ゲスト ポータル設定
ポータル ID 設定
これらの設定へのナビゲーション パスは、
です。-
ポータル名(Portal Name):このポータルにアクセスするための一意のポータル名を入力します。このポータル名を、その他のスポンサーやゲスト ポータルおよび非ゲスト ポータル(ブラックリスト、個人所有デバイス持ち込み(BYOD)、クライアント プロビジョニング、モバイル デバイス管理(MDM)、またはデバイスの各ポータル)に使用しないでください。
この名前は、許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、ポータルのリストで他のポータルの中から簡単に識別するために使用されます。
-
[説明(Description)]:任意項目です。
-
ポータル テスト URL(Portal test URL):[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。 ポータルをテストするために使用します。
リンクをクリックすると、このポータルの URL を表示する新しいブラウザ タブが開きます。これを有効にするには、ポリシー サービスを含むポリシー サービス ノード(PSN)をオンにする必要があります。ポリシー サービスがオンになっていない場合、PSN は管理者用ポータルのみを表示します。
(注)
テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。
-
言語ファイル(Language File):各ポータル タイプは、デフォルトで 15 種類の言語をサポートします。これらの言語は、個々のプロパティ ファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内にまとめてバンドルされています。 ポータルで使用する圧縮言語ファイルをエクスポートまたはインポートします。圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の言語ファイルがすべて含まれています。
言語ファイルには、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定(例:フランス語の場合は fr、fr-fr、fr-ca)へのマッピングが含まれています。1 つの言語ファイルには、翻訳およびローカリゼーションの目的に容易に使用できるように、サポートされるすべての言語が含まれています。
1 つの言語用のブラウザ ロケール設定を変更した場合、変更内容は他のすべてのエンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータルの French.properties ブラウザ ロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、この変更内容がデバイス ポータルにも適用されます。
[ポータルページのカスタマイズ(Portal Page Customizations)] タブでいずれかのポータル ページ テキストをカスタマイズすると、警告アイコンが表示されます。警告メッセージは、ポータルのカスタマイズ時に 1 つの言語で行った変更をすべてのサポート対象の言語プロパティ ファイルで更新するように注意を促します。ドロップダウン リストのオプションを使用して、手動で警告アイコンが表示されないようにします。また、警告アイコンは、更新された圧縮言語ファイルのインポート後に自動的に表示されなくなります。
ホットスポット ゲスト ポータルのポータル設定
このページへのナビゲーション パスは、
です。-
[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
-
スポンサー ポータルを例として使用した有効な組み合わせを次に示します。
-
スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A
-
スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B
-
スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B
-
-
無効な組み合わせには次が含まれます。
-
スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B
-
スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A
-
-
-
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
-
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
-
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
-
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
-
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
-
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
-
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
-
物理 NIC と対応するボンディングされた NIC の両方が設定されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスへ接続しようとします。これが成功しない場合、その PSN にボンド セットアップがなかったことが原因である可能性があるので、PSN は物理インターフェイスでポータルを開始しようとします。
-
-
-
[証明書グループ タグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。
-
エンドポイント ID グループ(Endpoint identity group):ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
-
