ユーザーのセットアップ

Secure Workload 導入準備の一環として:

  • ユーザーの作成とユーザー ロールの割り当て

  • ライセンスの設定

  • ソフトウェア エージェントのインストール

作業を開始する前に、次を確認してください。

  • クラスタが展開および構成されています。初期展開および構成については、Cisco アドバンスド サービスにお問い合わせください。

  • クラスタにログインできます。

  • 有効な Cisco Secure Workload ライセンスは、Smart Software Manager Virtual アカウントに反映されます。Cisco Secure Workload では、ライセンス用に接続モードとエアギャップ モードの 2 つのモードが用意されています。

    詳細については、Secure Workload ユーザー ガイドの「Cisco Smart Licensing」を参照してください。

  • クラスタが正常に機能するように、次のファイアウォール ポートは開いたままにする必要があります。

    • アウトバウンド ファイアウォール ルール:

      • ポート 25: AppServer-1 および AppServer-2 からお客様の SMTP サーバへのトラフィックを許可します。

      • ポート 389/636: AppServer-1 および AppServer-2 からお客様の LDAP サーバへのトラフィックを許可します。

      • NTP(UDP ポート 123): collectordatamovers からお客様の NTP サーバへのトラフィックを許可します。

    • インバウンド ファイアウォール ルール:

      • ポート 9000: お客様の管理者の送信元 IP アドレスからクラスタ サブネットの最後から 2 番目の IP アドレスへのトラフィックを許可し、アップグレードまたは再起動を可能にします。


        (注)  

        送信元 IP アドレスを管理チームのマシンにのみ制限する。企業全体にポート 9000 へのアクセスを許可しないでください。

ユーザーの作成とロールの割り当て

次の 2 つのタイプのユーザーを作成できます。

  • ローカルユーザー:これらのユーザーは、Secure Workload 内で作成および管理されます。

  • LDAP ユーザー:LDAP 構成の場合、グループを作成し、関連するグループにユーザーをマッピングします。ローカル ユーザーまたは LDAP ユーザーには、次のロールを割り当てることができます。

    • サイト管理者(Site Admins):これらのユーザーは、他のユーザー、エージェント、およびシステム設定を管理できます。Secure Workload 内のすべての機能とデータを表示および編集できます。

    • [カスタマー サポート(Customer Support)]:このロールは、クラスタ メンテナンス機能へのアクセスを提供しますが、ユーザー アカウントを変更することはできません。

    • 範囲所有者(Scope Owner):これらのユーザーには Secure Workload 環境内の特定の範囲に固有の機能があります。

ローカル ユーザーのユーザー詳細を直接追加し、ロールを割り当てることができます。LDAP ユーザーについては、LDAP が構成されていること、およびユーザーが適切なグループ内に作成されていることを確認します。詳細については、「Lightweight Directory Access Protocol の構成」を参照してください。

[ユーザー(Users)] ページにアクセスするには、サイト管理者がナビゲーションウィンドウから[管理(Manage)] > [ユーザーアクセス(User Access)]の順に選択します。

[ユーザー(Users)] ページには、サービス プロバイダー ユーザーと、ページヘッダーの範囲に関連付けられたユーザーが表示されます。

サービス プロバイダー ユーザーには範囲がありません。これらのユーザーには、ルート範囲全体でアクションを実行できるロールが割り当てられます。

ユーザーの追加

Before you begin

  • デフォルトのユーザー名は、クラスタのセットアップ時にサイト管理者権限で作成されます。初回のユーザーは、このデフォルトのユーザー名を使用してログインし、 [パスワードを忘れた場合] をクリックしてパスワードを作成できます。ログイン後、最初のユーザにはサイト管理者権限が割り当てられます。

  • Cisco Secure Workload にユーザーを追加には、サイト管理者である必要があります。

  • マルチテナント機能のための範囲が割り当てられているユーザーの場合、同じ範囲に割り当てられたロールのみを選択できます。

  • ユーザーのパスワードを回復するために、電子メールアカウントを持つサイト管理者は、ユーザーのユーザー名を使用して、パスワードを回復するためのランダムなパスワードを生成できます。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

該当する場合は、ページヘッダーから適切なルート範囲を選択します。

Step 2

ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)] の順に選択します。

Step 3

[Create New User] をクリックします。

[ユーザーの詳細(User Details)] ページが表示されます。

Step 4

[ユーザーの詳細(User Details)] の次のフィールドを更新します。

Table 1. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

[電子メール名またはユーザー名(Email or Username)]

ユーザーの電子メール ID を入力します。電子メールアドレスは、大文字と小文字が区別されません。電子メールに文字が含まれている場合は、小文字が使用されます。

ユーザーのユーザー名を入力します。ユーザー名は大文字と小文字が区別されず、@ やスペースは使用できません。

[名(First Name)]

ユーザの名前を入力します。

[姓(Last Name)]

ユーザの名字を入力します。

[スコープ(Scope)]

マルチテナント機能のためにユーザーに割り当てられたルート範囲。(サイト管理者が利用可能)

[SSH公開キー(SSH Public Key)]

(オプション)[インポート(Import)] をクリックして SSH 公開キーをインポートするか、後でキーをインポートできます。

Step 5

[次へ(Next)] をクリックします。

Step 6

[ロールの割り当て(Assign Roles)] で、ユーザーに割り当てられたロールを追加または削除します。

  • [ロールの追加(Add Roles)] をクリックして新しいロールを割り当て、[追加(Add)] チェックボックスをオンにします。

    Figure 1. 割り当て済みのユーザーロール
    割り当て済みのユーザーロール

  • 割り当てられたロールを選択し、[割り当てられたロールの編集(Edit Assigned Roles)] をクリックし、[削除(Remove)] アイコンをクリックします。

  • [名前(Name)] または [テナント(Tenant)] を使用してユーザーロールをフィルタ処理できます。

    Figure 2. ユーザーロールのフィルタ処理
    ユーザーロールのフィルタ処理

Step 7

[次へ(Next)] をクリックします。

Step 8

[ユーザーレビュー(User Review)] で、ユーザーの詳細と割り当てられたロールを確認します。[作成(Create)] をクリックします。

外部認証が有効になっている場合、認証の詳細が表示されます。

ユーザーが Cisco Secure Workload に追加されると、パスワードを設定するためのアクティベーション電子メールが登録された電子メール ID に送信されます。

Note

 

電子メール ID がないユーザーは、サイト管理者によって共有されるユーザー名と一時パスワードを使用してログインできます。ユーザーは最初のログイン時に、永続的なパスワードを設定するためにリダイレクトされます。

SMTP が無効になっている場合のユーザーの追加

Before you begin

  • Secure Workload にユーザーを追加には、サイト管理者である必要があります。

  • マルチテナント機能のための範囲が割り当てられているユーザーの場合、同じ範囲に割り当てられたロールのみを選択できます。

  • ユーザーのパスワードを回復するために、電子メールアカウントを持つサイト管理者は、ユーザーのユーザー名を使用して、パスワードを回復するためのランダムなパスワードを生成できます。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

該当する場合は、ページヘッダーから適切なルート範囲を選択します。

Step 2

ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)] の順に選択します。

Step 3

[Create New User] をクリックします。

[ユーザーの詳細(User Details)] ページが表示されます。

Step 4

[ユーザーの詳細(User Details)] の次のフィールドを更新します。

Table 2. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

ユーザー名

ユーザーのユーザー名を入力します。ユーザー名は大文字と小文字が区別されず、@ やスペースは使用できません。

Note

 

SMTP サーバーが無効に設定されている場合、 サイト管理者は ユーザー名を使用してのみユーザーを作成できます。

[名(First Name)]

ユーザの名前を入力します。

[姓(Last Name)]

ユーザの名字を入力します。

一時パスワードの生成

ユーザー用に作成したユーザー名に対して、一時的なパスワードを生成します。

Note

 

サイト管理者は 、一時パスワードをユーザーと共有する必要があります。

スコープ

マルチテナント機能のためにユーザーに割り当てられたルート範囲([サイト管理者(Site Admins)] で使用可能)。

[SSH公開キー(SSH Public Key)]

(オプション)[インポート(Import)] をクリックして SSH 公開キーをインポートするか、後でキーをインポートできます。

Step 5

[次へ(Next)] をクリックします。

Step 6

[ロールの割り当て(Assign Roles)] で、ユーザーに割り当てられたロールを追加または削除します。

  • [ロールの追加(Add Roles)] をクリックして新しいロールを割り当て、[追加(Add)] チェックボックスをオンにします。

    Figure 3. 割り当て済みのユーザーロール
    割り当て済みのユーザーロール

  • 割り当てられたロールを選択し、[割り当てられたロールの編集(Edit Assigned Roles)] をクリックし、[削除(Remove)] アイコンをクリックします。

  • [名前(Name)] または [テナント(Tenant)] を使用してユーザーロールをフィルタ処理できます。

    Figure 4. ユーザーロールのフィルタ処理
    ユーザーロールのフィルタ処理

Step 7

[次へ(Next)] をクリックします。

Step 8

[ユーザー レビュー(User Review)] で、ユーザーの詳細と割り当てられたロールを確認します。

Step 9

[作成(Create)] をクリックします。

ユーザーログイン

Secure Workloadにログインするには、 サイト管理者から提供されたユーザー名と一時パスワードを使用します。

Procedure
  Command or Action Purpose

Step 1

Secure Workloadにログインした後、 [パスワードのリセット(Reset password)] ページで通常のパスワードを作成します。

Note

 

サイト構成で SMTP が無効になっている場合、[パスワードを忘れた場合] ボタンは、ログイン時にユーザーに対して無効になります。

Step 2

アカウントを保護するには、 [パスワードのリセット(Reset password)] ページで新しいパスワードを入力します。パスワードをリセットした後、ログイン ページでユーザー名と新しく設定したパスワードを入力します。

Note

 

新しいパスワードは次の条件を満たしている必要があります。

  • パスワードの長さは、8 文字以上にする必要があります。

  • パスワードには、大文字を少なくとも 1 つ含める必要があります。

  • パスワードには、小文字を少なくとも 1 つ含める必要があります。

  • パスワードには 1 つ以上の数字を含める必要があります

  • パスワードに特殊文字(!@#$%^*&-_+={}[/}|\?:;",')を含める必要があります。

Tip

 

  • SMTP サーバの設定が無効になっていても、電子メール アドレスでログインしている既存のユーザは、引き続き現在のパスワードを使用してログインできます。ただし、SMTP サーバの設定が無効になっている場合は、電子メール アドレスを使用して新しいユーザを作成することはできません。

  • Secure Workload 3.10 リリースでは、SMTP が無効になっている場合、LDAP 認証のみが外部認証でサポートされますが、SSO 認証はこの設定では使用できません。

  • 既存のユーザーは、必要に応じて [ユーザー編集(User Edit)] ページを使用して電子メール アドレスをユーザー名に変更できますが、これは必須ではありません。

ユーザーの詳細またはロールの編集

Before you begin

Secure Workload でユーザーを編集するには、サイト管理者またはである必要があります。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

該当する場合は、ページヘッダーから適切なルート範囲を選択します。

Step 2

ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)] の順に選択します。

Step 3

必要なユーザーアカウントについて、[アクション(Actions)] で [編集(Edit)] をクリックします。

[ユーザーの詳細(User Details)] ページが表示されます。

Step 4

[ユーザーの詳細(User Details)] の次のフィールドを更新します。

Table 3. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

[電子メール名またはユーザー名(Email or Username)]

ユーザーの電子メール ID を更新します。ユーザー名は大文字と小文字が区別されず、@ またはスペースは使用できません。

Note

 

電子メール ID を持たないユーザーの場合、サイト管理者は、そのユーザーのユーザー名を使用します。ユーザー名の最大長は 255 文字です。

[名(First Name)]

ユーザーの名を更新します。

[姓(Last Name)]

ユーザーの姓を更新します。

[スコープ(Scope)]

マルチテナント機能のためにユーザーに割り当てられたルート範囲。(サイト管理者が利用可能)

Note

 

ユーザー名を持つユーザーは、ログイン ID をユーザー名から電子メール アドレスに、またはその逆に更新することができます。アップグレード後、電子メール アドレスを持つ既存のユーザーは、ログイン IDを電子メールからユーザー名に更新するオプションを利用できます。

Step 5

[次へ(Next)] をクリックします。

Step 6

[ロールの割り当て(Assign Roles)] で、ユーザーに割り当てられたロールを追加または削除します。

  • [ロールの追加(Add Roles)] をクリックして新しいロールを割り当て、[追加(Add)] チェックボックスをオンにします。

  • 割り当てられたロールを選択し、[割り当てられたロールの編集(Edit Assigned Roles)] をクリックし、[削除(Remove)] アイコンをクリックします。

Step 7

[ユーザーレビュー(User Review)] で、ユーザーの詳細と割り当てられたロールを確認します。[更新(Update)] をクリックして、ユーザーアカウントを更新します。

外部認証が有効になっている場合、認証の詳細が表示されます。

Step 8

[次へ(Next)] をクリックします。

ユーザーアカウントの非アクティブ化


Note

変更ログ監査の一貫性を維持するために、ユーザーは非アクティブ化できますが、データベースからは削除されません。

Before you begin

サイト管理者またはルート範囲所有者ユーザーの権限が必要です。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

左側のナビゲーションバーで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)]の順にクリックします。

Step 2

該当する場合は、ページの右上から適切なルート範囲を選択します。

Step 3

非アクティブ化するアカウントの行で、右側の列にある [非アクティブ化(Deactivate)] ボタンをクリックします。

非アクティブ化されたユーザーを表示するには、[削除されたユーザーを非表示(Hide Deleted Users)] ボタンを切り替えます。

ユーザーアカウントの再アクティブ化

ユーザーが非アクティブ化されている場合は、そのユーザーを再アクティブ化できます。

Before you begin

サイト管理者またはルート範囲所有者ユーザーの権限が必要です。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

左側のナビゲーションバーで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)]の順にクリックします。

Step 2

該当する場合は、ページの右上から適切なルート範囲を選択します。

Step 3

[削除されたユーザーを非表示(Hide Deleted Users)] を切り替えると、非アクティブ化されたユーザーを含むすべてのユーザーが表示されます。

Step 4

必要な非アクティブ化されたアカウントについて、右側の列の [復元(Restore)] をクリックしてアカウントを再アクティブ化します。

SSH 公開キーのインポート

コレクタ IP アドレスの 1 つを介した ta_guest ユーザーとしての SSH アクセスを有効にするために、SSH 公開キーをユーザーごとにインポートできます。このメニューは、サイト管理者およびルート範囲で SCOPE_OWNER 機能を持つユーザーのみが使用できます。SSH 公開キーは、7 日後に自動的に期限切れになります。

Secure Workload セットアップでのサイト設定

このセクションでは、[サイト管理者(Site Admins)]Secure Workload のセットアップ プロセス中にサイトをセットアップする方法について説明します。

Secure Workload ソフトウェアリリース 3.10 以降、[サイト構成(Site Config)] ページで [電子メール/ユーザー名とSMTP(Email/Username & SMTP)] メニュー項目を使用して、電子メールおよび SMTP 関連の構成を管理できます。

クラスタのセットアップ中、 サイト管理者[SMTP 構成(SMTP Configuration)] スイッチを使用して、SMTP 設定を有効または無効にします。

  • SMTP ON:現在ログインしている管理者ユーザー(読み取り専用)、設定可能なアドミラル アラート電子メール、および SMTP サーバーの構成オプションを表示します。

  • SMTP OFF:現在ログインしている管理者ユーザー(読み取り専用)と、そのユーザーの必須のダウンロード可能なリカバリ コードを表示します。

SMTP 設定を無効にすると、 [サイト構成(Site Config)] ページのすべての電子メールおよび SMTP 関連フィールドが構成に使用できなくなります。ただし、 [UI管理者ユーザー名( UI Admin Username)] および [UIプライマリ カスタマーサポートのユーザー名(UI Primary Customer Support Username)] フィールドを使用して、パスワードとユーザー名を設定できます。

フィールド

説明
UI管理者のユーザー名

組織内で Secure Workload の管理を担当する個人のユーザー名。

このフィールドは、SMTP 構成が無効になっている場合にのみ編集できます。

Note

 

入力された UI 管理者ユーザー名がシステムに存在しない場合、同じユーザー名で新しいユーザーが作成され、新しく作成されたユーザーでフィールドが更新されます。
UI 管理パスワード

UI クラスタにアクセスするための管理者のパスワードを入力します。パスワードはパスワード基準と一致する必要があります。
UI 管理確認パスワード

UI クラスタにアクセスするための管理者のパスワードを確認します。パスワードは、UI 管理パスワードとして入力したパスワードと一致する必要があります。
リカバリコード

展開中に、および展開が完了した後に [ユーザー設定(User Preferences)] オプションから サイト管理者 のリカバリコードを生成します。

Note

 

リカバリ コードは、パスワードを忘れた場合に サイト管理者 がパスワードをリセットできるようにするために使用されます。リカバリ コードは 1 回だけ使用でき、再生成できます。

UI プライマリ カスタマー サポート ユーザー名

カスタマー サポートのプライマリ連絡先の個人のユーザー名。このユーザー名は、サポートとのやりとりを合理化するために使用されます。

Note

 

プライマリ カスタマー サポートのユーザー名は、 [UI 管理者のユーザー名(UI Admin Username)]とは異なる必要があります。

UI プライマリ カスタマー サポート パスワード(UI Primary Customer Support Password)

UI クラスタにアクセスするための UI プライマリ カスタマー サポートのパスワードを入力します。パスワードはパスワード基準と一致する必要があります。
UIプライマリカスタマーサポートのパスワードの確認

UI クラスタにアクセスするための UI プライマリカスタマーサポートのパスワードを確認します。パスワードはパスワード基準と一致する必要があります。

フィールド

説明
[UI管理者の電子メール(UI Admin Email)]

組織内で Secure Workload の管理を担当する個人の電子メールアドレス。

[UIプライマリカスタマーサポートの電子メール(UI Primary Customer Support Email)]

プライマリサポートの電子メールアドレス。UI 管理者の電子メールとは別にする必要があります。
[アドミラルアラート電子メール(Admiral Alert Email)]

この電子メールアドレスは、クラスタ正常性に関連するアラートを受信します。UI 管理者の電子メールおよび UI プライマリカスタマサポートの電子メールとは別にする必要があります。

電子メール アドレスは大文字と小文字が区別されません。文字が含まれる場合は、小文字バージョンの電子メールを使用します。

ログの変更:ユーザー

ルート範囲で範囲所有者機能を持つサイト管理者およびユーザーは、[アクション(Actions)] 列の [ログの変更(Change Log)] アイコンをクリックして、各ユーザーのログの変更を表示できます。

詳細については、「ログの変更」を参照してください。ルート範囲の所有者は、その範囲に属するエンティティにおけるログの変更エントリのみの表示に制限されます。

ロール(Roles)

ロールベース アクセス コントロール(RBAC)モデルを使用して、機能とデータへのアクセスを制限できます。

  • ユーザー:Cisco Secure Workload へのログインアクセス権を持つユーザー

  • ロール:ユーザーに割り当てられる、ユーザーが作成した一連の機能

  • 機能:範囲と能力のペア

  • 能力:アクションの集合

  • アクション:「ワークスペース名の変更」などの低レベルのユーザーアクション

Figure 5. ロールモデル
ロールモデル

ユーザーは、任意の数のロールを持つことができます。ロールには、任意の数の機能を含めることができます。たとえば、「HR 検索エンジニア」ロールには、可視性とコンテキストを提供する「HR 範囲での読み取り」機能と、このロールを割り当てられたエンジニアがアプリケーションに関連した特定の変更を実施できるようにする「HR 検索の実行」機能を含めることができます。

[ユーザー(Users)] ページを使用して、ユーザーをさまざまなロールに割り当てます。ロールには複数の機能があり、ユーザーを任意の数のロールに割り当てられます。

ユーザーが迅速に利用開始できるように、システムロールが定義されています。システムロールでは、すべての範囲(システム上の全データ)へのさまざまなレベルのアクセスが定義されています。各システムロールの定義を以下に示します。

ロール

説明

エージェントインストーラ

インストール、モニター、アップグレード、変換を含むエージェントのライフサイクルを管理する機能を提供しますが、エージェントの削除や、エージェント設定プロファイルへのアクセスはできません

カスタマー サポート

テクニカルサポートまたはアドバンスドサービスの場合。クラスタメンテナンス機能へのアクセスが可能です。サイト管理者と同じアクセス権が与えられますが、ユーザーは変更できません

カスタマーサポート読み取り専用

テクニカルサポートまたはアドバンスドサービスの場合。クラスタメンテナンス機能へのアクセスが可能です。サイト管理者と同じアクセス権が与えられますが、ユーザーは変更できません

サイト管理者

ユーザー、エージェントなどを管理する機能を提供します。すべての機能とデータを表示および編集できます。少なくとも 1 人のサイト管理者が必要です。

グローバルアプリケーション適用

すべての範囲での適用能力を提供します。

グローバルアプリケーション管理

すべての範囲での実行能力を提供します。

グローバル読み取り専用

すべての範囲での読み取り能力を提供します。

Note

必要に応じて、SecOps ユーザー ロールを作成して、特定の範囲内のフロー、アラート、脆弱性、およびフォレンジック イベントにアクセスできるようにすることができます。

能力と機能

ロールは、範囲と能力を含む機能で構成されます。これらは、許可されるアクション、およびそれらが適用されるデータのセットを定義します。たとえば、(HR、読み取り) 機能は、「HR 範囲における読み取り能力」として解釈される必要があります。この機能により、HR 範囲とそのすべての子にアクセスできます。

能力

説明

インストーラ

ソフトウェアエージェントのインストール、モニター、およびアップグレード。

監査(Audit)

グローバル アプライアンス データの読み取りサポートと変更ログへのアクセス。

読み取り

フロー、アプリケーション、インベントリフィルタを含むすべてのデータを読み取ります。

書き込み

アプリケーションとインベントリフィルタに変更を加えます。

実行

ポリシーの自動検出を実行し、分析のためにポリシーを公開します。

適用

指定された範囲に関連付けられたアプリケーション ワークスペースで定義されたポリシーを適用します。

オーナー

アプリケーション ワークスペースをセカンダリからプライマリに切り替えるために必要です。ユーザー アプリケーション セッションの管理、データタップの追加、視覚化データソースの作成などのデータタップ管理機能へのアクセス。

SecOps 読み取り

割り当てられた範囲のすべてのフロー、アラート、脆弱性、およびフォレンジック イベントを読み取ります。

Important

能力は継承されます。たとえば、実行能力では、読み取り、書き込み、および実行アクションがすべて許可されます。

Important

能力は、範囲および範囲のすべての子に適用されます。

ロール別のメニューアクセス

ナビゲーションウィンドウで確認および使用できるメニュー項目は、割り当てられたロールによって異なります。

Table 4. [概要(Overview)] メニュー

メニュー

オプション

サイト管理者

カスタマーサポート

カスタマーサポート読み取り専用

アプリケーションのグローバル適用

アプリケーションのグローバル管理

グローバルに読み取り専用

エージェントインストーラ

概要

概要

はい

はい

はい

はい

はい

いいえ
Table 5. [整理(Organize)] メニュー

メニュー

オプション

サイト管理者

カスタマーサポート

カスタマーサポート読み取り専用

アプリケーションのグローバル適用

アプリケーションのグローバル管理

グローバルに読み取り専用

エージェントインストーラ

[整理(Organize)]

[範囲とインベントリ(Scopes and Inventory)]

はい

はい

はい

はい

はい

いいえ

[整理(Organize)]

Label Management

はい

はい

はい

はい

はい

いいえ

[整理(Organize)]

[インベントリフィルタ(Inventory Filters)]

はい

はい

はい

はい

はい

いいえ
Table 6. [防御(Defend)] メニュー

メニュー

オプション

サイト管理者

カスタマーサポート

カスタマーサポート読み取り専用

アプリケーションのグローバル適用

アプリケーションのグローバル管理

グローバルに読み取り専用

エージェントインストーラ

[防御(Defend)]

[セグメンテーション(Segmentation)]

はい

はい

はい

はい

はい

いいえ

[防御(Defend)]

[適用ステータス(Enforcement Status)]

はい

はい

はい

はい

はい

いいえ

[防御(Defend)]

[ポリシーテンプレート(Policy Templates)]

はい

はい

はい

はい

はい

いいえ

[防御(Defend)]

[フォレンジックルール(Forensic Rules)]

はい

はい

はい

はい

はい

いいえ
Table 7. [調査(investigate)] メニュー

メニュー

オプション

サイト管理者

カスタマーサポート

カスタマーサポート読み取り専用

アプリケーションのグローバル適用

アプリケーションのグローバル管理

グローバルに読み取り専用

エージェントインストーラ

SecOps

[調査(Investigate)]

[トラフィック(Traffic)]

はい

はい

はい

はい

はい

いいえ

はい

[アラート(Alerts)]

はい

はい

はい

はい

はい

いいえ

はい

脆弱性(Vulnerabilities)

はい

はい

はい

はい

はい

いいえ

はい

[フォレンジック(Forensics)]

はい

はい

はい

はい

はい

いいえ

はい
Table 8. [レポート(Reporting)] メニュー

メニュー

オプション

テナント所有者

エージェントインストーラ

SecOps

レポート

レポートダッシュボード

いいえ

はい
Table 9. [管理(Manage)] メニュー

メニュー

オプション

サイト管理者

カスタマーサポート

カスタマーサポート読み取り専用

アプリケーションのグローバル適用

アプリケーションのグローバル管理

グローバルに読み取り専用

エージェントインストーラ

管理

[アラート設定(Alerts Configs)]

はい

はい

はい

はい

はい

いいえ

[管理(Manage)]

[変更ログ(Change Logs)]

いいえ

いいえ

非対応

非対応

非対応

[管理(Manage)]

[コネクタ(Connectors)]

はい

いいえ

非対応

非対応

非対応

非対応

[管理(Manage)]

[外部オーケストレータ(External Orchestrators)]

はい

いいえ

非対応

非対応

非対応

非対応

[管理(Manage)]

[セキュアコネクタ(Secure Connector)]

はい

いいえ

非対応

非対応

非対応

非対応

[管理(Manage)]

[仮想アプライアンス(Virtual Appliances)]

はい

いいえ

非対応

非対応

非対応

非対応

[管理(Manage)]

[ユーザー (Users)]

いいえ

非対応

非対応

非対応

非対応

非対応

[管理(Manage)]

