Cisco Identity Services Engine ユーザ ガイド リリース 1.2
管理者ポータル内の移動
管理者ポータル内の移動
発行日;2014/01/15 | 英語版ドキュメント(2013/08/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

管理者ポータル内の移動

管理者ポータル

Cisco ISE ダッシュボード

セットアップ アシスタントと Task Navigator

セットアップ アシスタント

Cisco ISE ライセンスのセットアップ アシスタントへの影響

セットアップ アシスタントの実行

セットアップ アシスタントによる前の設定の上書き

セット アップ アシスタントでのポリシー要件の識別

セットアップ アシスタントでのネットワーク アクセス サービス ページの設定

セットアップ アシスタントでのネットワーク デバイス タイプ ページの設定

セットアップ アシスタントでの選択ページの見直しと確認

Task Navigator

リスト ページのデータのフィルタリング

リスト ページのデータ フィルタ

表示されるフィールド属性のカスタマイズ

クイック フィルタを使用したフィールド属性によるデータのフィルタリング

拡張フィルタを使用した条件によるデータのフィルタリング

カスタム フィルタの作成

Cisco ISE 国際化およびローカリゼーション

サポートされる言語

エンド ユーザの Web ポータルのローカリゼーション

UTF-8 文字データ入力のサポート

UTF-8 クレデンシャル認証

UTF-8 ポリシーおよびポスチャ評価

Cisco NAC および MAC エージェントの UTF-8 サポート

サプリカントに送信されるメッセージの UTF-8 サポート

レポートおよびアラートの UTF-8 サポート

ポータルでの UTF-8 文字サポート

ユーザ インターフェイス外での UTF-8 サポート

UTF-8 の値のインポートおよびエクスポートのサポート

REST での UTF-8 サポート

ID ストアの許可データの UTF-8 サポート

ロールベース アクセス コントロール ポリシーによって制限される管理機能

管理者ポータル

管理者ポータルは、さまざまなアイデンティティ サービスを管理できる管理コンソールです。図 2-1 に、このポータルの主な要素を示します。

図 2-1 管理者ポータル

 

 

1

メニュー バー

さまざまな Cisco ISE オプションを表示、モニタ、および管理するためのツールにアクセスします。

[ホーム(Home)]:Cisco ISE ネットワークで実行されているすべてのサービスがリアルタイムで表示されるダッシュボードにアクセスします。

[操作(Operations)]:リアルタイム アラームとライブ認証のモニタリング、レポートからの履歴データの問い合わせ、およびネットワーク サービスのトラブルシューティング用のツールにアクセスします。

[ポリシー(Policy)]:認証、許可、プロファイリング、ポスチャ、クライアント プロビジョニングの領域でネットワーク セキュリティを管理するためのツールにアクセスします。

[管理(Administration)]:Cisco ISE ノード、ライセンス、証明書、ネットワーク デバイス、ユーザ、エンドポイントおよびゲスト サービスを管理するためのツールにアクセスします。

2

右上のパネル

接続されている Cisco ISE ノードを表示します。アカウント情報を編集したり、ログアウトしたり、シスコにフィードバックを提供したりするには、適切なオプションをクリックします。

3

検索

エンドポイントを検索し、プロファイル、障害、ID ストア、ロケーション、デバイス タイプ別にそれらの分布を表示します。

4

セットアップ アシスタント

基本設定を作成してネットワークの Cisco ISE 機能を示すために、ウィザードにアクセスします。

5

状況依存ヘルプ

現在表示されているページのヘルプにアクセスします。

6

ヘルプ

完全な Cisco ISE オンライン ヘルプ システムおよび Task Navigator にアクセスします。Task Navigator は、タスクが複数の画面にわたる手順を移動するためのビジュアル ガイドを提供します。

7

通知

通知のサマリーを表示するには、このオプションにマウス カーソルを合わせます。

Cisco ISE ダッシュボード

Cisco ISE ダッシュボードは、効果的なモニタリングおよびトラブルシューティングに不可欠な、統合され相互に関連付けられた統計データをライブ表示します。特に指定がない限り、ダッシュボード要素によってアクティビティは 24 時間表示されます。図 2-2 に、Cisco ISE ダッシュボードで使用可能な情報の一部を示します。

図 2-2 Cisco ISE ユーザのダッシュボード

 

 

1

ダッシュレット

ネットワークにアクセスするデバイスとユーザに関する統計情報の要約を表示するダッシュボードの要素です。いくつかのダッシュレットでは、システム ヘルスを伝えるために、色付きアイコンがデバイス名の前に表示されます。

グリーン = 正常

黄 = 警告

赤 = 重大

グレー = 情報なし

2

スパークライン

長期にわたるトレンドを示します。

3

積み上げ棒グラフ

分割する要素として色を使用してパラメータの分布を表示するため、どこで 1 つのパラメータが終了して別のパラメータが始まるかがわかります。表示は、上位 10 の分布に限定されます。一般に、積み上げ棒グラフでは、1 つのデータ測定と別のデータ測定間の境界ポイントを示すために色が使用されます。

4

メトリック メーター

ネットワークにアクセスするデバイスに関連する最も重要な統計情報を要約します。メトリック メーターによって、ネットワークの健全性とパフォーマンスを一目で確認できます。デバイスに関する詳細を表示するには、メトリック メーター上に表示される番号をクリックします。

セットアップ アシスタントと Task Navigator

セットアップ アシスタントと Task Navigator は、ネットワークに対する Cisco ISE の効率的な設定を提供します。セットアップ アシスタントはネットワーク設定およびポリシーに基づいて基本的な Cisco ISE 設定を生成し、Task Navigator は設定タスク全体にビジュアル パスを提供します。

セットアップ アシスタント

セットアップ アシスタントに従ってウィザードのようなインターフェイスで一連の質問が行われます。ウィザードのようなインターフェイスは、応答を保持し、それらを使用して Cisco ISE を直接設定します。セットアップ アシスタントを使用すると、ネットワークの概念実証として基本動作 Cisco ISE 設定をセット アップすることができます。質問への回答は、次の Cisco ISE 機能に影響を及ぼします。認証、許可、プロファイリング、ポスチャ、クライアント プロビジョニング、ゲスト サービス、およびパーソナル デバイスのサポート。

Cisco ISE ライセンスのセットアップ アシスタントへの影響

セットアップ アシスタント機能は、設定に適用した Cisco ISE ライセンスによって異なります。

 

Cisco ISE ライセンス
ポリシー要件の識別
ネットワーク アクセス サービスの設定
ネットワーク デバイス タイプの選択

Basic

--

ポスチャ、エンドポイント プロファイリング、およびパーソナル デバイス オプションが使用できません。

--

Advanced

有線 + モニタを選択する場合、次のページでゲストおよびポスチャの選択肢は無効です。

ワイヤレスと有線 + モニタを選択する場合、次のページのゲストおよびポスチャの選択肢はワイヤレスのみ影響します。

前のページで有線 + モニタを選択した場合、ゲストおよびポスチャの選択肢は使用できません。

最初のページで有線のみ選択した場合、ワイヤレス LAN コントローラ(WLC)の情報は表示されません。

最初のページでワイヤレスのみ選択した場合、スイッチ情報は表示されません。

Wireless

有線オプションは使用できません。

--

スイッチ情報は表示されません。

セットアップ アシスタントの実行

Cisco ISE 1.2 を初めて起動すると、セットアップ アシスタントを実行するように求められます。実行しないと選択した場合でも、後で再度実行できます。

はじめる前に

このタスクを実行するには、Super Admin である必要があります。スタンドアロンまたはプライマリ管理ノードでのみセットアップ アシスタントを実行できます。


ステップ 1 管理者ポータルの右上にある [セットアップ アシスタント(Setup Assistant)] をクリックします。

ステップ 2 画面の手順に従って、設定を完了します。


 

セットアップ アシスタントによる前の設定の上書き

セットアップ アシスタントを実行するたびに、Cisco ISE は以前の設定を上書きし、次のような仕方で設定に致命的な影響を与える場合があります。

すべての認証、許可、クライアント プロビジョニング、およびポスチャ ポリシーは、セットアップ アシスタントを使用せずに追加したものを含めて削除および置換されます。

ポリシー要素や Web ポータルのカスタマイゼーションなどのその他の設定は、新しく指定された値で上書きされます。オプションの設定に対して何も入力しなかった場合、セットアップ アシスタントはそれらをデフォルト値にリセットします。

セット アップ アシスタントでのポリシー要件の識別

有線またはワイヤレス

有線接続、ワイヤレス接続、またはその両方をサポートするかどうか示す必要があります。Cisco ISE WIRELESS ライセンスを使用している場合、有線のオプションは使用できません。

これらの選択肢は、Cisco ISE が作成するポリシーに影響し、必要な他の応答も指示します。たとえば、有線を選択した場合、ネットワークが IP フォンをサポートするかどうかを指定することもできます。

