この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
クラウドベース展開は、Cisco WebEx がサービスをホストする展開の 1 つです。 クラウドベース展開の管理およびモニタは Cisco WebEx Administration Tool を使用して行います。
次の図は、クラウドベース 展開のアーキテクチャを図示したものです。
Cisco WebEx Messenger サービスは、連絡先の解決を提供します。
Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、その他のユーザのアベイラビリティを登録することを可能にします。
Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信することを可能にします。
Cisco WebEx Meeting Center ホステッド会議機能を実現します。
次の図は、ハイブリッド クラウドベース展開のアーキテクチャを図示したものです。
Cisco WebEx Messenger サービスは、連絡先の解決を提供します。
Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、その他のユーザのアベイラビリティを登録することを可能にします。
Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信することを可能にします。
Cisco WebEx Meeting Center ホステッド会議機能を実現します。
ユーザは、デスク フォン デバイスを介して、または Cisco Unified Communications Manager を介してコンピュータで音声コールを発信します。
ユーザは、Cisco Unified Communications Manager を介してビデオ コールを発信します。
ユーザは、Cisco Unity Connection を介してボイス メッセージを送受信します。
オンプレミス 展開では、コンピュータ ネットワーク上のすべてのサービスを設定、管理、保守します。
デフォルトの製品モードは、ユーザのプライマリ認証が IM and Presence サーバに対して行われるモードです。
少なくとも、Cisco Jabber for iPhone ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
少なくとも、Cisco Jabber for Android ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
少なくとも、Cisco Jabber for iPhone and iPad ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
次のモードでクライアントを展開できます。
フル UC モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 その後、ボイスメールと会議の機能に加えて、音声とビデオ用のデバイスをユーザにプロビジョニングします。
IM 専用モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 デバイスをユーザにプロビジョニングしません。
電話機モードでは、ユーザのプライマリ認証は Cisco Unified Communications Manager に対して行われます。 電話機モードを展開するには、音声およびビデオ機能用のデバイスをユーザにプロビジョニングします。 また、ボイス メールなどの追加サービスをプロビジョニングすることもできます。
デフォルトの製品モードでの オンプレミス 導入のためのアーキテクチャ図を確認します。
ここには、フル UC 機能を備えたオンプレミス展開のアーキテクチャの図が記載されています。
フル UC および IM 専用の展開では、どちらもユーザのプライマリ認証ソースとして IM and Presence サーバが必要です。 ただし、IM 専用の展開ではインスタント メッセージとプレゼンス機能のみが必要です。 IM 専用の展開では、デバイスをユーザにプロビジョニングする必要はありません。
次の図は、Cisco Unified Presence を含む オンプレミス 展開のアーキテクチャを示しています。
ユーザは Cisco Unified Presence を介して、アベイラビリティを公開したり、他のユーザのアベイラビリティを登録できます。
ユーザは Cisco Unified Presence を介して、インスタント メッセージを送受信できます。
ユーザは、デスク フォン デバイスによってまたは Cisco Unified Communications Manager を介してコンピュータで、音声コールを発信できます。
ユーザは Cisco Unified Communications Manager を介してビデオ通話を発信できます。
ユーザは Cisco Unity Connection を介してボイス メッセージを送受信できます。
ホステッド会議機能を実現します。
オンプレミス 会議機能を提供します。
次の図は、Cisco Unified Communications IM and Presence を含む オンプレミス 展開のアーキテクチャを示しています。
ユーザは Cisco Unified Communications IM and Presence を介して、アベイラビリティを公開したり、他のユーザのアベイラビリティを登録できます。
ユーザは Cisco Unified Communications IM and Presence を介して、インスタント メッセージを送受信できます。
ユーザは、デスク フォン デバイスによってまたは Cisco Unified Communications Manager を介してコンピュータで、音声コールを発信できます。
ユーザは Cisco Unified Communications Manager を介してビデオ通話を発信できます。
ユーザは Cisco Unity Connection を介してボイス メッセージを送受信できます。
ホステッド会議機能を実現します。
オンプレミス 会議機能を提供します。
次の図は、電話機モード での オンプレミス 展開のアーキテクチャを示しています。
ユーザは、デスク フォン デバイスによってまたは Cisco Unified Communications Manager を介してコンピュータで、音声コールを発信できます。
ユーザは Cisco Unified Communications Manager を介してビデオ通話を発信できます。
ユーザは Cisco Unity Connection を介してボイス メッセージを送受信できます。
ホステッド会議機能を実現します。
オンプレミス 会議機能を提供します。
(注) |
Cisco Jabber for Android では、このモードで会議はサポートされません。 |
Cisco AnyConnect は、Wi-Fi ネットワークまたはモバイル データ ネットワークなどのリモート ロケーションから社内ネットワークにクライアントが安全に接続できるサーバクライアント インフラストラクチャを参照します。
Cisco AnyConnect 環境には次のコンポーネントが含まれます。
安全なリモート アクセスにサービスを提供します。
ユーザのデバイスから Cisco Adaptive Security Appliance への安全な接続を確立します。
Cisco Adaptive Security Appliance と Cisco AnyConnect Secure Mobility Client の要件の詳細については、「ソフトウェア要件」のトピックを参照してください。
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for iPhone のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for Android のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for iPhone and iPad のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance のインストールと設定の作業ベースの情報を取得するには、Cisco Adaptive Security Appliance のコンフィギュレーション ガイドを参照する必要があります。
(注) |
シスコは、Cisco AnyConnect Secure Mobility Client を使用した Cisco Jabber for Android をサポートしています。 他の VPN クライアントは正式にはサポートされませんが、他の VPN クライアントでも Cisco Jabber for Android を使用できる可能性があります。 他の VPN クライアントを使用する場合は、該当するサードパーティのマニュアルを使用して、VPN クライアントをインストールし、設定します。 |
ユーザが Cisco AnyConnect Secure Mobility Client をデバイスにダウンロードした後、ASA はコンフィギュレーション プロファイルをアプリケーションにプロビジョニングする必要があります。
Cisco AnyConnect Secure Mobility Client のコンフィギュレーション プロファイルには、会社の ASA VPN ゲートウェイ、接続プロトコル(IPSec または SSL)、およびオンデマンド ポリシーなどの VPN ポリシー情報が含まれています。
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect Secure Mobility Client クライアントの VPN プロファイルを定義することを推奨します。
この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect Secure Mobility Client クライアントの VPN プロファイルを定義することを推奨します。
この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
Cisco Jabber for Android のアプリケーション プロファイルをプロビジョニングするには、Cisco AnyConnect Secure Mobility Client の VPN プロファイルを定義するために ASA デバイス マネージャ(ASDM)でプロファイル エディタを使用します。 クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。 詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
ユーザが社外の Wi-Fi ネットワークから Cisco Jabber を開く場合、Cisco Jabber は Cisco UC アプリケーション サーバにアクセスするために VPN 接続を必要とします。 Cisco AnyConnect Secure Mobility Client が、バックグラウンドで VPN 接続を自動的に確立できるようにシステムを設定できます。これは、シームレスなユーザ エクスペリエンスの提供に役立ちます。
(注) |
VPN が自動接続に設定されている場合でも、Expressway for Mobile and Remote Access のほうが接続優先順位が高いため、VPN は起動されません。 |
Trusted Network Detection 機能は、ユーザの場所を基にして VPN 接続を自動化することによって、ユーザの体感品質を向上させます。 ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークを離れると、Cisco Jabber は信頼ネットワークの外にいることを自動的に検出します。 この状況が発生すると、Cisco AnyConnect セキュア モビリティ クライアントは UC インフラストラクチャへの接続を確保するため VPN を開始します。
(注) |
Trusted Network Detection 機能には、証明書ベース認証およびパスワード ベース認証の両方を使用できます。 ただし、証明書ベース認証の方が、よりシームレスな体感を与えることができます。 |
Apple iOS Connect On Demand 機能は、ユーザのドメインに基づいて VPN 接続を自動化することにより、ユーザ エクスペリエンスを強化します。
ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークの外に出ると、Cisco AnyConnect は、AnyConnect クライアント プロファイルで指定されたドメインに接続されているか自動的に検出します。 その場合、アプリケーションは VPN を開始して、UC インフラストラクチャへの接続を確認します。 Cisco Jabber を含めて、デバイス上のすべてのアプリケーションがこの機能を利用できます。
(注) |
Connect On Demand は、証明書で認証された接続だけをサポートします。 |
この機能では、次のオプションを使用できます。
[常に接続する(Always Connect)]:Apple iOS は、常にこのリスト内のドメインへの VPN 接続を開始しようとします。
[必要に応じて接続する(Connect If Needed)]:Apple iOS は、DNS を使用してアドレスを解決できない場合のみ、このリスト内のドメインへの VPN 接続を開始しようとします。
[接続しない(Never Connect)]:Apple iOS は、このリスト内のドメインへの VPN 接続の開始を試行しません。
Apple は近い将来に、[常に接続する(Always Connect)] オプションを削除する予定です。 [常に接続する(Always Connect)] オプションの削除後は、ユーザは [必要に応じて接続する(Connect if Needed)] オプションを選択できます。 場合によっては、Cisco Jabber ユーザが [必要に応じて接続する(Connect if Needed)] オプションを使用すると問題が発生することがあります。 たとえば、Cisco Unified Communications Manager のホスト名が社内ネットワークの外部で解決可能であれば、iOS は VPN 接続をトリガーしません。 ユーザはコールを発信する前に Cisco AnyConnect Secure Mobility Client を手動で起動することによって、この問題を回避できます。
ステップ 1 | ASDM プロファイル エディタ、iPCU、または MDM ソフトウェアを使用して、AnyConnect クライアント プロファイルを開きます。 |
ステップ 2 |
AnyConnect クライアント プロファイルの [必要に応じて接続する(Connect if Needed)] セクションで、オンデマンド ドメインのリストを入力します。 ドメイン リストは、ワイルドカード オプション(たとえば、cucm.cisco.com、cisco.com、および *.webex.com)を含むことができます。 |
モバイル デバイスで、証明書ベースの認証での VPN へのオンデマンド アクセスが設定されている必要があります。 VPN アクセスの設定については、VPN クライアントおよびヘッド エンドのプロバイダーにお問い合わせください。
Cisco AnyConnect Secure Mobility Client と Cisco Adaptive Security Appliance の要件については、「ソフトウェア要件」のトピックを参照してください。
Cisco AnyConnect のセットアップの詳細については、『Cisco AnyConnect VPN Client Maintain and Operate Guides』を参照してください。
ステップ 1 |
クライアントがオンデマンドで VPN を起動する URL を指定します。
|
ステップ 2 | [Cisco Unified CM の管理(Cisco Unified CM Administration)] インターフェイスを開きます。 |
ステップ 3 | ユーザのデバイス ページに移動します。 |
ステップ 4 |
[プロダクト固有の設定(Product Specific Configuration Layout)] セクションの [オンデマンド VPN の URL(On-Demand VPN URL)] フィールドに、ステップ 1 で Cisco AnyConnect で識別および使用した URL を入力します。 URL は、ドメイン名だけを含む必要があります。プロトコルやパスを含まないようにしてください。 |
ステップ 5 |
[保存(Save)] を選択します。 Cisco Jabber が開くと、URL への DNS クエリーを開始します(たとえば、ccm-sjc-111.cisco.com)。 この URL が、この手順で定義したオンデマンドのドメイン リストのエントリ(たとえば、cisco.com)に一致する場合、Cisco Jabber は間接的に AnyConnect VPN 接続を開始します。 |
この機能をテストしてください。
この URL を iOS デバイスのインターネット ブラウザに入力し、VPN が自動的に起動することを確認します。 ステータス バーに、VPN アイコンが表示されます。
VPN を使用して、iOS デバイスが社内ネットワークに接続できることを確認します。 たとえば、社内イントラネットの Web ページにアクセスしてください。 iOS デバイスが接続できない場合は、ご利用の VPN 製品のプロバイダーに問い合わせてください。
VPN が特定のタイプのトラフィックへのアクセスを制限していないか(たとえば、電子メールとカレンダー操作のトラフィックだけが許可されるように、管理者がシステムを設定している場合など)IT 部門に確認します。
クライアントが、社内ネットワークに直接接続されるように設定されていることを確認します。
Cisco Adaptive Security Appliance とのセキュアな接続を Cisco AnyConnect Secure Mobility Client からネゴシエートするための証明書ベースの認証を使用することを推奨します。
ASA は、Cisco IOS CA、Microsoft Windows 2003、Windows 2008 R2、Entrust、VeriSign、RSA Keon などの標準認証局(CA)サーバが発行した証明書をサポートします。 ここでは、証明書ベースの認証のために ASA を設定するための高レベルな手順を説明します。 順を追った手順については、適切な ASA コンフィギュレーション ガイドの「Configuring Digital Certificates」のトピックを参照してください。
ステップ 1 | ルート証明書を CA から ASA にインポートします。 |
ステップ 2 | ASA の ID 証明書を生成します。 |
ステップ 3 | SSL 認証用の ASA の ID 証明書を使用します。 |
ステップ 4 | 証明書失効リスト(CRL)または Online Certificate Status Protocol(OCSP)を設定します。 |
ステップ 5 | 認証にクライアント証明書を要求するように、ASA を設定します。 |
ASA で証明書ベースの認証を設定した後、ユーザに証明書を配布する必要があります。 詳細については、「SCEP を使用した証明書の配布」のトピックを参照してください。
Microsoft Windows Server の Simple Certificate Enrollment Protocol(SCEP)を使用して、クライアント認証のための証明書を安全に発行し、更新できます。
SCEP を使用して証明書を配布するには、Microsoft Windows Server に SCEP モジュールをインストールする必要があります。 詳細については、次のトピックを参照してください。
証明書を含むモバイル コンフィギュレーション ファイルを作成するには、次の手順を実行します。 このファイルを使用して、証明書をユーザに配布できます。
ステップ 1 | iPCU ソフトウェアを使用して mobileconfig ファイルを作成し、certificate (.pfx) ファイルを組み込みます。 |
ステップ 2 | mobileconfig ファイルをユーザに転送します。 |
ステップ 3 | Cisco ISE のネイティブ サプリカント プロビジョニング プロセスを使用して、ユーザ証明書を配布します。 |
ステップ 4 | Enterprise MDM ソフトウェアを使用して、登録済みデバイスに証明書をプロビジョニングおよびパブリッシュします。 |
セキュア接続のパフォーマンスを向上するために ASA セッション パラメータを設定できます。 最良のユーザ エクスペリエンスを得るために、次の ASA セッション パラメータを設定する必要があります。
DTLS は遅延およびデータ損失を防止するデータ パスを提供する SSL プロトコルです。
自動再接続(またはセッションの持続性)により、Cisco AnyConnect Secure Mobility Client はセッションの中断から回復し、セッションを再確立します。
このパラメータを使用すると、VPN セッションをサービスの中断から回復し、接続を再確立できます。
アイドル タイムアウトは、通信アクティビティがない場合に、ASA がセキュアな接続を切断するまでの期間を定義します。
DTD によって、ASA および Cisco AnyConnect Secure Mobility Client が接続障害をすばやく検出できます。
Cisco AnyConnect Secure Mobility Client のエンド ユーザのユーザ エクスペリエンスを最適化するために、次のように ASA セッション パラメータを設定することを推奨します。
ステップ 1 |
DTLS を使用するように、Cisco AnyConnect を設定します。 詳細については、『Cisco AnyConnect VPN Client Administrator Guide, Version 2.0』の「Configuring AnyConnect Features Using ASDM」の章の、「Enabling Datagram Transport Layer Security (DTLS) with AnyConnect (SSL) Connections」のトピックを参照してください。 |
ステップ 2 |
セッションの永続性(自動再接続)を設定します。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Configuring AnyConnect Features」の章(リリース 2.5)または「Configuring VPN Access」の章(リリース 3.0 または 3.1)の「Configuring Auto Reconnect」のトピックを参照してください。 |
ステップ 3 |
アイドル タイムアウト値を設定します。
詳細については、ご使用のリリースの『Cisco ASA 5580 Adaptive Security Appliance Command Reference』の「vpn-idle-timeout」のセクションを参照してください。 |
ステップ 4 |
Dead Peer Detection(DPD)を設定します。
詳細については、『Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6』の「Configuring VPN」の章の、「Enabling and Adjusting Dead Peer Detection」のトピックを参照してください。 |
グループ ポリシー、クライアント プロファイル、および接続プロファイルを作成するために、ASA デバイス マネージャ(ASDM)を使用する必要があります。 最初にグループ ポリシーを作成し、次にそのポリシーをプロファイルに適用します。 ASDM を使用してプロファイルを作成すると、Cisco AnyConnect Secure Mobility Client が ASA への接続を初めて確立した後にプロファイルがダウンロードされます。 ASDM では、中央のロケーションでプロファイルとポリシーを管理および維持することができます。
ASDM でポリシーとプロファイルを作成する方法の手順については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。
Trusted Network Detection は、ユーザ ロケーションに基づいてセキュア接続を自動化する機能です。 ユーザが企業ネットワークを離れると、Cisco AnyConnect Secure Mobility Client は信頼ネットワークの外部であることを自動的に検出し、セキュアなアクセスを開始します。
クライアント プロファイルの一部として ASA に Trusted Network Detection を設定します。 詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Trusted Network Detection」のトピックを参照してください。
トンネル ポリシーは、Cisco AnyConnect Secure Mobility Client がセキュアな接続を介してトラフィックを方向付ける方法を設定します。次が含まれます。
ASA ゲートウェイへのセキュア接続を介してすべてのトラフィックを送信できます。
宛先 IP アドレスに基づいてセキュア接続を制限できます。 たとえば、オンプレミス展開で、Cisco Unified Communications Manager、Cisco Unified Presence、TFTP サーバ、その他のサーバに対して IP アドレスを指定して、クライアントのトラフィックにだけセキュア接続を制限することができます。
セキュア接続から特定のトラフィックを除外できます。 セキュア接続を介したクライアントのトラフィックを許可し、特定の宛先サブネットからトラフィックを除外できます。
サービスに Security Assertion Markup Language(SAML)のシングル サイン オンを有効化できます。 SAML SSO は、オンプレミス、クラウド、ハイブリッド展開で使用できます。
ユーザが Jabber クライアントを起動します。 Web フォームを使用してユーザがログインするようにアイデンティティ プロバイダー(IdP)を設定している場合、これはクライアント内に表示されます。 クライアントは自動的にサイズを変更してページを表示し、ログインが完了すると元に戻ります。
IDP を設定する場合は、その設定によって、クライアントへのユーザのサインイン方法が直接的な影響を受けることに注意してください。 Cookie のタイプ(永続的またはセッション)や認証メカニズム(Kerberos または Web フォーム)など、一部のパラメータは、ユーザが認証を受ける必要がある頻度を決定します。
永続的 Cookie が設定されている場合、ユーザは、クライアントまたは Internet Explorer を使用する他のデスクトップ アプリケーションで、クレデンシャルを 1 回要求されます。 セッション Cookie の場合、ユーザは、クライアントを起動するたびにクレデンシャルの入力を要求されます。 認証メカニズムは SSO にも影響します。 たとえば、Kerberos が設定されている場合、クライアントはユーザにクレデンシャルを要求しません。ユーザがすでに認証情報を提供して、デスクトップへのアクセス権を得ているからです。
ブラウザとの Cookie の共有を有効にするには、セッション Cookie ではなく、永続的な Cookie を使用する必要があります。 セッション Cookie はクライアントとブラウザとの間で共有できません。 永続的な Cookie はローカルに保存されますが、セッション Cookie はメモリに保存されます。 アイデンティティ プロバイダー(IdP)の設定として永続的な Cookie を設定します。 Open Acess Manager を IDP として使用している場合は、Globally Persistent Cookie(Realm Specific Persistent Cookie ではない)を設定する必要があります。
Internet Explorer
Safari
Safari
Chrome
ユーザはセッションの間ログオンします。セッションは Cisco Jabber サービスを使用する時間の長さを事前に指定します。 セッションの継続時間は、Cookie とトークンのタイムアウト パラメータで設定します。 セッションが期限切れになり、Jabber クライアントからログアウトした場合、ユーザは再認証を受ける必要があります。 ユーザが Kerberos またはスマート カードを使用している場合は、スマート カードで PIN が必要な場合を除き、再認証のための操作は必要ありません。ボイスメール、着信コール、インスタントメッセージなどのサービスが中断されるリスクはありません。 その時点で、ユーザは自分のクレデンシャルを再入力してセッションをリフレッシュできます。
Cisco Jabber は、次のような、SSO を使用するサービスの組み合わせをサポートしています。
WebEx Messenger を使用する場合は、以下をサポートするために SSO を有効にする必要があります。
WebEx Messenger を使用しない場合は、Cisco Unified Communications Applications が SSO に対応している必要があります。Cisco Unity Connection の使用は任意です。
Cisco Unified Communications Applications 10.5.1 Service Update 1
SAML SSO の有効化については、『SAML SSO Deployment Guide for Cisco Unified Communications Applications, Release 10.5』を参照してください。
Cisco Unity Connection バージョン 10.5
SAML SSO 有効化の詳細については、『Managing SAML SSO in Cisco Unity Connection』を参照してください。
WebEx Messenger サービス
SAML SSO 有効化については、『Cisco WebEx Messenger Administrator's Guide』の「Single Sign-On」を参照してください。
ステップ 1 | Web ブラウザで証明書を検証できるように、すべてのサーバに証明書を配布してください。これを行わない場合、無効な証明書に関する警告メッセージが表示されます。 証明書の検証の詳細については、『Set up Certificate Validation(証明書の検証の設定)』 を参照してください。 |
ステップ 2 | クライアントの SAML SSO のサービス検出を確認します。 クライアントは、標準サービス検出を使用してクライアントの SAML SSO を有効化します。 サービス ディスカバリは次の設定パラメータを使用して有効化されます:ServicesDomain、VoiceServicesDomain および ServiceDiscoveryExcludedServices。 サービス ディスカバリとその有効化の詳細については、『Cisco Jabber DNS Configuration Guide』、または Cisco Jabber の『Installation and Configuration Guide』の「How the Client Connects to Services」の章を参照してください。 |
ステップ 3 |
セッションの継続時間を定義します。 セッションは、Cookie およびトークン値で構成されます。 通常、Cookie はトークンより長く残ります。 Cookie の寿命はアイデンティティ プロバイダーで定義され、トークンの期間はサービスで定義されます。 |
ステップ 4 | サービスで SSO を有効化するもののユーザには SSO を使用させない場合、SAML SSO ログインで資格情報入力をユーザに要求するプロンプトを抑制できます。 ServicesDomainSsoEmailPrompt パラメータの値を =OFF に設定すると、クライアントの初回ログインで電子メール アドレスを入力するためにユーザに送信される電子メール プロンプトを抑止できます。 |
目次
- 導入シナリオ
- クラウドベース展開
- クラウド ベースの図
- ハイブリッド クラウド ベースの図
- オンプレミスの導入
- 製品モード
- デフォルト モードの図
- フル UC の図
- Cisco AnyConnect の展開
- Cisco AnyConnect 導入に関する考慮事項
- アプリケーション プロファイル
- VPN 接続の自動化
- 信頼ネットワーク接続のセットアップ
- Connect On Demand VPN の設定
- Cisco Unified Communications Manager での自動 VPN アクセスの設定
- 証明書ベースの認証の設定
- SCEP を使用した証明書の配布
- Mobileconfig ファイルを使用したクライアント証明書の配布
- セッション パラメータ
- ASA セッション パラメータの設定
- グループ ポリシーおよびプロファイル
- Trusted Network Detection
- トンネル ポリシー
- シングル サインオン(SSO)の導入
- クライアント内の SAML SSO の有効化
クラウドベース展開
クラウド ベースの図
次の図は、クラウドベース 展開のアーキテクチャを図示したものです。
次は、 クラウドベース 展開で使用可能なサービスです。
- 発信元
Cisco WebEx Messenger サービスは、連絡先の解決を提供します。
- プレゼンス
Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、その他のユーザのアベイラビリティを登録することを可能にします。
- チャット/IM
Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信することを可能にします。
- 会議
Cisco WebEx Meeting Center ホステッド会議機能を実現します。
ハイブリッド クラウド ベースの図
次の図は、ハイブリッド クラウドベース展開のアーキテクチャを図示したものです。
次は、ハイブリッド クラウドベース 展開で使用可能なサービスです。
- 発信元
Cisco WebEx Messenger サービスは、連絡先の解決を提供します。
- プレゼンス
Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、その他のユーザのアベイラビリティを登録することを可能にします。
- チャット/IM
Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信することを可能にします。
- 会議
Cisco WebEx Meeting Center ホステッド会議機能を実現します。
- 音声通話
ユーザは、デスク フォン デバイスを介して、または Cisco Unified Communications Manager を介してコンピュータで音声コールを発信します。
- ビデオ
ユーザは、Cisco Unified Communications Manager を介してビデオ コールを発信します。
- ボイスメール
ユーザは、Cisco Unity Connection を介してボイス メッセージを送受信します。
オンプレミスの導入
製品モード
デフォルトの製品モードは、ユーザのプライマリ認証が IM and Presence サーバに対して行われるモードです。
少なくとも、Cisco Jabber for iPhone ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
少なくとも、Cisco Jabber for Android ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
少なくとも、Cisco Jabber for iPhone and iPad ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
次のモードでクライアントを展開できます。
- フル UC
フル UC モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 その後、ボイスメールと会議の機能に加えて、音声とビデオ用のデバイスをユーザにプロビジョニングします。
- IM 専用
IM 専用モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 デバイスをユーザにプロビジョニングしません。
- 電話機モード
電話機モードでは、ユーザのプライマリ認証は Cisco Unified Communications Manager に対して行われます。 電話機モードを展開するには、音声およびビデオ機能用のデバイスをユーザにプロビジョニングします。 また、ボイス メールなどの追加サービスをプロビジョニングすることもできます。
フル UC の図
ここには、フル UC 機能を備えたオンプレミス展開のアーキテクチャの図が記載されています。
メモ:フル UC および IM 専用の展開では、どちらもユーザのプライマリ認証ソースとして IM and Presence サーバが必要です。 ただし、IM 専用の展開ではインスタント メッセージとプレゼンス機能のみが必要です。 IM 専用の展開では、デバイスをユーザにプロビジョニングする必要はありません。
Cisco Unified Presence
次の図は、Cisco Unified Presence を含む オンプレミス 展開のアーキテクチャを示しています。
以下は、 オンプレミス 展開で使用可能なサービスです。
- プレゼンス(Presence)
ユーザは Cisco Unified Presence を介して、アベイラビリティを公開したり、他のユーザのアベイラビリティを登録できます。
- チャット/IM
ユーザは Cisco Unified Presence を介して、インスタント メッセージを送受信できます。
- 音声通話
ユーザは、デスク フォン デバイスによってまたは Cisco Unified Communications Manager を介してコンピュータで、音声コールを発信できます。
- ビデオ
ユーザは Cisco Unified Communications Manager を介してビデオ通話を発信できます。
- ボイスメール
ユーザは Cisco Unity Connection を介してボイス メッセージを送受信できます。
- 会議
次のいずれかと統合します。
- Cisco WebEx Meeting Center
ホステッド会議機能を実現します。
- Cisco WebEx Meetings Server
オンプレミス 会議機能を提供します。
Cisco Unified Communications Manager IM and Presence
次の図は、Cisco Unified Communications IM and Presence を含む オンプレミス 展開のアーキテクチャを示しています。
以下は、 オンプレミス 展開で使用可能なサービスです。
- プレゼンス(Presence)
ユーザは Cisco Unified Communications IM and Presence を介して、アベイラビリティを公開したり、他のユーザのアベイラビリティを登録できます。
- チャット/IM
ユーザは Cisco Unified Communications IM and Presence を介して、インスタント メッセージを送受信できます。
- 音声通話
ユーザは、デスク フォン デバイスによってまたは Cisco Unified Communications Manager を介してコンピュータで、音声コールを発信できます。
- ビデオ
ユーザは Cisco Unified Communications Manager を介してビデオ通話を発信できます。
- ボイスメール
ユーザは Cisco Unity Connection を介してボイス メッセージを送受信できます。
- 会議
次のいずれかと統合します。
- Cisco WebEx Meeting Center
ホステッド会議機能を実現します。
- Cisco WebEx Meetings Server
オンプレミス 会議機能を提供します。
電話機モード
次の図は、電話機モード での オンプレミス 展開のアーキテクチャを示しています。
以下は、 電話機モード 展開で使用可能なサービスです。
- 音声通話
ユーザは、デスク フォン デバイスによってまたは Cisco Unified Communications Manager を介してコンピュータで、音声コールを発信できます。
- ビデオ
ユーザは Cisco Unified Communications Manager を介してビデオ通話を発信できます。
- ボイスメール
ユーザは Cisco Unity Connection を介してボイス メッセージを送受信できます。
- 会議
次のいずれかと統合します。
- Cisco WebEx Meeting Center
ホステッド会議機能を実現します。
- Cisco WebEx Meetings Server
オンプレミス 会議機能を提供します。
(注)
Cisco Jabber for Android では、このモードで会議はサポートされません。
Cisco AnyConnect の展開
Cisco AnyConnect は、Wi-Fi ネットワークまたはモバイル データ ネットワークなどのリモート ロケーションから社内ネットワークにクライアントが安全に接続できるサーバクライアント インフラストラクチャを参照します。
Cisco AnyConnect 環境には次のコンポーネントが含まれます。
- Cisco Adaptive Security Appliance
安全なリモート アクセスにサービスを提供します。
- Cisco AnyConnect Secure Mobility Client
ユーザのデバイスから Cisco Adaptive Security Appliance への安全な接続を確立します。
Cisco Adaptive Security Appliance と Cisco AnyConnect Secure Mobility Client の要件の詳細については、「ソフトウェア要件」のトピックを参照してください。
Cisco AnyConnect 導入に関する考慮事項
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for iPhone のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for Android のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for iPhone and iPad のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance のインストールと設定の作業ベースの情報を取得するには、Cisco Adaptive Security Appliance のコンフィギュレーション ガイドを参照する必要があります。
(注)
シスコは、Cisco AnyConnect Secure Mobility Client を使用した Cisco Jabber for iPhone をサポートしています。 他の VPN クライアントは正式にはサポートされませんが、他の VPN クライアントでも Cisco Jabber for iPhone を使用できる可能性があります。 別の VPN クライアントを使用する場合は、次のように VPN を設定します。
該当するサードパーティのマニュアルを使用して、VPN クライアントをインストールし、設定します。
「Cisco Unified Communications Manager での自動 VPN アクセスの設定」のトピックを使用してオンデマンド VPN をセットアップします。
(注)
シスコは、Cisco AnyConnect Secure Mobility Client を使用した Cisco Jabber for Android をサポートしています。 他の VPN クライアントは正式にはサポートされませんが、他の VPN クライアントでも Cisco Jabber for Android を使用できる可能性があります。 他の VPN クライアントを使用する場合は、該当するサードパーティのマニュアルを使用して、VPN クライアントをインストールし、設定します。
(注)
シスコは、Cisco AnyConnect Secure Mobility Client を使用した Cisco Jabber for iPhone and iPad をサポートしています。 他の VPN クライアントは正式にはサポートされませんが、他の VPN クライアントでも Cisco Jabber for iPhone and iPad を使用できる可能性があります。 別の VPN クライアントを使用する場合は、次のように VPN を設定します。
該当するサードパーティのマニュアルを使用して、VPN クライアントをインストールし、設定します。
「Cisco Unified Communications Manager での自動 VPN アクセスの設定」のトピックを使用してオンデマンド VPN をセットアップします。
アプリケーション プロファイル
ユーザが Cisco AnyConnect Secure Mobility Client をデバイスにダウンロードした後、ASA はコンフィギュレーション プロファイルをアプリケーションにプロビジョニングする必要があります。
Cisco AnyConnect Secure Mobility Client のコンフィギュレーション プロファイルには、会社の ASA VPN ゲートウェイ、接続プロトコル(IPSec または SSL)、およびオンデマンド ポリシーなどの VPN ポリシー情報が含まれています。
次のいずれかの方法で、 Cisco Jabber for iPhone のアプリケーション プロファイルをプロビジョニングすることができます。
- ASDM
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect Secure Mobility Client クライアントの VPN プロファイルを定義することを推奨します。
この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
- iPCU
iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
- MDM
サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
次のいずれかの方法で、 Cisco Jabber for iPhone and iPad のアプリケーション プロファイルをプロビジョニングすることができます。
- ASDM
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect Secure Mobility Client クライアントの VPN プロファイルを定義することを推奨します。
この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
- iPCU
iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
- MDM
サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
Cisco Jabber for Android のアプリケーション プロファイルをプロビジョニングするには、Cisco AnyConnect Secure Mobility Client の VPN プロファイルを定義するために ASA デバイス マネージャ(ASDM)でプロファイル エディタを使用します。 クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。 詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
VPN 接続の自動化
ユーザが社外の Wi-Fi ネットワークから Cisco Jabber を開く場合、Cisco Jabber は Cisco UC アプリケーション サーバにアクセスするために VPN 接続を必要とします。 Cisco AnyConnect Secure Mobility Client が、バックグラウンドで VPN 接続を自動的に確立できるようにシステムを設定できます。これは、シームレスなユーザ エクスペリエンスの提供に役立ちます。
(注)
VPN が自動接続に設定されている場合でも、Expressway for Mobile and Remote Access のほうが接続優先順位が高いため、VPN は起動されません。信頼ネットワーク接続のセットアップ
手順Trusted Network Detection 機能は、ユーザの場所を基にして VPN 接続を自動化することによって、ユーザの体感品質を向上させます。 ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークを離れると、Cisco Jabber は信頼ネットワークの外にいることを自動的に検出します。 この状況が発生すると、Cisco AnyConnect セキュア モビリティ クライアントは UC インフラストラクチャへの接続を確保するため VPN を開始します。
(注)
Trusted Network Detection 機能には、証明書ベース認証およびパスワード ベース認証の両方を使用できます。 ただし、証明書ベース認証の方が、よりシームレスな体感を与えることができます。
ステップ 1 ASDM を使用して、Cisco AnyConnect のクライアント プロファイルを開きます。 ステップ 2 クライアントが社内 Wi-Fi ネットワークの中にいるときにインターフェイスで受信可能な、信頼できる DNS サーバおよび信頼できる DNS ドメイン サフィックスのリストを入力します。 Cisco AnyConnect クライアントは、現在のインターフェイス DNS サーバおよびドメイン サフィックスを、このプロファイルの設定と比較します。
(注) Trusted Network Detection 機能が正しく動作するためには、DNS サーバをすべて指定する必要があります。 TrustedDNSDomains と TrustedDNSServers の両方をセットアップした場合は、信頼ネットワークとして定義した両方の設定とセッションが一致する必要があります。
Trusted Network Detection をセットアップするための詳細な手順については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Configuring AnyConnect Features」の章(リリース 2.5)または「Configuring VPN Access」の章(リリース 3.0 または 3.1)の「Trusted Network Detection」のセクションを参照してください。
Connect On Demand VPN の設定
手順Apple iOS Connect On Demand 機能は、ユーザのドメインに基づいて VPN 接続を自動化することにより、ユーザ エクスペリエンスを強化します。
ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークの外に出ると、Cisco AnyConnect は、AnyConnect クライアント プロファイルで指定されたドメインに接続されているか自動的に検出します。 その場合、アプリケーションは VPN を開始して、UC インフラストラクチャへの接続を確認します。 Cisco Jabber を含めて、デバイス上のすべてのアプリケーションがこの機能を利用できます。
(注)
Connect On Demand は、証明書で認証された接続だけをサポートします。
この機能では、次のオプションを使用できます。
[常に接続する(Always Connect)]:Apple iOS は、常にこのリスト内のドメインへの VPN 接続を開始しようとします。
[必要に応じて接続する(Connect If Needed)]:Apple iOS は、DNS を使用してアドレスを解決できない場合のみ、このリスト内のドメインへの VPN 接続を開始しようとします。
[接続しない(Never Connect)]:Apple iOS は、このリスト内のドメインへの VPN 接続の開始を試行しません。
注目:Apple は近い将来に、[常に接続する(Always Connect)] オプションを削除する予定です。 [常に接続する(Always Connect)] オプションの削除後は、ユーザは [必要に応じて接続する(Connect if Needed)] オプションを選択できます。 場合によっては、Cisco Jabber ユーザが [必要に応じて接続する(Connect if Needed)] オプションを使用すると問題が発生することがあります。 たとえば、Cisco Unified Communications Manager のホスト名が社内ネットワークの外部で解決可能であれば、iOS は VPN 接続をトリガーしません。 ユーザはコールを発信する前に Cisco AnyConnect Secure Mobility Client を手動で起動することによって、この問題を回避できます。
ステップ 1 ASDM プロファイル エディタ、iPCU、または MDM ソフトウェアを使用して、AnyConnect クライアント プロファイルを開きます。 ステップ 2 AnyConnect クライアント プロファイルの [必要に応じて接続する(Connect if Needed)] セクションで、オンデマンド ドメインのリストを入力します。 ドメイン リストは、ワイルドカード オプション(たとえば、cucm.cisco.com、cisco.com、および *.webex.com)を含むことができます。
Cisco Unified Communications Manager での自動 VPN アクセスの設定
はじめる前に手順
モバイル デバイスで、証明書ベースの認証での VPN へのオンデマンド アクセスが設定されている必要があります。 VPN アクセスの設定については、VPN クライアントおよびヘッド エンドのプロバイダーにお問い合わせください。
Cisco AnyConnect Secure Mobility Client と Cisco Adaptive Security Appliance の要件については、「ソフトウェア要件」のトピックを参照してください。
Cisco AnyConnect のセットアップの詳細については、『Cisco AnyConnect VPN Client Maintain and Operate Guides』を参照してください。
ステップ 1 クライアントがオンデマンドで VPN を起動する URL を指定します。
ステップ 2 [Cisco Unified CM の管理(Cisco Unified CM Administration)] インターフェイスを開きます。 ステップ 3 ユーザのデバイス ページに移動します。 ステップ 4 [プロダクト固有の設定(Product Specific Configuration Layout)] セクションの [オンデマンド VPN の URL(On-Demand VPN URL)] フィールドに、ステップ 1 で Cisco AnyConnect で識別および使用した URL を入力します。 URL は、ドメイン名だけを含む必要があります。プロトコルやパスを含まないようにしてください。
ステップ 5 [保存(Save)] を選択します。 Cisco Jabber が開くと、URL への DNS クエリーを開始します(たとえば、ccm-sjc-111.cisco.com)。 この URL が、この手順で定義したオンデマンドのドメイン リストのエントリ(たとえば、cisco.com)に一致する場合、Cisco Jabber は間接的に AnyConnect VPN 接続を開始します。
次の作業
この機能をテストしてください。
この URL を iOS デバイスのインターネット ブラウザに入力し、VPN が自動的に起動することを確認します。 ステータス バーに、VPN アイコンが表示されます。
VPN を使用して、iOS デバイスが社内ネットワークに接続できることを確認します。 たとえば、社内イントラネットの Web ページにアクセスしてください。 iOS デバイスが接続できない場合は、ご利用の VPN 製品のプロバイダーに問い合わせてください。
VPN が特定のタイプのトラフィックへのアクセスを制限していないか(たとえば、電子メールとカレンダー操作のトラフィックだけが許可されるように、管理者がシステムを設定している場合など)IT 部門に確認します。
クライアントが、社内ネットワークに直接接続されるように設定されていることを確認します。
証明書ベースの認証の設定
手順Cisco Adaptive Security Appliance とのセキュアな接続を Cisco AnyConnect Secure Mobility Client からネゴシエートするための証明書ベースの認証を使用することを推奨します。
ASA は、Cisco IOS CA、Microsoft Windows 2003、Windows 2008 R2、Entrust、VeriSign、RSA Keon などの標準認証局(CA)サーバが発行した証明書をサポートします。 ここでは、証明書ベースの認証のために ASA を設定するための高レベルな手順を説明します。 順を追った手順については、適切な ASA コンフィギュレーション ガイドの「Configuring Digital Certificates」のトピックを参照してください。
ステップ 1 ルート証明書を CA から ASA にインポートします。 ステップ 2 ASA の ID 証明書を生成します。 ステップ 3 SSL 認証用の ASA の ID 証明書を使用します。 ステップ 4 証明書失効リスト(CRL)または Online Certificate Status Protocol(OCSP)を設定します。 ステップ 5 認証にクライアント証明書を要求するように、ASA を設定します。
次の作業ASA で証明書ベースの認証を設定した後、ユーザに証明書を配布する必要があります。 次のいずれかの方法を使用できます。ASA で証明書ベースの認証を設定した後、ユーザに証明書を配布する必要があります。 詳細については、「SCEP を使用した証明書の配布」のトピックを参照してください。
SCEP を使用した証明書の配布
セッション パラメータ
セキュア接続のパフォーマンスを向上するために ASA セッション パラメータを設定できます。 最良のユーザ エクスペリエンスを得るために、次の ASA セッション パラメータを設定する必要があります。
- Datagram Transport Layer Security(DTLS)
DTLS は遅延およびデータ損失を防止するデータ パスを提供する SSL プロトコルです。
- 自動再接続
自動再接続(またはセッションの持続性)により、Cisco AnyConnect Secure Mobility Client はセッションの中断から回復し、セッションを再確立します。
- セッションの持続性
このパラメータを使用すると、VPN セッションをサービスの中断から回復し、接続を再確立できます。
- アイドル タイムアウト
アイドル タイムアウトは、通信アクティビティがない場合に、ASA がセキュアな接続を切断するまでの期間を定義します。
- Dead Peer Detection(DTD)
DTD によって、ASA および Cisco AnyConnect Secure Mobility Client が接続障害をすばやく検出できます。
ASA セッション パラメータの設定
手順Cisco AnyConnect Secure Mobility Client のエンド ユーザのユーザ エクスペリエンスを最適化するために、次のように ASA セッション パラメータを設定することを推奨します。
ステップ 1 DTLS を使用するように、Cisco AnyConnect を設定します。 詳細については、『Cisco AnyConnect VPN Client Administrator Guide, Version 2.0』の「Configuring AnyConnect Features Using ASDM」の章の、「Enabling Datagram Transport Layer Security (DTLS) with AnyConnect (SSL) Connections」のトピックを参照してください。
ステップ 2 セッションの永続性(自動再接続)を設定します。
- ASDM を使用して VPN クライアント プロファイルを開きます。
- [自動再接続の動作(Auto Reconnect Behavior)] パラメータを [復帰後に再接続(Reconnect After Resume)] に設定します。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Configuring AnyConnect Features」の章(リリース 2.5)または「Configuring VPN Access」の章(リリース 3.0 または 3.1)の「Configuring Auto Reconnect」のトピックを参照してください。
ステップ 3 アイドル タイムアウト値を設定します。 詳細については、ご使用のリリースの『Cisco ASA 5580 Adaptive Security Appliance Command Reference』の「vpn-idle-timeout」のセクションを参照してください。
ステップ 4 Dead Peer Detection(DPD)を設定します。 詳細については、『Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6』の「Configuring VPN」の章の、「Enabling and Adjusting Dead Peer Detection」のトピックを参照してください。
グループ ポリシーおよびプロファイル
グループ ポリシー、クライアント プロファイル、および接続プロファイルを作成するために、ASA デバイス マネージャ(ASDM)を使用する必要があります。 最初にグループ ポリシーを作成し、次にそのポリシーをプロファイルに適用します。 ASDM を使用してプロファイルを作成すると、Cisco AnyConnect Secure Mobility Client が ASA への接続を初めて確立した後にプロファイルがダウンロードされます。 ASDM では、中央のロケーションでプロファイルとポリシーを管理および維持することができます。
ASDM でポリシーとプロファイルを作成する方法の手順については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。
Trusted Network Detection
Trusted Network Detection は、ユーザ ロケーションに基づいてセキュア接続を自動化する機能です。 ユーザが企業ネットワークを離れると、Cisco AnyConnect Secure Mobility Client は信頼ネットワークの外部であることを自動的に検出し、セキュアなアクセスを開始します。
クライアント プロファイルの一部として ASA に Trusted Network Detection を設定します。 詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Trusted Network Detection」のトピックを参照してください。
トンネル ポリシー
トンネル ポリシーは、Cisco AnyConnect Secure Mobility Client がセキュアな接続を介してトラフィックを方向付ける方法を設定します。次が含まれます。
- Full Tunnel ポリシー
ASA ゲートウェイへのセキュア接続を介してすべてのトラフィックを送信できます。
- ネットワーク ACL での Split Include ポリシー
宛先 IP アドレスに基づいてセキュア接続を制限できます。 たとえば、オンプレミス展開で、Cisco Unified Communications Manager、Cisco Unified Presence、TFTP サーバ、その他のサーバに対して IP アドレスを指定して、クライアントのトラフィックにだけセキュア接続を制限することができます。
- Split Exclude ポリシー
セキュア接続から特定のトラフィックを除外できます。 セキュア接続を介したクライアントのトラフィックを許可し、特定の宛先サブネットからトラフィックを除外できます。
シングル サインオン(SSO)の導入
サービスに Security Assertion Markup Language(SAML)のシングル サイン オンを有効化できます。 SAML SSO は、オンプレミス、クラウド、ハイブリッド展開で使用できます。
次の手順に、ユーザが Cisco Jabber クライアントを起動してからの SAML SSO のログイン フローを説明します。
ユーザが Jabber クライアントを起動します。 Web フォームを使用してユーザがログインするようにアイデンティティ プロバイダー(IdP)を設定している場合、これはクライアント内に表示されます。 クライアントは自動的にサイズを変更してページを表示し、ログインが完了すると元に戻ります。
- Cisco Jabber クライアントが、Cisco WebEx Messenger サービス、Cisco Unified Communications Manager、Cisco Unity Connection など、接続先のサービスに認証要求を送信します。
- サービスは、アイデンティティ プロバイダー(IdP と呼ばれる)からの認証を要求するよう、クライアントをリダイレクトします。
- アイデンティティ プロバイダーはクレデンシャルを要求します。 クレデンシャルは、次のいずれかの方法で指定できます。
- アイデンティティ プロバイダーはブラウザに Cookie(またはその他の認証方式)を提供します。 アイデンティティ プロバイダーが、SAML を使用して ID を認証します。これでトークンがクライアントに提供されます。
- クライアントがトークンを使用してサービスにログインします。
サポートされるアイデンティティ プロバイダー
アイデンティティ プロバイダーは、Security Assertion Markup Language(SAML)である必要があります。 Cisco Jabber クライアントは、次のアイデンティティ プロバイダーをサポートします。IDP を設定する場合は、その設定によって、クライアントへのユーザのサインイン方法が直接的な影響を受けることに注意してください。 Cookie のタイプ(永続的またはセッション)や認証メカニズム(Kerberos または Web フォーム)など、一部のパラメータは、ユーザが認証を受ける必要がある頻度を決定します。
永続的 Cookie が設定されている場合、ユーザは、クライアントまたは Internet Explorer を使用する他のデスクトップ アプリケーションで、クレデンシャルを 1 回要求されます。 セッション Cookie の場合、ユーザは、クライアントを起動するたびにクレデンシャルの入力を要求されます。 認証メカニズムは SSO にも影響します。 たとえば、Kerberos が設定されている場合、クライアントはユーザにクレデンシャルを要求しません。ユーザがすでに認証情報を提供して、デスクトップへのアクセス権を得ているからです。
ブラウザとの Cookie の共有を有効にするには、セッション Cookie ではなく、永続的な Cookie を使用する必要があります。 セッション Cookie はクライアントとブラウザとの間で共有できません。 永続的な Cookie はローカルに保存されますが、セッション Cookie はメモリに保存されます。 アイデンティティ プロバイダー(IdP)の設定として永続的な Cookie を設定します。 Open Acess Manager を IDP として使用している場合は、Globally Persistent Cookie(Realm Specific Persistent Cookie ではない)を設定する必要があります。
必要なブラウザ
ブラウザとクライアント間で(IDP で発行された)認証 Cookieを共有するには、エンド ユーザはデフォルト ブラウザとして指定されている次のブラウザを使用する必要があります。
- Cisco Jabber for Windows
Internet Explorer
- Cisco Jabber for Mac
Safari
- Cisco Jabber for iPhone and iPad
Safari
- Cisco Jabber for Android
Chrome
ユーザ セッション
ユーザはセッションの間ログオンします。セッションは Cisco Jabber サービスを使用する時間の長さを事前に指定します。 セッションの継続時間は、Cookie とトークンのタイムアウト パラメータで設定します。 セッションが期限切れになり、Jabber クライアントからログアウトした場合、ユーザは再認証を受ける必要があります。 ユーザが Kerberos またはスマート カードを使用している場合は、スマート カードで PIN が必要な場合を除き、再認証のための操作は必要ありません。ボイスメール、着信コール、インスタントメッセージなどのサービスが中断されるリスクはありません。 その時点で、ユーザは自分のクレデンシャルを再入力してセッションをリフレッシュできます。
クライアント内の SAML SSO の有効化
Cisco Jabber は、次のような、SSO を使用するサービスの組み合わせをサポートしています。
WebEx Messenger を使用する場合は、以下をサポートするために SSO を有効にする必要があります。
WebEx Messenger を使用しない場合は、Cisco Unified Communications Applications が SSO に対応している必要があります。Cisco Unity Connection の使用は任意です。
はじめる前に手順クライアントで使用する前に、サーバの SAML SSO を有効化します。 次のサービスで SAML SSO を有効化できます。
Cisco Unified Communications Applications 10.5.1 Service Update 1
SAML SSO の有効化については、『SAML SSO Deployment Guide for Cisco Unified Communications Applications, Release 10.5』を参照してください。
Cisco Unity Connection バージョン 10.5
SAML SSO 有効化の詳細については、『Managing SAML SSO in Cisco Unity Connection』を参照してください。
WebEx Messenger サービス
SAML SSO 有効化については、『Cisco WebEx Messenger Administrator's Guide』の「Single Sign-On」を参照してください。
ステップ 1 Web ブラウザで証明書を検証できるように、すべてのサーバに証明書を配布してください。これを行わない場合、無効な証明書に関する警告メッセージが表示されます。 証明書の検証の詳細については、『Set up Certificate Validation(証明書の検証の設定)』 を参照してください。 ステップ 2 クライアントの SAML SSO のサービス検出を確認します。 クライアントは、標準サービス検出を使用してクライアントの SAML SSO を有効化します。 サービス ディスカバリは次の設定パラメータを使用して有効化されます:ServicesDomain、VoiceServicesDomain および ServiceDiscoveryExcludedServices。 サービス ディスカバリとその有効化の詳細については、『Cisco Jabber DNS Configuration Guide』、または Cisco Jabber の『Installation and Configuration Guide』の「How the Client Connects to Services」の章を参照してください。 ステップ 3 セッションの継続時間を定義します。 セッションは、Cookie およびトークン値で構成されます。 通常、Cookie はトークンより長く残ります。 Cookie の寿命はアイデンティティ プロバイダーで定義され、トークンの期間はサービスで定義されます。
ステップ 4 サービスで SSO を有効化するもののユーザには SSO を使用させない場合、SAML SSO ログインで資格情報入力をユーザに要求するプロンプトを抑制できます。 ServicesDomainSsoEmailPrompt パラメータの値を =OFF に設定すると、クライアントの初回ログインで電子メール アドレスを入力するためにユーザに送信される電子メール プロンプトを抑止できます。
関連タスク