ロール

はい

はい

いいえ

非対応

非対応

非対応

[管理(Manage)]

[脅威インテリジェンス(Threat Intelligence)]

はい

はい

いいえ

非対応

非対応

非対応

[管理(Manage)]

[ライセンス(Licenses)]

いいえ

非対応

非対応

非対応

非対応

非対応

[管理(Manage)]

[収集ルール(Collection Rules)]

はい

はい

はい

はい

はい

いいえ

[管理(Manage)]

[セッション設定(Session Configuration)]

はい

いいえ

非対応

非対応

非対応

非対応

[管理(Manage)]

[使用状況分析(Usage Analytics)]

はい

いいえ

非対応

非対応

非対応

非対応

[管理(Manage)]

[データタップ管理(Data Tap Admin)]

いいえ

非対応

非対応

非対応

非対応

非対応
Table 10. [プラットフォーム(Platform)] メニュー

メニュー

オプション

サイト管理者

カスタマーサポート

カスタマーサポート読み取り専用

アプリケーションのグローバル適用

アプリケーションのグローバル管理

グローバルに読み取り専用

エージェントインストーラ

[プラットフォーム(Platform)]

[テナント(Tenants)]

はい

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[クラスタ設定(Cluster Configuration)]

はい

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[アウトバウンドHTTP(Outbound HTTP)]

はい

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

コレクタ

はい

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[外部認証(External Authentication)]

はい

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[SSL証明書(SSL Certificate)]

はい

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[ログインページメッセージ(Login Page Message)]

はい

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[連携(Federation)]

以下を参照

以下を参照

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[データのバックアップ(Data Backup)]

以下を参照

以下を参照

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[データの復元(Data Restore)]

以下を参照

以下を参照

いいえ

非対応

非対応

非対応

非対応

[プラットフォーム(Platform)]

[アップグレード/再起動/シャットダウン(Upgrade/ Reboot/ Shutdown)]

はい

いいえ

非対応

非対応

非対応

非対応

Note

  • [フェデレーション(Federation)] オプションを有効にして、サイト管理者およびカスタマーサポートのロールでフェデレーションを使用できるようにします。

  • [データのバックアップと復元(Data Backup and Restore)] オプションを有効にして、サイト管理者カスタマーサポートのロールでデータのバックアップと復元を使用できるようにします。

Table 11. [トラブルシュート(Troubleshoot)] メニュー

メニュー

オプション

サイト管理者

カスタマーサポート

カスタマーサポート読み取り専用

アプリケーションのグローバル適用

アプリケーションのグローバル管理

グローバルに読み取り専用

エージェントインストーラ

[トラブルシューティング(Troubleshoot)]

サービスのステータス

はい

はい

いいえ

非対応

非対応

非対応

[トラブルシューティング(Troubleshoot)]

[クラスタのステータス(Cluster Status)]

以下を参照

以下を参照

いいえ

非対応

非対応

非対応

非対応

[トラブルシューティング(Troubleshoot)]

[仮想マシン(Virtual Machine)]

はい

はい

いいえ

非対応

非対応

非対応

[トラブルシューティング(Troubleshoot)]

[スナップショット(Snapshots)]

はい

いいえ

非対応

非対応

非対応

非対応

[トラブルシューティング(Troubleshoot)]

[メンテナンスエクスプローラ(Maintenance Explorer)]

はい

いいえ

非対応

非対応

非対応

非対応

[トラブルシューティング(Troubleshoot)]

[救済(Resque)]

はい

いいえ

非対応

非対応

非対応

非対応

[トラブルシューティング(Troubleshoot)]

[Hawkeye](チャート)

はい

はい

いいえ

非対応

非対応

非対応

[トラブルシューティング(Troubleshoot)]

[Abyss](パイプライン)

はい

はい

いいえ

非対応

非対応

非対応

Note

[クラスタのステータス(Cluster Status)] オプションは、物理クラスタに対してサイト管理者およびカスタマー サポートのロールで使用できます。

ロールの作成

Before you begin

[サイト管理者(Site Admin)] または [カスタマーサポート(Customer Support)] のロールが割り当てられている必要があります。

  1. ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ロール(Roles)] の順に選択します。

  2. [新規ロールの作成(Create New Role)] をクリックします。[ロール(Roles)] パネルが表示されます。

[ロールの作成(Create Role)] ウィザードを使用したロールの作成は、3 つのステップから成るプロセスです。

Procedure

Step 1

  1. 以下のフィールドに適切な値を入力します。

    フィールド

    説明
    [名前(Name)]

    ロールを識別するための名前。
    [説明(Description)]

    ロールに関するコンテキストを追加するための簡単な説明。

  2. [次へ(Next)] ボタンをクリックして次のステップに移動するか、[ロールページに戻る(Back to Roles Page)] をクリックして [ロール(Roles)] ページに戻ります。

Step 2

  1. [ケーパビリティの追加(Add Capability)] ボタンをクリックすると、一番上の行に作成フォームが表示されます。

  2. 範囲と機能を選択します。

  3. チェックマークボタンをクリックして新しいケーパビリティを作成するか、キャンセルボタンをクリックしてキャンセルします。

  4. [次へ(Next)] をクリックしてロールの詳細を確認するか、[前へ(Previous)] をクリックして戻って編集します。

Figure 6. ケーパビリティの割り当て
ケーパビリティの割り当て

Step 3

  1. ロールの詳細とケーパビリティを確認します。

  2. [作成(Create)] をクリックして、ロールを作成します。

Figure 7. ロールの確認
ロールの確認

ロールの編集

このセクションでは、サイト管理者カスタマーサポートユーザーがロールを編集する方法について説明します。

Before you begin

サイト管理者またはカスタマーサポートユーザーである必要があります。

  1. 左側のナビゲーションバーで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ロール(Roles)] の順にクリックします。

  2. 編集するロールの行で、右側の列にある [編集(Edit)] ボタンをクリックします。[ロール(Roles)] パネルが表示されます。

ロールの編集ウィザードを使用したロールの編集は、3 つのステップから成るプロセスです。

Procedure

Step 1

  1. 必要に応じて、名前や説明を更新します。

  2. [次へ(Next)] ボタンをクリックして次のステップに移動するか、[ロールページに戻る(Back to Roles Page)] をクリックして [ロール(Roles)] ページに戻ります。

Step 2

  1. 必要に応じてケーパビリティを削除します。削除する機能の行で、右側の列にある [削除(Delete)] アイコンをクリックします。

  2. 追加するには、[機能の追加(Add Capability)] ボタンをクリックして、一番上の行に作成フォームを表示します。

  3. 範囲と機能を選択します。

  4. [次へ(Next)] をクリックしてロールの詳細を確認するか、[前へ(Previous)] をクリックして戻って編集します。

Step 3

  1. ロールの詳細とケーパビリティを確認します。

  2. [更新(Update)] をクリックしてロールを作成するか、[前へ(Previous)] をクリックして編集します。ロールの詳細とケーパビリティの割り当てへの変更は、[更新(Update)] をクリックした後に保存されます。

Note

 

機能は編集できません。削除して作成し直す必要があります。

ログの変更

サイト管理者は、ウィンドウの左側にあるナビゲーションバーの [管理(Manage)] メニューの下にある [変更ログ(Change Log)] ページにアクセスできます。このページには、Cisco Secure Workload で行われた最新の変更内容が表示されます。


Note

[変更ログの保持期間(Change Log Retention Period)]:Secure Workload は、SaaS とオンプレミスの両方のクラスタで最大 1 年間の変更ログを管理します。1 時間ごとのジョブにより、1 年のタイムフレームを超える変更ログを削除します。

Figure 8. [変更ログ(Change Log)] ページ
[変更ログ(Change Log)] ページ

各変更ログエントリの詳細は、[変更日時(Change At)] 列のリンクをクリックすると表示できます。このページには、変更されたフィールドの変更前と変更後のスナップショットが、[変更前(Before)] と [変更後(After)] に表示されます。フィールドには技術名が含まれる場合があります。Secure Workload 全体を通して見たときに、他の場所でどのような使われ方をしているのかを理解するには、何らかの解釈が必要になります。

Figure 9. [変更ログ詳細(Change Log Details)] ページ
[変更ログ詳細(Change Log Details)] ページ

エンティティの変更に関する完全なリストは、右上隅にある [この<エンティティタイプ>の完全なログ(Full log for this <entity type>)] というタイトルのボタンをクリックすると表示できます。このページには、各変更の詳細が表示されます。また、エンティティの現在の状態に関する情報がある場合は、[現在の状態(Current State)] に表示されます。

Figure 10. エンティティの完全な変更ログ
エンティティの完全な変更ログ

収集ルール

サイト管理者カスタマーサポートユーザーは、ウィンドウの左側にあるナビゲーション バーの [管理(Manage)] > [サービスの設定(Service Settings)] メニューから [収集ルール(Collection Rules)] ページにアクセスできます。このページには、Cisco Secure Workload エージェントを実行しているスイッチで使用される VRF 別のハードウェア収集ルールが表示されます。各 VRF ごとにテーブルの行があります。

ルール

VRF の [編集(Edit)] ボタンをクリックして、その収集ルールを変更します。デフォルトでは、VRF はすべて 2 つのデフォルトのキャッチオールルールによって設定されます。1 つは IPv4(0.0.0.0/0 INCLUDE)用で、もう 1 つは IPv6(::/0 INCLUDE)用のルールです。これらのデフォルトルールは削除できますが、慎重に行ってください。

追加の包含ルールと除外ルールを追加できます。有効なサブネットを入力し、包含または除外を選択して、[ルールの追加(Add Rule)] をクリックします。これらのルールの優先度は、ドラッグアンドドロップで調整できます。リスト内のルールをクリックしたままドラッグして、順序を調整します。

変更がスイッチに反映されるまでに数分かかる場合があります。VRF リストに戻るには、右上隅の [戻る(Back)] ボタンをクリックします。

優先順位

収集ルールは、優先順位の降順に並べられます。優先順位を決定するために、最長プレフィックスの一致は行われません。最初に表示されるルールは、後続のすべてのルールよりも優先されます。例:

  1. 1.1.0.0/16 INCLUDE

  2. 1.0.0.0/8 EXCLUDE

  3. 0.0.0.0/0 INCLUDE

上記の例では、サブネット 1.1.0.0/16 を除いて、サブネット 1.0.0.0/8 に属するすべてのアドレスが除外されています。

順序を変更した別の例:

  1. 1.0.0.0/8 EXCLUDE

  2. 1.1.0.0/16 INCLUDE

  3. 0.0.0.0/0 INCLUDE

上記の例では、サブネット 1.0.0.0/8 に属するすべてのアドレスが除外されています。ルール番号 2 は、サブネットに対してすでに高次のルールが定義されているため、ここでは実行されません。

コレクタ

サイト管理者カスタマーサポートのユーザーは、ウィンドウの左側にあるナビゲーションバーの [プラットフォーム(Platform)] メニューの下にある [コレクタ(Collectors)] ページにアクセスできます。このページには、現在設定されているコレクタが表示されます。Secure Workload エージェントは、コミッションされたコレクタにフローデータを送信するため、コミッションされたすべてのコレクタが利用可能であることが重要です。デフォルトでは、すべてのコレクタは定期的に正常性をチェックされ、正常性に基づいてコミッションまたはデコミッションされます。[自動コミッションのオプトアウト(Auto Commission Opt Out)] トグルを使用して、この自動化されたプロセスからオプトアウトできます。このトグルをオンにすると、右端の列の下にある [再生(Play)] アイコンと [停止(Stop)] アイコンを使用して、コミッションとデコミッションができます。

Figure 11. [コレクタ(Collectors)] ページ
[コレクタ(Collectors)] ページ

セッション設定

UI ユーザー認証のアイドル セッション タイムアウトは、ここで構成できます。この構成は、アプライアンスのすべてのユーザーに適用されます。デフォルトのアイドルセッション期間は 1 時間です。アイドルセッションの継続時間は、5 分から 24 時間の範囲で設定できます。セッションタイムアウトは、この値が保存されると、ユーザーの認証されたセッションで有効になります。

サイト管理者カスタマーサポートのユーザーは、この設定にアクセスできます。左側のナビゲーションウィンドウで、[管理(Manage)] > [サービス設定(Service Settings)] > [セッション設定(Session Configuration)]をクリックします。

会社

次のように、企業全体(Secure Workload クラスタごと)の構成を設定できます。

アウトバウンド HTTP 接続

Cisco Cloud から最新の脅威インテリジェンス データセットが取得されるようにするには、アウトバウンド HTTP 接続をセットアップすることを強く推奨します。


Warning

エンタープライズ アウトバウンド HTTP リクエストでは、HTTP プロキシの設定に加えて、エンタープライズ ファイアウォール アウトバウンド ルールから periscope.tetrationcloud.com および uas.tetrationcloud.com へのトラフィックを許可する必要がある場合があります。以下を参照してください。

periscope.tetrationcloud.com への TLS 接続は、既知の脆弱性を識別するために脅威インテリジェンスデータを転送するために使用されます。したがって、Cisco Secure Workload では、ドメインの X.509 証明書の署名 CA 証明書を、Secure Workload に付属の信頼できるルート CA 証明書と照合して、ドメイン名の信頼性を検証することが不可欠です。X.509 信頼チェーンを改ざんすると、機能が正常に動作しなくなります。

Figure 12. アウトバウンド HTTP 接続
アウトバウンド HTTP 接続

サイト管理者カスタマーサポートのユーザーは、アウトバウンド HTTP 設定にアクセスできます。左側のナビゲーションバーで、[プラットフォーム(Platform)] > [アウトバウンドHTTP(Outbound HTTP)]をクリックします。

フィールド

説明

ステータス(Status)

Secure Workload アプライアンスが Secure Workload Cloud にアクセスして脅威インテリジェンス データセットの更新を取得できるかどうかを示します。ステータスチェックは、更新ボタンをクリックして再トリガーできます。次の HTTP プロキシ設定を使用して、Secure Workload 展開に基づいて HTTP プロキシ設定を構成できます。

[HTTP プロキシを有効化(Enable HTTP Proxy)]

このオプションが有効になっている場合、すべての外部 HTTP 接続で HTTP プロキシが使用されます。

[ホスト(Host)]

HTTP プロキシホストアドレス

ポート(Port)

HTTP プロキシポート番号

[ユーザー名(Username)]

HTTP プロキシサーバーが Basic 認証を使用する場合にのみ必要です。

[パスワード(password)]

HTTP プロキシサーバーが Basic 認証を使用する場合にのみ必要です。

ログインページのメッセージ

サイト管理者カスタマーサポートユーザーは、サインインページでユーザーに表示される最大 1600 文字のメッセージを入力できます。

ログインページのメッセージを作成または変更するには、次の手順を実行します。

  1. 左側のナビゲーションページで、[プラットフォーム(Platform)] > [ログインページのメッセージ(Login Page Message)]の順にクリックします。

  2. メッセージを入力または編集します。文字数制限は 1600 文字以下です。

  3. [保存(Save)] をクリックします。

外部認証の設定

この外部認証を有効にすると、認証を外部システムに委ねることができます。認証の現在のオプションは、Lightweight Directory Access Protocol(LDAP)とシングル サインオン(SSO)です。このオプションを有効にすると、サインインするすべてのユーザーが、選択したメカニズムを使用して認証を行うようになります。特に [ローカル認証を使用(Use Local Authentication)] オプションが有効なユーザーがいない場合は、LDAP 接続が正しく設定されていることを確認することが重要です。推奨されるアプローチは、[ローカル認証を使用(Use Local Authentication)] オプションをオンにして、サイト管理者のログイン情報を持つローカル認証されたユーザーを少なくとも 1 人指定する方法です。このユーザーは、LDAP が正しく設定されていることを確認できます。接続が正常にセットアップされたら、ユーザー編集フローで [ローカル認証を使用(Use Local Authentication)] オプションをオフにして、このユーザーを外部認証に移行させることもできます。

サイト管理者は、外部接続の問題やユーザーサインインの失敗などのデバッグに役立つ追加のデバッグメッセージを有効にできます。これは、[外部認証デバッグ(External Auth Debug)] オプションをオンにすることで有効にできます。このオプションをオンにすると、追加の説明ログメッセージが「external_auth_debug.log」という名前の別のログファイルに書き込まれます。デバッグが完了したら、[外部認証デバッグ(External Auth Debug)] をオフにして、余分なログがログファイルに書き込まれないようにすることを推奨します。


Note

ローカル認証を使用」オプションで示されているように、ユーザーごとに有効化すると、ユーザーは外部認証をバイパスできます。このオプションは、外部認証が有効になっている場合の警告メッセージを介して、リンクからユーザー編集フローに移動することでも有効にできます。

連携が有効になっている場合は、SSO を使用した外部認証が推奨される認証アプローチです。ナビゲーションバーで、[プラットフォーム(Platform)] > [外部認証(External Authentication)] を選択します。


Note

Secure Workload リリース 3.7.1.5 以降、外部認証セッションの削除時間が 6 時間から 9 時間に延長されました。この設定は、外部認証またはオンプレミスのみに適用されます。

サイト管理者およびカスタマー サポートの両方は、外部認証を構成できます。リカバリ コードを生成できるのは サイト管理者 だけであり、外部認証が有効になっている場合は、リカバリ コードの生成がサポートされないことに注意してください。

Figure 13. 外部認証の設定

Note

  • 各管理者ユーザーには、ダウンロード用の 6 つのリカバリ コードが提供されます。これらのリカバリ コードは、管理者ユーザーがログイン後にダウンロードする必要があります。

  • リカバリ コードは、ログイン時にユーザー名と組み合わせて使用する必要があります。[パスワード(Password)] フィールドにリカバリ コードを入力します。

  • ユーザー名とリカバリ コードをパスワードとして使用してログインすると、ユーザーはパスワード リセット画面にリダイレクトされ、新しいパスワードを設定できます。使用されたリカバリ コードは、以降のログインでは無効になることに注意してください。

  • 利用可能なすべてのコードを使い果たす前に、リカバリ コードを再生成することを推奨します。
Figure 14. 外部認証の設定(続き)
外部認証の設定(続き)
Figure 15. 外部認証の設定(続き)
外部認証の設定(続き)
Figure 16. 外部認証に関する警告
外部認証に関する警告

Lightweight Directory Access Protocol の設定

ユーザーを認証するために、Lightweight Directory Access Protocol(LDAP)オプションを選択します。つまり、これを有効にすると、すべてのユーザーがログアウトされ、その後のサインインでは LDAP の電子メールとパスワードを使用して認証されます。

「フェデレーション」が有効になっている場合、現在 LDAP は認証メカニズムとして推奨されていません。

LDAP が有効になっている場合、新しいユーザーを作成するための推奨ワークフローは次のとおりです。

サイト管理者は、新しいユーザーが LDAP を使用して初めてログインする前に、まず電子メールで新しいユーザーを作成し、LDAP 承認(AD 承認)を構成して適切な役割を割り当てるようにお勧めします。新しいユーザーが適切なロールなしで LDAP を使用してログインした場合、デフォルトのロールはユーザーに割り当てられません。

Figure 17. Lightweight Directory Access Protocol の設定

フィールド

説明

ユーザーの自動作成(Auto Create Users)

[ユーザーの自動作成(Auto Create Users)] をオンにすると、初回のログイン時に該当ユーザーが存在しない場合にユーザーが作成されます。これにより、サイト管理者は、ユーザーのログインを許可する前にユーザーを事前にプロビジョニングする必要がなくなります。Secure Workload アクセスを [ユーザー(Users)] ページで手動で作成したユーザーに制限する必要がある場合は、このオプションをオフにする必要があります。

ホスト(Host)

認証に使用される LDAP ホスト。

ポート(Port)

認証に使用される LDAP ポート。

メール属性

LDAP の外部認証設定の [属性(Attribute)] フィールドは、カンマ区切りの値をサポートしています。これにより、認証中に複数の LDAP 属性をフィルタとして使用できます。

Note

 

LDAP データベース内のユーザのユーザー名が samAccountName の場合、適切なユーザー認証のために、 samAccountName を[属性(Attribute)] フィールドに含める必要があります。

ベース(Base)

ユーザーが検索される LDAP ベース DN。

SSL

暗号化を有効にして、「ldaps://」を使用します。

SSL 検証(SSL Verify)

サーバーの証明書に基づいて、完全修飾ドメイン名(FQDN)などのサーバーの SSL 属性を確認します。

SSL認証局証明書(SSL Certificate Authority Cert)

LDAP サーバーの SSL 証明書の署名証明書。サーバーの証明書チェーンを公的に検証できない場合に必要です。

管理者ユーザ(Admin User)

LDAP サーバーに対してバインドするために使用される LDAP 管理者ユーザー名(Secure Workload ユーザーではない)。例:[ユーザー]@[ドメイン] または [ドメイン]\\[ユーザー]

管理者パスワード(Admin Password)

LDAP サーバーに対してバインドするために使用される LDAP 管理者パスワード。

LDAP認証(Ldap Authorization)

LDAP 認証は、「LDAP 認証の設定(AD 認証)」で説明されているように、有効にして構成することができます。


Note

SMTP サーバーを構成しないと、 サイト管理者は 電子メールを使用してユーザーを認証できません。SMTP サーバーを構成しないと、電子メールベースの認証の影響を受けるためです。

LDAP 構成が有効になると、[ローカル認証を使用(Use Local Authentication)] オプションが有効になっているユーザーを除くすべてのユーザーがセッションからログアウトされます。

[保存(保存)] ボタンをクリックすると、LDAP 構成を保存できます。LDAP 構成が正常に保存された後、LDAP 接続をテストする前に 1 分間待つことをお勧めします。

[接続のテスト(Test Connection)] ボタンを使用して LDAP 構成を保存した後、LDAP 接続をテストできます。これにより、入力された管理者ログイン情報を使用して LDAP サーバーに対するバインドが試行されます。

Figure 18. 認証ワークフロー
認証ワークフロー

LDAP の問題のトラブルシューティング

LDAP 接続のテスト時にエラーが発生した場合は、次の点を確認してください。

  • LDAP 管理者の資格情報が正しいかどうかを確認します。

  • ホスト、ポート、SSL などの接続パラメータを確認します。

  • Secure Workload UI VIP から LDAP サーバーに到達できるかどうかを確認します。

  • AD サーバーが稼働しているかどうかを確認します。

  • [ldapsearch] などのコマンドラインツールを接続の詳細とともに使用して、バインドできるかどうかを確認します。

ユーザーのログイン中にエラーが発生した場合は、以下を確認してください。

  • ユーザーが LDAP 認証を使用する他社の Web サイトに LDAP ログイン情報でログインできるかどうかを確認します。

  • 企業の LDAP 設定で指定されている「基本の」DN が正しいかどうかを確認します。[ldapsearch] などのコマンドラインツールを使用して、基本 DN に対してユーザーを検索することで実行できます。

電子メールでユーザーを検索する [ldapsearch] クエリの例:

ldapsearch -H "ldap://<host>:<port>" -b "<base-dn>" -D "<ldap-admin-user>" -w <ldap->admin-password> "(mail=<users-email-address>)"

LDAP 認証の設定(AD 認証)

Active Directory 認証は、外部認証 LDAP 設定の [管理者資格情報(Admin Credentials)] セクションで [LDAP 認証(LDAP Authorization)] チェックボックスを有効にすることで設定できます。この設定を有効にすると、サイト管理者は、LDAP の「MemberOf」グループのマッピングを以下のセクションの Secure Workload ロールに設定する必要があります。デフォルトではこの設定がないため、Active Directory ユーザーはログインを試行する前に、1 つ以上の Secure Workload ロールを事前に設定する必要があります。

LDAP 外部認証が有効になっている場合、LDAP MemberOf グループの Secure Workload ロールへのマッピングを設定する必要があります。[マッピングの作成(Create Mapping)] を使用すると、LDAP MemberOf グループ値を Secure Workload ロールにマッピングするように設定できます。ロールドロップダウンのロールは、範囲セレクタで選択された範囲に基づいて事前に入力されています。マッピングが保存されると、すべてのユーザーは、その後のログイン時にこれらの値に基づいて承認されます。

マッピングは、並べ替え、編集、または削除ができます。マッピングへの変更は、その後のログイン時にユーザーに割り当てられたロールに反映されます。最大 50 の LDAP MemberOf グループから Secure Workload ロールへのマッピングを作成できます。

LDAP MemberOf グループ名の重複は許可されません。ただし、複数の LDAP MemberOf グループを同じロールにマッピングできます。複数のグループが同じロールにマッピングされている場合、最後のマッピングは、Secure Workload ロールに一致する LDAP MemberOf としてユーザーで保存されます。

Figure 19. Secure Workload ロールのセットアップへの LDAP グループ
Cisco Secure Workload ロールのセットアップへの LDAP グループ
Figure 20. Secure Workload ロールのマッピングへの LDAP グループ
Cisco Secure Workload ロールのマッピングへの LDAP グループ

サイト管理者ユーザーは、ユーザーが最後に成功したログインから取得した外部ユーザーの情報を利用して、上記のロールマッピングに基づいてロールの割り当てを調整できます。


Note

ローカル認証を使用」オプションで示されているように、ユーザーごとに有効化すると、ユーザーは外部認証をバイパスできます。これらのユーザーは、AD 認証用に設定された認証プロセスもバイパスします。

Figure 21. 外部ユーザー情報
外部ユーザー情報

認証が有効化されると、ユーザー作成フロー(ユーザーの追加)およびユーザー編集フロー(「ユーザーアカウントの編集」)では、手動での Secure Workload ロール選択は許可されません

Figure 22. [ユーザ(Users)] ページ
[ユーザー(Users)] ページ

Secure Workload ロールにマッピングされた LDAP MemberOf グループは、[ユーザープロファイル(User Profile)] ページに表示されます。

Figure 23. [ユーザープロファイル(User Profile)]ページ
[ユーザープロファイル(User Profile)] ページ
Figure 24. 認証ワークフロー
認証ワークフロー

LDAP 承認が有効な場合、ユーザーセッションが終了すると LDAP MemberOf グループから派生した Secure Workload ロールが再評価されるため、API キーを介した OpenAPI へのアクセスはシームレスに機能しなくなります。したがって、中断のない OpenAPI アクセスを保証するために、API キーを持つすべてのユーザーが [ローカル認証を使用(Use Local Authentication)] オプションを有効にすることを推奨します。

Figure 25. LDAP 認証 API キーの警告
LDAP 認証 API キーの警告
Figure 26. ユーザーページでの LDAP 認証 API キーの警告
ユーザーページでの LDAP 認証 API キーの警告

LDAP 認証の問題のトラブルシューティング

[外部認証(External Authentication)]、[LDAPグループからロールへのマッピング(LDAP Group to Role Mappings)] セクションで定義されたマッピングに基づいてロールがユーザーに割り当てられない場合は、ロールマッピングの設定と形式をもう一度確認してください。

  • グループ文字列は文字列形式である必要があります。例:CN=group.jacpang,OU=Organizational,OU=Cisco Groups,DC=stage,DC=cisco,DC=com

  • グループ名は、スペースや余分な文字が含まれず、AD に存在するものと正確に一致する必要があります。

  • グループのロールマッピングは、ロールセレクタから選択する必要があります。

ユーザーロールマッピングのデバッグ手順

  • 2 人のユーザーが必要です。1 人はサイト管理者で、このユーザーの電子メールは AD ユーザーとは異なる必要があります。

  • 以下の手順では、このユーザーを「SA ユーザー」と呼びます。

    • SA ユーザーには、前述のように、会社ページの [外部認証設定(External Authentication Config)] でロールマッピング設定が事前に設定されています。「SA ユーザー」が [site-admin]@[ドメイン] でログインするとします。

    • 「AD ユーザー」は [ad-user]@[Domain] であると仮定します。LDAP のセットアップが完了し、AD ユーザーはログインできますが、ロールが割り当てられていないと仮定します。

  • AD ユーザーとして、シークレット ブラウザ セッションを使用してログインします。これにより、ブラウザの状態が SA ユーザーセッションから分離されます。

  • SA ユーザーとしてログインし、[ユーザー(Users)] ページに移動します。

  • ロールマッピングを設定する必要がある AD ユーザーの [編集(Edit)] アイコンをクリックします。

  • [ユーザープロファイル(User Profile)] ページの [外部ユーザープロファイル(External User Profile)] ボタンをクリックします。

  • 「memberof」セクションを含む外部認証プロファイルテーブルが表示されます。

  • これは、会社ページ、[外部認証設定(External Authentication Config)]、[LDAPグループからロールへのマッピング(LDAP Group to Role Mappings)] セクションでのロールマッピングに使用できる「memberof」値の 1 つです。

  • 「memberof」の行ごとの文字列全体を指定して一致させる必要があります。このロールマッピングを作成すると、同じ属性「memberof」を持つすべてのユーザーに、マップされたロールが割り当てられます。

  • 新しくマップされたロールを AD ユーザーに付与するには、ユーザーはログアウトしてから再度ログインして、このマッピングプロファイルを再評価できる必要があります。

  • ユーザーがログインし、グループからロールへのマッピングの結果としてロールが正常に割り当てられると、一致するルールがそのユーザーの [設定(Preferences)] ページに表示されます。

シングルサインオンの設定

このオプションを選択すると、シングルサインオン(SSO)を使用してユーザーを認証できます。つまり、これを有効にする場合、すべてのユーザーが認証のために ID プロバイダーのサインインページにリダイレクトされます。[ローカル認証を使用(Use Local Authentication)] オプションが有効になっているユーザーは、サインインページで電子メールとパスワードのサインインフォームを使用して認証できます。

特に [ローカル認証を使用(Use Local Authentication)] オプションが有効なユーザーがいない場合は、SSO が正しく設定されていることを確認することが重要です。推奨されるアプローチは、[ローカル認証を使用(Use Local Authentication)] オプションをオンにして、サイト管理者のログイン情報を持つローカル認証されたユーザーを少なくとも 1 人指定する方法です。このユーザーは、SSO が正しく設定されていることを確認できます。接続が正常にセットアップされたら、ユーザー編集フローで [ローカル認証を使用(Use Local Authentication)] オプションをオフにして、このユーザーを外部認証に移行させることもできます。

SSO を有効にした場合、新しいユーザーを作成するための推奨ワークフローは次のとおりです。

サイト管理者範囲所有者は、新しいユーザーが SSO で初めてログインする前に、まず自分の電子メールで新しいユーザーを作成し、適切なロールと範囲を割り当てるようにお勧めします。新しいユーザーが適切なロールなしで SSO でログインした場合、デフォルトのロールはユーザーに割り当てられません。


Note

電子メール通信に依存するパスワード リセット指示の送信は、SMTP サーバー設定がない場合は影響を受けます。

次の表では、Secure Workload で SSO を構成するために設定する必要があるフィールドについて説明します。この場合の Secure Workload は、サービスプロバイダーです。

Figure 27. シングルサインオンの設定
シングルサインオンの設定

フィールド

説明

[SSOターゲットURL(SSO Target Url)]

ログインのためにユーザーがリダイレクトされる SSO IdP ターゲット URL。

[SSO発行元(SSO Issuer)]

SP の SSO エンティティ ID、SP を一意に識別するための URL。これは通常、SP のメタデータです。このケースの場合: 
https://<tetration-cluster-fqdn>/h4_users/saml/metadata

[SSO証明書(SSO Certificate)]

アイデンティティ プロバイダー(IdP)によって提供される SSO 証明書。

[SSO AuthNコンテキスト(SSO AuthN Context)]

SAML 要求で指定された SSO AuthN コンテキストの選択肢。デフォルトのオプションは [パスワードで保護されたトランスポート(Password Protected Transport)] です。他の選択肢は、Windows および PIV ベースの認証用の [統合Windows認証(Integrated Windows Authentication)] および [X.509証明書(X.509 Certificate)] です。

SSO 設定を有効にすると、[ローカル認証を使用(Use Local Authentication)] オプションが有効になっているユーザーを除いて、すべてのユーザーがセッションからログアウトされます。

[保存(Save)] ボタンをクリックすると、SSO 設定が保存されます。

Figure 28. 認証ワークフロー
認証ワークフロー

ID プロバイダー(IdP)と共有する情報

IdP は、認証用の SSO を設定するために Secure Workload(SP)の一部の情報を必要とします。次の表に、設定する必要があるフィールドについて説明します。

フィールド

説明

SSO URL(SSO Url)

SAML アサーション(IdP からの応答)を使用する認証エンドポイント(URL)。この例では、次のようになります。 
https://<tetration-cluster-fqdn>/h4_users/saml/auth

エンティティ ID(Entity Id) 

これは SP のメタデータです。このケースの場合、次のようになります。 
https://<tetration-cluster-fqdn>/ h4_users/saml/metadata

名前 ID の形式(Name ID Format)

名前 ID は電子メールアドレスです。


'urn:oasis:names:tc:SAML:1. 1:nameid-format:emailAddress'

属性(Attributes)

ユーザー属性は IdP から取得されます。シスコでは認証の一部としてこれらの属性を取得します。

  • email

  • firstName

  • lastName

属性名が以前に指定した名前であることを確認します。

SSO の問題のトラブルシューティング

  • (サービスプロバイダーから)認証が機能することを確認できるのは設定後だけなので、SSO 構成の設定にはダウンタイムを設定します。

  • 生成された IdP メタデータを確認して検証します。

  • IdP と SP の間で交換されるすべての構成パラメータを確認します。

    • IdP での構成:SSO URL、対象者、名前 ID、属性など。

    • Secure Workload の会社ページでの構成:SSO ターゲット URL、SSO 発行者、および SSO 証明書。

  • IdP から返されたサンプル SAML アサーションをサーバー アプリケーション ログから取得します。SAML バリデータに対して検証を行い、有効な SAML 応答であることを確認します。

  • SP SSO セットアップでエラーが発生すると、IdP からエラーが生成される場合があります。ブラウザの Inspect 要素を使用すると、実行されているネットワークリクエストを確認できます。

  • ユーザーのログインに問題がある場合は、Secure Workload アプリケーションへのアクセス権をそのユーザーが持っているか IdP 管理者に確認してもらいます。

[ローカル認証を使用(Use Local Authentication)] オプション

構成がセットアップされると、サイト管理者はユーザーが外部認証を使用しないようにできます。ユーザー編集セクションの「ローカル認証を使用」フラグを有効にすると、ユーザーごとに設定できます。ユーザーに対してこのフィールドを選択すると、そのユーザーはすべてのセッションからログアウトされます。

Figure 29. Use Local Authentication
Use Local Authentication

Warning

少なくとも 1 人のユーザーがローカル認証アクセスを持っていることを確認してください。

ユーザーの「Use Local Authentication」オプションが削除されており(つまりチェックされていない)、たまたまこのユーザーがオプションを使用した最後のユーザーだった場合、Secure Workload にサインインするためのローカル認証アクセスを持つユーザーがいなくなります。 つまり、設定や接続の問題など、外部認証システムで中断が発生した場合、ユーザーはサインインできなくなります。ローカルで認証された最後のユーザーを削除しようとすると、警告が表示されます。

外部認証を介してログインするユーザーのセッションは短くなり、セッションの有効期限が切れると再ログインを求められます。外部認証を介してログインするユーザーは、サイトでパスワードをリセットできません(会社の Web サイトでリセットする必要があります)。ただし、ユーザーに「ローカル認証を使用」フラグが設定されている場合は、パスワードのリセットが可能です。

SSL 証明書およびキー

Secure Workload UI への完全に検証可能な HTTPS アクセスを有効にするには、UI のドメイン名に固有の SSL 証明書と、SSL 証明書の公開キーと一致する RSA 秘密キーをクラスタにアップロードします。

SSL 証明書は、Secure Workload UI 仮想 IP(VIP)アドレスを参照するために使用される完全修飾ドメイン名(FQDN)の形式に応じて、2 つの方法で取得できます。Secure Workload FQDN が Tetration.cisco.com などのエンタープライズドメイン名に基づいている場合、ベースドメインを所有するエンタープライズ認証局(CA)が SSL 証明書を発行します。それ以外の場合は、信頼できる SSL 証明書ベンダーを使用して、FQDN の SSL 証明書を発行できます。


Note

Secure Workload UI はサーバー名表示(SNI)をサポートしていますが、証明書で指定されたサブジェクトの代替名(SAN)は一致しないことに注意してください。たとえば、証明書の共通名(CN)が tetration.cisco.com であり、証明書にtetration1.cisco.com の SAN が含まれている場合、ホスト名はその証明書では提供されないため、HTTPS リクエストは SNI 互換ブラウザを使用して tetration1.cisco.com のクラスタに送信されます。CN で指定されたホスト名以外のホスト名でクラスタに対して行われた HTTPS リクエストは、クラスタにインストールされているデフォルトの自己署名証明書を使用して処理されます。それらのリクエストの結果、ブラウザに警告が表示されます。

サイト管理者カスタマーサポートのユーザーは、SSL 証明書を使用できます。ナビゲーション ウィンドウで、[プラットフォーム(Platform)] > [SSL 証明書(SSL Certificate)] の順にクリックします。

メジャー アップグレード リリースとパッチに使用される メンテナンス UI またはセットアップ UI は、HTTPS URL スキーマに移行されました。Cisco Secure Workload リリース にアップグレードした後、管理者は メンテナンス UI用に別の証明書をアップロードする必要があります。

証明書とキーをインポートするには、[新しい証明書とキーのインポート(Import New Certifcate and Key)] ボタンをクリックします。

署名要求を生成するには、 [新しい証明書署名要求の生成(Generate New Certificate Signing Request)] ボタンをクリックします。


Note

SSL 証明書と秘密キーの最初のインポートは、信頼ネットワーク接続を介してクラスタに対して実行し、トランスポート層にアクセスできる悪意のある第三者が秘密キーを傍受できないようにする必要があります。

SSL 証明書とキーについて、次の情報を入力します。

[名前(NAME)] は証明書キーペアの任意の名前にできます。この名前は、インストールされている SSL 証明書を確認するときに役立ちます。

[X509証明書(X509 Certificate)] フィールドには、プライバシー強化メール(PEM)形式の SSL 証明書文字列を入力できます。SSL 証明書に中間 CA バンドルが必要な場合は、証明書の後に CA バンドルを連結して、Secure Workload FQDN の SSL 証明書が証明書ファイルの先頭になるようにします。

次の形式にする必要があります。

-----BEGIN CERTIFICATE-----

< Certificate for Secure Workload FQDN >

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

< Intermediary CA 1 content >

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

< Intermediary CA 2 content >

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

< Root CA content >

-----END CERTIFICATE-----

[RSA秘密キー(RSA Private Key)] フィールドには、前述の証明書で署名された公開キーの RSA 秘密キーを入力する必要があります。次の形式にする必要があります。

-----BEGIN RSA PRIVATE KEY-----

< private key data >

-----END RSA PRIVATE KEY-----


Note

RSA 秘密キーは暗号化されていない必要があります。RSA 秘密キーが暗号化されている場合、「500 内部サーバーエラー(500 Internal Server Error)」が発生します。

インポートすると、検証手順が実行され、証明書に署名された公開キーと秘密キーが実際に RSA キーペアである秘密キーが確認されます。検証に成功すると、証明書バンドルの SHA-1 ダイジェスト(SHA-1 署名と作成時刻)が表示されます。

ブラウザをリロードして、Secure Workload UI への SSL 接続で新しくインポートされた SSL 証明書が使用されていることを確認します。

クラスタの設定

クラスタの設定では、カスタマーネットワーク、サーバー、管理連絡先などの詳細を含む、Cisco Secure Workload クラスタの現在の設定に関する概要が提供されます。各フィールドの詳細を表示するには、情報アイコンにカーソルを合わせます。フィールドの横にある鉛筆アイコンをクリックすると、フィールドの値を変更できます。

クラスタの設定を表示するには、ナビゲーションウィンドウで、[プラットフォーム(Platform)] > [クラスタ構成(Cluster Configuration)] の順に選択します。

クラスタ設定の [SMTP 構成(SMTP Configuration)] フィールドは、SMTP 構成の有効化または無効化に使用されます。

SMTP 構成を切り替えると、ポップアップが表示されます。

  • SMTP ON:現在ログインしている管理ユーザーのログイン(読み取り専用)、設定可能なアドミラル アラート電子メール、および SMTP サーバーの設定オプションを表示します。管理者の電子メールアドレスとSMTPサーバーの設定が必要になります。

  • SMTP OFF:現在ログインしている管理ユーザーログイン(読み取り専用)と、そのユーザーの必須のダウンロード可能なリカバリ コードを表示します。システムとユーザーのすべての電子メールアドレスが無効化されます。

Figure 30. クラスタ構成:SMTP 構成
Figure 31. クラスタ構成

エージェント接続用の強力な SSL 暗号(Strong SSL Ciphers for Agent Connections)

このオプションを有効にすると、TLS-1.0 および TLS-1.1 プロトコルと次の暗号は、SSL ネゴシエーション中に Secure Workload クラスタによって受け入れられません。

  • DHE- RSA-AES128-GCM-SHA256

  • DHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA- AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES256-SHA

  • DHE-RSA-AES128-SHA256

  • DHE- RSA-AES128-SHA

  • DHE-RSA-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • ECDHE-ECDSA-DES-CBC3- SHA

  • ECDHE-RSA-DES-CBC3-SHA

  • EDH-RSA-DES-CBC3-SHA

  • AES128-GCM-SHA256

  • AES256-GCM- SHA384

  • AES128-SHA256

  • AES256-SHA256

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

TLS ハンドシェイクプロセス中に堅牢な暗号を使用し、次の接続を確立します。

  • API と UI を Secure Workloadに接続します。

  • Secure Workload へのすべての可視性と適用エージェントを接続します。

サイト管理者とカスタマー サポートのユーザーの両者は、この設定にアクセスできます。


Note

  • サイト管理者とカスタマー サポートのユーザーの両者は、この設定にアクセスできます。

  • 古い SSL ライブラリでは、このオプションがサポートされていない場合があります。

CA 証明書の有効性

デフォルトでは、CA 証明書の有効期間は 1 年間です。クラスタ設定ページで、有効性と有効期限のしきい値を更新できます。

Table 12. クラスタの有効性フィールド

フィールド

説明

[クラスタCA更新しきい値(Cluster CA Renewal Threshold)]

Cisco Secure Workload CA 証明書を更新する必要がある日数を定義します。

[クラスタCA有効性(Cluster CA Validity)]

Cisco Secure Workload CA 証明書の有効期間を定義します。

外部 IPv6 クラスタの接続

物理 Cisco Secure Workload クラスタは、外部 IPv4 および IPv6 ネットワークの両方に接続するように設定できます。IPv4 接続は必須ですが、IPv6 接続は任意です。IPv6 接続は、一度設定すると無効化できません。クラスタの外部ネットワークの IPv6 接続は、展開またはアップグレード中にのみ有効にできます。アップグレード中に外部 IPv6 クラスタ接続を有効にする方法の詳細については、『Cisco Secure Workload アップグレードガイド』を参照してください。展開中に外部 IPv6 クラスタ接続を有効にする方法の詳細については、Cisco Secure Workload ハードウェア導入ガイド [英語] を参照してください。

Before you begin

エージェントをデュアルスタックモード(IPv4 と IPv6 の両方をサポート)で動作させるには

前提条件

  • クラスタでは IPv6 が有効になっている必要があります。

  • FQDN の DNS に A および AAAA レコード(IPv4 および IPv6 用)を作成し、ドメイン名が解決されるまで待ちます。

エージェントがデュアルスタックモードで動作するように「センサー VIP FQDN」を設定する

Procedure

Step 1

左側のナビゲーションバーから、[プラットフォーム(Platform)] > [クラスタ構成(Cluster Configuration)]を選択します。

Step 2

[センサーIPv6 VIP(Sensor IPv6 VIP)]、[センサーVIP(Sensor VIP)]、および [センサーVIP FQDN(Sensor VIP FQDN)] フィールドを探します。[センサーIPv6 VIP(Sensor IPv6 VIP)] と [センサーVIP(Sensor VIP)] は設定されている必要があります。

Step 3

[センサーVIP FQDN(Sensor VIP FQDN)] が設定されていない場合は、前述の手順で作成した FQDN に設定します。設定する前に、FQDN の DNS の A レコードと AAAA レコードを解決する必要があります。

Step 4

[センサーVIP FQDN(Sensor VIP FQDN)] がすでに設定されている場合は、[センサーVIP FQDN(Sensor VIP FQDN)] フィールドで設定された FQDN の DNS に A レコードと AAAA レコードがあることを確認し、[センサーVIP FQDN(Sensor VIP FQDN)] フィールドをクリックして同じ値に保存し、更新されるようにします。

Step 5

フィールドの更新が完了すると(約 20 分後にステータスが自動的に更新されます)、エージェントは IPv4 と IPv6 の両方を介してクラスタに接続できるようになります。

Step 6

有効な [センサーVIP FQDN(Sensor VIP FQDN)] は 1 回だけ設定できます。

Note

 

AIX の IPv6 適用のサポートはありません。デュアルスタックモードの要件と制限の詳細については、Cisco Secure Workload アップグレードガイド [英語] を参照してください。

NTP 認証

Cisco Secure Workload のオンプレミスバージョンは、Network Time Protocol(NTP)バージョン 4 および SHA-1 認証をサポートしています。セットアップ ユーザー インターフェイスを使用して NTP サーバーを設定するか、[クラスタ設定(Cluster Configuration)] ページを使用して Cisco Secure Workload にアプライアンスを展開するします。

Cisco Secure Workload ユーザーインターフェイスを使用して NTP 認証を設定するには、次の手順を実行します。

Procedure

Step 1

NTP サーバーを設定します。次の設定が、CentOS 7 を実行しているシステムから参照用に提供されています。設定は、オペレーティングシステムによって異なります。

  1. 次のエントリが /etc/ntp.conf にあることを確認します。 

    
# Key file containing the keys and key identifiers used when operating with symmetric key cryptography. 
keys /etc/ntp/keys

# Specify the key identifiers which are trusted.
trustedkey 1
controlkey 1
requestkey 1

  2. サーバー側のキーを /etc/ntp/keys に入力します。 

    
# For more information about this file, see the man page ntp_auth(5).
# id	type	key
1 SHA1 <password>

  3. NTP サーバーを再起動します。# service ntpd restart

  4. NTP サーバーのサービスを起動します。

    
# ntpq -p
    remote       refid     st  t  when  poll  reach  delay  offset  jitter
==============================================================================
<ntp.server.com> <refid>     5  u  17     64     377  0.000  0.000   0.000

Step 2

Cisco Secure Workload UI で、[プラットフォーム(Platform)] > [クラスタ設定(Cluster Configuration)]に移動します。

Step 3

[認証済みNTPサーバー(Authenticated NTP Server)] フィールドに、NTP サーバーの名前または IP アドレスを入力します。

Step 4

[認証済みNTPサーバーのパスワード(Password For Authenticated NTP Server)] フィールドに、NTP サーバーのパスワードを入力します。

NTP サーバーを設定して認証すると、認証済み NTP サーバーは、Cisco Secure Workload で入力した認証されていない NTP サーバーよりも優先されます。

サポートされていないエージェントのダウンロードと登録の無効化

システム管理者は、サポートされていないバージョンのエージェントがクラスタに登録されたり、インストーラスクリプトを使用してインストールされたりすることを防止できます。これは、廃止されたバージョンのエージェントの新規インストールを効果的にブロックする新しい設定によって管理されます。

たとえば、Cisco Secure Workload バージョン 3.9 を使用しており、ダウンロードまたは登録しようとしているエージェントがバージョン 3.7 以前の場合、エージェントはダウンロードまたは登録に失敗します。この機能は、クラスタ内のすべてのエージェントがサポートされているバージョンで動作していることを確認するように設計されています。これは、古いバージョンのソフトウェアに存在する可能性のある潜在的な互換性の問題やセキュリティの脆弱性を防ぐために役立ちます。

サポートされていないエージェントの無効化

[サポートされていないエージェントの無効化(Disable Unsupported Agents)] 設定を有効にするには、次の手順を実行します。

Procedure

Step 1

Cisco Secure Workload UI に管理者としてログインします。

Step 2

ナビゲーションウィンドウで、[プラットフォーム(Platforms)] > [クラスタ構成(Cluster Configuration)]の順に選択します。

Step 3

[サポートされていないエージェントの無効化(Disable Unsupported Agents)] 設定フィールドを [はい(True)] に变更します。デフォルトでは、この設定は無効になっています。

What to do next
設定を有効にすると、サポートされていないバージョンのエージェントは、クラスタに登録することも、インストーラスクリプトを使用してインストールすることもできなくなります。これにより、廃止されたバージョンのエージェントのインストールが効果的にブロックされ、サポートされているバージョンのエージェントのみが環境内で使用されるようになります。

エージェントの登録を続行するには、最新バージョンのソフトウェアエージェントをダウンロードすることをお勧めします。

エージェントのダウンロードの無効化

廃止されたソフトウェアバージョンのエージェントがインストールされないようにするには、次の手順を実行します。

Procedure

Step 1

ナビゲーションウィンドウで、[プラットフォーム(Platforms)] > [クラスタ構成(Cluster Configuration)]の順に選択します。

Step 2

[エージェントのダウンロードの無効化(Disable Agent Download)] 設定を有効にします。

設定を有効にすると、ソフトウェアエージェントのバージョンに関係なく、エージェントは正常にダウンロードされます。

エージェントの登録の無効化

新しいエージェントが登録されないようにするには、次の手順を実行します。

Procedure

Step 1

Cisco Secure Workload UI に管理者としてログインします。

Step 2

ナビゲーションウィンドウで、[プラットフォーム(Platforms)] > [クラスタ構成(Cluster Configuration)]の順に選択します。

Step 3

[エージェントの登録の無効化(Disable Agent Registration)] 設定を有効にします。設定を有効にすると、新しいエージェントを、そのソフトウェアバージョンに適合しないアプライアンスに登録できなくなります。

Note

 

設定を有効にした後に、サポートされていないバージョンのエージェントをダウンロードまたは登録しようとすると、アプライアンスへの登録に失敗し、GUI に「Package download or registration for the old agent version is disabled.」(古いエージェントバージョンのパッケージのダウンロードまたは登録は無効になっています)という警告メッセージが表示されます。これにより、サポートされているバージョンのエージェントの登録またはインストールのみが可能になり、廃止されたバージョンのエージェントが環境内で使用されることを防止できます。


Note

デフォルトでは、[サポートされていないエージェントの無効化(Disable Unsupported Agents)]、[エージェントのダウンロードの無効化(Disable Agent Download)]、および [エージェントの登録の無効化(Disable Agent Registration)] 設定は無効になっています。

使用状況分析

サイト管理者カスタマーサポートのユーザーは、使用状況分析を有効化または無効化できます。ナビゲーションバーで、[管理(Manage)] > [サービス設定(Service Settings)] > [使用状況分析(Usage Analytics)]をクリックします。

Cisco Secure Workload は、データを収集し、一方向ハッシュによって匿名でレンダリングしてからサーバーに送信します。プライバシー設定を、オンプレミスアプライアンスの場合はアプライアンス単位で、Cisco Secure Workload SaaS の場合はテナント単位で指定します。このページで、データ収集を有効にし、収集を切り替えることもできます。

フェデレーション

フェデレーションは、複数の Cisco Secure Workload アプライアンスを結合し、アプライアンスの管理の大部分をリーダーとして指定された単一のアプライアンスに統合する手段を提供します。


(注)  

  • この機能を使用するには、フェデレーション内のすべてのアプライアンスがリリース 3.4.x 以降を実行している必要があります。

  • フェデレーションオプションを有効にするには、Cisco Technical Assistance Center にお問い合わせください。

フェデレーションの設定

手順

ステップ 1

指定されたリーダーで、[プラットフォーム(Platform)] > [フェデレーション(Federation)] に移動し、[新しいフェデレーションの作成(Create New Federation)] ボタンをクリックします。

ステップ 2

最初のフォロワーアプライアンスを追加するために、その名前と完全修飾ドメイン名(FQDN)を入力し、[追加(Add)] ボタンをクリックします。

ステップ 3

リンクをクリックして、参加証明書ファイルをダウンロードします。

ステップ 4

フォロワーで、[プラットフォーム(Platform)] > [フェデレーション(Federation)] に移動し、[既存のフェデレーションへの参加(Join Existing Federation)] をクリックして、上記で作成した参加証明書を選択します。

ステップ 5

フェデレーションの一部となるフォロワーごとに、ステップ 2 ~ 4 を繰り返します。

図 32. フェデレーションの作成またはフェデレーションへの参加
図 33. フェデレーションのフォロワーの追加フォーム

フェデレーションが有効になると、ヘッダーにアプライアンスの名前と、アプライアンスを変更するためのセレクタが含まれます。

図 34. アプライアンスセレクタ

フェデレーション内の 1 つ以上のアプライアンスが 10 分間以上リーダーから認識されなかった場合、アプライアンスセレクタにアラートが表示され、問題のあるアプライアンスにフラグが付けられます。問題のあるアプライアンスにカーソルを合わせると、リーダーと最後に同期した時刻が表示されます。

図 35. アラートが表示されたアプライアンスセレクタ

認証設定

フェデレーションが有効になっている認証は、シングルサインオン(SSO)を使用して設定されます。SSO は、フェデレーションの各アプライアンス部分で設定する必要があります。SSO の設定は、各アプライアンスでのシングルサインオン(SSO)の設定で示されているように、[プラットフォーム(Platform)] > [外部認証(External Authentication)] ページのリーダーと各フォロワーで設定されます。

管理タスク

管理タスクに応じて、リーダーで実行する必要があるタスクとフォロワーで実行する必要があるタスクがあります。次の表に、各タスクのアプライアンスタイプを示します。

表 13. フェデレーション アプライアンスの管理タスク

タスク

アプライアンス

ユーザー

リーダー

スコープ

リーダー

ロール(Roles)

リーダー

テナント

リーダー

API キー

リーダー

[収集ルール(Collection Rules)]

リーダー

ソフトウェアエージェントの設定

リーダー

ソフトウェアエージェント

フォロワー

ソフトウェアエージェントのアップグレード(Software Agent Upgrade)

フォロワー

ソフトウェアエージェントのダウングレード

フォロワー

[インベントリフィルタ(Inventory Filters)]

リーダー

インベントリアップロード(Inventory Upload)

リーダー

デフォルトのポリシー検出設定

リーダー

ポリシーの順序

リーダー

スコープ

範囲内のインベントリが単一のアプライアンスによって管理されている場合、その範囲をアプライアンスに割り当てることができます。これにより、その範囲に関連付けられたワークスペースでの自動ポリシー検出、ポリシー分析、および適用が有効になります。また、その範囲で作成されたポリシーが、アプライアンスに接続されているエージェントにのみ適用されるようになります。

(アプライアンスに割り当てられていない)グローバル範囲で作成されたアプリケーションは、自動ポリシー検出またはポリシー分析には使用できません。ただし、フェデレーション内のすべてのアプライアンスにポリシーを適用するために使用できます。

アプライアンスは、作成時に、または範囲を編集して、範囲に割り当てることができます。すべての子範囲は親のアプライアンスを継承し、別のアプライアンスに割り当てることはできません。

図 36. 範囲へのアプライアンスの割り当て

(注)  

ルートレベルの範囲(テナント)は常にグローバルであり、アプライアンスに割り当てることはできません。

ワークスペース

すべてのワークスペース(「アプリケーション」)は、リーダーで管理する必要があります。ただし、フローベースのチャートは、対応するフォロワーアプライアンスでのみ表示できます。これには、[ポリシー分析(Policy Analysis)] タブと [適用(Enforcement)] タブに表示されるチャートが含まれます。リーダーから、[ローカルアプライアンスでチャートを表示(View Charts on Local Appliance)] をクリックして、対応するフォロワーに移動します。

図 37. リーダーでのポリシー分析
図 38. フォロワーでのポリシー分析

また、インベントリに対する検索(自動ポリシー検出ページを除く)は、常にローカルで実行されます。そのため、クラスタ、フィルタ、および範囲のエンドポイントを表示するには、フォロワーに移動する必要があります。クラスタ、フィルタ、および範囲の詳細の表示にも同じロジックが適用されます。

図 39. クラスタサイドバー

前述のように、グローバル範囲で作成されたワークスペースは、自動ポリシー検出またはポリシー分析には使用できません。ポリシーは適用できますが、フローベースの適用チャートは使用できません。

図 40. グローバル範囲で無効になっているポリシー分析

警告

アプライアンスに関連付けられた範囲または制限付きインベントリフィルタを使用するポリシーは、そのアプライアンスにのみ適用されます。

ソフトウェアエージェント

フェデレーション内のアプライアンスに接続されているすべてのソフトウェアエージェントがリーダーに表示されます。

手順

ステップ 1

右上隅にある [設定(Settings)] メニューをクリックします。

ステップ 2

[エージェント設定(Agent Config)] を選択します。

[エージェント設定(Agent Config)] ページが表示されます。

ステップ 3

[ソフトウェアエージェント(Software Agents)] タブをクリックします。

[ソフトウェアエージェント(Software Agents)] タブが開きます。

ステップ 4

移動する 1 つ以上のエージェントを見つけて、そのテーブル行にあるチェックボックスをオンにします。

ステップ 5

[アプライアンス(Appliance)] 列は、エージェントが接続されている場所を示しています。

フォロワーアプライアンス間でのソフトウェアエージェントの移動

ソフトウェアエージェントは、フォロワーアプライアンス間で移動できます。エージェントが接続されているアプライアンスから、次の手順を実行します。

手順

ステップ 1

右上隅にある [設定(Settings)] メニューをクリックします。

ステップ 2

[エージェント設定(Agent Config)] を選択します。ページが表示されます。

ステップ 3

[ソフトウェアエージェント(Software Agents)] タブをクリックします。[ソフトウェアエージェント(Software Agents)] タブが開きます。

ステップ 4

移動する 1 つ以上のエージェントを見つけて、そのテーブル行にあるチェックボックスをオンにします。

ステップ 5

[–アプライアンスの選択–(–Select Appliance–)] ドロップダウンから、これらのエージェントに必要なアプライアンスを選択します。

ステップ 6

[アプライアンスに移動(Move to Appliance)] ボタンをクリックします。

テーブルが更新され、移動が保留中であることが示されます。エージェントの次回チェックイン時に、アプライアンスを移動するためのメッセージが受信されます。移動が完了すると、エージェントは元のアプライアンスで表示されなくなります。新しいアプライアンスの [ソフトウェアエージェント(Software Agents)] ページにアクセスして、移動が成功したことを確認します。

その他のタスク

一般的に、フローおよびインベントリベースのクエリは、フォロワーアプライアンスで実行する必要があります。次の表に、いくつかの一般的なタスクのアプライアンスタイプを示します。

表 14. 一般的なタスクのフェデレーション アプライアンス タイプ

タスク

アプライアンス

[可視性(Visibility)] > > [フロー検索(Flow Search)]

フォロワー

[可視性(Visibility)] > [インベントリ検索(Inventory Search)]

フォロワー

[可視性(Visibility)] > [インベントリフィルタ(Inventory Filters)]

フォロワー

[可視性(Visibility)] > [外部オーケストレータ(External Orchestrators)]

フォロワー

[セグメンテーション(Segmentation)] > [自動ポリシー検出(Automatic Policy Discovery)]

リーダー

[セグメンテーション(Segmentation)] > [ポリシー分析(Policy Analysis)]

リーダー

[セグメンテーション(Segmentation)] > [適用履歴(Enforcement History)]

リーダー

[セグメンテーション(Segmentation)] > [カンバセーション(Conversations)]

フォロワー

[セグメンテーション(Segmentation)] > [分析結果(Analysis Results)]

フォロワー

[セグメンテーション(Segmentation)] > [適用結果(Enforcement Results)]

フォロワー

[モニタリング(Monitoring)] > [エージェント(Agents)]

フォロワー

[モニタリング(Monitoring)] > [適用ステータス(Enforcement Status)]

フォロワー

[モニタリング(Monitoring)] > [ライセンス(Licenses)]

フォロワー

[ソフトウェアエージェント(Software Agents)] > [アプライアンスの変更(Change Appliances)]

フォロワー

上記に含まれていないその他のタスクは、アプライアンスに対してローカルであると考える必要があります。そのため、加えられた変更や表示される結果は、現在のアプライアンスの状態のみを表し、フェデレーションは表しません。これらのページには、次のアラートが表示されます。

図 41. ローカル アプライアンス アラート

既存の展開

以下のセクションでは、フェデレーションに参加するアプライアンスでデータを保持するための一連のガイドラインについて説明します。

保存されたデータ

ユーザーは、フェデレーションに追加する前に、ユーザー、ロール、収集ルール、フォレンジックプロファイル、ユーザーアップロードラベル、およびエージェント設定をフォロワーからリーダーにコピーする必要があります。リーダーにコピーされなかったフォロワーのデータは消去され、リーダーのデータに置き換えられます。

フォロワーの範囲、フィルタ、およびポリシーを保持するためにファイルにエクスポートし、リーダーにインポートできるようにするには、次のアクションを実行します。

手順

ステップ 1

フォロワーアプライアンスで、[プラットフォーム(Platform)] > [フェデレーション(Federation)]に移動し、[新しいフェデレーションへの参加(Join New Federation)] ボタンをクリックします。

範囲、フィルタ、およびワークスペースをアプライアンスにローカルに [ダウンロード(Download)] します。

図 42. フォロワーの既存展開エクスポートワークフロー

ステップ 2

リーダーで、[プラットフォーム(Platform)] > [フェデレーション(Federation)]に移動します。フォロワーの名前と完全修飾ドメイン名(FQDN)を入力し、[追加(Add)] ボタンをクリックしてフォロワーを追加します。次に、アプライアンスビューに切り替え、アプライアンスの FQDN の右側にある [インポート(Import)] ボタンをクリックします。

図 43. フォロワーの既存展開インポートアイコン

フォロワーからダウンロードした範囲、フィルタ、およびワークスペースをアップロードできます。すべての段階で、次の段階に進む前に競合を解決してください。

図 44. フォロワーの既存展開インポートウィザード

リーダーとフォロワーのエントリ間の競合は、2 つのアプライアンスでこれらのエントリの名前を比較することで検出されます。たとえば、リーダーとフォロワーの両方に存在する範囲 Default:host があるとします。リーダーではこの範囲のクエリが Hostname eq foo に設定され、フォロワーでは Hostname eq bar に設定されています。インポートウィザードは、この範囲に競合が存在することをユーザーに警告し、リーダーからのクエリ(つまり、Hostname eq foo)を選択します。

ステップ 3

最後に、フォロワーをフェデレーションに追加する前に、フォロワーの既存のすべてのワークスペースで適用を無効にする必要があります。

ステップ 4

フェデレーションに参加するフォロワーごとに、ステップ 1 ~ 3 を繰り返す必要があります。

データが保持されない

  1. 仮想アプライアンス(コネクタで使用されるものを含む)は、フェデレーションに参加させた後に、フォロワーで再プロビジョニングする必要があります。

  2. フォロワーがフェデレーションに参加するまでのフォロワーでのフローデータは、リーダーと共通の範囲ではアクセスできません。

操作の切断モード


(注)  

フォロワーに適用できます。

ネットワークパーティションなどの特定の状況では、1 つ以上のフォロワーでフェデレーションを無効にして、スタンドアロンモードで動作できるようにすることが理にかなっています。これを行うには、[プラットフォーム(Platform)] > [フェデレーション(Federation)] に移動し、[無効化(Disable)] ボタンをクリックします。フェデレーションから切断されたフォロワーは、スタンドアロンクラスタとして動作し続けます。

フォロワーの新しい範囲、インベントリフィルタ、およびワークスペースは、ファイルにエクスポートすることで保持できます。このファイルが、フォロワーをフェデレーションに再度追加する前にリーダーでインポートされます。これにより、既存のワークスペースのポリシーへの変更が保持されます。ただし、フォロワーがフェデレーションに再参加すると、リーダーにすでに存在する範囲とインベントリフィルタに対する変更は失われます。

アラートの設定

アラートを有効にするには、ナビゲーションウィンドウで、[管理(Manage)] > [ワークロード(Workloads)] > [アラート設定(Alert Configs)]の順に選択します。フェデレーションのアラート設定を更新します。

図 45. フェデレーションアラート

次のイベントについてアラートを生成できます。

  • フェデレーション内の 1 つ以上のアプライアンスが 10 分以上通信されていない場合、[中(MEDIUM)] の重大度でリーダーに対してアラートを生成します。

  • フォロワーが 10 分以上リーダーと通信できない場合、[中(MEDIUM)] の重大度でフォロワーに対してアラートを生成します。

アラート詳細

一般的なアラート構造とフィールドに関する情報については、一般的なアラート構造を参照してください。alert_details フィールドは構造化されており、フェデレーションアラートの次のサブフィールドが含まれています。


(注)  

アプライアンスは、アラートをトリガーしたアプライアンスです。
表 15. フェデレーションアラートの詳細

フィールド

アラートタイプ

フォーマット

説明

id

all

string

アプライアンスID

name

all

string

アプライアンス名

fqdn

all

string

アプライアンスの FQDN

is_leader

all

boolean

アプライアンスがリーダーの場合は True

status

all

string

アプライアンスのステータス

current_sw_version

all

string

アプライアンスのソフトウェアバージョン

last_seen_at

all

integer

アプライアンスが前回検出されたときの UNIX タイムスタンプ

created_At

all

integer

アプライアンスが作成されたときの Unix タイムスタンプ

updated_at

all

integer

アプライアンスが更新されたときの Unix タイムスタンプ

created_At

all

integer

アプライアンスが作成されたときの Unix タイムスタンプ

deleted_at

all

integer

アプライアンスが削除されたときの Unix タイムスタンプ

disconnected

all

boolean

フォロワーがリーダーから切断されている場合は true に設定されます。リーダーの場合は常に false に設定されます

フォロワーダウンアラートの alert_details の例

{
  "id": "5f219ad8755f024b46c2524a",
  "name": "esx-3018",
  "fqdn": "esx-3018.tetrationanalytics.com",
  "is_leader": false,
  "status": "Ready",
  "current_sw_version": "3.4.0.39.devel",
  "last_seen_at": 1596140582,
  "created_at": 1596037848,
  "updated_at": 1596140582,
  "deleted_at": 0,
  "disconnected": true
}

リーダーダウンアラートの alert_details の例

{
  "id": "5f219acc755f024b46c25248",
  "name": "sherekhan",
  "fqdn": "sherekhan.tetrationanalytics.com",
  "is_leader": true,
  "status": "Ready",
  "current_sw_version": "3.4.0.39.devel",
  "last_seen_at": 1596140582,
  "created_at": 1596037848,
  "updated_at": 1596140582,
  "deleted_at": 0,
  "disconnected": false
}

API


(注)  

フェデレーションクラスタのログイン情報はリーダーで生成する必要があり、フォロワーのクエリに使用できます。

この項では、フェデレーション用に追加または更新された API を示します。

アプライアンス

アプライアンス エンドポイントを使用すると、ユーザーはフェデレーション内のアプライアンスの状態を取得できます。

アプライアンスオブジェクト

アプライアンスオブジェクトの属性については、以下の表を参照してください。

[Attribute]

タイプ

説明

id

string

アプライアンスの固有識別子。

name

文字列

ユーザーが指定したアプライアンスの名前。

fqdn

string

ユーザーが指定したアプライアンスの FQDN。

is_leader

boolean

アプライアンスがリーダーであるかどうかを示します。

status

string

アプライアンスのステータス。

current_sw_version

string

アプライアンスの Cisco Secure Workload ソフトウェアのバージョン。

last_seen_at

integer

フォロワーがリーダーにより最後に確認されたときの Unix タイムスタンプ。リーダーの場合は常に null です。

deleted_at

integer

アプライアンスが削除されたときの Unix タイムスタンプ。

disconnected

boolean

フォロワーがリーダーとの接続を失ったかどうかを示します。リーダーの場合は false に設定されます。

アプライアンスのリスト

このエンドポイントは、フェデレーション内のアプライアンスの配列を返します。

GET /openapi/v1/appliances

パラメータ:(なし)

応答オブジェクト:アプライアンスオブジェクトの配列を返します。

サンプル python コード

restclient.get('/appliances')

スコープ

範囲オブジェクトに、範囲に関連付けられたアプライアンスの ID が含まれるようになりました。グローバル範囲の場合は null に設定されます。

次の API が、範囲の作成または更新時にアプライアンス ID を受け入れるようになりました。

範囲の作成

範囲の作成時に指定されたアプライアンス ID により、範囲が特定のアプライアンスに関連付けられます。

POST /openapi/v1/app_scopes

パラメータ:

名前

タイプ

説明

short_name

string

ユーザーが指定した範囲の名前。

description

文字列

ユーザーが指定した範囲の説明。

short_query{1}JSON{1}

JSON

範囲に関連付けられているフィルタ (または一致基準)。

parent_app_scope_id

string

親範囲の ID。

policy_priority

integer

デフォルトは「last」です。ワークスペースの優先順位を並べ替えるために使用されます。自動検出されたポリシーの確認の「ポリシーの順序付け」を参照してください。

appliance_id

string

アプライアンスの固有識別子。

サンプル python コード

req_payload = {
    "short_name": "App Scope Name",
    "short_query": {
        "type":"eq",
        "field":"ip",
        "value": <....>
    },
    "parent_app_scope_id": <parent_app_scope_id>,
    "appliance_id": <appliance_id>,
}
resp = restclient.post('/app_scopes', json_body=json.dumps(req_payload))
範囲の更新

この API を使用すると、アプライアンス ID を使用して既存の範囲をアプライアンスに関連付けることができます。

PUT /openapi/v1/app_scopes/{app_scope_id}

パラメータ:

名前

タイプ

説明

short_name

string

ユーザーが指定した範囲の名前。

description

文字列

ユーザーが指定した範囲の説明。

short_query{1}JSON{1}

JSON

範囲に関連付けられているフィルタ (または一致基準)。

appliance_id

string

アプライアンスの固有識別子。

指定された ID に関連付けられている変更された範囲オブジェクトを返します。

サンプル python コード

req_payload = {
    "short_name": "App Scope Name",
    "short_query": {
        "type":"eq",
        "field":"ip",
        "value": <....>
    },
    "appliance_id": <appliance_id>,
}
resp = restclient.put('/app_scopes/%s' % <app_scope_id>,
                      json_body=json.dumps(req_payload))

アイドルセッション

このセクションでは、ローカルデータベースを使用して認証を行う場合に、ログイン試行の失敗によってユーザーアカウントがどのようにロックされるかについて説明します。

Procedure

Step 1

電子メールアドレスとパスワードを使用したログイン試行が 5 回失敗すると、アカウントがロックされます。

Note

 

プロービングに対するセキュリティ対策として、ロックされたアカウントにサインインを試みた場合、ロックを示す具体的なメッセージはログインインターフェイスに表示されません。

Step 2

ロックアウト間隔は 30 分に設定されます。アカウントのロックが解除されたら、正しいパスワードを使用してログインするか、[パスワードを忘れた場合(Forgot password?)] をクリックしてパスワードの回復を開始します。

Note

 

正常にサインインしたユーザーは、1 時間何も操作しないとログアウトされます。このタイムアウトは、[管理(Manage)] > [サービス設定(Service Settings)] > [セッション設定(Session Configuration)]で設定します。

初期設定

[設定(Preferences)] ページにはアカウントの詳細が表示され、表示設定の更新、ランディングページの変更、パスワードの変更、および 2 要素認証の設定を行うことができます。

ランディングページ設定の変更

サインイン時に表示されるページを変更するには:

Procedure

Step 1

ウィンドウの右上隅にあるユーザーアイコンをクリックし、[ユーザー設定(User preferences)] を選択します。

Step 2

ドロップダウンメニューからランディングページを選択します。設定は、ログインしたときにデフォルトまたはホームページとして保存されます。変更を確認するには、ページの左上隅にある Secure Workload ロゴをクリックします。

パスワードの変更

Procedure

Step 1

右上隅にあるユーザーアイコンをクリックします。

Step 2

[ユーザー設定(User Preferences)] をクリックします。

Step 3

[パスワードの変更(Change Password)] ペインで、 [古いパスワード(Old Password)] フィールドに現在のパスワードを入力します。

Step 4

[パスワード(Password)] フィールドに新しいパスワードを入力します。

Step 5

[パスワードの確認(Confirm Password)] フィールドに新しいパスワードを再度入力します。

Step 6

変更を送信するには、[パスワード変更(Change Password)] をクリックします。

Note

 

パスワードは 8 〜 128 文字で、次の文字を少なくとも 1 つ 含める必要があります。

  • アルファベット小文字(a b c d. . . )

  • アルファベット大文字(A B C D. . . )

  • 数字(0 1 2 3 4 5 6 7 8 9)

  • 特殊文字( ! " # $ % & ’ ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ‘ { | } ~ ) スペースを含む

リカバリコード

Procedure
  Command or Action Purpose

Step 1

[ユーザー設定(User Preferences)] ページからリカバリ コードをダウンロードします。

Note

 

リカバリ コードを生成できるのは管理者のみです。外部認証が有効になっている場合、リカバリ コードの生成はサポートされないことに注意してください。

Step 2

各管理者ユーザーは、ログイン後にリカバリ コードをダウンロードする必要があり、6つのリカバリ コードが提供されます。

Step 3

ログイン時に、パスワード フィールドにリカバリ コードを入力します。リカバリ コードは、ログイン時にユーザー名と組み合わせて使用する必要があります。

Step 4

パスワードにユーザー名とリカバリ コードを使用してログインすると、ユーザーはパスワード リセット画面にリダイレクトされ、新しいパスワードが設定されます。

Note

 

使用されたリカバリ コードは、その後のログインでは有効ではなくなります。 利用可能なすべてのコードを使い果たす前に、リカバリ コードを再生成することを推奨します。

パスワードの回復

このセクションでは、パスワードを忘れた場合にパスワードをリセットする方法について説明します。

Before you begin

パスワードをリセットするには、アカウントを取得する必要があります。サイト管理者のみが、新しいアカウントを作成する権限を持ちます。

Procedure

Step 1

ブラウザで Cisco Secure Workload URL にアクセスし、[パスワードを忘れた場合(Forgot Password)] リンクをクリックします。[パスワードをお忘れですか?(Forgot your password?)] ダイアログボックスが表示されます。

Step 2

Step 3

パスワードを送信する必要がある電子メール ID を入力します。

Step 4

[Reset Password] をクリックします。

パスワードのリセット手順が電子メールに送信されます。

Note

 

二要素認証を使用したパスワード回復手順では、Cisco Technical Assurance Centerに連絡して一時的なワンタイムパスワードを取得する必要があります。

パスワードのリセット(Reset Password)

ここでは、電子メール ID を持たないユーザーのパスワードをリセットする方法について説明します。


Note

SMTP が無効になっている場合、ログイン時に ユーザーの [パスワードを忘れた場合(Forgot Password)] ボタンは無効になります。

Procedure

Step 1

サイト管理者として Secure Workload にログインし、ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)]の順に選択します。

Step 2

[アクション(Actions)] 列の下にある鉛筆アイコンをクリックします。[ユーザーの詳細(User Details)] ページが表示されます。

Table 16. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

[電子メール名またはユーザー名(Email or Username)]

ユーザーのユーザー名を入力します。ユーザー名は大文字と小文字が区別されませんが、@ またはスペースは使用してはなりません。

Note

 

SMTP 構成がオフになっている場合、パスワードリセット手順をユーザーに送信できないため、電子メールベースの認証が影響を受けます。

Note

 

サイト管理者は、ユーザー名を使用して、回復が必要なユーザーの一時的なパスワードを生成できます。

ユーザー名の最大長は 255 文字です。

[名(First Name)]

ユーザの名前を入力します。

[姓(Last Name)]

ユーザの名字を入力します。

[スコープ(Scope)]

マルチテナント機能のためにユーザーに割り当てられたルート範囲。(サイト管理者が利用可能)

[SSH公開キー(SSH Public Key)]

(オプション)[インポート(Import)] をクリックして SSH 公開キーをインポートするか、後でキーをインポートできます。

Step 3

[パスワードの生成(Generate Password)] をクリックして一時パスワードを生成します。パスワードをコピーし、要求したユーザーと共有します。

Note

 

パスワードをリセットするには、Secure Workload にログインするためのユーザー名と一時パスワードを使用します。ログイン後、 [パスワードのリセット(Reset password)] ページで通常のパスワードを作成します。

Figure 46. ユーザの詳細

Step 4

アカウントを保護するには、 [パスワードのリセット(Reset password)] ページに新しいパスワードを入力します。パスワードをリセットした後、ログイン ページでユーザー名と新しく設定したパスワードを入力します。

Note

 

新しいパスワードは次の条件を満たしている必要があります。

  • パスワードの長さは、8 文字以上にする必要があります。

  • パスワードには、大文字を少なくとも 1 つ含める必要があります。

  • パスワードには、小文字を少なくとも 1 つ含める必要があります。

  • パスワードには 1 つ以上の数字を含める必要があります

  • パスワードに特殊文字(!@#$%^*&-_+={}[/}|\?:;",')を含める必要があります。

二要素認証の有効化

このセクションでは、二要素認証を有効にする方法について説明します。

Procedure

Step 1

ユーザーアイコンをクリックします。

Step 2

[ユーザー設定(User Preferences)] をクリックします。

Step 3

[二要素認証(Two-Factor Authentication)] ペインの [有効にする(Enable)] ボタンをクリックします。新しい [二要素認証(Two-Factor Authentication)] ページが表示されます。

Step 4

パスワードを入力します。

Step 5

Google Authenticator(Android または iOS)または Authenticator(Windows Phone)などの時間ベースのワンタイムパスワード(TOTP)アプリケーションを使用して、[現在のパスワード(Current Password)] フィールドの下に表示されている QR コードをスキャンします。

Step 6

選択した TOTP アプリケーションによって表示される検証コードを入力します。

Step 7

[有効(Enable)] をクリックします。

Figure 47. [二要素認証(Two-Factor Authentication)] ペイン
[二要素認証(Two-Factor Authentication)] ペイン

システムにログインする際に [二要素認証を使用する(Use two-factor authentication)] チェックボックスをオンにして、TOTP アプリケーションに表示される確認コードを入力してサインインします。

Note

 

二要素認証のパスワードを回復する必要がある場合は、サイト管理者または Secure Workload カスタマーサポートにお問い合わせください。

二要素認証の無効化

このセクションでは、二要素認証を無効にする方法について説明します。

Procedure

Step 1

右上隅にあるユーザーアイコンをクリックします。

Step 2

[ユーザー設定(User Preferences)] をクリックします。

Step 3

二要素認証で、[無効にする(Disable)] ボタンをクリックします。[二要素認証(Two-Factor Authentication)] ペインが表示されます。

Step 4

パスワードを入力します。

Step 5

[無効にする(Disable)] ボタンを再度クリックします。

ログイン時に二要素認証コードを入力する必要はなくなりました。

スコープ


Note

[範囲(Scopes)] ページは [インベントリ検索(Inventory Search)] と統合されました。詳細については、「範囲とインベントリ」を参照してください。