ClientNet ポータルのフェデレーションとシングル サインオン

シマンテックはシングル サインオン(SSO)とユーザ アカウントのフェデレーションの両方に Okta を使用します。Okta はサービスとしてユーザー認証を提供する ID プロバイダ (IdP) です。Email Security.cloud ユーザは、有効な電子メール アドレスを使用して Okta に登録するか、企業の IdP を Okta と統合するかを選択できるようになりました。
2021 年 2 月のリリース以前、
ユーザは以下の 2 つの方法のいずれかを使用して ClientNet にサインインしていました。
ユーザー名とパスワード
この方法では、ClientNet を使用してユーザーの資格情報を作成および保存します。管理者は、各アカウントの作成と削除、ユーザーへの役割の割り当ても行います。資格情報は ClientNet によって保存および管理され、ユーザーはシマンテックの他の製品やサービスの個別の資格情報すべてに加えて、ClientNet の資格情報を管理する必要があります。
(お客様に自身のユーザー認証データの制御を許可することで) セキュリティを改善し、(SSO を提供することで) ユーザーエクスペリエンスを向上させるため、この方法は廃止されます。廃止は段階的であり、お客様には Okta の SSO を使用するか Okta がサポートする IdP とのフェデレーションを使用するかを計画および設定する時間を提供します。移行の完了後も、お客様はこれらの資格情報を使用して API を呼び出したり、スタンドアロンツール(これは
サービス
アカウントと呼ばれます)を使用したりすることはできますが、これらの資格情報を使用して ClientNet にサインインすることはできなくなります。
シマンテックアカウント
この方法では、元々は Norton Secure Login を使用して、複数のシマンテック製品およびサービスを使用するお客様にシングルサインオンのエクスペリエンスを提供していました。新しいリリースを使用すると、この方法では SSO 機能を有効にするために Okta のテクノロジが使用されるようになります。
2021 年 2 月のリリース以降、
既存のユーザが初めて ClientNet ポータルにサインインするときに、移行ウィザードが自動的に表示されます。ウィザードは、現在の ClientNet アカウントを SSO またはフェデレーションアカウントにリンクするためのワンタイムプロセスについてユーザーを支援します。ウィザードのプロンプトに対するユーザー応答は、組織が SSO にシマンテックアカウントを使用するか Okta 以外の IdP とのフェデレーションを使用するかのどちらを計画しているかによって異なるため、SSO/フェデレーションが利用可能になったらなるべく早く戦略を決定することをお勧めします。組織は以下のどちらを実装するかを決定する必要があります。
ユーザー名とパスワード (一時的)
SSO もフェデレーションも使用しない従来の ClientNet アクセスです。ユーザー認証データは ClientNet によって保存および管理されます。ユーザーは、移行ウィザードの
[後で決定]
ボタンをクリックすることで、組織がシマンテックアカウントまたはフェデレーションを実装する準備ができるまで移行を延期できます。
シマンテックアカウント (Okta に基づく SSO)
ユーザーはすべてのシマンテック製品およびサービスで共有される単一のユーザー名/パスワードの組み合わせを使用してサインインできます。ユーザー名は必ず電子メールアドレスで、すべての一意のユーザーがアカウントを所有しています。ユーザーの認証データは Okta によって保存および管理されます。
Okta がサポートするさまざまな IdP を使用した SSO/フェデレーション
ユーザーはシマンテック製品全体で共有される単一のユーザー名/パスワードを使用してサインインできます。ユーザーの認証データは使用する IdP によって保存および管理されます。
Okta で SSO を設定する
Okta はすでにシマンテックアカウントへのサインインに使用される基礎技術であるため、(パートナー IdP のように) Okta 自体を設定する必要はありません。すべてのユーザがウィザードを使用してシマンテック アカウントに移行し、新しいユーザが追加され役割を設定すると、設定および移行タスクは完了です。Symantec Account SSO を設定した後、他のシマンテック製品に使用できます。ユーザが別のシマンテック製品に既存のログインをすでに行っている場合、ユーザは Email Security.cloud に新しいアカウントを設定することなく、引き続きそのログインを使用できます。
パートナー IdP とのフェデレーションを設定する
Okta がサポートしている場合、独自の IdP とのフェデレーションを設定できます。パートナー IdP がサポートされていることを確認するには、Okta の Web サイト (www.okta.com) を参照してください。
パートナー IdP とのフェデレーションは、サポートチケットを公開して開始する必要があります。すべてのポータルページの右側の
[サポート]
タブをクリックすることで、ClientNet 内からこれを行うことができます。https://support.broadcom.com/security にアクセスし、
[ケース管理]
をクリックすることで、直接サポートにアクセスすることもできます。製品として Email Security.cloud が含まれるサイト ID に接続する必要があります。
サポートチケットを公開してフェデレーションを要求する場合、以下を指定する必要があります。
  • ユーザーの電子メールドメイン
  • IdP が提供する IdP に関するメタデータを含む XML フラグメント
  • Broadcom の IdP 内の標準属性の属性マッピング
    • ユーザーの電子メールドメイン
    • 電子メールアドレス
