Duo


重要

Enterprise Manager は廃止されました。Security Cloud Control を使用して ID プロバイダーの統合を管理できるようになりました。詳細については、ID プロバイダー統合ガイドを参照してください。

既存の ID プロバイダー統合データはすべて、Security Cloud Control を介して使用できます。

概要

ここでは、Duo SAML アプリケーションを作成し、それを Security Cloud Sign On と統合する方法について説明します。

はじめに

始める前に

手順

ステップ 1

Duo Admin Panel にサインインします。

  1. 左側のメニューから [アプリケーション(Applications)] をクリックし、[アプリケーションの保護(Protect an Application)] をクリックします。

  2. [汎用SAMLサービスプロバイダー(Generic SAML Service Provider)] を探します。

  3. [保護タイプ(Protection Type)] が [DuoがホストするSSOによる2FA(2FA with SSO hosted by Duo)] の [汎用サービスプロバイダー(Generic Service Provider)] アプリケーションの横にある [保護(Protect)] をクリックします。汎用 SAML サービスプロバイダーの構成ページが開きます。

  4. [メタデータ(Metadata)] セクションを選択します。

  5. [エンティティID(Entity ID)] の値をコピーし、後で使用するために保存します。

  6. [シングルサインオンURL(Single Sign-On URL)] の値をコピーし、後で使用するために保存します。

  7. [ダウンロード(Downloads)] セクションで [証明書のダウンロード(Download certificate)] をクリックします。

  8. [SAML応答(SAML Response)] セクションで次の手順を実行します。

    • [NameID形式(NameID format)] で [urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified(urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified)] または [urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress(urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress)] を選択します。

    • [NameID属性(NameID attribute)] で [<Email Address>(<Email Address>)] を選択します。

    • [属性のマッピング(Map Attributes)] セクションで、Duo IdP ユーザー属性から SAML 応答属性への次のマッピングを入力します。

      [IdP属性(IdP Attribute)]

      [SAML応答属性(SAML Response Attribute)]

      <Email Address>

      email

      <First Name>

      firstName

      <Last Name>

      lastName

  9. [設定(Settings)] セクションで、[名前(Name)] フィールドに「Secure Cloud Sign On」または他の値を入力します。

    Duo の SAML 設定のブラウザウィンドウは開いたままにします。

ステップ 2

新しいブラウザタブでエンタープライズ設定ウィザードを開きます。[IDプロバイダーの統合(Integrate Identity Provider)] 画面の [セットアップ(Set Up)] ステップ(ステップ 3:SAML メタデータの交換 を参照)が表示されます。

  1. [IDプロバイダー名(Identity Provider Name)] フィールドに IdP の名前(例:Duo SSO)を入力します。

  2. [シングルサインオンサービスURL(Single Sign On Service URL)] フィールドに、Duo からコピーした [シングルサインオンURL(Single Sign-On URL)] の値を入力します。

  3. [エンティティID(Entity ID)] フィールドに、Duo からコピーした [エンティティID(Entity ID)] フィールドの値を入力します。

  4. [ファイルの追加(Add File)] をクリックし、Duo からダウンロードした SAML 署名証明書を選択します。

  5. 必要に応じて、Duo ベースの無料の MFA サービスからユーザーをオプトアウトします。

  6. [次へ(Next)] をクリックして [ダウンロード(Download)] 画面に進みます。

  7. 後で使用するために、[シングルサインオンサービスURL(ACS URL)(Single Sign-On Service URL (ACS URL))] フィールドと [エンティティID(オーディエンスURI)(Entity ID (Audience URI))] フィールドの値をコピーして保存します。

  8. SAML 署名証明書(cisco-securex.pem)をダウンロードします。

  9. [次へ(Next)] をクリックして [構成(Configure)] 画面に進みます。

ステップ 3

Duo の SAML アプリケーション設定に戻り、次の手順を実行します。

  1. [サービスプロバイダー(Service Provider)] セクションの [エンティティID(Entity ID)] フィールドに、前の手順で設定ウィザードによって提供された [エンティティID(オーディエンスURI)(Entity ID (Audience URI))] フィールドの値を入力します。

  2. [Assertion Consumer Service(ACS)URL(Assertion Consumer Service (ACS) URL)] に、前の手順で設定ウィザードによって提供された [シングルサインオンサービスURL(ACS URL)(Single Sign-On Service URL (ACS URL))] フィールドの値を入力します。

  3. 設定ページの下部で [保存(Save)] をクリックします。

ステップ 4

エンタープライズ設定ウィザードの [構成(Configure)] 画面に戻ります。

  1. 表示された URL をコピーし、プライベート(シークレット)ブラウザウィンドウで開きます。

    ブラウザが Duo SSO URL にリダイレクトされます。

  2. 申請したドメインと一致する電子メールアドレスで Duo にサインインします。

    SecureX アプリケーションポータルに戻れば、テストは成功です。

  3. 設定ウィザードで [次へ(Next)] をクリックして [アクティブ化(Activate)] 画面に進みます。

  4. ユーザーの統合をアクティブ化するには、[IdPをアクティブ化(Activate my IdP)] をクリックします。

  5. ダイアログで選択内容を確認します。