認証パス(Authentication path)
|
MRA が有効になるまで非表示のフィールド。MRA 認証の制御方法を定義します。
SAML SSO 認証(SAML SSO authentication):クライアントは外部 IdP によって認証されます。
UCM/LDAP Basic 認証(UCM/LDAP basic authentication):クライアントは、Unified CM によって LDAP 資格情報に対してローカルに認証されます。
SAML SSO および UCM/LDAP(SAML SSO and UCM/LDAP):どちらの方法も許可します。
なし(None):認証は適用されません。これは、MRA が最初に有効になるまでのデフォルトです。単に MRA をオフにするのではなく [なし(None)]" "オプションが用意されているのは、展開によっては、実際には MRA ではない機能を許可するために MRA をオンにする必要があるためです。(Meeting Server の Web プロキシ、XMPP フェデレーションなど)。[なし(None)]" "は、そのような場合にのみ使用してください。
|
MRA をオンにするまでは [なし(None)]
MRA をオンにした後は [UCM/LDAP]
|
OAuth トークンによる承認(更新あり)(Authorize by OAuth token with refresh)
|
このオプションでは、承認のための自己記述トークンが必要です。サポート用のインフラストラクチャを持つすべての展開で推奨される承認オプションです。
現在、この承認方法を使用できるのは Jabber クライアントだけです。他の MRA エンドポイントは現在サポートしていません。また、クライアントは、更新を伴う OAuth トークン承認モードにある必要があります。
|
[オン(On)]
|
OAuth トークンによる承認(Authorize by OAuth token)(以前は SSO モード)
|
[認証パス(Authentication path)] が [SAML SSO] または [SAML SSO および UCM/LDAP(SAML SSO and UCM/LDAP)] の場合に利用可能。
このオプションには、IdP を使用した認証が必要です。現在、Jabber クライアントのみがこの承認方法を使用できますが、他の MRA エンドポイントではサポートされていません。
|
[オフ(Off)]
|
ユーザ クレデンシャルによる承認(Authorize by user credentials)
|
[認証パス(Authentication path)] が [UCM/LDAP] または [SAML SSO および UCM/LDAP(SAML SSO and UCM/LDAP)] の場合に利用可能。
ユーザクレデンシャルによる認証を実行しようとするクライアントは、MRA によって許可されます。これには、Jabber、およびサポートされている IP フォンと TelePresence デバイスが含まれます。
|
[オフ(Off)]
|
内部認証の可用性の確認(Check for internal authentication availability)
|
[OAuth トークンによる承認(更新あり)(Authorize by OAuth token with refresh)] または [OAuth トークンによる承認(Authorize by OAuth token)] が有効になっている場合に利用可能。
最適なセキュリティとネットワーク トラフィックの削減のため、デフォルトは [いいえ(No)] です。
Expressway-C がホーム ノードをチェックするかどうかを選択することにより、Expressway-E がリモート クライアント認証リクエストにどのように反応するかを制御します。
リクエストは、クライアントが OAuth トークンによってユーザを認証しようとする可能性があるかどうかを尋ね、そのリクエストには Expressway-C がユーザのホーム クラスタを見つけるためのユーザ ID が含まれています。
はい(Yes):get_edge_sso リクエストで、OAuth トークンがサポートされているかどうかをユーザのホーム Unified CM に確認します。ホーム Unified CM は、Jabber クライアントの get_edge_sso リクエストによって送信されたアイデンティティから判別されます。
いいえ(No):Expressway が内部を参照しないように構成されている場合に、Edge の認証設定に応じて、すべてのクライアントに同じ応答が送信されます。
選択するオプションは、実装およびセキュリティ ポリシーによって異なります。すべての Unified CM ノードで OAuth トークンがサポートされている場合は、[いいえ(No)] を選択して応答時間とネットワーク全体のトラフィックを減らすことができます。または、ロールアウト中にクライアントがエッジ構成を取得するモードを使用するようにする場合や、すべてのノードで OAuth を保証できない場合は、[はい(Yes)] を選択します。
注意
|
これを [はい(Yes)] に設定すると、認証されていないリモート クライアントからの不正なインバウンド リクエストが許可される可能性があります。この設定に [いいえ(No)] を指定すると、Expressway は不正なリクエストを防止します。
|
|
[いいえ(No)]
|
ID プロバイダー:IdP の作成または変更(Identity providers: Create or modify IdPs)
|
[認証パス(Authentication path)] が [SAML SSO] または [SAML SSO および UCM/LDAP(SAML SSO and UCM/LDAP)] の場合に利用可能。
ID プロバイダーの選択
シスコ コラボレーション ソリューションは、SAML 2.0(セキュリティ アサーション マークアップ言語)を使用して、ユニファイド コミュニケーション サービスを利用するクライアント用の SSO(シングル サインオン)を有効にします。
使用する環境に SAML ベース SSO を選択した場合は、次の点に注意してください。
-
SAML 2.0 は、SAML 1.1 との互換性がないため、SAML 2.0 標準を使用する IdP を選択する必要があります。
-
SAML ベースのアイデンティティ管理は、コンピューティングとネットワーキング業界のベンダーによって異なる方法で実装されています。したがって、SAML 標準に準拠するための幅広く受け入れられている規制はありません。
-
選択した IdP の設定や管理ポリシーは、Cisco TAC(テクニカル アシスタンス センター)のサポート対象外です。IdP ベンダーとの関係とサポート契約を利用して、IdP を正しく設定する上での支援を得られるようにしてください。Cisco
は IdP に関するエラー、制限、または特定の設定に関する責任を負いません。
シスコ コラボレーション インフラストラクチャは、SAML 2.0 への準拠を主張する他の IdP と互換性がある可能性もありますが、シスコ コラボレーション ソリューションでテストされているのは次の IdP だけです。
|
-
|
ID プロバイダー:SAML データのエクスポート(Identity providers: Export SAML data)
|
[認証パス(Authentication path)] が [SAML SSO] または [SAML SSOおよびUCM/LDAP(SAML SSO and UCM/LDAP)] の場合に利用可能。
SAML データの操作の詳細については、「Edge 経由の SAML SSO 認証」を参照してください。
|
-
|
Jabber iOS クライアントによる組み込みの Safari の使用の許可(Allow Jabber iOS clients to use embedded Safari)
|
デフォルトでは、IdP または Unified CM の認証ページは、iOS デバイスの組み込み Web ブラウザ(Safari ブラウザではない)に表示されます。このデフォルトのブラウザは iOS の信頼ストアにアクセスできないので、デバイスに導入された証明書を使用することはできません。
この設定では、オプションで、iOS デバイス上の Jabber がネイティブの Safari ブラウザを使用することができます。Safari ブラウザでは、デバイスの信頼ストアにアクセスできるため、OAuth 導入時にパスワードレス認証または二要素認証を有効化できるようになりました。
このオプションには潜在的なセキュリティの問題が存在します。認証が完了した後で、Safari から Jabber にブラウザ制御を返す機能は、カスタム プロトコル ハンドラを呼び出すカスタム URL 方式を使用します。Jabber 以外の別のアプリケーションがこの方式を妨害し、iOS
から制御を取得できます。この場合、アプリケーションは URL の OAuth トークンへアクセスできます。
すべてのモバイル デバイスが管理されているなどの理由で、iOS デバイスに Jabber のカスタム URL 形式を登録する他のアプリケーションがないと確信する場合、オプションを有効にしても安全です。別のアプリケーションがカスタム Jabber
URL を妨害する可能性が心配な場合、組み込み Safari ブラウザを有効にしないでください。
|
[いいえ(No)]
|
SIP トークンの余分なパケット存続時間(SIP token extra time to live)
|
[OAuth トークンによる承認(Authorize by OAuth token)] が [オン(On)] の場合に利用可能。
必要に応じて、簡単な OAuth トークンの存続可能時間(秒)を延長します。クレデンシャルの有効期限が切れた後、コールを受け入れるための短い時間枠をユーザに提供します。ただし、潜在的なセキュリティ リスクが増加します。
|
0 秒
|