__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days):Cisco ISE データベースから消去されるまでの、ユーザのデバイスの登録からの日数を変更します。消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。変更は、このエンドポイント ID グループ全体に適用されます。
その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。
-
表示言語
-
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
-
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
-
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
-
ホットスポット ゲスト ポータルの利用規定(AUP)ページ設定
このページへのナビゲーション パスは、
です。-
[AUP ページを含める(Include an AUP page)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。
-
[アクセス コードが必要(Require an access code)]:複数のゲストがネットワークへのアクセスを獲得ために使用する必要があるログイン クレデンシャルとして、アクセス コードを割り当てます。アクセス コードは、物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、またはロビー アンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。
個別のゲストにログイン クレデンシャルとして提供されるユーザ名とパスワードに加えて、このオプションを使用できます。
-
AUPの最後までのスクロールが必要(Require scrolling to end of AUP):ユーザが AUP を完全に読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。AUP がユーザに表示された場合に設定します。
ホットスポット ゲスト ポータルのフローを設定する場合、AUP アクセス コードはエンドポイント ID グループのデバイス登録によって異なります。つまり、[AUPの最後の受け入れとネットワークアクセス:EQUALSゲストフローの使用例(AUP Last Acceptance and Network Access: Use Case EQUALS Guest Flow)] フラグを使用することはできません。ユーザのセッションが接続時に NAD から削除されると、AUP ページが表示されますが、AUP アクセス コードを入力する必要はありません。
AUP アクセス コード ページは、MAC アドレスがホットスポット ポータルの設定に関連付けられたエンドポイント ID グループから削除された後にのみ表示されます。エンドポイントは、Cisco ISE の [コンテキストの可視性(Context Visibility)] ページを介してデータベースから手動で削除するか、エンドポイント消去機能を使用し、エンドポイント消去ポリシーを設定して消去します。
ホットスポット ポータルのポストアクセス バナー ページ設定
このページへのナビゲーション パスは、
です。この設定を使用して、ゲストにアクセス ステータスおよび必要に応じてその他の追加アクションを通知します。
フィールド | 使用上のガイドライン |
---|---|
アクセス後バナー ページを含める(Include a Post-Access Banner page) |
ゲストが正常に認証された後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
クレデンシャルを持つゲスト ポータルのポータル設定
このページへのナビゲーション パスは、
です。-
[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
-
スポンサー ポータルを例として使用した有効な組み合わせを次に示します。
-
スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A
-
スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B
-
スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B
-
-
無効な組み合わせには次が含まれます。
-
スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B
-
スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A
-
-
-
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
-
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
-
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
-
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
-
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
-
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
-
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
-
物理 NIC と対応するボンディングされた NIC の両方が設定されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスへ接続しようとします。これが成功しない場合、その PSN にボンド セットアップがなかったことが原因である可能性があるので、PSN は物理インターフェイスでポータルを開始しようとします。
-
-
-
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
-
認証方式(Authentication Method)IDソース順序(Identity source sequence):ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダー(IdP)を選択します。ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。
Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。
IdP を設定するには、
の順に選択します。ID ソース順序を設定するには、[管理(Administration)] > [IDの管理(Identity Management)] > [IDソース順序(Identity Source Sequences)] の順に選択します。
-
ゲストとしてこのポータルを使用する従業員のログイン オプションの継承元(Employees using this portal as guests inherit login options from):従業員がこのポータルにログオンしたときに割り当てられるゲスト タイプを選択します。従業員のエンドポイント データは、そのゲスト タイプで属性 [エンドポイント ID グループにデバイス情報を保存する(Store device information in endpoint identity group)] に設定されたエンドポイント ID グループに保存されます。関連付けられたゲスト タイプの他の属性は継承されません。
-
表示言語
-
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
-
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
-
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
-
クレデンシャルを持つゲスト ポータルのログイン ページ設定
このページへのナビゲーション パスは、
です。-
[アクセス コードが必要(Require an access code)]:複数のゲストがネットワークへのアクセスを獲得ために使用する必要があるログイン クレデンシャルとして、アクセス コードを割り当てます。アクセス コードは、物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、またはロビー アンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。
個別のゲストにログイン クレデンシャルとして提供されるユーザ名とパスワードに加えて、このオプションを使用できます。
-
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。
-
[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)]:[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間(スロットル率)を分単位で設定します。
-
[AUP を含める(Include an AUP)]:フローに利用規約ページを追加します。AUP をページに追加したり、別のページへのリンクを設定することができます。これを追加すると、右側のフローの画像が変わります。
-
[同意が必要(require acceptance)]:フローを続行する前に、ユーザが AUP に同意するように強制します。
-
-
[ゲストに自分自身のアカウントの作成を許可(Allow guests to create their own accounts)]:このポータルの [ログイン(Login)] ページで、ゲストが自身を登録するためのオプションが提供されます。このオプションが選択されていない場合は、スポンサーがゲスト アカウントを作成します。これを有効にすることで、このページのタブが有効になり、[アカウント登録ページの設定(Self-Registration Page Settings)] および [アカウント登録成功ページの設定(Self-Registration Success Page Settings)] を設定できます。
ゲストがこのオプションを選択した場合、自身のゲスト アカウントを作成するために必要な情報を入力できるアカウント登録フォームが示されます。
-
[ソーシャル ログインを許可(Allow Social Login)]:このポータルのユーザのログイン クレデンシャルを取得するためにソーシャル メディア サイトを使用します。このオプションをチェックすると、次の設定が表示されます。
-
[ソーシャル ログイン後に登録フォームを表示(Show registration form after social login)]:これにより、ユーザは Facebook によって提供される情報を変更できます。
-
[ゲストの承認が必要(Require guests to be approved)]:スポンサーがアカウントを承認する必要があることをユーザに通知し、ログイン用のクレデンシャルを送信します。
-
-
[ゲストにログイン後のパスワード変更を許可(Allow guests to change password after login)]:ゲストが正常に認証され、AUP に同意した後に、ゲストに必要に応じてパスワードを変更することを許可します。ゲストが自分のパスワードを変更した場合、スポンサーはゲストにログイン クレデンシャル情報を提供できません。スポンサーは、ゲストのパスワードをランダム パスワードにリセットすることだけが可能です。
-
[ログインに次の ID プロバイダ ゲスト ポータルの使用を許可(Allow the following identity-provider guest portal to be used for login)]:このオプションをオンにし、SAML Id ID プロバイダを選択すると、その SAML ID のリンクがこのポータルに追加されます。このサブ ポータルは、ユーザが証明書を提供している SAML IDP のように見えるように設定できます。
-
[ソーシャル ログインを許可(Allow social login)]:このポータルはすべて、ユーザ ログインにソーシャル メディア タイプを使用します。この項目を選択すると、設定したソーシャル メディア タイプをドロップダウンで選択できます。ソーシャル ログインの設定の詳細については、『』 の「アカウント登録ゲストのソーシャル ログイン」のセクションアカウント登録ゲストのソーシャル ログインを参照してください。
-
[ソーシャル ログイン後にゲスト フォームを表示(Show guest form after social login)]:このオプションを選択すると、ログオン画面がスキップされます。
-
アカウント登録ページの設定(Self-Registration Page Settings)
このページへのナビゲーション パスは、
です。これらの設定を使用して、ゲストが自身を登録し、提供する必要がある情報をアカウント登録フォームで指定できるようにします。-
[アカウント登録ゲストに割り当てるゲスト タイプ(Assign self-registered guests to guest type)]:このポータルを使用するすべてのアカウント登録ゲストに割り当てられるゲスト タイプを選択します。
-
[アカウントの有効期間(Account valid for)]:アカウントの有効期間を、日、時間、または分で指定します。この期間を超過した場合、管理者またはスポンサーがスポンサー ポータルでアカウント有効期間を延長した場合を除き、アカウントは失効します。
-
[アカウント登録に登録コードを必要とする(Require a registration code for self registration)]:アカウント登録ゲストがアカウント登録フォームを正常に送信するために入力する必要があるコードを割り当てます。部外者がシステムにアクセスすることを防ぐために、アクセス コードと同様に、登録コードはオフラインで提供されます。
-
[含めるフィールド(Fields to include)]:アカウント登録ページ上で、アカウント登録フォームに表示するフィールドのチェックボックスをオンにします。その後、ゲストがこのフォームを送信してゲスト アカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。アカウント登録ゲストから重要な情報を収集するために、[SMS サービス プロバイダー(SMS Service Provider)] および [訪問先担当者(Person being Visited)] フィールドを必須にすることができます。
-
[場所(Location)]:アカウント登録のゲストが定義済みリストを使用して登録時に選択できる場所を入力します。これにより、これらのゲストの有効なアクセス時間として自動的に関連するタイム ゾーンが割り当てられます。場所の名前は、選択時に混乱を回避するために具体的にする必要があります(たとえば、ボストン オフィス、500 Park Ave New York、シンガポールなど)
ゲスト アクセスを時間で制限する予定の場合は、その時間を設定するときにタイム ゾーンを使用します。アクセス時間が制御されたゲスト全員がサンノゼのタイム ゾーンにいる場合を除き、各自のロケールのタイム ゾーンを作成します。場所が 1 つだけである場合は、その場所がデフォルトの場所として自動的に割り当てられ、ポータルではこのフィールドがゲストに対して表示されません。また、[場所(Location)] は、[含めるフィールド(Fields to include)] のリスト内で無効になります。
-
[SMS サービス プロバイダー(SMS Service Provider)]:アカウント登録フォームに SMS プロバイダーを表示して、アカウント登録ゲストが自分の SMS プロバイダーを選択できるようにします。これで、会社の経費を最小化するために、ゲストの SMS サービスを使用して SMS 通知を送信できるようになります。ゲストが使用できる SMS プロバイダーを 1 つだけ選択した場合は、このフィールドはアカウント登録フォームに表示されません。
-
[訪問先担当者(Person being Visited)]:これはテキスト フィールドであるため、このフィールドを使用する場合には、ゲストに対し、このフィールドに入力する情報について説明してください。
-
[カスタム フィールド(Custom Fields)]:アカウント登録ゲストから追加のデータを収集するために作成したカスタム フィールドを選択します。その後、ゲストがアカウント登録フォームを送信してゲスト アカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。これらのフィールドは名前のアルファベット順に表示されます。これらのフィールドは、カスタム フィールドを追加するため、
で作成されます。 -
[AUP を含める(Include an AUP)]:会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。
-
[同意が必要(Require acceptance)]:ユーザが AUP を最後まで読んだことを確認します。これにより、アカウント登録ページの [同意する(Accept)] ボタンが設定されます。AUP が [ページ(as on page)] として設定されている場合、ユーザが AUP の終わりまでスクロールするまでは [同意する(Accept)] ボタンを無効にするように設定できます。
-
-
-
[次の電子メール アドレスを持つゲストのみを許可(Only allow guests with an email address from)]:アカウント登録ゲストが電子メール アドレスを作成するときに [電子メール アドレス(Email Address)] で使用できるドメイン(例:cisco.com)のホワイトリストを指定します。
このフィールドを空白のままにすると、[次の電子メール アドレスを持つゲストを許可しない(Do not allow guests with email address from)] にリストされているドメイン以外のすべての電子メール アドレスが有効になります。
-
[次の電子メール アドレスを持つゲストを許可しない(Do not allow guests with email address from)]:アカウント登録ゲストが電子メール アドレスを作成するときに [電子メール アドレス(Email Address)] に使用できないドメイン(例:czgtgj.com)のブラックリストを指定します。
-
[アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)]:このポータルを使用するアカウント登録ゲストは、ゲストのクレデンシャルを受信する前にスポンサーによる承認が必要であることを指定します。このオプションをクリックすると、スポンサーがアカウント登録ゲストを承認する方法に関する追加のオプションが表示されます。
-
[承認要求電子メール送信先(Email approval request to)]:次のいずれかを選択します。
-
[下に示すスポンサーの電子メールアドレス(sponsor email addresses listed below)]:承認者として指名されたスポンサーの 1 つ以上の電子メール アドレス、またはすべてのゲストの承認要求の送信先となるメール ソフトウェアを入力します。電子メール アドレスが無効な場合、承認は失敗します。
-
[訪問先担当者(person being visited)]:[スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication)] フィールドが表示され、[含めるフィールド(Fields to include)] の [必須(Required)] オプションが有効になります(以前は無効だった場合)。これらのフィールドはアカウント登録フォームに表示され、アカウント登録ゲストからこの情報を要求します。電子メール アドレスが無効な場合、承認は失敗します。
-
-
[承認/拒否のリンクの設定(Approve/Deny Link Settings)]:このセクションでは次の内容を設定できます。
-
[リンクの有効期間(Links are valid for)]:アカウント承認リンクの有効期間を設定できます。
-
[スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication )]:このセクションの設定でスポンサーによるアカウント承認用のクレデンシャルの入力が必須ではない場合にも、スポンサーにこの情報を入力させるには、このフィールドをオンにします。このフィールドは、[アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] が [訪問先担当者(person being visited)] に設定されている場合にだけ表示されます。
-
[承認権限を検証するためスポンサーがスポンサー ポータルと照合される(Sponsor is matched to a Sponsor Portal to verify approval privileges)]:[詳細 >(Details >)] をクリックして、スポンサーが有効なシステム ユーザであり、スポンサー グループのメンバーであり、そのスポンサー グループのメンバーにアカウント承認権限があることを確認するために検索されるポータルを選択します。各スポンサー ポータルには、スポンサーを識別するために使用される ID ソース シーケンスがあります。ポータルはリストされている順序で使用されます。リストの 1 番目のポータルは、スポンサー ポータルで使用されているスタイルとカスタマイズ内容を決定します。
-
-
-
[登録の送信後のゲストの誘導先(After registration submission, direct guest to)]:登録の正常完了後にアカウント登録ゲストを誘導する場所を選択します。
-
[アカウント登録成功(Self-Registration Success)] ページ:アカウント登録に成功したゲストを [アカウント登録成功(Self-Registration Success)] ページに誘導します。このページには、[アカウント登録成功ページ設定(Self Registration Success Page Settings)] で指定したフィールドとメッセージが表示されます。
すべての情報を表示することが望ましくない場合があります。システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があるためです。
[アカウント登録成功ページの設定(Self Registration Success Page Settings)] で [ゲストのアカウント登録成功ページからの直接ログインを許可する(Allow guests to log in directly from the Self-Registration Success page)] を有効にした場合、アカウント登録に成功したゲストはこのページから直接ログインすることができます。これが有効になっていない場合、ゲストは [アカウント登録成功(Self-Registration Success)] ページが表示された後にポータルのログイン ページに誘導されます。
-
[ログインクレデンシャルを取得する方法の手順を含むログインページ(Login page with instructions about how to obtain login credentials)]:アカウント登録に成功したゲストをポータルのログイン ページに再び誘導し、「ゲスト クレデンシャルが電子メール、SMS、または印刷物で提供されるのを待ってからログインに進んでください。」などのメッセージを表示します。
デフォルト メッセージをカスタマイズするには、[ポータル ページのカスタマイズ(Portal Page Customization)] タブをクリックして、[アカウント登録ページ設定(Self Registration Page Settings)] を選択します。
システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があります。
-
[URL]:アカウント登録に成功したゲストを、アカウント クレデンシャルの提供を待機している間に、指定された URL に誘導します。
システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があります。
-
-
[クレデンシャル通知自動送信手段(Send credential notification automatically using)]:
-
[電子メール(Email)]:アカウント登録に成功したゲストがログイン クレデンシャルを受信する手段のオプションとして電子メールを選択します。このオプションを選択した場合、[電子メール アドレス(Email address)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。
-
[SMS]:アカウント登録に成功したゲストがログイン クレデンシャルを受信する手段のオプションとして SMS を選択します。このオプションを選択した場合、[SMS サービス プロバイダー(SMS Service Provider)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。
-
アカウント登録成功ページの設定
このページへのナビゲーション パスは、
です。これらの設定を使用して、正常にアカウント登録したゲストに、ネットワークへのアクセスを獲得するために必要なクレデンシャルを通知します。フィールド | 使用上のガイドライン |
---|---|
アカウント登録の成功ページにこの情報を含める(Include this information on the Self-Registration Success page) |
[アカウント登録成功(Self-Registration Success)] ページで正常に登録されたゲストに表示されるフィールドのチェックボックスをオンにします。 スポンサーによるゲストの承認が必要ない場合は、[ユーザ名(Username)] と [パスワード(Password)] のチェックボックスをオンにして、ゲストにこれらのクレデンシャルを表示します。スポンサーの承認が必要な場合、クレデンシャルはゲストが承認された後にのみ提供されるため、これらのフィールドを無効にします。 |
ゲストは次の手段で情報を自分に送信できる(Allow guest to send information to self using) |
正常にアカウント登録したゲストが自分自身にクレデンシャル情報を送信するためのオプションのチェックボックスをオンにします。[印刷(Print)]、[電子メール(Email)]、または [SMS]。 |
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このフィールドは、[ページ上の AUP(AUP on page)] オプションを選択した場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
ゲストをアカウント登録の成功ページから直接ログインできるようにする(Allow guests to log in directly from the Self-Registration Success page) |
[アカウント登録の成功(Self-Registration Success)] ページ下部に [ログイン(Login)] ボタンを表示します。これにより、ゲストはログイン ページをバイパスし、自動的にログイン クレデンシャルをポータルに提供して、ポータル フローの次のページ(たとえば AUP ページ)を表示できるようになります。 |
クレデンシャルを持つゲスト ポータルの利用規定(AUP)ページ設定
このページへのナビゲーション パスは、
です。-
[AUP ページを含める(Include an AUP page)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。
-
[従業員に別の AUP を使用する(Use different AUP for employees)]:従業員専用に別の AUP およびネットワーク使用諸条件を表示します。このオプションを選択すると、[従業員用の AUP をスキップ(Skip AUP for employees)] は選択できません。
-
[従業員用の AUP をスキップ(Skip AUP for employees)]:従業員は、ネットワークにアクセスする前に AUP に同意する必要はありません。このオプションを選択すると、[従業員に別の AUP を使用する(Use different AUP for employees)] は選択できません。
-
[AUP の最後までのスクロールが必要(Require scrolling to end of AUP)]:[AUP をページに含める(Include an AUP on page)] を有効にした場合にのみ、このオプションが表示されます。
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。AUP がユーザに表示された場合に設定します。
-
[初回のログインのみ(On first login only)]:ユーザが初めてネットワークまたはポータルにログインしたときに AUP を表示します。
-
[ログインごと(On every login)]:ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。
-
[__ 日ごと(初回のログインから)(Every __ days (starting at first login))]:ネットワークやポータルにユーザが初めてログインした後は、AUP を定期的に表示します。
-
クレデンシャルを持つゲスト ポータルのゲストによるパスワード変更の設定
ゲストのパスワード変更設定(Guest Change Password Settings)
このページへのナビゲーション パスは、
です。-
[ゲストにログイン後のパスワード変更を許可(Allow guests to change password after login)]:ゲストが正常に認証され、AUP に同意した後に、ゲストに必要に応じてパスワードを変更することを許可します。ゲストが自分のパスワードを変更した場合、スポンサーはゲストにログイン クレデンシャル情報を提供できません。スポンサーは、ゲストのパスワードをランダム パスワードにリセットすることだけが可能です。
クレデンシャルを持つゲスト ポータルのゲスト デバイス登録の設定
ゲスト デバイス登録設定(Guest Device Registration Settings)
このページへのナビゲーション パスは、
です。これらの設定を使用して、ゲストがログインしたら Cisco ISE がゲストのデバイスを自動的に登録するようにするか、ゲストがログイン後に手動で自身のデバイスを登録することを許可できます。
各ゲスト タイプの最大デバイス数は、
で指定されます。- [ゲストのデバイスを自動登録(Automatically register guest devices)]:ゲストがこのポータルにアクセスするデバイスのエンドポイントを自動的に作成します。エンドポイントは、このポータルに指定されたエンドポイント ID グループに追加され、。
許可ルールの作成が可能になり、該当 ID グループ内のエンドポイントへのアクセスが許可されます。そのため、Web 認証は不要になります。
登録済みデバイスの最大数に到達すると、システムは自動的に最初の登録デバイスを削除し、ゲストがログインしようとしているデバイスを登録し、このことをゲストに通知します。
