ID プロバイダーの統合


重要


Enterprise Manager は廃止されました。Security Cloud Control を使用して ID プロバイダーの統合を管理できるようになりました。詳細については、ID プロバイダー統合ガイドを参照してください。

既存の ID プロバイダー統合データはすべて、Security Cloud Control を介して使用できます。


概要

セキュリティ アサーション マークアップ言語(SAML)を使用して、独自またはサードパーティの ID プロバイダーを Security Cloud Sign On と統合できます。SAML は、ID プロバイダー(IdP)とサービスプロバイダー(SP)の間で認証および許可データを交換するための XML ベースのオープン標準です。ここでの SP は Security Cloud Sign On です。統合すると、ユーザーは通常のシングルサインオンのクレデンシャルを使用して Security Cloud Sign On にサインインできるようになります。

デフォルトでは、Security Cloud Sign On はすべての IdP のユーザーを Duo 多要素認証(MFA)に無料で登録します。組織ですでに MFA が IdP と統合されている場合、統合プロセス中に必要に応じて Duo ベースの MFA を無効にすることができます。

エンタープライズ設定ウィザード

エンタープライズ設定セットアップウィザードは、独自の IdP を Security Cloud Sign On と統合するための複数のステップで構成されます。各ステップを完了するたびに進行状況が保存されるため、途中で終了しても後で戻ってプロセスを完了できます。

エンタープライズ設定ウィザードを開くには、SecureX アプリケーションポータルでプロファイルアイコンをクリックし、[エンタープライズ設定(Enterprise Settings)] を選択して [始める(Get Started)] をクリックします。

設定ウィザードでは、1 つの電子メールドメインを申請し、1 つの ID プロバイダーを構成できます。次の場合は、Cisco TAC でケースをオープンする必要があります。

  • 複数の ID プロバイダーを構成する必要がある

  • 複数の電子メールドメインを申請する必要がある

  • ドメインの申請と検証の後に組織名や電子メールドメインを変更する


(注)  


エンタープライズ設定ウィザードで作成されていない既存の IdP 統合がある場合、その統合をウィザードを使用して変更することはできません。詳細については、既存の IdP 統合を使用しているお客様を参照してください。


ステップ 1:エンタープライズの作成

最初のステップとして、Security Cloud Sign On で名前付きのエンタープライズを作成します。このエンタープライズは、申請したドメインと ID プロバイダーの構成に関連付けられます。

手順


ステップ 1

Security Cloud Sign On アカウントで SecureX アプリケーションポータルにサインインします。

ステップ 2

右上隅にあるプロファイルアイコンをクリックし、[エンタープライズ設定(Enterprise Settings)] を選択します。

ステップ 3

[開始する(Get Started)] をクリックします。

ステップ 4

エンタープライズアカウントの名前を入力し、[保存(Save)] をクリックします。

エンタープライズアカウント名フォーム


ステップ 2:電子メールドメインの申請と検証

次に、エンタープライズの電子メールドメインを申請して検証します。このステップを完了するには、ドメイン名レジストラサービスポータルで DNS レコードを作成する必要があります。ドメインの検証が完了したら、DNS レコードは削除できます。

手順


ステップ 1

申請するドメインを入力し、[送信(Submit)] をクリックします。

設定ウィザードに DNS TXT レコードの名前と値が表示されます。

ステップ 2

ドメイン名レジストラサービスにサインインし、指定されたレコード名と値で TXT レコードを作成します。

ステップ 3

DNS レコードが伝達されるまで待ってから、[検証(Verify)] をクリックします。

ステップ 4

検証が成功したら、[IdPの統合(Integrate IdP)] をクリックして ID プロバイダーの統合を開始します。


ステップ 3:SAML メタデータの交換

このステップでは、IdP と Security Cloud Sign On の間で SAML メタデータおよび署名証明書を交換します。

始める前に

このステップを完了するには、ID プロバイダーで作成した SAML 統合に関する次の情報が必要です。
  • シングルサインオンサービスの URLSecurity Cloud Sign On から HTTP POST で SAML 認証要求を送信する URL。URL のドメインは、前に申請して検証したドメインと一致する必要があります。

  • エンティティ ID – ID プロバイダーを Security Cloud Sign On で一意に識別するための ID。IdP の SAML メタデータから <EntityDescriptor> 要素の entityID で確認できます。一部の IdP では ID プロバイダー発行元と呼ばれています。

  • SAML 署名証明書 – IdP が SAML アサーションに署名するために使用する x.509 署名証明書。


    (注)  


    証明書は、SHA-256 アルゴリズムで署名されている必要があります。別のアルゴリズムで署名されたアサーションは、HTTP 400 エラーで拒否されます。

手順


ステップ 1

[セットアップ(Set Up)] 画面で [IDプロバイダー名(Identity Provider Name)] フィールドに IdP の名前を入力します。

ステップ 2

IdP の SAML 統合から取得した [シングルサインオンURL(Single sign-on URL)] と [エンティティID(Entity ID)] の値を入力します。

ステップ 3

[ファイルの追加(Add File)] をクリックし、前に IdP からダウンロードした SAML 署名証明書を選択します。

ステップ 4

Duo MFA へのユーザーの自動登録を行わない場合は、[Security Cloud Sign OnでDuoベースのMFAを有効にする(Do you wish to keep the Duo-based MFA enabled in Security Cloud Sign On?)] で [いいえ(No)] を選択します。

ステップ 5

[次へ(Next)] をクリックして [ダウンロード(Download)] 画面に進みます。

ステップ 6

表示された [シングルサインオンサービスURL(ACS URL)(Single Sign-On Service URL (ACS URL))] と [エンティティID(オーディエンスURI)(Entity ID (Audience URI))] をコピーし、SAML 署名証明書をダウンロードします。

ステップ 7

7. [次へ(Next)] をクリックして [構成(Configure)] 画面に進みます。

ステップ 8

IdP 管理コンソールで SAML アプリケーション設定ページを開き、次の変更を行います。

  1. [ACS URL(ACS URL)] と [エンティティID(Entity ID)] に割り当てられた一時的な値を前の手順で取得した値で更新します。

  2. 設定ウィザードで提供された SAML 署名証明書をアップロードします。

    (注)  

     

    一部の IdP(Auth0 など)では、証明書の内容を 1 行の JSON 文字列として提供する必要があります(例:-----BEGIN CERTIFICATE-----\n...\n...\n-----END CERTIFICATE-----\n)。

  3. 設定の変更を SAML アプリ設定に保存します。


次のタスク

次に、エンタープライズとの IdP 統合をテストします。

ステップ 4:SSO 統合のテスト

次に、エンタープライズウィザードから IdP への SSO 要求を開始して IdP の統合をテストします。SecureX アプリケーションダッシュボードに戻れば、テストが成功したことを意味します。

  • プライベート(シークレット)ウィンドウで URL をテストします。

  • サインインに使用する電子メールドメインは、前に申請したドメインと一致する必要があります。

  • 新規のユーザー(既存の Security Cloud Sign On アカウントがないユーザー)と既存のユーザーでテストします。

手順


ステップ 1

エンタープライズ設定ウィザードの [構成(Configure)] 画面に戻ります。

ステップ 2

ステップ 2 の SSO URL をクリップボードにコピーし、プライベート(シークレット)ブラウザウィンドウで開きます。

ステップ 3

ID プロバイダーにサインインします。

  • サインインに使用する電子メールドメインは、前に申請したドメインと一致する必要があります。

  • Secure Cloud Sign On で最初のサインアップに使用したアカウントとは別のアカウントでテストします。たとえば、admin@example.com アカウントでサインアップして IdP 統合を作成した場合、統合のテストにそれと同じ電子メールは使用しないでください。

SecureX アプリケーションポータルが表示されれば、構成のテストは成功です。SSO プロセスでエラーが発生する場合は、トラブルシューティング を参照してください。

ステップ 4

統合をテストしたら、[次へ(Next)] をクリックして [アクティブ化(Activate)] ページに進みます。


ステップ 5:IdP 統合のアクティブ化

IdP 統合のテストが完了し、組織で有効にする準備ができたら、IdP 統合をアクティブ化できます。アクティブ化した後は、ユーザーはエンタープライズ(IdP)の電子メールアドレスとパスワードを使用してサインインします。無料の Duo MFA 登録をオプトアウトした場合、ユーザーは MFA 設定を管理できなくなります。

手順


IdP と Security Cloud Sign On の統合をアクティブ化するには、[IdPをアクティブ化(Activate my IdP)] をクリックし、確認ダイアログで [アクティブ化(Activate)] をクリックします。