これらの設定へのナビゲーション パスは、
です。HTTPS ポート(HTTPS Port):8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
使用可能インターフェイス(Allowed interfaces):ポータルを実行できる PSN インターフェイスを選択します。PSN で使用可能なインターフェイスを備えた PSN のみがポータルを作成できます。物理インターフェイスの任意の組み合わせを設定できます。これは PSN 全体の設定です。すべてのポータルはこれらのインターフェイスでのみ動作し、このインターフェイス設定はすべての PSN に適用されます。
異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
証明書グループ タグ(Certificate group tag):ポータルの HTTPS トラフィックに使用する証明書グループのグループ タグを選択します。
エンドポイント ID グループ(Endpoint identity group):ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days):Cisco ISE データベースから消去されるまでの、ユーザのデバイスの登録からの日数を変更します。消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。変更は、このエンドポイント ID グループ全体に適用されます。その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。
表示言語(Display Language):ポータルで使用する言語を指定します。ユーザのブラウザ ロケール設定を使用してブラウザ ロケールが使用できない場合には別の言語にフォールバックするか、またはポータルで常に 1 つの言語が使用されるように強制します。
フィールド | 使用上のガイドライン |
---|---|
AUP ページを含める(Include an AUP page) |
会社のネットワーク使用諸条件を、別のページでユーザに表示します。 |
アクセス コードが必要(Require an access code) |
複数のゲストがネットワークへのアクセスを獲得ために使用する必要があるログイン クレデンシャルとして、アクセス コードを割り当てます。アクセス コードは、物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、またはロビー アンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。 個別のゲストにログイン クレデンシャルとして提供されるユーザ名とパスワードに加えて、このオプションを使用できます。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
フィールド | 使用上のガイドライン |
---|---|
アクセス後バナー ページを含める(Include a Post-Access Banner page) |
ゲストが正常に認証された後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
これらの設定へのナビゲーション パスは、
です。HTTPS ポート(HTTPS port):8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。ISE にアップグレード済みで、この範囲外のポート値を使用した場合は、このページで変更するまで維持されます。このページを変更する場合、この制限に従うようにポート設定を変更する必要があります。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
使用可能インターフェイス(Allowed interfaces):このポータルが動作する PSN インターフェイスを選択します。PSN で使用可能なインターフェイスを備えた PSN のみがポータルを作成できます。物理およびボンディングされたインターフェイスの任意の組み合わせを設定できます。これは PSN 全体の設定です。すべてのポータルはこれらのインターフェイスでのみ動作し、このインターフェイス設定はすべての PSN に適用されます。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、VM ベースのものを含む(ポリシー サービスが稼働している場合)、ポータルを実行しているすべての PSN で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。インターフェイス IP がドメインと同じでなければ、インターフェイス IP を証明書内の FQDN にマップできるように、ISE CLI で ip host x.x.x.x yyy.domain.com を設定します。
証明書グループ タグ(Certificate group tag):ポータルの HTTPS トラフィックに使用する証明書グループのグループ タグを選択します。
認証方式(Authentication Method):ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダ(IdP)を選択します。 ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。
Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。
エンドポイント ID グループ(Endpoint Identity Group):ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
表示言語(Display Language):ポータルで使用する言語を指定します。ユーザのブラウザ ロケール設定を使用してブラウザ ロケールが使用できない場合には別の言語にフォールバックするか、またはポータルで常に 1 つの言語が使用されるように強制します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
フィールド | 使用上のガイドライン |
---|---|
アクセス コードが必要(Require an access code) |
複数のゲストがネットワークへのアクセスを獲得ために使用する必要があるログイン クレデンシャルとして、アクセス コードを割り当てます。アクセス コードは、物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、またはロビー アンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。 個別のゲストにログイン クレデンシャルとして提供されるユーザ名とパスワードに加えて、このオプションを使用できます。 |
頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting) |
Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。ログイン失敗がこの回数に達した後のログイン試行の間隔を [頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で指定できます。 |
頻度制限時のログイン試行間隔(Time between login attempts when rate limiting) |
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間を分単位で設定します。 |
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
ゲストに自分自身のアカウントの作成を許可(Allow guests to create their own accounts) |
ゲストが自身を登録できるようにこのポータルのログイン ページのオプションを提供します。このオプションが選択されていない場合は、スポンサーがゲスト アカウントを作成します。これを有効にすることで、このページのタブが有効になり、[アカウント登録ページの設定(Self-Registration Page Settings)] および [アカウント登録成功ページの設定(Self-Registration Success Page Settings)] を設定できます。 ゲストがこのオプションを選択した場合、自身のゲスト アカウントを作成するために必要な情報を入力できるアカウント登録フォームが示されます。 |
ゲストにログイン後のパスワード変更を許可(Allow guests to change password after login) |
ゲストが正常に認証され、AUP に同意した後に、ゲストに必要に応じてパスワードを変更することを許可します。 ゲストが自分のパスワードを変更した場合、スポンサーはゲストにログイン クレデンシャル情報を提供できません。スポンサーは、ゲストのパスワードをランダム パスワードにリセットすることだけが可能です。 |
フィールド | 使用上のガイドライン |
---|---|
アカウント登録したゲストをゲスト タイプに割り当てる(Assign self-registered guests to guest type) |
このポータルを使用してアカウント登録したすべてのゲストが割り当てられる必要があるゲストのタイプを選択します。 |
アカウントの有効期間(Account valid for) |
アカウントの有効期間を、日、時間、または分で指定します。この期間を超過した場合、管理者またはスポンサーがスポンサー ポータルでアカウント有効期間を延長した場合を除き、アカウントは失効します。 |
アカウント登録に登録コードを必要とする(Require a registration code for self registration) |
アカウント登録ゲストがアカウント登録フォームを正常に送信するために入力する必要があるコードを割り当てます。部外者がシステムにアクセスすることを防ぐために、アクセス コードと同様に、登録コードはオフラインで提供されます。 |
含めるフィールド/必須(Fields to include / Required) |
アカウント登録フォームに表示するフィールドのチェックボックスをオンにします。その後、ゲストがこのフォームを送信してゲスト アカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。アカウント登録ゲストから重要な情報を収集するために、[SMS サービス プロバイダー(SMS Service Provider)] および [訪問先担当者(Person being Visited)] フィールドを必須にすることができます。 |
ゲストは次の中から自分の時間帯を選択してタイム ゾーンを設定できる(Guests can choose from these locations to set their time zone) |
アカウント登録のゲストが定義済みリストを使用して登録時に選択できる場所を入力します。これにより、これらのゲストの有効なアクセス時間として自動的に関連するタイム ゾーンが割り当てられます。場所の名前は、選択時に混乱を回避するために具体的にする必要があります(たとえば、ボストン オフィス、500 Park Ave New York、シンガポールなど) 1 つの場所のみを指定した場合は、デフォルトの場所として自動的に割り当てられ、ポータルではゲストに表示されません。また、[場所(Location)] は、[含めるフィールド(Fields to include)] のリスト内で無効になります。 |
SMS サービス プロバイダー(SMS Service Provider) |
アカウント登録フォームに SMS プロバイダーを表示して、アカウント登録ゲストが自分の SMS プロバイダーを選択できるようにします。これで、会社の経費を最小化するために、ゲストの SMS サービスを使用して SMS 通知を送信できるようになります。 |
ゲストは、これらの SMS プロバイダーから選択できる(Guests can choose from these SMS providers) |
アカウント登録フォームに表示される SMS プロバイダーを選択します。 ゲストが使用できるデフォルトの SMS プロバイダーとして 1 つのみを選択した場合は、アカウント登録フォームに表示されません。 |
カスタム フィールド(Custom Fields) |
アカウント登録ゲストから収集する任意の追加情報を選択します。その後、ゲストがアカウント登録フォームを送信してゲスト アカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。これらのフィールドは名前のアルファベット順に表示されます。 |
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
次の電子メール アドレスを持つゲストのみを許可(Only allow guests with an email address from) |
アカウント登録ゲストが [電子メール アドレス(Email Address)] に入力してアカウント クレデンシャルを正常に受信できるホワイトリスト電子メール アドレス ドメインを指定します(例:cisco.com、example.com)。 この例では、ゲストが自分の電子メール アドレスとして myname@cisco.com と入力した場合、ゲストは通常のアカウント作成後にログイン クレデンシャルを受信します。しかし、ゲストが myname@hotmail.com(またはその他の cisco.com または example.com 以外のアドレス)を入力した場合、アカウントは作成されず、ゲストはクレデンシャルを取得しません。 このフィールドを空白にした場合は、[次の電子メール アドレスを持つゲストを許可しない(Do not allow guests with email address from)] にブラックリスト ドメインがリストされていない限り、すべてのドメインからの登録が可能になります。 |
次の電子メール アドレスを持つゲストを許可しない(Do not allow guests with email address from) |
アカウント登録ゲストが [電子メール アドレス(Email Address)] に入力してもアカウント クレデンシャルを正常に受信できないブラックリスト電子メール アドレス ドメインを指定します(例:cisco.com、example.com)。 この例では、ゲストが自分の電子メール アドレスとして myname@cisco.com と入力した場合、アカウントは作成されず、ゲストはログイン クレデンシャルを受信しません。 |
アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved) |
このポータルを使用するアカウント登録ゲストは、ゲストのクレデンシャルを受信する前にスポンサーによる承認が必要であることを指定します。 次に、このページの [登録の送信後のゲストの誘導先(After registration submission, direct guest to)] の下にある次のいずれかのオプションを指定します。 有効の場合、このページの [承認後のクレデンシャル送信手段(Send credential notification upon approval using)] 下で [電子メール(Email)] または [SMS] のいずれかまたは両方を有効にする必要があります。 |
承認要求電子メール送信先(Email approval request to) |
各オプションは次のとおりです。
これらの担当者は、アカウント登録ゲストが承認を要求していることが記載された電子メール通知を受信します。 |
アカウント登録の成功ページ(Self-Registration Success page) |
アカウント登録に成功したゲストを [アカウント登録成功(Self-Registration Success)] ページに誘導します。このページには、[アカウント登録成功ページの設定(Self Registration Success Page Settings)] で指定したメッセージとフィールドが表示されます。 すべての情報を表示することが望ましくない場合があります。システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があるためです。 [アカウント登録成功ページの設定(Self Registration Success Page Settings)] で [ゲストのアカウント登録成功ページからの直接ログインを許可する(Allow guests to log in directly from the Self-Registration Success page)] を有効にした場合、アカウント登録に成功したゲストはこのページから直接ログインすることができます。これが有効になっていない場合、ゲストは [アカウント登録成功(Self-Registration Success)] ページが表示された後にポータルのログイン ページに誘導されます。 |
ログイン クレデンシャルを取得する方法の手順を含むログイン ページ(Login page with instructions about how to obtain login credentials) |
アカウント登録に成功したゲストをポータルのログイン ページに再び誘導し、「ゲスト クレデンシャルが電子メール、SMS、または印刷物で提供されるのを待ってからログインに進んでください。」などのメッセージを表示します。 デフォルト メッセージをカスタマイズするには、[ポータル ページのカスタマイズ(Portal Page Customization)] タブをクリックして、[アカウント登録ページ設定(Self Registration Page Settings)] を選択します。 システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があります。 |
URL |
アカウント登録に成功したゲストを、アカウント クレデンシャルの提供を待機している間に、指定された URL に誘導します。 システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があります。 |
E メール |
アカウント登録に成功したゲストがログイン クレデンシャルを受信する手段のオプションとして電子メールを選択します。このオプションを選択した場合、[電子メール アドレス(Email address)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。 |
SMS |
アカウント登録に成功したゲストがログイン クレデンシャルを受信する手段のオプションとして SMS を選択します。このオプションを選択した場合、[SMS サービス プロバイダー(SMS Service Provider)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。 |
フィールド | 使用上のガイドライン |
---|---|
アカウント登録の成功ページにこの情報を含める(Include this information on the Self-Registration Success page) |
[アカウント登録成功(Self-Registration Success)] ページで正常に登録されたゲストに表示されるフィールドのチェックボックスをオンにします。 スポンサーによるゲストの承認が必要ない場合は、[ユーザ名(Username)] と [パスワード(Password)] のチェックボックスをオンにして、ゲストにこれらのクレデンシャルを表示します。スポンサーの承認が必要な場合、クレデンシャルはゲストが承認された後にのみ提供されるため、これらのフィールドを無効にします。 |
ゲストは次の手段で情報を自分に送信できる(Allow guest to send information to self using) |
正常にアカウント登録したゲストが自分自身にクレデンシャル情報を送信するためのオプションのチェックボックスをオンにします。[印刷(Print)]、[電子メール(Email)]、または [SMS]。 |
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このフィールドは、[ページ上の AUP(AUP on page)] オプションを選択した場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
ゲストをアカウント登録の成功ページから直接ログインできるようにする(Allow guests to log in directly from the Self-Registration Success page) |
[アカウント登録の成功(Self-Registration Success)] ページ下部に [ログイン(Login)] ボタンを表示します。これにより、ゲストはログイン ページをバイパスし、自動的にログイン クレデンシャルをポータルに提供して、ポータル フローの次のページ(たとえば AUP ページ)を表示できるようになります。 |
フィールド | 使用上のガイドライン |
---|---|
AUP ページを含める(Include an AUP page) |
会社のネットワーク使用諸条件を、別のページでユーザに表示します。 |
従業員に別の AUP を使用する(Use different AUP for employees) |
従業員専用に別の AUP およびネットワーク使用諸条件を表示します。このオプションを選択すると、[従業員用の AUP をスキップ(Skip AUP for employees)] は選択できません。 |
従業員用の AUP をスキップ(Skip AUP for employees) |
従業員は、ネットワークにアクセスする前に AUP に同意する必要はありません。このオプションを選択すると、[従業員に別の AUP を使用する(Use different AUP for employees)] は選択できません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
初回のログインのみ(On first login only) |
ユーザがネットワークまたはポータルに初めてログインしたときのみ、AUP を表示します。 |
ログインごと(On every login) |
ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。 |
__日ごと(初回のログインから)(Every __ days (starting at first login)) |
ユーザがネットワークまたはポータルに初めてログインした後に、定期的に AUP を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
初回のログイン時にパスワードの変更を要求(Require guest to change password at first login) |
ゲストの初回ログイン後に、ゲストにパスワードの変更を要求します。 ゲストがログインしてパスワードを変更した後に、ゲストが自分のログイン クレデンシャルを紛失した場合、スポンサーは、ゲストのパスワードをランダム パスワードにリセットすることのみ可能です。 ゲスト ポータルを使用している内部ユーザに、次回ログイン後にパスワードの変更を要求するには、 を選択します。[ネットワーク アクセス ユーザ(Network Access Users)] リストから特定の内部ユーザを選択し、パスワード変更のチェックボックスをオンにします。 |
フィールド | 使用上のガイドライン |
---|---|
ゲストのデバイスを自動登録(Automatically register guest devices) |
ゲストがこのポータルにアクセスするデバイスのエンドポイントを自動的に作成します。エンドポイントは、このポータルに指定されたエンドポイント ID グループに追加され、その ID グループの消去ポリシーが適用されます。 許可ルールの作成が可能になり、該当 ID グループ内のエンドポイントへのアクセスが許可されます。そのため、Web 認証は不要になります。 登録済みデバイスの最大数に到達すると、システムは自動的に最初の登録デバイスを削除し、ゲストがログインしようとしているデバイスを登録し、このことをゲストに通知します。ゲストが登録できるデバイスの最大数を変更するには、 を選択します。 |
ゲストにデバイスの登録を許可(Allow guests to register devices) |
ゲストは、名前、説明、および MAC アドレスを入力して、自分のデバイスを手動で登録できます。MAC アドレスはエンドポイント ID グループに関連付けられます。 登録済みデバイスの最大数に到達した場合に別のデバイスを登録できるようにするには、ゲストは少なくとも 1 個のデバイスを削除する必要があります。 |
フィールド | 使用上のガイドライン |
---|---|
従業員がネットワークでパーソナル デバイスを使用することを許可する(Allow employees to use personal devices on the network) |
このポータルに [従業員の個人所有デバイス(BYOD)の登録(Employee Bring Your Own Device (BYOD) Registration)] ページを追加して、従業員がデバイス登録プロセスを実行できるようにして、場合によってはネイティブ サプリカントおよび証明書のプロビジョニングを実行できるようにします。これは、従業員のパーソナル デバイス タイプ(iOS、Android、RT またはモバイルを除く Windows、OSX など)のクライアント プロビジョニングの設定に応じて異なります。 |
