دمج ISE و SecureX OnPremises من خلال عملية التهيئة

خيارات التنزيل

  • PDF     (804.9 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (584.8 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (355.2 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٧ أكتوبر ٢٠٢٢
معرّف المستند:CX218327

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند الخطوات اللازمة لدمج Identity Services Engine (محرك خدمات الهوية) و SecureX عبر عملية تزامن مع سير عمل من Cisco Secure GitHub.

    المتطلبات الأساسية

    cisco يوصي أن يتلقى أنت معرفة على هذا موضوع:

    • التجربة مع تكوين Cisco ISE
    • معرفة حول ISE API
    • معرفة حول تزامن SecureX

    المتطلبات

    يجب نشر Cisco ISE في شبكتك وأن يكون لديك حساب SecureX نشط. يتم تشغيل عمليات سير العمل الخاصة بالتزامن عبر ملحق مستعرض SecureX.

    في المثال الخاص بنا، تم إستيراد سير العمل المراد إستخدامه من صفحة Cisco Secure GitHub، ويتم تطبيق هذا الإجراء أيضا على سير عمل مخصص.

    المكونات المستخدمة

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    • ISE Engine Identity Services Engine، الإصدار 3.1
    • حساب SecureX
    • SXO الجهاز عن بعد، الإصدار 1.7

    التكوين

    الرسم التخطيطي للشبكة

    ncruzzav_0-1665677288778

    في المثال الذي أشرنا إليه، يتم وضع ISE PAN والخادم البعيد في نفس الشبكة الفرعية للحصول على اتصال مباشر.

    بما أن ISE عبارة عن أجهزة محلية، فإن الخادم البعيد يمكنه الاتصال بسحابة Secure-X وإعادة توجيه المعلومات إلى ISE PAN

    التكوينات

    تكوين ISE PAN

    1. انتقل إلى الإدارة > النظام > الإعدادات > إعدادات واجهة برمجة التطبيقات >إعدادات خدمة API وتمكين ERS (قراءة/كتابة)

    ncruzzav_1-1665677931251

    2. (إختياري) قم بإنشاء مستخدم جديد لاتصال Secure-X أو انتقل إلى إدارة > نظام > وصول المسؤول > مسؤول > مستخدمي المسؤول وقم بإنشاء مستخدم جديد، يجب أن يكون لدى هذا المستخدم الجديد أذونات "مسؤول ERS" أو يمكن أن يكون مستخدم مسؤول متميز.

    تكوين الخادم البعيد ونشره

    1. قم بتكوين الخادم البعيد، على وحدة تحكم Secure-X انتقل إلى Orchestration > Admin > Remote Configuration وحدد الخيار New Remote، وكانت معلومات عنوان IP هي تلك التي سيتم إستخدامها عند إنشاء VM، ويجب أن تكون في الشبكة الفرعية نفسها التي يتم نشر ISE PAN فيها.

    ملاحظة: إذا حدث الاتصال بالسحابة من خلال وكيل، حاليا، يتم دعم وكيل SOCKS5 فقط لهذا الغرض.

    ncruzzav_3-1665679929071

    ncruzzav_4-1665680643803

    2. قم بتنزيل الإعدادات التي تم تكوينها لاستخدامها لنشر الأجهزة الافتراضية (VM)، بمجرد حفظ المعلومات، يظهر جهاز التحكم عن بعد على أنه غير متصل"، ثم انتقل ضمن الإجراءات وحدد الاتصال

    ncruzzav_6-1665681349062

    حدد إنشاء حزمة، يقوم هذا الإجراء بتنزيل ملف .zip يحتوي على المعلومات التي تم تكوينها للتو ليتم إستخدامها عند نشر الجهاز الظاهري.

    ncruzzav_1-1665682413689

    3. تنزيل VM وتثبيته، بجانب جهاز التنزيل الجديد عن بعد يقوم هذا الإجراء بتنزيل صورة OVA تحتاج إلى إستخدامها لنشر الخادم عن بعد.

    للحصول على مواصفات الأجهزة الافتراضية عن بعد، يرجى الرجوع إلى دليل إعداد SecureX عن بعد

    يجب إستخدام المعلومات التي تم تنزيلها داخل ملف ZIP على بيانات المستخدم المرمزة عند إنشاء VM، حيث تم نشر المعلومات التي تم تكوينها عن بعد في الخادم بمجرد تمهيده.

    4. بمجرد تشغيل الجهاز الظاهري (VM)، يتصل هذا الجهاز بحساب SecureX تلقائيا، للتحقق من تشغيل الاتصال، ضمن التكوين البعيد، يجب أن ترى تغييرا للحالة إلى "متصل"

    ncruzzav_2-1665684072870

    تكوين الهدف على SecureX

    لكي تعمل التنظير باستخدام جهاز ما من المهم تكوين هدف، أستخدم Secure X هذا الهدف لإرسال إستدعاءات API والتفاعل مع الجهاز من خلال التنظير

