Cisco Identity Services Engine 管理者ガイド リリース 1.3
ゲスト アクセスの設定
ゲスト アクセスの設定

目次

ゲスト アクセスの設定

Cisco ISE ゲスト サービス

Cisco Identity Services Engine(ISE)ゲスト サービスを使用すると、ビジター、請負業者、コンサルタント、顧客などのゲストにセキュアなネットワーク アクセスを提供することができます。 Cisco ISE の基本ライセンスを持つゲストをサポートでき、会社のインフラストラクチャと機能の要件に応じて複数の展開オプションから選択できます。

Cisco ISE は、企業のネットワークおよび内部リソースとサービスへのゲスト(および従業員)のオンボーディングを行う Web ベースのモバイル ポータルを提供します。

管理者ポータルで、ゲスト ポータルおよびスポンサー ポータルの作成と編集、ゲスト タイプの定義によるゲスト アクセス権限の設定、ゲスト アカウントの作成と管理のためのスポンサー権限の割り当てを行うことができます。

分散環境のエンドユーザのゲスト ポータルとスポンサー ポータル

Cisco ISE のエンドユーザ Web ポータルは、管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナに基づき、設定、セッション サポート、およびレポート機能を提供します。

管理ノード

エンドユーザ ポータルでユーザまたはデバイスに対して行う設定変更は、すべて管理ノードに書き込まれます。 プライマリ管理ノードに障害が発生した場合、エンドユーザ ポータルにログインできますが、プライマリ ノードが再起動するか、またはセカンダリ ノードを昇格するまで、ユーザまたはデバイスを作成、編集、または削除することはできません。

ポリシー サービス ノード

エンドユーザ ポータルはポリシー サービス ノードで実行する必要があります。ここでは、ネットワーク アクセス、クライアント プロビジョニング、ゲスト サービス、ポスチャ、およびプロファイリングを含むすべてのセッション トラフィックが処理されます。 ポリシー サービス ノードがノード グループに含まれる場合、ノードで障害が発生すると、他のノードが障害を検出し、保留中のセッションをリセットします。

モニタリング ノード

モニタリング ノードは、デバイス ポータル、スポンサー ポータル、およびゲスト ポータルでのエンドユーザおよびデバイスのアクティビティについて、データを収集、集約、およびレポートします。 プライマリ モニタリング ノードで障害が発生した場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。

ゲスト アカウントとスポンサー アカウント

ゲスト サービスでは、さまざまなタイプのユーザ(ゲスト、スポンサー、および従業員)がサポートされています。 管理者ポータルから、スポンサーのアクセス権限および機能サポートを定義する必要があります。 これで、スポンサーはスポンサー ポータルにアクセスし、ゲスト アカウントを作成および管理します。

ゲスト アカウントが作成されると、ゲストは Sponsored-Guest ポータルを使用してネットワークにログインおよびアクセスできます。 またゲストは、アカウント登録ゲスト ポータルを使用して自分自身を登録してから、ネットワークにアクセスすることで、独自のアカウントを作成することもできます。 これらのアカウント登録ゲストは、ポータル設定に基づいて、ログイン クレデンシャルを受け取る前にスポンサーの承認が必要になる場合があります。 ゲストは、ホットスポット ゲスト ポータルを使用してネットワークにアクセスすることもできます。このポータルでは、ゲスト アカウントやユーザ名およびパスワードなどのログイン クレデンシャルを作成する必要はありません。

ID ストア(Active Directory、LDAP、内部ユーザなど)に含まれている従業員は、クレデンシャルを持つゲスト ポータル(Sponsored-Guest ポータルおよびアカウント登録ゲスト ポータル)が設定されている場合には、これを使用してアクセスすることもできます。

ゲスト アカウント

ゲストとは、通常、ネットワークへのアクセスを必要とする承認ユーザ、担当者、顧客、その他の一時ユーザを表します。 ただし、いずれかのゲスト展開シナリオを使用して、従業員のネットワーク アクセスを許可する場合は、従業員用のゲスト アカウントを使用することもできます。 スポンサー ポータルにアクセスして、スポンサーおよびアカウント登録ゲストによって作成されたゲスト アカウントを表示できます。

ゲスト アカウントの管理

スポンサー ポータルを使用して、承認ユーザ用の一時アカウントを作成し、企業ネットワークまたはインターネットにセキュアにアクセスできるようにします。 ゲスト アカウントを作成した後、スポンサー ポータルを使用してそれらのアカウントを管理し、ゲストにアカウントの詳細を提供できます。

ISE 管理者は、次の方法のいずれかでスポンサー ポータルにアクセスできます。

  • [ゲスト アクセス(Guest Access)] メニューから [アカウントの管理(Manage Accounts)] リンクを使用:デフォルトのスポンサー ポータルへのフルアクセス。

  • スポンサー ポータルから有効なスポンサー アカウントを使用:スポンサーが属するスポンサー グループに基づく権限および制限。


(注)  


Active Directory などの外部 ID ストアの ISE 管理者はスポンサー グループに所属できます。 ただし、内部管理者アカウント(たとえば、デフォルトの「admin」アカウント)はスポンサー グループに含めることはできません。


手順
    ステップ 1   [ゲスト アクセス(Guest Access)] > [アカウントの管理(Manage Accounts)] をクリックして、管理者ポータルからスポンサー ポータルにアクセスします。

    スポンサー ポータルが表示されます。 自動的に認証され、スポンサー ポータルにログインします。 スポンサー ポータル セッションが何らかの理由で終了した場合は、管理者ポータルからスポンサー ポータルを起動するか、またはスポンサー クレデンシャルを使用してスポンサーポータルにログインします。 管理者アカウントを使用してスポンサー ポータルに直接ログインすることはできません。

    ステップ 2   スポンサー ポータルを使用する方法については、『Sponsor Portal User Guide for Cisco Identity Services Engine, Release 1.3』を参照してください。

    ゲスト タイプおよびユーザ ID グループ

    ゲスト アカウントをゲスト タイプに関連付ける必要があります。 ゲスト タイプを使用して、スポンサーは、ゲスト アカウントに対して、さまざまなレベルのアクセス権や、さまざまなネットワーク接続時間を割り当てることができます。 これらのゲスト タイプは、特定のネットワーク アクセス ポリシーに関連付けられます。 Cisco ISE には、次のデフォルト ゲスト タイプが含まれます。

    • 担当者:長い期間(最大 1 年)、ネットワークへのアクセスを必要とするユーザ。

    • 日次:1 ~ 5 日間の短期間に、ネットワーク リソースへのアクセスを必要とするゲスト。

    • 週次:2 ~ 3 週間の間、ネットワークへのアクセスを必要とするユーザ。

    ゲスト アカウントを作成する場合、特定のスポンサー グループを特定のゲスト タイプを使用するように制限することができます。 このようなグループのメンバーは、そのゲスト タイプに指定された機能のみを持つゲストを作成できます。 たとえば、スポンサー グループ ALL_ACCOUNTS は担当者ゲスト タイプのみを使用するように設定でき、スポンサー グループ OWN_ACCOUNTS および GROUP_ACCOUNTS は日次または週次ゲスト タイプを使用するに設定できます。 また、通常、アカウント登録ゲストポータルを使用するアカウント登録ゲストは、1 日のみのアクセスを必要とするため、これらのゲストには日次ゲスト タイプを割り当てることができます。

    ゲスト タイプは、ゲストのユーザ ID グループを定義します。 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ユーザ ID グループ(User Identity Groups)] で、ユーザ ID グループを設定できます。 特定のゲスト タイプの削除によってのみ、ゲストのユーザ ID グループを削除できます。

    ゲスト タイプのアクセス権限の設定

    Cisco ISE から提供されるデフォルトのゲスト タイプ、およびそのデフォルトのアクセス権限と設定を使用できます。 デフォルト オプションを使用しない場合、新しいゲスト タイプを作成するか、デフォルトのゲスト タイプを編集して設定を変更できます。 ゲスト タイプを使用してすでに作成されたゲスト アカウントにすべての変更が適用されるわけではありません。 また、ゲスト タイプを複製して、同じアクセス権限を持つ新しいゲスト タイプを作成できます。

    各ゲスト タイプに名前、説明、およびこのゲスト タイプでゲスト アカウントを作成できるスポンサー グループのリストがあります。 ゲスト タイプに対して、アカウント登録ゲストにのみ使用すること、(任意のスポンサー グループによる)ゲスト アカウントの作成には使用しないこと、などを指定できます。

    手順
      ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト タイプ(Guest Types)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。
      ステップ 2   [ゲスト タイプ名(Guest type name)] および [説明(Description)] に基本識別情報を入力します。 使用する場所に関するメモを追加します。
      ステップ 3   [言語(Languages)] をクリックして、このゲスト タイプに表示されるカスタム フィールドおよびこのゲスト タイプに送信されるアカウント有効期限通知に使用される言語を指定します。
      ステップ 4   [カスタム フィールド(Custom Fields)] をクリックして、誕生日や代替電子メール アドレスなど、アカウント作成時にこのゲスト タイプ用に収集する追加情報を選択します。 これらのフィールドは、アカウント登録ゲスト ポータルの [アカウント登録ページの設定(Self-Registration Page Settings)] およびスポンサー付きゲスト用スポンサー ポータルの [既知のゲストのアカウント作成(Create Accounts for Known Guests)] の [カスタム フィールド(Custom Fields)] リストに表示されます。
      ステップ 5   このゲスト タイプに割り当てられているゲストがどの日のどの時間帯にどれだけの時間ネットワークに接続できるかを [最大アクセス時間(Maximum Access Time)] に指定します。

      [最大アカウント有効期間(Maximum Account Duration)] を変更した場合、その変更は初期設定を使用して作成されたゲスト アカウントには適用されません。

      ステップ 6   [ログイン オプション(Login Options)] で、最大ユーザ セッション数、ゲストが最大数を超えた場合に実行する操作、ゲストがキャプティブなクレデンシャルを持つゲスト ポータルをバイパスできるかどうかなどを指定します。
      ステップ 7   [アカウント有効期限通知(Account Expiration Notification)] 情報に、アカウントの期限が切れる前にゲストに事前に通知する方法、通知の言語、および通知手段(電子メールまたはテキスト)を指定します。
      ステップ 8   [スポンサー グループ(Sponsor Groups)] で、このゲスト タイプを使用してゲスト アカウントを作成できるグループの名前を選択します。 このゲスト タイプを使用できないようにする場合は、どのスポンサー グループにも割り当てないでください。リストにスポンサー グループがある場合は、それらを削除します。

      次の作業

      • このゲスト タイプを使用するスポンサー グループを作成または変更します。

      • 該当する場合は、アカウント登録ゲスト ポータルで、このゲスト タイプをアカウント登録ゲストに割り当てます。

      ゲスト タイプの無効化

      ゲスト アカウントで使用されているゲスト タイプのうち、最後に残ったゲスト タイプは削除できません。 使用されているゲスト タイプを削除するには、最初にそのゲスト タイプが使用できなくなることを確認します。

      手順
        ステップ 1   必要に応じて、次のいずれか 1 つまたは両方を実行します。
        • [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト タイプ(Guest Type)] を選択し、[スポンサー グループ(Sponsor Groups)] の特定のゲスト タイプを使用して、すべてのスポンサー グループを削除します。 これにより、すべてのスポンサーが新しいゲスト アカウントの作成に使用されることを効果的に回避できます。
        • [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト ポータル(Guest Portals)] を選択します。 特定のゲスト タイプを使用しているアカウント登録ゲスト ポータルを選択し、アカウント登録ゲストの割り当てゲスト タイプを変更します。
        ステップ 2   [保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

        期限切れのゲスト アカウントの消去

        ゲスト アカウントがアカウント有効期間(スポンサーがアカウントを作成するときに定義)の終了に達すると、そのアカウントは失効します。 ゲスト アカウントが期限切れになった場合、影響を受けるゲストはネットワークにアクセスできません。 スポンサーは、期限切れになったアカウントを、消去される前に延長することができます。 ただし、アカウントが消去された場合、スポンサーは、新しいアカウントを作成する必要があります。

