この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
 重要 |
Enterprise Manager は廃止されました。Security Cloud Control を使用して ID プロバイダーの統合を管理できるようになりました。詳細については、ID プロバイダー統合ガイドを参照してください。 既存の ID プロバイダー統合データはすべて、Security Cloud Control を介して使用できます。 |
セキュリティ アサーション マークアップ言語(SAML)を使用して、独自またはサードパーティの ID プロバイダーを Security Cloud Sign On と統合できます。SAML は、ID プロバイダー(IdP)とサービスプロバイダー(SP)の間で認証および許可データを交換するための XML ベースのオープン標準です。ここでの SP は Security Cloud Sign On です。統合すると、ユーザーは通常のシングルサインオンのクレデンシャルを使用して Security Cloud Sign On にサインインできるようになります。
デフォルトでは、Security Cloud Sign On はすべての IdP のユーザーを Duo 多要素認証(MFA)に無料で登録します。組織ですでに MFA が IdP と統合されている場合、統合プロセス中に必要に応じて Duo ベースの MFA を無効にすることができます。
エンタープライズ設定セットアップウィザードは、独自の IdP を Security Cloud Sign On と統合するための複数のステップで構成されます。各ステップを完了するたびに進行状況が保存されるため、途中で終了しても後で戻ってプロセスを完了できます。
エンタープライズ設定ウィザードを開くには、SecureX アプリケーションポータルでプロファイルアイコンをクリックし、[エンタープライズ設定(Enterprise Settings)] を選択して [始める(Get Started)] をクリックします。
設定ウィザードでは、1 つの電子メールドメインを申請し、1 つの ID プロバイダーを構成できます。次の場合は、Cisco TAC でケースをオープンする必要があります。
複数の ID プロバイダーを構成する必要がある
複数の電子メールドメインを申請する必要がある
ドメインの申請と検証の後に組織名や電子メールドメインを変更する
(注) |
エンタープライズ設定ウィザードで作成されていない既存の IdP 統合がある場合、その統合をウィザードを使用して変更することはできません。詳細については、既存の IdP 統合を使用しているお客様を参照してください。 |
最初のステップとして、Security Cloud Sign On で名前付きのエンタープライズを作成します。このエンタープライズは、申請したドメインと ID プロバイダーの構成に関連付けられます。
|
ステップ 1 |
Security Cloud Sign On アカウントで SecureX アプリケーションポータルにサインインします。 |
|
ステップ 2 |
右上隅にあるプロファイルアイコンをクリックし、[エンタープライズ設定(Enterprise Settings)] を選択します。 |
|
ステップ 3 |
[開始する(Get Started)] をクリックします。 |
|
ステップ 4 |
エンタープライズアカウントの名前を入力し、[保存(Save)] をクリックします。
|
次に、エンタープライズの電子メールドメインを申請して検証します。このステップを完了するには、ドメイン名レジストラサービスポータルで DNS レコードを作成する必要があります。ドメインの検証が完了したら、DNS レコードは削除できます。
|
ステップ 1 |
申請するドメインを入力し、[送信(Submit)] をクリックします。 設定ウィザードに DNS TXT レコードの名前と値が表示されます。
|
|
ステップ 2 |
ドメイン名レジストラサービスにサインインし、指定されたレコード名と値で TXT レコードを作成します。 |
|
ステップ 3 |
DNS レコードが伝達されるまで待ってから、[検証(Verify)] をクリックします。 |
|
ステップ 4 |
検証が成功したら、[IdPの統合(Integrate IdP)] をクリックして ID プロバイダーの統合を開始します。
|
このステップでは、IdP と Security Cloud Sign On の間で SAML メタデータおよび署名証明書を交換します。
シングルサインオンサービスの URL – Security Cloud Sign On から HTTP POST で SAML 認証要求を送信する URL。URL のドメインは、前に申請して検証したドメインと一致する必要があります。
エンティティ ID – ID プロバイダーを Security Cloud Sign On で一意に識別するための ID。IdP の SAML メタデータから <EntityDescriptor> 要素の entityID で確認できます。一部の IdP では ID プロバイダー発行元と呼ばれています。
SAML 署名証明書 – IdP が SAML アサーションに署名するために使用する x.509 署名証明書。
(注) |
証明書は、SHA-256 アルゴリズムで署名されている必要があります。別のアルゴリズムで署名されたアサーションは、HTTP 400 エラーで拒否されます。 |
|
ステップ 1 |
[セットアップ(Set Up)] 画面で [IDプロバイダー名(Identity Provider Name)] フィールドに IdP の名前を入力します。 |
|
ステップ 2 |
IdP の SAML 統合から取得した [シングルサインオンURL(Single sign-on URL)] と [エンティティID(Entity ID)] の値を入力します。 |
|
ステップ 3 |
[ファイルの追加(Add File)] をクリックし、前に IdP からダウンロードした SAML 署名証明書を選択します。 |
|
ステップ 4 |
Duo MFA へのユーザーの自動登録を行わない場合は、[Security Cloud Sign OnでDuoベースのMFAを有効にする(Do you wish to keep the Duo-based MFA enabled in Security Cloud Sign On?)] で [いいえ(No)] を選択します。
|
|
ステップ 5 |
[次へ(Next)] をクリックして [ダウンロード(Download)] 画面に進みます。 |
|
ステップ 6 |
表示された [シングルサインオンサービスURL(ACS URL)(Single Sign-On Service URL (ACS URL))] と [エンティティID(オーディエンスURI)(Entity ID (Audience URI))] をコピーし、SAML 署名証明書をダウンロードします。
|
|
ステップ 7 |
7. [次へ(Next)] をクリックして [構成(Configure)] 画面に進みます。 |
|
ステップ 8 |
IdP 管理コンソールで SAML アプリケーション設定ページを開き、次の変更を行います。 |
次に、エンタープライズとの IdP 統合をテストします。
次に、エンタープライズウィザードから IdP への SSO 要求を開始して IdP の統合をテストします。SecureX アプリケーションダッシュボードに戻れば、テストが成功したことを意味します。
プライベート(シークレット)ウィンドウで URL をテストします。
サインインに使用する電子メールドメインは、前に申請したドメインと一致する必要があります。
新規のユーザー(既存の Security Cloud Sign On アカウントがないユーザー)と既存のユーザーでテストします。
|
ステップ 1 |
エンタープライズ設定ウィザードの [構成(Configure)] 画面に戻ります。 |
|
ステップ 2 |
ステップ 2 の SSO URL をクリップボードにコピーし、プライベート(シークレット)ブラウザウィンドウで開きます。
|
|
ステップ 3 |
ID プロバイダーにサインインします。
SecureX アプリケーションポータルが表示されれば、構成のテストは成功です。SSO プロセスでエラーが発生する場合は、トラブルシューティング を参照してください。 |
|
ステップ 4 |
統合をテストしたら、[次へ(Next)] をクリックして [アクティブ化(Activate)] ページに進みます。 |
IdP 統合のテストが完了し、組織で有効にする準備ができたら、IdP 統合をアクティブ化できます。アクティブ化した後は、ユーザーはエンタープライズ(IdP)の電子メールアドレスとパスワードを使用してサインインします。無料の Duo MFA 登録をオプトアウトした場合、ユーザーは MFA 設定を管理できなくなります。
|
IdP と Security Cloud Sign On の統合をアクティブ化するには、[IdPをアクティブ化(Activate my IdP)] をクリックし、確認ダイアログで [アクティブ化(Activate)] をクリックします。
|
フィードバック