を選択し、ゲストが登録できるデバイスの最大数を変更します。 - [ゲストにデバイスの登録を許可(Allow guests to register devices)]:ゲストは、名前、説明、および MAC アドレスを入力して、自分のデバイスを手動で登録できます。MAC アドレスはエンドポイント ID グループに関連付けられます。
登録済みデバイスの最大数に到達した場合に別のデバイスを登録できるようにするには、ゲストは少なくとも 1 個のデバイスを削除する必要があります。
クレデンシャルを持つゲスト ポータルの BYOD 設定
このページへのナビゲーション パスは、
です。この設定を使用して、従業員などゲスト以外の個人所有デバイスの持ち込み(BYOD)機能を有効にし、クレデンシャルを持つゲスト ポータルを使用して企業ネットワークにアクセスできるようにします。
フィールド | 使用上のガイドライン |
---|---|
従業員がネットワークでパーソナル デバイスを使用することを許可する(Allow employees to use personal devices on the network) |
このポータルに [従業員の個人所有デバイス(BYOD)の登録(Employee Bring Your Own Device (BYOD) Registration)] ページを追加して、従業員がデバイス登録プロセスを実行できるようにして、場合によってはネイティブ サプリカントおよび証明書のプロビジョニングを実行できるようにします。これは、従業員のパーソナル デバイス タイプ(iOS、Android、RT またはモバイルを除く Windows、OSX など)のクライアント プロビジョニングの設定に応じて異なります。 |
エンドポイント ID グループ(Endpoint Identity Group) |
ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。 |
従業員にゲスト アクセスの選択のみを許可する(Allow employees to choose to get guest access only) |
従業員をゲスト ネットワークにアクセスさせて、企業ネットワークへのアクセスに必要になることがある追加のプロビジョニングおよび登録を避けます。 |
登録時にデバイス ID フィールドを表示する(Display Device ID field during registration) |
登録プロセス中に、デバイス ID をユーザに表示します。これは、デバイス ID が事前設定されており、BYOD ポータルを使用しているときに変更できない場合も含みます。 |
元の URL(Originating URL) |
ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。リダイレクトできない場合は、認証成功ページが表示されます。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。 Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワーク アクセスが許可されている)では、この URL にリダイレクトされます。 |
成功ページ(Success page) |
デバイスの登録が成功したことを示すページを表示します。 |
URL |
ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。 |
クレデンシャルを持つゲスト ポータルのポストログイン バナー ページ設定
このページへのナビゲーション パスは、
です。これらの設定を使用して、正常なログイン後にユーザ(状況に応じてゲスト、スポンサーまたは従業員)に追加情報を通知します。
フィールド | 使用上のガイドライン |
---|---|
ポストログイン バナー ページを含める(Include a Post-Login Banner page) |
ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
クレデンシャルを持つゲスト ポータルのゲスト デバイスのコンプライアンス設定
このページへのナビゲーション パスは、
です。これらの設定を使用して、ネットワークにアクセスするためにデバイスのクライアント プロビジョニングを実行するようゲストおよびゲスト ポータルを使用する従業員に要求します。- [ゲスト デバイス コンプライアンスが必要(Require guest device compliance)]:ゲストをポスチャ エージェントのダウンロードを要求する [クライアント プロビジョニング(Client Provisioning)] ページにリダイレクトします。これにより、ウイルス対策ソフトウェアのチェックなど、ゲストのポスチャ
ポリシーを設定するゲスト フローにクライアント プロビジョニングが追加されます。
ゲストが、ネットワークへのアクセスにクレデンシャルを持つゲスト ポータルを使用している従業員の場合:
-
[BYOD 設定(BYOD Settings)] で [従業員にネットワークでのパーソナル デバイスの使用を許可する(Allow employees to use personal devices on the network)] が有効になっている場合、従業員は BYOD フローにリダイレクトされ、クライアントのプロビジョニングは実行されません。
-
[BYOD 設定(BYOD Settings)] で [従業員にネットワークでのパーソナル デバイスの使用を許可する(Allow employees to use personal devices on the network)] および [従業員にゲスト アクセスの選択のみを許可する(Allow employees to choose to get guest access only)] が有効になっていて、従業員がゲスト アクセスを選択する場合、[クライアント プロビジョニング(Client Provisioning)] ページにルーティングされます。
-
ゲスト ポータルの VLAN DHCP リリース ページ設定
このページへのナビゲーション パスは、
です。-
[VLAN DHCPリリースを有効にする(Enable VLAN DHCP release)]:有線環境と無線環境の両方で VLAN が変更された後、Windows デバイスのゲストの IP アドレスを更新します。
これは、ネットワーク アクセスでゲスト VLAN が新しい VLAN に変更されたときに、最終的な許可処理時の中央 WebAuth(CWA)フローに影響します。ゲストの古い IP アドレスは VLAN の変更の前にリリースされる必要があり、ゲストが新しい VLAN に接続するときに新しいゲスト IP アドレスが DHCP を介して要求される必要があります。IP アドレスのリリースと更新操作は、DirectX コントロールを使用する Internet Explorer ブラウザのみでサポートされています。
VLAN DHCP リリース オプションは、モバイル デバイスでは動作しません。代わりに、ゲストが IP アドレスを手動でリセットする必要があります。この方法はデバイスによって異なります。たとえば、Apple iOS デバイスでは、ゲストは Wi-Fi ネットワークを選択して、[リースを更新(Renew Lease)] ボタンをクリックできます。
-
[リリースを__秒遅延(Delay to release __ seconds)]:リリース遅延時間を入力します。リリースは、アプレットをダウンロードした直後から、Cisco ISE サーバが CoA 要求を再認証するよう NAD に指示するまでの間に行う必要があるため、この時間は短くすることを推奨します。
-
[CoA を__秒遅延(Delay to CoA __ seconds)]:Cisco ISE が CoA の実行を遅延する時間を入力します。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、アプレットによるクライアント上での IP リリースのダウンロードと実行を可能にします。
-
[更新を__秒遅延(Delay to renew __ seconds)]:更新を遅延する値を入力します。この時間は IP リリース値に追加され、コントロールがダウンロードされるまで計時が開始されません。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、CoA の処理を可能にし、新しい VLAN アクセスが付与されるようにします。
ゲスト ポータルの認証成功の設定
これらの設定では、ユーザ(状況に応じてゲスト、スポンサーまたは従業員)に認証の成功が通知されるか、または URL が表示されます。[認証されたらゲストに次を表示:(Once authenticated, take guest to:)] で、次のフィールドを設定します。
-
元の URL(Originating URL):ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。リダイレクトできない場合は、認証成功ページが表示されます。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。
Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワーク アクセスが許可されている)では、この URL にリダイレクトされます。
-
認証の成功ページ(Authentication Success page):ユーザの認証に成功した通知。
-
URL:ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。
(注) |
認証後に外部 URL にゲストをリダイレクトする場合、URL アドレスを解決して、セッションがリダイレクトされるまでに遅延が生じることがあります。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。 |
ゲスト ポータルのサポート情報ページの設定
このページへのナビゲーション パスは、
です。これらの設定を使用して、ヘルプ デスクがユーザ(状況に応じてゲスト、スポンサーまたは従業員)が体験したアクセスの問題をトラブルシューティングするために使用できる情報を表示します。
フィールド | 使用上のガイドライン |
---|---|
サポート情報ページを含める(Include a Support Information Page) |
該当ポータルのすべての有効なページ上で、問い合わせ先などの情報へのリンクを表示します。 |
MAC アドレス |
[サポート情報(Support Information)] ページにデバイスの MAC アドレスを含めます。 |
IP アドレス |
[サポート情報(Support Information)] ページにデバイスの IP アドレスを含めます。 |
ブラウザのユーザ エージェント(Browser user agent) |
[サポート情報(Support Information)] ページに、要求の発信元のユーザ エージェントの製品名とバージョン、レイアウト エンジン、バージョンなど、ブラウザの詳細を含めます。 |
ポリシー サーバ(Policy server) |
[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシー サービス ノード(PSN)の IP アドレスを含めます。 |
障害コード(Failure code) |
可能な場合は、ログ メッセージ カタログ内の対応する番号を含めます。メッセージ カタログにアクセスしてこれを表示するには、 に移動します。 |
フィールドを隠す(Hide field) |
含める情報が存在しない場合、[サポート情報(Support Information)] ページ上の該当するフィールド ラベルを表示しません。たとえば、障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。 |
値のないラベルを表示(Display label with no value) |
含める情報が存在しない場合でも、選択されているすべてのフィールドのラベルを [サポート情報(Support Information)] ページに表示します。たとえば、障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。 |
デフォルト値でラベルを表示(Display label with default value) |
[サポート情報(Support Information)] ページ上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。たとえば、このフィールドに「Not Available」と入力した場合に障害コード不明が不明な場合は、[障害コード(Failure code)] に [使用できません(Not Available)] と表示されます。 |