エンドポイント ID グループ(Endpoint Identity Group) |
ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。 |
__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days) |
ユーザ デバイスの登録後の日数を変更します。この日数が経過すると、デバイスは Cisco ISE データベースから消去されます。消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。変更は、このエンドポイント ID グループ全体に適用されます。 その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。 |
従業員にゲスト アクセスの選択のみを許可する(Allow employees to choose to get guest access only) |
従業員をゲスト ネットワークにアクセスさせて、企業ネットワークへのアクセスに必要になることがある追加のプロビジョニングおよび登録を避けます。 |
登録時にデバイス ID フィールドを表示する(Display Device ID field during registration) |
登録プロセス中に、デバイス ID をユーザに表示します。これは、デバイス ID が事前設定されており、BYOD ポータルを使用しているときに変更できない場合も含みます。 |
元の URL(Originating URL) |
ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。リダイレクトできない場合は、認証成功ページが表示されます。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。 Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワーク アクセスが許可されている)では、この URL にリダイレクトされます。 |
成功ページ(Success page) |
デバイスの登録が成功したことを示すページを表示します。 |
URL |
ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。 |
フィールド | 使用上のガイドライン |
---|---|
ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
ゲストを [クライアント プロビジョニング(Client Provisioning)] ページにルーティングし、最初にポスチャ エージェントをダウンロードするように要求します。これは、ウイルス保護ソフトウェアなどの確認のようなゲストのポスチャ ポリシーを有効にします。
|
フィールド | 使用上のガイドライン |
---|---|
VLAN DHCP リリースを有効にする(Enable VLAN DHCP release) |
ゲスト用の有線およびワイヤレス環境の両方で VLAN を変更した後に、Windows または Mac OS デバイスの IP アドレスをリフレッシュするために使用します。 これは、ネットワーク アクセスでゲスト VLAN が新しい VLAN に変更されたときに、最終的な許可処理時の中央 WebAuth(CWA)フローに影響します。ゲストの古い IP アドレスは VLAN の変更の前にリリースされる必要があり、新しいゲスト IP アドレスは VLAN アクセスが使用可能になったら DHCP を介して要求される必要があります。IP アドレスのリリースおよび更新操作は、使用しているブラウザおよびオペレーティング システムによって異なります。Internet Explorer は ActiveX コントロールを使用し、Firefox と Google Chrome は Java アプレットを使用します。Internet Explorer 以外のブラウザでは、ブラウザで Java をインストールして有効にする必要があります。 VLAN DHCP リリース オプションは、モバイル デバイスでは動作しません。代わりに、ゲストが IP アドレスを手動でリセットする必要があります。この方法はデバイスによって異なります。たとえば、Apple iOS デバイスでは、ゲストは Wi-Fi ネットワークを選択して、[リースを更新(Renew Lease)] ボタンをクリックできます。 |
リリースを__秒遅延(Delay to release __ seconds) |
リリースの遅延時間を入力します。リリースは、アプレットをダウンロードした直後から、Cisco ISE サーバが CoA 要求を再認証するよう NAD に指示するまでの間に行う必要があるため、この時間は短くする必要があります。 |
CoA を__秒遅延(Delay to CoA __ seconds) |
Cisco ISE が CoA の実行を遅延する時間を入力します。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、アプレットによるクライアント上での IP リリースのダウンロードと実行を可能にします。 |
更新を__秒遅延(Delay to renew __ seconds) |
更新の遅延値を入力します。この時間は IP リリース値に追加され、コントロールがダウンロードされるまで計時が開始されません。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、CoA の処理を可能にし、新しい VLAN アクセスが付与されるようにします。 |
これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサーまたは従業員)に認証の成功を通知するか、URL を表示します。[認証されたらゲストに次を表示:(Once authenticated, take guest to:)] で、次のフィールドを設定します。
元の URL(Originating URL):ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。リダイレクトできない場合は、認証成功ページが表示されます。
Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワーク アクセスが許可されている)では、この URL にリダイレクトされます。
認証の成功ページ(Authentication Success page):ユーザの認証に成功した通知。
URL:ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。
![]() (注) | 認証後に外部 URL にゲストをリダイレクトする場合、URL アドレスを解決して、セッションがリダイレクトされるまでに遅延が生じることがあります。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。 |
フィールド | 使用上のガイドライン |
---|---|
サポート情報ページを含める(Include a Support Information Page) |
該当ポータルのすべての有効なページ上で、問い合わせ先などの情報へのリンクを表示します。 |
MAC アドレス |
[サポート情報(Support Information)] ページにデバイスの MAC アドレスを含めます。 |
IP アドレス |
[サポート情報(Support Information)] ページにデバイスの IP アドレスを含めます。 |
ブラウザのユーザ エージェント(Browser user agent) |
[サポート情報(Support Information)] ページに、要求の発信元のユーザ エージェントの製品名とバージョン、レイアウト エンジン、バージョンなど、ブラウザの詳細を含めます。 |
ポリシー サーバ(Policy server) |
[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシー サービス ノード(PSN)の IP アドレスを含めます。 |
障害コード(Failure code) |
可能な場合は、ログ メッセージ カタログ内の対応する番号を含めます。メッセージ カタログにアクセスしてこれを表示するには、 に移動します。 |
フィールドを隠す(Hide field) |
含める情報が存在しない場合、[サポート情報(Support Information)] ページ上の該当するフィールド ラベルを表示しません。たとえば、障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。 |
値のないラベルを表示(Display label with no value) |
含める情報が存在しない場合でも、選択されているすべてのフィールドのラベルを [サポート情報(Support Information)] ページに表示します。たとえば、障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。 |
デフォルト値でラベルを表示(Display label with default value) |
[サポート情報(Support Information)] ページ上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。たとえば、このフィールドに「情報なし」と入力した場合に障害コード不明が不明な場合は、[障害コード(Failure code)] に「情報なし」と表示されます。 |
スポンサー ポータル アプリケーションの設定
フィールド | 使用上のガイドライン | ||
---|---|---|---|
ポータル名(Portal Name) |
このポータルにアクセスするための一意のポータル名を入力します。このポータル名を、その他のスポンサーやゲスト ポータルおよび非ゲスト ポータル(ブラックリスト、個人所有デバイス持ち込み(BYOD)、クライアント プロビジョニング、モバイル デバイス管理(MDM)、またはデバイスの各ポータル)に使用しないでください。 この名前は、許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、ポータルのリストで他のポータルの中から簡単に識別するために使用されます。 |
||
説明 |
これはオプションです。 |
||
ポータル テスト URL(Portal test URL) |
[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。ポータルをテストするために使用します。
|
||
言語ファイル(Language File) |
各ポータル タイプは、デフォルトで 15 種類の言語をサポートします。これらの言語は、個々のプロパティ ファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内にまとめてバンドルされています。ポータルで使用する圧縮言語ファイルをエクスポートまたはインポートします。圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の言語ファイルがすべて含まれています。 言語ファイルには、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定(例:フランス語の場合は fr、fr-fr、fr-ca)へのマッピングが含まれています。1 つの言語ファイルには、翻訳およびローカリゼーションの目的に容易に使用できるように、サポートされるすべての言語が含まれています。 1 つの言語用のブラウザ ロケール設定を変更した場合、変更内容は他のすべてのエンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータルの French.properties ブラウザ ロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、この変更内容がデバイス ポータルにも適用されます。 |
これらの設定を設定して、ポータルを特定し、すべてのポータル ページで使用する言語ファイルを選択します。
HTTPS ポート(HTTPS Port):8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
使用可能インターフェイス(Allowed interfaces):ポータルを実行できる PSN インターフェイスを選択します。PSN で使用可能なインターフェイスを備えた PSN のみがポータルを作成できます。物理インターフェイスの任意の組み合わせを設定できます。これは PSN 全体の設定です。すべてのポータルはこれらのインターフェイスでのみ動作し、このインターフェイス設定はすべての PSN に適用されます。
異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
証明書グループ タグ(Certificate group tag):ポータルの HTTPS トラフィックに使用する証明書グループのグループ タグを選択します。
認証方式(Authentication Method):ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダ(IdP)を選択します。ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。
Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。
ゲストとしてこのポータルを使用する従業員のログイン オプションの継承元(Employees using this portal as guests inherit login options from):従業員がこのポータルにログオンしたときに割り当てられるゲスト タイプを選択します。従業員のエンドポイント データは、そのゲスト タイプで属性 [エンドポイント ID グループにデバイス情報を保存する(Store device information in endpoint identity group)] に設定されたエンドポイント ID グループに保存されます。関連付けられたゲスト タイプの他の属性は継承されません。
表示言語(Display Language):ポータルで使用する言語を指定します。ユーザのブラウザ ロケール設定を使用してブラウザ ロケールが使用できない場合には別の言語にフォールバックするか、またはポータルで常に 1 つの言語が使用されるように強制します。
フィールド | 使用上のガイドライン |
---|---|
頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting) |
Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。ログイン失敗がこの回数に達した後のログイン試行の間隔を [頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で指定できます。 |
頻度制限時のログイン試行間隔(Time between login attempts when rate limiting) |
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間を分単位で設定します。 |
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このオプションは、[AUP をページに含める(Include an AUP on page)] が有効である場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
フィールド | 使用上のガイドライン |
---|---|
AUP ページを含める(Include an AUP page) |
会社のネットワーク使用諸条件を、別のページでユーザに表示します。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
初回のログインのみ(On first login only) |
ユーザがネットワークまたはポータルに初めてログインしたときのみ、AUP を表示します。 |
ログインごと(On every login) |
ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。 |
__日ごと(初回のログインから)(Every __ days (starting at first login)) |
ユーザがネットワークまたはポータルに初めてログインした後に、定期的に AUP を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