        期限切れになったゲスト アカウントが消去された場合、関連するエンドポイントおよびレポート情報とロギング情報は保持されます。

        Cisco ISE は、デフォルトで 15 日ごとに期限切れになったゲスト アカウントを自動的に消去します。 [次回消去日(Date of next purge)] は、次の消去の発生時期を示します。 次のことも実行できます。
        • 消去と消去の間の特定の間隔で指定された曜日に消去をスケジュールする。

        • 必要に応じて、即時に強制的に消去を行う。

        消去が実行されるようにスケジュールされているときに Cisco ISE サーバがダウンした場合は、消去は行われません。 消去プロセスは、サーバがその時点で動作していれば、次にスケジュールされている消去時に再度実行されます。

        手順
          ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Settings)] > [ゲスト アカウント消去ポリシー(Guest Account Purge Policy)] を選択します。
          ステップ 2   次のオプションのいずれかを選択します。
          • 期限切れのゲスト アカウント レコードを即時に消去するには、[今すぐ消去(Purge Now)] をクリックします。
          • 消去をスケジュールするには、[期限切れのゲスト アカウントの消去のスケジュール(Schedule purge of expired guest accounts)] をオンにします。
            (注)     

            各消去の完了後に、[次回消去日(Date of next purge)] が次にスケジュールされている消去に合わせてリセットされます。

          ステップ 3   LDAP および Active Directory ユーザ用に Cisco ISE データベースに保持されているユーザに固有のポータル レコードが、非アクティブの状態で何日経過すると消去されるかを指定します。
          ステップ 4   [保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

          ゲスト アカウント作成用のカスタム フィールドの追加

          ゲスト アクセスを提供する場合、名前、電子メール アドレス、電話番号以外の情報をゲストから収集する必要がある場合があります。 Cisco ISE には、会社のニーズに固有の、ゲストに関する追加情報の収集に使用できるカスタム フィールドが用意されています。 ゲスト タイプおよびアカウント登録ゲスト ポータルとスポンサー ポータルにカスタム フィールドを関連付けることができます。 Cisco ISE はデフォルトのカスタム フィールドを提供しません。

          手順
            ステップ 1   すべてのゲスト ポータルとスポンサー ポータルのカスタム フィールドを追加、編集、または削除するには、[ゲスト アクセス(Guest Access)] > [設定(Settings)] > [カスタム フィールド(Custom Fields)] を選択します。
            ステップ 2   [カスタム フィールド名(Custom Field Name)] に入力し、ドロップダウン リストからデータ タイプを選択し、カスタム フィールドに関する追加情報を提供するのに役立つヒント テキストを入力します。 たとえば、Date of Birth と入力し、[Date-MDY] を選択して、日付形式に関するヒントとして MM/DD/YYYY を入力します。
            ステップ 3   [追加(Add)] をクリックします。

            カスタム フィールドがリストにアルファベット順またはソート順序のコンテキストで表示されます。

            ステップ 4   [保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。
            (注)     

            カスタム フィールドを削除すると、ゲスト タイプの [カスタム フィールド(Custom Fields)] リスト、およびアカウント登録ゲスト ポータルとスポンサー ポータルの設定で選択できなくなります。 フィールドが使用されている場合、[削除(Delete)] は無効になります。


            次の作業

            目的のカスタム フィールドを含めることが可能です。

            電子メールでの通知用の電子メール アドレスおよび SMTP サーバの指定

            Cisco ISE では、スポンサーおよびゲストに、情報と手順を通知する電子メールを送信できます。 これらの電子メールでの通知を配信するように SMTP サーバを設定できます。 また、ゲストに通知を送信する電子メール アドレスを指定できます。

            スポンサーは、ゲストに手動で電子メールでの通知を送信して、ログイン クレデンシャルおよびパスワード リセット手順を配信できます。 スポンサーは、アカウント登録ゲストの承認を要求する、電子メールでの通知を受信することもできます。

            ポータル設定中に、ゲストがアカウント登録に成功した後、ログイン クレデンシャルの電子メール通知がゲストに自動的に送信されるようにできます。

            手順
              ステップ 1   電子メール設定を指定し、すべてのゲスト ポータルおよびスポンサー ポータルの SMTP サーバを設定するには、[ゲスト アクセス(Guest Access)] > [設定(Settings)] > [ゲスト電子メールの設定(Guest Email Settings)] を選択します。
              ステップ 2   SMTP サーバをさらに追加する場合は、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMTP サーバ(SMTP Server)] を選択します。

              通知を有効にするように SMTP サーバを設定します。

              [ゲストへの電子メール通知を有効にする(Enable email notifications to guests)] はデフォルトでオンになっています。 この設定を無効にした場合、ゲストは、ゲスト ポータルとスポンサー ポータルの設定中に有効にした他の設定に関係なく、電子メールでの通知を受信しません。

              ステップ 3   ゲストに電子メールでの通知を送信するために指定されている [デフォルトの送信元メールアドレス(Default “From” email address)] を入力します。 たとえば、donotreply@yourcompany.com と入力します。
              ステップ 4   次のいずれかを実行します。
              • ゲストのアカウントを作成したスポンサーからの通知をゲストが受信するようにする場合は、[スポンサーの電子メール アドレスから通知を送信する(スポンサードの場合)(Send notifications from sponsor's email address (if sponsored))] をオンにします。 アカウント登録ゲストは、デフォルトの電子メール アドレスから通知を受信します。
              • ゲストがスポンサードかアカウント登録かに関係なく通知を受信するようにする場合は、[常にデフォルトの電子メール アドレスから通知を送信する(Always send notifications from the default email address)] をオンにします。
              ステップ 5   [保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

              ゲスト アクセスのロケーションと SSID の割り当て

              ロケーションを設定し、そのロケーションでゲストが使用できる、ネットワークの Service Set Identifier(SSID)を設定できます。 ロケーションは、ゲスト アカウントに適用するタイム ゾーンの決定、およびゲストに適用する有効な時間範囲とその他の時間パラメータの定義に役立ちます。 これらのロケーションをアカウント登録ゲストが使用できるようにし、かつ、ゲスト アカウントの登録に使用するために、これらのロケーションおよび SSID をスポンサーに提供できます。


              (注)  


              ゲスト アカウントにロケーションと SSID を割り当てても、ゲストが他のロケーションにログインすることは防止できません。


              手順
                ステップ 1   すべてのゲスト ポータルおよびスポンサー ポータルのロケーションと SSID を追加、編集、または削除するには、[ゲスト アクセス(Guest Access)] > [設定(Settings)] > [ゲスト ロケーションおよび SSID(Guest Locations and SSIDs)] を選択します。
                ステップ 2   [ゲスト ロケーション(Guest Locations)]:
                1. [ロケーション名(Location name)] に入力し、ドロップダウン リストからタイム ゾーンを選択します。
                2. [追加(Add)] をクリックします。 ロケーション名および関連タイム ゾーンが、アルファベット順またはソート順序のコンテキストでリストに表示されます。 タイム ゾーンのデフォルト形式では、ロケーションの名前、タイム ゾーンの名前、および GMT オフセットはスタティックであり、これらを変更できません。 GMT オフセットは夏時間の変更によって変更されません。
                (注)     

                ロケーションを削除すると、そのロケーションは、スポンサー グループのゲスト ロケーションのリストで選択できなくなり、アカウント登録ゲストとスポンサー ポータルの設定に使用できなくなります。 名前が使用されている場合、[削除(Delete)] は無効になります。

                ステップ 3   [ゲスト SSID(Guest SSIDs)]:
                1. 指定したロケーションでゲストが使用できるネットワークの SSID 名を入力します。
                2. [追加(Add)] をクリックします。 SSID は、アルファベット順に表示されます。
                (注)     

                SSID を削除すると、その SSID は、スポンサー グループおよびスポンサー ポータルの設定で使用するために選択されているゲストのロケーションで使用できなくなります。 SSID が使用されている場合、[削除(Delete)] ボタンは無効になります。

                ステップ 4   [保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

                次の作業

                新しいロケーションまたは SSID を追加すると、次のことが可能になります。

                ゲスト パスワード ポリシーのルール

                Cisco ISE には、ゲスト ユーザ パスワードについて次の組み込みルールがあります。
                • ゲスト パスワード ポリシーに対する変更は、ゲスト パスワードの期限が切れて変更が必要になるまで、既存のアカウントに影響しません。

                • パスワードは大文字と小文字を区別します。

                • これらの特殊文字 <>/% は、使用できません。

                • 最小長および最小必須文字数は、すべてのパスワードに適用されます。

                • パスワードとユーザ名を同じにすることはできません。

                • 新規パスワードと既存パスワードを同じにすることはできません。

                • ゲスト アカウントの期限切れとは異なり、ゲストはパスワードが期限切れになる前に通知を受信しません。 ゲスト パスワードが期限切れになった場合は、スポンサーがパスワードをランダム パスワードにリセットするか、ゲストが現在のログイン クレデンシャルを使用してログインしてからパスワードを変更することができます。

                ゲスト パスワード ポリシーと有効期限の設定

                すべてのゲスト ポータルとスポンサー ポータルのゲスト パスワード ポリシーを定義できます。 ゲスト パスワード ポリシーでは、すべてのゲスト アカウントのパスワードの生成方法を決定します。 パスワード ポリシーは、アルファベット、数字、特殊文字を組み合わせて作成することができます。 また、ゲスト パスワードが期限切れになるまでの日数を設定し、ゲストにパスワードのリセットを要求することができます。 これは、すべてのゲストに影響を与えるグローバル設定です。

                手順
                  ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Settings)] > [ゲスト パスワード ポリシー(Guest Password Policy)] を選択します。
                  ステップ 2   ゲスト パスワードの [最小パスワード長(Minimum password length)](文字数)を入力します。
                  ステップ 3   パスワードの作成にゲストが使用できる各文字セットの文字を指定します。 [許可される文字数と最小値(Allowed Characters and Minimums)] で次のいずれか 1 つのオプションを選択して、ゲスト用のパスワード ポリシーを指定します。
                  • 各文字セットのすべての文字を使用します。
                  • 特定の文字の使用を防止するには、ドロップダウン メニューから [カスタム(Custom)] を選択し、その文字を事前定義済みの完全なセットから削除します。
                  ステップ 4   各セットから、使用する最小文字数を入力します。 4 つの文字セットの必須文字数の合計が、全体の最小パスワード長を超えないようにする必要があります。
                  ステップ 5   [パスワードの有効期限(Password Expiration)] で、次のいずれか 1 つを選択します。
                  • 最初のログイン後にゲストがパスワードを変更する必要がある頻度を指定します(日数)。 期限切れになる前にゲストがパスワードをリセットしないと、次回に元のログイン クレデンシャルを使用してネットワークにログインするときに、パスワードを変更するように促されます。
                  • パスワードを無期限に設定します。
                  ステップ 6   [保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

                  次の作業

                  パスワード要件を提示するためのパスワード ポリシーに関連したエラー メッセージをカスタマイズする必要があります。

                  1. [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [Sponsored-Guest ポータル(Sponsored-Guest Portal)]、[アカウント登録ゲスト ポータル(Self-Registered Guest Portals)]、[スポンサー ポータル(Sponsor Portals)]、または [デバイス ポータル(My Devices Portals)] > [編集(Edit)] > [ポータル ページのカスタマイズ(Portal Page Customization)] > [エラー メッセージ(Error Messages)] を選択します。

                  2. キーワード「policy」を検索します。

                  ゲスト ユーザ名ポリシーのルール

                  Cisco ISE には、ゲスト ユーザ名ポリシーについて次の組み込みルールがあります。
                  • ゲスト ユーザ名ポリシーに対する変更は、ゲスト アカウントの期限が切れて変更が必要になるまで、既存のアカウントに影響しません。

                  • ユーザ名は、大文字と小文字が区別されます。

                  • これらの特殊文字 <>/% は、使用できません。

                  • 最小長および最小必須文字数は、電子メール アドレスに基づいたユーザ名を含め、すべてのシステム生成ユーザ名に適用されます。

                  • ユーザ名の手動生成(インポート ファイル内など)では、ユーザ名の最小長のみが適用されます。

                  • ユーザ名とパスワードを同じにすることはできません。

                  • ゲストは、パスワードが期限切れになる前に通知を受信しません。

                  ゲスト ユーザ名ポリシーの設定

                  ゲストの電子メール アドレスまたは名と姓に基づいてゲスト ユーザ名を作成できます。 また、ゲスト ユーザ名は、アルファベット、数字、特殊文字をランダムに組み合わせて作成することができます。 スポンサーがランダム アカウントを作成する場合、単一の操作で複数のゲストのユーザ名を生成する場合、またはゲスト名と電子メール アドレスが使用可能でない場合は、ランダム ゲスト ユーザ名ポリシーが使用されます。 これは、すべてのゲストに影響を与えるグローバル設定です。

                  手順
                    ステップ 1   すべてのゲスト ポータルとスポンサー ポータルのゲスト ユーザ名ポリシーを定義するには、[ゲスト アクセス(Guest Access)] > [設定(Settings)] > [ゲスト ユーザ名ポリシー(Guest Username Policy)] を選択します。
                    ステップ 2   ゲスト ユーザ名の [ユーザ名の最小長(Minimum username length)](文字数)を入力します。
                    ステップ 3   [既知のゲストのユーザ名基準(Username Criteria for Known Guests)] で次のいずれか 1 つのオプションを選択して、既知のゲストのユーザ名を作成するためのポリシーを指定します。
                    ステップ 4   [ランダムに生成されるユーザ名で使用できる文字(Characters Allowed in Randomly-Generated Usernames)] で次のいずれか 1 つのオプションを選択して、ゲストのランダム ユーザ名を作成するためのポリシーを指定します。
                    • 各文字セットのすべての文字を使用します。
                    • 特定の文字の使用を防止するには、ドロップダウン メニューから [カスタム(Custom)] を選択し、その文字を事前定義済みの完全なセットから削除します。
                    ステップ 5   各セットから、使用する最小文字数を入力します。 3 つの文字セットからの合計文字数は、[ユーザ名の最小長(Minimum username length)] に指定されている数を超えないようにする必要があります。
                    ステップ 6   [保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

                    次の作業

                    ユーザ名要件を提示するためのユーザ名ポリシーに関連したエラー メッセージをカスタマイズする必要があります。

                    1. [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [Sponsored-Guest ポータル(Sponsored-Guest Portal)]、[アカウント登録ゲスト ポータル(Self-Registered Guest Portals)]、[スポンサー ポータル(Sponsor Portals)]、または [デバイス ポータル(My Devices Portals)] > [編集(Edit)] > [ポータル ページのカスタマイズ(Portal Page Customization)] > [エラー メッセージ(Error Messages)] を選択します。

                    2. キーワード「policy」を検索します。

                    SMS 通知用の SMS ゲートウェイの設定

                    ゲストとスポンサーへの SMS 通知の配信に使用する SMS ゲートウェイを設定できます。 Cisco ISE では、SMS ゲートウェイを追加する予定がない場合に、この目的のために選択する必要があるデフォルトの SMS ゲートウェイ(Click-A-Tell)が提供されます。 この SMS サービス プロバイダーは、SMS 対応デバイスを持つすべてのユーザに通知します。 サービスを使用する前に Click-A-Tell のアカウントを設定する必要があります。

                    ただし、SMS 通知の送信にかかる会社の経費を最小化するために、Verizon や AT&T など、無料 SMS サービスを提供する SMS プロバイダーおよびアカウント登録ゲストが使用するプロバイダーを追加することを推奨します。

                    スポンサーが、ゲストに手動で SMS 通知を送信して、ログイン クレデンシャルおよびパスワード リセット手順を配信することを許可できます。 また、ポータル設定中に、アカウント登録が成功したゲストに、ログイン クレデンシャルの SMS 通知が自動的に送信されるようにできます。

                    手順
                      ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] を選択します。
                      ステップ 2   SMS ゲートウェイをさらに追加する場合は、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] を選択します。
                      ステップ 3   [保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

                      次の作業

                      新しい SMS ゲートウェイを追加すると、次のことが可能になります。

                      スポンサー アカウント

                      スポンサーは、スポンサー ポータルを使用してゲスト アカウントを作成できる内部ユーザの特殊なタイプです。 他の内部ユーザと同様、Cisco ISE では、ローカル データベースあるいは外部の Lightweight Directory Access Protocol(LDAP)または Microsoft Active Directory ID ストアによりスポンサーを認証します。 外部ソースを使用しない場合、Cisco ISE でスポンサー用の内部ユーザ アカウントを作成する必要があります。

                      スポンサー グループ

                      スポンサー グループ設定は、スポンサーの権限および設定を定義します。 Cisco ISE には、次のデフォルトのスポンサー グループがあります。

                      • ALL_ACCOUNTS:Cisco ISE ネットワーク内のすべてのゲスト アカウントを管理できるスポンサー。 システム管理者として、ユーザはデフォルトでこのスポンサー グループに属しています。

                      • GROUP_ACCOUNTS:同じスポンサー グループのスポンサーが作成したゲスト アカウントを管理できるスポンサー。

                      • OWN_ACCOUNTS:自分が作成したゲスト アカウントのみを管理できるスポンサー。

                      特定のスポンサー グループで使用可能な機能をカスタマイズでき、それによりスポンサー ポータルの機能を制限または拡張できます。 次に例を示します。

                      • スポンサーが 1 回の操作で複数のゲスト アカウントを作成することを許可できます。

                      • スポンサーが作成したゲスト アカウントを他のスポンサーが管理することを制限できます。

                      • ゲスト パスワードをスポンサーが表示することを制限できます。

                      • アカウント登録ゲストからの要求を承認または拒否する権限をスポンサーに付与できます。

                      • スポンサーがゲスト アカウントを削除、一時停止、および回復することを許可できます。

                      • スポンサー グループを無効にして、スポンサー ポータルにメンバーがログインすることを防ぐことができます。

                      スポンサー アカウントの作成およびスポンサー グループへの割り当て

                      内部スポンサー ユーザ アカウントを作成し、スポンサー ポータルを使用できるスポンサーを指定するには、次の手順を実行します。

                      手順
                        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。 適切なユーザ ID グループに内部スポンサー ユーザ アカウントを割り当てます。
                        ステップ 2   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [スポンサー グループ(Sponsor Groups)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択し、[メンバー(Members)] をクリックします。 スポンサー ユーザ ID グループをスポンサー グループにマッピングします。

                        次の作業

                        スポンサーで使用するために、追加で組織に固有のユーザ ID グループを作成することもできます。 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

                        スポンサー グループのスポンサー権限の設定

                        Cisco ISE によって提供されているデフォルトのスポンサー グループと、それぞれのデフォルト設定および権限を使用できます。 デフォルト オプションを使用しない場合、新しいスポンサー グループを作成するか、またはデフォルトのスポンサー グループを編集して設定を変更できます。 スポンサー グループを複製して、同じ設定と権限を持つ追加スポンサー グループを作成することもできます。

                        スポンサー グループを無効にすることができます。無効になったグループのメンバーはスポンサー ポータルにログインできなくなります。 Cisco ISE によって提供されているデフォルトのスポンサー グループ以外のスポンサー グループを削除できます。

                        手順
                          ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [スポンサー グループ(Sponsor Groups)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。
                          ステップ 2   [スポンサー グループ名(Sponsor group name)] および [説明(Description)] に ID 情報を入力します。
                          ステップ 3   [メンバー(Members)] をクリックして、ユーザ ID グループを選択し、スポンサー グループにメンバーとして追加します。
                          ステップ 4   事前定義済みリストから [このスポンサー グループはゲスト タイプを使用してアカウントを作成できる(This sponsor group can create accounts using these guest types)] を指定します。 [次の場所にゲスト タイプを作成(Create Guest Types at)] オプションを使用して、このスポンサー グループに割り当てる追加のゲスト タイプを作成できます。
                          ステップ 5   [ゲストが訪問するロケーションを選択(Select the locations that guests will be visiting)] を使用して、ゲスト アカウントの作成時にスポンサー グループのスポンサーが選択できるロケーション(ゲストの時間帯の設定に使用)を指定します。 [次の場所にゲスト ロケーションを設定(Configure guest locations at)] オプションを使用して、選択できるロケーションをさらに追加できます。

                          これによって、ゲストが他のロケーションからログインできなくなることはありません。

                          ステップ 6   インポート オプション(ゲスト情報を使用して生成されたアカウントの場合)またはユーザ名プレフィクス オプション(ランダムに生成されたアカウントの場合)を使用して、スポンサーが複数のゲスト アカウントを作成できるかどうか、およびその作成方法を指定します。 また、一度に作成できるアカウントの量を指定できます。
                          ステップ 7   [スポンサーが管理可能(Sponsor Can Manage)] を使用して、スポンサー グループのメンバーが表示および管理できるゲスト アカウントを制限します。
                          ステップ 8   [スポンサーの権限(Sponsor Can)] を使用して、スポンサー グループのメンバーに、ゲストのパスワードおよびアカウントに関連する追加の権限を提供します。 [スポンサーが管理可能(Sponsor Can Manage)] でスポンサー グループに割り当てられた権限によって、スポンサーがこれらの操作を実行できるゲスト アカウントが定義されます。
                          ステップ 9   [保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

                          ゲスト ポータル

                          社外の人が企業のネットワークを使用してインターネットまたはネットワーク内のリソースおよびサービスにアクセスしようとしている場合、さまざまなゲスト ポータルを介してネットワーク アクセスを提供することができます。

                          ユーザ名とパスワードを要求しないホットスポット ゲスト ポータルを使用するか、またはログイン クレデンシャルを使用するクレデンシャルを持つゲスト ポータルを使用して、ログインすることができます。 Cisco ISE でこの機能を有効にすることが望ましい場合は、従業員であっても、企業のネットワークへのアクセスにこれらのゲスト ポータルを使用することができます。

                          クレデンシャルを持つゲスト ポータルには次の 2 種類があります。

                          • Sponsored-Guest ポータル:ゲスト アカウントを作成するスポンサーによって、ネットワーク アクセスが付与されます。

                          • アカウント登録ゲスト ポータル:ゲストも自分自身のアカウントを作成できますが、ネットワーク アクセスが付与される前にスポンサーの承認が必要になる場合があります。

                          Cisco ISE には、事前定義済みのデフォルト ポータルのセットを含む複数のゲスト ポータルを Cisco ISE サーバでホストする機能が用意されています。 デフォルトのポータル テーマには、管理者ポータルからカスタマイズできる標準のシスコ ブランドが適用されています。 組織に固有のイメージ、ロゴ、およびカスケーディング スタイル シート(CSS)ファイルをアップロードして、ポータルをさらにカスタマイズすることもできます。

                          ゲスト ポータルのログイン コードとクレデンシャル

                          Cisco ISE では、ゲストにさまざまなタイプのクレデンシャルを使用したログインを要求することによって、保護されたネットワーク アクセスを提供します。 ゲストがこれらのクレデンシャルの 1 つまたは組み合わせを使用してログインすることを要求できます。

                          • ユーザ名:必須。 エンドユーザ ポータル(ホットスポット ゲスト ポータルを除く)を使用するすべてのゲストに適用され、ユーザ名ポリシーから取得されます。 ユーザ名ポリシーはシステムによって生成されたユーザ名のみに適用され、ゲスト API プログラミング インターフェイスまたはアカウント登録プロセスを使用して指定されたユーザ名には適用されません。 [ゲスト アクセス(Guest Access)] > [設定(Settings)] > [ゲスト ユーザ名ポリシー(Guest Username Policy)] で、ユーザ名に適用するポリシーを設定できます。 ゲストは、電子メール、SMS、または印刷形式で、ユーザ名の通知を受け取ることができます。

                          • パスワード:必須。 エンドユーザ ポータル(ホットスポット ゲスト ポータルを除く)を使用するすべてのゲストに適用され、パスワード ポリシーから取得されます。 [ゲスト アクセス(Guest Access)] > [設定(Settings)] > [ゲスト パスワード ポリシー(Guest Password Policy)] で、パスワードに適用するポリシーを設定できます。 ゲストは、電子メール、SMS、または印刷形式で、パスワードの通知を受け取ることができます。

                          • アクセス コード:オプション。 ホットスポット ゲスト ポータルおよびクレデンシャルを持つゲスト ポータルを使用するゲストに適用されます。 アクセス コードは、物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、またはロビー アンバサダーにより口頭で)。 ネットワークにアクセスするために、屋外にいる誰かに知られたり使用されたりすることはありません。 アクセス コードの設定を有効にした場合、次のようになります。

                            • スポンサー付きゲストは、[ログイン(Login)] ページで(ユーザ名およびパスワードとともに)これを入力するよう求められます。

                            • ホットスポット ゲスト ポータルを使用するゲストは、[利用規定(Acceptable Use Policy (AUP))] ページでこれを入力するよう求められます。

                          • 登録コード:オプション。 アカウント登録ゲストに適用され、アカウント登録ゲストに提供される方法においてアクセス コードと似ています。 登録コード設定が有効な場合、アカウント登録ゲストはアカウント登録フォームでこれを入力するよう求められます。

                          ユーザ名とパスワードは、社内のスポンサーが(スポンサー付きゲストに対して)提供できます。または、ゲストが自分自身を登録してこれらのクレデンシャルを取得できるように、クレデンシャルを持つゲスト ポータルを設定できます。

                          ホットスポット ゲスト ポータルを使用したゲスト アクセス

                          Cisco ISE では、「ホットスポット」というアクセス ポイントを含むネットワーク アクセス機能が提供されます。これを使用すると、ゲストは、ログインするためのクレデンシャルを必要とせずに、インターネットにアクセスできます。 ゲストがコンピュータまたは Web ブラウザを搭載した任意のデバイスでホットスポット ネットワークに接続して、Web サイトに接続しようとすると、自動的にホットスポット ゲスト ポータルにリダイレクトされます。 この機能では、有線接続と無線接続(Wi-Fi)の両方がサポートされます。

                          ホットスポット ゲスト ポータルは代替となるゲスト ポータルで、これを使用すると、ゲストにユーザ名とパスワードを要求することなく、ネットワーク アクセスを提供することができ、ゲスト アカウントを管理する必要性が軽減されます。 代わりに、ゲスト デバイスにネットワーク アクセスを直接提供するために、Cisco ISE はネットワーク アクセス デバイス(NAD)およびデバイス登録 Web 認証(デバイス登録 WebAuth)とともに動作します。 場合によって、ゲストは、アクセス コードを使用してログインするよう要求されることがあります。 通常、これは社内に物理的に存在しているゲストにローカルに提供されるコードです。

                          ホットスポット ゲスト ポータルをサポートしている場合:

                          • ホットスポット ゲスト ポータルの設定に基づいて、ゲスト アクセスの条件を満たしている場合、ゲストにネットワーク アクセスが付与されます。

                          • Cisco ISE によってデフォルトのゲスト ID グループ GuestEndpoints が提供され、これを使用して、ゲスト デバイスを一元的に追跡できます。

                          クレデンシャルを持つゲスト ポータルを使用したゲスト アクセス

                          クレデンシャルを持つゲスト ポータルを使用して、外部ユーザの内部ネットワークおよびサービスと、インターネットへの一時アクセスを識別し許可することができます。 スポンサーは、ポータルの [ログイン(Login)] ページでこれらのクレデンシャルを入力することによって、ネットワークにアクセスできる承認ユーザの一時的なユーザ名およびパスワードを作成できます。

                          次のように取得したユーザ名とパスワードを使用してゲストがログインできるように、クレデンシャルを持つゲスト ポータルを設定できます。

                          • スポンサーから付与されます。 このゲスト フローでは、ゲストは、社内に入って個人のゲスト アカウントで設定されたとき、ロビー アンバサダーなどのスポンサーによるグリーティングを受け取ります。

                          • オプションの登録コードまたはアクセス コードを使用して自分自身を登録した後に付与されます。 このゲスト フローでは、ゲストは人間の介入なしでインターネットにアクセスでき、これらのゲストにコンプライアンスに使用可能な一意の識別子があることが Cisco ISE によって保障されます。

                          • オプションの登録コードまたはアクセス コードを使用して自分自身を登録した後に付与されます。ただし、ゲスト アカウントの要求がスポンサーによって承認された後のみです。 このゲスト フローでは、ゲストにネットワークへのアクセスが提供されますが、追加のスクリーニング レベルが実行された後でのみ提供されます。

                          Cisco ISE では、複数のクレデンシャルを持つゲスト ポータルを作成し、これを使用してさまざまな基準に基づいてゲスト アクセスを許可することができます。 たとえば、日次訪問者に使用されるポータルとは別の、月次担当者向けのポータルを設定できます。

                          クレデンシャルを持つゲスト ポータルを使用した従業員アクセス

                          クレデンシャルを持つゲスト ポータルに割り当てられた ID ソース順序に含まれている従業員は、これらのポータルを使用して、従業員クレデンシャルを使用してサインインすることによって、ネットワークにアクセスすることもできます。

                          次のように取得したユーザ名とパスワードを使用してゲストがログインできるように、クレデンシャルを持つゲスト ポータルを設定できます。

                          ゲスト デバイス登録とコンプライアンス

                          現在、ゲストは、ゲスト ポータルへのログイン時に、自動的に自分のデバイスを登録することができます。 また、ゲスト タイプに定義されている最大数まで追加デバイスを登録することもできます。 これらのデバイスは、ゲストが使用するポータルのタイプに基づいて、エンドポイントの ID グループに登録されます。 ホットスポット ゲスト ポータルでは、選択されたエンドポイントの ID グループが使用され、クレデンシャルを持つゲスト ポータルでは、エンドポイントの ID グループがゲストのゲスト タイプに従って定義されます。

                          ゲストおよび非ゲストがクレデンシャルを持つゲスト ポータルを介してネットワークにアクセスした場合、アクセスを許可する前に、そのデバイスのコンプライアンスをチェックすることができます。 ゲストおよび非ゲストを [クライアント プロビジョニング(Client Provisioning)] ページにルーティングして、最初にポスチャ エージェントをダウンロードするよう要求することができます。このエージェントは、ポスチャ プロファイルをチェックし、デバイスが準拠しているかどうかを検証します。 これは、クレデンシャルを持つゲスト ポータルで、[ゲスト デバイスのコンプライアンス設定(Guest Device Compliance Settings)] のオプションを有効にすることで実行できます。これによって、[クライアント プロビジョニング(Client Provisioning)] ページがゲスト フローの一部として表示されます。

                          クライアント プロビジョニング サービスでは、ゲストのポスチャ評価および修復が提供されます。 クライアント プロビジョニング ポータルは、中央 Web 認証(CWA)のゲスト展開でのみ使用できます。 ゲスト ログイン フローによって CWA が実行され、クレデンシャルを持つゲスト ポータルは、利用規定やパスワード変更のチェックを実行した後、クライアント プロビジョニング ポータルにリダイレクトされます。 いったんポスチャが評価されると、ポスチャ サブシステムはネットワーク アクセス デバイスに対して許可変更(CoA)を実行し、クライアント再接続を再認証します。

                          ゲスト デバイスがネットワーク アクセスを失い続ける

                          問題

                          ゲストがデバイス上で繰り返しネットワーク接続を失い、デバイスに再接続を要求します。

                          クレデンシャルを持つゲスト ポータルを設定して、ゲストに対して特定の数のアクティブ ユーザ(ネットワーク)セッション数を制限できます。 この状況は、ゲストが設定された数を超えるデバイスをネットワークに接続している場合に発生します。 ゲストが属するゲスト タイプのデフォルト設定を変更するには、[ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト タイプ(Guest Types)] を選択して、[最大同時ログイン数(Maximum simultaneous logins)] の数を変更します。

                          原因

                          サプリカント内のユーザ クレデンシャルがデバイスでキャッシュされ、デバイスがネットワーク接続を維持することを許可しています。 ただし、ゲストのユーザ セッション数が設定された数のみに制限されているため、登録デバイスではネットワークへの接続と接続解除が繰り返されます。

                          ソリューション

                          ゲストはネットワークを切断することで、未使用のデバイスのネットワーク セッションを強制的に終了することができます。

                          ゲスト ポータルの設定タスク

                          デフォルト ポータルと、証明書、エンドポイント ID グループ、ID ソース順序、ポータル テーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などのデフォルト設定を使用できます。 デフォルト設定を使用しない場合は、新しいポータルを作成するか、必要性に合うように既存の設定を編集する必要があります。 同じ設定で複数のポータルを作成する場合は、ポータルを複製できます。

                          新しいポータルを作成したり、デフォルト ポータルを編集した後は、ポータルの使用を承認する必要があります。 いったんポータルの使用を承認すると、後続の設定変更はただちに有効になります。

                          ポータルを削除する場合は、関連付けられている許可ポリシー ルールおよび許可プロファイルを先に削除するか、別のポータルを使用するように変更する必要があります。

                          さまざまなゲスト ポータルの設定に関連するタスクについては、この表を参照してください。
                          タスク ホットスポット ゲスト ポータル Sponsored-Guest ポータル アカウント登録ゲスト ポータル

                          ポリシー サービスの有効化

                          必須

                          必須

                          必須

                          証明書の追加

                          必須

                          必須

                          必須

                          外部 ID ソースの作成

                          N/A

                          必須

                          必須

                          ID ソース順序の作成

                          N/A

                          必須

                          必須

                          エンドポイント ID グループの作成

                          必須

                          不要(ゲスト タイプによって定義される)

                          不要(ゲスト タイプによって定義される)

                          ホットスポット ゲスト ポータルの作成

                          必須

                          N/A

                          N/A

                          Sponsored-Guest ポータルの作成

                          N/A

                          必須

                          N/A

                          アカウント登録ゲスト ポータルの作成

                          N/A

                          N/A

                          必須

                          ポータルの許可

                          必須

                          必須

                          必須

                          ゲスト ポータルのカスタマイズ

                          オプション

                          オプション

                          オプション

                          ポリシー サービスの有効化

                          Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータル ポリシー サービスを有効にする必要があります。

                          手順
                            ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                            ステップ 2   ノードをクリックして、[編集(Edit)] をクリックします。
                            ステップ 3   [全般設定(General Settings)] タブで、[ポリシー サービス(Policy Service)] をオンにします。
                            ステップ 4   [セッション サービスの有効化(Enable Session Services)] オプションをオンにします。
                            ステップ 5   [保存(Save)] をクリックします。

                            証明書の追加

                            デフォルトの証明書を使用しない場合は、有効な証明書を追加して、証明書グループ タグに割り当てることができます。 すべてのエンドユーザ Web ポータルに使用されるデフォルトの証明書グループ タグは [デフォルト ポータル証明書グループ(Default Portal Certificate Group)] です。

                            手順
                              ステップ 1   [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。
                              ステップ 2   システム証明書を追加し、ポータルに使用する証明書グループ タグに割り当てます。 この証明書グループ タグは、ポータルを作成または編集するときに選択できるようになります。
                              ステップ 3   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト ポータル(Guest Portals)] > [作成または編集(Create or Edit)] > [ポータル設定(Portal Settings)] を選択します。
                              ステップ 4   新しく追加された証明書に関連付けられた [証明書グループ タグ(Certificate group tag)] ドロップダウン リストから特定の証明書グループ タグを選択します。

                              外部 ID ソースの作成

                              Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、認証/許可のユーザ情報を取得できます。 外部 ID ソースには、証明書ベースの認証に必要な証明書認証プロファイルも含まれています。

                              手順
                                ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] を選択します。
                                ステップ 2   次のオプションのいずれかを選択します。
                                • [証明書認証プロファイル(Certificate Authentication Profile)]:証明書ベースの認証の場合。
                                • [Active Directory]:外部 ID ソースとして Active Directory に接続する場合。
                                • [LDAP]:LDAP ID ソースを追加する場合。
                                • [RADIUS トークン(RADIUS Token)]:RADIUS トークン サーバを追加する場合。
                                • [RSA SecurID]:RSA SecurID サーバを追加する場合。

                                ID ソース順序の作成

                                はじめる前に

                                Cisco ISE に外部 ID ソースを設定していることを確認します。

                                次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                ゲスト ユーザがローカル WebAuth を使用して認証できるようにするには、ゲスト ポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。

                                手順
                                  ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] > [追加(Add)] を選択します。
                                  ステップ 2   ID ソース順序の名前を入力します。 また、任意で説明を入力できます。
                                  ステップ 3   [証明書認証プロファイル(Certificate Authentication Profile)] チェックボックスをオンにし、証明書ベースの認証のための証明書認証プロファイルを選択します。
                                  ステップ 4   [選択済み(Selected)] リスト ボックスの ID ソース順序に含めるデータベースを選択します。
                                  ステップ 5   Cisco ISE がデータ ベースを検索する順序に [選択済み(Selected)] リストのデータベースを並べ替えます。
                                  ステップ 6   [高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。
                                  • [順序内の他のストアにアクセスせず、AuthenticationStatus 属性を ProcessError に設定(Do not access other stores in the sequence and set the AuthenticationStatus attribute to ProcessError)]:最初に選択された ID ソースでユーザが見つからないとき、Cisco ISE が検索を中止する場合。

                                  • [ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)]:最初に選択された ID ソースでユーザが見つからないとき、Cisco ISE が順序内の他の選択された ID ソースの検索を続行する場合。

                                    Cisco ISE では、要求の処理中にこれらの ID ソースが順番に検索されます。 [選択済み(Selected)] リストに、Cisco ISE が ID ソースを検索する順序で ID ソースが表示されていることを確認します。

                                  ステップ 7   [送信(Submit)] をクリックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。

                                  エンドポイント ID グループの作成

                                  Cisco ISE では、検出したエンドポイントを、対応するエンドポイント ID グループにグループ化します。 Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで追加のエンドポイント ID グループを作成することもできます。 作成したエンドポイント ID グループを編集または削除できます。 システム定義されたエンドポイント ID グループの説明のみを編集できます。これらのグループの名前を編集したり、これらのグループを削除したりすることはできません。

                                  手順
                                    ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。
                                    ステップ 2   [追加(Add)] をクリックします。
                                    ステップ 3   作成するエンドポイント ID グループの名前を入力します(エンドポイント ID グループの名前にスペースを入れないでください)。
                                    ステップ 4   作成するエンドポイント ID グループの説明を入力します。
                                    ステップ 5   [親グループ(Parent Group)] ドロップダウン リストをクリックして、新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを選択します。
                                    ステップ 6   [送信(Submit)] をクリックします。

                                    ホットスポット ゲスト ポータルの作成

                                    ホットスポット ゲスト ポータルを提供して、ゲストが、ログインにユーザ名とパスワードを要求されずにネットワークに接続できるようにすることができます。 ログインにアクセス コードを要求できます。

                                    新しいホットスポット ゲスト ポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべてのホットスポット ゲスト ポータルを削除できます。

                                    [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、ゲスト フロー図のグラフィカル フローに反映されます。 AUP ページなどのページを有効にすると、そのページがフローに表示され、ゲストはポータルで使用できるようになります。 無効にすると、フローから削除され、次に有効なページがゲストに表示されます。

                                    [認証成功の設定(Authentication Success Settings)] を除くすべてのページ設定は、任意です。

                                    はじめる前に

                                    このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。

                                    手順
                                      ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト ポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。
                                      ステップ 2   新しいポータルを作成する場合は、[ゲスト ポータルの作成(Create Guest Portal)] ダイアログ ボックスで、ポータル タイプとして [ホットスポット ゲスト ポータル(Hotspot Guest Portal)] を選択し、[続行(Continue)] をクリックします。
                                      ステップ 3   ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用するポータル名が他のエンドユーザ ポータルに使用されていないことを確認します。
                                      ステップ 4   [言語ファイル(Language File)] ドロップダウン メニューを使用して、ポータルで使用する言語ファイルをエクスポートおよびインポートします。
                                      ステップ 5   [ポータルの設定(Portal Settings)] でポート、イーサネット インターフェイス、証明書グループ タグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。
                                      ステップ 6   特定のページのそれぞれに適用される次の設定を更新してください。
                                      • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)]:利用規定に同意することをゲストに要求します。
                                      • [ポストログイン バナーページの設定(Post-Login Banner Page Settings)]:必要に応じて、ゲストにアクセス ステータスおよびその他の追加アクションを通知します。
                                      • [VLAN DHCP リリース ページの設定(VLAN DHCP Release Page Settings)]:ゲスト デバイスの IP アドレスをゲスト VLAN から解放し、ネットワークの他の VLAN にアクセスするように更新します。
                                      • [認証成功の設定(Authentication Success Settings)]:認証されたゲストに対する表示内容を指定します。
                                      • [サポート情報ページの設定(Support Information Page Settings)]:ネットワーク アクセスの問題のトラブルシューティングのために Help Desk によって使用される情報をゲストが提供するのを支援します。
                                      ステップ 7   [保存(Save)] をクリックします。 システム生成の URL がポータル テスト URL として表示されます。この URL を使用して、ポータルにアクセスし、テストすることができます。

                                      次の作業

                                      ポータルを使用するには、そのポータルを許可する必要があります。 ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。

                                      Sponsored-Guest ポータルの作成

                                      Sponsored-Guest ポータルを提供して、指定されたスポンサーがゲストにアクセスを許可できるようにすることができます。

                                      新しい Sponsored-Guest ポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含む、任意の Sponsored-Guest ポータルを削除できます。

                                      [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、ゲスト フロー図のグラフィカル フローに反映されます。 AUP ページなどのページを有効にすると、そのページがフローに表示され、ゲストはポータルで使用できるようになります。 無効にすると、フローから削除され、次に有効なページがゲストに表示されます。

                                      次のすべてのページ設定によって、ゲスト用の利用規定(AUP)を表示し、その同意を要求することができます。

                                      • ログイン ページの設定(Login Page Settings)

                                      • 利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)

                                      • BYOD 設定(BYOD Settings)

                                      はじめる前に

                                      このポータルで使用するために、必要な証明書、外部 ID ソース、および ID ソース順序が設定されていることを確認します。

                                      手順
                                        ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト ポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。
                                        ステップ 2   新しいポータルを作成する場合は、[ゲスト ポータルの作成(Create Guest Portal)] ダイアログ ボックスで、ポータル タイプとして [Sponsored-Guest ポータル(Sponsored-Guest Portal)] を選択し、[続行(Continue)] をクリックします。
                                        ステップ 3   ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用するポータル名が他のエンドユーザ ポータルに使用されていないことを確認します。
                                        ステップ 4   [言語ファイル(Language File)] ドロップダウン メニューを使用して、ポータルで使用する言語ファイルをエクスポートおよびインポートします。
                                        ステップ 5   [ポータルの設定(Portal Settings)] でポート、イーサネット インターフェイス、証明書グループ タグ、ID ソース順序などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。
                                        ステップ 6   特定のページのそれぞれに適用される次の設定を更新してください。
                                        • [ログイン ページの設定(Login Page Settings)]:ゲスト クレデンシャルおよびログイン ガイドラインを指定します。 [ゲストが自分のアカウントを作成することを許可する(Allow guests to create their own accounts)] をオンにすると、アカウント登録ゲストは、このポータルを使用して、独自のゲスト アカウントを作成できます。 デフォルトの設定を変更しない場合は、このポータルを使用してネットワークにアクセスするゲストのゲスト アカウントをスポンサーが作成する必要があります。
                                        • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)]:別の AUP ページを追加し、クレデンシャルを持つゲスト ポータルを使用する従業員を含むゲスト用の利用規定の動作を定義します。
                                        • [従業員のパスワード変更の設定(Employee Change Password Settings)]:ゲストに、初めてログインした後にパスワードを変更するように指示します。
                                        • [ゲスト デバイス登録の設定(Guest Device Registration Settings)]:Cisco ISE に自動的にゲスト デバイスが登録されるようにするか、またはゲストが手動でこれらのデバイスを登録できるページを表示するかどうかを選択します。
                                        • [BYOD 設定(BYOD Settings)]:従業員が自分のパーソナル デバイスを使用してネットワークにアクセスすることを許可します。
                                        • [ポストログイン バナーページの設定(Post-Login Banner Page Settings)]:ネットワーク アクセスを許可する前にゲストに追加情報を通知します。
                                        • [ゲスト デバイスのコンプライアンス設定(Guest Device Compliance Settings)]:ゲストを [クライアント プロビジョニング(Client Provisioning)] ページにルーティングし、最初にポスチャ エージェントをダウンロードするように要求します。
                                        • [VLAN DHCP リリース ページの設定(VLAN DHCP Release Page Settings)]:ゲスト デバイスの IP アドレスをゲスト VLAN から解放し、ネットワークの他の VLAN にアクセスするように更新します。
                                        • [認証成功の設定(Authentication Success Settings)]:認証されたゲストに対する表示内容を指定します。
                                        • [サポート情報ページの設定(Support Information Page Settings)]:ネットワーク アクセスの問題のトラブルシューティングのために Help Desk によって使用される情報をゲストが提供するのを支援します。
                                        ステップ 7   [保存(Save)] をクリックします。 システム生成の URL がポータル テスト URL として表示されます。この URL を使用して、ポータルにアクセスし、テストすることができます。

                                        次の作業

                                        ポータルを使用するには、そのポータルを許可する必要があります。 ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。

                                        アカウント登録ゲスト ポータルの作成

                                        アカウント登録ゲスト ポータルを提供して、ゲストが自分自身を登録し、自分のアカウントを作成して、ネットワークにアクセスできるようにすることができます。 これらのアカウントに対しては、その後も、アクセスを許可する前に、スポンサーによる承認を要求できます。

                                        新しいアカウント登録ゲスト ポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべてのアカウント登録ゲスト ポータルを削除できます。

                                        [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、ゲスト フロー図のグラフィカル フローに反映されます。 AUP ページなどのページを有効にすると、そのページがフローに表示され、ゲストはポータルで使用できるようになります。 無効にすると、フローから削除され、次に有効なページがゲストに表示されます。

                                        次のすべてのページ設定によって、ゲスト用の利用規定(AUP)を表示し、その同意を要求することができます。

                                        • ログイン ページの設定(Login Page Settings)

                                        • アカウント登録ページの設定(Self-Registration Page Settings)

                                        • アカウント登録成功ページの設定(Self-Registration Success Page Settings)

                                        • 利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)

                                        • BYOD 設定(BYOD Settings)

                                        はじめる前に

                                        このポータルで使用するために、必要な証明書、外部 ID ソース、および ID ソース順序が設定されていることを確認します。

                                        手順
                                          ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト ポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。
                                          ステップ 2   新しいポータルを作成する場合は、[ゲスト ポータルの作成(Create Guest Portal)] ダイアログ ボックスで、ポータル タイプとして [アカウント登録ゲスト ポータル(Self-Registered Guest Portal)] を選択し、[続行(Continue)] をクリックします。
                                          ステップ 3   ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用するポータル名が他のエンドユーザ ポータルに使用されていないことを確認します。
                                          ステップ 4   [言語ファイル(Language File)] ドロップダウン メニューを使用して、ポータルで使用する言語ファイルをエクスポートおよびインポートします。
                                          ステップ 5   [ポータルの設定(Portal Settings)] でポート、イーサネット インターフェイス、証明書グループ タグ、ID ソース順序などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。
                                          ステップ 6   特定のページのそれぞれに適用される次の設定を更新してください。
                                          • [ログイン ページの設定(Login Page Settings)]:ゲスト クレデンシャルおよびログイン ガイドラインを指定します。 [ゲストが自分のアカウントを作成することを許可する(Allow guests to create their own accounts)] のデフォルト設定を変更しない場合、アカウント登録ゲストは、このポータルを使用して、独自のゲスト アカウントを作成できます。 この設定を無効にした場合は、このポータルを使用してネットワークにアクセスするゲストのゲスト アカウントをスポンサーが作成する必要があります。
                                          • [アカウント登録ページの設定(Self-Registration Page Settings)]:ゲストが [アカウント登録(Self-Registration)] フォームを送信した後のゲスト エクスペリエンス以外に、アカウント登録ゲストが読み取る情報、および [アカウント登録(Self-Registration)] フォームに入力する必要がある情報を指定します。
                                          • [アカウント登録成功ページの設定(Self-Registration Success Page Settings)]:アカウント登録が成功したゲストに対して [アカウント登録成功(Self-Registration Success)] ページに示される情報、および Cisco ISE 登録されたゲストのゲスト エクスペリエンスを指定します。
                                          • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)]:別の AUP ページを追加し、クレデンシャルを持つゲスト ポータルを使用する従業員を含むゲスト用の利用規定の動作を定義します。
                                          • [従業員のパスワード変更の設定(Employee Change Password Settings)]:ゲストに、初めてログインした後にパスワードを変更するように指示します。
                                          • [ゲスト デバイス登録の設定(Guest Device Registration Settings)]:Cisco ISE に自動的にゲスト デバイスが登録されるようにするか、またはゲストが手動でこれらのデバイスを登録できるページを表示するかどうかを選択します。
                                          • [BYOD 設定(BYOD Settings)]:従業員が自分のパーソナル デバイスを使用してネットワークにアクセスすることを許可します。
                                          • [ポストログイン バナーページの設定(Post-Login Banner Page Settings)]:ネットワーク アクセスを許可する前にゲストに追加情報を通知します。
                                          • [ゲスト デバイスのコンプライアンス設定(Guest Device Compliance Settings)]:ゲストを [クライアント プロビジョニング(Client Provisioning)] ページにルーティングし、最初にポスチャ エージェントをダウンロードするように要求します。
                                          • [VLAN DHCP リリース ページの設定(VLAN DHCP Release Page Settings)]:ゲスト デバイスの IP アドレスをゲスト VLAN から解放し、ネットワークの他の VLAN にアクセスするように更新します。
                                          • [認証成功の設定(Authentication Success Settings)]:認証されたゲストに対する表示内容を指定します。
                                          • [サポート情報ページの設定(Support Information Page Settings)]:ネットワーク アクセスの問題のトラブルシューティングのために Help Desk によって使用される情報をゲストが提供するのを支援します。
                                          ステップ 7   [保存(Save)] をクリックします。 システム生成の URL がポータル テスト URL として表示されます。この URL を使用して、ポータルにアクセスし、テストすることができます。

                                          次の作業

                                          ポータルを使用するには、そのポータルを許可する必要があります。 ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。

                                          ポータルの許可

                                          ポータルを許可するときは、ネットワーク アクセス用のネットワーク許可プロファイルおよびルールを設定します。
                                          はじめる前に

                                          ポータルを許可する前にポータルを作成する必要があります。

                                          手順
                                            ステップ 1   ポータルの特別な許可プロファイルを設定します。
                                            ステップ 2   プロファイルの許可ポリシー ルールを作成します。

                                            許可プロファイルの作成

                                            各ポータルには、特別な許可プロファイルを設定する必要があります。

                                            はじめる前に

                                            デフォルトのポータルを使用しない場合は、許可プロファイルとポータル名を関連付けることができるように、最初にポータルを作成する必要があります。

                                            手順
                                              ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。
                                              ステップ 2   使用を許可するポータル名を使用して許可プロファイルを作成します。

                                              次の作業

                                              新しく作成される許可プロファイルを使用するポータル許可ポリシー ルールを作成する必要があります。

                                              許可ポリシー ルールの作成

                                              ユーザ(ゲスト、スポンサー、従業員)のアクセス要求への応答に使用するポータルのリダイレクション URL を設定するには、そのポータル用の許可ポリシー ルールを定義する必要があります。

                                              url-redirect は、ポータル タイプに基づいて次の形式になります。

                                              ip:port = IP アドレスとポート番号

                                              PortalID = 一意のポータル名

                                              ホットスポット ゲスト ポータル:https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw

                                              モバイル デバイス管理(MDM)ポータル:https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm

                                              手順
                                                ステップ 1   [ポリシー(Policy)] > [許可(Authorization)] を選択して、[標準(Standard)] ポリシーで新しい許可ポリシー ルールを作成します。
                                                ステップ 2   [条件(Conditions)] には、ポータルの検証に使用するエンドポイント ID グループを選択します。 たとえば、ホットスポット ゲスト ポータルの場合は、デフォルトの [GuestEndpoints] エンドポイント ID グループを選択し、MDM、ポータルの場合は、デフォルトの [RegisteredDevices] エンドポイント ID グループを選択します。
                                                (注)      ホットスポット ゲスト ポータルは、Termination CoA だけを発行するため、ゲスト ポリシー セットの検証条件の 1 つとして [Network Access:UseCase EQUALS Guest Flow] を使用しないでください。
                                                ステップ 3   [権限(Permissions)] には、作成したポータル許可プロファイルを選択します。

                                                ゲスト ポータルのカスタマイズ

                                                ポータルの外観およびユーザ(必要に応じてゲスト、スポンサー、または従業員)エクスペリエンスをカスタマイズするには、ポータル テーマをカスタマイズし、ポータル ページの UI 要素を変更して、ユーザに表示されるエラー メッセージと通知を編集します。

                                                スポンサー ポータル

                                                スポンサー ポータルは、Cisco ISE ゲスト サービスの主要コンポーネントの 1 つです。 スポンサー ポータルを使用して、スポンサーは承認ユーザ用の一時アカウントを作成および管理し、企業ネットワークまたはインターネットにセキュアにアクセスできるようにします。 ゲスト アカウントを作成した後、スポンサーは、スポンサー ポータルを使用して、印刷、電子メール送信、または携帯電話による送信を行ってゲストにアカウントの詳細を提供することもできます。 アカウント登録ゲストに企業ネットワークへのアクセス権を提供する前に、スポンサーはゲスト アカウントを承認するように電子メールで要求されることがあります。

                                                スポンサー ポータルの設定

                                                デフォルト ポータルと、証明書、エンドポイント ID グループ、ID ソース順序、ポータル テーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などのデフォルト設定を使用できます。 デフォルト設定を使用しない場合は、新しいポータルを作成するか、必要性に合うように既存の設定を編集する必要があります。 同じ設定で複数のポータルを作成する場合は、ポータルを複製できます。

                                                会社の営業所やその小売の場所にさまざまなブランディングがある場合、会社にさまざまな製品ブランドがある場合、または市役所が火災、警察、およびその他の部門で異なるテーマのポータルを必要とする場合は、複数のスポンサー ポータルを作成することもできます。

                                                これらは、スポンサー ポータルの設定に関連するタスクです。

                                                手順
                                                  ステップ 1   ポリシー サービスの有効化
                                                  ステップ 2   証明書の追加
                                                  ステップ 3   外部 ID ソースの作成
                                                  ステップ 4   ID ソース順序の作成
                                                  ステップ 5   スポンサー ポータルの作成
                                                  ステップ 6   (任意)スポンサー ポータルのカスタマイズ

                                                  ポータルの外観を変更する場合は、ポータルをカスタマイズできます。


                                                  ポリシー サービスの有効化

                                                  Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータル ポリシー サービスを有効にする必要があります。

                                                  手順
                                                    ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                                                    ステップ 2   ノードをクリックして、[編集(Edit)] をクリックします。
                                                    ステップ 3   [全般設定(General Settings)] タブで、[ポリシー サービス(Policy Service)] をオンにします。
                                                    ステップ 4   [セッション サービスの有効化(Enable Session Services)] オプションをオンにします。
                                                    ステップ 5   [保存(Save)] をクリックします。

                                                    証明書の追加

                                                    デフォルトの証明書を使用しない場合は、有効な証明書を追加して、証明書グループ タグに割り当てることができます。 すべてのエンドユーザ Web ポータルに使用されるデフォルトの証明書グループ タグは [デフォルト ポータル証明書グループ(Default Portal Certificate Group)] です。

                                                    手順
                                                      ステップ 1   [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。
                                                      ステップ 2   システム証明書を追加し、ポータルに使用する証明書グループ タグに割り当てます。 この証明書グループ タグは、ポータルを作成または編集するときに選択できるようになります。
                                                      ステップ 3   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [スポンサー ポータル(Sponsor Portals)] > [作成または編集(Create or Edit)] > [ポータル設定(Portal Settings)] を選択します。
                                                      ステップ 4   新しく追加された証明書に関連付けられた [証明書グループ タグ(Certificate Group Tag)] ドロップダウン リストから特定の証明書グループ タグを選択します。

                                                      外部 ID ソースの作成

                                                      Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、認証/許可のユーザ情報を取得できます。 外部 ID ソースには、証明書ベースの認証に必要な証明書認証プロファイルも含まれています。

                                                      手順
                                                        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] を選択します。
                                                        ステップ 2   次のオプションのいずれかを選択します。
                                                        • [証明書認証プロファイル(Certificate Authentication Profile)]:証明書ベースの認証の場合。
                                                        • [Active Directory]:外部 ID ソースとして Active Directory に接続する場合。
                                                        • [LDAP]:LDAP ID ソースを追加する場合。
                                                        • [RADIUS トークン(RADIUS Token)]:RADIUS トークン サーバを追加する場合。
                                                        • [RSA SecurID]:RSA SecurID サーバを追加する場合。

                                                        ID ソース順序の作成

                                                        はじめる前に

                                                        Cisco ISE に外部 ID ソースを設定していることを確認します。

                                                        次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                                        ゲスト ユーザがローカル WebAuth を使用して認証できるようにするには、ゲスト ポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。

                                                        手順
                                                          ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] > [追加(Add)] を選択します。
                                                          ステップ 2   ID ソース順序の名前を入力します。 また、任意で説明を入力できます。
                                                          ステップ 3   [証明書認証プロファイル(Certificate Authentication Profile)] チェックボックスをオンにし、証明書ベースの認証のための証明書認証プロファイルを選択します。
                                                          ステップ 4   [選択済み(Selected)] リスト ボックスの ID ソース順序に含めるデータベースを選択します。
                                                          ステップ 5   Cisco ISE がデータ ベースを検索する順序に [選択済み(Selected)] リストのデータベースを並べ替えます。
                                                          ステップ 6   [高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。
                                                          • [順序内の他のストアにアクセスせず、AuthenticationStatus 属性を ProcessError に設定(Do not access other stores in the sequence and set the AuthenticationStatus attribute to ProcessError)]:最初に選択された ID ソースでユーザが見つからないとき、Cisco ISE が検索を中止する場合。

                                                          • [ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)]:最初に選択された ID ソースでユーザが見つからないとき、Cisco ISE が順序内の他の選択された ID ソースの検索を続行する場合。

                                                            Cisco ISE では、要求の処理中にこれらの ID ソースが順番に検索されます。 [選択済み(Selected)] リストに、Cisco ISE が ID ソースを検索する順序で ID ソースが表示されていることを確認します。

                                                          ステップ 7   [送信(Submit)] をクリックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。

                                                          スポンサー ポータルの作成

                                                          スポンサー ポータルを提供して、ネットワークに接続してインターネットと内部リソースおよびサービスにアクセスするゲストのアカウントをスポンサーが作成、管理、および承認できるようにすることができます。

                                                          Cisco ISE では、別のポータルを作成する必要なく使用できるデフォルトのスポンサー ポータルが用意されています。 ただし、新しいスポンサー ポータルを作成するか、既存のものを編集または複製できます。 デフォルトのスポンサー ポータル以外のすべてのポータルを削除できます。

                                                          [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブの [ページ設定(Page Settings)] で行った変更は、スポンサー フロー図のグラフィカル フローに反映されます。 [AUP] ページなどのページを有効にすると、そのページがフローに表示され、スポンサーはポータルでそれを確認します。 無効にした場合は、そのページがフローから削除され、次に有効にされたページがスポンサーに表示されます。

                                                          はじめる前に

                                                          このポータルで使用するために、必要な証明書、外部 ID ソース、および ID ソース順序が設定されていることを確認します。

                                                          手順
                                                            ステップ 1   [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [スポンサー ポータル(Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。
                                                            ステップ 2   ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用するポータル名が他のエンドユーザ ポータルに使用されていないことを確認します。
                                                            ステップ 3   [言語ファイル(Language File)] ドロップダウン メニューを使用して、ポータルで使用する言語ファイルをエクスポートおよびインポートします。
                                                            ステップ 4   [ポータルの設定(Portal Settings)] でポート、イーサネット インターフェイス、証明書グループ タグ、ID ソース順序などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。
                                                            ステップ 5   特定のページのそれぞれに適用される次の設定を更新してください。
                                                            • [ログイン ページの設定(Login Page Settings)]:スポンサー クレデンシャルおよびログイン ガイドラインを指定します。
                                                            • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)]:利用規定に同意することをスポンサーに要求します。
                                                            • [スポンサーのパスワード変更設定(Sponsor Change Password Settings)]:スポンサーに、ログインした後にパスワードを変更するように指示します。
                                                            • [ポストログイン バナーページの設定(Post-Login Banner Page Settings)]:ネットワーク アクセスを許可する前にスポンサーに追加情報を通知します。
                                                            • [スポンサー ポータル アプリケーションの設定(Sponsor Portal Application Settings)]:[ポータル ページのカスタマイズ(Portal Page Customization)] タブに、アカウントの作成、管理、承認、ゲストへの通知、ポータルおよびアカウント アクション メッセージに関連した追加のポータル ページがリスト表示されます。 これらのページのカスタマイズ以外に、使用可能な場合は、設定を指定できます。
                                                            ステップ 6   [保存(Save)] をクリックします。 システム生成の URL がポータル テスト URL として表示されます。この URL を使用して、ポータルにアクセスし、テストすることができます。

                                                            次の作業

                                                            ポータルの外観を変更する場合は、ポータルをカスタマイズできます。

                                                            スポンサー ポータルのカスタマイズ

                                                            ポータルの外観およびユーザ(必要に応じてゲスト、スポンサー、または従業員)エクスペリエンスをカスタマイズするには、ポータル テーマをカスタマイズし、ポータル ページの UI 要素を変更して、ユーザに表示されるエラー メッセージと通知を編集します。

                                                            スポンサーがスポンサー ポータルにログインできない

                                                            問題
                                                            次のエラー メッセージは、スポンサーがスポンサー ポータルにログインしようとしたときに表示されます。
                                                            “Invalid username or password. Please try again.”
                                                            
                                                            原因
                                                            • スポンサーが無効なクレデンシャルを入力しました。

                                                            • スポンサーは、ユーザ レコードがデータベース(内部ユーザまたは Active Directory)にないため無効です。

                                                            • スポンサーが属するスポンサー グループは無効です。

                                                            • スポンサーの内部ユーザ アカウントは無効(一時停止中)です。

                                                            ソリューション
                                                            • ユーザのクレデンシャルを確認します。

                                                            • スポンサー グループを有効にします。

                                                            • ユーザ アカウントが無効になっている場合は復元します。

                                                            ゲストとスポンサーのアクティビティのモニタ

                                                            Cisco ISE は、エンドポイントおよびユーザ管理情報、およびゲストとスポンサーのアクティビティを参照できるさまざまなレポートとログを提供します。 Cisco ISE 1.2 レポートの一部は廃止されましたが、情報は他のレポートで表示できます。

                                                            オン デマンドまたはスケジュール ベースでこれらのレポートを実行できます。

                                                            手順
                                                              ステップ 1   [操作(Operations)] > [レポート(Reports)] を選択します。
                                                              ステップ 2   レポート セレクタで、[ゲスト アクセス レポート(Guest Access Reports)] および [エンドポイントとユーザ(Endpoints and Users)] 選択を展開し、さまざまなゲスト、スポンサー、およびエンドポイントに関するレポートを表示します。
                                                              ステップ 3   レポートを選択し、[フィルタ(Filters)] ドロップダウン リストを使用して、検索するデータを選択します。

                                                              ユーザ名、ポータル名、デバイス名、エンドポイント ID グループ、および他のデータについてフィルタを使用できます。

                                                              ステップ 4   データを表示する [時間範囲(Time Range)] を選択します。
                                                              ステップ 5   [実行(Run)] をクリックします。

                                                              メトリック ダッシュボード

                                                              Cisco ISE では、Cisco ISE ホーム ページに表示されるメトリック ダッシュボードで、ネットワークの [認証されたゲスト(Authenticated Guests)] と [アクティブ エンドポイント(Active Endpoints)] を一目で確認できます。

                                                              AUP 受け入れステータス レポート

                                                              AUP 受け入れステータス レポートには、すべてのゲスト ポータルからの、ゲストによる利用規定(AUP)の受け入れのステータスが示されます。 このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲスト アクセス レポート(Guest Access Reports)] > [AUP 受け入れステータス(AUP Acceptance Status)] から使用できます。

                                                              レポートを使用して、特定の期間のすべての許可および拒否された AUP 接続を追跡できます。

                                                              ゲスト アカウンティング レポート

                                                              ゲスト アカウンティング レポートは、指定された期間のゲスト ログイン履歴を表示します。 このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲスト アクセス レポート(Guest Access Reports)] > [ゲスト アカウンティング(Guest Accounting)] で利用できます。

                                                              マスター ゲスト レポート

                                                              マスター ゲスト レポートは、さまざまなレポートからのデータを単一のビューへ結合して、複数の異なるレポート ソースからデータをエクスポートできるようにします。 データ カラムをさらに追加したり、表示またはエクスポートしないデータ カラムを削除したりできます。 このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲスト アクセス レポート(Guest Access Reports)] > [マスター ゲスト(Master Guest)] で利用できます。 このレポートには、非推奨のゲスト アクティビティ レポートに含まれていた情報も含まれるようになりました。

                                                              このレポートはすべてのゲスト アクティビティを収集し、ゲスト ユーザがアクセスした Web サイトに関する詳細を提供します。 このレポートをセキュリティ監査の目的で使用して、ゲスト ユーザがいつネットワークにアクセスして、何を行ったかを確認できます。 アクセスした Web サイトの URL などのゲストのインターネット アクティビティを表示するには、初めに次の操作を行う必要があります。

                                                              • 成功した認証のロギング カテゴリを有効にします。 [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギング カテゴリ(Logging Categories)] を選択して、[成功した認証(Passed authentications)] を選択します。

                                                              • ゲスト トラフィックで使用するファイアウォールで次のオプションを有効にします。

                                                                • HTTP トラフィックを検査し、Cisco ISE モニタリング ノードにデータを送信します。 Cisco ISE はゲスト アクティビティ レポートに対して IP アドレスおよびアクセスした URL だけを必要とするため、可能な場合は、この情報だけが含まれるようにデータを制限します。

                                                                • Cisco ISE モニタリング ノードに syslog を送信します。

                                                              スポンサーのログインおよび監査レポート

                                                              スポンサー ログインおよび監査レポートは、次を追跡する統合レポートです。

                                                              • スポンサー ポータルでのスポンサーによるログイン アクティビティ。

                                                              • スポンサー ポータルでスポンサーが実行したゲスト関連の操作。

                                                              このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲスト アクセス レポート(Guest Access Reports)] > [スポンサー ログインおよび監査(Sponsor Login and Audit)] で使用できます。

                                                              ゲストおよびスポンサー ポータルの監査ロギング

                                                              ゲスト ポータルおよびスポンサー ポータルで特定のアクションが実行されると、基礎となる監査システムに監査ログ メッセージが送信されます。 デフォルトでは、これらのメッセージは、/opt/CSCOcpm/logs/localStore/iseLocalStore.log ファイルに記録されます。

                                                              これらのメッセージを syslog によってモニタリング/トラブルシューティング システムおよびログ コレクタに送信するように設定することができます。 モニタリング サブシステムによって、適切なスポンサー、デバイス監査ログ、およびゲストのアクティビティ ログにこの情報が示されます。

                                                              ゲスト ログイン フローは、ゲスト ログインが成功したか失敗したかにかかわらず、監査ログに記録されます。

                                                              ゲスト アクセスの展開シナリオ

                                                              Cisco ISE では、Cisco ISE ゲスト サービスと Web 認証サービスを使用したセキュアなゲスト アクセスを有効にするための複数の展開オプションがサポートされています。 ローカルまたは中央 Web 認証とデバイス登録 Web 認証を使用した有線または無線のゲスト接続を提供することができます。

                                                              • [中央 Web 認証(Central WebAuth)]:すべてのゲスト ポータルに適用されます。 Web 認証は、有線および無線の両方の接続要求に対して、中央 Cisco ISE RADIUS サーバによって実行されます。 ゲスト デバイスの認証は、ゲストが、ホットスポット ゲスト ポータルで任意のアクセス コードを入力し、クレデンシャルを持つゲスト ポータルでユーザ名とパスワードを入力した後、実行されます。

                                                              • ローカル Web 認証(ローカル WebAuth):クレデンシャルを持つゲスト ポータルに適用されます。 ゲストへの Web ページの提供は、有線接続の場合にはスイッチなどのネットワーク アクセス デバイス(NAD)で、無線接続の場合にはワイヤレス LAN コントローラ(WLC)によって、ローカルに実行されます。 ゲスト デバイスの認証は、ゲストが、クレデンシャルを持つゲスト ポータルでユーザ名とパスワードを入力した後、実行されます。

                                                              • デバイス登録 Web 認証(デバイス登録 WebAuth):ホットスポット ゲスト ポータルにのみ適用されます。 Web 認証は、Cisco ISE によってデバイスが登録され、使用が許可された後、実行されます。 ゲストは、有線または無線接続で(ユーザ名またはパスワードを入力しないで)ネットワークにアクセスできるホットスポット ゲスト ポータルに誘導されます。

                                                              中央 WebAuth プロセス対応の NAD

                                                              このシナリオでは、ネットワーク アクセス デバイス(NAD)で、不明なエンドポイント接続から Cisco ISE RADIUS サーバへの新しい認証要求を作成します。 これで、エンドポイントは Cisco ISE への URL-redirect を受け取ります。

                                                              ゲスト デバイスが NAD に接続されている場合、ゲスト サービスのインタラクションは、ゲスト ポータルの中央 WebAuth のログインにつながる MAC 認証バイパス(MAB)要求の形式を取ります。 無線と有線の両方のネットワーク アクセス デバイスに適用される後続の中央 Web 認証(中央 WebAuth)プロセスの概要は、次のとおりです。

                                                              1. ゲスト デバイスは、有線接続によって NAD に接続します。 ゲスト デバイス上に 802.1X サプリカントはありません。

                                                              2. MAB のサービス タイプを扱う認証ポリシーにより、MAB が引き続き失敗し、中央 WebAuth ユーザ インターフェイスの URL-redirect を含む制限付きネットワーク プロファイルが返されます。

                                                              3. MAB 要求を Cisco ISE RADIUS サーバにポストするよう NAD が設定されます。

                                                              4. ゲスト デバイスが再接続され、NAD によって MAB 要求が開始されます。

                                                              5. Cisco ISE RADIUS サーバで MAB 要求が処理されますが、ゲスト デバイスのエンドポイントが見つかりません。 この MAB の失敗により、制限付きネットワーク プロファイルが適用され、プロファイル内の URL-redirect 値が access-accept で NAD に返されます。

                                                                この機能をサポートするには、許可ポリシーが存在し、適切な有線または無線 MAB(複合条件下で)と、任意で「Session:Posture Status=Unknown」条件が備わっていることを確認します。 NAD では、この値に基づいて、デフォルト ポート 8443 のすべてのゲスト HTTPS トラフィックが URL-redirect 値にリダイレクトされます。

                                                                この場合の標準の URL 値は次のとおりです:https:/​/​ip:port/​guestportal/​gateway?sessionId=NetworkSessionId&portal=<PortalID>&action=cwa

                                                              6. ゲスト デバイスは Web ブラウザを使用して、任意の URL への HTTP 要求を開始します。

                                                              7. NAD により、最初の access-accept から返された URL-redirect 値に要求がリダイレクトされます。

                                                              8. CWA をアクションとしたゲートウェイ URL 値は、ゲスト ポータル ログイン ページにリダイレクトされます。

                                                              9. ゲストはログイン クレデンシャルを入力してログイン フォームを送信します。

                                                              10. ゲスト サーバはログイン クレデンシャルを認証します。

                                                              11. フローのタイプに応じて、次の処理が実行されます。

                                                                • クライアント プロビジョニングを実行するようにゲスト ポータルが設定されていない非ポスチャ フロー(これ以上の検証がない認証)の場合、ゲスト サーバは CoA を NAD に送信します。 この CoA により、NAD は Cisco ISE RADIUS サーバを使用してゲスト デバイスを再認証します。 設定されたネットワーク アクセスとともに新しい access-accept が NAD に返されます。 クライアント プロビジョニングが未設定で、VLAN を変更する必要がある場合、ゲスト ポータルで VLAN IP の更新が行われます。 ゲストはログイン クレデンシャルを再入力する必要はありません。 初回ログイン時に入力したユーザ名とパスワードが自動的に使用されます。

                                                                • クライアント プロビジョニングを実行するようにゲスト ポータルが設定されているポスチャ フローの場合、ゲスト デバイスの Web ブラウザに、ポスチャ エージェントのインストールおよびコンプライアンスのための [クライアント プロビジョニング(Client Provisioning)] ページが表示されます。 (必要に応じて、クライアント プロビジョニング リソース ポリシーに「NetworkAccess:UseCase=GuestFlow」条件を含めることもできます)。

                                                                Linux 向けのクライアント プロビジョニングやポスチャ エージェントは存在しないため、ゲスト ポータルはクライアント プロビジョニング ポータルにリダイレクトされ、クライアント プロビジョニング ポータルは元のゲスト認証サーブレットにリダイレクトされます。この認証サーブレットで、必要に応じて IP リリース/更新が行われてから、CoA が実行されます。

                                                                クライアント プロビジョニング ポータルへのリダイレクションを使用して、クライアント プロビジョニング サービスはゲスト デバイスに非永続的 Web エージェントをダウンロードし、デバイスのポスチャ チェックを実行します。 (必要に応じて、ポスチャ ポリシーに「NetworkAccess:UseCase=GuestFlow」条件を含めることもできます)。

                                                                ゲスト デバイスが非準拠の場合、「NetworkAccess:UseCase=GuestFlow」条件および「Session:Posture Status=NonCompliant」条件を備えた許可ポリシーが設定済みであることを確認してください。

                                                                ゲスト デバイスが準拠している場合は、設定した許可ポリシーに「NetworkAccess:UseCase=GuestFlow」条件および「Session:Posture Status=Compliant」条件が含まれていることを確認してください。ここから、クライアント プロビジョニング サービスによって NAD に対して CoA が発行されます。 この CoA により、NAD は Cisco ISE RADIUS サーバを使用してゲストを再認証します。 設定されたネットワーク アクセスとともに新しい access-accept が NAD に返されます。


                                                                (注)  


                                                                「NetworkAccess: UseCase=GuestFlow」は、Active Directory(AD)およびゲストとしてログインする LDAP ユーザにも適用できます。


                                                              ローカル WebAuth プロセス対応のワイヤレス LAN コントローラ

                                                              このシナリオでは、ゲストがログインすると、ワイヤレス LAN コントローラ(WLC)に転送されます。 その後、WLC はゲストをゲスト ポータルにリダイレクトします。ゲスト ポータルでは、ログイン クレデンシャルの入力を求められ、必要に応じて利用規定(AUP)の受け入れやパスワードの変更を実行することもできます。 完了したら、ゲスト デバイスのブラウザは WLC にリダイレクトされ、POST 経由でログイン クレデンシャルが提供されます。

                                                              WLC は、Cisco ISE RADIUS サーバ経由でゲストのログイン処理を行うことができます。 その処理が完了したら、WLC はゲスト デバイスのブラウザを元の URL の宛先にリダイレクトします。 ゲスト ポータルの元の URL リダイレクトをサポートするためのワイヤレス LAN コントローラ(WLC)とネットワーク アクセス デバイス(NAD)の要件は、リリース IOS-XE 3.6.0.E および 15.2(2)E が動作する WLC 5760 および Cisco Catalyst 3850、2000、3000、4000 シリーズ アクセス スイッチです。

                                                              図 1. ローカル WebAuth 対応 WLC の Non-Posture フロー

                                                              ローカル WebAuth プロセス対応の有線 NAD

                                                              このシナリオでは、ゲスト ポータルにより、ゲストのログイン要求がスイッチ(有線 NAD)にリダイレクトされます。 ログイン要求は、スイッチにポストされる HTTPS URL の形式になり、ログイン クレデンシャルが含まれます。 スイッチにゲスト ログイン要求が届くと、設定済みの Cisco ISE RADIUS サーバを使用してゲストの認証が行われます。

                                                              1. Cisco ISE により、HTML リダイレクトを含む login.html ファイルを NAD にアップロードするよう要求されます。 HTTPS 要求が発生すると、この login.html ファイルがゲスト デバイスのブラウザに返されます。

                                                              2. ゲスト デバイスのブラウザがゲスト ポータルにリダイレクトされます。ここで、ゲストのログイン クレデンシャルが入力されます。

                                                              3. 利用規定(AUP)とパスワード変更が処理された後(両方ともオプションです)、ゲスト ポータルにより、ログイン クレデンシャルをポストするゲスト デバイスのブラウザが NAD にリダイレクトされます。

                                                              4. NAD により、Cisco ISE RADIUS サーバに対して RADIUS 要求が発行され、ゲストの認証と許可が行われます。

                                                              Login.html ページに必要な IP アドレスおよびポート値

                                                              login.html ページの次の HTML コードで、IP アドレスとポートの値を Cisco ISE ポリシー サービス ノードと同じ値に変更する必要があります。 デフォルト ポートは 8443 ですが、この値を変更できます。そのため、スイッチに割り当てた値が Cisco ISE の設定と一致していることを確認してください。

                                                              
                                                              <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
                                                              <HTML>
                                                              <head>
                                                              <title>ISE Guest Portal</title>
                                                              <meta Http-Equiv="Cache-Control" Content="no-cache">
                                                              <meta Http-Equiv="Pragma" Content="no-cache">
                                                              <meta Http-Equiv="Expires" Content="0">
                                                              <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
                                                              
                                                              <meta http-equiv="REFRESH" content="0;url=https://ip:port/portal/PortalSetup.action?switch_url=wired">
                                                              
                                                              </HEAD>
                                                              <BODY>
                                                              
                                                              <center>
                                                              Redirecting ... Login
                                                              <br>
                                                              <br>
                                                              <a href="https://ip:port/portal/PortalSetup.action?switch_url=wired">ISE Guest Portal</a>
                                                              </center>
                                                              
                                                              </BODY>
                                                              </HTML>
                                                              

                                                              カスタム ログイン ページはパブリック Web フォームであるため、次のガイドラインに従ってください。

                                                              • ログイン フォームは、ユーザによるユーザ名とパスワードの入力を受け付け、これらを uname および pwd として示す必要があります。

                                                              • カスタム ログイン ページは、ページ タイムアウト、パスワード非表示、冗長送信の防止など、Web フォームに対するベスト プラクティスに従う必要があります。

                                                              NAD での HTTPS サーバの有効化

                                                              Web ベース認証を使用するには、ip http secure-server コマンドを使用してスイッチ内で HTTPS サーバを有効にする必要があります。

                                                              NAD 上でのカスタマイズされた認証プロキシ Web ページのサポート

                                                              成功、失効、失敗に関するカスタム ページを NAD にアップロードできます。 Cisco ISE では特定のカスタマイズは必要ないため、NAD に付属する標準の設定手順を使用して、これらのページを作成できます。

                                                              NAD の Web 認証の設定

                                                              デフォルトの HTML ページをカスタム ファイルで置き換えて、NAD における Web 認証を完了する必要があります。

                                                              はじめる前に

                                                              Web ベースの認証中、スイッチのデフォルト HTML ページの代わりに使用する 4 つの代替 HTML ページを作成します。

                                                              手順
                                                                ステップ 1   カスタム認証プロキシ Web ページを使用するように指定するには、最初にカスタム HTML ファイルをスイッチのフラッシュ メモリに格納します。 スイッチのフラッシュ メモリに HTML ファイルをコピーするには、スイッチで次のコマンドを実行します。

                                                                copy tftp/ftp flash

                                                                ステップ 2   スイッチに HTML ファイルをコピーした後、グローバル コンフィギュレーション モードで次のコマンドを実行します。

                                                                a.

                                                                ip admission proxy http login page file device:login-filename

                                                                スイッチのメモリ ファイル システム内で、デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルの場所を指定します。 device: はフラッシュ メモリです。

                                                                b.

                                                                ip admission proxy http success page file device:success-filename

                                                                デフォルトのログイン成功ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

                                                                c.

                                                                ip admission proxy http failure page file device:fail-filename

                                                                デフォルトのログイン失敗ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

                                                                d.

                                                                ip admission proxy http login expired page file device:expired-filename

                                                                デフォルトのログイン失効ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

                                                                ステップ 3   スイッチによって提供されるガイドラインに従って、カスタマイズされた認証プロキシ Web ページを設定します。
                                                                ステップ 4   次の例に示すように、カスタム認証プロキシ Web ページの設定を確認します。
                                                                
                                                                Switch# show ip admission configuration
                                                                Authentication proxy webpage
                                                                	Login page           : flash:login.htm
                                                                	Success page         : flash:success.htm
                                                                	Fail Page            : flash:fail.htm
                                                                	Login expired Page   : flash:expired.htm
                                                                
                                                                Authentication global cache time is 60 minutes
                                                                Authentication global absolute time is 0 minutes
                                                                Authentication global init state time is 2 minutes
                                                                Authentication Proxy Session ratelimit is 100
                                                                Authentication Proxy Watch-list is disabled
                                                                Authentication Proxy Auditing is disabled
                                                                Max Login attempts per user is 5
                                                                

                                                                デバイス登録 WebAuth プロセス

                                                                デバイス登録 Web 認証(デバイス登録 WebAuth)およびホットスポット ゲスト ポータルを使用すると、ユーザ名とパスワードを要求しないで、プライベート ネットワークへの接続をゲスト デバイスに許可できます。

                                                                このシナリオでは、ゲストは無線接続でネットワークに接続します。 デバイス登録 WebAuth プロセス フローの例については、図 16-1 を参照してください。 後続のデバイス登録 WebAuth プロセスの概要を次に説明します。無線接続と有線接続の両方で同様のプロセスとなります。

                                                                1. ネットワーク アクセス デバイス(NAD)がホットスポット ゲスト ポータルにリダイレクトを送信します。

                                                                2. ゲスト デバイスの MAC アドレスがいずれのエンドポイント ID グループにも含まれていないか、利用規定(AUP)accepted 属性が true に設定されていない場合、Cisco ISE は許可プロファイルに指定された URL リダイレクションを使用して応答します。

                                                                3. ゲストが何らかの URL にアクセスしようとすると、URL リダイレクションによって AUP ページ(有効な場合)が示されます。

                                                                  • ゲストが AUP を受け入れると、デバイスの MAC アドレスに関連付けられたエンドポイントが、設定されたエンドポイント ID グループに割り当てられます。 ゲストによる AUP の受け入れを追跡できるよう、この時点で、このエンドポイントの AUP accepted 属性は true に設定されます。

                                                                  • ゲストが AUP を受け入れない場合、または、エンドポイントの作成中や更新中などにエラーが発生した場合、エラー メッセージが表示されます。

                                                                4. ホットスポット ゲスト ポータルの設定に基づいて、追加情報を含むポスト アクセス バナー ページが表示される場合があります(有効な場合)。

                                                                5. エンドポイントが作成または更新された後、許可変更(CoA)終了が NAD に送信されます。

                                                                6. CoA の後、NAD は MAC 認証バイパス(MAB)の新しい要求でゲスト接続を再認証します。 新規認証では、エンドポイントとそれに関連付けられているエンドポイント ID グループが検索され、設定されているアクセスが NAD に返されます。

                                                                7. ホットスポット ゲスト ポータルの設定に基づいて、ゲストは、アクセスを要求した URL、管理者が指定したカスタム URL、または認証の成功ページに誘導されます。

                                                                有線とワイヤレスのどちらの場合も、CoA タイプは Termination CoA です。 VLAN DHCP リリース(および更新)を実行するようにホットスポット ゲスト ポータルを設定し、それによって、有線と無線の両方の CoA タイプを許可変更に再許可できます。

                                                                VLAN DHCP リリースのサポートは、デスクトップ デバイスの Mac OS と Windows でのみ使用可能です。 モバイル デバイスでは利用できません。 登録するデバイスがモバイルで、[VLAN DHCP リリース(VLAN DHCP Release)] オプションが有効の場合、ゲストは手動で IP アドレスを更新することを要求されます。 モバイル デバイスのユーザの場合は、VLAN を使用するよりも、WLC でアクセス コントロール リスト(ACL)を使用することを推奨します。

                                                                図 2. ワイヤレス デバイス登録 Web 認証フロー