    • グループ: 特定のユーザが所属するセキュリティ/アクセス グループのリスト
    • PartnerUserId: フェデレーション IdP での一意のユーザー ID
既存の ClientNet ユーザーの SSO/フェデレーションへの移行
SSO/フェデレーションが利用可能になった後、既存のユーザが初めて ClientNet ポータルにサインインするときに、移行ウィザードが自動的に表示されます。ウィザードは、現在の ClientNet アカウントを SSO/フェデレーションアカウントにリンクするためのワンタイムプロセスについてユーザーを支援します。ウィザードはユーザーの現在の認証ステータスに関する情報を検出し、以下の状況に対処する方法をユーザーに提供します。
  • 重複:
    ユーザが共有アカウントを持っている場合、このボタンをクリックしてユーザの電子メール アドレスにリンクされた重複アカウントを作成します。これによって、アカウントを共有している他のユーザーが同じ方法で移行できるため、新しく作成されるすべてのアカウントのアクセスレベルが同じになります。
  • アカウントのリンク:
    ユーザがシマンテック(フェデレーション)アカウントを持っている場合、このボタンをクリックしてこの ClientNet アカウントをユーザのシマンテックアカウントにリンクさせます。
  • 他へのリンク:
    ユーザがこの電子メール アドレスにリンクしたシマンテック(フェデレーション)アカウントを持っていないが、別の電子メール アドレスにリンクされたアカウントがある場合、このボタンをクリックすると、そのユーザをその他のシマンテック(フェデレーション)アカウントにリンクできます。
  • 新規作成:
    ユーザにシマンテック(フェデレーション)アカウントがない場合、このボタンをクリックして既存の電子メール アドレスを使用して新しいアカウントを作成するか、ユーザの別の電子メール アドレスを入力します。
ウィザードは既存のユーザーに対してのみ表示されるため、現在のユーザーのポータルアカウントを設定するために管理者によってさらなる処理が要求されることはありません。既存のユーザーに役割や権限を割り当てる必要はありません。以前の役割が保持されます。
ユーザがすでに Okta に移行しているためにウィザードが表示されない場合、
[プロファイル]
ページの
[ログインの関連付けを解除]
をクリックすると、ウィザードを強制的に表示できます。
新しい ClientNet ユーザーのフェデレーションアカウントの作成
ClientNet の新規ユーザ、または新しいフェデレーション ユーザは、アクセス役割を割り当てるために管理者がアカウントを作成する必要があります。
新しいユーザーの作成
  1. ポータルで、
    [ダッシュボード]-[管理]-[ユーザー管理]
    に移動し、
    [新しいユーザーを作成する]
    をクリックします。
  2. [ユーザーの詳細]
    タブで、
    [フェデレーションユーザー]
    が選択されていることを確認します。
    ポータルレベルで
    [フェデレーションユーザーのみ]
    がエンフォースされるまで、
    [フェデレーションユーザー]
    は表示されません。まだフェデレーションログインをエンフォースしていない場合、唯一の選択肢は、
    [ポータルユーザー]
    を選択してアカウントアクティブ化電子メールを無視することです。
    [サービスユーザー]
    は、API の呼び出しとスタンドアロンの ClientNet 関連ツールの使用のために追加している資格情報を使用する場合にのみ選択する必要があります。サービスユーザーの資格情報は、ClientNet ポータルへのアクセスには使用できません。
  3. ユーザの名、姓、電子メール アドレス(フェデレーション ログインの電子メール アドレス)、言語、タイム ゾーンを入力します。
  4. ユーザーが有効か無効かを指定します。ユーザーを無効にすると、ユーザーのアカウントを完全に削除する必要なく、ユーザーが一時的にポータルにアクセスできないようにすることができます。
  5. ユーザーが他のユーザーの管理を許可されているかどうかを指定します(追加したユーザーが管理者の場合は
    [はい]
    を選択します)。
  6. ページ下部の
    [既存のシマンテック アカウントにリンク]
    を選択します。
  7. [保存と終了]
    をクリックします。
新しい ClientNet ユーザー用のポータルアカウントを作成しました。次は、そのユーザーに役割を割り当てます。
新しいユーザまたは新しいフェデレーション ユーザに役割を割り当てる
  1. ポータルで、
    [ダッシュボード]-[管理]-[ユーザー管理]
    に移動します。
  2. [ユーザーの役割]
    タブをクリックします。
  3. [標準の役割を使う]
    をクリックします。
  4. このユーザーに適用する役割の種類を選択します。
  5. [役割の追加]
    をクリックします。
[ユーザーの役割]
タブに役割が表示されます。
ポータルレベルでのフェデレーションサインインのエンフォース
Okta またはパートナー IdP で SSO/フェデレーションを設定し、すべてのユーザーを移行した後、最後にフェデレーションをポータルレベルでエンフォースします。
フェデレーションをエンフォースすると、そのポータルのユーザーの他のすべてのサインイン方法は自動的に
無効化
されます。IdP とのフェデレーションを設定し、すべてのユーザーが移行ウィザードを使用してフェデレーション前のアカウントをフェデレーションアカウントにリンクさせるまで、以下の手順は実行しないでください。
フェデレーションの有効化と無効化
  1. ClientNet ポータルで、
    [ダッシュボード]-[管理]-[アクセス制御]
    に移動します。
  2. すべての ClientNet ポータルユーザーのフェデレーションをオン/オフするには、スライダーを使用します。
以下も参照してください: