Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
ユーザ アクセスの管理
ユーザ アクセスの管理
発行日;2013/01/21 | 英語版ドキュメント(2012/08/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

ユーザ アクセスの管理

概要

ゲスト サービス機能

中央 WebAuth 対応の NAD

ローカル WebAuth 対応のワイヤレス LAN コントローラ

ローカル WebAuth 対応の有線 NAD

デバイス登録 WebAuth

Cisco ISE ゲスト サービスのコンポーネント

Cisco ISE ゲスト サービスのデフォルト ポータル

ゲスト ライセンシング

ゲストのハイ アベイラビリティと複製

ゲスト サービスの制御

オペレーティング システムとブラウザのサポート

ゲスト ポリシー条件の設定

単純条件

単純条件の作成

複合条件

複合条件の作成

スポンサー グループ ポリシー

新しいスポンサー グループ ポリシーの作成

スポンサー グループ

スポンサー グループの作成および編集

スポンサー グループの削除

スポンサー グループへの Active Directory グループのマップ

スポンサー ユーザの作成およびスポンサー ポータルへのアクセス テスト

ゲスト ユーザの作成

電子メール通知用の SMTP サーバ設定

全般設定

スポンサー ポータルやゲスト ポータルのポート設定

ゲスト ユーザ レコードの消去

スポンサー設定

認証ソースの指定

スポンサー ポータルにアクセスするための簡易 URL の指定

カスタム ポータル テーマの作成

言語テンプレートの適用

国際化およびローカリゼーション

スポンサー言語テンプレートの設定

単一ゲスト アカウントを作成するためのテンプレートの設定

ゲスト通知用のテンプレートの設定

ゲスト設定

詳細ポリシーの設定

ゲスト言語テンプレートの設定

マルチポータルの設定

複数のポータルのホスト

ポータル ページを作成するためのサンプル HTML コード

ゲスト ポータル ポリシーの設定

ゲスト パスワード ポリシーの設定

時間プロファイル

時間プロファイルの追加、編集、または複製

時間プロファイルの削除

ゲスト ユーザ名ポリシーの設定

スポンサーとゲストのアクティビティのモニタリング

監査ロギング

ユーザ アクセスの管理

この章では、ネットワーク ユーザ アクセスの管理、スポンサー アカウント、およびこれらのネットワーク ユーザに必要なポリシーの作成方法について説明します。

この章は、次の内容で構成されています。

「概要」

「ゲスト サービス機能」

「Cisco ISE ゲスト サービスのデフォルト ポータル」

「ゲスト ライセンシング」

「ゲストのハイ アベイラビリティと複製」

「ゲスト サービスの制御」

「オペレーティング システムとブラウザのサポート」

「ゲスト ポリシー条件の設定」

「スポンサー グループ ポリシー」

「スポンサー グループ」

「スポンサー グループへの Active Directory グループのマップ」

「スポンサー ユーザの作成およびスポンサー ポータルへのアクセス テスト」

「ゲスト ユーザの作成」

「電子メール通知用の SMTP サーバ設定」

「全般設定」

「スポンサー設定」

「ゲスト設定」

「スポンサーとゲストのアクティビティのモニタリング」

「監査ロギング」

概要

Cisco Identity Services Engine(ISE)ゲスト サービスを利用すると、ゲスト、ビジター、請負業者、コンサルタント、カスタマーなどのユーザは、企業イントラネットか公開インターネットかを問わず、(HTTPS を使用して)ネットワークにアクセスできます。ネットワークは、ネットワーク アクセス デバイス(NAD)で VLAN およびダウンロード可能アクセス コントロール リスト(DACL)の設定を通じて定義します。

Cisco ISE ゲスト サービスにより、適切な権限を持つユーザは、スポンサー アカウントや一時ゲスト アカウントを簡単に作成することができます。Cisco ISE ゲスト サービスでは、スポンサーの完全認証が行われます。


) Cisco ISE で現在サポートされているアクティブ ゲスト アカウント数は、最大で 37K です。


スポンサーとゲスト

スポンサーとは、ゲスト アカウントを作成できるユーザのことです。Cisco ISE を利用することにより、スポンサーは、印刷物、電子メール、または Short Message Service(SMS)を通じてゲストにアカウントの詳細を提供することができます。ユーザ アカウントの作成からゲスト ネットワーク アクセスに至る一連の手続きはすべて監査およびレポート用に保存されます。

ゲスト ユーザがワイヤレス接続または有線接続のいずれかでローカル ネットワークに初めて接続すると、アクセスが制限された分離ネットワークに配置されます。この分離ネットワークは、ワイヤレス LAN コントローラ(WLC)または NAD で VLAN および DACL の設定を通じて定義できます。ゲスト ユーザを正しく機能させるには、WLC または NAD でキャプティブ HTTPS ポータル ログイン シナリオをサポートし、ログイン URL を RADIUS サーバにマップできるようにする必要があります。

デフォルト ポータル

Cisco ISE ゲスト サービスは、次のデフォルト ポータル(設定可能)を備えています。

ゲスト ポータル

スポンサー ポータル

デバイス登録 Web 認証ポータル

Cisco ISE ゲスト サービスでは、ゲスト ユーザ アカウントを作成して管理できるだけでなく、カスタマイズ可能なデフォルト ポータルを使用してゲスト ユーザ ログインを処理することもできます。ゲスト アカウントは、作成時に指定される期間に対して定義されます。

ゲスト サービス機能

ゲストがネットワークに対するフル アクセスを得るには、ブラウザ ウィンドウを開き、 www.xyz.com abcde.com などの Web サイトの URL を入力して HTTPS 要求を行います。ゲストは許可されていないため、最初はアクセスが制限されています。

ゲスト ユーザ ポータルは、WLC ローカル WebAuth 用のキャプティブ ポータルとして設定されています。有線 NAD の場合は、初回の MAB ルックアップが失敗すると、Cisco ISE から NAD に URL-redirect 値が返されます。最終的には、ゲストがユーザ名とパスワードを入力できるようログイン ページが提示されます。

Cisco ISE ゲスト サービスでは、次の機能がサポートされています。

「中央 WebAuth 対応の NAD」

「ローカル WebAuth 対応のワイヤレス LAN コントローラ」

「ローカル WebAuth 対応の有線 NAD」

「デバイス登録 WebAuth」

中央 WebAuth 対応の NAD

このシナリオは、ワイヤレスと有線のどちらのネットワーク アクセス デバイスにも当てはまります。このシナリオでは、ゲスト ユーザのクレデンシャルが Cisco ISE セッション キャッシュに追加され、NAD を使用して許可変更(CoA)が要求されます。NAD を通じて、Cisco ISE サーバに対して新規許可要求が行われます。セッション キャッシュ属性を使用して、ゲスト ユーザが完全に認証および許可されます。


) WLC では、中央 WebAuth 用の CoA がサポートされていますので(7.2 以降)、NAD は、同じ設定方式を使用して有線またはワイヤレスで Cisco ISE ネットワークに接続することができます。


クライアントのマシンを有線で NAD に接続している場合は、ゲスト サービス インタラクションにより MAB 要求が失敗し、その結果としてゲスト ポータルの中央 WebAuth ログインが開始されます。

次に、MAB の失敗によってトリガーされる中央 WebAuth プロセスの各ステップを示します。

1. クライアントは、有線接続によって NAD に接続します。クライアント上に 802.1X サプリカントはありません。

2. MAB のサービス タイプを扱う認証ポリシーにより、MAB が引き続き失敗し、中央 WebAuth ユーザ インターフェイスの URL-redirect を含む制限付きネットワーク プロファイルが返されます。

3. MAB 要求を Cisco ISE RADIUS サーバにポストするよう NAD が設定されます。

4. クライアント マシンが接続され、NAD により MAB 要求が開始されます。

5. Cisco ISE サーバで MAB 要求が処理されますが、クライアント マシンのエンドポイントが見つかりません。この MAB の失敗により、制限付きネットワーク プロファイルが適用され、プロファイル内の URL-redirect 値が access-accept で NAD に返されます。この機能をサポートするには、適切な「NetworkAccess:UseCase=Hostlookup」条件および「Session:Posture Status=Unknown」条件を含む許可ポリシーが存在することを確認してください。

NAD では、この値に基づいて、ポートまたは 8443 のすべてのクライアント HTTPS トラフィックが URL-redirect 値にリダイレクトされます。この場合の標準 URL 値は次のとおりです。

https://ip:port/guestportal/gateway?sessionId=NetworkSessionId&action=cwa

6. クライアントは、クライアント ブラウザを使用して、任意の URL に対する HTTPS 要求を開始します。

7. NAD により、最初の access-accept から返された URL-redirect 値に要求がリダイレクトされます。

8. CWA をアクションとしたゲートウェイ URL 値は、ゲスト ポータル ログイン ページにリダイレクトされます。

9. クライアントは、ユーザ名とパスワードを入力し、ログイン フォームを送信します。

10. ゲスト アクション サーバで、指定されたユーザ クレデンシャルの認証が行われます。

11. クレデンシャルが有効な場合は、ゲスト アクション サーバによってユーザ名とパスワードがローカル セッション キャッシュに格納されます。

12. Non-Posture フロー(追加検証のない認証)の場合は、次のことが当てはまります。

ゲスト ポータルがクライアント プロビジョニングを実行するように設定されていない場合は、ゲスト アクション サーバによって API 呼び出しを通じて CoA が NAD に送信されます。この CoA により、NAD は RADIUS サーバを使用してクライアントの再認証を行います。この再認証では、セッション キャッシュに格納されているユーザ クレデンシャルが利用されます。新しい access-accept が、設定されたネットワーク アクセスとともに NAD に返されます。クライアント プロビジョニングが未設定で、VLAN が使用されている場合は、ゲスト ポータルで VLAN IP の更新が行われます。

ユーザは、このプロセスでクレデンシャルを再入力する必要はありません。初回ログイン時に入力した名前とパスワードが自動的に使用されます。

13. Posture フローの場合は、次のことが当てはまります。

ゲスト ポータルがクライアント プロビジョニングを実行するように設定されていて、ゲスト アクションによってクライアント ブラウザがクライアント プロビジョニング URL にリダイレクトされます。(必要に応じて、クライアント プロビジョニング リソース ポリシーに「NetworkAccess:UseCase=GuestFlow」条件を含めることもできます)。

Linux 向けのクライアント プロビジョニングやポスチャ エージェントは存在しないため、ゲスト ポータルはクライアント プロビジョニングにリダイレクトされ、クライアント プロビジョニングは元のゲスト認証サーブレットにリダイレクトされます。この認証サーブレットで、必要に応じて IP リリース/更新が行われてから、CoA が実行されます。

a. クライアント プロビジョニング URL にリダイレクトされると、クライアント プロビジョニング サブシステムによって非永続 Web エージェントがクライアント マシンにダウンロードされ、クライアント マシンのポスチャ チェックが実行されます。(必要に応じて、ポスチャ ポリシーに「NetworkAccess:UseCase=GuestFlow」条件を含めることもできます)。

b. クライアント マシンが準拠していない場合は、設定した許可ポリシーに「NetworkAccess:UseCase=GuestFlow」条件および「Session:Posture Status=NonCompliant」条件が含まれていることを確認してください。

c. クライアント マシンが準拠している場合は、設定した許可ポリシーに「NetworkAccess:UseCase=GuestFlow」条件および「Session:Posture Status=Compliant」条件が含まれていることを確認してください。ここから、クライアント プロビジョニングによって NAD に対して CoA が発行されます。この CoA により、NAD は RADIUS サーバを使用してクライアントの再認証を行います。この再認証では、セッション キャッシュに格納されているユーザ クレデンシャルが利用されます。新しい access-accept が、設定されたネットワーク アクセスとともに NAD に返されます。


) 「NetworkAccess:UseCase=GuestFlow」は、ゲスト ユーザとしてログインしている Active Directory ユーザおよび LDAP ユーザに適用されます。


ローカル WebAuth 対応のワイヤレス LAN コントローラ

この項では、ローカル WebAuth 対応のワイヤレス LAN コントローラに関する次のシナリオを取り上げます。

「Non-Posture フロー」

Non-Posture フロー

Non-Posture フローは、追加検証のない認証プロセスです。このシナリオでは、ユーザがログインすると、ワイヤレス LAN コントローラ(WLC)に転送されます。その後、WLC により、このゲスト ポータルにリダイレクトされ、ユーザ名とパスワードの入力を求められます。必要に応じて、アクセプト ユース ポリシー(AUP)とパスワードの変更を実行することもできます。完了したら、ユーザのブラウザは再ログインのために元の WLC にリダイレクトされます。

WLC では、RADIUS によってユーザのログイン処理を行うことができます。その処理が完了したら、クライアント ブラウザが WLC から元の宛先にリダイレクトされます。このプロセス フローの例については、図 21-1 を参照してください。

図 21-1 ローカル WebAuth の Non-Posture フロー

 

ローカル WebAuth 対応の有線 NAD

このシナリオでは、ゲスト ユーザ ログイン ポータルにより、ゲスト ユーザのログイン要求がスイッチにリダイレクトされます。ログイン要求は、スイッチにポストされる HTTPS URL の形式になり、その一部としてユーザ クレデンシャルが含まれます。スイッチにユーザ ログイン要求が届くと、Cisco ISE RADIUS サーバ実装を指す設定済みの RADIUS サーバを使用してユーザの認証が行われます。

次に、ローカル WebAuth 対応の有線 NAD プロセスの各ステップを示します。

1. Cisco ISE により、HTML リダイレクトを含む login.html ファイルを NAD にアップロードするよう要求されます。HTTPS 要求が発生すると、この login.html がクライアント ブラウザに返されます。

2. その後、クライアント ブラウザが Cisco ISE ゲスト ポータルにリダイレクトされます。ここから、ユーザのクレデンシャルが送信されます。

3. AUP とパスワード変更が処理された後(マルチポータル設定で指定されている場合)、ゲスト ポータルにより、ユーザ クレデンシャルをポストするクライアント ブラウザが NAD にリダイレクトされます。

4. NAD により、Cisco ISE に対して RADIUS 要求が発行され、ユーザの認証と許可が行われます。

スイッチの設定

この項では、ローカル WebAuth 対応の有線 NAD 用のスイッチを設定するプロセスについて説明します。

ローカル WebAuth 対応の有線 NAD 用のスイッチを設定するには、次の手順を実行します。


ステップ 1 「HTML ログイン ページの設定」

ステップ 2 「スイッチでの HTTPS サーバの有効化」

ステップ 3 「成功、失効、失敗に関するページのアップロード」

ステップ 4 「Web 認証の設定」


 

HTML ログイン ページの設定

login.html ページの次の HTML コードで、IP アドレスとポートの値を Cisco ISE ポリシー サービス ノードと同じ値に変更する必要があります。デフォルト ポートは 8443 です。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<head>
<title>ISE Guest Portal</title>
<meta Http-Equiv="Cache-Control" Content="no-cache">
<meta Http-Equiv="Pragma" Content="no-cache">
<meta Http-Equiv="Expires" Content="0">
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
 
<meta http-equiv="REFRESH" content="0;url=https://ip:port/guestportal/portal.jsp?switch_url=wired">
 
</HEAD>
<BODY>
 
<center>
Redirecting ... Login
<br>
<br>
<a href="https://ip:port/guestportal/portal.jsp?switch_url=wired">ISE Guest Portal</a>
</center>
 
</BODY>
</HTML>
 

カスタム ログイン ページはパブリック Web フォームであるため、次のガイドラインに従ってください。

ログイン フォームは、ユーザによるユーザ名とパスワードの入力を受け付け、これらを uname および pwd として示す必要があります。

カスタム ログイン ページは、ページ タイムアウト、パスワード非表示、冗長送信の防止など、Web フォームに対するベスト プラクティスに従う必要があります。

スイッチでの HTTPS サーバの有効化

Web ベース認証を使用するには、スイッチで HTTPS サーバを有効にする必要があります。そのためには、次のコマンドを使用します。

 

コマンド
目的

ip http secure-server

HTTPS サーバを有効にします。

成功、失効、失敗に関するページのアップロード

成功、失効、失敗に関するページを別途 NAD にアップロードすることもできます。カスタマイズした HTML ページを使用でき、Cisco ISE 固有の情報は不要です。

Web 認証の設定

Web 認証を設定するには、次の手順を実行します。


ステップ 1 Web ベースの認証中、スイッチのデフォルト HTML ページではなく、代わりの 4 つの HTML ページがユーザに表示されるように、Web 認証を設定します。

ステップ 2 カスタム認証プロキシ Web ページを使用するように指定するには、最初にカスタム HTML ファイルをスイッチのフラッシュ メモリに格納します。スイッチのフラッシュ メモリに HTML ファイルをコピーするには、スイッチで次のコマンドを実行します。

copy tftp/ftp flash

ステップ 3 スイッチに HTML ファイルをコピーした後、グローバル コンフィギュレーション モードで次のコマンドを実行します。

 

a.

ip admission proxy http login page file device:login-filename

スイッチのメモリ ファイル システム内で、デフォルトのログイン ページの代わりに使用するカスタム HTML ファイルの場所を指定します。device: はフラッシュ メモリです。

b.

ip admission proxy http success page file device:success-filename

デフォルトのログイン成功ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

c.

ip admission proxy http failure page file device:fail-filename

デフォルトのログイン失敗ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

d.

ip admission proxy http login expired page file device:expired-filename

デフォルトのログイン失効ページの代わりに使用するカスタム HTML ファイルの場所を指定します。

ステップ 4 次のガイドラインに従って、カスタマイズした認証プロキシ Web ページを設定します。

カスタム Web ページ機能を有効にするには、カスタム HTML ファイルを 4 個すべて指定します。指定したファイルの数が 4 個未満の場合、内部デフォルト HTML ページが使用されます。

これら 4 個のカスタム HTML ファイルは、スイッチのフラッシュ メモリ内に存在しなければなりません。各 HTML ファイルの最大サイズは 8 KB です。

カスタム ページ上のイメージはすべて、アクセス可能は HTTPS サーバ上に存在しなければなりません。インターセプト ACL は、管理ルール内で設定します。

カスタム ページからの外部リンクはすべて、管理ルール内でのインターセプト ACL の設定を必要とします。

有効な DNS サーバにアクセスするには、外部リンクまたはイメージに必要な名前解決で、管理ルール内にインターセプト ACL を設定する必要があります。

カスタム Web ページ機能が有効になっている場合、設定された auth-proxy-banner は使用されません。

カスタム Web ページ機能が有効になっている場合、ログインの成功に対するリダイレクション URL は使用できません。

カスタム ファイルの指定を解除するには、このコマンドの no 形式を使用します。

次に、カスタム認証プロキシ Web ページを設定する例を示します。

Switch(config)# ip admission proxy http login page file flash:login.htm
Switch(config)# ip admission proxy http success page file flash:success.htm
Switch(config)# ip admission proxy http fail page file flash:fail.htm
Switch(config)# ip admission proxy http login expired page flash flash:expired.htm
 

ステップ 5 次の例に示すように、カスタム認証プロキシ Web ページの設定を確認します。

Switch# show ip admission configuration
Authentication proxy webpage
Login page : flash:login.htm
Success page : flash:success.htm
Fail Page : flash:fail.htm
Login expired Page : flash:expired.htm
 
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5
 


 

デバイス登録 WebAuth

この項では、ゲスト ユーザがデバイス登録 Web 認証(DRW)を使用して進める認証プロセスの概要をまとめ、Cisco ISE ネットワークでデバイス登録 WebAuth を設定する方法について説明します。この項では、次のトピックを扱います。

「デバイス登録 Web 認証プロセス」

「デバイス登録 WebAuth の設定」


) Cisco ISE に対して RADIUS アクセス要求を行うときに、発信側ステーション ID 値でクライアント MAC アドレスを送信するよう、WLC を設定する必要があります。


デバイス登録 Web 認証プロセス

このシナリオでは、ゲスト ユーザがネットワークに接続するときに、初回の MAB 要求を Cisco ISE ノードに送信するワイヤレス接続を使用します。ユーザの MAC アドレスがエンドポイント ID ストアに含まれていない場合、または AUP accepted 属性が true に設定されていない場合、Cisco ISE は URL リダイレクション許可プロファイルを使用して応答します。ユーザが URL に移動しようとすると、URL リダイレクションによって AUP 受け入れページが表示されます。

図 21-2 デバイス登録 WebAuth フロー

 

 

次に、デバイス登録 WebAuth プロセスの各ステップを示します。

1. ゲスト ユーザは、ワイヤレス接続を使用してネットワークに接続します。このユーザの MAC アドレスは、エンドポイント ID ストアに含まれておらず、AUP accepted 属性も true に設定されていないため、ユーザは URL リダイレクション許可プロファイルを受け取ります。ゲスト ユーザが URL に移動しようとすると、URL リダイレクションによって AUP 受け入れページが表示されます。

2. ゲスト ユーザが AUP を受け入れると、ユーザの MAC アドレスがエンドポイント ID ストアに新しいエンドポイントとして登録されます(エンドポイントがまだ存在しないと仮定)。ユーザが AUP を受け入れたことを追跡できるよう、新しいエンドポイントの AUP accepted 属性は true に設定されます。その後、管理者は、[Web ポータル管理(Web Portal Management)] の [マルチポータルの設定(Multi-Portal Configurations)] ページでエンドポイント ID グループを選択し、エンドポイントに割り当てることができます。

3. ゲストのエンドポイントがエンドポイント ID ストアにすでに存在する場合は、既存のエンドポイントの AUP accepted 属性が true に設定されます。エンドポイント ID グループは、[Web ポータル管理(Web Portal Management)] の [マルチポータルの設定(Multi-Portal Configurations)] ページで選択した値に自動的に変更されます。

4. ユーザが AUP を受け入れないか、エンドポイントの作成時にエラーが発生した場合は、エラー ページが表示されます。

5. エンドポイントが作成または更新されると、成功ページが表示され、その後に CoA 終了が NAD/WLC に送信されます。

6. CoA の後、NAD/WLC により、新しい MAB 要求を使用してユーザの接続が再認証されます。新規認証では、エンドポイントとそれに関連付けられているエンドポイント ID グループが検索され、設定されているアクセスが NAD/WLC に返されます。


) 有線とワイヤレスのどちらの場合も、CoA タイプは Termination CoA です。VLAN IP のリリースおよび更新を実行して有線とワイヤレスの両方の CoA タイプを Change of Auth に変更するように、デバイス登録認証(DWR)を設定することができます。


デバイス登録 WebAuth の設定

この項では、デバイス登録 WebAuth を設定するプロセスについて説明します。一般的な手順は次のとおりです。

1. 「デバイス登録 WebAuth の設定」

2. 「DRW 許可プロファイルの作成」

3. 「DRW 許可ポリシー ルールの作成」


) デバイス登録 WebAuth(DRW)を設定するには、Cisco ISE の管理者権限が必要です。


デバイス登録 WebAuth の設定

デバイス登録 WebAuth(DRW)を設定するには、次の手順で構成されるプロセスを使用します。

1. Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [マルチポータルの設定(Multi-Portal Configurations)] に移動します。

2. デフォルトのゲスト ポータルとしてデバイス登録 WebAuth ポータルを設定し、Cisco ISE に用意されている標準の HTML ページを選択します。または、カスタマイズした HTML ページとイメージをアップロードすることもできます。

3. 各ポータル タイプの複数のバージョンを作成し、それぞれに一意の名前を割り当てることができます。このポータル名は、許可プロファイルで返される URL-redirect 値で使用し、要求処理用のポータルとして指定する必要があります。

4. 新規に作成されたエンドポイントを割り当てるエンドポイント ID グループを選択します。この ID グループは、許可ポリシーでエンドポイント アクセスを制御する目的で使用されます。

5. 次に、「DRW 許可プロファイルの作成」を行います。

DRW 許可プロファイルの作成

デバイス登録 WebAuth を使用するには、特別な許可プロファイルを設定する必要があります。DRW 用の許可プロファイルを作成するには、次のプロセスの手順を使用します。

1. Cisco ISE 管理者ユーザ インターフェイスで、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] ページに移動します。

2. 「デバイス登録 WebAuth の設定」で指定したデバイス登録 WebAuth ポータルの名前を使用して、許可プロファイルを作成します。

3. 次に、「DRW 許可ポリシー ルールの作成」を行います。

詳細については、「Cisco ISE 許可ポリシーおよびプロファイル」を参照してください。

DRW 許可ポリシー ルールの作成

ゲスト ユーザがアクセプト ユース ポリシーを確認すると、エンドポイントが作成され、内部エンドポイント ID ストアに登録されます。エンドポイントは、MAC アドレスを使用して作成され、AUP accepted 属性が true に設定されます。

DRW 許可ポリシー ルールを作成するには、次のプロセスの手順を使用します。

1. 「新しい許可ポリシーの作成」または「既存の許可ポリシーの複製および変更」の説明に従って、新しい許可ポリシーを作成するか、既存のポリシーを変更します。

2. 許可ポリシー ルールに DRW 許可プロファイルを権限として追加します。

この設定により、初回の MAB 要求が許可ポリシー ルールに適合する場合に、URL-redirect cisco av pair が WLC に返されるようになります。URL-redirect は次の形式になります。

ip:port = それぞれ IP アドレスとポート番号

DRWPortal = 一意のポータル名

https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=DRWPortal&action=cwa

3. また、エンドポイント ID グループを使用して、ルールの評価や最終的なクライアント アクセスを左右することもできます。

エンドポイント ID グループは、Cisco ISE 管理者ユーザ インターフェイスの [マルチポータルの設定(Multi-Portal Configurations)] ページ([管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [Multi-Portal の設定(Multi-Portal Configurations)])で選択した値に設定されます。


 

許可ポリシーとポリシー ルールの詳細については、「許可ポリシーおよびプロファイルの管理」を参照してください。

Cisco ISE ゲスト サービスのコンポーネント

Cisco ISE ゲスト サービスは、3 つのメイン コンポーネントで構成されます。

ゲスト:ゲスト ユーザは、ネットワークにアクセスするためにゲスト ユーザ アカウントを必要とするユーザです。

スポンサー:スポンサーは、ゲスト ユーザ アカウントを作成するユーザです。多くの場合、組織の従業員が当てはまります。たとえば、スポンサー向けの Web ポータルを通じてゲスト ユーザ アカウントを作成および管理するロビー活動団体などです。Cisco ISE では、ローカル データベースあるいは外部の Lightweight Directory Access Protocol(LDAP)または Microsoft Active Directory ID ストアによりスポンサーを認証します。

管理者:管理者は、Cisco ISE アプライアンスの設定と保守を行うユーザです。

Cisco ISE ゲスト サービスのデフォルト ポータル

Cisco ISE ゲスト サービスは、次のポータルで構成されます。

「Cisco ISE 管理者ポータル」

「スポンサー ポータル」

「ゲスト ユーザ ポータル」

「デバイス登録 WebAuth ポータル」

Cisco ISE 管理者ポータル

管理者ポータルでは、スポンサーおよびゲスト ユーザ用のグローバル ポリシーを容易に設定することができます。管理者ポータルからユーザ グループとポリシーを設定できます。Cisco ISE 管理者ポータルで設定可能な項目は、次のとおりです。

スポンサー グループ。

スポンサー グループ ポリシー。

消去やポートなどの全般設定。

言語テンプレート、スポンサー ポータルのカスタマイズ、スポンサー認証ソースなどのスポンサー ポータル設定。

ユーザ名ポリシー、パスワード ポリシー、ゲスト ポータル ポリシー、ゲスト詳細ポリシー、マルチポータル設定、時間プロファイルなどのゲスト設定。

クライアントがアップロード可能なマルチポータル。

スポンサー ポータル

スポンサー ポータルでは、ゲスト ユーザ アカウントを容易に作成および管理することができます。スポンサー ポータルを使用すると、次の機能を実行できます。

ゲスト ユーザ アカウントの作成、編集、削除、中断、再開。

ゲストの詳細の表示。

ゲスト ユーザ ポータル

ゲスト ユーザ ポータルは、ゲスト ユーザ ログインを容易にするためのもので、次の要素で構成されます。

[ゲスト ユーザ ログイン(Guest User Login)] 画面。ユーザ名とパスワードのフィールドが含まれています。

[利用規定(Acceptable Use Policy)] 画面。これは任意の利用規定です。

[パスワード変更必須(Required Password Change)] 画面。初回ログイン時と後でパスワードの有効期限を設定可能にした場合に任意に使用します。

[パスワード変更の許可(Allow Password Change)] 画面。ユーザは、必要に応じてパスワードを変更できます。

[アカウントの登録(Self Registration)] 画面。ゲストが独自のユーザ アカウントを設定できる画面で、任意に使用します。

[デバイスの登録(Device Registration)]。

デバイス登録 WebAuth ポータル

デバイス登録 WebAuth(DRW)ポータルは、ワイヤレス接続によるゲスト ユーザ ログインを容易にするためのもので、ゲスト ユーザ ポータルと同じ要素で構成されます。


) Cisco ISE サーバに対して RADIUS アクセス要求を行うときに、発信側ステーション ID 値でクライアント MAC アドレスを送信するよう、ワイヤレス LAN コントローラ(WLC)を設定する必要があります。


ゲスト ライセンシング

ゲスト サービスは、Cisco ISE の基本ライセンスと拡張ライセンスのどちらでも利用可能です。Cisco ISE の初回インストール時に、管理者ユーザ インターフェイスからライセンスを入力する必要があります。このライセンスを入力しない限り、ゲスト ポータルでもスポンサー ポータルでも、サービスが利用不能であることを示す HTTP 503 エラー応答が返されます。

Cisco ISE ライセンシングの詳細については、「ライセンスの管理」を参照してください。

ゲストのハイ アベイラビリティと複製

Cisco ISE ゲスト サービスでは、Cisco ISE の分散管理システムを利用して、展開内の複数の Cisco ISE ノードが相互に通信できるようにします。複数ノード分散展開では、1 つのノードをマスター、つまりプライマリ ノードとして指定します。展開内のすべてのノードの設定をプライマリ ノードで行い、その設定をセカンダリ ノードに複製します。

展開内の指定したプライマリ ノードにセカンダリ ノードを登録する必要があります。ノードを登録すると、プライマリ データベースがセカンダリ ノードに複製され、そのセカンダリ ノードが展開内のノードの 1 つとして再起動されます。

Cisco ISE ゲスト サービスは、プライマリ ノードまたはセカンダリ ノードのいずれかで機能します。セカンダリ ノードで実行している場合、ゲスト ポータルまたはスポンサー ポータルでゲスト ユーザ アカウントを変更すると、変更内容はプライマリに反映されてから、展開全体に複製されます。

ゲスト ポータルを配置するセカンダリ ノードには、NAD の RADIUS 要求を処理するよう Cisco ISE ネットワーク アクセスを設定しているノードを指定する必要があります。

たとえば、ノード A を使用して NAD の RADIUS 要求を処理している場合、ゲスト サービスを正しく動作させるには、ゲスト ポータルも同じノード A で有効にする必要があります。

ノードでゲスト サービスを有効にする方法の詳細については、「ゲスト サービスの制御」を参照してください。

スポンサー ポータルは、ポリシー サービス機能が有効になっているノードであれば、展開内のどのノードでも動作するようにする必要があります。スポンサー ポータルの更新を行うには、管理ペルソナを担当するプライマリ ノードがオンラインになっている必要があります。管理ペルソナを担当するノードがオフラインの場合は、アカウント詳細の表示のみが可能です。アカウントを変更することはできません。

ゲスト ポータルは、管理ペルソナを担当するプライマリ ノードがオフラインの場合にポリシー サービス ペルソナを担うノードで実行することができます。ただし、次の制限があります。

アカウント登録は許可されていません。

デバイス登録は許可されていません。

初回ログインが選択されている場合でも、ログインするたびに AUP が表示されます。

パスワードの変更は許可されていません。アカウントには、古いパスワードでアクセス権限が付与されます。

最大ログイン失敗回数は適用されません。

ゲスト管理者ユーザ インターフェイス アクションは、プライマリ管理者ユーザ インターフェイスからのみ実行することができます。ゲスト サービスに対して行う設定はすべて、展開内のすべてのノードに同様に適用されます。

プライマリへのマルチポータル アップロードは、セカンダリ ノードに複製され、標準データ複製システムの一環としてインストールされます。

ゲスト ポータルとスポンサー ポータルのポート番号設定は、セカンダリ ノードに複製され、複製が完了したら、セカンダリ ノードが再起動されます。


) 展開全体で同じポータル ポート設定が使用されます。


ゲスト サービスの制御

ゲスト ポータルとスポンサー ポータルは、Cisco ISE ノードで Cisco ISE 管理者ユーザ インターフェイスを使用して無効にすることができます。

任意のノードでゲスト ポータルとスポンサー ポータルを有効または無効にするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

[展開ノード(Deployment Nodes)] ページに、展開内のすべての Cisco ISE ノードが表示されます。

ステップ 2 変更するノードをクリックし、[編集(Edit)] をクリックします。

ステップ 3 [全般設定(General Settings)] タブで、[セッション サービスの有効化(Enable Session Service)] チェックボックスをオンまたはオフにします。これにより、ゲスト サービス ポータルとスポンサー サービス ポータルが有効または無効になります。


 

オペレーティング システムとブラウザのサポート

Cisco ISE ゲスト サービスでサポートされているオペレーティング システムとブラウザの詳細については、『 Cisco Identity Services Engine Network Component Compatibility, Release 1.1.1 』を参照してください。

ゲスト ポリシー条件の設定

Cisco ISE には、独立した再利用可能なポリシー要素として条件を作成する機能があります。このような条件は、他のルールベース ポリシーから参照することができます。条件は、ポリシーのページから作成できます。独立したポリシー要素として作成すると、Cisco ISE の他のタイプのポリシー(たとえばスポンサー グループやクライアント プロビジョニングのポリシー)から再利用できます。ポリシーの評価が行われるときは、そのポリシーを構成する条件が最初に評価されます。

ゲストの単純条件と複合条件は、スポンサー グループ ポリシーの作成時に使用されます。

単純条件

単純条件は、1 つの属性、1 つの演算子、および 1 つの値で構成されます。単純条件はポリシーのページから作成できます。他のポリシーで再利用できる、独立したポリシー要素として作成することもできます。Cisco ISE では、単純な認証条件の作成、編集、および削除を行うことができます。このページには、Cisco ISE で定義した単純な認証ポリシー条件がすべて一覧表示されます。

詳細については、「ポリシー要素条件の設定」を参照してください。

単純条件の定義方法の詳細については、「単純条件の作成」を参照してください。

関連項目

「単純条件の作成」

「新しいスポンサー グループ ポリシーの作成」

単純条件の作成

単純条件を独立したポリシー要素として作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ゲスト(Guest)] > [単純条件(Simple Conditions)] を選択します。

[ゲストの単純条件(Guest Simple Condition)] ページが表示されます。

ステップ 2 [追加(Add)] をクリックします。

ステップ 3 次の情報を入力します。

[名前(Name)]:再利用可能な条件の名前です。

[説明(Description)]:条件の説明(任意)です。

[属性(Attribute)]:どの属性に対して条件を作成するかを選択します。ドロップダウン矢印をクリックして、ディクショナリから属性を選択します。

[演算子(Operator)]:ドロップダウン リストから演算子を選択します。このリストの値は、属性を選択した後に表示されます。

[値(Value)]:ドロップダウン リストから値を選択します。このリストの値は、属性を選択した後に表示されます。


) 属性の中には、値を入力できるものがあります。


ステップ 4 [送信(Submit)] をクリックします。

これで、この条件を使用して、スポンサー グループ ポリシーを作成できるようになりました。


 

次の手順

作成した単純条件を使用してスポンサー グループ ポリシーを定義する方法の詳細については、「新しいスポンサー グループ ポリシーの作成」を参照してください。

複合条件

複合条件は、2 つ以上の単純条件で構成されます。複合条件は、再利用可能なオブジェクトとしてポリシー作成ページから、または [条件(Conditions)] ページから作成できます。このページには、Cisco ISE で定義した複合条件がすべて一覧表示されます。

詳細については、「ポリシー要素条件の設定」を参照してください。

複合条件の作成方法の詳細については、「複合条件の作成」を参照してください。

関連項目

「複合条件の作成」

「新しいスポンサー グループ ポリシーの作成」

複合条件の作成

複合条件を [条件(Conditions)] ページから作成するには、次の手順を実行します。


ステップ 1 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

[ゲストの複合条件(Guest Compound Conditions)] ページが表示されます。このページには、定義済みの複合条件が一覧表示されます。

ステップ 2 [追加(Add)] をクリックします。

ステップ 3 複合条件の名前を入力します。任意で説明を入力できます。

ステップ 4 [既存の条件をライブラリから選択(Select Existing Condition from Library)] をクリックして既存の単純条件を選択するか、[新しい条件の作成(Create New Condition)] をクリックして式ビルダーから属性、演算子、および値を選択します。

a. 新しい条件を作成する場合は、[式(Expression)] ドロップダウン リストから条件の作成基準とするディクショナリの属性を選択します。

b. 属性を選択した後、次の操作を行います。

ドロップダウン リストから演算子([等しい(Equals)]、[等しくない(Not Equals)]、[一致(Matches)] など)を選択します。

ドロップダウン リスト(使用可能な場合)から値を選択するか、テキスト ボックスに値を入力します。

この条件を保存して他のポリシーで再利用する場合は、同じ行に表示される [操作(Action)] アイコンから [条件をライブラリに追加(Add Condition to Library)] をクリックします。

この条件の名前を [条件名(Condition Name)] テキスト ボックスに入力して( )アイコンをクリックします。

条件が単純条件として保存され、他のポリシーで使用できるようになります。

ステップ 5 条件をさらに追加するには、[操作(Action)] アイコンをクリックします。

ステップ 6 新しい条件を作成するには [属性/値の追加(Add Attribute/Value)] をクリックし、既存の単純条件を追加するには [条件をライブラリから追加(Add Condition from Library)] をクリックします。

ステップ 7 ドロップダウン リスト ボックスからオペランドを選択します。[AND] または [OR] を選択できます。この複合条件のすべての条件間で同じオペランドが使用されます。

ステップ 8 条件をさらに追加するには、 ステップ 5 からのプロセスを繰り返します。

ステップ 9 すべての条件の追加が完了したら、[送信(Submit)] をクリックしてこの複合条件を作成します。


 

次の手順

作成した複合条件を使用してスポンサー グループ ポリシーを定義する方法の詳細については、「新しいスポンサー グループ ポリシーの作成」を参照してください。

スポンサー グループ ポリシー

スポンサー ポータルでは、スポンサー ポータルへのログイン許可をスポンサー グループ ポリシーによって制御します。該当するスポンサー グループ ポリシーから取得されるゲスト スポンサー グループにより、スポンサー ポータルへのアクセスが可能になります。ゲスト スポンサー グループには、スポンサー ポータルへのログイン時にスポンサー ポータルへのアクセスを可能にする一連の権限およびユーザ設定が含まれています。スポンサー ポータルでは、選択されたゲスト スポンサー グループ内のアクセス権限に基づいて、ポータル内でのアクセスが制限されます。スポンサー ポータルへのログイン時に、クレデンシャルが不適切な場合や、自分用に定義されたユーザ設定がスポンサー グループ ポリシーに適合しない場合は、[スポンサー ポータル ログイン(Sponsor Portal Login)] ページに戻ります。

スポンサー グループ ポリシーには、1 つ以上のユーザ ロールおよび ID グループが含まれています。また、ゲスト スポンサー グループを割り当てるときに使用する 1 つ以上の属性条件も含まれています。スポンサー グループ ポリシーで使用される条件は、ディクショナリ属性から選択した属性になります。1 つ以上のスポンサー グループ ポリシーにより、ゲスト スポンサー グループへの割り当てが行われます。

Cisco ISE データベースで作成および保存し、ユーザ ロールまたは ID グループにローカルに割り当てられる内部ユーザは、スポンサー ユーザにすることができます。内部ユーザをスポンサー ユーザとして識別するには、ゲスト スポンサー グループにユーザを割り当てる必要があります。内部ユーザをユーザ ロールまたは ID グループに割り当てるときに、その内部ユーザが持つ属性条件がスポンサー グループ ポリシーに定義されている場合、内部ユーザは、スポンサー グループ ポリシーで選択されたゲスト スポンサー グループに割り当てられます。

内部ユーザをスポンサー グループにマップするには、スポンサー グループ ポリシーで使用される ID グループ ロールを割り当てます。ID グループ ロールとスポンサー グループ ポリシーの条件がどちらも内部ユーザに適合する場合は、そのスポンサー グループ ポリシーに関連付けられているスポンサー グループにユーザがマップされます。スポンサー グループに ID グループをマップする方法の詳細については、「スポンサー グループへの Active Directory グループのマップ」を参照してください。

LDAP や Active Directory などの外部 ID ストア内のユーザをスポンサー ユーザとして指定することもできます。外部ユーザをスポンサー ユーザとして識別するには、外部 ID ストアの属性がスポンサー グループ ポリシー内の条件に適合し、ローカル ゲスト スポンサー グループに外部ユーザをマップできる必要があります。外部ユーザが持つ属性条件がスポンサー グループ ポリシーに定義されている場合、ユーザは、スポンサー グループ ポリシーで選択されたゲスト スポンサー グループに割り当てられます。

Cisco ISE 展開には、デフォルトで次のゲスト スポンサー グループが用意されています。

SponsorAllAccount:すべてのゲスト アカウントに対してタスクを実行できる一連の権限がデフォルトで含まれています。

SponsorGroupOwnAccounts:独自のゲスト アカウントに対してタスクを実行できる一連の権限が含まれています。

SponsorGroupGrpAccounts:独自のゲスト アカウントに加え、同じスポンサー グループに関連付けられているスポンサーに属するすべてのゲスト アカウントに対してタスクを実行できる一連の権限が含まれています。

独自のスポンサー グループを作成し、それをスポンサー グループ ポリシー内の任意の ID グループに関連付けることもできます。

関連項目

「新しいスポンサー グループ ポリシーの作成」

新しいスポンサー グループ ポリシーの作成

前提条件:

この手順を開始するには、事前に次の条件タイプを作成しておく必要があります。

「単純条件」

「複合条件」

新しいスポンサー グループ ポリシーを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ ポリシー(Sponsor Group Policy)] を選択します。

ステップ 2 [操作(Action)] アイコンをクリックして、[新規ルールを上に挿入(Insert New Rule Above)] または [新規ルールを下に挿入(Insert New Rule Below)] を選択します。

[スポンサー グループ ポリシー(Sponsor Group Policy)] ページで指定した位置に、新しいポリシー エントリが表示されます。

ステップ 3 次のスポンサー ポリシーのフィールドに値を入力します。

[ポリシー名(Policy Name)]:新しいポリシーの名前を入力します。

[ID グループ(Identity Groups)]:ポリシーに関連付けられている ID グループの名前を選択します。

[+](「プラス」記号)をクリックして、グループ選択肢のドロップダウン リストを表示します。または、すべてのユーザを含める場合は、対象の ID グループのポリシーについて [任意(Any)] を選択します。

 

 

[その他の条件(Other Conditions)]:ポリシーに関連付けられている ID グループの条件または属性のタイプを選択します。[条件(Condition(s))] の横にある [+] をクリックして、設定対象の条件および属性の選択肢リストを表示します。

[既存の条件をライブラリから選択(Select Existing Condition from Library)]:必要に応じて、ドロップダウン リストから [条件名(Condition Name)] オプション([単純条件(Simple Conditions)]、[複合条件(Compound Conditions)]、または [時刻と日付の条件(Time and Date Conditions)])を選択できます。

 

 

[新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))]:ディクショナリ タイプに関連する特定の属性が含まれるディクショナリのリストが表示されます。

 

 

[スポンサー グループ(Sponsor Groups)]:対象のスポンサー グループ ポリシーに関連付けるスポンサー グループを選択します。[スポンサー グループ(Sponsor Group)] の横にある [+] をクリックして、ドロップダウン リストからグループ オプションを選択します。

 

 

ステップ 4 [保存(Save)] をクリックして Cisco ISE システム データベースに対する変更を保存し、この新しいスポンサー グループ ポリシーを作成します。


 

既存のスポンサー グループ ポリシーの変更

既存のスポンサー グループ ポリシーを変更するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ ポリシー(Sponsor Group Policy)] を選択します。

ステップ 2 変更するスポンサー グループ ポリシーを選択するには、該当するポリシー行の [アクション(Actions)] をクリックして、[上に複製(Duplicate above)] または [下に複製(Duplicate below)] を選択します。

[スポンサー グループ ポリシー(Sponsor Group Policy)] ページの [標準(Standard)] パネルに、重複ポリシー エントリが表示されます(選択した既存のポリシーの上下いずれか)。

ステップ 3 [ポリシー名(Policy Name)] テキスト ボックスに、このポリシーの新しい名前を入力します。

ステップ 4 該当するフィールドで各種オプション選択肢を選択して目的の値を変更し、新しいスポンサー グループ ポリシーを作成します。

ステップ 5 [保存(Save)] をクリックして Cisco ISE データベースに対する変更を保存し、この新しいスポンサー グループ ポリシーを作成します。


 

既存のスポンサー グループ ポリシーの削除

既存の許可ポリシーを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ ポリシー(Sponsor Group Policy)] を選択します。

ステップ 2 削除するスポンサー グループ ポリシーを選択するには、該当するポリシー行の [アクション(Actions)] をクリックして、[削除(Delete)] をクリックします。

[スポンサー グループ ポリシー(Sponsor Group Policy)] ページの [標準(Standard)] ペインに、確認のダイアログが表示されます。

ステップ 3 [削除(Delete)] をクリックして、スポンサー グループ ポリシーの削除を確定します。

ステップ 4 [保存(Save)] をクリックして Cisco ISE システム データベースに対する変更を保存し、このスポンサー グループ ポリシーを削除します。


) [保存(Save)] をクリックしなかった場合は、スポンサー グループ ポリシーはローカルでのみ削除されます。



 

関連項目

「スポンサー グループ ポリシー」

スポンサー グループ

ゲスト スポンサー グループにはスポンサー ユーザの権限と設定が含まれています。ある特定のスポンサー グループに所属するスポンサー ユーザは、スポンサー ポータルへのログイン時に特定の権限と設定を持ちます。スポンサーにロールベースの権限を設定することにより、アカウントの作成、アカウントの変更、電子メールまたは Short Message Service(SMS)によるゲストへのアカウント詳細の送信など、さまざまな機能へのアクセスを可能にしたり、制限したりできます。

たとえば、何らかの設定の変更中に一連のスポンサーを短期間ログインできなくする場合は、スポンサー グループ権限を設定してログインを禁止することができます。この方法により、スポンサー グループを削除しなくても、一連のスポンサー ユーザのログインを制限することができます。

ここでは、次の手順について説明します。

「スポンサー グループの作成および編集」

「スポンサー グループの削除」

スポンサー グループの作成および編集

スポンサー グループを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ(Sponsor Groups)] を選択して、[ゲスト スポンサー グループ(Guest Sponsor Groups)] ページを表示します。

ステップ 2 次のいずれかをクリックします。

[追加(Add)]:新しいスポンサー グループを作成します。

[編集(Edit)]:既存のスポンサー グループを編集します。

ステップ 3 [一般(General)] タブで、新しいスポンサー グループの名前および説明を指定します。

ステップ 4 [許可レベル(Authorization Levels)] タブで、次の設定を行います。

a. 次の項目について、[はい(Yes)] または [いいえ(No)] 権限を設定します。

ログインの許可(Allow Login)

アカウントの作成(Create Accounts)

ランダム アカウントの作成(Create Random Accounts)

CSV のインポート(Import CSV)

電子メールの送信(Send Email)

SMS の送信(Send SMS)

ゲスト パスワードの表示(View Guest Password)

ゲスト詳細の印刷の許可(Allow Printing Guest Details)

b. [View/Edit Accounts(アカウントの表示/編集)] で、次のいずれかのオプションを選択します。

[いいえ(No)]:スポンサーは、ゲスト アカウントの編集を許可されません。

[すべてのアカウント(All Accounts)]:スポンサーは、すべてのゲスト アカウントの編集/表示を許可されます。

[グループ アカウント(Group Accounts)]:スポンサーは、同じスポンサー ユーザ グループのユーザが作成したゲスト アカウントの編集を許可されます。

[独自のアカウント(Own Account)]:スポンサーは、自分が作成したゲスト アカウントだけの編集を許可されます。

c. [アカウントの中断/再開(Suspend/Reinstate Accounts)] で、次のいずれかのオプションを選択します。

[いいえ(No)]:スポンサーは、ゲスト アカウントの中断を許可されません。

[すべてのアカウント(All Accounts)]:スポンサーは、すべてのゲスト アカウントの中断/再開を許可されます。

[グループ アカウント(Group Accounts)]:スポンサーは、同じスポンサー ユーザ グループのユーザが作成したゲスト アカウントの中断を許可されます。

[独自のアカウント(Own Account)]:スポンサーは、自分が作成したゲスト アカウントだけの中断を許可されます。

d. [アカウント開始時間(Account Start Time)]:この設定により、スポンサーがゲスト アカウントを開始するときに指定できる日数を制限します。これは、[StartEnd] タイプの時間プロファイルにのみ適用されます。

e. [アカウントの最大期間(Maximum Duration of Account)]:この設定では、ゲスト アカウントがアクティブに保たれる最大期間を指定します。 有効期限は、アカウントの最大期間または時間プロファイル期間のうち、いずれか小さい方に基づきます。この値が時間プロファイルでの指定値より小さい場合は、ゲスト アカウントの作成時にスポンサーによって設定された最大期間値よりも優先されます。

ステップ 5 [ゲスト ロール(Guest Roles)] タブで、スポンサー グループ ユーザがゲスト ユーザに割り当てることができるゲスト ロールを選択します。

ゲスト ロールにより、スポンサーにゲスト アカウントへの異なるアクセス レベルの割り当てを許可します。これらのロールは、許可ポリシーでゲスト ユーザ アカウントを ID グループに関連付けるために使用されます。

ステップ 6 [時間プロファイル(Time Profiles)] タブで、スポンサー グループ ユーザがゲスト アカウントに割り当てることができる時間プロファイルを次の中から選択します。

DefaultOneHour:ゲスト ユーザは、アカウントを作成してから 1 時間以内にログインする必要があります。この時間が過ぎると、アカウントは失効します。つまり、アカウント開始時間がユーザ作成時間と等しくなり、開始時間の 1 時間後が終了時間になります。

DefaultFirstLogin:アカウント開始時間は、ゲスト ユーザが最初にゲスト ポータルにログインしたときに始まります。終了時間は、その時間プロファイルでの設定内容によって異なります。

DefaultStartEnd:スポンサーは、アカウントの開始時間と終了時間の両方を選択できます。

時間プロファイルでは、さまざまなレベルの時間がさまざまなゲスト アカウントにアクセスできるようにします。どのスポンサー グループに属するスポンサーも、時間プロファイルを変更する権限はありません。

ステップ 7 [送信(Submit)] をクリックします。


 

詳細情報

ゲスト ロールの詳細については、「ネットワーク アクセス ユーザおよびスポンサー ユーザの設定」を参照してください。

時間プロファイルの詳細については、「時間プロファイル」を参照してください。

関連項目

「スポンサー グループ」

「スポンサー グループの削除」

スポンサー グループの削除

この項では、既存のスポンサー グループを削除する方法について説明します。


) スポンサー グループ ポリシーで使用されているスポンサー グループを削除することはできません。


スポンサー グループを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ(Sponsor Groups)] を選択します。

ステップ 2 チェックボックスをオンにして、削除対象のスポンサー グループを選択します。

ステップ 3 [削除(Delete)] をクリックします。


 

詳細情報

スポンサー グループ ポリシーの詳細については、「スポンサー グループ ポリシー」を参照してください。

関連項目

「スポンサー グループ」

「スポンサー グループの作成および編集」

スポンサー グループへの Active Directory グループのマップ

前提条件

この作業を開始する前に、「Active Directory グループの設定」を理解し、正常に完了している必要があります。

スポンサー グループに Active Directory(AD)グループをマップするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [スポンサー グループ ポリシー(Sponsor Group Policy)] を選択します。

[スポンサー グループ ポリシー(Sponsor Group Policies)] ページが表示されます。

ステップ 2 次のスポンサー ポリシーのフィールドに値を入力します。

[ポリシー名(Policy Name)]:新しいポリシーの名前を入力します。

[ID グループ(Identity Groups)]:内部グループとのグループ マッピングは存在しないため、ID グループとして [任意(Any)] を選択します。

 

 

[その他の条件(Other Conditions)]:読み込まれたグループのいずれかに外部グループをマップする条件を作成します。条件を作成する場合は、AD の設定時に作成した AD ID ストアのディクショナリ エントリを検索します。

[スポンサー グループ(Sponsor Group)]:この AD 条件をマップするスポンサー グループを選択します。

 

 

ステップ 3 [保存(Save)] をクリックします。


 

関連項目

「スポンサー グループ ポリシー」

「新しいスポンサー グループ ポリシーの作成」

「スポンサー グループ」

スポンサー ユーザの作成およびスポンサー ポータルへのアクセス テスト

スポンサー ポータルにログインするには、事前にスポンサー ユーザを作成する必要があります。Cisco ISE には、事前定義のスポンサー ユーザはありません。この項では、スポンサー ユーザを作成する方法、およびスポンサー ポータルにログインしてスポンサー ユーザをテストする方法について説明します。

スポンサー ユーザの作成

前提条件

「スポンサー グループの作成および編集」の説明に従って、スポンサー グループを作成しておく必要があります。

スポンサー ユーザを作成し、ユーザをスポンサー グループに割り当てるには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

ステップ 2 [+](プラス記号)をクリックして、新しいネットワーク アクセス ユーザを作成します。

ステップ 3 [ネットワーク アクセス ユーザ(Network Access User)] の各フィールドに値を入力します。

詳細については、「ネットワーク アクセス ユーザおよびスポンサー ユーザの設定」を参照してください。

ステップ 4 ドロップダウン リストから、次のスポンサー ユーザ グループのいずれかを選択します。

SponsorAllAccounts

SponsorGroupAccounts

SponsorOwnAccounts


) これらは、ID グループであり、スポンサー グループではありません。スポンサー グループは、スポンサー ポリシーに基づいて ID グループから決定されます。


ステップ 5 [送信(Submit)] をクリックします。スポンサー ユーザが作成されます。

ステップ 6 スポンサー ユーザをテストするには、「スポンサー ポータルへのログインとスポンサー ユーザのテスト」に進みます。


 

スポンサー ポータルへのログインとスポンサー ユーザのテスト

この作業では、スポンサー ポータルにログインし、前の項で作成したスポンサー ユーザ アカウントをテストする方法を示します。

前提条件

「スポンサー ユーザの作成」の作業を正常に完了している必要があります。

スポンサー ポータルにログインし、ユーザ アカウントをテストするには、次の手順を実行します。


ステップ 1 スポンサー ポータルにログインするには、ブラウザ ウィンドウを開き、アドレス フィールドに URL https:// ipaddress :8443/sponsorportal を入力します。この際、 ipaddress 変数は、Cisco ISE サーバの IP アドレスに置き換えてください。

スポンサー ポータル ログイン画面が表示されます。

ステップ 2 スポンサー ユーザの作成時に指定したクレデンシャルを使用してログインします。


 

次の手順

スポンサー ポータルおよびゲスト ポータルにポートを割り当てる方法の詳細については、「スポンサー ポータルやゲスト ポータルのポート設定」を参照してください。

ゲスト ユーザの作成

この項では、Cisco ISE 管理者ポータルからゲスト ユーザ アカウントを作成する方法について説明します。ゲスト ユーザ アカウントは、スポンサー ポータルからスポンサーとして作成することもできます。スポンサー ポータルからゲスト ユーザを作成する方法の詳細については、『 Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.1.x 』を参照してください。


) ゲスト ユーザ アカウントを(スポンサー ポータルではなく)管理者ポータルから作成した場合は、ユーザの初回ログイン時にパスワードの自動変更要求は行われません。スポンサー ポータルから作成したゲスト アカウントの場合、ユーザは初回ログイン時に [パスワードの変更(Change Password)] ページに自動的にリダイレクトされます。


管理者ポータルからゲスト アカウントを作成するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] を選択します。

ステップ 2 左側の [ID(Identities)] パネルで、[ユーザ(Users)] を展開します。その後、右側のパネルで、[追加(Add)] をクリックします。

ステップ 3 [ネットワーク アクセス ユーザ(Network Access User)] パネルで、次の操作を行います。

a. [名前(Name)] フィールドに、アカウントの名前を入力します。

b. 目的に合わせて、[有効(Enabled)] または [無効(Disabled)] を選択します。デフォルトでは、[有効(Enabled)] が選択されています。

c. [電子メール(e-mail)] に、電子メール アドレスを入力します。

ステップ 4 [パスワード(Password)] パネルで、[パスワード(Password)] と [パスワードの再入力(Re-Enter Password)] にアカウントのパスワードを入力します。

ステップ 5 [ユーザ情報(User Information)] パネルで、[名(First Name)] と [姓(Last Name)] にユーザの姓名を入力します。

ステップ 6 [アカウント オプション(Account Options)] パネルで、[説明(Description)] にアカウントの説明を入力し、次回ログイン時にユーザにパスワードの変更を求める場合は [パスワードの変更(Password Change)] チェックボックスをオンにします。


) [パスワードの変更(Password Change)] チェックボックスをオフにすると、ユーザの次回ログイン時に [パスワードの変更(Change Password)] ページへの自動リダイレクトは行われません。


ステップ 7 [ユーザ グループ(User Groups)] パネルで、ポップアップ ダイアログから [ゲスト(Guest)] を選択し、[送信(Submit)] をクリックします。


 

電子メール通知用の SMTP サーバ設定

ゲスト ユーザに電子メール通知を送信するには、Simple Mail Transfer Protocol(SMTP)サーバを設定する必要があります。このサーバは、Short Message Service(SMS)に電子メールを送信して、SMS テキスト メッセージを配信する目的でも使用されます。

SMTP サーバを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMTP サーバ(SMTP Server)] を選択します。[SMTP サーバ設定(SMTP Server Settings)] ページが表示されます。

ステップ 2 [SMTP サーバ(SMTP Server)] フィールドに、電子メールの送信先 SMTP サーバのホスト名を入力します。電子メール通知を適切に機能させるには、SMTP ホスト サーバに Cisco ISE サーバからアクセスできるようにする必要があります。このフィールドの最大長は 60 文字です。

ステップ 3 メール機能をグローバルに有効にするには、[通知の有効化(Enable Notifications)] オプションを選択します。

ステップ 4 スポンサーの電子メール アドレスからゲスト通知メールを送信するには、[スポンサーの電子メール アドレスを使用(Use email address from Sponsor)] を選択します。

ステップ 5 別の電子メール アドレスを指定する場合は、[デフォルトの電子メール アドレスを使用(Use Default email address)] を選択し、ゲスト通知メールの送信元の電子メール アドレス(username@xyz.com など)を入力します。

ステップ 6 [保存(Save)] をクリックします。


 

詳細情報

スポンサー ポータルおよびゲスト ユーザの作成方法の詳細については、『 Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.1.x 』を参照してください。

関連項目

「スポンサー ポータルやゲスト ポータルのポート設定」

「ゲスト ユーザ レコードの消去」

全般設定

ポート設定や SMTP サーバ設定などの全般的な設定を行うことができます。

「スポンサー ポータルやゲスト ポータルのポート設定」

「ゲスト ユーザ レコードの消去」

スポンサー ポータルやゲスト ポータルのポート設定

スポンサーとゲストは、HTTPS を使用してポータルにアクセスします。スポンサー ポータルとゲスト ポータルのデフォルト設定は、ポート 8443 での HTTPS です。

スポンサー ポータルとゲスト ポータルのプロトコルとポート番号を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポート(Ports)] を選択します。

ステップ 2 ゲスト ポータル設定でポート番号を割り当てます。ポート 8443 がデフォルトです。

ステップ 3 スポンサー ポータル設定でポート番号を割り当てます。ポート 8443 がデフォルトです。

ステップ 4 デフォルトのスポンサー URL を指定するには、チェックボックスをオンにし、テキスト フィールドに guest.yourcompany.com などの完全修飾ドメイン名(FQDN)を入力します。

ステップ 5 [保存(Save)] をクリックします。


 

スポンサー ポータルへのアクセス

スポンサー ポータルにアクセスするには、次の URL を入力します。この際、ip_address 変数は、Cisco ISE サーバの IP アドレスに置き換えてください。

https://ip_address:8443/sponsorportal

ゲスト ポータルへのアクセス

ゲスト ポータルにアクセスするには、次の URL を入力します。この際、ip_address 変数は、Cisco ISE サーバの IP アドレスに置き換えてください。

https://ip_address:8443/guestportal/Login.action
 

詳細情報

スポンサー ポータルの詳細については、『 Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.1.x 』を参照してください。

関連項目

「ゲスト ユーザ レコードの消去」

ゲスト ユーザ レコードの消去

期限切れのゲスト ユーザ レコードをシステムから消去できます。自動消去設定を指定して定期的に消去を実行することも、[今すぐ消去(Purge Now)] をクリックして、手動消去を実行することもできます。

期限切れのゲスト ユーザ レコードの消去をスケジュールするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [消去(Purge)] を選択します。

[消去設定(Purge Settings)] ページが表示されます。

ステップ 2 消去操作をスケジュールするには、[期限切れのゲスト アカウントの消去設定の有効化(Enable purge settings for expired guest accounts)] チェックボックスをオンにします。

ステップ 3 次の適用可能なオプションを設定します。

a. 消去間隔を日数で入力します。有効な範囲は 1 ~ 365 です。

b. 消去の実行時間を指定します。

[最終消去日(Date of last purge)] には、消去操作が最後に実行された日時が表示されます。

[次回消去日(Date of next purge)] には、次回の消去操作がスケジュールされている日時が表示されます。

ステップ 4 期限切れのゲスト ユーザ レコードの消去を即時に実行するには、[今すぐ消去(Purge Now)] をクリックします。

この場合、[期限切れのゲスト アカウントの消去設定の有効化(Enable purge settings for expired guest accounts)] チェックボックスがオフになっていても、消去を手動で実行します。このオプションを使用すると、必要なときにいつでも自由にレコードを消去できます。

ステップ 5 [保存(Save)] をクリックします。


 

スケジュールされた消去時刻が経過したら、15 分間のスリープ サイクルに入る場合があります。このスリープ サイクルの後、消去の正しい開始日時がチェックされます。

Cisco ISE サーバがダウンしていて、消去操作が実行されなかった場合、スケジュールされた次回の消去時刻にサーバが実行されていない限り、消去は再実行されません。

デフォルトでは、消去操作は有効化されており、15 日間隔で 23:00 に実行されます。


) 消去は、プライマリ ノードまたはスタンドアロン ノードでのみ実行されます。


関連項目

「スポンサー ポータルやゲスト ポータルのポート設定」

スポンサー設定

このサブメニューでは、次のスポンサー設定を行うことができます。

「認証ソースの指定」

「スポンサー ポータルにアクセスするための簡易 URL の指定」

「カスタム ポータル テーマの作成」

「言語テンプレートの適用」

認証ソースの指定

スポンサー ユーザがスポンサー ポータルにログインできるようにするには、ID ストア順序を選択する必要があります。この順序は、スポンサーのログイン クレデンシャルとともに、スポンサー ポータルにアクセスするスポンサーを認証および許可するために使用されます。この順序には、外部ストアとローカルの Cisco ISE ID ストアの両方を含めることができます。ID ストア順序では、スポンサー ユーザの認証を解決するために、どのストアにどのような順序でアクセスするかを定義します。

すべてのスポンサー ログインに対して 1 つの順序値が使用されます。管理者がこのような順序の 1 つをインストール時に設定します。

デフォルトでは、内部ユーザは、スポンサー ポータルへのアクセスを許可されます。このデフォルト設定よりも優先する ID ストア順序を設定できます。また、内部 NSF ユーザを ID グループに割り当て、この ID グループをスポンサー グループ ポリシーを通じてスポンサー グループに関連付けることによって、スポンサー ポータルにアクセスできるようにする必要があります。


) ID ストアの順序値を選択するまで、外部スポンサーはスポンサー ポータルにアクセスできません。


管理ペルソナを担当するプライマリ ノードがダウンした場合、スポンサー管理者は新しいゲスト ユーザ アカウントを作成できません。その間、ゲストおよびスポンサーのポータルは、作成済みのゲスト ユーザおよびスポンサー ユーザに対する読み取り専用アクセスを提供します。また、プライマリ管理ノードがオフラインになる前にスポンサー ポータルにログインしなかったスポンサー管理者は、セカンダリ管理ノードが格上げされるか、プライマリ管理ノードが使用可能になるまでスポンサー ポータルにログインできません。

前提条件

この作業を開始する前に、「ID ソース順序の作成」 を正常に完了している必要があります。

スポンサー認証用の ID ストア順序を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [認証ソース(Authentication Source)] を選択します。

ステップ 2 [ID ストア順序(Identity Store Sequence)] ドロップダウン リストから、スポンサー認証に使用する順序を選択します。

ステップ 3 [保存(Save)] をクリックします。


 

詳細情報

スポンサー ポータルの詳細については、『 Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.1.x 』を参照してください。

関連項目

「カスタム ポータル テーマの作成」

「言語テンプレートの適用」

スポンサー ポータルにアクセスするための簡易 URL の指定

Cisco ISE 管理者は、完全修飾ドメイン名(FQDN)URL を指定して、展開内の特定のノード上にあるスポンサー ポータルに自動的に解決されるようにできます。たとえば、 https://guest.company.com を設定して、スポンサー ポータルに解決されるようにできます。


警告 ポートまたは FQDN 値を変更すると、展開内のすべてのノードが再起動され、各ノードの server.xml ファイルに新しい設定が入力されます。


スポンサー ポータルの FQDN URL を指定するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] パネルで、[一般(General)] > [ポート(Ports)] を選択します。左側に [ゲスト/スポンサー ポータル設定(Guest / Sponsor Portal Settings)] ページが表示されます。


) スポンサー ポータルが 80 以外のポートで設定されている場合、スポンサーは、実際に設定されているポートに自動的にリダイレクトされます。このリダイレクションにより、スポンサーのブラウザ ウィンドウのアドレスが置き換えられます。


ステップ 3 [スポンサー ポータル設定(Sponsor Portal Settings)] で、[デフォルトのスポンサー URL(Default Sponsor URL)] チェックボックスをオンにし、テキスト フィールドに完全修飾ドメイン名 URL を入力します。たとえば、 guest.yourcompanyname.com のように入力します。

ステップ 4 [保存(Save)] をクリックします。

展開内のすべてのノードが再起動され、各ノードの server.xml ファイルに新しい設定が入力されます。

ステップ 5 FQDN が Cisco ISE スポンサー ポータル ノードに解決されるように、ネットワーク DNS サーバを設定します。


 

カスタム ポータル テーマの作成

テキスト、バナー、背景色、画像を変更して、ポータル テーマをカスタマイズすることができます。この機能を使用すると、カスタマイズした HTML ファイルを Cisco ISE サーバにアップロードしなくても、ポータルの外観を変更することができます。

この項では、カスタマイズしたオプションを設定および適用することによって、カスタム ポータル テーマを作成する方法について説明します。同じ手順を実行して、既存のカスタマイズ済みポータル テーマを変更することができます。


) サポートされている画像形式は、jpg、jpeg、gif、png です。


ポータル テーマをカスタマイズするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポータル テーマ(Portal Theme)] を選択します。

右側に [ポータル テーマ(Portal Theme)] ページが表示されます。

ステップ 2 次の方法でポータル テーマをカスタマイズします。

「ログイン ページのロゴの変更」

「ログイン ページの背景画像の変更」

「バナー ロゴのカスタマイズ」

「バナー背景画像のカスタマイズ」

「ログイン ページの背景色の変更」

「バナー背景色のカスタマイズ」

「コンテンツ背景色のカスタマイズ」

ステップ 3 [保存(Save)] をクリックします。


 

ログイン ページのロゴの変更

この設定では、ポータルのログイン ページのロゴを変更できます。デフォルトの Cisco ロゴを選択することも、独自の画像をアップロードすることもできます。

画像をアップロードするときに、画像のサイズは高さ 46 ピクセル、幅 86 ピクセルに収まるように自動的に変更されます。ゆがみを防ぐには、画像のサイズをこのピクセル数に合わせて変更してください。

独自のログイン ページ ロゴをアップロードするには、次の手順を実行します。


ステップ 1 ドロップダウン リストから [新しいファイルのアップロード(Upload New File)] を選択します。

ステップ 2 [参照(Browse)] をクリックし、移動して目的の画像ファイルを選択します。

ステップ 3 [開く(Open)] をクリックします。


 

ログイン ページの背景画像の変更

この設定では、ポータルのログイン ページの背景画像を変更できます。デフォルトの Cisco 背景を選択することも、独自の背景画像をアップロードすることもできます。

独自の背景画像をアップロードするには、次の手順を実行します。


ステップ 1 ドロップダウン メニューから [新しいファイルのアップロード(Upload New File)] を選択します。

ステップ 2 [参照(Browse)] をクリックし、移動して目的の画像ファイルを選択します。

ステップ 3 [開く(Open)] をクリックします。


 

バナー ロゴのカスタマイズ

この設定では、ポータル バナー ロゴを変更できます。デフォルトの Cisco バナーを選択することも、独自のバナー ロゴをアップロードすることもできます。

画像をアップロードするときに、画像のサイズは高さ 46 ピクセル、幅 86 ピクセルに収まるように自動的に変更されます。ゆがみを防ぐには、画像のサイズをこのピクセル数に合わせて変更してください。

独自のバナー ロゴをアップロードするには、次の手順を実行します。


ステップ 1 ドロップダウン リストから [新しいファイルのアップロード(Upload New File)] を選択します。

ステップ 2 [参照(Browse)] をクリックし、移動して目的の画像ファイルを選択します。

ステップ 3 [開く(Open)] をクリックします。


 

バナー背景画像のカスタマイズ

この設定では、ポータル バナー背景画像を変更できます。デフォルトの Cisco 背景を選択することも、独自の背景画像をアップロードすることもできます。

独自のバナー背景をアップロードするには、次の手順を実行します。


ステップ 1 ドロップダウン リストから [新しいファイルのアップロード(Upload New File)] を選択します。

ステップ 2 [参照(Browse)] をクリックし、移動して目的の画像ファイルを選択します。

ステップ 3 [開く(Open)] をクリックします。


 

ログイン ページの背景色の変更

この設定では、ポータルのログイン ページの背景色を変更できます。

ログイン ページの背景色を変更するには、次の手順を実行します。


ステップ 1 色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します(例:FFFFFF)。

16 進数の桁のペアはそれぞれ、0 ~ 255 の RGB 値を表します。

ステップ 2 [色の表示(Show Color)] をクリックすると、指定した色が表示されます。


 

バナー背景色のカスタマイズ

この設定では、ポータルのバナー背景色を変更できます。

ログイン背景色を設定するには、次の手順を実行します。


ステップ 1 色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します(例:FFFFFF)。

16 進数の桁のペアはそれぞれ、0 ~ 255 の RGB 値を表します。

ステップ 2 [色の表示(Show Color)] をクリックすると、色の見本が表示されます。


 

コンテンツ背景色のカスタマイズ

この設定では、ポータル ページのコンテンツ背景色を変更できます。

ポータルのコンテンツ背景色を変更するには、次の手順を実行します。


ステップ 1 色の値を、HTML 色形式の RGB(Red Green Blue)16 進数値として入力します(例:FFFFFF)。

16 進数の桁のペアはそれぞれ、0 ~ 255 の RGB 値を表します。

ステップ 2 [色の表示(Show Color)] をクリックすると、色の見本が表示されます。


 


) ログイン ページの背景画像またはバナー画像は、画像が透明でない限り、常にコンテンツ背景色よりも優先されます。


詳細情報

スポンサー ポータルの詳細については、『 Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.1.x 』を参照してください。

関連項目

「認証ソースの指定」

「言語テンプレートの適用」

言語テンプレートの適用

デフォルトでは、指定されたブラウザ ロケールに対して Cisco ISE でサポートされるすべての言語テンプレートがアクティブになります。Cisco ISE 管理者は、標準言語テンプレートを変更することも、スポンサー ポータル ユーザ インターフェイスとゲスト アカウント通知テキストのカスタム テンプレートを作成することもできます。これにより、管理者は、印刷、電子メール、テキスト メッセージでゲストに表示する言語を制御することができます。

言語テンプレートでの UTF-8 サポートの詳細については、「ユーザ インターフェイスでの UTF-8 文字サポート」を参照してください。


) 新しい言語テンプレートを作成するときに、既存の言語テンプレートと同じブラウザ ロケール マッピングを使用することはできません。言語テンプレートはそれぞれ、固有のブラウザ ロケール マッピングを使用する必要があります。


この項では、次のトピックおよび手順について説明します。

「国際化およびローカリゼーション」

「標準の言語テンプレートの選択」

「スポンサー言語テンプレートの設定」

「ゲスト言語テンプレートの設定」

国際化およびローカリゼーション

Cisco ISE 国際化では、サポートされる言語にユーザ インターフェイスを合わせます。ユーザ インターフェイスのローカリゼーションでは、ロケール固有のコンポーネントおよび翻訳されたテキストが組み込まれます。Cisco ISE Release 1.1.1 の国際化およびローカリゼーションのサポートには、ラベル、メッセージなどのユーザ インターフェイスのテキストのほか、テキスト フィールドのユーザ入力が含まれます。

サポートされる言語

Cisco ISE では、スポンサー ポータルおよびゲスト ポータルに対して、次の言語のローカリゼーションおよび国際化がサポートされています。

 

表 21-1 サポートされる言語とブラウザ ロケール

言語
ブラウザ ロケール

繁体字中国語

zh-tw

簡体字中国語

zh-cn

英語

en

フランス語

fr-fr

ドイツ語

de-de

イタリア語

it-it

日本語

ja-jp

韓国語

ko-kr

ポルトガル語

pt-br(ブラジル)

ロシア語

ru-ru

スペイン語

es-es

国際化およびローカリゼーションは、サポートされるすべてのインターネット ブラウザに適用されます。


) ブラウザが異なると、異なるロケール ID を使用する場合があります。管理者は、管理者ポータルに言語テンプレートを複製して、ブラウザ ロケールの違いを解決することができます。


ゲスト ポータル

ゲスト ポータルは、サポートされるすべての言語ロケールでユーザ インターフェイス要素を提示するようにローカライズできます。これには、テキスト、フィールド名、ボタン ラベル、およびメッセージが含まれます。サポートされる言語テンプレートは管理者ポータルで設定できます。

サポートされる言語のデフォルト テンプレートは、標準 Cisco ISE インストールに含まれています。サポートされないロケールがクライアント ブラウザから要求された場合は、英語ロケールのデフォルト ポータルが表示されます。

次のゲスト ポータル入力フィールドは UTF-8 をサポートしています。

ログイン ユーザ名

ログイン パスワード

自己登録画面のすべてのフィールド

ユーザ インターフェイスでの UTF-8 文字サポート

次の表に、UTF-8 文字でデータの入力や表示を行うことができる Cisco ISE 管理者ユーザ インターフェイス内のフィールド、および該当するゲスト ポータル フィールドを示します。


) • Cisco ISE では、管理者パスワードに UTF-8 文字を使用することはできません。

Cisco ISE では、証明書で UTF-8 文字を使用することはできません。


 

 

表 21-2 管理者ユーザ インターフェイスの UTF-8 文字フィールド

管理者ユーザ インターフェイスの要素
UTF-8 フィールド

ネットワーク アクセスのユーザ設定

ユーザ名(User name)

名(First name)

姓(Last name)

電子メール(e-mail)

ユーザ リスト

すべてのフィルタ フィールド

[ユーザ リスト(User List)] ページに表示される値

左のナビゲーション クイック ビューに表示される値

ユーザ パスワード ポリシー

[詳細設定(Advanced)] > [パスワード(Password)] への文字入力は不可

管理者リスト

すべてのフィルタ フィールド

[管理者リスト(Administrator List)] ページに表示される値

左のナビゲーション クイック ビューに表示される値

管理者ログイン ページ

ユーザ名(User name)

RSA

メッセージ

プロンプト

RADIUS トークン

[認証(Authentication)] タブ > [プロンプト(Prompt)]

ポスチャ要件

名前

[修復アクション(Remediation action)] > エージェント ユーザに表示されるメッセージ

要件リスト表示

ポスチャ条件

[ファイル条件(File condition)] > [ファイル パス(File path)]

[アプリケーション条件(Application condition)] > [プロセス名(Process name)]

[サービス条件(Service condition)] > [サービス名(Service name)]

条件リスト表示

ゲスト設定

[スポンサー(Sponsor)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

[ゲスト(Guest)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

[ゲスト(Guest)] > [パスワード ポリシー(Password Policy)]

システム設定

[SMTP サーバ(SMTP Server)] > [デフォルトの電子メール アドレス(Default e-mail address)]

[操作(Operations)] > [アラーム(Alarms)] > [ルール(Rule)]

[基準(Criteria)] > [ユーザ(User)]

[通知(Notification)] > [電子メール通知ユーザ リスト(e-mail Notification user list)]

[操作(Operations)] > [レポート(Reports)]

[操作(Operations)] > [ライブ認証(Live Authentications)] > フィルタ フィールド

[操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > レポート フィルタ フィールド

[操作(Operations)] > [トラブルシューティング(Troubleshoot)]

[一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)] > [ユーザ名(Username)]

ポリシー

[認証(Authentication)] > ポリシー条件内での av 式の値

[許可(Authorization)]/[ポスチャ(Posture)]/[クライアント プロビジョニング(Client Provisioning)] > [その他の条件(Other Conditions)] > ポリシー条件内での av 式の値

ポリシー ライブラリ条件の属性値

[認証(Authentication)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

[認証(Authentication)] > 単純条件リスト表示

[認証(Authentication)] > 単純条件リスト > 左のナビゲーション クイック ビュー表示

[許可(Authorization)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

[許可(Authorization)] > 単純条件リスト > 左のナビゲーション クイック ビュー表示

[ポスチャ(Posture)] > [ディクショナリ単純条件/ディクショナリ複合条件(Dictionary Simple Condition/Dictionary Compound Condition)] > av 式の値

[ゲスト(Guest)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

スポンサー言語テンプレートの設定

Cisco ISE 管理者は、スポンサーとゲストの両方のポータルについて、カスタム言語テンプレートの追加、変更、および削除を行うことができます。標準の言語テンプレートを複製してから、変更を加えてカスタム テンプレートを作成することもできます。この項では、スポンサー ポータル用の言語テンプレートを設定する方法について説明します。


) 作成したカスタム言語テンプレートの名前がデフォルトのテンプレート名と競合する場合は、作成したテンプレートの名前が自動的に、アップグレードと復元の後で変更されます。アップグレードと復元の後は、デフォルトのテンプレートの設定がデフォルトに戻され、名前がデフォルトと競合するテンプレートがある場合は、その名前が user_{LANG_TEMP_NAME} に変更されます。


ゲスト ポータル用の言語テンプレートを指定する方法の詳細については、「ゲスト言語テンプレートの設定」を参照してください。

ここでは、次のトピックについて取り上げます。

「標準の言語テンプレートの選択」

「カスタム スポンサー言語テンプレートの追加」

「スポンサー言語テンプレートの編集および複製」

「カスタム スポンサー言語テンプレートの削除」

標準の言語テンプレートの選択

この手順では、スポンサー ポータル用に標準言語テンプレートのいずれかを指定し、そのオプションを設定する方法を示します。

標準の言語テンプレートを指定するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 左側の [設定(Settings)] パネルで、[スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択し、スポンサー ポータルの言語を設定します。

ステップ 3 リストからいずれかの言語テンプレートを選択します。

ステップ 4 テンプレートの設定オプションを指定します。「カスタム スポンサー言語テンプレートの追加」ステップ 4 を参照してください。


 

カスタム スポンサー言語テンプレートの追加

この項では、スポンサー ポータルに適用できるカスタム言語テンプレートを作成する方法について説明します。


) 新しい言語テンプレートを作成するときに、既存の言語テンプレートと同じブラウザ ロケール マッピングを使用することはできません。言語テンプレートはそれぞれ、固有のブラウザ ロケール マッピングを使用する必要があります。


カスタム スポンサー言語テンプレートを追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択します。

ステップ 2 新しいテンプレートを作成するには、[追加(Add)] をクリックします。

ステップ 3 言語テンプレートの一意の名前と説明を入力し、有効なブラウザ ロケール マッピングを指定します。

ステップ 4 次のポップアップ ダイアログでオプションを設定します。

すべてのゲスト アカウントの表示の設定(Configure View All Guest Accounts)

1 つのゲスト アカウントの作成の設定(Configure Create Single Guest Account)

ランダム ゲスト アカウントの作成の設定(Configure Create Random Guest Accounts)

ゲスト アカウントのインポートの設定(Configure Import Guest Accounts)

ステータス表示のバルク作成の設定(Configure Bulk Create Status Display)

表形式表示のバルク印刷の設定(Configure Bulk Print Tabular Display)

スポンサー設定のカスタマイズの設定(Configure Sponsor Settings Customizations)

電子メール通知の設定(Configure e-mail Notification)

SMS テキスト通知の設定(Configure SMS Text Notification)

印刷通知の設定(Configure Print Notification)

日付/時刻形式の設定(Configure Date/Time Formats)

情報/エラー メッセージの設定(Configure Info/Error Messages)

ポップアップ ダイアログ メッセージの設定(Configure Popup Dialog Messages)

その他の項目の設定(ログイン/バナー/ドロワ)(Configure Miscellaneous Items (Login/Banner/Drawer))

ステップ 5 [送信(Submit)] をクリックします。


 

設定の例については、次の各項を参照してください。

「単一ゲスト アカウントを作成するためのテンプレートの設定」

「ゲスト通知用のテンプレートの設定」

関連項目

「国際化およびローカリゼーション」

「標準の言語テンプレートの選択」

「スポンサー言語テンプレートの編集および複製」

「カスタム スポンサー言語テンプレートの削除」

スポンサー言語テンプレートの編集および複製

この項では、既存の言語テンプレートを編集したり、言語テンプレートを複製して変更したりする方法について説明します。


) 変更を行う前に、デフォルトのテンプレートをコピーして、一意の名前に変更することを推奨します。こうすることで、エラーが発生した場合に元のテンプレートに戻すことができます。


言語テンプレートを編集または複製するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択して、スポンサー ポータルのテンプレートを設定します。

ステップ 2 リストから言語テンプレートを選択し、次のいずれかの操作を行います。

[編集(Edit)] をクリックし、[説明(Description)] と有効な [ブラウザ ロケール マッピング(Browser Locale Mapping)] に必要な変更を加えます。

[複製(Duplicate)] をクリックし、言語テンプレートの一意の名前と説明を入力し、有効なブラウザ ロケール マッピングを指定します。

ステップ 3 「カスタム スポンサー言語テンプレートの追加」ステップ 4の説明に従い、テンプレート設定のオプションを変更します。

ステップ 4 [送信(Submit)] をクリックします。


 

関連項目

「国際化およびローカリゼーション」

「標準の言語テンプレートの選択」

「カスタム スポンサー言語テンプレートの追加」

「カスタム スポンサー言語テンプレートの削除」

カスタム スポンサー言語テンプレートの削除

この項では、不要になったカスタム言語テンプレートを削除する方法について説明します。


) 削除できるのは、カスタムの言語テンプレートのみです。標準のデフォルト言語テンプレートを削除することはできません。


カスタム言語テンプレートを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択します。

ステップ 2 リストからカスタム言語テンプレートを選択し、[削除(Delete)] をクリックします。


 

関連項目

「国際化およびローカリゼーション」

「標準の言語テンプレートの選択」

「カスタム スポンサー言語テンプレートの追加」

「スポンサー言語テンプレートの編集および複製」

単一ゲスト アカウントを作成するためのテンプレートの設定

単一ゲスト アカウントの作成テンプレートには、スポンサー ポータルの [1 つのゲスト アカウントの作成(Create Single Guest Account)] ページに表示されるフィールドが含まれています。各フィールドの名前とボタンをカスタマイズして、スポンサー ポータルに表示するときの形式と言語を変更することができます。


) デフォルトの設定を変更しない限り、どのフィールドも英語で表示されます。


単一ゲスト アカウントの作成テンプレートを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択します。

[スポンサー ポータル言語テンプレート(Sponsor Portal Language Templates)] ページが表示されます。

ステップ 2 チェックボックスをオンにしてテンプレートを選択し、[編集(Edit)] をクリックします。

[言語テンプレートの編集(Edit Language Template)] ページが表示されます。

ステップ 3 [1 つのゲスト アカウントを作成するためのテンプレートの設定(Configuring Template for Create Single Guest Account)] をクリックします。

ステップ 4 目的のフィールドを編集します。

ステップ 5 [保存(Save)] をクリックします。


 

関連項目

「ゲスト通知用のテンプレートの設定」

「言語テンプレートの適用」

「標準の言語テンプレートの選択」

「カスタム スポンサー言語テンプレートの削除」

ゲスト通知用のテンプレートの設定

ゲスト アカウントが作成されると、アカウントの詳細をスポンサーからゲストに渡す必要があります。Cisco ISE ゲスト サービスでは、この処理を次の方法で行うことができます。

詳細をゲストに画面から手動で読み出します。

詳細を紙面上に印刷します。

詳細を電子メールで送信します。

詳細を SMS テキスト メッセージとして送信します。

電子メール通知および SMS テキスト メッセージ通知を使用するには、電子メール サーバを設定する必要があります。

次の各項では、各種通知テンプレートを設定する方法について説明します。

「電子メール通知用のテンプレートの設定」

「SMS テキスト メッセージ通知用のテンプレートの設定」

「印刷通知用のテンプレートの設定」

電子メール通知用のテンプレートの設定

電子メール通知テンプレートでは、アカウント通知としてゲストに送信される電子メールの件名と本文を指定することができます。

電子メール通知テンプレートを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択します。

[スポンサー ポータル言語テンプレート(Sponsor Portal Language Templates)] ページが表示されます。

ステップ 2 チェックボックスをオンにしてリストから言語テンプレートを選択し、[編集(Edit)] をクリックします。

ステップ 3 [電子メール通知用のテンプレートの設定(Configuring Template for Email Notification)] をクリックします。

ステップ 4 [件名(Subject)] テキスト ボックスに、電子メールの件名を入力します。この値は、ゲストに送信される電子メール通知の件名として表示されます。

ステップ 5 [レイアウト(Layout)] テキスト ボックスに、電子メールの本文を入力します。この中で、ゲスト ユーザのアカウント ログイン情報を指定します。

電子メール通知用の言語テンプレートの書式を設定するには、HTML タグが必要です。次の例は、英語のテンプレートを使用して電子メールの本文にログイン情報を示したものです。

Welcome to the Guest Portal, your username is %username% and password is %password%

%username% および %password% 文字列は、ゲスト ユーザ アカウントのユーザ名とパスワードに置き換えられます。

電子メールの本文では、次の特殊変数を使用して、作成したゲスト アカウントの詳細を指定できます。

%USERNAME% = ゲスト用に作成されたユーザ名。

%PASSWORD% = ゲスト用に作成されたパスワード。

%STARTTIME% = ゲスト アカウントが有効になる時刻。

%ENDTIME% = ゲスト アカウントが失効する時刻。

%FIRSTNAME% = ゲストの名。

%LASTNAME% = ゲストの姓。

%EMAIL% = ゲストの電子メール アドレス。

%TIMEZONE% = ユーザのタイム ゾーン。

%MOBILENUMBER% = ゲストの携帯電話の番号。

%OPTION1% = 編集用の任意指定のフィールド。

%OPTION2% = 編集用の任意指定のフィールド。

%OPTION3% = 編集用の任意指定のフィールド。

%OPTION4% = 編集用の任意指定のフィールド。

%OPTION5% = 編集用の任意指定のフィールド。

%DURATION% = アカウントが有効である時間の長さ。

%RESTRICTEDWINDOW% = ゲストがログインできない時間枠。

%TIMEPROFILE% = 割り当てられた時間プロファイルの名前。

ステップ 6 [保存(Save)] をクリックします。


 

関連項目

「印刷通知用のテンプレートの設定」

「単一ゲスト アカウントを作成するためのテンプレートの設定」

SMS テキスト メッセージ通知用のテンプレートの設定

SMS テキスト メッセージ通知テンプレートでは、SMS ゲートウェイおよび SMS の件名とメッセージを設定できます。

SMS 通知では、サードパーティの SMS ゲートウェイが使用されます。書式設定付きテキスト メッセージを扱うゲートウェイに電子メール メッセージを送信し、SMS 経由で特定のエンド ユーザ アカウントに転送することができます。SMS ゲートウェイの例としては、clickatell.com があります。サードパーティの有効なアカウントが必要になります。シスコは、デフォルトのアカウントを提供していません。SMS メッセージは、サードパーティ ゲートウェイで定義された特定の形式を使用して、電子メールでこのゲートウェイに送信されます。

SMS テキスト メッセージ通知テンプレートを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択します。

[スポンサー ポータル言語テンプレート(Sponsor Portal Language Templates)] ページが表示されます。

ステップ 2 リストから言語テンプレートを選択し、[編集(Edit)] をクリックします。

ステップ 3 [SMS テキスト メッセージ通知用のテンプレートの設定(Configure Template for SMS Text Message Notification)] をクリックします。

ステップ 4 テキスト SMS の件名を入力します。この値は、ゲストに送信される SMS 通知の件名として表示されます。

ステップ 5 [宛先(Destination)] テキスト ボックスに、SMS ゲートウェイを入力します。

ステップ 6 [レイアウト(Layout)] テキスト ボックスに、SMS の本文を入力します。この中で、ゲスト ユーザのアカウント ログイン情報を指定します。

SMS 通知用の言語テンプレートの書式を設定するには、HTML タグが必要です。次の HTML タグを使用できます。これらのタグは、作成されたゲスト アカウントの詳細情報で置き換えられます。

%USERNAME% = ゲスト用に作成されたユーザ名。

%PASSWORD% = ゲスト用に作成されたパスワード。

%STARTTIME% = ゲスト アカウントが有効になる時刻。

%ENDTIME% = ゲスト アカウントが失効する時刻。

%FIRSTNAME% = ゲストの名。

%LASTNAME% = ゲストの姓。

%EMAIL% = ゲストの電子メール アドレス。

%TIMEZONE% = ユーザのタイム ゾーン。

%MOBILENUMBER% = ゲストの携帯電話の番号。

%OPTION1% = 編集用の任意指定のフィールド。

%OPTION2% = 編集用の任意指定のフィールド。

%OPTION3% = 編集用の任意指定のフィールド。

%OPTION4% = 編集用の任意指定のフィールド。

%OPTION5% = 編集用の任意指定のフィールド。

%DURATION% = アカウントが有効である時間の長さ。

%RESTRICTEDWINDOW% = ゲストがログインできない時間枠。

%TIMEPROFILE% = 割り当てられた時間プロファイルの名前。

テキスト メッセージをゲストの携帯電話の番号に送信するには、変数 %MOBILENUMBER% を使用します。%MOBILENUMBER% 変数は、スポンサーが入力した携帯電話の番号に置き換えられます。

ステップ 7 [保存(Save)] をクリックします。


 

関連項目

「電子メール通知用のテンプレートの設定」

「印刷通知用のテンプレートの設定」

「単一ゲスト アカウントを作成するためのテンプレートの設定」

印刷通知用のテンプレートの設定

印刷通知テンプレートでは、ゲスト アカウントの詳細を設定することができます。スポンサーは、アカウントの作成後に、その詳細をブラウザに表示して印刷し、該当するゲストに手渡すことができます。

SMS テキスト メッセージ通知テンプレートを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [スポンサー(Sponsor)] > [言語テンプレート(Language Template)] を選択します。

[スポンサー ポータル言語テンプレート(Sponsor Portal Language Templates)] ページが表示されます。

ステップ 2 リストから言語テンプレートを選択し、[編集(Edit)] をクリックします。

ステップ 3 [印刷通知用のテンプレートの設定(Configure Template for Print Notification)] をクリックします。

ステップ 4 [ページ ヘッダー(Page Header)] テキスト ボックスに、印刷するページ ヘッダーを入力します。

ステップ 5 [レイアウト(Layout)] テキスト ボックスに、印刷するテキストを入力します。この中で、ゲスト ユーザのアカウント ログイン情報を指定します。

印刷通知用の言語テンプレートの書式を設定するには、HTML タグが必要です。次の HTML タグを使用できます。これらのタグは、作成されたゲスト アカウントの詳細情報で置き換えられます。

%USERNAME% = ゲスト用に作成されたユーザ名。

%PASSWORD% = ゲスト用に作成されたパスワード。

%STARTTIME% = ゲスト アカウントが有効になる時刻。

%ENDTIME% = ゲスト アカウントが失効する時刻。

%FIRSTNAME% = ゲストの名。

%LASTNAME% = ゲストの姓。

%EMAIL% = ゲストの電子メール アドレス。

%TIMEZONE% = ユーザのタイム ゾーン。

%MOBILENUMBER% = ゲストの携帯電話の番号。

%OPTION1% = 編集用の任意指定のフィールド。

%OPTION2% = 編集用の任意指定のフィールド。

%OPTION3% = 編集用の任意指定のフィールド。

%OPTION4% = 編集用の任意指定のフィールド。

%OPTION5% = 編集用の任意指定のフィールド。

%DURATION% = アカウントが有効である時間の長さ。

%RESTRICTEDWINDOW% = ゲストがログインできない時間枠。

%TIMEPROFILE% = 割り当てられた時間プロファイルの名前。

ステップ 6 [保存(Save)] をクリックします。


 

関連項目

「電子メール通知用のテンプレートの設定」

「SMS テキスト メッセージ通知用のテンプレートの設定」

「単一ゲスト アカウントを作成するためのテンプレートの設定」

ゲスト設定

このサブメニューでは、次のゲスト設定を行うことができます。

「詳細ポリシーの設定」

「ゲスト言語テンプレートの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「ゲスト パスワード ポリシーの設定」

「時間プロファイル」

「ゲスト ユーザ名ポリシーの設定」

詳細ポリシーの設定

詳細ポリシーでは、スポンサーがゲスト アカウントを作成するときに入力する必要があるデータを決定します。Cisco ISE 管理者は、[ゲスト詳細ポリシー(Guest details policy)] ページを使用して、[スポンサー ゲスト ユーザの作成(Sponsor Guest User Create)]/[スポンサー ゲスト ユーザの編集(Sponsor Guest User Edit)] ページおよび [ゲスト ユーザのアカウント登録(Guest User Self Registration)] ページに表示されるフィールドを定義する必要があります。


) 独自の HTML ページをアップロードしてカスタム ポータルを作成した場合、カスタム HTML コードには詳細ポリシーは適用されません。したがって、この機能が重要になる場合は、独自に HTML コードを記述して類似の機能を提供するか、代わりに標準ポータル ページを使用する必要があります。


詳細ポリシーを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [詳細ポリシー(Details Policy)] を選択します。

ステップ 2 図 21-3 に示すように、ダイアログ フィールドごとに次の設定のいずれかを指定します。

[必須(Mandatory)]:必須に設定したフィールドは、[ゲスト ユーザ アカウントの作成(Guest User Account Create)]/[ゲスト ユーザ アカウントの編集(Guest User Account Edit)] ページに表示され、スポンサーは必ず入力する必要があります。

[任意(Optional)]:任意に設定したフィールドは、[ゲスト ユーザ アカウントの作成(Guest User Account Create)]/[ゲスト ユーザ アカウントの編集(Guest User Account Edit)] ページに表示されますが、 スポンサーは入力しなくてもかまいません。

[未使用(Unused)]:未使用に設定したフィールドは、[ゲスト ユーザ アカウントの作成(Guest User Account Create)]/[ゲスト ユーザ アカウントの編集(Guest User Account Edit)] ページには表示されません。

図 21-3 詳細ポリシー ページ

 

 

ゲスト アカウントを作成するときにスポンサーに追加情報の入力を求める場合は、5 つの [その他のフィールド(Additional Fields)] を使用します。これらは、[その他のフィールド 1(Additional Fields 1)] から [その他のフィールド 5(Additional Fields 5)] として詳細ページに表示されます。


) ユーザ名ポリシーで [電子メール アドレスからユーザ名を作成(Create username from email address)] を選択した場合、ゲスト詳細ポリシーで [電子メール(Email)] オプションを無効にすることはできません。詳細については、「ゲスト ユーザ名ポリシーの設定」を参照してください。


フィールド名の編集の詳細については、「ディクショナリおよびディクショナリ属性」を参照してください。

ステップ 3 [送信(Submit)] をクリックします。


 

関連項目

「ゲスト言語テンプレートの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「ゲスト パスワード ポリシーの設定」

「時間プロファイル」

「ゲスト ユーザ名ポリシーの設定」

ゲスト言語テンプレートの設定

Cisco ISE 管理者は、スポンサーとゲストの両方のポータルについて、カスタム言語テンプレートの追加、変更、および削除を行うことができます。標準の言語テンプレートを複製してから、変更を加えてカスタム テンプレートを作成することもできます。この項では、ゲスト ポータル用の言語テンプレートを設定する方法について説明します。


) 作成したカスタム言語テンプレートの名前がデフォルトのテンプレート名と競合する場合は、作成したテンプレートの名前が自動的に、アップグレードと復元の後で変更されます。アップグレードと復元の後は、デフォルトのテンプレートの設定がデフォルトに戻され、名前がデフォルトと競合するテンプレートがある場合は、その名前が user_{LANG_TEMP_NAME} に変更されます。


スポンサー言語テンプレートの詳細については、「スポンサー言語テンプレートの設定」を参照してください。

ここでは、次のトピックについて取り上げます。

「標準の言語テンプレートの選択」

「カスタム ゲスト言語テンプレートの追加」

「ゲスト言語テンプレートの編集および複製」

「カスタム ゲスト言語テンプレートの削除」

標準の言語テンプレートの選択

この手順では、ゲスト ポータル用に標準言語テンプレートを指定し、そのオプションを設定する方法を示します。

標準の言語テンプレートを指定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [言語テンプレート(Language Template)] を選択します。

ステップ 2 リストからいずれかの言語を選択します。

ステップ 3 テンプレートの設定オプションを指定します。「カスタム ゲスト言語テンプレートの追加」ステップ 4 を参照してください。


 

カスタム ゲスト言語テンプレートの追加

この項では、ゲスト ポータルに適用できるカスタム言語テンプレートを作成する方法について説明します。

カスタム言語テンプレートを追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [言語テンプレート(Language Template)] を選択します。

ステップ 2 新しいテンプレートを作成するには、[追加(Add)] をクリックします。

ステップ 3 言語テンプレートの一意の名前と説明を入力し、有効なブラウザ ロケール マッピングを指定します。

ステップ 4 次のポップアップ ダイアログでオプションを設定します。

テンプレート定義の設定(Configure Template Definition)

ログイン ページの設定(Configure Login Page)

利用規定の設定(Configure Acceptable Use Policy)

パスワード変更の設定(Configure Change Password)

アカウント登録の設定(Configure Self Registration)

デバイス登録の設定(Configure Device Registration)

VLAN の設定/リリースのインストール(Configure VLAN/Install Release)

エラー メッセージの設定(Configure Error Messages)

ポップアップ ダイアログ メッセージの設定(Configure Popup Dialog Messages)

その他の項目の設定(Configure Miscellaneous Items)

ステップ 5 [送信(Submit)] をクリックします。


 

設定の例については、次の各項を参照してください。

「単一ゲスト アカウントを作成するためのテンプレートの設定」

「ゲスト通知用のテンプレートの設定」

関連項目

「国際化およびローカリゼーション」

「標準の言語テンプレートの選択」

「ゲスト言語テンプレートの編集および複製」

「カスタム ゲスト言語テンプレートの削除」

ゲスト言語テンプレートの編集および複製

この項では、既存のゲスト言語テンプレートを編集したり、言語テンプレートを複製して変更したりする方法について説明します。

言語テンプレートを編集または複製するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [言語テンプレート(Language Template)] を選択します。

ステップ 2 リストから言語テンプレートを選択し、次のいずれかの操作を行います。

[編集(Edit)] をクリックし、[説明(Description)] と有効な [ブラウザ ロケール マッピング(Browser Locale Mapping)] に必要な変更を加えます。

[複製(Duplicate)] をクリックし、言語テンプレートの一意の名前と説明を入力し、有効なブラウザ ロケール マッピングを指定します。

ステップ 3 「カスタム ゲスト言語テンプレートの追加」ステップ 4の説明に従い、テンプレート設定のオプションを変更します。

ステップ 4 [送信(Submit)] をクリックします。


 

関連項目

「国際化およびローカリゼーション」

「標準の言語テンプレートの選択」

「カスタム ゲスト言語テンプレートの追加」

「カスタム ゲスト言語テンプレートの削除」

カスタム ゲスト言語テンプレートの削除

この項では、不要になったカスタム言語テンプレートを削除する方法について説明します。


) 削除できるのは、カスタムの言語テンプレートのみです。標準のデフォルト言語テンプレートを削除することはできません。


カスタム言語テンプレートを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [言語テンプレート(Language Template)] を選択します。

ステップ 2 リストからカスタム言語テンプレートを選択し、[削除(Delete)] をクリックします。


 

関連項目

「国際化およびローカリゼーション」

「標準の言語テンプレートの選択」

「カスタム ゲスト言語テンプレートの追加」

「ゲスト言語テンプレートの編集および複製」

マルチポータルの設定

Cisco ISE には、Cisco ISE サーバで複数のポータルをホストするための機能が備わっています。デフォルトのポータル テーマには、Cisco ISE 管理者ユーザ インターフェイスからカスタマイズできる標準のシスコ ブランドが適用されています。デフォルトのポータル ページは、動的に生成され、ログイン画面にはパスワード変更やアカウント登録などの機能が用意されています。

また、組織に固有の HTML ページをアップロードすることによって、ポータルをカスタマイズすることもできます。これらのページでは、プレーンな HTML コードを使用し、ポータルのバックエンド サーブレットを指すフォーム アクションを含める必要があります。ログイン、利用規定(AUP)、パスワード変更機能、アカウント登録用として、それぞれ別個の HTML ページを定義する必要があります。さらに、独自の HTML ページをアップロードしてカスタム ポータルを作成した場合、詳細ポリシー、言語テンプレート、およびポータル テーマは適用されません。


) 独自にアップロードしたポータルにアクセスするには、アップロード時に指定したポータルの名前をポータル URL に含める必要があります。


関連項目

「デバイス登録 WebAuth の設定」

「複数のポータルのホスト」

「ポータル ページを作成するためのサンプル HTML コード」

複数のポータルのホスト

前提条件

この作業を開始する前に、次の内容を正しく理解し、設定を完了している必要があります。

「認証ポリシーについて」

「単純な認証ポリシーの設定」

「ルールベースの認証ポリシーの設定」

[マルチポータルの設定(Multi-Portal Configurations)] には、事前定義の DefaultGuestPortal が用意されています。このポータルでは、Cisco ISE 管理者ユーザ インターフェイスからカスタマイズできるデフォルトのシスコ ルックアンドフィールをそのまま使用することも、HTML ページをアップロードしてカスタム ポータルを作成することもできます。カスタム HTML ページを使用してパーソナライズ版のポータルを作成するには、最初に新しいポータルを追加する必要があります。

ゲスト ポータル URL

次の手順では、ゲスト ポータル URL を利用します。参考までに、有線およびワイヤレスのローカル Web 認証用のゲスト ポータル URL を次に示します。

https://ip:8443/guestportal/portals/PortalName/portal.jsp
 

ここで、 PortalName は、アップロード時に作成したポータルの名前です。

CWA 用のゲスト ポータル リダイレクト URL は次のとおりです。

https://ip:port/guestportal/gateway?sessionId=SessionIdValue&portal=PortalName&action=cwa
 

「p」値と「port」値は、URL-redirect が NAD に返されたときに RADIUS サーバによって更新されます。これらの値は、Cisco ISE ゲスト ポータル サーバの IP アドレスとポート番号です。


) ポート番号 8443 は、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [一般(General)] > [ポート(Port)] を使用して設定することができます。


新しいポータルを追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [マルチポータルの設定(Multi-Portal Configurations)] を選択します。

ステップ 2 [追加(Add)] をクリックします。

ステップ 3 [一般(General)] タブで、[名前(Name)] および [説明(Description)] に新しいポータルの名前と説明を入力します。


) ポータル名は、ポータルにアクセスするために使用され、ワイヤレス LAN コントローラ(WLC)セットアップのネットワーク アクセス デバイス(NAD)に指定したキャプティブ ポータル URL に表示されます。たとえば、ClientPortal という名前のポータルのアクセス URL は次のようになります。
https://ip address:port number/guestportal/portals/ClientPortal/portal.jsp


ステップ 4 次のポータル タイプのいずれかを選択します。

デフォルト ポータル(カスタマイズ テンプレートとテーマを選択します)

デバイス Web 認証ポータル(カスタマイズ テンプレートとテーマを選択します):その後、エンドポイント ID グループを指定

カスタム デフォルト ポータル(ファイルをアップロードします)

カスタム デバイス Web 認証ポータル(ファイルをアップロードします):その後、エンドポイント ID グループを指定

ステップ 5 [操作(Operations)] タブで、次の操作を行います。

デフォルト ポータルの場合、次のように選択します。

ゲスト ユーザは利用規定に同意する必要があります([使用しない(Not Used)]、[初回ログイン(First Login)]、[ログインごと(Every Login)])。詳細については、「利用規定(Acceptable Use Policy)」を参照してください。

従業員がパーソナル デバイスをネットワークに直接接続できるようにします。 「Self-Provisioning フロー(Self-Provisioning Flow)」 を参照してください。

ゲスト ユーザがパスワードを変更できるようにします。 「パスワードの変更(Change Password)」 を参照してください。

ゲスト ユーザと内部ユーザにパスワードの変更を要求します(失効時)。 「パスワードの変更(Change Password)」 を参照してください。

ゲスト ユーザは、ポスチャ クライアントをダウンロードする必要があります。 「ゲスト ポータルとのクライアント プロビジョニング インタラクション」 を参照してください。

ポスチャのないゲスト用の有線環境またはワイヤレス環境では、どちらの場合も、VLAN を変更した後、[VLAN DHCP リリース(VLAN DHCP Release)] オプションを選択し、Windows クライアントの IP アドレスを更新します。

ゲスト ユーザにアカウント登録を許可する必要があります。「アカウントの登録(Self Registration)」を参照してください(このオプションを選択した場合は、「ゲスト ポータル ポリシーの設定」の説明に従ってポータル ポリシーを設定してください)。

ゲスト ユーザにデバイス登録を許可する必要があります。「デバイスの登録(Device Registration)」

VLAN DHCP リリースのオプションを確認し、[リリースまでの遅延(Delay to Release)]、[CoA までの遅延(Delay to CoA)]、および [更新までの遅延(Delay to Renew)] の値を秒単位で指定します。詳細については、「VLAN DHCP IP リリース/更新」を参照してください。

デバイス Web 認証ポータルの場合、次のように選択します。

ゲスト ユーザは利用規定に同意する必要があります([使用しない(Not Used)]、[初回ログイン(First Login)]、[ログインごと(Every Login)])。詳細については、「利用規定(Acceptable Use Policy)」を参照してください。

VLAN DHCP リリースのオプションを確認し、[リリースまでの遅延(Delay to Release)]、[CoA までの遅延(Delay to CoA)]、および [更新までの遅延(Delay to Renew)] の値を秒単位で指定します。詳細については、「VLAN DHCP IP リリース/更新」を参照してください。

ステップ 6 [カスタマイズ(Customization)] タブを選択し、次のいずれかの操作を行います。

[ブラウザのロケール言語を使用(Use Browser Locale language)] チェックボックスをオンにします。

[ブラウザのロケール言語を使用(Use Browser Locale language)] チェックボックスをオフにし、リストから標準言語テンプレートを選択します。

ステップ 7 カスタム ファイルをアップロードするには、[カスタマイズ ファイル アップロード(Customize File Upload)] タブを選択し、ログイン、AUP、パスワード変更、アカウント登録の各ページ用に独自に作成した HTML ファイルをアップロードします。HTML ファイルの作成方法については、「ポータル ページを作成するためのサンプル HTML コード」を参照してください。

これらのページには、画像のほか、アップロード ファイルへのリンクを含めることができます。アップロードしたファイルはすべて、サブディレクトリのない単一ディレクトリに保持されます。URL 参照を作成する場合は、常にアップロード ファイル間の相対参照として作成する必要があります。Cisco ISE サーバでバックエンド スクリプトを実行することはできません。使用できるのは、HTML、HTM、JPEG、GIF、PNG、および CSS ファイルのみです。

ステップ 8 [ファイル マッピング(File Mapping)] タブで、特定のゲスト ページ用にアップロードした HTML ファイルを識別し、選択します。

これは、ゲストがログインしたときに、ゲスト フローをリダイレクトし、適切なクライアント定義ポータル ページを表示するのに重要です。

[ファイル マッピング(File Mapping)] タブのフィールドは、[一般(General)] タブで選択した内容に基づいて、グレーアウトまたは有効化されます。

ステップ 9 デフォルト ポータルの場合、[認証(Authentication)] タブをクリックして、ゲスト ログインで認証するユーザを選択します。

[ゲスト(Guest)]:[ゲスト(Guest)] はローカル ゲスト ユーザで、[中央 WebAuth(Central WebAuth)] はゲスト以外のユーザです。ゲスト以外のユーザがいる場合、またはゲストとゲスト以外のユーザの両方がいる場合は、認証の ID 順序を指定する必要があります。[ゲスト(Guest)] を選択した場合、デフォルト ポータルでは、ローカル データベース内のゲスト ユーザ アカウントのみが認証されます。

[中央 WebAuth(Central WebAuth)]:[中央 WebAuth(Central WebAuth)] を選択した場合、指定した ID 順序を使用してユーザの認証がチェックされます。この順序には、ローカル データベースだけでなく、Lightweight Directory Access Protocol(LDAP)や Microsoft Active Directory などの外部 ID ストアを含めることができます。

中央 WebAuth でネットワーク アクセスを許可するには、Cisco ISE 内で適切な認証ポリシーを定義して、基礎となる RADIUS サーバで認証が正しく処理されるようにする必要があります。

[両方(Both)]:両方を認証するように指定した場合、ユーザは最初にローカル データベース ゲスト ユーザに対して認証されます。ユーザが見つからない場合は、ID 順序を使用して認証が試みられます。

ステップ 10 [送信(Submit)] をクリックします。


 

カスタマイズ可能なゲスト ポータル ページ

次に、カスタマイズ可能なゲスト ポータル ページを示します。

「利用規定(Acceptable Use Policy)」

「Self-Provisioning フロー(Self-Provisioning Flow)」

「パスワードの変更(Change Password)」

「アカウントの登録(Self Registration)」

「デバイスの登録(Device Registration)」

利用規定(Acceptable Use Policy)

このページには、ネットワークの利用規定が表示されます。ユーザがアカウントを完全に有効化するには、このポリシーを受け入れる必要があります。ユーザがポリシーを受け入れない場合、ネットワーク アクセスは拡張されません。ゲスト ユーザの場合、AUP を初回ログイン時にのみ表示するか、全ログイン時に表示するかを指定できます。

Self-Provisioning フロー(Self-Provisioning Flow)

従業員がパーソナル デバイスをネットワークに直接接続できるようにするには、セルフプロビジョニング フローを有効にする必要があります。このオプションを使用すると、ネイティブ サプリカントによってこれらのデバイスをプロビジョニングすることができます。ネイティブ サプリカントは、Windows、Mac、iPhone、iPad、および Android デバイスに対応しています。詳細については、「パーソナル デバイス登録動作の設定」を参照してください。

デバイスから直接セルフプロビジョニングを有効にしない場合は、この機能を有効にする必要はありません。その場合でも、従業員は、[デバイス ポータル(My Devices Portal)] を使用してパーソナル デバイスを追加することができます。詳細については、「デバイス ポータルの設定」を参照してください。

パスワードの変更(Change Password)

ゲスト ユーザまたは内部ユーザがポリシーを受け入れると、Cisco ISE により、パスワードの期限が切れているかどうかがチェックされ、切れている場合は、[パスワードの変更(Password Change)] 画面が表示されます。外部ユーザには、パスワードの有効期限は適用されません。

ゲスト パスワード コンテンツを設定する方法については、「ゲスト パスワード ポリシーの設定」を参照してください。

内部ユーザに対するパスワード ポリシーを設定する方法については、「ユーザ パスワード ポリシー」を参照してください。

デフォルト ポータル内の画面には、ユーザの ID に応じてゲストまたは内部ユーザのパスワード基準が表示されます。カスタム ポータル ページで独自の基準を設定することができます。

アカウントの登録(Self Registration)

[アカウントの登録(Self Registration)] 画面は、ゲスト ユーザのログイン ページにリンクとして表示されます。新規ゲスト ユーザは、この画面を使用して、それぞれの個人情報を入力し、新しいユーザ アカウントを作成することができます。情報を送信すると、ユーザ アカウントが作成され、新しいアカウント情報が画面上に表示されます。ユーザは、このアカウント情報を印刷できます。

ユーザ アカウントの作成時には、パスワードがランダムに生成されます。このパスワードは、ゲスト ユーザ向けに設定されているパスワード ポリシーに準拠します。ユーザ アカウントは、[ゲスト ポータル ポリシー(Guest Portal Policy)] ページで選択したデフォルトのゲスト ロールおよび時間プロファイルを使用して作成されます。

デバイスの登録(Device Registration)

[デバイスの登録(Device Registration)] 画面は、ゲスト ユーザのログイン ページにリンクとして表示されます。ゲスト ユーザは、この画面を使用して、デバイスの MAC アドレスに基づいて、それぞれ独自のネットワーク デバイスを登録することができます。

[ゲスト ポータル ポリシー(Guest Portal Policy)] ページで、ユーザ 1 人あたりのデバイスの最大数を設定することができます。この値は、システム全体にグローバルに適用されます。ユーザ 1 人あたりのデバイスの最大数は、デフォルトで 5 になっています。この値を小さくしても、登録済みの既存のデバイスは削除されず、新しいデバイスの追加が制限されるだけです。デフォルトの [デバイスの登録(Device Registration)] ページには、ユーザ用の既存のデバイスのリストが表示されます。ユーザは、このページで新しいデバイスを追加したり、既存のデバイスを削除したりすることができます。

カスタム ポータル用のデバイス登録ページを追加することもできます。ただし、このページでは、新しいデバイスの追加しかできません。既存のデバイスのリストを確認することも、デバイスを削除することもできません。

ゲスト ポータルとのクライアント プロビジョニング インタラクション

ゲスト ユーザ ポータルには、クライアント プロビジョニング アプリケーションとのインタラクションが含まれていて、ネットワーク アクセスの要求時にクライアント マシンのポスチャを制御できるようになっています。このインタラクションでは、ユーザのログインを最終的に許可してネットワークにフル アクセスできるようにする前に、クライアント ブラウザをリダイレクトしてクライアント プロビジョニング エージェントをダウンロードし、ポスチャを制御します。

クライアント プロビジョニングおよびポスチャを実行するように、カスタム ポータルを設定することができます。このオプションを選択すると、ゲスト ログイン フローで CWA が実行され、AUP とパスワード変更チェックの実行後に、ゲスト ポータルがクライアント プロビジョニングにリダイレクトされます。この場合、ポスチャ サブシステムで NAD に対して CoA が実行され、ポスチャの評価後にクライアント接続が再認証されます。


) ローカル Web 認証シナリオでは、クライアント プロビジョニングは行われません。


[VLAN DHCP リリース(VLAN DHCP Release)] を選択すると、ポスチャによりクライアント側 IP リリースおよび更新操作が実行されます。

ポスチャのあるゲスト用の有線環境またはワイヤレス環境では、どちらの場合も、VLAN を変更した後、[VLAN DHCP リリース(VLAN DHCP Release)] オプションを選択し、Windows クライアントの IP アドレスを更新します。

VLAN DHCP IP リリース/更新

これが CWA ユーザ ログイン フローに影響するのは、最終許可時のネットワーク アクセスにより、ゲスト VLAN から新しい VLAN に切り替わった場合です。この場合、VLAN が切り替わる前にゲストの古い IP をリリースし、新しい VLAN アクセスが確立されたら、DHCP を通じて新しいゲスト IP を要求する必要があります。Cisco ISE サーバにより、ゲスト ブラウザがリダイレクトされ、IP リリース更新操作を実行するためのアプレットがダウンロードされます。

この操作は、アプレットがダウンロードされてから、Cisco ISE サーバから NAD に対して CoA 要求で再認証が命令されるまでの間に、迅速に行う必要があるため、リリースまでの遅延時間は小さくしてください。デフォルトのリリース値は 1 秒です。

CoA までの遅延を指定すると、Cisco ISE での CoA の実行が遅延されます。アプレットをダウンロードして、クライアントで IP リリースを実行できるだけの十分な時間を確保してください。デフォルト値は 8 秒です。

更新までの遅延の値は IP リリース値に追加され、コントロールがダウンロードされるまで計時は開始されません。CoA を処理し、新しい VLAN アクセスを許可できるよう、更新の時間は十分にとってください。デフォルト値は 12 秒です。

詳細情報

スイッチ設定の詳細およびその他の Cisco ISE 展開情報については、「分散環境での Cisco ISE の設定」を参照してください。

関連項目

「詳細ポリシーの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「ゲスト パスワード ポリシーの設定」

「時間プロファイル」

「ゲスト ユーザ名ポリシーの設定」

ポータル ページを作成するためのサンプル HTML コード

これらの例を使用すると、ゲスト ポータル ページ用の HTML ページを作成することができます。独自の HTML ページをアップロードしてカスタム ポータルを作成した場合、詳細ポリシー、言語テンプレート、およびポータル テーマは適用されません。したがって、これらの機能が重要になる場合は、独自に HTML コードを記述して類似の機能を提供するか、代わりに標準ポータル ページを使用する必要があります。

カスタム html ファイルをアップロードした場合、それらの変更はゲスト ポータルにのみ適用されます。その他のポータルでは、ポータル テーマで定義された設定が使用されます(「カスタム ポータル テーマの作成」を参照)。ポータル間でルックアンドフィールをさらに同期するには、ポータル テーマにもカスタム ロゴとバナーをアップロードしてください。

「ログイン フォーム アクションおよびパラメータ」

「AUP フォーム アクションおよびパラメータ」

「パスワード変更フォーム アクションおよびパラメータ」

「アカウント登録フォーム アクションおよびパラメータ」

「デバイス登録フォーム アクションおよびパラメータ」

「セルフサービス結果フォーム アクションおよびパラメータ」

「エラー ページ フォーム アクションおよびパラメータ」

「正常ゲスト ログイン フォーム」


) 次の HTML の例では、demo2 という名前のポータルのディレクトリ構造を参照しています。


ログイン フォーム アクションおよびパラメータ

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Login</title>
<link href="portals/demo2/style.css" rel="stylesheet" type="text/css" />
<script language='javascript'>
 
</script>
</head>
<body class="pagebg">
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="107">&nbsp;</td>
</tr>
<tr>
<td height="172" align="center" valign="middle"><table width="90%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="45%" height="172" align="left" valign="middle"><table width="75%" border="0" align="left" cellpadding="0" cellspacing="0">
<tr>
<td width="27%"><img src="portals/demo2/logo.png" alt="" width="218" height="63" /></td>
<td width="73%"><table width="85%" border="0" align="right" cellpadding="0" cellspacing="0">
<tr>
<td height="35" align="left" class="headding">ISE 1.1</td>
</tr>
<tr>
<td align="left" class="label">Guest Access</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left" class="headding1">Version:1.1</td>
</tr>
</table></td>
</tr>
</table></td>
<td width="45%" align="right" valign="middle"><table width="50%" border="0" cellspacing="0" cellpadding="0">
<form id="cuesLoginForm" method="POST" action="/guestportal/LoginCheck.action">
<tr>
<td width="32%" height="30" align="left" valign="middle" class="label">Username :</td>
<td width="68%" align="left"><input alt="Username:" name="guestUser.name" id="username" type="text" size="20" value=""/></td>
</tr>
<tr>
<td height="30" align="left" valign="middle" class="label">Password :</td>
<td align="left"><input alt="Password:" name="guestUser.password" id="password" type="password" size="20" value=""/></td>
</tr>
<tr>
<td height="12" align="left" valign="middle"></td>
<td height="12" align="left"></td>
</tr>
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left"><input type="submit" name="button" id="button" value="Log In" />
</td>
</tr>
<input type="hidden" name="drpPassword" id="drpPassword" />
<input type="hidden" name="drpUsername" id="drpUsername" />
</form>
<!-- <form id="doSelfService" action="/guestportal/SelfService.action">-->
<!-- <input type="hidden" id="buttonClicked" name="buttonClicked" value=""></input>-->
<!-- <input type="hidden" id="switch_url" name="switch_url" value=""></input>-->
<!-- <input type="hidden" id="redirect" name="redirect" value=""></input>-->
<!-- <input type="hidden" id="err_flag" name="err_flag" value=""></input>-->
<!-- </form>-->
 
<!-- form for self service -->
<struts2:form id="selfServiceForm" action="SelfService.action">
<input type="hidden" id="buttonClicked" name="buttonClicked" value="${buttonClicked}"></input>
<input type="hidden" id="switch_url" name="switch_url" value="${switch_url}"></input>
<input type="hidden" id="redirect" name="redirect" value="${redirect}"></input>
<input type="hidden" id="err_flag" name="err_flag" value="${err_flag}"></input>
</struts2:form>
 
<struts2:form id="changePasswordForm" action="ChangePassLoginMultiPortal.action">
<input type="hidden" id="username" name="guestUser.name" value="${username}"></input>
<input type="hidden" id="password" name="guestUser.password" value="${password}"></input>
</struts2:form>
 
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left">&nbsp;&nbsp;&nbsp;
</td>
</tr>
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left"><a href="javascript:doChangePassword();" class="link" >Change Password</a>&nbsp;&nbsp;
<a href="javascript:doSelf();" class="link">SelfService</a>&nbsp;&nbsp;
<a href="javascript:submitMyForm();" class="link">Device Registration</a>
</td>
</tr>
 
</table></td>
</tr>
</table></td>
</tr>
</table>
<div id="footer">
<div style="padding:0 0 0 10px;">2009-2011, Sample App, Inc. All rights reserved.</div>
</div>
</body>
</html>
 
<script>
function doSelf()
{
document.forms[0].action = "SelfService.action";
document.getElementById("buttonClicked").value = document.getElementById("buttonClicked").value;
document.getElementById("redirect").value = document.getElementById("redirect").value;
document.getElementById("switch_url").value = document.getElementById("switch_url").value;
document.forms[0].submit();
}
 
function doChangePassword()
{
//var changePasswordForm = document.getElementById("changePasswordForm");
//changePasswordForm.submit();
document.forms[0].action = "ChangePassLoginMultiPortal.action";
document.getElementById("username").value = document.getElementById("username").value;
document.getElementById("password").value = document.getElementById("password").value;
document.forms[0].submit();
}
 
function submitMyForm(){
document.forms[0].action = "DevRegPortalLogin.action";
document.getElementById("drpUsername").value = document.getElementById("username").value;
document.getElementById("drpPassword").value = document.getElementById("password").value;
document.forms[0].submit();
}
 
</script>

AUP フォーム アクションおよびパラメータ

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Login</title>
<link href="portals/demo2/style.css" rel="stylesheet" type="text/css" />
</head>
<body bgcolor="#ccebfe">
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="75" bgcolor="#022d4d"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="15%" align="left" valign="middle"><img src="portals/demo2/logo.png" alt="" width="157" height="44" /></td>
<td width="72%" class="headding">ISE 1.1 Guest Portal </td>
<td width="13%" align="right" valign="middle" > </td>
</tr>
</table></td>
</tr>
<tr>
<td bgcolor="#ccebfe"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0" class="content">
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<td align="left" class="headding2">Acceptable Use Policy</td>
</tr>
<tr>
<td align="left" >Please accept the policy:<br /><br />
 
1. You are responsible for </br>(1) maintaining the confidentiality of the password and </br>(2) all activities that occur under your username and password.
</br></br>
2. Cisco systems offers the Service for activities such as the active use of e-mail, instant messaging, browsing the World Wide Web and accessing corporate intranets. High volume data transfers, especially sustained high volume data transfers, are not permitted. Hosting a web server or any other server by use of our Service is prohibited. Trying to access someone else’s account, sending unsolicited bulk e-mail, collection of other people’s personal data without their knowledge and interference with other network users are all prohibited.
</br></br>
3. Cisco systems reserves the right to suspend the Service if (1) Cisco systems reasonably believes that your use of the Service is unreasonably excessive or (2) you are using the Service for criminal or illegal activities.
</br></br>
4. You do not have the right to resell this Service to a third party.
 
</br></br>
5. Cisco systems reserves the right to revise, amend or modify these Terms & Conditions, our other policies and agreements, and aspects of the Service itself. Notice of any revision, amendment, or modification will be posted on Cisco system’s website and will be effective as to existing users 30 days after posting same.
</br></br></td>
</tr>
<form action="/guestportal/AcceptPolicy.action" method="post">
<tr>
<td align="left"><input type="checkbox" name="guestUser.acceptUsePolicy" id="guestUser.acceptUsePolicy" value="false" onclick="javascript:enableButtons()" />Accept terms and conditions</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left"><input type="Submit" id="acceptButton" value="Accept" />
<input type="button" id="declineButton" value="Decline" onclick="javascript:doDeclineTerms()"/></td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
</form>
</table></td>
</tr>
</table>
<form id="declineTerms" onsubmit="return true;" action="/guestportal/DeclinePolicy.action" method="post"><table class="wwFormTable">
<input type="hidden" id="buttonClicked" name="buttonClicked" value=""></input>
<input type="hidden" id="switch_url" name="switch_url" value=""></input>
<input type="hidden" id="redirect" name="redirect" value=""></input>
<input type="hidden" id="err_flag" name="err_flag" value=""></input>
</table></form>
 
<div id="footer">
<div style="padding:0 0 0 10px;">2009-2011, Sample App, Inc. All rights reserved.</div>
</div>
</body>
</html>
 
<script>
enableButtons();
function enableButtons(){
accepttermsCheckbox = document.getElementById('guestUser.acceptUsePolicy').checked;
if (!accepttermsCheckbox) {
document.getElementById('acceptButton').disabled = true;
document.getElementById('guestUser.acceptUsePolicy').value = false;
}
else {
document.getElementById('acceptButton').disabled = false;
document.getElementById('guestUser.acceptUsePolicy').value = true;
}
}
</script>
 
<script>
function doDeclineTerms()
{
var declineTermsForm = document.getElementById("declineTerms");
declineTermsForm.submit();
}
</script>

パスワード変更フォーム アクションおよびパラメータ

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Login</title>
<link href="portals/demo2/style.css" rel="stylesheet" type="text/css" />
</head>
<body class="pagebg">
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="107">&nbsp;</td>
</tr>
<tr>
<td height="172" align="center" valign="middle"><table width="90%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="45%" height="172" align="left" valign="middle"><table width="75%" border="0" align="left" cellpadding="0" cellspacing="0">
<tr>
<td width="27%"><img src="portals/demo2/logo.png" alt="" width="218" height="63" /></td>
<td width="73%"><table width="85%" border="0" align="right" cellpadding="0" cellspacing="0">
<tr>
<td height="35" align="left" class="headding">ISE 1.1</td>
</tr>
<tr>
<td align="left" class="label">Guest Access</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left" class="headding1">Version:1.1</td>
</tr>
</table></td>
</tr>
</table></td>
<td width="45%" align="right" valign="middle"><table width="65%" border="0" cellspacing="0" cellpadding="0">
<form action="/guestportal/ChangePassword.action" method="post">
<tr>
<td height="30" align="left" valign="middle" class="label">Enter current password :</td>
<td align="left"><input alt="Password:" name="currentpassword" id="currentpassword" type="password" size="20" value=""/></td>
</tr>
<tr>
<td height="30" align="left" valign="middle" class="label">Enter new password :</td>
<td align="left"><input alt="Password:" name="newpassword" id="newpassword" type="password" size="20" value=""/></td>
</tr>
<tr>
<td height="30" align="left" valign="middle" class="label">Re-enter new password :</td>
<td align="left"><input alt="Password:" name="confirmpassword" id="confirmpassword" type="password" size="20" value=""/></td>
</tr>
<tr>
<td height="12" align="left" valign="middle"></td>
<td height="12" align="left"></td>
</tr>
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left"><input type="submit" name="button" id="button" value="Log In" />
</td>
</tr>
</form>
</table></td>
</tr>
</table></td>
</tr>
</table>
<div id="footer">
<div style="padding:0 0 0 10px;">2009-2011, Sample App, Inc. All rights reserved.</div>
</div>
</body>
</html>

アカウント登録フォーム アクションおよびパラメータ

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Login</title>
<link href="portals/demo2/style.css" rel="stylesheet" type="text/css" />
</head>
<body bgcolor="#ccebfe">
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="75" bgcolor="#022d4d"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="15%" align="left" valign="middle"><img src="portals/demo2/logo.png" alt="" width="157" height="44" /></td>
<td width="72%" class="headding">ISE 1.1 Guest Portal </td>
<td width="13%" align="right" valign="middle" > </td>
</tr>
</table></td>
</tr>
<tr>
<td valign="top" bgcolor="#ccebfe"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0" class="content">
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<td align="left" class="headding2">Self Registration</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left"><table width="50%" border="0" align="left" cellpadding="0" cellspacing="0" class="content">
<form id="selfServiceForm" action="/guestportal/SelfServiceSubmit.action" method="post">
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">First Name :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.firstName" id="firstName" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Last Name :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.lastName" id="lastName" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Email Address :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.emailAddress" id="emailId" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Phone Number :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.phoneNumber" id="phoneno" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Company :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.company" id="company" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Optional Data 1 :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.optionalData1" id="data1" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Optional Data 2 :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.optionalData2" id="data2" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Optional Data 3 :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.optionalData3" id="data3" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Optional Data 4 :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.optionalData4" id="data4" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">Optional Data 5 :</td>
<td width="70%" align="left"><input alt="Username:" name="guestUser.optionalData5" id="data5" type="text" size="20" /></td>
</tr>
<tr>
<td width="30%" height="30" align="left" valign="middle" class="content">TimeZone :</td>
<td width="70%" align="left"><select name="guestUser.timezone">
<option value="UTC">UTC</option>
<option value="America\New_York">America\New_York</option>
<option value="Europe\London">Europe\London</option>
</select></td>
</tr>
<tr>
<td height="12" align="left" valign="middle"></td>
<td height="12" align="left"></td>
</tr>
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left"><input type="submit" name="button" id="button" onclick="javascript:doOnSubmit()" value="Submit" />
<input type="submit" name="button2" id="button2" onclick="javascript:doCancel()" value="Cancel" /> </td>
</tr>
</form>
</table></td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
</table></td>
</tr>
</table>
<div id="footer">
<div style="padding:0 0 0 10px;">2009-2011, Sample App, Inc. All rights reserved.</div>
</div>
</body>
</html>
 
<script>
function doOnSubmit()
{
var selfServiceForm = document.getElementById("selfServiceForm");
selfServiceForm.submit();
}
function doCancel()
{
document.forms[0].action = "Login.action";
document.forms[0].submit();
}
</script>

デバイス登録フォーム アクションおよびパラメータ

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Login</title>
<link href="portals/demo2/style.css" rel="stylesheet" type="text/css" />
<script language='javascript'>
 
</script>
</head>
<body bgcolor="#ccebfe">
<form id="deviceRegistrationPortal" action="/guestportal/RegisterDevice.action" method="post">
 
<input type="hidden" name="drpUsername" id="drpUsername" value="" />
<input type="hidden" name="devRegLimit" id="devRegLimit" value="" />
 
<input type="hidden" name="regDevices" id="regDevices" value="" />
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="75" bgcolor="#022d4d"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="15%" align="left" valign="middle"><img src="portals/demo2/logo.png" alt="" width="157" height="44" /></td>
<td width="72%" class="headding">ISE 1.1 Device Registration Portal</td>
<td width="13%" align="right" valign="middle" > </td>
</tr>
</table></td>
</tr>
<tr>
<td align="left" valign="top" bgcolor="#ccebfe"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0" class="content">
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<td align="left"><table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="#abcee4" style="padding:10px; border:#6b93ac solid 1px;">
<tr>
<td style="padding:10px 0 0 10px;">Please register your device :<br />
Please note that you can not register more than 5 devices</td>
</tr>
<tr>
<td height="15"></td>
</tr>
<tr>
<td style="padding:0 0 0 10px;"><table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="7%">MAC Address : </td>
<td width="93%"><input id="registeredMac" name="registeredMac" type="text" /></td>
</tr>
</table></td>
</tr>
<tr>
<td height="15"></td>
</tr>
<tr>
<td style="padding:0 0 0 10px;"><input type="Submit" value="Register" /></td>
</tr>
<tr>
<td height="15"></td>
</tr>
</table></td>
</tr>
 
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left">
</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
</table></td>
</tr>
</table>
<div id="footer">
<div style="padding:0 0 0 10px;">2009-2011, Sample App, Inc. All rights reserved.</div>
</div>
</form>
</body>
</html>

セルフサービス結果フォーム アクションおよびパラメータ

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Login</title>
<link href="portals/demo2/style.css" rel="stylesheet" type="text/css" />
</head>
<body bgcolor="#ccebfe">
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="75" bgcolor="#022d4d"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="15%" align="left" valign="middle"><img src="portals/demo2/logo.png" alt="" width="157" height="44" /></td>
<td width="72%" class="headding">ISE 1.1 Guest Portal </td>
<td width="13%" align="right" valign="middle" > </td>
</tr>
</table></td>
</tr>
<tr>
<td valign="top" bgcolor="#ccebfe"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0" class="content">
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<!--INSERT HEADER HERE --><td align="left" class="headding2"> Self Registration created user: fsdf</td><!--END HEADER HERE -->
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left"><table width="50%" border="0" align="left" cellpadding="0" cellspacing="0" class="content">
<!--INSERT RESULTS HERE --><tr><td width="30%" align="left" class="content"> User name: fsdf</td></tr><tr><td width="30%" align="left" class="content"> Password: 9F_</td></tr><tr><td width="30%" align="left" class="content"> First Name: fdsf</td></tr><tr><td width="30%" align="left" class="content"> Last Name: sdf</td></tr><tr><td width="30%" align="left" class="content"> Email Address: </td></tr><tr><td width="30%" align="left" class="content"> Phone Number: </td></tr><tr><td width="30%" align="left" class="content"> Company: </td></tr><tr><td width="30%" align="left" class="content"> Optional Data 1: </td></tr><tr><td width="30%" align="left" class="content"> Optional Data 2: </td></tr><tr><td width="30%" align="left" class="content"> Optional Data 3: </td></tr><tr><td width="30%" align="left" class="content"> Optional Data 4: </td></tr><tr><td width="30%" align="left" class="content"> Optional Data 5: </td></tr><!--END RESULTS HERE -->
<tr>
<td height="12" align="left" valign="middle"></td>
<td height="12" align="left"></td>
</tr>
<form id="loginform" action="/guestportal/Login.action" method="post">
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left"><input type="submit" name="button2" id="button2" onclick="javascript:doOk()" value="OK" /> </td>
</tr>
</form>
</table></td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
</table></td>
</tr>
</table>
<div id="footer">
<div style="padding:0 0 0 10px;">2009-2011, Sample App, Inc. All rights reserved.</div>
</div>
</body>
</html>
 
<script>
 
function doOk()
{
document.forms[0].action = "Login.action";
document.forms[0].submit();
}
</script>

エラー ページ フォーム アクションおよびパラメータ

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Error Detected</title>
<link href="portals/demo2/style.css" rel="stylesheet" type="text/css" />
<script language='javascript'>
 
</script>
</head>
<body class="pagebg">
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="107">&nbsp;</td>
</tr>
<tr>
<td height="172" align="center" valign="middle"><table width="90%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="45%" height="172" align="left" valign="middle"><table width="75%" border="0" align="left" cellpadding="0" cellspacing="0">
<tr>
<td width="27%"><img src="portals/demo2/logo.png" alt="" width="218" height="63" /></td>
<td width="73%"><table width="85%" border="0" align="right" cellpadding="0" cellspacing="0">
<tr>
<td height="35" align="left" class="heading">Error Detected in Guest Portal</td>
</tr>
<tr>
<!--INSERT ERROR HERE -->
<td height="35" align="left" class="heading">Second</td>
<!--END ERROR HERE -->
</tr>
</table></td>
</tr>
</table></td>
<td width="45%" align="right" valign="middle"><table width="50%" border="0" cellspacing="0" cellpadding="0">
 
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left">&nbsp;&nbsp;&nbsp;
</td>
</tr>
</table></td>
</tr>
</table></td>
</tr>
</table>
<div id="footer">
<div style="padding:0 0 0 10px;">2009-2011, Sample App, Inc. All rights reserved.</div>
</div>
</body>
</html>
 
<script>
function doSelf()
{
document.forms[0].action = "Login.action";
document.forms[0].submit();
}
</script>

正常ゲスト ログイン フォーム

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Guest Portal Login</title>
<link href="portals/CustomPortal/style.css" rel="stylesheet" type="text/css" />
</head>
<body bgcolor="#ccebfe">
<table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="75" bgcolor="#022d4d"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td width="15%" align="left" valign="middle"><img src="portals/CustomPortal/logo.png" alt="" width="90" height="90" /></td>
<td width="72%" class="headding">ISE 1.0 Guest Portal </td>
<td width="13%" align="right" valign="middle" > </td>
</tr>
</table></td>
</tr>
<tr>
<td valign="top" bgcolor="#ccebfe"><table width="98%" border="0" align="center" cellpadding="0" cellspacing="0" class="content">
<tr>
<td>&nbsp;</td>
</tr>
<tr>
<!--INSERT HEADER HERE --><td align="left" class="headding2"> CoA Successful </td><!--END HEADER HERE -->
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left"><table width="50%" border="0" align="left" cellpadding="0" cellspacing="0" class="content">
<tr>
<td height="12" align="left" valign="middle"></td>
<td height="12" align="left"></td>
</tr>
<form id="loginform" action="/guestportal/Login.action" method="post">
<tr>
<td align="left" valign="middle">&nbsp;</td>
<td align="left"><input type="submit" name="button2" id="button2" onclick="javascript:doOk()" value="OK" /> </td>
</tr>
</form>
</table></td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
<tr>
<td align="left">&nbsp;</td>
</tr>
</table></td>
</tr>
</table>
<div id="footer">
<div style="padding:0 0 0 10px;">2008-2009, Sample App, Inc. All rights reserved.</div>
</div>
</body>
</html>
 
<script>
 
function doOk()
{
document.forms[0].action = "Login.action";
document.forms[0].submit();
}
</script>

サンプルの style.css

@charset "utf-8";
/* CSS Document */
 
body {
margin-left: 0px;
margin-top: 0px;
margin-right: 0px;
margin-bottom: 0px;
}
.pagebg {
background:url("../demo2/pageBg.jpg") repeat-x;
}
.label {
font-family:Arial, Helvetica, sans-serif;
color:#FFFFFF;
font-size:12px;
}
#footer {
height:23px;
font-family:Arial, Helvetica, sans-serif;
color:#022d4d;
position:absolute;
width:100%;
margin:0px auto;
text-align:left;
bottom:-0px;
font-size:12px;
}
.headding {
font-family:Arial, Helvetica, sans-serif;
color:#ffffff;
font-size:20px;
}
.headding1 {
font-family:Arial, Helvetica, sans-serif;
font-size:12px;
font-weight:bold;
color:#ffffff;
}
.headding2 {
font-family:Arial, Helvetica, sans-serif;
color:#022d4d;
font-size:17px;
font-weight:bold;
}
.headding3 {
font-family:Arial, Helvetica, sans-serif;
color:#022d4d;
font-size:12px;
font-weight:bold;
}
.content {
font-family:Arial, Helvetica, sans-serif;
font-size:11px;
color:#022d4d;
}
.link {font-family:Arial, Helvetica, sans-serif; font-size:11px; color:#ffffff; text-decoration:none;}
a.link:link {font-family:Arial, Helvetica, sans-serif; font-size:11px; color:#ffffff; text-decoration:none;}
a.link:hover {font-family:Arial, Helvetica, sans-serif; font-size:11px; color:#ffffff; text-decoration:underline; }

ゲスト ポータル ポリシーの設定

管理者は、ゲスト ポータル ポリシー ページを使用して、ゲスト ユーザ ログインに必要なフローを指定することができます。

ゲスト ポータル ポリシーを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [ポータル ポリシー(Portal Policy)] を選択します。

ステップ 2 次のオプションを設定します。図 21-4 に例を示します。

[アカウント登録ゲスト ロール(Self Registration Guest Role)]:アカウント登録後にゲスト ユーザに割り当てられるデフォルトのゲスト ロールです。このロールを使用すると、システムに定義されたポリシーに基づいて、関連する ID グループにゲスト ユーザが関連付けられます。ID グループの設定の詳細については、「ユーザ ID グループの設定」を参照してください。

[アカウント登録時間プロファイル(Self Registration Time Profile)]:アカウント登録後にゲスト ユーザに割り当てられるデフォルトの時間プロファイルです。使用できるのは、CreateTime タイプと FirstLogin タイプの時間プロファイルのみです。アカウント登録でのゲスト ユーザ アカウントの作成時には、どちらも CreateTime アカウントとして扱われます。

[最大ログイン失敗(Maximum Login Failures)]:ゲスト ユーザ アカウントを中断するまでに許容する最大ログイン失敗回数です。デフォルト値は 5 回です。ログイン試行が 5 回失敗すると、ユーザ アカウントが中断されます。ユーザ アカウントが中断された場合、スポンサーにユーザ アカウントを再有効化してもらわないと、ログインできなくなります。これはグローバル設定であり、すべてのゲスト ポータルに適用されます。

[デバイス登録ポータル制限(Device Registration Portal Limit)]:ゲスト ユーザ アカウント用に登録可能なデバイスの最大数です。デバイス登録ポータルでは、最大数に達した場合にゲスト ユーザによるデバイスの追加が禁止されます。この値は、ゲスト アカウントに現在登録されているデバイスの最大数より小さくしてもかまいません。デバイスの最大登録数を減らしても、登録済みのデバイスには影響せず、それらは登録されたままになります。

[ゲスト パスワードの有効期限(Guest Password Expiration)]:ゲスト パスワードの期限が切れるまでの日数です。この日数が経過すると、ゲストはパスワードを再設定する必要があります。このオプションを設定するには、[ポータル設定(Portal Configuration)] ページで [ゲスト パスワードの有効期限(Guest Password Expiration)] を有効にする必要があります。

図 21-4 [ゲスト ポータル ポリシー(Guest Portal Policy)] ページ

 

 

ステップ 3 [保存(Save)] をクリックします。


 

関連項目

「詳細ポリシーの設定」

「マルチポータルの設定」

「ゲスト パスワード ポリシーの設定」

「時間プロファイル」

「ゲスト ユーザ名ポリシーの設定」

ゲスト パスワード ポリシーの設定

ゲスト パスワード ポリシーでは、すべてのゲスト アカウントのパスワードの生成方法を決定します。パスワード ポリシーは、アルファベット、数字、特殊文字を組み合わせて作成することができます。

ゲスト パスワード ポリシーを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [パスワード ポリシー(Password Policy)] を選択します。

ステップ 2 ランダムな文字の生成に使用する文字を入力します。

ステップ 3 各文字セットから使用する最小数を入力します。

ステップ 4 [送信(Submit)] をクリックします。


 


) ゲスト パスワード ポリシーに対する変更は、ゲスト ユーザ パスワードの期限が切れて、変更が必要になるまで、既存のアカウントにのみ影響します。


図 21-5 [パスワード ポリシー(Password Policy)] ページ

 

関連項目

「詳細ポリシーの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「時間プロファイル」

「ゲスト ユーザ名ポリシーの設定」

時間プロファイル

時間プロファイルにより、スポンサーにゲスト アカウントへの異なるアクセス時間レベルの割り当てを許可します。たとえば、週末ではなく特定の営業日の間にゲストのアクセスを許可する時間プロファイルを割り当てることができます。

時間プロファイルを作成したら、スポンサー ユーザ グループを変更して、そのグループに含まれるスポンサーが適切な時間プロファイルにアカウントをプロビジョニングできるようにする必要があります。ゲストへの特定の時間プロファイルの割り当てを許可するスポンサー ユーザ グループを選択できます。

デフォルトでは、スポンサー ユーザ グループはゲストにデフォルト時間プロファイルを割り当てることができます。管理者は、スポンサーに割り当てを許可する追加の時間プロファイルを選択したり、ユーザ グループからデフォルト時間プロファイルを削除したりできます。

各スポンサー ユーザ グループは、少なくとも 1 つの時間プロファイルをゲストに割り当てることができる必要があります。

スポンサー ユーザ グループが選択できる時間プロファイルが 1 つだけの場合、スポンサーはその時間プロファイルしか選択できません。スポンサーが複数の時間プロファイルを選択できる場合は、アカウント作成時にそのアカウントに割り当てる時間プロファイルをドロップダウン リストから選択できます。

関連項目

「時間プロファイルの追加、編集、または複製」

「時間プロファイルの削除」

「詳細ポリシーの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「ゲスト パスワード ポリシーの設定」

「ゲスト ユーザ名ポリシーの設定」

時間プロファイルの追加、編集、または複製

時間プロファイルを追加または編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [時間プロファイル(Time Profiles)] を選択します。

ステップ 2 次のいずれかをクリックします。

[追加(Add)]:新しい時間プロファイルを作成します。

[編集(Edit)]:既存の時間プロファイルを編集します。

[複製(Duplicate)]:既存の時間プロファイルを複製します。

ステップ 3 新しい時間プロファイルの名前と説明を入力します。

ステップ 4 ドロップダウン リストから [制限対象のタイム ゾーン(Time Zone for Restrictions)] を選択します。時間制限とは、その時間プロファイルに関連付けられているゲスト アカウントにネットワークまたはゲスト ポータルへのアクセスを許可しない一連の期間です。

ステップ 5 [アカウント タイプ(Account Type)] ドロップダウン リストから、定義済みのオプションのいずれかを選択します。

[StartEnd]:スポンサーは、アカウント有効期間の開始時間と終了時間を定義することができます。

[FromFirstLogin]:スポンサーは、ログイン時点を起点として、ゲストのアクセス有効期間を定義することができます。

[FromCreation]:スポンサーは、アカウント作成時点を起点として、ゲストのアクセス有効期間を定義することができます。

ステップ 6 アカウントの有効期間を設定します。ここで設定する期間が過ぎたら、アカウントは失効します。このオプションは、[アカウント タイプ(Account Type)] で [FromFirstLogin] または [FromCreation] を選択した場合にのみ使用できます。

ステップ 7 ゲスト アクセスの制限を設定します。

これらの制限は、曜日および開始/終了クロック時刻で構成されます。時間プロファイルで指定するタイム ゾーン値は、時間プロファイル内のいずれかの時間制限で設定されているクロック時刻に影響します。たとえば、時間制限として月曜日 12:00 am ~ 8:00 am と月曜日 6:00 pm ~ 11:59 pm が指定されている場合、時間プロファイルのタイム ゾーンでシステム アクセスが許可されるのは、月曜日の 8:00 am ~ 6:00 pm のみです。この例では、その他の曜日には時間制限が設定されていないため、システム アクセスは常に許可されます。

ステップ 8 [送信(Submit)] をクリックします。


 

時間プロファイルでは、開始時間と終了時間は定義しません。これは、アカウントの作成時に行います。時間プロファイルには、アカウントの作成時に指定する開始時間と終了時間の範囲から外れる制限も設定できます。ただし、開始時間と終了時間の範囲を対象とした制限しかアカウントには適用されません。

有線ネットワークの場合、[終了-アクション(Termination-Action)] を 0(デフォルト)に設定して、セッション タイムアウトが終了セッションとして扱われるようにする必要があります。この値は、許可プロファイルで RADIUS 値として設定する必要があります。

WLC の場合、WLAN 設定で AAA オーバーライドを可能にする必要があります。RADIUS access-accept には、セッション タイムアウト値をアカウントの残存秒数で指定します。この時間が経過すると、NAD により接続が閉じられます。

ゲストがログインすると、ネットワーク アクセス システムによって、ゲスト アカウントに残っている時間がアクセス要求元の NAD に返されます。これにより、NAD でアカウントの有効期限を適用できるようになります。


) FromCreation 時間プロファイルおよび FromFirstLogin 時間プロファイルの場合、スポンサー グループ期間または時間プロファイル期間のうち、どちらか小さい方に基づいて、有効期限が計算されます。


関連項目

「時間プロファイル」

「時間プロファイルの削除」

「詳細ポリシーの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「ゲスト パスワード ポリシーの設定」

「ゲスト ユーザ名ポリシーの設定」

時間プロファイルの削除

時間プロファイルを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [時間プロファイル(Time Profiles)] を選択します。

ステップ 2 削除する時間プロファイルを選択します。

ステップ 3 [削除(Delete)] をクリックします。


 

関連項目

「時間プロファイル」

「時間プロファイルの追加、編集、または複製」

「詳細ポリシーの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「ゲスト パスワード ポリシーの設定」

「ゲスト ユーザ名ポリシーの設定」

ゲスト ユーザ名ポリシーの設定

[ゲスト ユーザ名ポリシーの設定(Guest Username Policy Configuration)] ページでは、Cisco ISE 管理者は、ゲスト アカウントのユーザ名をどのように作成するかを指定することができます。ユーザ名ポリシーの設定は、次の 2 通りの方法で行うことができます。

一般(General)

ランダム(Random)

一般ゲスト ユーザ名ポリシーの設定

ゲスト ユーザ名は、電子メール アドレスまたはゲストの姓名に基づいて作成することができます。

一般ゲスト ユーザ名ポリシーを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [ユーザ名ポリシー(Username Policy)] を選択します。

ステップ 2 ゲスト アカウントのユーザ名を作成するために、次のユーザ名ポリシー オプションのいずれかを選択します。

c. [電子メール アドレスからユーザ名を作成(Create username from email address)]:ゲストの電子メール アドレスからゲスト ユーザ名を作成する場合は、このオプションを選択します。

d. [姓名からユーザ名を作成(Create username from the first name and last name)]:ゲスト ユーザの名の最初のイニシャルと姓を組み合わせてゲスト ユーザ名を作成する場合は、このオプションを選択します。

ステップ 3 ゲスト ユーザ名の最小長を入力します。有効な範囲は 1 ~ 20 です。

電子メール アドレスまたは姓名の組み合わせから作成したゲスト ユーザ名が最小長より短い場合は、ユーザ名の末尾に 0 (ゼロ)文字と 1 が追加されます。ユーザ名が一意でない場合、一意になるよう、名前に数字が追加されます。

たとえば、 Firstname Lastname という 2 人のゲスト ユーザがいる場合、1 人目のユーザ名は flastname になり、2 人目のユーザ名は flastname1 になります。同様に、ユーザ名の最小長を 11 に設定した場合、2 人のユーザ名は flastname01 および flastname02 として生成されます。

ステップ 4 [送信(Submit)] をクリックします。


 

ランダム ゲスト ユーザ名ポリシーの設定

ゲスト ユーザ名は、アルファベット、数字、特殊文字をランダムに組み合わせて作成することができます。ランダム ゲスト ユーザ名ポリシーは、スポンサーがランダム アカウントを作成するときに使用されます。

ランダム ゲスト ユーザ名ポリシーを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [ゲスト(Guest)] > [ユーザ名ポリシー(Username Policy)] を選択します。

ステップ 2 ランダムな文字の生成に使用する文字を入力します。

ステップ 3 各文字セットから使用する最小数を入力します。有効な範囲は、文字セットごとに 0 ~ 20 です。

ステップ 4 [送信(Submit)] をクリックします。


 

ランダム ユーザ名の長さは、アルファベット、数字、特殊文字の 3 つの長さフィールドの組み合わせになります。ユーザ名の長さでは、作成できる一意の名前の合計数を定義します。たとえば、10,000 人のユーザを作成する場合、名前空間の長さが 2 文字では、すべてを一意の値にすることはできません。


) ゲスト ユーザ名ポリシーを変更しても、既存のアカウントには影響しません。


関連項目

「詳細ポリシーの設定」

「マルチポータルの設定」

「ゲスト ポータル ポリシーの設定」

「ゲスト パスワード ポリシーの設定」

「時間プロファイル」

スポンサーとゲストのアクティビティのモニタリング

Cisco ISE では、次の方法を使用して、スポンサーとゲストのアクティビティを表示およびモニタできます。

「メトリック メーター」

「ゲスト アクティビティ レポート」

「ゲスト アカウンティング」

「ゲスト スポンサー概要」

メトリック メーター

Cisco ISE のダッシュボードに表示されるメトリック メーターを見ると、ネットワークにおけるアクティブ ゲストを一目で把握できます。

ゲスト アクティビティ レポート

このレポートでは、選択した期間のゲスト情報を簡単に確認することができます。このレポートには、ゲスト ユーザが訪問した URL がすべて表示されます。


) ゲスト アクティビティ レポートによって、ゲスト ユーザが訪問した URL を収集し、そのリストを表示するには、ISE ネットワークにおけるゲスト トラフィックを検査する NAD でゲスト アクセスの syslog 処理設定を有効にする必要があります。


このレポートを表示するには、次の手順を実行します。

1. [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] を選択します。

2. [ゲスト アクティビティ(Guest Activity)] をクリックします。

ゲスト アカウンティング

このレポートでは、選択した期間の特定のゲストのログイン/ログアウト情報を簡単に確認することができます。

このレポートを表示するには、次の手順を実行します。

1. [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] を選択します。

2. [ゲスト アカウンティング(Guest Accounting)] をクリックします。

ゲスト スポンサー概要

このレポートでは、選択した期間のスポンサー情報とグラフ表示を簡単に確認することができます。

このレポートを表示するには、次の手順を実行します。

1. [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ユーザ(User)] を選択します。

2. [ゲスト スポンサー概要(Guest Sponsor Summary)] をクリックします。

詳細情報

これらのレポートを設定する方法の詳細については、「レポート」を参照してください。

モニタリングおよびトラブルシューティング ツールの詳細については、「モニタリングおよびトラブルシューティング」を参照してください。

監査ロギング

ゲスト ポータルおよびスポンサー ポータルで特定のアクションが実行されると、基礎となる監査システムに監査ログ メッセージが送信されます。デフォルトでは、これらのメッセージは、/opt/CSCOcpm/logs/localStore/iseLocalStore.log ファイルに記録されます。

これらのメッセージを syslog によってモニタリング/トラブルシューティング ツールおよびログ コレクタに送信するように設定することができます。モニタリング サブシステムによって、スポンサーとゲストのアクティビティ ログが提示されます。

ロギングおよびログ収集の詳細については、「モニタリングおよびトラブルシューティング」を参照してください。

ゲスト ログイン フローは、ゲスト ログインが成功したか失敗したかにかかわらず、監査ログに記録されます。