購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
737
閲覧回数
6
いいね!
0
コメント

Umbrella: Multi-Org や MSP コンソールへのシングルサインオンについて

tkitahar
Cisco Employee
Cisco Employee

‎2022-09-07 02:15 PM

 

2022 9 7 日現在の情報をもとに作成しています

 

1. はじめに

 

通常の Umbrella Dashboard とは異なり、Multi-Org コンソールや MSP コンソールそのものにはログイン時のシングルサインオン (SSO) 設定画面はありません。本記事では、Multi-Org コンソールや MSP コンソールにシングルサインオンでログインするための設定について説明します。

 

※ MSSP (Managed Security Services Providers) コンソールや PPoV (Partner Proof of Value) コンソールなどのように、Cisco アカウントによるログインの仕組みが導入されているコンソールについては本記事の対象となりません

 

Using Umbrella SSO (SAML) with a Multi-Org console

https://support.umbrella.com/hc/en-us/articles/360020094011-Using-Umbrella-SSO-SAML-with-a-Multi-Org-console

 

2. Multi-Org コンソールと MSP コンソールについて

 

Multi-Org コンソールは、一つの実在する組織が複数の「Umbrella の組織」を管理するために用意された Umbrella が提供する特殊なコンソールの一種です。

 

pic1.png

 

Cisco Umbrella Multi-org Console Overview

https://docs.umbrella.com/deployment-umbrella/docs/multi-org-umbrella-console-overview-1

 

利用のイメージとしては、Multi-Org コンソール (親組織) 上で必要な数の Umbrella Dashboard (子組織) を作り、それぞれの子組織の中でアイデンティティやポリシーを個別に管理するというものです。よく使われる例としては、学校のクラスごとに Umbrella の組織を分けて運用することが挙げられます。

 

MSP コンソールは、Multi-Org コンソールと非常に似た形のインターフェースをしており、使用感も類似しています。ただし、契約の対象は MSP (Managed Service Provider) となり、子組織に該当するものは「MSP の利用顧客」となります。

 

pic2.png

 

Welcome to Cisco Umbrella for MSPs

https://docs.umbrella.com/deployment-msp/docs/new-getting-started-with-the-msp-console

 

これらのコンソールにログインする方法は、通常の Umbrella Dashboard のログイン方法と全く同じで、login.umbrella.com から Umbrella アカウントを使って行います。

 

※ アカウントが通常の Umbrella Dashboard の組織とこれらのコンソールの両方に属している場合、ログイン直後はコンソールが優先して表示されますが、組織に切り替えることも可能です

 

この時、親組織のコンソールに対して管理者 (Full Admin) 権限がある場合は、子組織側にアカウントを参加させていなくても、子組織の管理を行うことが可能です。

 

なお、これらのコンソールには、子組織全体にポリシーを適用したり、組織全体のレポートを表示したりするなど、子組織を包括的に管理することはできますが、コンソールそのものへのシングルサインオンの設定は用意されていません。

 

3. Umbrella のアカウントとシングルサインオンについて

 

Umbrella の契約をすると、まずは契約時のメールアドレスで Umbrella Dashboard にログインできるようになり、その後、Umbrella Dashboard の管理 > アカウント画面にアカウントを登録していくことで、複数のアカウントで Umbrella Dashboard を管理できるようになります。

 

もし、この組織が Umbrella Dashboard の管理 > 認証 > SAMLダッシュボードのユーザ設定でシングルサインオンの設定をした場合、その組織に属するアカウント全てが「シングルサインオン用アカウント」にコンバートされます。

 

シングルサインオン用アカウントは、アカウント自体は Umbrella Dashboard に残されますが、認証に使われるパスワードは破棄されます。なぜなら、シングルサインオンの設定を行った IdP (Identity Providers) が資格情報の管理や認証処理を一手に引き受けるからです。

 

そのため、シングルサインオン用アカウントとなったアカウントで Umbrella Dashboard にログインする場合、アカウント名のみ入力が必須となり、IdP 側のログイン画面にリダイレクトされた後、改めて認証を行います。

 

ここで、もし、A という組織のシングルサインオン用アカウントが、B というシングルサインオンではない組織にも属していた場合、B 側にシングルサインオンの設定が無くても、組織 A のシングルサインオンの設定に基づいたログインが行われます。

 

逆に、組織 A だけでなく B にもシングルサインオンの設定がされている場合、このアカウントは複数のシングルサインオンの組織に属していることになり、設定の競合によりいずれの組織にもアクセスできなくなります。この状態を解除するには、いずれかの組織からアカウントを取り除くよう管理者に依頼する必要があります。

 

以上のような仕組みとなっているため、Multi-Org コンソールや MSP コンソールの管理者であっても、シングルサインオンが設定されている他の組織にも属することで、ログイン時のシングルサインオン機能を利用することができます。

 

4. 設定方法

 

例として、Multi-Org コンソールの管理者アカウント Alice に対してシングルサインオンの設定を行います。

 

まず、Alice   Multi-Org コンソールにログインし、組織管理画面でシングルサインオンの管理に特化した子組織「Single Sign On」を作成します。

 

pic3.png

 

作成した Single Sign On の名前をクリックし、Single Sign On のダッシュボードを開きます。

 

pic4.png

 

管理 > アカウント画面で Bob というシングルサインオンの管理に特化したアカウントを Full Adminで作成します。

 

pic5.png

 

これでアカウント Alice での作業は終わりですので、ログアウトします。

 

次に、アカウント Bob Umbrella Dashboard にログインすると、先ほど作成した Single Sign On のダッシュボードが開きます。

 

pic6.png

 

管理 > 認証画面でシングルサインオンの設定をします。以下の画像は Cisco SecureX sign-on を設定した際のものです。

 

※ アカウント Alice のままで作業を行った場合、設定の途中で「File Not Found」というエラーが表示され、設定を完了できません

 

pic7.png

 

最後に、管理 > アカウント画面でアカウント Alice を読み取り専用 (Read-Only) で追加します。

 

Read-Only とするのは Single Sign-On のダッシュボードの設定を誤って変更しないための配慮になります

※ このアカウントの追加作業に関しては、権限があればどのアカウントで行っても問題ありません

 

pic8.png

 

以上の設定により、アカウント Alice による Multi-Org コンソールへのログインはシングルサインオンになります。

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents