を構成するには、次の手順を実行します。

Procedure

Step 1

[Accounts] タブで、[Manage Accounts] タブを選択します。

Step 2

アカウント番号をクリックして、[Details] タブを選択します。

Step 3

[認証方式(Authentication Method)] リストの、WebSafe と管理者ポータルの両方で [CRES] を選択します。

WebSafe または管理者ポータルの認証方法として SAML 2.0 を選択した場合は、SAML 認証プロセスを構成する必要があります。詳細については、「SAML アカウント認証の設定」を参照してください。

Step 4

[保存(Save)] をクリックします。

SAML を使用した認証

SAML は、Encryption Service など複数の Web サービスでエンド ユーザーを認証するより簡単な方法であるシングル サインオン(SSO)で主に使用される、XML ベースの標準です。現在は、SAML 2.0 のみがサポートされます。

WebSafe、管理者ポータル、またはその両方のサインイン方法として、SAML 2.0 認証方式を使用できます。

シングル サインオンでは、ユーザーは(アイデンティティ プロバイダーに対して)認証を受けるために 1 回ログインします。その後は、再度ログインせずにサービス プロバイダーからのさまざまなサービスを使用します。このプロトコルは、シングル ログアウトもサポートします。

これにより、ユーザー エクスペリエンスが簡素化されます。また、ユーザーは複数サービスのログイン詳細を覚えておく必要がなくなるため、セキュリティが向上します。SAML の Encryption Service サポートは、新規および既存の Encryption Service エンベロープで機能します。SAML 認証は、企業アカウントごとに個別に有効にする必要があります。これが完了したら、そのアカウントのすべてのユーザーが SAML で認証される必要があります。そのアカウントが所有していないユーザーは、引き続き Encryption Service 認証を使用します。

SAML の概要

SAML では、異なるセキュアなネットワーク(セキュリティ ドメインとも呼ばれます)間で認証および許可データを交換できます。通常 SAML は、Web ブラウザを使用してネットワーク(別のドメイン)にアクセスするユーザーが 1 つのドメインに存在する場合に使用されます。

シングル サインオンを実行するには、SAML ダイアログが次の用語を使用して各ドメインのエンティティによって組み込まれている必要があります。

  • アイデンティティ プロバイダー(IdP)。アイデンティティ プロバイダーは SAML アサーションを生成するエンティティです。アイデンティティ プロバイダーは SAML アサーションを生成する前にエンド ユーザーを認証します。Encryption Service は、ほとんどの SAML 2.0 アイデンティティ プロバイダーと連携できるはずです。ただし、連携することが認定されているのは、Cisco Secure Web Appliance、Active Directory Federation Services(AD FS)、および PingFederate だけです。

  • サービス プロバイダー(SP)。サービス プロバイダーは、SAML アサーションを消費するエンティティです。サービス プロバイダーはアイデンティティ プロバイダーを使用してエンド ユーザーを識別し、その識別情報を SAML アサーションで受け取ります。サービス プロバイダーはこのアサーションに基づいてアクセス制御を決定します。SAML 認証が有効な場合、Encryption Service はサービス プロバイダーとして機能します。

SAML アサーションは、アイデンティティ プロバイダーとサービス プロバイダー間の SAML 要求および応答で渡される情報のコンテナです。アサーションにはサービス プロバイダーがアクセス制御の決定に使用するステートメント(認証ステートメントや許可ステートメント)が含まれています。アサーションは <saml:Assertion> タグで始まります。

SAML ダイアログはフローと呼ばれ、フローはどちらのプロバイダーでも開始できます。

  • サービス プロバイダーが開始するフロー。サービス プロバイダーは、アクセスを要求するエンド ユーザーからの問い合わせを受け、アイデンティティ プロバイダーにそのユーザーの識別情報を提供するように問い合わせて SAML ダイアログを開始します。サービス プロバイダーが開始するフローの場合、エンド ユーザーは http://www.serviceprovider.com/ などのサービス プロバイダーのドメインを含む URL を使用してサービス プロバイダーにアクセスします。

  • アイデンティティ プロバイダーが開始するフロー。アイデンティティ プロバイダーは、エンド ユーザーに代わってサービス プロバイダーに問い合わせてアクセスを要求することで SAML ダイアログを開始します。アイデンティティ プロバイダーが開始したフローの場合、エンド ユーザーは http://saas.example.com/ など、ローカル ドメインを含む URL を使用してサービス プロバイダーにアクセスします。

Encryption Service は、サービス プロバイダーが開始するフローのみをサポートします。


Note
このセクションは、SAML の包括的な説明を提供するものではなく、アイデンティティおよびセキュリティ プロバイダーが相互に通信する方法を示すものではありません。詳細については、http://saml.xml.org/wiki/saml-wiki-knowledgebase を参照してください。アイデンティティ プロバイダーとして Secure Web appliance を使用する方法の詳細については、『Cisco AsyncOS for Web ユーザー ガイド』(リリース 7.0 以降)の、「SaaS アプリケーションへのアクセスの制御」を参照してください。
要 件

Encryption Service をサービス プロバイダーとして SAML 認証を使用するには、次の要件を満たす必要があります。

  • 現在のところ、Encryption Service では、Cisco Secure Web Appliance、Active Directory Federation Services(AD FS)、または PingFederate のみをアイデンティティ プロバイダーとして使用できます。

  • アイデンティティ プロバイダーの SAML ログイン メカニズムは、JavaScript なしで動作できる必要があります。

  • アイデンティティ プロバイダーは、SAML 2.0 をサポートする必要があります。

  • SAML アサーションでは、SAML NameID または属性に電子メール アドレスが含まれる必要があります。

不具合

SAML 認証を使用するときの注意事項がいくつかあります。

  • SAML は、企業アカウントごとに個別に有効にする必要があります。

  • SAML のログイン ページは、Encryption Serviceではなく SAML アイデンティティ プロバイダーが提供します。これは、Encryption Service ロギングは SAML のログインに使用できないこと、およびログインの問題は SAML アイデンティティ プロバイダーに報告する必要があることを意味します。

  • パスワードを忘れた場合の回復やパスワードの変更など、ユーザー パスワードのメンテナンスは、Encryption Service ではなく SAML 認証されたアカウントのユーザーのアイデンティティ プロバイダー経由で実行される必要があります。

  • アカウントが誤ってロックされないようにするため、SAML 認証は管理アカウント(管理者設定)に対して有効ではありません。

  • Encryption Service 認証されたアカウントとは異なり、SAML 認証されたアカウントを統合できません。

  • Cisco Secure Web Appliance をアイデンティティ プロバイダーとして使用する場合、ログイン ページを正しく機能させるため、JavaScript を有効にする必要があります。

  • Cisco IronPort Web セキュリティ アプライアンスがアイデンティティ プロバイダーとして使用される場合、パスワードはキャッシュされず、ユーザーはセッションごとに認証される必要があります。

  • アイデンティティ プロバイダーに問題がある場合、SAML ユーザーはクレデンシャルが有効であっても認証できないことがあります。

  • アイデンティティ プロバイダーが完全に使用できなくなった場合は、認証方法を Encryption Service に変更して、ユーザーが認証されるようにする必要があります。

  • 管理者は、アイデンティティ プロバイダーを使用して、SAML サービスに問題がある場合のアラートを提供します。

  • エンド ユーザーのクレデンシャルが有効であっても、アイデンティティ プロバイダーに問題がある場合はサービスにアクセスできない可能性があります。

  • セキュアメッセージを開いたときに、要求された属性がSAMLメッセージに存在しません: 'Version' という意味のメッセージがエンド ユーザーに表示された場合、以下の手順を実行します。

    1. 管理者ポータルにアカウント管理者としてログインします。

    2. [アカウント(Accounts)] タブをクリックして、アカウントを選択します。

    3. [詳細(Details)] タブで、SAML 設定が存在する [サインイン設定(Sign In Settings)] セクションまで下にスクロールします。

    4. [保存(Save)] をクリックします。

ユーザ エクスペリエンス

SAML 認証のユーザー エクスペリエンスは、JavaScript が有効であるかどうか、1 人以上の受信者がいるかどうか、または受信者が BCC 受信者であるかどうかに関係なく、ほとんど同じです。ユーザーはセキュア メッセージ(またはモバイル デバイス サポート(MDS)リンク)を開き、自分のユーザー アイデンティティを選択するか必要に応じて電子メール アドレスを指定し、アイデンティティ プロバイダーを通じて認証を行います。または、Web ブラウザで https://res.cisco.com/websafe/root に移動し、電子メールアドレスを入力し、アイデンティティ プロバイダーを使用して認証できます。