    1. انتقل إلى التنسيق > الأهداف > الهدف الجديد

    ncruzzav_0-1665684336419

    2 - ملء المعلومات المستهدفة بالمبادئ التوجيهية التالية

    • اسم العرض: المعرف الهدف
    • الوصف: وصف بسيط لتعريف الغرض من الهدف
    • مفاتيح الحساب: هنا تحتاج إلى تكوين المستخدم/كلمة المرور للوصول إلى ISE من خلال API
      • لا توجد مفاتيح حساب: خطأ
      • مفاتيح الحساب الافتراضية: حدد إضافة جديد
        • نوع مفتاح الحساب: مصادقة HTTP الأساسية
        • اسم العرض: معرف مفتاح الحساب
        • Username: المستخدم الذي تم إنشاؤه على ISE PAN كمسؤول ERS
        • كلمة المرور: كلمة المرور للمستخدم الذي تم إنشاؤه على ISE PAN
        • خيار المصادقة: أساسي

          ncruzzav_1-1665684893528

    • عن بعد: هنا تحتاج إلى تحديد الاتصال البعيد الذي تم تكوينه مسبقا
      • المفاتيح البعيدة: حدد جهاز التحكم عن بعد في القائمة المنسدلة

        ncruzzav_2-1665685235304

    • HTTP: هنا تحتاج إلى تكوين معلومات واجهة برمجة التطبيقات (API) ل ISE PAN
      • البروتوكول: HTTPS
      • المضيف/عنوان IP: ISE PAN Private IP
      • المنفذ: 9060
      • المسار: أتركه على بياض
      • تعطيل التحقق من صحة شهادة الخادم: تحديد هذا المربع

        ncruzzav_3-1665685724561

    • الوكيل: بما أن تكوين الوكيل قد تم تضمينه في التكوين البعيد، فيمكنك ترك هذا القسم فارغة
    • تحديد إرسال

    إستيراد سير العمل من Cisco Secure GitHub

    على سبيل المثال، سير العمل المطلوب إستخدامه هو "إضافة نقطة نهاية إلى مجموعة الهوية"، يمكنك إستخدام أي من مسارات العمل المدرجة على صفحة Cisco Secure GitHub، أو يمكنك إنشاء سير عمل مخصص.

    1. انتقل إلى التنسق > مسارات العمل الخاصة بي > إستيراد سير العمل

    ncruzzav_4-1665686136113

    2. لاستيراد سير العمل، قم بتعبئة المعلومات كما يلي وحدد إستيراد؛ لتحديد سير العمل المراد إستيراده، يمكنك البحث حسب الاسم أو رقم سير العمل

    • مستودع GIT: CiscoSecurity_Workflow (حيث يوجد سير العمل)
    • اسم الملف: 0029-ISE-AddEndpointToIdentityGroup (حدد عدد سير العمل الذي تريد إستخدامه)
    • إصدار GIT: المجموعة 3 من التحديثات لدعم رمز SecureX المميز (الإصدار الأحدث)
    • إستيراد كسير عمل جديد (نسخة): حدد (يقوم هذا باستيراد سير العمل ويقوم بإنشاء نسخة منه)

    ncruzzav_0-1665688057356

    3. بمجرد الاستيراد، يظهر القالب الجديد ضمن مهام سير العمل الخاصة بي، حدد سير العمل الجديد الذي تم إنشاؤه لتحرير المعلمات لجعله يعمل مع ISE

    ncruzzav_2-1665688499744

    4. بما أن هذا سير عمل ما قبل البناء، تحتاج فقط إلى تعديل 3 أقسام من سير العمل:

    • الاسم: تغيير اسم العرض لمعرف أفضل

    ncruzzav_4-1665688720680

    • متغير مجموعة الهوية
      • تحت المتغيرات، يكون تحرير متغير مجموعة الهوية افتراضيا هو Balcklist، وحدد المتغير وقم بتكوين اسم مجموعة الهوية الذي تريد تعديله من خلال عملية التنشيط

    ncruzzav_5-1665688873009

    • حدد حفظ

    ncruzzav_9-1665689108114

    • الهدف: تكوين الهدف الذي تم تكوينه مسبقا
      • النوع الهدف: نقطة نهاية HTTP
      • الهدف: اسم الهدف الذي تم تكوينه

    ncruzzav_0-1665689687653

    التحقق من الصحة

    بمجرد تكوين كل شيء، يكون الوقت لاختبار سير العمل

    يقوم سير العمل الخاص بالاختبار بتنفيذ هذا الإجراء: إذا وجدت عنوان MAC في صفحة ويب، فقد يكون على ISE نفسه، أو صفحة ويب أخرى مثل "الاستجابة للتهديدات"؛ من خلال ملحق مستعرض SecureX، يبحث سير العمل عن عنوان MAC هذا داخل قاعدة بيانات ISE من خلال واجهة برمجة التطبيقات (API)، إذا لم يكن MAC موجودا، تتم إضافة إمكانية الملاحظة إلى مجموعة هوية نقطة النهاية دون الحاجة إلى نسخ القيمة والوصول إلى ISE.

    ولإثبات ذلك، ألقوا نظرة على المثال التالي:

    1. يعمل سير العمل المحدد بنوع MAC Address القابل للملاحظة

    2. ابحث عن عنوان MAC على صفحة ويب وقم بالنقر بزر الماوس الأيمن.

    3. حدد خيار SecureX

    ncruzzav_2-1665690096804

    4. حدد سير العمل الذي تم إنشاؤه قبل

    ncruzzav_3-1665690274984

    5. تأكد من تنفيذ المهمة بنجاح

    ncruzzav_5-1665690361367

    6. على ISE PAN انتقل إلى الإدارة > إدارة الهوية > مجموعات > مجموعات هوية نقطة النهاية > (المجموعة التي تم تكوينها على سير العمل)

    7. افتح مجموعة هوية نقطة النهاية التي تم تكوينها على سير العمل وأكد أن تحديد عنوان MAC تمت إضافته إلى قائمة عناوين MAC تلك

    ncruzzav_7-1665690470412

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    17-Oct-2022
    الإصدار الأولي

    تمت المساهمة من قبل

    • Neri Cruz Zavaleta
      إخصائي نجاح العملاء

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات