ユーザーのセットアップ

Secure Workload 導入準備の一環として:

  • ユーザーの作成とユーザー ロールの割り当て

  • ライセンスの設定

  • ソフトウェア エージェントのインストール

作業を開始する前に、次を確認してください。

  • クラスタが展開および設定されている。初期展開および設定については、シスコアドバンスドサービスにお問い合わせください。

  • クラスタにログインできます。

  • 有効な Cisco Secure Workload ライセンスは、Smart Software Manager Virtual アカウントに反映されます。Cisco Secure Workload では、ライセンス用に接続モードとエアギャップ モードの 2 つのモードが用意されています。

    詳細については、Secure Workload ユーザー ガイドの「Cisco Smart Licensing」を参照してください。

ユーザーの作成とロールの割り当て

次の 2 つのタイプのユーザーを作成できます。

  • ローカルユーザー:これらのユーザーは、Secure Workload 内で作成および管理されます。

  • LDAP ユーザー:LDAP 構成の場合、グループを作成し、関連するグループにユーザーをマッピングします。ローカル ユーザーまたは LDAP ユーザーには、次のロールを割り当てることができます。

    • サイト管理者(Site Admins):これらのユーザーは、他のユーザー、エージェント、およびシステム設定を管理できます。Secure Workload 内のすべての機能とデータを表示および編集できます。

    • [カスタマー サポート(Customer Support)]:このロールは、クラスタ メンテナンス機能へのアクセスを提供しますが、ユーザー アカウントを変更することはできません。

    • 範囲所有者(Scope Owner):これらのユーザーには Secure Workload 環境内の特定の範囲に固有の機能があります。

ローカル ユーザーのユーザー詳細を直接追加し、ロールを割り当てることができます。LDAP ユーザーについては、LDAP が構成されていること、およびユーザーが適切なグループ内に作成されていることを確認します。詳細については、「Lightweight Directory Access Protocol の構成」を参照してください。

[ユーザー(Users)] ページにアクセスするには、サイト管理者がナビゲーションウィンドウから[管理(Manage)] > [ユーザーアクセス(User Access)]の順に選択します。

[ユーザー(Users)] ページには、サービス プロバイダー ユーザーと、ページヘッダーの範囲に関連付けられたユーザーが表示されます。

マルチテナント機能

マルチテナント機能をサポートするために、ユーザーをルート範囲に割り当てます。ルート範囲で所有者権限を持つユーザーは、これらのユーザーを管理し、同じ範囲に関連付けられたロールを割り当てます。

サービス プロバイダー ユーザーには範囲がありません。これらのユーザーには、ルート範囲全体でアクションを実行できるロールが割り当てられます。

ユーザーの追加

Before you begin

  • デフォルトのユーザー名は、クラスタのセットアップ時にサイト管理者権限で作成されます。初回のユーザーは、このデフォルトのユーザー名を使用してログインし、 [パスワードを忘れた場合] をクリックしてパスワードを作成できます。ログイン後、最初のユーザにはサイト管理者権限が割り当てられます。

  • Cisco Secure Workload にユーザーを追加には、範囲の所有者である必要があります。

  • マルチテナント機能のための範囲が割り当てられているユーザーの場合、同じ範囲に割り当てられたロールのみを選択できます。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

該当する場合は、ページヘッダーから適切なルート範囲を選択します。

Step 2

ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)] の順に選択します。

Step 3

[Create New User] をクリックします。

[ユーザーの詳細(User Details)] ページが表示されます。

Step 4

[ユーザーの詳細(User Details)] の次のフィールドを更新します。

Table 1. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

[電子メール名またはユーザー名(Email or Username)]

ユーザーの電子メール ID を入力します。電子メールアドレスは、大文字と小文字が区別されません。電子メールに文字が含まれている場合は、小文字が使用されます。

ユーザーのユーザー名を入力します。ユーザー名は大文字と小文字が区別されず、@ やスペースは使用できません。

[名(First Name)]

ユーザの名前を入力します。

[姓(Last Name)]

ユーザの名字を入力します。

[スコープ(Scope)]

マルチテナント機能のためにユーザーに割り当てられたルート範囲。(サイト管理者が利用可能)

Step 5

[次へ(Next)] をクリックします。

Step 6

[ロールの割り当て(Assign Roles)] で、ユーザーに割り当てられたロールを追加または削除します。

  • [ロールの追加(Add Roles)] をクリックして新しいロールを割り当て、[追加(Add)] チェックボックスをオンにします。

    Figure 1. 割り当て済みのユーザーロール
    割り当て済みのユーザーロール

  • 割り当てられたロールを選択し、[割り当てられたロールの編集(Edit Assigned Roles)] をクリックし、[削除(Remove)] アイコンをクリックします。

