チュートリアル: 自動ユーザー プロビジョニング用に Cisco User Management for Secure Access を構成する
このチュートリアルでは、自動ユーザー プロビジョニングを構成するために、Cisco User Management for Secure Access と Microsoft Entra ID の両方で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、Cisco User Management for Secure Access に対するユーザーとグループのプロビジョニングおよびその解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。
サポートされる機能
- Cisco User Management for Secure Access でユーザーを作成する
- ユーザーがアクセスを必要としなくなったときに Cisco User Management for Secure Access からそのユーザーを削除する
- Microsoft Entra ID と Cisco User Management for Secure Access の間でのユーザー属性の同期を維持する
- Cisco User Management for Secure Access でグループとグループ メンバーシップをプロビジョニングする
前提条件
このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。
- Microsoft Entra テナント
- プロビジョニングを構成するためのアクセス許可を持つ Microsoft Entra ID のユーザー アカウント (アプリケーション管理者、クラウド アプリケーション管理者、アプリケーション所有者など)。
- Cisco Umbrella のサブスクリプション。
- 完全な管理者権限を持つ Cisco Umbrella のユーザー アカウント。
手順 1:プロビジョニングのデプロイを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングの対象となるユーザーを決定します。
- Microsoft Entra ID と Cisco User Management for Secure Access の間でマップするデータを決定します。
手順 2: Microsoft Entra Connect を使用して ObjectGUID 属性をインポートする (省略可能)
エンドポイントで AnyConnect または Cisco Secure Client バージョン 4.10 MR5 以前が実行されている場合は、ユーザー ID 属性の ObjectGUID 属性を同期する必要があります。 Microsoft Entra ID からグループをインポートした後で、グループのすべての Umbrella ポリシーを再構成する必要があります。
Note
ObjectGUID 属性をインポートする前に、オンプレミスの Umbrella AD コネクタをオフにする必要があります。
Microsoft Entra Connect を使用する場合、既定ではユーザーの ObjectGUID 属性がオンプレミス AD から Microsoft Entra ID に同期されません。 この属性を同期するには、省略可能な [Directory Extension attribute sync] (ディレクトリ拡張属性の同期) を有効にし、ユーザーの objectGUID 属性を選択します。
Note
[使用可能な属性] での検索は、大文字と小文字が区別されます。
注意
すべてのエンドポイントで Cisco Secure Client または AnyConnect バージョン 4.10 MR6 以降が実行されている場合、この手順は必要ありません。
手順 3: Microsoft Entra ID を使用したプロビジョニングをサポートするように Cisco User Management for Secure Access を構成する
Cisco Umbrella のダッシュボードにログインします。 [デプロイ]>[コア ID]>[ユーザーとグループ] の順に移動します。
Microsoft Entra カードを展開し、[API Keys page] (API キー ページ) をクリックします。
[API キー] ページで Microsoft Entra カードを展開し、[トークンの生成] をクリックします。
生成されたトークンは 1 回だけ表示されます。 URL とトークンをコピーして保存します。 これらの値は、Cisco User Management for Secure Access アプリケーションの [プロビジョニング] タブで、[テナント URL] および [シークレット トークン] フィールドにそれぞれ入力することになります。
手順 4: Microsoft Entra アプリケーション ギャラリーから Cisco User Management for Secure Access を追加する
Microsoft Entra アプリケーション ギャラリーから Cisco User Management for Secure Access を追加して、Cisco User Management for Secure Access へのプロビジョニングの管理を開始します。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。
手順 5: プロビジョニングの対象となるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーやグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。
小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。
手順 6: Cisco User Management for Secure Access への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID でのユーザーやグループ割り当てに基づいて、Cisco User Management for Secure Access でユーザーやグループが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
Microsoft Entra ID で Cisco User Management for Secure Access の自動ユーザー プロビジョニングを構成するには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します
アプリケーション リストで、[Cisco User Management for Secure Access] を選択します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションで、Cisco User Management for Secure Access のテナント URL とシークレット トークンを入力します。 [接続のテスト] をクリックし、Microsoft Entra ID から Cisco User Management for Secure Access に接続できることを確かめます。 接続できない場合は、ご自分の Cisco User Management for Secure Access アカウントに管理者権限があることを確かめてから、もう一度試します。
[通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
[保存] を選択します。
[マッピング] セクションで、[Microsoft Entra ユーザーを Cisco User Management for Secure Access に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Cisco User Management for Secure Access に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Cisco User Management for Secure Access のユーザー アカウントとの照合に使用されます。 照合対象の属性を変更することにした場合は、その属性に基づいたユーザーのフィルター処理が Cisco User Management for Secure Access API で確実にサポートされるようにする必要があります。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート userName String ✓ externalId String active Boolean displayName String name.givenName String name.familyName String name.formatted String urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId String
Note
Microsoft Entra Connect を使用してユーザーの objectGUID 属性をインポートした場合は (手順 2 を参照)、objectGUID から urn:ietf:params:scim:schemas:extension:ciscoumbrella:2.0:User:nativeObjectId へのマッピングを追加します。
[マッピング] セクションで、[Microsoft Entra グループを Cisco User Management for Secure Access に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Cisco User Management for Secure Access に同期されるグループ属性を確認します。 [照合] プロパティとして選択されている属性は、更新操作で Cisco User Management for Secure Access のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート displayName String ✓ externalId String members リファレンス スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。
Cisco User Management for Secure Access に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択して、Cisco User Management for Secure Access にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、 [保存] をクリックします。
この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。
手順 7: デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
- プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。
コネクタの制限事項
- Cisco User Management for Secure Access では、最大 200 のグループのプロビジョニングがサポートされています。 スコープ内のこの数を超えるグループは、Cisco Umbrella にプロビジョニングできません。