管理者ユーザーは https://res.cisco.com/admin に移動し、アイデンティティ プロバイダーを介して認証できます。

SAML アカウント認証の設定

次のうちいずれかのアイデンティティ プロバイダーを使用するように SAML 認証を設定できます。

  • Active Directory Federation Services(AD FS)

  • Microsoft Entra ID(以前は Microsoft Azure Active Directory と呼ばれていたもの)

  • Cisco Secure Web Appliance

  • PingFederate

これらのアイデンティティ プロバイダーを使用するための設定手順は、次のセクションで説明します。

AD FS をアイデンティティ プロバイダーとして使用する場合の SAML アカウント認証の設定

SAML 認証を有効にするときは、AD FS アカウントの設定に合わせて Encryption Service アカウントを構成することが重要です。

次の情報(AD FS における同等の情報)が必要です。

  • サービス プロバイダーのエンティティ ID(SaaS アプリケーション名または接続 ID)

  • カスタマー サービス URL(シングル サインオン URL/ベース URL)

  • アイデンティティ プロバイダーの検証証明書

  • (オプション)代替の電子メール属性名(SAML 属性または電子メール アドレス)

AD FS をアイデンティティ プロバイダーとして使用する場合の SAML アカウント認証の手順は、次のセクションで説明します。

AD FS のリレー側の信頼の設定
手順

ステップ 1

AD FS 2.0 Management ツールを起動します。

ステップ 2

[Add] をクリックします。

ステップ 3

[Welcome] 画面で、[Start] をクリックします。

ステップ 4

[信頼当事者に関するデータの手動入力(Enter data about the relying party manually)] を選択し、[次へ(Next)] をクリックします。

ステップ 5

Encryption Service SP の表示名を入力し、[次へ(Next)] をクリックします。

ステップ 6

[AD FS 2.0プロファイル(AD FS 2.0 profile)] を選択し、[次へ(Next)] をクリックします。

ステップ 7

[SAML 2.0 Web SSOプロトコルのサポートの有効化(Enable support for the SAML 2.0 Web SSO protocol)] を選択します。

ステップ 8

[信頼当事者のSAML 2.0 SSOサービスのURL(Relying party SAML 2.0 SSO service URL)] で

「https://res.cisco.com/websafe/ssourl」と入力し、[次へ(Next)] をクリックします。

ステップ 9

[信頼当事者証明の識別子(Relying party trust identifier)] で「https://res.cisco.com/」と入力し、[追加(Add)] をクリックします。

ステップ 10

[次へ (Next)] をクリックします。

ステップ 11

[この信頼当事者へのアクセスをすべてのユーザーに許可(Permit all users to access this relying party)] を選択し、[次へ(Next)] をクリックします。

ステップ 12

設定を確認し、[次へ(Next)] をクリックします。

ステップ 13

[ウィザードが閉じるときにこの信頼当事者の [請求ルールの編集(Edit Claim Rules)] ダイアログを開く(Open the Edit Claim Rules dialog for this relying party trust when thewizard closes)] をオンにして、[閉じる(Close)] をクリックします。

請求ルールの設定
手順

ステップ 1

[Encryption Service SPの請求ルールの編集(Edit Claim Rules for Encryption Service SP)] ダイアログが開いたら、[IssuanceTransform ルール(IssuanceTransform Rules)] タブを選択し、[ルールの追加(Add Rule)] をクリックします。

ステップ 2

[請求ルールテンプレート(Claim rule template)] で [LDAP属性を請求として送信(Send LDAP Attributes as Claims)] を選択し、[次へ(Next)] をクリックします。

ステップ 3

[請求ルール名(Claim rule name)] に請求ルール名を入力します。

ステップ 4

[属性ストア(Attribute store)] で、[Active Directory] を選択します。

ステップ 5

[LDAP属性(LDAP Attribute)] 列で、[ユーザープリンシパル名(User-Principal-Name)] または [電子メールアドレス(E-Mail Addresses)] を選択します。

推奨値は [ユーザープリンシパル名(User-Principal-Name)] です。これは、Active Directory カタログ内のすべてのユーザーに使用できます。SAML 認証中、Encryption Service は Active Directory でのユーザー名とユーザーの Encryption Service アカウントとを比較します。

[電子メールアドレス(E-Mail Addresses)] 値を使用するには、[ユーザーのプロパティ(User’s Properties)] 設定の [全般(General)] タブにある [電子メール(E-mail)] に電子メールアドレスを入力する必要があります。Encryption Service では Active Directory 内のユーザーのアカウントから電子メールアドレスを取得するので、オプションの [電子メール(E-mail)] がすべてのユーザーに対して正しく設定されていない場合はエラーが発生します。

ステップ 6

[発信請求の種類(Outgoing Claim Type)] 列で、[電子メールアドレス(E-Mail Addresses)] を選択します。

ステップ 7

[完了(Finish)] をクリックし、[ルールの追加(Add Rule)] をクリックします。

ステップ 8

[請求ルールテンプレート(Claim rule template)] で [着信請求の変換(Transform an Incoming Claim)] を選択し、[次へ(Next)] をクリックします。

ステップ 9

[請求ルール名(Claim rule name)] に請求ルール名を入力します。

ステップ 10

[着信請求の種類(Incoming claim type)] で [電子メールアドレス(E-mail Address)] を選択します。

ステップ 11

[発信請求の種類(Outgoing claim type)] で [名前ID(Name ID)] を選択します。

ステップ 12

[発信名前IDの形式(Outgoing name ID format)] で [一時的な識別子(Transient Identifier)] を選択します。

ステップ 13

[すべての請求値のパススルー(Pass through all claim values)] を選択します。

ステップ 14

[完了(Finish)] をクリックします。

AD FS の SAML アサーション コンシューマ エンドポイントの追加
手順

ステップ 1

[信頼当事者証明(Relying Party Trusts)] で、追加された [信頼当事者証明(Relying Party Trust)] を選択します。

ステップ 2

右ペインで、[プロパティ(Properties)] を選択します。

ステップ 3

[エンドポイント(Endpoints)] タブで、[追加(Add)] をクリックします。

ステップ 4

[エンドポイントタイプ(Endpoint Type)] で [SAMLアサーションコンシューマ(SAML Assertion Consumer)] を選択します。

ステップ 5

[バインド(Binding)] で [POST] を選択します。

ステップ 6

[インデックス(Index)] で [1] を選択します。

ステップ 7

[URL] で「https://res.cisco.com/keyserver/saml/saml-resp」と入力し、[OK] をクリックします。

ステップ 8

[OK] をクリックします。

ADFS から署名証明書のエクスポート
手順

ステップ 1

AD FS 2.0 Management ツールを起動します。

ステップ 2

左側のペインで、[AD FS 2.0] > [サービス(Service)] > [証明書(Certificates)] を選択します。

ステップ 3

[Token-signing certificate] を選択します。

ステップ 4

右側のペインで、[証明書の表示(View Certificate)] をクリックします。

ステップ 5

[詳細(Details)] タブで、[ファイルにコピー(Copy to File)] をクリックします。

ステップ 6

[証明書のエクスポートウィザードの開始(Welcome to the Certificate Export Wizard)] 画面で、[次へ(Next)] をクリックします。

ステップ 7

エクスポートファイル形式について [DERエンコードされたバイナリX .509(.CER)(DER excoded binary X .509 (.CER))] を選択し、[次へ(Next)] をクリックします。

ステップ 8

エクスポートファイルの場所とファイル名を入力し、[次へ(Next)] をクリックします。

ステップ 9

[完了(Finish)] をクリックします。

Encryption Service の構成
手順

ステップ 1

管理者アカウントのログイン情報を使用して Encryption Service にログインします。

ステップ 2

[アカウント(Accounts)] タブで、[アカウントの管理(Manage Accounts)] タブを選択します。

ステップ 3

アカウント番号をクリックして、[Details] タブを選択します。

ステップ 4

[Websafe とアドイン(Websafe and Add-In)]、[管理者ポータル(Admin Portal)]、あるいはそれらの両方の認証方式として [SAML 2.0] を選択します。

ステップ 5

[SSO Alternate Email Attribute Name] で、空白のままにします。

ステップ 6

[SSO Service Provider Entity ID] で「https://res.cisco.com/」と入力します。

ステップ 7

[SSO Customer Service URL] で、「https://AD FS/adfs/ls」と入力します。

ステップ 8

[SSO Logout URL] で、「https://AD FS/adfs/ls」と入力します。

ステップ 9

[Verification Certificate] で [Browse] をクリックし、AD FS 設定からエクスポートされた署名証明書をアップロードします。

ステップ 10

[保存 (Save)] をクリックします。

ステップ 11

ページを保存したら、[ダウンロード(Download)] をクリックして、Encryption Service の署名証明書をダウンロードします。
AD FS 署名の設定
手順

ステップ 1

AD FS 2.0 Management ツールを起動します。

ステップ 2

左側のペインで、[AD FS 2.0] > [Trust Relationships] > [Relying Party Trusts] を選択します。

ステップ 3

自分の依存するパーティ(Encryption Service SP)を選択し、右側のペインで [プロパティ(Properties)] をクリックします。

ステップ 4

[署名(Signature)] タブを選択し、[追加(Add)] をクリックし、Encryption Service 管理ページからダウンロードされた Encryption Service 署名証明書を選択します。

ステップ 5

[Advanced] タブを選択します。

ステップ 6

[Secure hash algorithm] で [SHA-1] を選択し、[OK] をクリックします。

ステップ 7

AD FS Management ツールによって、Internet Information Services(IIS)に /adfs/ls Web サイトが作成されます。

ステップ 8

Server Manager Tool を起動します。

ステップ 9

左側のペインで、[Server Manager] > [Roles] > [Web Server (IIS)] > [Internet Information Services (IIS) Manager] を選択します。

ステップ 10

[Connections] ペインで、使用するサーバー > [Sites] > [Default Web Site] > [adfs] > [ls] を選択します。

ステップ 11

[/adfs/ls Home] ペインで、[IIS] の下にある [認証(Authentication)] を選択します。

ステップ 12

[匿名認証(Anonymous Authentication)] を有効にし、その他を無効にします。

ステップ 13

[接続(Connections)] ツリーの [ls] を右クリックし、[探索(Explore)] をクリックします。

ステップ 14

web.config ファイルを右クリックし、[Edit] をクリックします。

ステップ 15

「localAuthenticationTypes」セクションを検索し、<add name="Forms" page="FormsSignIn.aspx" /> 以外のすべてのエントリを削除します。

これにより、Windows 統合認証の代わりにフォーム認証のみが許可されます。

ステップ 16

ファイルを保存して、閉じます。
SAML ログインの有効化
手順

ステップ 1

[アカウント(Accounts)] タブの下にある [アカウントの管理(Manage Accounts)] タブを選択して、[Encryption Service アカウント(Encryption Service Account)] ページに戻ります。

ステップ 2

アカウント番号をクリックして、[Details] タブを選択します。

ステップ 3

ページ下部の [Activate SAML] をクリックします。

ステップ 4

[Continue] をクリックします。

ステップ 5

ドメイン ユーザー名とパスワードを入力し、[Sign In] をクリックします。

ステップ 6

[Continue] をクリックします。

ステップ 7

[Encryption Serviceアカウントの詳細(Encryption Service Account Details)] ページの上部に、[SAMLが正常にアクティブ化されました(SAML Activated Successfully)] というメッセージが表示されることを確認します。

ステップ 8

[SSO Enable Date] が現在の時刻に設定されていることを確認します。

ステップ 9

SAML 2.0 がアカウントの認証方法として選択されていることを確認します。
LDAP ログイン情報を使用した WebSafe または管理者ポータル へのログイン
手順

ステップ 1

WebSafe にログインするには、 https://res.cisco.com/websafe/に移動します。

WebSafe ポータルと管理ポータルのログイン ページの見た目は同じですが、URL アドレスにより、どちらのポータルにログインしているかがわかります。

ステップ 2

AD FS 認証ページにリダイレクトされることを確認します。

ステップ 3

Active Directory ユーザーおよびパスワードを入力します。

ステップ 4

[Sign In] をクリックします。

ステップ 5

websafe または管理者ポータルに正常にログインしていることを確認します。

ステップ 6

セキュア メッセージを送信できること、および受信したセキュア メッセージを開くことができることを確認します。(websafe にログインしている場合)。

  1. 同じドメイン内の任意のユーザーにメッセージを送信します。

  2. そのユーザーが受信した暗号化された電子メールを開きます。

  3. Active Directory のクレデンシャルを入力できるように新しいウィンドウが開くことを確認します。

  4. Active Directory のクレデンシャルを入力します。

  5. セキュア メッセージが復号されていることを確認します。
Microsoft Entra ID をアイデンティティ プロバイダーとして使用する場合の SAML アカウント認証の構成

SAML 認証を有効にするときは、アイデンティティ プロバイダー アカウントの設定に合わせて Encryption Service アカウントを構成することが非常に重要です。

次の情報(Microsoft Entra ID に相当する情報)が必要です:

  • サービス プロバイダーのエンティティ ID(SaaS アプリケーション名または接続 ID)

  • カスタマー サービス URL(シングル サインオン URL/ベース URL)

  • アイデンティティ プロバイダーの検証証明書

  • (オプション)代替の電子メール属性名(SAML 属性または電子メール アドレス)

アカウントの SAML 認証を設定するには、次の手順を実行します。

手順

ステップ 1

[Accounts] タブで、[Manage Accounts] タブを選択します。

ステップ 2

アカウント番号をクリックして、[Details] タブを選択します。

ステップ 3

[Websafe とアドイン(Websafe and Add-In)]、[管理者ポータル(Admin Portal)]、あるいはそれらの両方の認証方式として [SAML 2.0] を選択します。

最後に成功した構成と SAML のアクティベーションを示す [SSO有効日(SSO Enable Date)] が表示されます。加えて、[SSO 電子メールの名前 ID の形式(SSO Email Name ID Format)] が表示されます。現在は、サポートされる SAML 名前形式は「一過性(transient)」だけです。

ステップ 4

https://entra.microsoft.com/#home」に進みます。

ステップ 5

左ペインで、 [アプリケーション(Applications)] > [エンタープライズ アプリケーション(Enterprise applications)]に移動します。

Microsoft Entra を ID プロバイダーとして使用するようにセットアップされている組織内のすべてのアプリケーションを確認できます。

ステップ 6

このページの [Secure Email Encryption Service] アプリケーションに移動します。

ステップ 7

アプリケーションのメニューの [管理(Manage)] セクションで、[シングルサインオン(Single sign-on)] をクリックします。

ステップ 8

[属性と要求(Attributes&Claims)] > [編集(Edit)]の順に選択します。

ステップ 9

[追加の要求(Additional Claims)] の下にある [名前 URL を要求(Claim Name URL)] をコピーします。これは、Secure Email Encryption Service 管理ポータルで使用される [SSO 代替電子メール属性名(SSO Alternate Email Attribute Name)] です。これは、名前識別子として使用される代替電子メールアドレスを保持する属性名です。

ステップ 10

[シングルサインオン(Single sign-on)] ページに戻ります。

ステップ 11

[シングルサインオン(Single Sign-on)] ページで [識別子(エンティティ ID)(Identifier(Entity ID))] をコピーします。これは、Secure Email Encryption Service 管理ポータルで使用される [SSO サービス プロバイダー エンティティ ID(SSO Service Provider Entity ID)] です。

ステップ 12

エントラ ポータルから[ログイン URL(Login URL)]をコピーします([セットアップ(Set up)<your application name> ]の下)。これは、Secure Email Encryption Service 管理ポータルで使用される SSO カスタマーサービスの URL です。

ステップ 13

[SSO ログアウト URL(SSO Logout URL)] は空のままにします。

シングルサインオンのバインディング(通常は [HTTPリダイレクト(HTTP-Redirect)] または [HTTP-POST])が SSO Assertion Consumer の URL と共に表示されます。

ステップ 14

(オプション)[Download] をクリックして、SSO サービス プロバイダーの検証証明書のコピーをダウンロードします。これは Encryption Service からの SAML ログアウト要求の署名を検証するためにアイデンティティ プロバイダー(IdP)で必要な公開自己署名証明書です。

ステップ 15

[シングルサインオン(Single sign-on)] ページの [SAML証明書(SAML Certificates)] セクションで、エントラ ポータルから証明書をダウンロードします。Base64 または Raw 形式のいずれかをダウンロードできます。

ステップ 16

管理ポータルで、[参照(Browse)] をクリックし、SAML アイデンティティ プロバイダーから提供される SSO アイデンティティ プロバイダーの検証証明書を選択して、アップロードします。現在の証明書が表示されます。

ステップ 17

[Save(保存)] をクリックします。

ステップ 18

[Activate] をクリックします。

(注)  

 
詳細を保存したら、SAML ログインを有効化する必要があります。これにより、設定エラーが原因で誤ってユーザーをロックアウトすることがなくなります。
Cisco Secure Web アプライアンスまたは PingFederate をアイデンティティ プロバイダーとして使用している場合に SAML アカウント認証を構成する

SAML 認証を有効にするときは、アイデンティティ プロバイダー アカウントの設定に合わせて Encryption Service アカウントを構成することが非常に重要です。

以下の情報が必要になります(Cisco Secure Web アプライアンス PingFederate における同等の情報):

  • サービス プロバイダーのエンティティ ID(SaaS アプリケーション名または接続 ID)

  • カスタマー サービス URL(シングル サインオン URL/ベース URL)

  • アイデンティティ プロバイダーの検証証明書

  • (オプション)代替の電子メール属性名(SAML 属性または電子メール アドレス)

アイデンティティ プロバイダーとして Cisco Secure Web アプライアンスを使用している場合、この情報は [SaaSアプリケーション認証ポリシー(SaaS Application Authentication Policies)] ページで参照できます。証明書は、[SaaSシングルサインオンのアイデンティティプロバイダー設定を編集(Edit Identity Provider Settings for SaaS Single Sign On)] ページからダウンロードできます。

アイデンティティ プロバイダーとして PingFederate を使用している場合、この情報は [サマリー(Summary)] 領域で参照できます。


(注)  
IDP として PingFederate を構成するときは、エンドポイントとして Encryption Service Assertion Consumer Service の URL を指定する必要があります。また、ユーザーがログアウトするために SSO ログアウト URL を設定する必要があります。この設定の詳細については、PingFederate ログアウト URL の設定 を参照してください。

アカウントの SAML 認証を設定するには、次の手順を実行します。

手順

ステップ 1

[Accounts] タブで、[Manage Accounts] タブを選択します。

ステップ 2

アカウント番号をクリックして、[Details] タブを選択します。

ステップ 3

[Authentication Method] ドロップダウン リストで、[SAML 2.0] を選択します。[SSO有効化日(SSO Enable Date)](SAML が正常に設定および有効化された最終日)が表示されます。[SSO電子メールの名前IDの形式(SSO Email Name ID Format)] が表示されます。現在は、一時 SAML 名前形式だけがサポートされます。

ステップ 4

[SSO Alternate Email Attribute Name] を入力します。これは、名前識別子として使用される代替

電子メールアドレスが含まれる属性名です。

ステップ 5

[SSO Service Provider Entity ID] フィールドで、サービス プロバイダーのエンティティ ID を入力します。

ステップ 6

[SSO Customer Service URL] を入力します。これは、SAML アイデンティティ プロバイダーのシングル サインオン URL です。

ステップ 7

[SSO Logout URL] を入力します。これは、SAML アイデンティティ プロバイダーのログアウト URL です。

シングルサインオンのバインディング(通常は [HTTPリダイレクト(HTTP-Redirect)] または [HTTP-POST])が SSO Assertion Consumer の URL と共に表示されます。

ステップ 8

(オプション)[Download] をクリックして、SSO サービス プロバイダーの検証証明書のコピーをダウンロードします。これは Encryption Service からの SAML ログアウト要求の署名を検証するためにアイデンティティ プロバイダー(IdP)で必要な公開自己署名証明書です。

ステップ 9

[参照(Browse)] をクリックし、SAML アイデンティティ プロバイダー(Cisco Secure Web アプライアンスまたは PingFederate)から提供される SSO アイデンティティ プロバイダーの検証証明書を選択して、アップロードします。現在の証明書が表示されます。

ステップ 10

[Save(保存)] をクリックします。

ステップ 11

[Activate] をクリックします。

(注)  

 
詳細を保存したら、SAML ログインを有効化する必要があります。これにより、設定エラーが原因で誤ってユーザーをロックアウトすることがなくなります。
PingFederate ログアウト URL の設定

IDP として PingFederate で設定されたエンベロープからログアウトするには、PingFederate でログアウト URL を設定する必要があります。これは、エンド ユーザーが Encryption Service から完全にログアウトするにはログアウト ボタンをクリックする必要があるため、非常に重要です。

PingFederate でログアウト URL を設定するには、次の手順を実行します。

Procedure

Step 1

アカウントの [Encryption Service アカウント管理(Encryption Service Account Management)] 画面で、公開証明書をダウンロードして保存します。

Step 2

アカウントの PingFederate サーバーで、[Signature Verification Certificate] をクリックします。

Step 3

[Manage Certificates] をクリックします。

Step 4

手順 1 で保存した証明書をインポートします。

Step 5

インポートした証明書がプライマリ証明書であることを確認します。

Note

 
PingFederate では、SAML ログアウト要求を確認するときに複数の公開証明書を使用できます。そのため、Encryption Service から公開証明書をダウンロードした後、この証明書が PingFederate で 1 番めの、つまりプライマリ証明書であることを確認する必要があります。

Secure Compose へのアクセスの無効化と有効化

この機能を使用すると、ユーザーが Secure Compose を介して電子メールを送信することを制限できます。そのため、スキャンまたはアーカイブできずセキュリティの問題や企業ポリシーの違反が発生する可能性がある Secure Compose からの電子メールを制御できます。

Secure Compose を無効にすると、自分のアカウントのユーザーのエンド ユーザー ポータルで、左側のナビゲーション メニューから [Compose Message] リンクが削除されます。

アカウントに関連付けられたドメイン内のユーザーについてのみ Secure Compose を無効にできます。ドメインをアカウントに関連付けるには、カスタマー サポートに連絡してください。

Procedure

Step 1

[Accounts] タブで、[Manage Accounts] タブを選択します。

Step 2

アカウント番号をクリックして、[Details] タブを選択します。

Step 3

Secure Compose へのアクセスを有効にするには、[Make Secure Compose Available] チェック ボックスを選択します。

Step 4

Secure Compose へのアクセスを無効にするには、[Make Secure Compose Available] チェック ボックスを選択解除します。

Step 5

[Save(保存)] をクリックします。

Note

 
アカウントの [Tokens] タブに表示される SecureCompose トークンは、内部的に使用され、変更できません。そのトークンを変更または削除しても、Secure Compose は無効になりません。Secure Compose を無効にするには、上記の手順を使用します。

Encryption Service を含めるための DNS の設定

WebSafe から送信されたセキュア メッセージでは、受信者側で Sender Policy Framework(SPF)検証の問題が発生することがよくあります。この問題は、セキュア メッセージがドメインからではなく、Encryption Service によって管理されているホステッド キー サーバーから送信されるために発生します。そのため、これらの電子メールの送信元である IP アドレスが、受信者の SPF レコードで指定されている IP アドレスと一致せず、結果として検証に失敗します。このように SPF 検証が失敗すると、セキュア メッセージはスパムとして分類されます。

こういった障害を回避し、電子メールの配信可能性を確保するには、ドメインの SPF レコードを変更する必要があります。これを行うには、 
include:res.cisco.com
を SPF レコードに追加します。この手順により、Encryption Service サーバーがドメインに代わって電子メールを送信できるため、SPF への準拠が保証され、IP アドレスの不一致を防ぐことができます。ネットワーク管理者に問い合わせて、SPF レコードを正しく更新してください。