ユーザー管理
[設定]→[一般設定]→[ユーザー管理]
ユーザー管理設定では、ユーザー(管理者、オペレーター、ゲスト)と各種権限、RADIUS(外部リンク)サーバー設定、さらに2要素認証やパスワードポリシーの設定ができます。
ユーザー
[設定]→[一般設定]→[ユーザー管理]→[ユーザー]
NetFlow
Analyzerでは、ユーザーを作成し必要な権限を付与できます。
ユーザーは管理者(フルコントロール)権限のあるアカウントでのみ作成可能です。
ユーザーオプションを追加されていない環境の場合、管理者権限のデフォルトユーザー(admin/admin)の他に、もう1アカウントのみを作成することが可能です。
また、設定されている各ユーザーのログインステータスや、直近のログインステータスを確認できます。
ユーザー追加手順
1.画面右上の[ユーザー追加]をクリック
2.以下を入力し[次へ]をクリック
アップフロード : 作成するユーザーに紐づけたい任意の画像をアップロードできます
役割 :
- 管理者 : NetFlow Analyzerで読み書き操作を実行する無制限のアクセス権を持ちます
- オペレーター : 読み込み専用か制限付きのアクセス権を持ちますが、管理者から権限を追加付与できます
- ゲスト : 読み込み専用のアクセス権が、管理者から権限を追加付与できます
- 任意権限 : ロール機能で作成したオリジナル役割に割り当てた任意権限を持ちます
ユーザータイプ : 認証方法を設定できます。ローカル認証/RADIUS認証/AD認証
ユーザー名 : ログインに必要なユーザー名
Email ID : パスワードを忘れた際に必要になるEmailアドレス
パスワード : ログインに必要なパスワード
※次の特殊文字を利用可能です。(! ~ @ # $ % ^ & + = _ *)
※パスワードポリシー設定に従い入力してください。
※各NetFlow Analyzer(Enterprise
Editionでは、各セントラル/コレクター環境)で設定しているユーザーへの割り当て済みメールアドレスは、新規作成ユーザーのメールアドレスには指定できません。
Phone Number : 入力は不要です。
Mobile Number : 入力は不要です。
タイムゾーン : レポート出力に参照するタイムゾーン
3.関連付けたい操作可能機能を選択し[保存]をクリック
※「ネットワークコンフィグ管理」機能と「OpUtils」機能は選択しないでください。国内非サポートです。
なおNetFlow AnalyzerとIdP間でSAMLを構成するには、対応するIdP名を本設定画面で選択してください。
またNetFlow Analyzerで作成したアカウントとIdP側で作成したアカウントは同じである必要があります。
ユーザー編集手順
1.既存のユーザー名をクリック
2.アップロード(画像)/Email ID/パスワード/タイムゾーン の任意項目を編集し[次へ]をクリック
3.関連付けたい操作可能機能を編集し[保存]をクリック
※「ネットワークコンフィグ管理」機能と「OpUtils」機能は選択しないでください。国内非サポートです。
ユーザー削除手順
既存ユーザー名右側のゴミ箱アイコンをクリック
ユーザー権限一覧表
| 権限 | 管理者 | オペレーター | ゲスト | |
| スコープ | すべての装置か、選択した特定装置や装置グループ | 装置すべて | 割り当てスコープに限定 | 割り当てスコープに限定 |
| タブビュー | WLC | ✔ | ✔ | ✔ |
| 攻撃(ASAM) | ✔ | ✘ | ✘ | |
| DPI | ✔ | ✘ | ✘ | |
| IP SLA | ✔ | ✘ | ✘ | |
| アラート | ✔ | ✔ | ✔ | |
| レポート | 検索 | ✔ | ✔ | ✔ |
| レポートプロファイル | ✔ | ✘ | ✘ | |
| フォレンジクス | ✔ | ✔ | ✔ | |
| 統合 | ✔ | ✔ | ✔ | |
| キャパシティプラニング | ✔ | ✔ | ✔ | |
| 比較 | ✔ | ✔ | ✔ | |
| プロトコル分布 | ✔ | ✔ | ✔ | |
| インベントリ | ✔ | ✔ | ✔ | |
| 課金 | ✔ | ✘ | ✘ | |
| 予測 | ✔ | ✔ | ✔ | |
| スケジュール | ✔ | ✘ | ✘ | |
| 設定 | リブランディング | ✔ | ✘ | ✘ |
| アラートプロファイル | ✔ | ✔ | ✘ | |
| NBAR/CBQoS | ✔ | ✘ | ✘ | |
| 高性能レポートエンジン | ✔ | ✘ | ✘ |
ロール
[設定]→[一般設定]→[ユーザー管理]→[ロール]
任意に権限をカスタマイズしたオリジナル役割を作成できます。以降ユーザー追加の際に、作成した役割が指定可能になります。
- 作成 : 役割の追加(Add Role)をクリックし、名前と説明を入力、操作可能とする機能を選択し[保存]をクリック
※ネットワークコンフィグ管理は非サポートです - 編集 : 該当役割(Role)のアクション項目内、メモアイコンをクリックし、任意の項目を編集後[保存]をクリック
※ネットワークコンフィグ管理は非サポートです - 削除 : 該当役割(Role)のアクション項目内、ゴミ箱アイコンをクリック
RADIUSサーバー設定
[設定]→[一般設定]→[ユーザー管理]→[RADIUSサーバー設定]
以下項目を入力し[保存]をクリックし、RADIUSサーバーを設定できます。
ビルド12.5.476まで有効な設定画面です。それ以降はこちらをご参照ください。
| 項目 | 説明 |
| RADIUSサーバーIPアドレス | |
| 認証ポート | 認証ポートを指定 |
| シークレット |
サーバーシークレットを指定 |
| パスワードの変更 |
表示されない場合不要です。「新規に割り当てる」を選択し、オペレーターやユーザーのパスワードをリセットできます。 |
| プロトコル |
プロトコルを選択、デフォルト値はPAP |
| 認証のリトライ回数 |
認証をリトライする回数を指定、デフォルト値は1 |
AD認証
[設定]→[一般設定]→[ユーザー管理]→[AD認証]
ビルド12.5.476まで有効な設定画面です。それ以降はこちらをご参照ください。
[ドメイン追加]からドメイン名/コントローラーの入力、ユーザーが既にAD上に存在する場合には自動ログインを有効化してください。
既存のドメイン情報は、アクションのメモアイコンから編集、ゴミ箱アイコンから削除できます。
以下の手順で、ドメインを追加します。
1.ドメイン名を入力
2.ドメインコントローラー名を入力
3.ADに接続する際のプロトコルを、LDAPまたはLDAPSから選択
LDAPSを選択する場合には、[証明書のインポート]より、接続に必要な証明書をインポートします。
4.自動ログインを有効化させる場合、[自動ログイン有効化]にチェック
※自動ログインが有効になっているドメインに所属するユーザーが初めてNetFlow Analyzerにログインする際に、
該当ユーザーがFirewall Analyzer上のユーザーとして新規追加され、ユーザーライセンス消費の対象になります。
ユーザー数がライセンス上限を超えた場合、それ以降該当ドメインからの新規ユーザーのログインは不可となります。
これを有効化する場合は、更に以下の手順を実施します。
1.アクセス範囲(すべてのユーザーか選択されたグループ)を設定
・すべてのユーザー:自動ログインの権限がすべてのユーザーに付与されます。
・選択されたグループ:自動ログインの権限をもつグループを設定できます。
[選択されたグループ]を選択した際に出現するフィールドに、対象のグループ名を入力してください。
グループのアクセスはそれに応じて適用されます。一行に一つのグループを設定してください。
グループ名は大文字・小文字を区別して、Active Directory のとおりに設定してください。
2.自動ログインを有効化するユーザーの役割を、管理者またはオペレーターから選択
・管理者:ユーザーに完全なAdministrator権限を付与します。
・オペレーター:閲覧権限のみを付与します。
3.[タイムゾーン]を選択
4.[次へ]をクリック
5.ドメイン詳細を設定
ユーザーに、ファイアウォールのルール管理を許可する場合には、チェック
5.[保存]をクリック
2要素認証
[設定]→[一般設定]→[ユーザー管理]→[2要素認証]
以下手順でログインの2要素認証を設定できます。
ビルド12.5.476まで有効な設定画面です。それ以降はこちらをご参照ください。
- [2要素認証を有効にする]のチェックで有効化
- 認証モードを指定
※TOTP認証の場合、認証アプリをインストールしているモバイル端末とNetFlow Analyzerをインストールサーバーが同刻である - [ブラウザーでのログイン情報記録期間]任意指定
※一度認証して以降、次回認証が必要になるまでの期間、最大30日まで設定可能 - [保存]をクリック
認証モード : メール送信先
製品UIへのログイン時にID/パスワードを入力後、該当ユーザーに紐づけしてあるメールアドレス宛にワンタイムパスワードがメール送付されます。
受信したワンタイムパスワードを入力してログインしてください。
メール内容 :
[ユーザー名]さま、
NetFlow Analyzerへのアクセスに利用するワンタイムパスワードは[6桁数字]です。こちらは、15分間有効です。
このパスワードは、セキュリティ上、ほかの方と共有しないでください。
このメールは、NetFlow Analyzerから自動送信しています。返答いただいても、対応できかねます
認証モード : 認証アプリ(TOTP)
認証アプリは以下の3つです。
・Google Authenticator
・Microsoft Authenticator
・Duo Mobile
認証アプリによる2要素認証を有効後、NetFlow Analyzerにログインを試みると各認証アプリ毎のiOS/Android用ダウンロード用QRコードが表示されます。
認証に使用するアプリを選択し手順2に進むと、ユーザー専用のQRコードが表示されます。
モバイル端末にインストールしたアプリで、QRコードを読み込みます。
QRコードを読み込むと、製品名(NetFlow Analyzer)とユーザー名、そのワンタイムパスワードが表示されます。
手順3の画面で、モバイル端末で表示されたワンタイムパスワードを入力しログインします。
2要素認証が正常に機能しない場合のトラブルシューティング
認証アプリのパスワードを入力してもログインできない場合:
TOTP認証の場合、認証アプリをインストールしているモバイル端末とNetFlow Analyzerをインストールサーバーが同刻である必要があります。
相互の時刻を確認し、再度お試しください。
メール認証で、メールが送られてこない場合:
・ご利用のメールクライアントのすべてのメールボックスを確認してください。
・ご利用のメールサーバーに異常が発生していないか確認してください。
・NetFlow Analyzerで設定したメールサーバー設定が機能しているか確認してください。
パスワードポリシー
[設定]→[一般設定]→[ユーザー管理]→[パスワードポリシー]
NetFlow Analyzerへのローカル認証ログイン用のパスワードポリシーを設定できます。
・最短パスワード長 :
パスワードの最短長を指定します。最短5文字、最長100文字まで指定可能です。
・パスワードの履歴を記録する :
過去に設定したパスワードの重複を防ぐために、
指定する履歴数に応じて、過去に使用したパスワードを再設定できないようにします。
・パスワードとユーザー名は同一にはできません :
有効にすると、パスワードとユーザー名に同一の値を設定できなくなります。
・ユーザーアカウントのロックアウトポリシー :
有効にすると、以下の「ログイン失敗の最大試行回数」、「ロックアウト期間」が設定可能になります。
・ログイン失敗の最大試行回数 :
ログイン時に連続で失敗できる回数を指定します。
・ロックアウト期間 :
ログイン失敗時のロックアウト時間(分)を指定します。