  • [名前(Name)] または [テナント(Tenant)] を使用してユーザーロールをフィルタ処理できます。

    Figure 2. ユーザーロールのフィルタ処理
    ユーザーロールのフィルタ処理

Step 7

[次へ(Next)] をクリックします。

Step 8

[ユーザーレビュー(User Review)] で、ユーザーの詳細と割り当てられたロールを確認します。[作成(Create)] をクリックします。

外部認証が有効になっている場合、認証の詳細が表示されます。

ユーザーが Cisco Secure Workload に追加されると、パスワードを設定するためのアクティベーション電子メールが登録された電子メール ID に送信されます。

SMTP が無効になっている場合のユーザーの追加

Before you begin

  • Secure Workload にユーザーを追加には、範囲の所有者である必要があります。

  • マルチテナント機能のための範囲が割り当てられているユーザーの場合、同じ範囲に割り当てられたロールのみを選択できます。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

該当する場合は、ページヘッダーから適切なルート範囲を選択します。

Step 2

ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)] の順に選択します。

Step 3

[Create New User] をクリックします。

[ユーザーの詳細(User Details)] ページが表示されます。

Step 4

[ユーザーの詳細(User Details)] の次のフィールドを更新します。

Table 2. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

ユーザー名

ユーザーのユーザー名を入力します。ユーザー名は大文字と小文字が区別されず、@ やスペースは使用できません。

Note

 

SMTP サーバーが無効に設定されている場合、 サイト管理者は ユーザー名を使用してのみユーザーを作成できます。

[名(First Name)]

ユーザの名前を入力します。

[姓(Last Name)]

ユーザの名字を入力します。

一時パスワードの生成

ユーザー用に作成したユーザー名に対して、一時的なパスワードを生成します。

Note

 

サイト管理者は 、一時パスワードをユーザーと共有する必要があります。

スコープ

マルチテナント機能のためにユーザーに割り当てられたルート範囲([サイト管理者(Site Admins)] で使用可能)。

Step 5

[次へ(Next)] をクリックします。

Step 6

[ロールの割り当て(Assign Roles)] で、ユーザーに割り当てられたロールを追加または削除します。

  • [ロールの追加(Add Roles)] をクリックして新しいロールを割り当て、[追加(Add)] チェックボックスをオンにします。

    Figure 3. 割り当て済みのユーザーロール
    割り当て済みのユーザーロール

  • 割り当てられたロールを選択し、[割り当てられたロールの編集(Edit Assigned Roles)] をクリックし、[削除(Remove)] アイコンをクリックします。

  • [名前(Name)] または [テナント(Tenant)] を使用してユーザーロールをフィルタ処理できます。

    Figure 4. ユーザーロールのフィルタ処理
    ユーザーロールのフィルタ処理

Step 7

[次へ(Next)] をクリックします。

Step 8

[ユーザー レビュー(User Review)] で、ユーザーの詳細と割り当てられたロールを確認します。

Step 9

[作成(Create)] をクリックします。

ユーザーログイン

Secure Workloadにログインするには、 サイト管理者から提供されたユーザー名と一時パスワードを使用します。

Procedure
  Command or Action Purpose

Step 1

Secure Workloadにログインした後、 [パスワードのリセット(Reset password)] ページで通常のパスワードを作成します。

Note

 

サイト構成で SMTP が無効になっている場合、[パスワードを忘れた場合] ボタンは、ログイン時にユーザーに対して無効になります。

Step 2

アカウントを保護するには、 [パスワードのリセット(Reset password)] ページで新しいパスワードを入力します。パスワードをリセットした後、ログイン ページでユーザー名と新しく設定したパスワードを入力します。

Note

 

新しいパスワードは次の条件を満たしている必要があります。

  • パスワードの長さは、8 文字以上にする必要があります。

  • パスワードには、大文字を少なくとも 1 つ含める必要があります。

  • パスワードには、小文字を少なくとも 1 つ含める必要があります。

  • パスワードには 1 つ以上の数字を含める必要があります

  • パスワードに特殊文字(!@#$%^*&-_+={}[/}|\?:;",')を含める必要があります。

Tip

 

  • SMTP サーバの設定が無効になっていても、電子メール アドレスでログインしている既存のユーザは、引き続き現在のパスワードを使用してログインできます。ただし、SMTP サーバの設定が無効になっている場合は、電子メール アドレスを使用して新しいユーザを作成することはできません。

  • Secure Workload 3.10 リリースでは、SMTP が無効になっている場合、LDAP 認証のみが外部認証でサポートされますが、SSO 認証はこの設定では使用できません。

  • 既存のユーザーは、必要に応じて [ユーザー編集(User Edit)] ページを使用して電子メール アドレスをユーザー名に変更できますが、これは必須ではありません。

ユーザーの詳細またはロールの編集

Before you begin

Secure Workload でユーザーを編集するには、またはルート範囲所有者である必要があります。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

該当する場合は、ページヘッダーから適切なルート範囲を選択します。

Step 2

ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)] の順に選択します。

Step 3

必要なユーザーアカウントについて、[アクション(Actions)] で [編集(Edit)] をクリックします。

[ユーザーの詳細(User Details)] ページが表示されます。

Step 4

[ユーザーの詳細(User Details)] の次のフィールドを更新します。

Table 3. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

[電子メール名またはユーザー名(Email or Username)]

ユーザーの電子メール ID を更新します。ユーザー名は大文字と小文字が区別されず、@ またはスペースは使用できません。

Note

 

電子メール ID を持たないユーザーの場合、サイト管理者は、そのユーザーのユーザー名を使用します。ユーザー名の最大長は 255 文字です。

[名(First Name)]

ユーザーの名を更新します。

[姓(Last Name)]

ユーザーの姓を更新します。

[スコープ(Scope)]

マルチテナント機能のためにユーザーに割り当てられたルート範囲。(サイト管理者が利用可能)

[MFAのリセット(Reset MFA)]

ユーザーが多要素認証(MFA)デバイスを紛失した場合、または MFA からロックアウトされた場合は、[MFAのリセット(Reset MFA)] をクリックします。ユーザーの MFA は数分でリセットされます。

[アクティベーション電子メールの再送信(Resend Activation Email)]

ユーザーがアクティベーション電子メールを受信していない場合、またはアクティベーション電子メールのリンクの有効期限が切れている場合は、[アクティベーション電子メールの再送信(Resend Activation Email)] をクリックします。

Note

 

ユーザー名を持つユーザーは、ログイン ID をユーザー名から電子メール アドレスに、またはその逆に更新することができます。アップグレード後、電子メール アドレスを持つ既存のユーザーは、ログイン IDを電子メールからユーザー名に更新するオプションを利用できます。

Step 5

[次へ(Next)] をクリックします。

Step 6

[ロールの割り当て(Assign Roles)] で、ユーザーに割り当てられたロールを追加または削除します。

  • [ロールの追加(Add Roles)] をクリックして新しいロールを割り当て、[追加(Add)] チェックボックスをオンにします。

  • 割り当てられたロールを選択し、[割り当てられたロールの編集(Edit Assigned Roles)] をクリックし、[削除(Remove)] アイコンをクリックします。

Step 7

[ユーザーレビュー(User Review)] で、ユーザーの詳細と割り当てられたロールを確認します。[更新(Update)] をクリックして、ユーザーアカウントを更新します。

外部認証が有効になっている場合、認証の詳細が表示されます。

Step 8

[次へ(Next)] をクリックします。

ユーザーアカウントの非アクティブ化


Note

変更ログ監査の一貫性を維持するために、ユーザーは非アクティブ化できますが、データベースからは削除されません。

Before you begin

サイト管理者またはルート範囲所有者ユーザーの権限が必要です。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

左側のナビゲーションバーで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)]の順にクリックします。

Step 2

該当する場合は、ページの右上から適切なルート範囲を選択します。

Step 3

非アクティブ化するアカウントの行で、右側の列にある [非アクティブ化(Deactivate)] ボタンをクリックします。

非アクティブ化されたユーザーを表示するには、[削除されたユーザーを非表示(Hide Deleted Users)] ボタンを切り替えます。

ユーザーアカウントの再アクティブ化

ユーザーが非アクティブ化されている場合は、そのユーザーを再アクティブ化できます。

Before you begin

サイト管理者またはルート範囲所有者ユーザーの権限が必要です。


Note

このページは、ページヘッダーで選択された範囲設定に従ってフィルタ処理されます。

Procedure

Step 1

左側のナビゲーションバーで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)]の順にクリックします。

Step 2

該当する場合は、ページの右上から適切なルート範囲を選択します。

Step 3

[削除されたユーザーを非表示(Hide Deleted Users)] を切り替えると、非アクティブ化されたユーザーを含むすべてのユーザーが表示されます。

Step 4

必要な非アクティブ化されたアカウントについて、右側の列の [復元(Restore)] をクリックしてアカウントを再アクティブ化します。

ログの変更:ユーザー

ルート範囲で範囲所有者機能を持つサイト管理者およびユーザーは、[アクション(Actions)] 列の [ログの変更(Change Log)] アイコンをクリックして、各ユーザーのログの変更を表示できます。

詳細については、「ログの変更」を参照してください。ルート範囲の所有者は、その範囲に属するエンティティにおけるログの変更エントリのみの表示に制限されます。

ロール(Roles)

ロールベース アクセス コントロール(RBAC)モデルを使用して、機能とデータへのアクセスを制限できます。

  • ユーザー:Cisco Secure Workload へのログインアクセス権を持つユーザー

  • ロール:ユーザーに割り当てられる、ユーザーが作成した一連の機能

  • 機能:範囲と能力のペア

  • 能力:アクションの集合

  • アクション:「ワークスペース名の変更」などの低レベルのユーザーアクション

Figure 5. ロールモデル
ロールモデル

ユーザーは、任意の数のロールを持つことができます。ロールには、任意の数の機能を含めることができます。たとえば、「HR 検索エンジニア」ロールには、可視性とコンテキストを提供する「HR 範囲での読み取り」機能と、このロールを割り当てられたエンジニアがアプリケーションに関連した特定の変更を実施できるようにする「HR 検索の実行」機能を含めることができます。

[ユーザー(Users)] ページを使用して、ユーザーをさまざまなロールに割り当てます。ロールには複数の機能があり、ユーザーを任意の数のロールに割り当てられます。

ユーザーが迅速に利用開始できるように、システムロールが定義されています。システムロールでは、すべての範囲(システム上の全データ)へのさまざまなレベルのアクセスが定義されています。各システムロールの定義を以下に示します。

ロール

説明

エージェントインストーラ

インストール、モニター、アップグレード、変換を含むエージェントのライフサイクルを管理する機能を提供しますが、エージェントの削除や、エージェント設定プロファイルへのアクセスはできません

Note

必要に応じて、SecOps ユーザー ロールを作成して、特定の範囲内のフロー、アラート、脆弱性、およびフォレンジック イベントにアクセスできるようにすることができます。

能力と機能

ロールは、範囲と能力を含む機能で構成されます。これらは、許可されるアクション、およびそれらが適用されるデータのセットを定義します。たとえば、(HR、読み取り) 機能は、「HR 範囲における読み取り能力」として解釈される必要があります。この機能により、HR 範囲とそのすべての子にアクセスできます。

能力

説明

インストーラ

ソフトウェアエージェントのインストール、モニター、およびアップグレード。

監査(Audit)

グローバル アプライアンス データの読み取りサポートと変更ログへのアクセス。

読み取り

フロー、アプリケーション、インベントリフィルタを含むすべてのデータを読み取ります。

書き込み

アプリケーションとインベントリフィルタに変更を加えます。

実行

ポリシーの自動検出を実行し、分析のためにポリシーを公開します。

適用

指定された範囲に関連付けられたアプリケーション ワークスペースで定義されたポリシーを適用します。

SecOps 読み取り

割り当てられた範囲のすべてのフロー、アラート、脆弱性、およびフォレンジックイベントを読み取ります。

Important

能力は継承されます。たとえば、実行能力では、読み取り、書き込み、および実行アクションがすべて許可されます。

Important

能力は、範囲および範囲のすべての子に適用されます。

コンポーネント固有の機能と利点

次の表では、コンポーネントに固有の能力と機能について説明しています。

Table 4. コンポーネント固有の機能と機能

コンポーネント名

インストーラ

読み取り

Audit

書き込み

実行

措置

オーナー

セキュリティダッシュボード

N/A

はい

はい

はい

はい

はい

はい

範囲とインベントリ

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

ラベル管理

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

インベントリフィルタ

該当なし

読み取り専用

読み取り専用

はい

はい

はい

はい
セグメンテーションです。

該当なし

読み取り専用

読み取り専用

ポリシーを追加することはできるが、ポリシーの公開や適用、アラートの管理はできない

ポリシーを追加/公開できるが、アラートの適用や管理はできない

はい

はい

適用のステータス:

N/A

はい

はい

はい

はい

はい

はい

ポリシーテンプレート

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

フォレンジックルール

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

トラフィック

N/A

はい

はい

はい

はい

はい

はい

アラート

N/A

はい

はい

はい

はい

はい

はい

脆弱性(Vulnerabilities)

N/A

はい

はい

はい

はい

はい

はい

フォレンジック

N/A

はい

はい

はい

はい

はい

はい

レポートダッシュボード

N/A

はい

はい

はい

はい

はい

はい

エージェント インストール

はい

N/A

N/A

N/A

N/A

N/A

はい

エージェントのアップグレード

はい

N/A

N/A

N/A

N/A

N/A

はい

エージェントを適用に変換

はい

N/A

N/A

N/A

N/A

N/A

はい

エージェントの構成

読み取り専用

N/A

N/A

N/A

N/A

N/A

はい

エージェントのモニタ

はい

N/A

N/A

N/A

N/A

N/A

はい

エージェントの配信(Agent Distribution)

はい

N/A

N/A

N/A

N/A

N/A

はい

エージェント リスト

エージェントの削除とサービス保護のトークンの生成にのみ適用されます

N/A

N/A

N/A

N/A

N/A

はい

アラート構成

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

仮想アプライアンス

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

コネクタ

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

Secure Connector

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

外部オーケストレータ

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

Kubernetes

N/A

N/A

N/A

N/A

N/A

N/A

はい

ロール(Roles)

N/A

N/A

N/A

N/A

N/A

N/A

はい

[ユーザー (Users)]

N/A

N/A

N/A

N/A

N/A

N/A

はい

ライセンス

N/A

N/A

N/A

N/A

N/A

N/A

はい

変更ログ

N/A

N/A

×

N/A

N/A

N/A

はい

セッションの構成

N/A

N/A

N/A

N/A

N/A

N/A

はい

データタップ管理

N/A

N/A

N/A

N/A

N/A

N/A

はい

収集ルール

該当なし

読み取り専用

読み取り専用

読み取り専用

読み取り専用

読み取り専用

はい

IP アドレス

N/A

N/A

N/A

N/A

N/A

N/A

はい

API キー機能

software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

  • sensor_mangement

  • flow_inventory_query

  • user_role_scope_management

  • user_data_upload

  • app_policy_management

  • external_integration

  • software_download

ロール別のメニューアクセス

ナビゲーションウィンドウで確認および使用できるメニュー項目は、割り当てられたロールによって異なります。

Table 5. [概要(Overview)] メニュー

メニュー

オプション

テナント所有者

エージェントインストーラ

概要

概要

いいえ
Table 6. [整理(Organize)] メニュー

メニュー

オプション

テナント所有者

エージェントインストーラ

[整理(Organize)]

[範囲とインベントリ(Scopes and Inventory)]

いいえ

[整理(Organize)]

アップロードラベルの使用(Use Uploaded Labels)

いいえ

[整理(Organize)]

[インベントリフィルタ(Inventory Filters)]

いいえ
Table 7. [防御(Defend)] メニュー

メニュー

オプション

テナント所有者

エージェントインストーラ

[防御(Defend)]

[セグメンテーション(Segmentation)]

いいえ

[防御(Defend)]

[適用ステータス(Enforcement Status)]

いいえ

[防御(Defend)]

[ポリシーテンプレート(Policy Templates)]

いいえ

[防御(Defend)]

[フォレンジックルール(Forensic Rules)]

いいえ
Table 8. [調査(investigate)] メニュー

メニュー

オプション

テナント所有者

エージェントインストーラ

[調査(Investigate)]

[トラフィック(Traffic)]

いいえ

[アラート(Alerts)]

いいえ

脆弱性(Vulnerabilities)

いいえ

[フォレンジック(Forensics)]

いいえ
Table 9. [レポート(Reporting)] メニュー

メニュー

オプション

テナント所有者

エージェントインストーラ

レポート

レポートダッシュボード

いいえ
Table 10. [管理(Manage)] メニュー

メニュー

オプション

テナント所有者

エージェントインストーラ

[管理(Manage)]

[エージェント(Agents)]

はい

はい

管理

[アラート設定(Alerts Configs)]

いいえ

[管理(Manage)]

[変更ログ(Change Logs)]

いいえ

[管理(Manage)]

[コネクタ(Connectors)]

いいえ

[管理(Manage)]

[外部オーケストレータ(External Orchestrators)]

いいえ

[管理(Manage)]

[セキュアコネクタ(Secure Connector)]

いいえ

[管理(Manage)]

[仮想アプライアンス(Virtual Appliances)]

いいえ

[管理(Manage)]

[ユーザー (Users)]

いいえ

[管理(Manage)]

ロール

いいえ

[管理(Manage)]

[収集ルール(Collection Rules)]

いいえ

[管理(Manage)]

[セッション設定(Session Configuration)]

いいえ

[管理(Manage)]

[使用状況分析(Usage Analytics)]

いいえ

[管理(Manage)]

[データタップ管理(Data Tap Admin)]

いいえ

ロールの作成

Before you begin

[サイト管理者(Site Admin)] または [カスタマーサポート(Customer Support)] のロールが割り当てられている必要があります。

  1. ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ロール(Roles)] の順に選択します。

  2. [新規ロールの作成(Create New Role)] をクリックします。[ロール(Roles)] パネルが表示されます。

[ロールの作成(Create Role)] ウィザードを使用したロールの作成は、3 つのステップから成るプロセスです。

Procedure

Step 1

  1. 以下のフィールドに適切な値を入力します。

    フィールド

    説明
    [名前(Name)]

    ロールを識別するための名前。
    [説明(Description)]

    ロールに関するコンテキストを追加するための簡単な説明。

  2. [次へ(Next)] ボタンをクリックして次のステップに移動するか、[ロールページに戻る(Back to Roles Page)] をクリックして [ロール(Roles)] ページに戻ります。

Step 2

  1. [ケーパビリティの追加(Add Capability)] ボタンをクリックすると、一番上の行に作成フォームが表示されます。

  2. 範囲と機能を選択します。

  3. チェックマークボタンをクリックして新しいケーパビリティを作成するか、キャンセルボタンをクリックしてキャンセルします。

  4. [次へ(Next)] をクリックしてロールの詳細を確認するか、[前へ(Previous)] をクリックして戻って編集します。

Figure 6. ケーパビリティの割り当て
ケーパビリティの割り当て

Step 3

  1. ロールの詳細とケーパビリティを確認します。

  2. [作成(Create)] をクリックして、ロールを作成します。

Figure 7. ロールの確認
ロールの確認

ロールの編集

このセクションでは、サイト管理者カスタマーサポートユーザーがロールを編集する方法について説明します。

Before you begin

サイト管理者またはカスタマーサポートユーザーである必要があります。

  1. 左側のナビゲーションバーで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ロール(Roles)] の順にクリックします。

  2. 編集するロールの行で、右側の列にある [編集(Edit)] ボタンをクリックします。[ロール(Roles)] パネルが表示されます。

ロールの編集ウィザードを使用したロールの編集は、3 つのステップから成るプロセスです。

Procedure

Step 1

  1. 必要に応じて、名前や説明を更新します。

  2. [次へ(Next)] ボタンをクリックして次のステップに移動するか、[ロールページに戻る(Back to Roles Page)] をクリックして [ロール(Roles)] ページに戻ります。

Step 2

  1. 必要に応じてケーパビリティを削除します。削除する機能の行で、右側の列にある [削除(Delete)] アイコンをクリックします。

  2. 追加するには、[機能の追加(Add Capability)] ボタンをクリックして、一番上の行に作成フォームを表示します。

  3. 範囲と機能を選択します。

  4. [次へ(Next)] をクリックしてロールの詳細を確認するか、[前へ(Previous)] をクリックして戻って編集します。

Step 3

  1. ロールの詳細とケーパビリティを確認します。

  2. [更新(Update)] をクリックしてロールを作成するか、[前へ(Previous)] をクリックして編集します。ロールの詳細とケーパビリティの割り当てへの変更は、[更新(Update)] をクリックした後に保存されます。

Note

 

機能は編集できません。削除して作成し直す必要があります。

ログの変更

サイト管理者は、ウィンドウの左側にあるナビゲーションバーの [管理(Manage)] メニューの下にある [変更ログ(Change Log)] ページにアクセスできます。このページには、Cisco Secure Workload で行われた最新の変更内容が表示されます。


Note

[変更ログの保持期間(Change Log Retention Period)]:Secure Workload は、SaaS とオンプレミスの両方のクラスタで最大 1 年間の変更ログを管理します。1 時間ごとのジョブにより、1 年のタイムフレームを超える変更ログを削除します。

Figure 8. [変更ログ(Change Log)] ページ
[変更ログ(Change Log)] ページ

各変更ログエントリの詳細は、[変更日時(Change At)] 列のリンクをクリックすると表示できます。このページには、変更されたフィールドの変更前と変更後のスナップショットが、[変更前(Before)] と [変更後(After)] に表示されます。フィールドには技術名が含まれる場合があります。Secure Workload 全体を通して見たときに、他の場所でどのような使われ方をしているのかを理解するには、何らかの解釈が必要になります。

Figure 9. [変更ログ詳細(Change Log Details)] ページ
[変更ログ詳細(Change Log Details)] ページ

エンティティの変更に関する完全なリストは、右上隅にある [この<エンティティタイプ>の完全なログ(Full log for this <entity type>)] というタイトルのボタンをクリックすると表示できます。このページには、各変更の詳細が表示されます。また、エンティティの現在の状態に関する情報がある場合は、[現在の状態(Current State)] に表示されます。

Figure 10. エンティティの完全な変更ログ
エンティティの完全な変更ログ

収集ルール

サイト管理者カスタマーサポートユーザーは、ウィンドウの左側にあるナビゲーション バーの [管理(Manage)] > [サービスの設定(Service Settings)] メニューから [収集ルール(Collection Rules)] ページにアクセスできます。このページには、Cisco Secure Workload エージェントを実行しているスイッチで使用される VRF 別のハードウェア収集ルールが表示されます。各 VRF ごとにテーブルの行があります。

ルール

VRF の [編集(Edit)] ボタンをクリックして、その収集ルールを変更します。デフォルトでは、VRF はすべて 2 つのデフォルトのキャッチオールルールによって設定されます。1 つは IPv4(0.0.0.0/0 INCLUDE)用で、もう 1 つは IPv6(::/0 INCLUDE)用のルールです。これらのデフォルトルールは削除できますが、慎重に行ってください。

追加の包含ルールと除外ルールを追加できます。有効なサブネットを入力し、包含または除外を選択して、[ルールの追加(Add Rule)] をクリックします。これらのルールの優先度は、ドラッグアンドドロップで調整できます。リスト内のルールをクリックしたままドラッグして、順序を調整します。

変更がスイッチに反映されるまでに数分かかる場合があります。VRF リストに戻るには、右上隅の [戻る(Back)] ボタンをクリックします。

優先順位

収集ルールは、優先順位の降順に並べられます。優先順位を決定するために、最長プレフィックスの一致は行われません。最初に表示されるルールは、後続のすべてのルールよりも優先されます。例:

  1. 1.1.0.0/16 INCLUDE

  2. 1.0.0.0/8 EXCLUDE

  3. 0.0.0.0/0 INCLUDE

上記の例では、サブネット 1.1.0.0/16 を除いて、サブネット 1.0.0.0/8 に属するすべてのアドレスが除外されています。

順序を変更した別の例:

  1. 1.0.0.0/8 EXCLUDE

  2. 1.1.0.0/16 INCLUDE

  3. 0.0.0.0/0 INCLUDE

上記の例では、サブネット 1.0.0.0/8 に属するすべてのアドレスが除外されています。ルール番号 2 は、サブネットに対してすでに高次のルールが定義されているため、ここでは実行されません。

セッション設定

UI ユーザー認証のアイドル セッション タイムアウトは、ここで構成できます。この構成は、アプライアンスのすべてのユーザーに適用されます。デフォルトのアイドルセッション期間は 1 時間です。アイドルセッションの継続時間は、5 分から 24 時間の範囲で設定できます。セッションタイムアウトは、この値が保存されると、ユーザーの認証されたセッションで有効になります。

サイト管理者カスタマーサポートのユーザーは、この設定にアクセスできます。左側のナビゲーションウィンドウで、[管理(Manage)] > [サービス設定(Service Settings)] > [セッション設定(Session Configuration)]をクリックします。

アイドルセッション

このセクションでは、ローカルデータベースを使用して認証を行う場合に、ログイン試行の失敗によってユーザーアカウントがどのようにロックされるかについて説明します。

Procedure

Step 1

電子メールアドレスとパスワードを使用したログイン試行が 5 回失敗すると、アカウントがロックされます。

Note

 

プロービングに対するセキュリティ対策として、ロックされたアカウントにサインインを試みた場合、ロックを示す具体的なメッセージはログインインターフェイスに表示されません。

Step 2

ロックアウト間隔は 30 分に設定されます。アカウントのロックが解除されたら、正しいパスワードを使用してログインするか、[パスワードを忘れた場合(Forgot password?)] をクリックしてパスワードの回復を開始します。

Note

 

正常にサインインしたユーザーは、1 時間何も操作しないとログアウトされます。このタイムアウトは、[管理(Manage)] > [サービス設定(Service Settings)] > [セッション設定(Session Configuration)]で設定します。

初期設定

[設定(Preferences)] ページにはアカウントの詳細が表示され、表示設定の更新、ランディングページの変更、パスワードの変更、および 2 要素認証の設定を行うことができます。

ランディングページ設定の変更

サインイン時に表示されるページを変更するには:

Procedure

Step 1

ウィンドウの右上隅にあるユーザーアイコンをクリックし、[ユーザー設定(User preferences)] を選択します。

Step 2

ドロップダウンメニューからランディングページを選択します。設定は、ログインしたときにデフォルトまたはホームページとして保存されます。変更を確認するには、ページの左上隅にある Secure Workload ロゴをクリックします。

パスワードの変更

Procedure

Step 1

右上隅にあるユーザーアイコンをクリックします。

Step 2

[ユーザー設定(User Preferences)] をクリックします。

Step 3

[パスワードの変更(Change Password)] ペインで、 [古いパスワード(Old Password)] フィールドに現在のパスワードを入力します。

Step 4

[パスワード(Password)] フィールドに新しいパスワードを入力します。

Step 5

[パスワードの確認(Confirm Password)] フィールドに新しいパスワードを再度入力します。

Step 6

変更を送信するには、[パスワード変更(Change Password)] をクリックします。

Note

 

パスワードは 8 〜 128 文字で、次の文字を少なくとも 1 つ 含める必要があります。

  • アルファベット小文字(a b c d. . . )

  • アルファベット大文字(A B C D. . . )

  • 数字(0 1 2 3 4 5 6 7 8 9)

  • 特殊文字( ! " # $ % & ’ ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ‘ { | } ~ ) スペースを含む

リカバリコード

Procedure
  Command or Action Purpose

Step 1

[ユーザー設定(User Preferences)] ページからリカバリ コードをダウンロードします。

Note

 

リカバリ コードを生成できるのは管理者のみです。外部認証が有効になっている場合、リカバリ コードの生成はサポートされないことに注意してください。

Step 2

各管理者ユーザーは、ログイン後にリカバリ コードをダウンロードする必要があり、6つのリカバリ コードが提供されます。

Step 3

ログイン時に、パスワード フィールドにリカバリ コードを入力します。リカバリ コードは、ログイン時にユーザー名と組み合わせて使用する必要があります。

Step 4

パスワードにユーザー名とリカバリ コードを使用してログインすると、ユーザーはパスワード リセット画面にリダイレクトされ、新しいパスワードが設定されます。

Note

 

使用されたリカバリ コードは、その後のログインでは有効ではなくなります。 利用可能なすべてのコードを使い果たす前に、リカバリ コードを再生成することを推奨します。

パスワードの回復

このセクションでは、パスワードを忘れた場合にパスワードをリセットする方法について説明します。

Before you begin

パスワードをリセットするには、アカウントを取得する必要があります。サイト管理者のみが、新しいアカウントを作成する権限を持ちます。

Procedure

Step 1

ブラウザで Cisco Secure Workload URL にアクセスし、[パスワードを忘れた場合(Forgot Password)] リンクをクリックします。[パスワードをお忘れですか?(Forgot your password?)] ダイアログボックスが表示されます。

Step 2

Step 3

パスワードを送信する必要がある電子メール ID を入力します。

Step 4

[Reset Password] をクリックします。

パスワードのリセット手順が電子メールに送信されます。

Note

 

二要素認証を使用したパスワード回復手順では、Cisco Technical Assurance Centerに連絡して一時的なワンタイムパスワードを取得する必要があります。

パスワードのリセット(Reset Password)

ここでは、電子メール ID を持たないユーザーのパスワードをリセットする方法について説明します。


Note

SMTP が無効になっている場合、ログイン時に ユーザーの [パスワードを忘れた場合(Forgot Password)] ボタンは無効になります。

Procedure

Step 1

サイト管理者として Secure Workload にログインし、ナビゲーションウィンドウで、[管理(Manage)] > [ユーザーアクセス(User Access)] > [ユーザー(Users)]の順に選択します。

Step 2

[アクション(Actions)] 列の下にある鉛筆アイコンをクリックします。[ユーザーの詳細(User Details)] ページが表示されます。

Table 11. [ユーザーの詳細(User Details)] のフィールドに関する説明

フィールド

説明

[電子メール名またはユーザー名(Email or Username)]

ユーザーのユーザー名を入力します。ユーザー名は大文字と小文字が区別されませんが、@ またはスペースは使用してはなりません。

Note

 

SMTP 構成がオフになっている場合、パスワードリセット手順をユーザーに送信できないため、電子メールベースの認証が影響を受けます。

Note

 

サイト管理者は、ユーザー名を使用して、回復が必要なユーザーの一時的なパスワードを生成できます。

ユーザー名の最大長は 255 文字です。

[名(First Name)]

ユーザの名前を入力します。

[姓(Last Name)]

ユーザの名字を入力します。

[スコープ(Scope)]

マルチテナント機能のためにユーザーに割り当てられたルート範囲。(サイト管理者が利用可能)

[SSH公開キー(SSH Public Key)]

(オプション)[インポート(Import)] をクリックして SSH 公開キーをインポートするか、後でキーをインポートできます。

Step 3

[パスワードの生成(Generate Password)] をクリックして一時パスワードを生成します。パスワードをコピーし、要求したユーザーと共有します。

Note

 

パスワードをリセットするには、Secure Workload にログインするためのユーザー名と一時パスワードを使用します。ログイン後、 [パスワードのリセット(Reset password)] ページで通常のパスワードを作成します。

Figure 11. ユーザの詳細

Step 4

アカウントを保護するには、 [パスワードのリセット(Reset password)] ページに新しいパスワードを入力します。パスワードをリセットした後、ログイン ページでユーザー名と新しく設定したパスワードを入力します。

Note

 

新しいパスワードは次の条件を満たしている必要があります。

  • パスワードの長さは、8 文字以上にする必要があります。

  • パスワードには、大文字を少なくとも 1 つ含める必要があります。

  • パスワードには、小文字を少なくとも 1 つ含める必要があります。

  • パスワードには 1 つ以上の数字を含める必要があります

  • パスワードに特殊文字(!@#$%^*&-_+={}[/}|\?:;",')を含める必要があります。

スコープ


Note

[範囲(Scopes)] ページは [インベントリ検索(Inventory Search)] と統合されました。詳細については、「範囲とインベントリ」を参照してください。