有線接続をモニタリングするかどうか、またはコンプライアンスに基づいてネットワーク アクセスを適用する必要があるかどうかも示す必要があります。

モニタは、非準拠ログおよびレポートを生成しますが、ユーザまたはデバイスが定義済みポリシーに従う必要はありません。

モニタリング モードでは、ポスチャおよびゲスト ポリシーは無視されます。モニタリング モードで有線接続をサポートする場合、セットアップ アシスタントは、許可されていないコンピュータやゲストのアクセスを防ぐために、次のページのゲストおよびポスチャの選択肢を無効にします。

有線およびワイヤレス接続をサポートする場合は、ゲストおよびポスチャ機能を有効にできますが、それらはワイヤレス機能にしか適用されません。ワイヤレス接続は、常に強制モードで実行されます。

強制は、定義済みポリシーへの準拠を要求します。

保護サブネット

ゲストまたは非準拠のエンドポイントによってアクセスできないサブネットを指定する必要があります。この情報は、ダウンロード可能 ACL を作成するときに使用されます。

セットアップ アシスタントでのネットワーク アクセス サービス ページの設定

ユーザ認証

これらのグループに属するユーザは、従業員としてネットワーク アクセス権を付与され、スポンサー ポータルを使用してゲスト アカウントを作成することを許可されます。

内部ユーザ:内部ユーザを作成する場合、Cisco ISE は、入力した名前を使用して 1 人のユーザを作成し、デフォルトの従業員ユーザ ID グループと SponsorAllAccount ユーザ ID グループにそのユーザを割り当てます。これは、セットアップの完了後に、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] ページで確認できます。

セットアップ アシスタントはネットワークの機能を示すための基本的な Cisco ISE 設定だけを提供するので、それを使用して内部ユーザ データベースに追加ユーザをインポートすることはできません。セットアップ アシスタンスを完了した後に、管理者ポータルを使用して追加の内部ユーザを追加できます。

Active Directory:Active Directory ドメインに参加する場合、Cisco ISE は指定された AD ドメインを追加して、それに参加します。ドメインへの参加後、Active Directory グループを選択する必要があります。このグループに属するすべてのユーザは、Dot1x を使用して認証され、スポンサー ポータルを使用してゲストを作成できます。これは、セットアップの完了後に、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] ページで確認できます。

ポスチャ コンプライアンス

セットアップ アシスタントを使用してポスチャを有効にすると、Cisco ISE は接続されたエンドポイント上のアンチスパイウェアとウイルス対策の定義とインストールを確認します。

従業員とゲストのポスチャ コンプライアンスを評価するか、または評価および遵守するかを指定する必要があります。

評価は、非準拠ユーザに関するレポートを生成しますが、それらの認証を許可します。

遵守では認証は行われません。

ネットワーク アクセス権を付与する前に非準拠のエンドポイントを修復サーバにリダイレクトするように Cisco ISE に強制する場合、プロキシ サーバの IP アドレスを入力します。

ポスチャ コンプライアンスを有効にした場合、Cisco ISE は次の内容を実行します。

Cisco NAC Aent をダウンロードし、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] ページを更新します。

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [ダウンロード可能 ACL(Downloadable ACLs)] ページでダウンロード可能 ACL を作成します。セットアップ アシスタントで作成されたすべての DACL にはプレフィックス AutoGen が含まれます。例: AutoGen_DACL_PrePostureWired

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] ページでを許可プロファイルを作成します。セットアップ アシスタントで作成された許可プロファイルにはプレフィックス AutoGen が含まれます。例: AutoGen_profile_Byod_CWA

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [単純条件(Simple Conditions)] および [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [複合条件(Simple Conditions)] ページで許可条件を作成します。セットアップ アシスタントで作成された許可条件にはプレフィックス AutoGen が含まれます。例: AutoGen_condition_Android_Devices または AutoGen_condition_GuestWired

[ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] ページでクライアント プロビジョニングを作成します。 セットアップ アシスタントで作成されたクライアント プロビジョニングにはプレフィックス AutoGen が含まれます。例: AutoGen_Provisioning

[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [更新(Updates)] ページからポスチャ更新をダウンロードします。

[ポリシー(Policy)] > [ポスチャ(Posture)] ページでポスチャ ポリシーを作成します。セットアップ アシスタントで作成されたポスチャ ポリシーにはプレフィックス AutoGen が含まれます。例: AutoGen_Policy_Check_For_AS_Definition_Mac_Employee

[ポリシー(Policy)] > [許可(Authorization)] ページで許可ポリシーを作成します。セットアップ アシスタントで作成された許可ポリシーにはプレフィックス AutoGen が含まれます。例: AutoGen_policy_Registered_Wireless_Devices