スポンサーは自身のパスワードを変更可能(Allow sponsors to change their own passwords) |
スポンサーは、スポンサー ポータルにログインした後、自身のパスワードを変更できます。このオプションは、スポンサーが内部ユーザ データベースの一部である場合にだけ、[パスワードの変更(Change Password)] ページを表示します。 |
フィールド | 使用上のガイドライン |
---|---|
ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
サポート情報ページを含める(Include a Support Information Page) |
該当ポータルのすべての有効なページ上で、問い合わせ先などの情報へのリンクを表示します。 |
MAC アドレス |
[サポート情報(Support Information)] ページにデバイスの MAC アドレスを含めます。 |
IP アドレス |
[サポート情報(Support Information)] ページにデバイスの IP アドレスを含めます。 |
ブラウザのユーザ エージェント(Browser user agent) |
[サポート情報(Support Information)] ページに、要求の発信元のユーザ エージェントの製品名とバージョン、レイアウト エンジン、バージョンなど、ブラウザの詳細を含めます。 |
ポリシー サーバ(Policy server) |
[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシー サービス ノード(PSN)の IP アドレスを含めます。 |
障害コード(Failure code) |
可能な場合は、ログ メッセージ カタログ内の対応する番号を含めます。メッセージ カタログにアクセスしてこれを表示するには、 に移動します。 |
フィールドを隠す(Hide field) |
含める情報が存在しない場合、[サポート情報(Support Information)] ページ上の該当するフィールド ラベルを表示しません。たとえば、障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。 |
値のないラベルを表示(Display label with no value) |
含める情報が存在しない場合でも、選択されているすべてのフィールドのラベルを [サポート情報(Support Information)] ページに表示します。たとえば、障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。 |
デフォルト値でラベルを表示(Display label with default value) |
[サポート情報(Support Information)] ページ上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。たとえば、このフィールドに「情報なし」と入力した場合に障害コード不明が不明な場合は、[障害コード(Failure code)] に「情報なし」と表示されます。 |
これらの設定へのナビゲーション パスは、
です。[ページのカスタマイズ(Page Customizations)] で、スポンサーがスポンサー ポータルからゲストに送信する通知に表示される、メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンのラベルをカスタマイズできます。
[設定(Settings)] では、スポンサーが電子メールまたは SMS を使用してゲストにユーザ名とパスワードを個別に送信できるかどうかを指定できます。また、ヘルプ デスクがアクセスの問題をトラブルシューティングするために使用できる情報を提供するために、スポンサーがゲストに [サポート情報(Support Information)] ページを表示できるかどうかを指定できます。
これらの設定へのナビゲーション パスは、
です。[ページのカスタマイズ(Page Customizations)] で、スポンサー ポータルの [管理と承認(Manage and Approve)] タブに表示される、メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンのラベルをカスタマイズできます。
これらには、アカウント(登録済みおよび保留)の概要および詳細ビュー、スポンサーがゲスト アカウントに対して実行する編集、拡張、一時停止などの操作に基づいて表示されるポップアップ ダイアログ、さらに汎用ポータルやアカウント アクション メッセージが含まれています。
グローバル設定(Global Settings)
を選択します。Cisco ISE 内のゲスト ポータル、スポンサー ポータル、ゲスト タイプ、およびスポンサー グループに適用される、次の一般設定を設定できます。
これらのグローバル設定を指定すると、特定のゲスト ポータルとスポンサー ポータル、ゲスト タイプおよびスポンサー グループの設定時にそれらを必要に応じて使用できます。
[ポータル設定(Portal settings)] ページには、次のタブがあります。
[ゲストアカウントの消去ポリシー(Guest Account Purge Policy)]:期限が切れたゲスト アカウントを消去する時期をスケジューリングします。詳細については、期限切れのゲスト アカウントを消去するスケジューリング設定を参照してください。
[カスタムフィールド(Custom Fields)]:ユーザから追加情報を取得するためにゲスト ポータルで使用するカスタム フィールドを追加します。詳細については、ゲスト アカウント作成用のカスタム フィールドの追加を参照してください。
[ゲスト電子メールの設定(Guest Email Settings)]:アカウントの変更をゲストに電子メール通知するかどうかを決定します。詳細については、電子メールでの通知用の電子メール アドレスおよび SMTP サーバの指定を参照してください。
[ゲストのロケーションおよびSSID(Guest Locations and SSIDs)]:ロケーションと、ゲストがそのロケーションで使用できるネットワークのサービス セット識別子(SSID)を設定します。詳細については、ゲストのロケーションおよび SSID の割り当てを参照してください。
[ゲストユーザ名ポリシー(Guest Username Policy)]:ゲスト ユーザ名の作成方法を設定します。詳細については、ゲスト ユーザ名ポリシーの設定 および ゲスト パスワード ポリシーのルール を参照してください。
[ゲストパスワードポリシー(Guest Password Policy)]:すべてのゲスト ポータルとスポンサー ポータルのゲスト パスワード ポリシーを定義します。詳細については、ゲスト パスワード ポリシーと有効期限の設定を参照してください。
[SMSゲートウェイ設定(SMS Gateway Settings)]:ゲストおよびスポンサーに SMS 通知を配信する SMS ゲートウェイを定義します。詳細については、ゲストに SMS 通知を送信するための SMS ゲートウェイの設定を参照してください。
フィールド | 使用上のガイドライン |
---|---|
ゲスト タイプ名(Guest type name) |
デフォルトのゲスト タイプおよび作成した別のタイプと区別できるこのゲスト タイプの名前を入力します(1 ~ 256 文字)。 |
説明 |
このゲスト タイプの推奨される使用方法に関する追加情報(最大 2000 文字)を入力します(「アカウント登録ゲストに使用」、「ゲスト アカウントの作成に使用禁止」など)。 |
言語ファイル(Language File) |
このゲスト タイプを使用してポータルに使用する言語ファイルをエクスポートまたはインポートします。 |
追加データの収集(Collect Additional Data) |
ゲストから追加の情報を収集するにはカスタム フィールドを選択します。 カスタム フィールドは、 で管理されます。 |
最大アカウント有効期間(Maximum account duration)アカウント有効期間の開始(AccountDuration Starts) |
[スポンサーが指定した日付から(From sponsor-specified date)] このゲスト タイプのゲストがネットワークにアクセスして接続を保持できる最大日数、時間数、または分数を入力します。 この設定を変更した場合、変更内容はこのゲスト タイプを使用して作成された既存のゲスト アカウントには適用されません。 値の範囲は 1 ~ 999 です。 |
