購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
633
閲覧回数
5
いいね!
0
コメント

Umbrella: 複数の組織で同じ IdP を使う場合の SWG SAML 連携について

tkitahar
Cisco Employee
Cisco Employee

‎2022-09-05 03:27 PM

 

2022 年 9 月 5 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Umbrella Dashboard 上で複数の組織を管理している環境において、同じ IdP (Identity Providers) への SWG SAML 連携を設定したい場合の設定について解説します。

 

Configure SAML for Multiple EntityIDs

https://docs.umbrella.com/umbrella-user-guide/docs/configure-saml-for-multiple-entityids

 

2. Umbrella における組織について

 

Umbrella の契約を行うと、通常、一つの Umbrella Dashboard の環境が用意され、その中でアイデンティティの登録やポリシーの設定、レポートの確認など行います。

 

この環境のことを Umbrella では「組織」と呼んでおり、Umbrella Dashboard メニュー下部にあるユーザー アカウント名の表記の真下に、現在の「組織名」が表示されています。

 

また、Umbrella Dashboard にログインした後の URL に含まれる数字は、組織を識別する一意な ID となっており、「組織 ID」または「Org ID」と呼ばれています。

 

なお、契約の内容によっては、複数の組織を利用可能としている場合があり、その両方の Umbrella Dashboard にアクセスする権限を持っている場合、こちらの方法で組織を切り替えながら、両方の組織を管理することが可能です。

 

本記事は、そういった複数の組織を持つユーザーを対象としています。

 

3. 複数の組織における SAML SWG 連携

 

Umbrella が提供するクラウド型 Web プロキシである SWG (Secure Web Gateway) は、アクセスしてきたユーザーに対して、SAML を使ったユーザー認証を強制することが可能です。

 

この認証については、組織内の Active Directory やサードパーティのクラウド サービスなどの「アイデンティティプロバイダ (IdP)」が行い、資格情報も IdP が管理しているものを使います (つまり、Umbrella ではパスワードを管理しない)。

 

この IdP と対比して、SWG のような SAML 認証を利用するサービス側のことを「サービスプロバイダ (SP)」と呼んでいます。以下の図は PAC ファイル使用時の SWG SAML 連携における IdP と SP の関係を表したものです。

 

pic1.png

 

SAML 連携には必ず SP IdP が必要となりますが、実際の SAML の設定ではこれらを一意に識別する ID「エンティティ ID」 を用います。

 

Umbrella では、SWG 用のエンティティ ID として saml.gateway.id.swg.umbrella.com という固定値を使っていますが、もし複数の組織でそれぞれ SWG SAML 連携の設定をし、かつそれぞれが同じ IdP の資格情報を使う場合、エンティティ ID の重複により IdP 側で設定を受け付けられない場合があります。

 

そういった場合に対応するために、組織ごとにエンティティ ID を変える機能が Umbrella Dashboard に用意されており、「組織固有のエンティティ ID」 と呼ばれています。次項でこの機能の使用方法について説明します。

 

4. 組織固有のエンティティ ID の設定方法

 

組織固有のエンティティ ID の設定は Umbrella Dashboard の導入 > 設定 > SAML設定画面内でおこないます。

 

pic2.png

 

デフォルトでは無効になっていますので、使用する際は明示的に有効にする必要があります。

 

組織固有のエンティティ ID を設定後、設定ウィザードを進めていくと、設定の最後で組織固有のエンティティ ({Org ID}.saml .gateway.id.swg.umbrella.com) が表示されますので、これを IdP 側に設定することになります。

 

pic3.png

 

5. 組織固有のエンティティ ID の注意点

 

IdP 側で設定が必要となる Umbrella SAML 情報 (いわゆるメタデータ) は、Umbrella メタデータファイルの中にまとめられており、SAML 設定のウィザードの途中でダウンロードすることができます。

 

pic4.png

 

このファイル内の SWG のエンティティ ID は組織固有のものではなく、共通の値が使われています。

 

pic5.png

 

そのため、IdP 側の設定画面でこのメタデータファイルをインポートした後には、必ずエンティティ ID を組織固有のものに手動変更する必要があります。

 

また、メタデータをファイルのインポートで手動設定するのではなく、メタデータファイルの保存先 URL IdP に登録し、メタデータが自動更新されるように設定した場合、更新のたびに共通のエンティティ ID に上書きされてしまうため、組織固有のエンティティ ID は利用できません。以下のサポート記事にも関連した記載があります。

 

Umbrella SWG SAML Certificate Expiring 26th September 2022

https://support.umbrella.com/hc/en-us/articles/6177426032916--Now-Available-Action-Required-Umbrella-SWG-SAML-Certificate-Expiring-26th-September-2022

> If using the recently added Umbrella SAML feature, Org-Specific EntityID feature, then you must not use URL-based metadata updates.

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents