この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco ISE はネットワーク リソースへのセキュアなアクセスを提供するセキュリティ ポリシー管理プラットフォームです。Cisco ISE はポリシー デシジョン ポイントとして動作し、企業におけるコンプライアンスの遵守、インフラストラクチャのセキュリティの向上、およびサービス オペレーションの合理化を可能にします。企業は、Cisco ISE を使用して、ネットワーク、ユーザ、およびデバイスから状況情報をリアルタイムで収集できます。その後、管理者はその情報を使用して、積極的に管理上の決定を下すことができます。これを行うには、ID をアクセス スイッチ、ワイヤレス LAN コントローラ(WLC)、バーチャル プライベート ネットワーク(VPN)ゲートウェイ、データセンター スイッチなどのさまざまなネットワーク要素に結び付けます。Cisco ISE は、Cisco TrustSec ソリューションのポリシー マネージャとして機能し、TrustSec ソフトウェアによって定義されたセグメンテーションをサポートします。
ISE コミュニティに参加して、リソースを参照し、質問を投稿し、ディスカッションに参加しましょう。ISE 製品マニュアル、ISE の概要、YouTube ビデオ、機能と統合のデモ、トレーニング リソースを参照してください。
|
Cisco ISE は、既存の Cisco ポリシー プラットフォームで使用できる機能のスーパーセットを組み込む、統合されたポリシーベースのアクセス制御システムです。Cisco ISE では次の機能が実行されます。
Cisco ISE 管理者、認可されたスポンサー管理者、またはその両方向けの、包括的なゲスト アクセス管理を提供します。
包括的なクライアント プロビジョニングの方法を提供し、802.1X 環境など、ネットワークにアクセスするすべてのエンドポイントのデバイス ポスチャを評価することによって、エンドポイントのコンプライアンスを強化します。
ネットワーク上のエンドポイント デバイスの検出、プロファイリング、ポリシーベースの配置、モニタリングのサポートを提供します。
セキュリティ グループ タグ(SGT)およびセキュリティ グループ アクセス コントロール リスト(SGACL)を使用した TrustSec などの高度な適用機能を利用します。
ワーク センターを介して TACACS 対応デバイスの管理を容易にします。[ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。ただし、[ユーザ(Users)]、[ユーザIDグループ(User Identity Groups)]、[ネットワークデバイス(Network Devices)]、[デフォルトのネットワークデバイス(Default Network Devices)]、[ネットワークデバイスグループ(Network Device Groups)]、[認証(Authentication)] および [許可条件(Authorization Conditions)] などのページは、他のメニュー オプションと共有されます。
Cisco ISE ソリューションでは、次の領域で、コンテキストに対応した ID 管理が提供されます。
Cisco ISE は、許可され、ポリシーに準拠したデバイスからユーザがネットワークにアクセスしているかどうかを確認します。
Cisco ISE は、コンプライアンスとレポーティングに使用できる、ユーザの ID、ロケーション、およびアクセス履歴を確認します。
Cisco ISE は、割り当て済みのユーザ ロール、グループ、関連付けられたポリシー(ジョブ ロール、ロケーション、デバイス タイプなど)に基づいてサービスを割り当てます。
Cisco ISE は、認証結果に基づいて、ネットワークの特定のセグメントへのアクセスと、特定のアプリケーションおよびサービスへのアクセスのいずれかまたは両方を、認証されたユーザに許可します。
Cisco ISE は企業インフラストラクチャ全体に展開することが可能で、802.1X 有線、無線、およびバーチャル プライベート ネットワーク(VPN)がサポートされます。
Cisco ISE アーキテクチャでは、1 台のマシンがプライマリ ロール、もう 1 台の「バックアップ」マシンがセカンダリ ロールとなる環境において、スタンドアロン展開と分散(別名「ハイアベイラビリティ」または「冗長」)展開の両方がサポートされます。Cisco ISE は、個別の設定可能なペルソナ、サービス、およびロールを特徴としており、これらを使用して、Cisco ISE サービスを作成し、ネットワーク内の必要な箇所に適用できます。これにより、フル機能を備え統合されたシステムとして動作する包括的な Cisco ISE 展開が実現します。
Cisco ISE ノードは、1 つ以上の管理ペルソナ、モニタリング ペルソナ、およびポリシー サービス ペルソナとして展開できます。各ペルソナは、ネットワーク ポリシー管理トポロジ内の異なる部分で重要な役割を担います。Cisco ISE を管理ペルソナとしてインストールすると、集中型ポータルからネットワークを設定および管理することによって、効率と使いやすさを向上させることができます。
Cisco ISE 2.0 は、次のハードウェア プラットフォームをサポートしています。
ハードウェアの仕様については、『Cisco Identity Services Engine Data Sheet』の表 3 を参照してください。
Cisco ISE のユーザ認証ポリシーを使用すると、パスワード認証プロトコル(PAP)、チャレンジ ハンドシェイク認証プロトコル(CHAP)、保護拡張認証プロトコル(PEAP)、拡張認証プロトコル(EAP)などのさまざまな標準認証プロトコルを使用して、多くのユーザ ログイン セッション タイプに対応した認証を提供できます。Cisco ISE では、ユーザが認証を試みるネットワーク デバイスで使用できるプロトコル、およびユーザ認証の検証元となる ID ソースが指定されます。
Cisco ISE では、許可ポリシーの範囲内で広範な可変要素が許可されるため、許可されたユーザのみが、ネットワークにアクセスしたときに目的のリソースにアクセスできます。Cisco ISE の最初のリリースでは、RADIUS によって管理された、内部ネットワークとそのリソースへのアクセスのみがサポートされます。
最も基本的なレベルにおいて、Cisco ISE では、802.1X、MAC 認証バイパス(MAB)、およびブラウザベースの Web 認証ログインが、有線ネットワークと無線ネットワークの両方を介した基本的なユーザ認証およびアクセスに対してサポートされます。認証要求を受信すると、認証ポリシーの「外側部分」を使用して、要求の処理に使用できる一連のプロトコルが選択されます。その後、認証ポリシーの「内側部分」を使用して、要求の認証に使用する ID ソースが選択されます。ID ソースは、特定の ID ストア、またはユーザが最終的な許可応答を受信するまでアクセス可能な一連の ID を一覧表示する ID ストア順序で構成できます。
認証が成功すると、セッション フローは許可ポリシーに進みます。(認証が成功しなかった場合でも Cisco ISE に許可ポリシーの処理を許可するオプションも提供されます)。Cisco ISE を使用すると、「認証失敗」、「ユーザが見つからない」、および「プロセスの失敗」に対する動作を設定できます。また、要求を拒否またはドロップ(応答は発行されません)するか、許可ポリシーに進むかを判断することもできます。Cisco ISE が許可の実行に進む場合、「NetworkAccess」ディクショナリの「AuthenicationStaus」属性を使用して、認証結果を許可ポリシーの一部として組み込むことができます。
許可ポリシーの結果として、Cisco ISE によって割り当てられる許可プロファイルには、ネットワーク ポリシー適用デバイス上のトラフィック管理を指定する、ダウンロード可能な ACL が含まれる場合があります。このダウンロード可能な ACL では、認証中に返される RADIUS 属性が指定され、この属性により、Cisco ISE で認証されると付与されるユーザ アクセス権限が定義されます。
(注) | Cisco ISE は、着信アカウンティング パケットの認証セッションを識別しながら、次の順序で属性を処理します。 |
ネットワーク アクセス ポリシーは、[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] からアクセスできる [ポリシー セット(Policy Sets)] にまとめて統合されます。各ポリシー セットは、ポリシー階層の最上位レベルで定義されたコンテナであり、その下にそのセットのすべての関連する認証および許可ポリシーおよびポリシー例外ルールが設定されます。条件に基づいて、認証と許可の両方に複数のルールを定義できます。条件と追加の関連設定は、[ポリシー セット(Policy Set)] インターフェイスから簡単にアクセスして直接再利用することもできます。
Cisco ISE では、連邦情報処理標準(FIPS)140-2 共通基準 EAL2 へのコンプライアンスがサポートされます。FIPS 140-2 は暗号モジュールとして使用されている米国政府のコンピュータ セキュリティ標準です。Cisco ISE は、FIPS 140-2 実装ガイダンスのセクション G.5 ガイドラインに従って認可済みの C3M および Cisco ACS NSS モジュールを使用した組み込み FIPS 140-2 実装を使用しています。
また、FIPS 標準では、特定のアルゴリズムの使用が制限されます。この標準を適用するには、Cisco ISE で FIPS の動作を有効にする必要があります。Cisco ISE では、RADIUS 共有秘密およびキー管理手法を経由した FIPS 140-2 へのコンプライアンスが有効になり、証明書の SHA-256 暗号化および復号化機能が提供されます。FIPS モードでは、非 FIPS 準拠のアルゴリズムを使用した機能の試行がすべて失敗するほか、このような特定の認証機能が無効になります。