これらの曜日および時間のみアクセスを許可(Allow access only on these days and times) |
時間範囲を入力し、曜日を選択して、このゲスト タイプがいつネットワークにアクセスできるかを指定します。このゲスト タイプがこれらの時間パラメータを超えて接続を維持している場合、ログオフされます。時間範囲は、このゲスト タイプを使用してゲストに割り当てられた場所で定義されたタイム ゾーンに基づきます。 + および - をクリックして、アクセス時間制限を増減します。 |
最大同時ログイン数(Maximum simultaneous logins) |
このゲスト タイプが同時に実行できる最大ユーザ セッション数を入力します。 |
ゲストが制限を超えた場合(When guest exceeds limit) |
[最大同時ログイン数(Maximum simultaneous logins)] を選択した場合は、その制限に到達した後にユーザが接続したときに実行するアクションも選択する必要があります。 ゲストが制限を超えた場合 |
ゲストが登録可能な最大デバイス数(Maximum devices guests can register) |
各ゲストに登録できるデバイスの最大数を入力します。そのゲスト タイプのゲストに登録済みの値より小さい値を最大数として設定できます。この値は、新しく作成されたゲスト アカウントにのみ適用されます。 |
エンドポイント ID グループにデバイス情報を保存する(Store device information in endpoint identity group) |
ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。 |
作成から__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days old) |
ユーザ デバイスの登録後の日数を変更します。この日数が経過すると、デバイスは Cisco ISE データベースから消去されます。消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。変更は、このエンドポイント ID グループ全体に適用されます。 その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。 |
ゲストにゲスト ポータルのバイパスを許可する(Allow guest to bypass the Guest portal) |
クレデンシャルを持つゲストのキャプティブ ポータル(Web 認証ページ)をバイパスし、有線およびワイヤレス(dot1x)サプリカントまたは VPN クライアントに認証情報を提供することでネットワークにアクセスすることをユーザに許可します。ゲスト アカウントは、[初期ログインを待機(Awaiting Initial Login)] 状態と AUP ページをバイパスして [アクティブ(Active)] 状態になります。 この設定を有効にしない場合、ユーザは初めにクレデンシャルを持つゲストのキャプティブ ポータルを使用してログインしないと、ネットワークの他の部分にアクセスできません。 |
アカウント期限切れの__日前にアカウント期限切れ通知を送信する(Send account expiration notification __ days before account expires) |
ゲストのアカウントが期限切れになる前にゲストに通知を送信します。期限切れの何日前、何時間前、または何分前に通知するかを指定します。 |
メッセージの表示言語(View messages in) |
電子メールまたは SMS 通知の表示言語を指定します。 |
E メール |
アカウントの失効通知に使用する手段としてメールを選択します。 |
次のカスタマイズを使用(Use customization from) |
別のポータルから電子メールのカスタマイズを選択します。 |
メッセージ |
アカウントの有効期限通知に使用するテキストを入力します。 |
テキストのコピー元(Copy text from) |
アカウントの期限切れ通知のために別のゲスト タイプ用に作成した電子メール テキストを再利用します。 |
テスト電子メールの送信先(Send test email to me at) |
自分の電子メール アドレスに送信することによって、電子メール通知が意図したとおりに表示されることを確認します。 |
SMS |
アカウントの失効通知に使用する手段としてテキスト(SMS)を選択します。 |
メッセージ |
アカウントの有効期限通知に使用するテキストを入力します。 |
テキストのコピー元(Copy text from) |
別のゲスト タイプ用に作成したテキスト メッセージを再使用します。 |
テスト SMS の送信先(Send test SMS to me at) |
自分の携帯電話に送信することによって、テキスト通知が意図したとおりに表示されることを確認します。 |
これらのスポンサー グループはこのゲスト タイプを作成できる(These sponsor groups can create this guest type) |
このゲスト タイプでゲスト アカウントを作成できるスポンサー グループを選択します。 このゲスト タイプの使用を無効にする場合は、いずれのスポンサー グループにも割り当てないでください。このゲスト タイプの使用を中止するには、リストされたスポンサー グループを削除します。 |
これらの設定のナビゲーション パスは、
です。スポンサー グループにメンバーを追加したり、ゲスト タイプおよびロケーション特権を定義したり、ゲスト アカウントの作成と管理に関連する権限を設定したりする場合に、これらの設定を使用します。スポンサー グループの無効化(Disable Sponsor Group)
:このスポンサー グループのメンバーがスポンサー ポータルにアクセスできないようにします。たとえば、管理者ポータルで設定を変更している間、スポンサーが一時的にスポンサー ポータルにログインできないようにします。あるいは、再びアクティブ化する必要があるまで、年次会議のスポンサーシップ ゲストなど、頻繁には発生しないアクティビティに関するスポンサー グループを無効にします。
スポンサー グループ名(Sponsor group name):一意の名前を入力します(1 ~ 256 文字)。
説明
:このスポンサー グループで使用されるゲスト タイプなどの有益な情報を入力します(最大 2000 文字)。メンバー(Members):[スポンサー グループ メンバーの選択(Select Sponsor Group Members)] ボックスを表示する場合にクリックします。ここでは、使用可能なユーザ ID グループを(内部および外部の ID ストアから)選択し、このスポンサー グループのメンバーとして追加できます。
スポンサー グループ メンバー(Sponsor Group Members):選択したスポンサー グループのリストを検索およびフィルタリングし、含めないグループを削除します。
このスポンサー グループはこれらのゲスト タイプを使用してアカウントを作成可能(This sponsor group can create accounts using these guest types):このスポンサー グループのメンバーがゲスト アカウントの作成時に使用できるゲスト タイプを指定します。有効にするスポンサー グループには、使用できる少なくとも 1 つのゲスト タイプが設定されている必要があります。
このスポンサー グループに 1 つのゲスト タイプのみを割り当てる場合、それが使用可能な唯一の有効なゲストであるため、スポンサー ポータルに表示しないことを選択できます。 をオンにします。
の順に選択します。このオプションを有効にするには、[スポンサーで 1 つのみ使用できる場合はゲスト タイプを非表示(Hide guest type if only one is available to sponsor)]ゲスト タイプの設定(Configure Guest Types)
:必要とするゲスト タイプが使用可能でない場合は、 の順にクリックし、新しいゲスト タイプを作成するか、または既存のゲスト タイプを編集します。ゲストがアクセスするロケーションを選択(Select the locations that guests will be visiting):このグループのスポンサーがアカウントの作成時にゲストに割り当てることができるさまざまなロケーションを選択します。このことは、これらのゲスト アカウントの有効な時間帯を定義し、有効なアクセス時間などゲストに適用するすべての時間パラメータを指定する場合に役立ちます。このことによって、ゲストが他のロケーションからネットワークに接続できなくなることはありません。
有効にするスポンサー グループには、使用できる少なくとも 1 つのロケーションが設定されている必要があります。
このスポンサー グループに 1 つのロケーションのみを割り当てると、それが、メンバーが作成するゲスト アカウントの唯一の有効な時間帯になります。デフォルトでは、スポンサー ポータルに表示されません。
特定のゲストに割り当てられた複数のゲスト アカウント(インポート)(Multiple guest accounts assigned to specific guests (Import)):スポンサーは、ファイルから姓名などのゲストの詳細をインポートすることによって、複数のゲスト アカウントを作成できます。
このオプションが有効である場合、[インポート(Import)] ボタンがスポンサー ポータルの [アカウントの作成(Create Accounts)] ページに表示されます。[インポート(Import)] オプションは、Internet Explorer、Firefox、Safari などのデスクトップ ブラウザだけで使用可能です(モバイルは不可)
バッチ処理の制限(Limit to batch of):このスポンサー グループが複数のアカウントを同時に作成できる場合、単一のインポート操作で作成可能なゲスト アカウントの数を指定します。
スポンサーは最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、作成するアカウントの数を制限することを推奨します。
ゲストへの複数のゲスト アカウントの割り当て(ランダム)(Multiple guest accounts to be assigned to any guests (Random)):スポンサーが、未知のゲストのプレースホルダとして、または複数のアカウントをすばやく作成する必要がある場合に複数のランダム ゲスト アカウントを作成できるようにします。
このオプションが有効である場合、[ランダム(Random)] ボタンがスポンサー ポータルの [アカウントの作成(Create Accounts)] ページに表示されます。
デフォルト ユーザ名プレフィックス(Default username prefix):スポンサーが複数のランダムなゲスト アカウントを作成する場合に使用できるユーザ名プレフィクスを指定します。指定した場合、このプレフィクスはランダムなゲスト アカウントを作成するときにスポンサー ポータルに表示されます。また、[スポンサーにユーザ名プレフィクスの指定を許可(Allow sponsor to specify a username prefix)] の設定により、次のようになります。
ユーザ名プレフィクスを指定しないか、またはスポンサーにユーザ名プレフィクスの指定を許可しない場合、スポンサーはスポンサー ポータルでユーザ名プレフィクスを割り当てることができません。
スポンサーにユーザ名プレフィクスの指定を許可(Allow sponsor to specify a username prefix):このスポンサー グループが複数のアカウントを同時に作成できる場合、単一のインポート操作で作成可能なゲスト アカウントの数を指定します。
スポンサーは最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、作成するアカウントの数を制限することを推奨します。
開始日を__日後より遅くすることはできない(Start date can be no more than __ days into the future):有効にして日数を指定すると、作成した複数のゲスト アカウントの開始日をこの日数以内に設定する必要があります。
スポンサーが作成したアカウントのみ(Only accounts sponsor has created):このグループのスポンサーは、スポンサーの電子メール アカウントに基づいて、スポンサーが作成したゲスト アカウントのみを表示および管理できます。
このスポンサー グループのメンバーによって作成されたアカウント(Accounts created by members of this sponsor group):このグループのスポンサーは、このスポンサー グループ内のスポンサーが作成したゲスト アカウントを表示および管理できます。
すべてのゲスト アカウント(All guest accounts):スポンサーはすべての保留中のゲスト アカウントを表示および管理できます。
![]() (注) | [アカウント登録ゲストからの要求の承認および表示(Approve and view requests from self-registering guests)] にマークを付けて、[スポンサーが可能(Sponsor Can)] の下で [このスポンサーに割り当てられた保留中のアカウントのみ(Only pending accounts assigned to this sponsor)] オプションを使用していない限り、グループ メンバーシップに関わらず、すべてのスポンサーがすべての保留中のアカウントを表示できます。 |
ゲストのパスワードの表示(View guests’ passwords):スポンサーは、自分が管理できるゲスト アカウントについて、そのパスワードを表示できます。
ゲストがパスワードを変更した場合、スポンサーは Cisco ISE によって生成されたランダムなパスワードにリセットしない限り、そのパスワードを表示できません。
![]() (注) | このオプションがスポンサー グループで無効になっている場合、そのグループのメンバーは、管理しているゲスト アカウントのログイン クレデンシャル(ゲスト パスワード)に関する電子メールおよび SMS 通知を送信できません。 |
ゲスト アカウント パスワードのリセット(Reset guest account passwords):スポンサーは、自分が管理できるゲスト アカウントについて、そのパスワードを Cisco ISE によって生成されたランダムなパスワードにリセットできます。
ゲストのアカウントの延長(Extend guests’ accounts):スポンサーは、自分が管理できるゲスト アカウントについて、その有効期限を延長できます。スポンサーは、アカウントの有効期限に関してゲストに送信される電子メール通知に自動的にコピーされます。
ゲストのクレデンシャルを含む SMS 通知の送信(Send SMS notifications with guests’ credentials):スポンサーは、自分が管理できるゲスト アカウントについて、アカウントの詳細とログイン クレデンシャルとともにゲストに SMS(テキスト)通知を送信できます。
ゲストのアカウントの削除(Delete guests’ accounts):スポンサーは、自分が管理できるゲスト アカウントについて、アカウントを削除し、ゲストが企業のネットワークにアクセスすることを防ぐことができます。
ゲストのアカウントの一時停止(Suspend guests’ accounts):スポンサーは、自分が管理できるゲスト アカウントについて、アカウントを一時停止してゲストが一時的にログインすることを防ぐことができます。
また、このアクションは、許可変更(CoA)終了を発行して、一時停止されていたゲストをネットワークから排除できます。
スポンサーに理由の入力を求める(Require sponsor to provide a reason):ゲスト アカウントの一時停止に対する説明の入力をスポンサーに求めます。
一時停止されたゲスト アカウントの復元(Reinstate suspended guest accounts):スポンサーは、自分が管理できるゲスト アカウントについて、一時停止されたアカウントを復元できます。
アカウント登録ゲストからの要求の承認(Approve requests from self-registering guests):スポンサーは、自分が管理できるゲスト アカウントについて、承認を要求する電子メールを受信したときにアカウント登録ゲストを承認できます。
プログラムによるインターフェイス(Guest REST API)を使用した Cisco ISE ゲスト アカウントへのアクセス(Access Cisco ISE guest accounts using the programmatic interface (Guest REST API)):スポンサーは、自分が管理できるゲスト アカウントについて、Guest REST API プログラミング インターフェイスを使用してゲスト アカウントにアクセスできます。