[ポリシー(Policy)] > [認証(Authentication)] ページで認証ポリシーを作成します。セットアップ アシスタントで作成された認証ポリシーにはプレフィックス AutoGen が含まれます。例: AutoGen_AuthNPolicy_MAB

エンドポイント プロファイリング

エンドポイント プロファイリングは、ネットワークに接続されているすべてのエンドポイントの機能を検出、識別、および決定します。エンドポイント プロファイリングを有効にした場合、Cisco ISE は次の内容を実行します。

[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ノードの編集(Edit Node)] > [プロファイリング設定(Profiling Configuration)] ページで次のエンドポイント プロファイリング機能を有効にします。

DHCP

RADIUS

ネットワーク スキャン(NMAP)(Network Scan (NMAP))

SNMP クエリーのプローブ

[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] ページで SNMP を設定します。

プロキシの設定

Cisco ISE は、エンドポイントのポスチャを評価し、ネットワークでパーソナル デバイスを許可するために必要なシスコ定義のポスチャ チェックおよびクライアント プロビジョニング リソースをダウンロードするために、プロキシ サーバを使用します。これらのプロキシ設定を設定すると、Cisco ISE は [管理(Administration)] > [システム(System)] > [設定(Settings)] ページで設定を更新します。

ゲスト ユーザのサポート

ゲスト ユーザをサポートするには、スポンサー ユーザを作成する必要があります。Cisco ISE は、入力した名前を使用して 1 人のユーザを作成し、デフォルトの SponsorAllAccount ユーザ ID グループにそのユーザを割り当てます。それにより、ユーザはスポンサー ユーザとして定義されます。これは、セットアップの完了後に、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] ページで確認できます。

簡素化された URL を追加すると、Cisco ISE は [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポート(Ports)] ページの [ポータル URL(Portal URL)] 設定を更新します。

パーソナル デバイスのサポート

従業員がデバイス ポータルにアクセスするために使用する簡素化された URL を追加することができ、その場合 Cisco ISE は [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポート(Ports)] ページの [ポータル URL(Portal URL)] 設定を更新します。

Web ポータルのカスタマイゼーション

スポンサー、ゲスト、およびデバイス ポータルのカスタム ロゴとして使用するイメージをアップロードできます。Cisco ISE も、イメージを [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポータル テーマ(Portal Theme)] ページにアップロードします。

セットアップ アシスタントでのネットワーク デバイス タイプ ページの設定

スイッチおよびワイヤレス コントローラ

Cisco ISE は、スイッチおよびワイヤレス コントローラを [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] ページに追加し、SNMP 設定を更新し、RADIUS 共有秘密を [認証設定(Authentication Settings)] オプションに追加します。

以前行った選択に応じて、スイッチおよびワイヤレス コントローラを設定する必要があります。必要な設定の詳細を説明するサンプル ネットワーク トポロジを表示するには、[有線(Wired)] または [ワイヤレス ネットワーク ダイアグラム(Wireless Network Diagram)] リンクをクリックします。

セットアップ アシスタントでの選択ページの見直しと確認

選択の確認

それぞれの質問に対する応答を確認できます。

ネットワーク デバイス設定

設定されたスイッチおよび WLC ごとに設定の詳細が別々に表示されます。Cisco ISE は、デバイスのこれらの設定を自動的に更新しません。現在のデバイス設定を完全に置換する場合は、設定全体をコピーして貼り付けます。あるいは、必要な設定変更を加えた特定のセクションだけをコピーできます。セットアップ アシスタントを終了してから、[セットアップ アシスタント(Setup Assistant)] > [ネットワーク デバイス設定の表示(View network device configuration)] を選択して、設定の最新コピーにアクセスできます。

ISE の設定

[ISE の設定(ISE Configuration)] タブには、各設定、ポリシー、プロファイル、DACL、および Cisco ISE に追加されたネットワーク デバイスの詳細が表示されます。

Task Navigator

Task Navigator は、複数のページに及ぶ設定タスク全体に、ビジュアル パスを提供します。直線表示によって、タスクを完了する順序が視覚的に示され、タスクを実行する画面への直接リンクがあります。Task Navigator は、完了したときのタスクに関する情報を保持しない純粋なビジュアル マップです。

次の Task Navigator から選択できます。

[セットアップ(Setup)]:Cisco ISE セットアップ プロセスの最初の部分を実行します。

[プロファイリング(Profiling)]:エンドポイントをプロファイルします。

[基本ユーザ許可(Basic User Authorization)]:基本的なユーザ許可を設定します。

[クライアント プロビジョニングとポスチャ(Client Provisioning and Posture)]:クライアント プロビジョニングとポスチャを設定します。

[基本ゲスト許可(Basic Guest Authorization)]:基本的なゲスト許可を設定します。

[拡張ユーザ許可(Advanced User Authorization)]:クライアント プロビジョニングおよびポスチャと一緒にユーザ許可を設定します。

[拡張ゲスト許可(Advanced Guest Authorization)]:クライアント プロビジョニングおよびポスチャと一緒にゲスト許可を設定します。

[デバイスの登録(Device Registration)]:ユーザのデバイスを設定します。

リスト ページのデータのフィルタリング

リスト ページには、表示情報をフィルタリングおよびカスタマイズできるツールが含まれています。

「リスト ページのデータ フィルタ」

「表示されるフィールド属性のカスタマイズ」

「クイック フィルタを使用したフィールド属性によるデータのフィルタリング」

「拡張フィルタを使用した条件によるデータのフィルタリング」

「カスタム フィルタの作成」

リスト ページのデータ フィルタ

設定およびフィルタ アイコンを使用して、リスト ページに表示される情報をカスタマイズおよびフィルタリングできます。

図 2-3 データ フィルタの例

 

表示されるフィールド属性のカスタマイズ

リスト ページに表示されるフィールド属性をカスタマイズできます。使用可能なオプションおよびデフォルト オプションは、特定のリスト ページによって異なります。


ステップ 1 [設定(Settings)] アイコンをクリックし、[カラム(Columns)] を選択します。

ステップ 2 追加または除去する項目を選択します。選択した項目の横にチェック マークが表示されます。

ステップ 3 [閉じる(Close)] をクリックします。


 

関連項目

「リスト ページのデータ フィルタ」

クイック フィルタを使用したフィールド属性によるデータのフィルタリング

クイック フィルタは、リスト ページに表示されるフィールド属性の値を入力できるようにし、ページを更新し、フィルタ基準に一致するレコードのみをリストします。


ステップ 1 [表示(Show)] ドロップダウン リストをクリックし、[クイック フィルタ(Quick Filter)] を選択します。

ステップ 2 1 つ以上の属性フィールドに検索基準を入力すれば、指定した属性に一致するエントリが自動的に表示されます。


 

関連項目

「リスト ページのデータ フィルタ」

拡張フィルタを使用した条件によるデータのフィルタリング

拡張フィルタを使用すると、名 = Mike およびユーザ グループ = 従業員など、指定した条件に基づいて情報をフィルタリングできます。複数の条件を指定できます。


ステップ 1 [表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。

ステップ 2 [フィルタ(Filter)] メニューから、フィールド、演算子、および値などの検索属性を指定します。

ステップ 3 [+] をクリックして、さらに条件を追加します。

ステップ 4 [実行(Go)] をクリックして、指定した属性に一致するエントリを表示します。


 

関連項目

「リスト ページのデータ フィルタ」

カスタム フィルタの作成

カスタム フィルタを作成および保存し、プリセット フィルタのフィルタ基準を変更できます。カスタム フィルタは Cisco ISE データベースに保存されません。それらを作成するために使用した同じコンピュータおよびブラウザを使用することによってのみ、それらにアクセスできます。


ステップ 1 [表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。

ステップ 2 [フィルタ(Filter)] メニューから、フィールド、演算子、および値などの検索属性を指定します。

ステップ 3 [+] をクリックして、さらに条件を追加します。

ステップ 4 [実行(Go)] をクリックして、指定した属性に一致するエントリを表示します。

ステップ 5 [保存(Save)] アイコンをクリックしてフィルタを保存します。

ステップ 6 名前を入力して、[保存(Save)] をクリックします。フィルタが [表示(Show)] ドロップダウン リストに表示されます。


 

関連項目

「拡張フィルタを使用した条件によるデータのフィルタリング」

「リスト ページのデータ フィルタ」

Cisco ISE 国際化およびローカリゼーション

Cisco ISE 国際化では、サポートされる言語にユーザ インターフェイスを合わせます。ユーザ インターフェイスのローカリゼーションでは、ロケール固有のコンポーネントおよび翻訳されたテキストが組み込まれます。

Cisco ISE の国際化およびローカリゼーションのサポートでは、ポータルに接するエンド ユーザに対して UTF-8 符号化で英語以外のテキストをサポートすること、および管理者ポータルの選択的フィールドに重点を置いています。

この項では、次のトピックを扱います。

「サポートされる言語」

「エンド ユーザの Web ポータルのローカリゼーション」

「UTF-8 文字データ入力のサポート」

サポートされる言語

Cisco ISE では、次の言語とブラウザ ロケールのローカリゼーションおよび国際化がサポートされます。

 

言語
ブラウザ ロケール

繁体字中国語

zh-tw

簡体字中国語

zh-cn

チェコ語

cs-cz

オランダ語

nl-nl

英語

en

フランス語

fr-fr

ドイツ語

de-de

ハンガリー語

hu-hu

イタリア語

it-it

日本語

ja-jp

韓国語

ko-kr

ポーランド語

pl-pl

ポルトガル語(ブラジル)

pt-br

ロシア語

ru-ru

スペイン語

es-es

エンド ユーザの Web ポータルのローカリゼーション

ゲスト、スポンサー、デバイス、およびクライアント プロビジョニング ポータルは、サポートされるすべての言語およびロケールにローカライズされています。これに含まれるのは、テキスト、ラベル、メッセージ、フィールド名、およびボタン ラベルです。Cisco ISE でテンプレートにマッピングされていないロケールがクライアント ブラウザから要求された場合は、ポータルは英語のテンプレートを使用してコンテンツを表示します。

管理者ポータルを使用すると、ゲスト、スポンサー、およびデバイス ポータルに使用するフィールドを言語ごとに個別に変更でき、さらに言語を追加できます。現在、クライアント プロビジョニング ポータルのこれらのフィールドはカスタマイズできません。

HTML ページを Cisco ISE にアップロードすることによって、ゲスト ポータルをさらにカスタマイズできます。カスタマイズしたページをアップロードする場合は、展開に対する適切なローカリゼーション サポートに責任を負います。Cisco ISE では、サンプル HTML ページを含むローカリゼーション サポート例が提供されており、これをガイドとして使用できます。Cisco ISE には、国際化されたカスタム HTML ページをアップロード、格納、および表示する機能があります。


) NAC および MAC エージェント インストーラおよび WebAgent ページはローカライズされていません。


関連項目

「サポートされる言語」

「カスタム言語テンプレートの追加」

「カスタマイズされたゲスト ポータル」

「ゲスト ポータル用のカスタム ページのサンプル HTML」

UTF-8 文字データ入力のサポート

(Cisco NAC Agent、サプリカント、またはスポンサー ポータル、ゲスト ポータル、デバイス ポータル、およびクライアント プロビジョニング ポータルで)エンド ユーザに表示される Cisco ISE フィールドでは、すべての言語の UTF-8 文字セットがサポートされます。UTF-8 は、Unicode 文字セット用のマルチバイト文字エンコーディングであり、ヘブライ語、サンスクリット語、アラビア語など、多数の異なる言語文字セットがあります。

文字の値は、管理設定データベースに UTF-8 で格納され、UTF-8 文字はレポートおよびユーザ インターフェイス コンポーネントで正しく表示されます。

関連項目

「ポータルでの UTF-8 文字サポート」

UTF-8 クレデンシャル認証

ネットワーク アクセス認証では、UTF-8 ユーザ名およびパスワードのクレデンシャルがサポートされます。これには、RADIUS、EAP、RADIUS プロキシ、RADIUS トークン、およびゲストおよび管理者ポータルのログイン認証からの Web 認証が含まれます。ユーザ名とパスワードの UTF-8 サポートは、ローカル ID ストアおよび外部 ID ストアに対する認証に適用されます。

UTF-8 認証は、ネットワーク ログインに使用されるクライアント サプリカントに依存します。一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。Windows ネイティブ サプリカントで問題が生じた場合は、次の Windows ホットフィックスが役立つ場合があります。

http://support.microsoft.com/default.aspx?scid=kb;EN-US;957218

http://support.microsoft.com/default.aspx?scid=kb;EN-US;957424


) RSA では UTF-8 ユーザはサポートされないため、RSA を使用した UTF-8 認証はサポートされません。同様に、Cisco ISE 1.2 と互換性がある RSA サーバでも UTF-8 はサポートされません。


UTF-8 ポリシーおよびポスチャ評価

属性値に基づいて決定される Cisco ISE のポリシー ルールに、UTF-8 テキストが含まれている場合があります。UTF-8 属性値はルール評価でサポートされます。また、管理ポータルで UTF-8 の値を使用して条件を設定できます。

ポスチャ要件を、UTF-8 文字セットに基づくファイル、アプリケーション、およびサービス条件として変更できます。これには、UTF-8 要件の値を NAC エージェントに送信することが含まれます。NAC エージェントはそれに応じてエンドポイントを評価し、UTF-8 の値を報告します(該当する場合)。

Cisco NAC および MAC エージェントの UTF-8 サポート

Cisco NAC エージェントでは、テキスト、メッセージ、および Cisco ISE と交換される任意の UTF-8 データの国際化がサポートされます。これには、要件メッセージ、要件名、および条件で使用されるファイル名およびプロセス名が含まれます。

次の制限が適用されます。

UTF-8 サポートは、Windows ベースの NAC エージェントにのみ適用されます。

Cisco NAC および MAC エージェントのインターフェイスでは、現在、ローカリゼーションはサポートされていません。

WebAgent では、UTF-8 ベースのルールおよび要件はサポートされません。

利用規定(AUP)が設定されている場合は、ブラウザ ロケールと設定で指定された言語セットに基づいて、ポリシーのページがクライアント側で提供されます。ローカライズされた AUP バンドルまたはサイト URL の提供は、管理者の責任です。

サプリカントに送信されるメッセージの UTF-8 サポート

RSA プロンプトおよびメッセージは、RADIUS 属性 REPLY-MESSAGE を使用して、または EAP データ内で、サプリカントに転送されます。テキストに UTF-8 データが含まれている場合は、サプリカントによって、クライアントのローカル オペレーティング システムの言語サポートに基づいて表示されます。一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。

Cisco ISE プロンプトおよびメッセージは、サプリカントが実行されているクライアントのオペレーティング システムのロケールと同期していない場合があります。エンド ユーザのサプリカント ロケールを Cisco ISE でサポートされる言語と整合させるのは、管理者の責任です。

レポートおよびアラートの UTF-8 サポート

モニタリングおよびトラブルシューティングのレポートおよびアラートでは、Cisco ISE でサポートされる言語について、次のように関連属性の UTF-8 の値がサポートされます。

ライブ認証の表示

レポート レコードの詳細ページの表示

レポートのエクスポートと保存

Cisco ISE ダッシュボードの表示

アラート情報の表示

tcpdump データの表示

ポータルでの UTF-8 文字サポート

Cisco ISE フィールド(UTF-8)では、ポータルおよびエンド ユーザ メッセージでローカリゼーション用に現在サポートされているよりも、多くの文字セットがサポートされます。たとえば、Cisco ISE では、ヘブライ語やアラビア語などの右から左へ記述する言語はサポートされていません(文字セット自体はサポートされています)。

次の表に、UTF-8 文字でデータの入力や表示を行うことができる管理およびエンドユーザ ポータル内のフィールドを示します。また次の制限があります。

Cisco ISE では、UTF-8 文字を使用した管理者パスワードはサポートしません。

Cisco ISE では、証明書で UTF-8 文字を使用することはできません。

 

表 2-1 管理者ポータルの UTF-8 文字フィールド

管理者ポータル要素
UTF-8 フィールド

ネットワーク アクセスのユーザ設定

ユーザ名(User name)

名(First name)

姓(Last name)

電子メール(e-mail)

ユーザ リスト

すべてのフィルタ フィールド

[ユーザ リスト(User List)] ページに表示される値

左のナビゲーション クイック ビューに表示される値

ユーザ パスワード ポリシー

[詳細設定(Advanced)] > [パスワード(Password)] への文字入力は不可

言語の中には大文字または小文字のアルファベットがないものがあります。ユーザ パスワード ポリシーではユーザが大文字または小文字でパスワードを入力する必要があり、ユーザの言語がこれらの文字をサポートしていない場合は、ユーザはパスワードを設定できません。ユーザ パスワード フィールドで UTF-8 文字をサポートするには、ユーザ パスワード ポリシー ページ([管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ パスワード ポリシー(User Password Policy)])で次のオプションをオフにする必要があります。

小文字の英文字(Lowercase alphabetic characters)

大文字の英文字(Uppercase alphabetic characters)

管理者リスト

すべてのフィルタ フィールド

[管理者リスト(Administrator List)] ページに表示される値

左のナビゲーション クイック ビューに表示される値

管理者ログイン ページ

ユーザ名

RSA

メッセージ

プロンプト

RADIUS トークン

[認証(Authentication)] タブ > [プロンプト(Prompt)]

ポスチャ要件

名前(Name)

[修復アクション(Remediation action)] > エージェント ユーザに表示されるメッセージ

要件リスト表示

ポスチャ条件

[ファイル条件(File condition)] > [ファイル パス(File path)]

[アプリケーション条件(Application condition)] > [プロセス名(Process name)]

[サービス条件(Service condition)] > [サービス名(Service name)]

条件リスト表示

ゲストおよびデバイスの設定

[スポンサー(Sponsor)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

[ゲスト(Guest)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

[デバイス(My Devices)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

システム設定

[SMTP サーバ(SMTP Server)] > [デフォルトの電子メール アドレス(Default e-mail address)]

[操作(Operations)] > [アラーム(Alarms)] > [ルール(Rule)]

[基準(Criteria)] > [ユーザ(User)]

[通知(Notification)] > [電子メール通知ユーザ リスト(e-mail Notification user list)]

[操作(Operations)] > [レポート(Reports)]

[操作(Operations)] > [ライブ認証(Live Authentications)] > フィルタ フィールド

[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > レポート フィルタ フィールド

[操作(Operations)] > [トラブルシューティング(Troubleshoot)]

[一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)] > [ユーザ名(Username)]

ポリシー

[認証(Authentication)] > ポリシー条件内での av 式の値

[許可(Authorization)]/[ポスチャ(Posture)]/[クライアント プロビジョニング(Client Provisioning)] > [その他の条件(Other Conditions)] > ポリシー条件内での av 式の値

ポリシー ライブラリ条件の属性値

[認証(Authentication)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

[認証(Authentication)] > 単純条件リスト表示

[認証(Authentication)] > 単純条件リスト > 左のナビゲーション クイック ビュー表示

[許可(Authorization)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

[許可(Authorization)] > 単純条件リスト > 左のナビゲーション クイック ビュー表示

[ポスチャ(Posture)] > [ディクショナリ単純条件/ディクショナリ複合条件(Dictionary Simple Condition/Dictionary Compound Condition)] > av 式の値

[ゲスト(Guest)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

ユーザ インターフェイス外での UTF-8 サポート

この項では、Cisco ISE ユーザ インターフェイス外で UTF-8 がサポートされる領域について説明します。

デバッグ ログおよび CLI 関連の UTF-8 サポート

一部のデバッグ ログには、属性値およびポスチャ条件の詳細が表示されます。そのため、すべてのデバッグ ログで UTF-8 の値が受け入れられます。raw UTF-8 データを含むデバッグ ログをダウンロードし、それを UTF-8 がサポートされるビューアで表示できます。

ACS 移行の UTF-8 サポート

Cisco ISE では、ACS UTF-8 設定オブジェクトおよび値の移行が可能です。一部の UTF-8 オブジェクトの移行は、Cisco ISE UTF-8 言語でサポートされない場合があります。そのため、移行中に提供される UTF-8 データの一部は、管理ポータルまたはレポート方式を使用して読み取れない表示になる場合があります。(ACS から移行される)読み取れない UTF-8 の値を ASCII テキストに変換する必要があります。

関連項目

『Cisco Identity Services Engine, Release 1.2 Migration Tool Guide』

UTF-8 の値のインポートおよびエクスポートのサポート

管理およびスポンサー ポータルでは、ユーザのアカウントの詳細をインポートするときに使用される UTF-8 値を含むプレーン テキストおよび .csv ファイルをサポートします。エクスポートされたファイルは csv ファイルとして提供されます。

REST での UTF-8 サポート

UTF-8 の値は、外部 REST 通信でサポートされます。これは、admin 認証を除き、Cisco ISE ユーザ インターフェイスの UTF-8 がサポートされる設定可能項目に適用されます。REST での admin 認証には、ログインのために ASCII テキスト クレデンシャルが必要です。

関連項目

Cisco Identity Services Engine API Reference Guide, Release 1.2

ID ストアの許可データの UTF-8 サポート

Cisco ISE では、Active Directory および LDAP は、ポリシー処理のために認可ポリシーで UTF- 8 データを使用できます。

ロールベース アクセス コントロール ポリシーによって制限される管理機能

Cisco ISE では、管理権限を制限することでセキュリティを確保するロールベース アクセス コントロール(RBAC)ポリシーが提供されます。RBAC ポリシーは、ロールおよび権限を定義するためにデフォルトの管理者グループに関連付けられています。標準的な権限セット(メニューおよびデータ アクセス)が、事前定義された管理者グループそれぞれとペアになっており、それによって、関連付けられたロールおよび職務機能と整合性がとられています。

ユーザ インターフェイスにある一部の機能には、使用するために特定の権限が必要です。ある機能が使用できない場合、または特定のタスクの実行が許可されない場合、その機能を利用するタスクを実行するのに必要な権限が自分の管理者グループにない場合があります。

アクセスのレベルに関係なく、すべての管理者アカウントは、アクセスできるページで、権限を持つオブジェクトを変更または削除することができます。読み取り専用機能は、いずれの管理者アクセスにも使用できません。

関連項目

「管理者および管理者アクセス ポリシーの管理」