ISE にインストールされている証明書で使用されている暗号化方式が FIPS でサポートされていない場合には、証明書を再発行する必要があります。Cisco ISE で FIPS モードを有効にすると、次の機能が影響を受けます。
Lightweight Directory Access Protocol(LDAP)over Secure Sockets Layer(SSL)
Cisco ISE は、Common Access Card(CAC)認証デバイスを使用して自身を認証する米国政府ユーザをサポートします。CAC とは、内蔵の電子チップに X.509 クライアント証明書が記録された身分証明バッジであり、この証明書によって、米国国防総省(DoD)などの特定の 1 人の職員が識別されます。CAC によるアクセスには、カードを挿入し PIN を入力するカード リーダーが必要です。カードからの証明書が Windows の証明書ストアに転送されます。Windows の証明書ストアは、Cisco ISE などのローカル ブラウザで実行されているアプリケーションで使用可能です。
CAC カードを使用して認証を行うことの利点は、次のとおりです。
Cisco ISE は、管理者ポータルへのログインのみをサポートします。次のアクセス方法では、CAC 認証はサポートされません。
Cisco ISE を使用すると、適用されたネットワーク セキュリティ対策の適切さと効果を維持するために、保護されたネットワークにアクセスする任意のクライアント マシンに対してセキュリティ機能を検証し、そのメンテナンスを行うことができます。Cisco ISE 管理者は、クライアント マシンで最新のセキュリティ設定またはアプリケーションを使用できるよう設計されたポスチャ ポリシーを使用することによって、どのクライアント マシンでも、企業ネットワークへのアクセスについて定義されたセキュリティ標準を満たし、その状態を継続することを保証できます。ポスチャ コンプライアンス レポートによって、ユーザがログインしたとき、および定期的再評価が行われるたびに、クライアント マシンのコンプライアンス レベルのスナップショットが Cisco ISE に提供されます。
ポスチャ評価およびコンプライアンスは、Cisco ISE で提供される次のいずれかのエージェント タイプを使用して行われます。
Cisco NAC Web Agent:ログイン時にユーザがシステムにインストールする一時的なエージェントであり、ログイン セッションが終了すると、クライアント マシンには表示されなくなります。
Cisco NAC Agent:一度インストールすると、Windows または Mac OS X クライアント マシン上で維持される永続的なエージェントであり、セキュリティ コンプライアンスに関するすべての機能を実行できます。
AnyConnect ISE Agent:Windows または Mac OS X クライアントにインストールできる永続的なエージェントであり、ポスチャ コンプライアンス機能を実行します。
Cisco Temporal Agent:コンプライアンス ステータスを確認するためにクライアント上で実行される一時実行可能ファイル。エージェントは、ログイン セッションが終了した後にクライアント マシンから削除されます。デフォルトでは、エージェントは Cisco ISE ISO イメージに存在し、インストール中に Cisco ISE にアップロードされます。
ゲスト スポンサーとして Cisco ISE ゲスト登録ポータルへの適切なアクセスが付与されている Cisco ISE 管理者および従業員は、一時的なゲスト ログイン アカウントを作成し、使用可能なネットワーク リソースを指定して、ゲスト、訪問者、請負業者、コンサルタント、顧客に、指定されたネットワーク リソースおよびインターネットへの制限付きアクセスを許可することができます。ゲスト アクセス セッションには有効期限タイマーが関連付けられるため、ゲスト アクセスを特定の日付や期間に制限できます。
ゲスト ユーザ セッションのすべての側面(アカウントの作成と停止を含む)は追跡され、Cisco ISE に記録されるため、必要に応じて監査情報を提供したり、セッション アクセスのトラブルシューティングを行うことができます。
ゲストは、ゲスト ポータルにユーザ名とパスワードを入力する代わりに、アカウント登録ゲストとしてクレデンシャルを提供する方法としてソーシャル ログイン プロバイダーを選択できます。これを有効にするために、ソーシャル メディア サイトを外部 ID ソースとして設定し、ユーザがその外部 ID ソース(ソーシャル ログイン プロバイダー)を使用できるようにするポータルを設定できます。Facebook は、このリリースでサポートされているソーシャル ログイン プロバイダーです。
Cisco ISE では、従業員はラップトップ コンピュータ、携帯電話、タブレット、プリンタ、およびその他のネットワーク デバイスなど、自分のパーソナル デバイスを企業ネットワークに接続することができます。
これらのデバイスをサポートするとネットワーク サービスおよびエンタープライズ データの保護が難しくなるため、従業員とそれらのデバイスの両方をネットワーク アクセスに対して認証および許可できるようにする必要があります。Plus ライセンスの場合、Cisco ISE では、従業員が自分のパーソナル デバイスを企業ネットワーク上でセキュアに使用するために必要なツールを提供します。
モバイル デバイス管理(MDM)サーバはモバイル事業者、サービス プロバイダー、企業にわたって展開されたモバイル デバイスの保護、モニタ、管理、およびサポートを行います。MDM はエンドポイントにポリシーを適用しますが、ユーザにデバイスの登録や、修復を強制することはできません。ISE は MDM サーバからポリシーを取得し、ユーザが自分のデバイスを登録したときにそれらのポリシーを適用します。ISE デバイス ポリシーで MDM を必要とし、デバイスが MDM に準拠していない場合、ISE はユーザを MDM オンボーディング ポータルにリダイレクトし、ネットワークにアクセスするためにデバイスを更新するようユーザに求めます。ISE では、MDM コンプライアンスに従っていないユーザに対してインターネット アクセスのみを許可することもできます。
プロファイラ サービスは、ネットワーク上にあるすべてのエンドポイントの機能(Cisco ISE では ID とも呼ばれる)を、デバイス タイプにかかわらず識別、検索、および特定して、企業ネットワークへの適切なアクセスを保証および維持するのに役立ちます。Cisco ISE プロファイラ機能では、さまざまなプローブを使用して、ネットワーク上にあるすべてのエンドポイントの属性を収集し、それらを既知のエンドポイントが関連ポリシーおよび ID グループに従って分類されるプロファイラ アナライザに渡します。
プロファイラ フィード サービスによって、管理者は、新規および更新されたエンドポイント プロファイリング ポリシーや更新された OUI データベースを、指定された Cisco フィード サーバからの、サブスクリプションを介した Cisco ISE へのフィードとして取得できます。
Cisco pxGrid は、Cisco ISE セッション ディレクトリから Cisco Adaptive Security Appliance(ASA)などの他のポリシー ネットワーク システムへのコンテキスト ベースの情報の共有を有効にするために使用されます。pxGrid フレームワークは、ポリシー データや設定データをノード間で交換するためにも使用できます(たとえば、ISE とサード パーティ ベンダー間でのタグやポリシー オブジェクトの共有)。また、脅威情報など、非 ISE 関連情報の交換用にも使用できます。
すべての TrustSec 関連のオプションは、[TrustSecワークセンター(TrustSec Work Center)] メニュー([ワークセンター(Work Centers)] > [TrustSec])の下に統合されており、管理者は 1 つの場所ですべての TrustSec オプションに簡単にアクセスできます。
TrustSec ダッシュボードは、TrustSec ネットワークの一元化されたモニタリング ツールです。[メトリック(Metrics)] ダッシュレットには、TrustSec ネットワークの動作に関する統計情報が表示されます。[アクティブなSGTセッション(Active SGT Sessions)] ダッシュレットには、ネットワークで現在アクティブな SGT セッションが表示されます。[アラーム(Alarms)] ダッシュレットには、TrustSec セッション関連のアラームが表示されます。[クイックビュー(Quick View)] ダッシュレットには、NAD および SGT の TrustSec 関連情報が表示されます。
アクティブな TrustSec セッションを表示するには、[ライブログ(Live Log)] ダッシュレットの [TrustSecセッション(TrustSec Sessions)] リンクをクリックします。また、NAD から Cisco ISE への TrustSec プロトコル データ要求と応答に関する情報を表示することもできます。
Cisco ISE は、ネットワーク デバイスの設定を制御および監査するための Terminal Access Controller Access-Control System(TACACS+)のセキュリティ プロトコルを使用したデバイス管理をサポートしています。ネットワーク デバイスは、デバイス管理者の操作の認証および認可のために ISE にクエリを行うために設定され、ISE のアカウンティング メッセージを送信して操作をログに記録します。これによって、どのネットワーク デバイスに誰がアクセスできて関連するネットワーク設定を変更できるかについて、きめ細かい制御が容易になります。ISE 管理者は、コマンド セットやシェル プロファイルなどの TACACS 結果をデバイス管理アクセス サービスの許可ポリシー ルールで選択できるようにするポリシー セットを作成できます。ISE モニタリング ノードでは、デバイス管理に関する高度なレポートが提供されます。[ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。
ISE には、TACACS+ を使用するためのデバイス管理ライセンスが必要です。
リソース グループ タグ(SGT)の交換プロトコル(SXP)は、TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播するために使用されます。SXP は、ある SGT 対応ネットワーク デバイスから別のデバイスに IP アドレスとともにエンドポイントの SGT を転送するために使用されます。
ノードで SXP サービスをイネーブルにするには、[ノードの一般設定(General Node Settings)] ページで [SXPサービスの有効化(Enable SXP Service)] チェックボックスをオンにします。また、SXP サービスに使用するインターフェイスを指定する必要があります。
各 SXP 接続には、SXP スピーカーとして指定されたピアと、SXP リスナーとして指定されたピアがあります。ピアは双方向モードで設定することもでき、そのモードでは、それぞれがスピーカーとリスナーの両方として機能します。接続はいずれかのピアによって開始できますが、マッピング情報は常にスピーカーからリスナーに伝播されます。
Cisco ISE は、ネットワーク デバイス プロファイルを使用して、一部のサードパーティ製ネットワーク アクセス デバイス(NAD)をサポートします。これらのプロファイルによって、ゲスト、BYOD、MAB、ポスチャなどのフローを有効にするために Cisco ISE が使用する機能が定義されます。
Cisco ISE には、次のベンダーからのネットワーク デバイスの定義済みプロファイルが含まれています。
また、定義済みプロファイルがないその他のサードパーティ製ネットワーク デバイス用のプロファイルを作成することもできます。AnyConnect クライアントのプロビジョニングとポスチャ検出では、CoA と URL のリダイレクションは必須ではありません。
リリース 2.0 以前のシスコ以外の NAD を展開し、それらを使用するようにポリシー ルール/RADIUS ディクショナリを作成した場合、これらはアップグレード後に通常どおりに機能し続けます。
インストール後、管理者ポータルに初めてログインすると、Cisco ISE テレメトリ バナーが画面に表示されます。この機能を使用して、Cisco ISE は、ユーザの展開、ネットワーク アクセス デバイス、プロファイラ、およびユーザが使用している他のサービスに関する非機密情報を安全に収集します。収集されたデータは、今後のリリースでよりよいサービスと追加機能を提供するために使用されます。デフォルトでは、テレメトリ機能は有効になっています。管理者ポータルからディセーブルにすることができます。
Cisco ISE リリース 2.0 は、次の IPv6 機能をサポートしています。
IPv6 対応エンドポイントのサポート:Cisco ISE は、エンドポイントからの IPv6 トラフィックを検出、管理、保護できます。IPv6 属性を使用して、IPv6 対応エンドポイントからの要求を処理し、エンドポイントが準拠していることを保証するための、許可プロファイルおよびポリシーを Cisco ISE で設定できます。
レポートでの IPv6 サポート:リリース 2.0 のレポートは IPv6 の値をサポートしています。ライブ セッションおよびライブ認証ページもまた IPv6 の値をサポートしています。
これらのコマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
Cisco ISE は、Cisco モビリティ サービス エンジン(MSE)と統合し、物理ロケーション ベースの認証を導入します。Cisco ISE は、MSE からの情報を使用して、MSE によって報告されるユーザの実際の位置に基づいて差別化されたネットワーク アクセスを提供します。
この機能を使用すると、エンドポイントのロケーション情報を使用して、ユーザが適切なゾーンにいる場合にネットワーク アクセスを提供できます。また、エンドポイントのロケーションをポリシーの追加属性として追加して、デバイスのロケーションに基づいてより詳細なポリシー許可のセットを定義することもできます。次のように、ロケーション ベースの属性を使用する許可ルール内で条件を設定できます。
MSE.Location Equals LND_Campus1:Building1:Floor2:SecureZone
ロケーション階層(キャンパス/ビルディング/フロア構造)を定義して、Cisco Prime Infrastructure のアプリケーションを使用してセキュアおよび非セキュアのゾーンを設定できます。ロケーション階層を定義した後、ロケーション階層データを MSE サーバと同期する必要があります。
ロケーション ツリーは、MSE インスタンスから取得されたロケーション データを使用して作成されます。ロケーション ツリーを使用して、許可ポリシーに公開するロケーション エントリを選択できます。
