- はじめに
- 日本のお客様からよくあるご質問(FAQ)
- 概要
- [Q] Security Cloud Sign Onとは何か。
- [Q] SecureXのEnd of lifeがアナウンスされているがSecurity Cloud Sign Onへの影響はあるか。
- [Q] Cloud Security Sign Onの初期セットアップ方法を教えて欲しい。
- MFA(多要素認証)
- [Q] MFAとしてDUOを使うことは必須か。
- [Q] Security Cloud Sign Onで使用するDUOに費用は発生するか。
- [Q] 一つのEmailアドレスを複数のユーザで共有しているがどうMFAを設定すればよいか。
- [Q] 携帯電話・スマートフォンを交換したためMFAをリセットしたい。(TACケース必要)
- [Q] 二つ目のMFAとしてGoogle Authenticatorが追加で設定出来ない。
- アプリケーション
- [Q] Security Cloud Sign OnをセットアップしたがSecure Endpointなどのアプリケーションにログインすることができない。
- [Q] Secure Endpoint Consoleからユーザ名(名字・名前)を変更できなくなった。
- [Q] SecureXのDashboardにアクセスしたところ、同僚が使っている画面と異なる表示がされた。(TACケース必要)
- トラブルシューティング
- [Q] 過去のSecurity Cloud Sign Onへのログイン情報が予期せず反映され、想定しない動作となる。
- [Q] Security Cloud Sign Onの問題が発生している場合のTACケースオープンのために必要な情報は何か。
- その他
- [Q] パスワードを忘れたのでリセットしたい。
- [Q] パスワードを何回も間違えてしまい、ロックアウトされてしまった。
- [Q] Security Cloud Sign Onの初期登録の際の登録メールが見つからない。(TACケース必要)
- [Q] Security Cloud Sign Onのアカウントを削除したい。(TACケース必要)
- [Q] SAMLを用いて所有するIdP(Identity Provider)をSecureX Sign-onに使用したい。
- 参考ドキュメント
はじめに
本記事は日本のお客様からCisco TACへよくお問い合わせいただく、Security Cloud Sign On(SCSO)の質問とその回答をまとめた記事となります。以前はSecureX Sign-on(SXSO)と呼ばれておりましたがリブランディングされ、名前が変更となりました。以降はSecurity Cloud Sign OnもしくはSCSOという呼び方を使います。
記載されている内容は2024年1月22日時点の情報に基づいており、将来的に予告せず動作が変更となる場合がございますため、齟齬が発生する場合は公式ドキュメントの情報をご参照いただきますようお願いいたします。
公式ドキュメント等については、本記事の最後に参考ドキュメントとして記載してあります。
[Q] Cloud Security Sign Onの初期セットアップ方法を教えて欲しい。
[A]Quick Start GuideのProcedureをご確認ください。
Quick Start Guide
MFA(多要素認証)
[Q] MFAとしてDUOを使うことは必須か。
[A] 基本的には必須となります。
例外としてIdP連携を用いているお客様に限り、お客様IdPにてMFAを設定していることを前提に二重のMFA をかけることを避けるためにDUOバイパスすることが可能です。
[Q] Security Cloud Sign Onで使用するDUOに費用は発生するか。
[A] こちらはビルトインされているDUOにつき、お客様への費用は発生しません。無料でご使用いただけます。
[Q] 一つのEmailアドレスを複数のユーザで共有しているがどうMFAを設定すればよいか。
[A] Security Cloud Sign OnのDUOでは複数のMFAデバイスを登録することが可能であり、現時点ではDUOの製品使用に従い100台までMFAデバイスの登録が可能です。
Application PortalにてUsername / Passwordを入力後、DUOの画面が出てきたタイミングでSettings -> Add a new deviceより追加ください。
ただし、新しいデバイスを追加する前には既に登録済みのデバイスにて認証が必要です。
[Q] 携帯電話・スマートフォンを交換したためMFAをリセットしたい。(TACケース必要)
[A] 交換前のMFAデバイスでDUO Pushなどで認証可能である場合は、https://me.security.cisco.com/よりDUOのResetをクリックいただきますと、次回ログインのタイミングでDUOの再セットアップが求められます。
古いスマートフォンが廃棄済み等によって認証可能なデバイスがない場合ですが、もしSecurity Cloud Controlをお使いではないお客様の場合はTACまでケースオープンをお願いします。Security Cloud Controlをお使いの場合は、Security Cloud ControlのEnterpriseの管理者様にて、Usersのメニューから各ユーザアカウントのMFAのリセットを実施することが可能です。
[Q] 二つ目のMFAとしてGoogle Authenticatorが追加で設定出来ない。
[A] Google Authenticatorは初回のDUO MFAのセットアップの直後のみ追加で設定が可能です。
一度DUOをセットアップ済みのアカウントにGoogle Authenticatorを追加したい場合、一度MFAをhttps://me.security.cisco.com/ からリセットし、再度DUO MFAも含めて設定いただく必要がございます。
なお、DUOを用いずにGoogle Authenticatorのみ設定いただくことは出来ません。あくまで二つ目のMFAとして設定することが可能です。
アプリケーション
[Q] Security Cloud Sign OnをセットアップしたがSecure Endpointなどのアプリケーションにログインすることができない。
[A] Security Cloud Sign Onのアカウントを初期設定した段階では、アプリケーションとの紐付けは行われていないため、それぞれのアプリケーションから対象の該当アカウントのEmailアドレス宛にInvite処理が必要となります。
基本的にはInvite処理を送付することがトリガーとなってアプリケーションとSecurity Cloud Sign Onアカウントの紐付けが行われます。
紐付けが適切であるかを確認するためには、Application Portalに対して作成したSecurity Cloud Sign Onアカウントでログインいただき、Application Portalよりログインしたいアプリケーションをクリックすることで確認ができます。適切に紐付けが行われているアプリケーションであれば、追加の情報を入力することなくログインが可能となりますた、できていない場合はログインが出来ません。
一例としてSecure Endpointの場合はSecure Endpoint Consoleへログイン後
Accounts -> UsersよりNew Userをクリックし、作成済みのSecureX Sign-onアカウントのメールアドレスを入力することで紐付けが可能です。
[Q] Secure Endpoint Consoleからユーザ名(名字・名前)を変更できなくなった。
[A] Secure EndpointをSecurity Cloud Sign Onへ移行後は、プロフィールの設定はSecure EndpointのConsoleから実施することが出来ません。https://me.security.cisco.com/ へアクセスいただき変更するようお願いいたします。
[Q] SecureXのDashboardにアクセスしたところ、同僚が使っている画面と異なる表示がされた。(TACケース必要)
Secure EndpointやUmbrellaなどのアプリケーションにログインが出来ない場合と同様に、SecureX Dashboardに関しても既存のOrganizationへのアクセスがが必要な場合はInviteの送付が必要となります。
もしお客様の別の管理者様が既にSecureXのOrganizationを作成済みの場合は、該当メールアドレスに対してInviteを送付するように依頼をお願いします。
もし、不要なOrganizationを作成してしまい、削除が必要な場合はお手数ですがTACまでケースオープンをお願いします。
トラブルシューティング
[Q] 過去のSecurity Cloud Sign Onへのログイン情報が予期せず反映され、想定しない動作となる。
[A] 同じ端末・ユーザで複数のSecurity Cloud Sign Onアカウントを用いている場合等において、Application Portalやアプリケーションが端末の保持している過去のログイン情報を予期せず参照することがあり、不整合が発生する場合がございます。
そうした不整合が発生する場合においては、Private Browsingを用いてSecurity Cloud Sign Onにログインいただき、動作確認いただくようお願いいたします。
[Q] Security Cloud Sign Onの問題が発生している場合のTACケースオープンのために必要な情報は何か。
ご質問いただく内容によって異なりますが、少なくとも以下情報の取得をお願いします。必要に応じて追加での情報取得を依頼させていただきます。
- 事象発生時のエラーメッセージ等を含めたスクリーンショット
- 上記事象の発生時刻
- 使用しているSecurity Cloud Sign OnアカウントのEmailアドレス
なお、SecureXでのTACケースオープンに必要な情報はこちらの記事に記載されております。
その他
[Q] パスワードを忘れたのでリセットしたい。
[A] MFAのリセットと同様に、Security Cloud Controlをお使いお客様の場合、Enterpriseの管理者様によってUsersのメニューからパスワードのリセットを実施することが可能です。もしくは、Sign OnのページでEmailアドレスを入力した後、Forget Passwordのリンクをクリックすることでパスワードのリセットが可能です。
[Q] パスワードを何回も間違えてしまい、ロックアウトされてしまった。
[A] ロックされた場合、対象のアカウント宛に「Account Locked」というタイトルのメールが送信されますので、そこから解除が可能です。事象が解決しない場合はTACまでケースオープンをお願いします。
その際に対象のSecurity Cloud Sign Onアカウントの情報をご連絡ください。
[Q] Security Cloud Sign Onの初期登録の際の登録メールが見つからない。(TACケース必要)
[A] 稀にお客様のメールポリシーにてHTMLメールを受信出来ないケースが報告されております。
恐れ入りますが、HTMLをTextメールに変換して送付する対応は致しかねますので、HTMLメールを受信できるよう準備をいただけますと幸いです。登録メールの再送は、TACケースオープンが必要となります。
[Q] Security Cloud Sign Onのアカウントを削除したい。(TACケース必要)
[A] 現時点では一度作成したSecurity Cloud Sign Onアカウントをお客様側で削除することが出来ません。基本的な対応としては、Enterprise/SecureX Dashboardからの該当アカウントの削除・無効化および、連携するアプリケーション側での該当ユーザの削除を実施いただく必要があります。
バックエンド側から削除する必要がある場合は、対象のアカウントのメールアドレスや削除が必要な理由等を添えてTACまでケースオープンをお願いいたします。
[Q] SAMLを用いて所有するIdP(Identity Provider)をSecureX Sign-onに使用したい。
[A] Security Cloud Controlをお使いのお客様はEmailアドレスにご利用いただいているドメインの所有者であることを前提として、SAMLによるIdP連携が可能です。詳しくは以下ドキュメントをご確認ください。
identity provider integration guide
参考ドキュメント
Cisco.comドキュメント
Cisco SecureX Sign-On Quick Start Guide
Cisco SecureX Sign-On クイックスタートガイド(日本語版)
Cisco Security Cloud Control User Guide
Support Community
SecureX Frequently Asked Questions (英語版SecureX FAQ)
SecureX公式ドキュメント
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
