Cisco Secure Connect - アイデンティティプロバイダ(IdP)のセットアップ
このドキュメントはこちらのドキュメントを翻訳したものです。
内容の不一致がある場合には英語版のドキュメントを正とします。
通常、ネットワークおよびアプリケーションへのユーザー認証は、ID プロバイダー(IdP)によって管理されます。Cisco Secure Connect は、さまざまな ID プロバイダー(IdP)と連携します。IdP は、ユーザーとグループの ID を Secure Connect にプロビジョニングできるほか、ユーザーおよびグループの認証と認可を提供します。Secure Connect は、CSV ファイルからユーザーとグループの ID を手動でインポートすることもサポートしています。
Secure Connect でエンドユーザー向けのシングル サインオン(SSO)を提供するには、以下のシナリオで IdP との連携が必要です。
- クライアント ベースの VPN アクセス
- クライアントレス(ブラウザ ベース)の ZTNA(ゼロトラスト ネットワーク アクセス)
- クライアント ベースの ZTNA(ゼロトラスト ネットワーク アクセス)
- ユーザー ベースのインターネット アクセス ポリシーの適用
Secure Connect で使用される ID 管理の主要な標準は次の 2 つです。
- SAML: SSO 認証のための Security Assertion Markup Language
- SCIM: ユーザー/グループのプロビジョニング、更新、プロビジョニング解除のための System for Cross-domain Identity Management
Secure Connect は IdP と信頼関係を確立し、ユーザーが SAML を使用して既存の認証情報で認証できるようにするとともに、IdP 側で行われた変更を SCIM 経由で Secure Connect と同期できるようにします。現在、SCIM がサポートされているのは Meraki Cloud Auth、Azure Active Directory(Microsoft Entra ID)、および Okta のみです。その他の IdP については、ユーザーを手動でプロビジョニングするオプションがあります。なお、クライアント ベースの ZTNA は Meraki Auth をサポートしていません。
Meraki Auth は、Secure Connect では POV またはラボ環境でのみサポートされます。
以下のリンクを使用して、IdP ソリューションを Secure Connect と連携してください。
Cisco Duo シングル サインオン
Cisco Duo Single Sign-On は、ID プロバイダー(IdP)または IdP プロキシとして機能します。Duo は、Duo IdP のローカル データベースのユーザー、既存のオンプレミス Active Directory(AD)のユーザー、または別の SSO IdP のユーザーを認証します。クラウド/オンプレミスを問わず、すべてのアプリケーションで一貫したログイン エクスペリエンスを提供します。Duo シングル サインオンを Cisco Secure Connect と連携する手順は、こちらを参照してください。
Azure Active Directory(Microsoft Entra ID)
組織で Azure Active Directory を使用している場合は、次の 2 つの手順を完了する必要があります。
その他
上記のいずれの IdP も使用していない場合は、この リンクから Umbrella のドキュメントにアクセスし、SAML セットアップ手順を参照してください。
IdP が SCIM プロトコルをサポートしていない場合は、この リンクに従って、CSV の手動アップロードを使用できます。
SCIM の設定と同期の完了後、または CSV によるユーザーの手動インポート後に、接続> ユーザーs ページに移動します。このページには、利用可能なすべてのユーザーと、リモート アクセス接続のステータスおよび設定が表示されます。なお、セキュリティ イベントの同期にはタイミングおよび件数の制限があるため、Meraki のページと Umbrella のページに表示されるデータに差異が生じる場合があります。現時点では、Umbrella のページのセキュリティ イベント統計を使用することを推奨します。