Cisco ISE は、一元的なコンソールからエンドポイントのデジタル証明書を発行および管理して、従業員が自分のパーソナル デバイスを使用して企業のネットワークに接続できるようにするネイティブの認証局(CA)を提供します。Cisco ISE CA は、スタンドアロンおよび下位の展開をサポートします。
Cisco ISE では証明書プロビジョニング ポータルが提供され、そこで従業員はオンボーディング フローを通過できないデバイスについて証明書を要求することができます。たとえば、販売時点管理端末などのデバイスは、BYOD フローを通過できず、証明書を手動で発行する必要があります。証明書プロビジョニング ポータルで、権限のある一連のユーザは、そのようなデバイスに対する証明書要求をアップロードし、キー ペアを生成し(必要に応じて)、証明書をダウンロードできます。従業員は、このポータルにアクセスして、1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。
Cisco ISE の内部 CA には、エンドポイント証明書を作成するために使用された証明書テンプレートを表す拡張子が含まれています。内部 CA によって発行されたすべてのエンドポイント証明書には、証明書テンプレート名の拡張子が含まれています。この拡張子は、そのエンドポイント証明書を作成するために使用された証明書テンプレートを表します。CERTIFICATE: テンプレート名属性を許可ポリシーの条件に使用して、評価の結果に基づいて適切なアクセス権限を割り当てることができます。
内部 ISE CA は、ASA VPN 経由で接続するクライアント マシンに証明書を発行できます。ISE は、Simple Certificate Enrollment Protocol(SCEP)を使用して登録を行い、証明書を Cisco ISE からクライアント マシンにプロビジョニングします。
Cisco ISE では、マルチドメイン フォレストの Active Directory がサポートされます。Cisco ISE は単一のドメインに接続しますが、Cisco ISE が接続されているドメインと他のドメイン間に信頼関係が確立されている場合は、Active Directory フォレストの他のドメインからリソースにアクセスできます。
Cisco ISE は、セッション認識型ネットワーク(SAnet)が限定的にサポートされます。SAnet は、可視性、認証、許可などのアクセス セッションの管理における一貫性と柔軟性を高める、スイッチのセッション管理フレームワークです。SAnet は、デバイスだけでなく、ISE の両方によって受け入れられる許可オブジェクトであるサービス テンプレートの概念を定義します。このことは、デバイスに送信される前に属性のリストにマージされ、フラット化される RADIUS 許可属性のコンテナである Cisco ISE 許可プロファイルと矛盾します。同様に、SAnet サービス テンプレートも RADIUS 許可属性のコンテナですが、デバイスに送信する前にリストにフラット化されません。代わりに、Cisco ISE はサービス テンプレートの名前を送信し、デバイスはキャッシュされたか、または静的に定義されたバージョンがまだない場合コンテンツ(RADIUS 属性)をダウンロードします。さらに、サービス テンプレートの定義が変更された、つまり、RADIUS 属性が追加、削除、または変更された場合、Cisco ISE はデバイスに CoA 通知を送信します。
Cisco ISE は、許可プロファイルを「サービス テンプレート」互換としてマークする特別なフラグを含む許可プロファイルとして、サービス テンプレートを実装します。このように、許可プロファイルでもあるサービス テンプレートは、SAnet 対応デバイスと同時にレガシー デバイスから接続するセッションをサポートする単一のポリシー ステートメントで使用することができます。
Cisco ISE は、さまざまなパフォーマンス上の特徴を備えた広い範囲の物理アプライアンスにあらかじめインストールされた状態で提供されます。Cisco Application Deployment Engine(ADE)と Cisco ISE ソフトウェアは、専用の SNS-3400 シリーズ アプライアンスまたは仮想マシン(Cisco ISE VM)のいずれかで実行されます。Cisco ISE ソフトウェア イメージでは、この専用プラットフォームにその他のパッケージまたはアプリケーションをインストールできません。Cisco ISE が本来備えている拡張性によってアプライアンスを展開に追加し、必要に応じてパフォーマンスと復元力を向上させることができます。
Cisco ISE は、次のポータルで SAML シングル サインオン(SSO)をサポートしています。
Oracle Access Manager や Oracle Identity Federation などの ID プロバイダをポータルの外部 ID ソースとして追加できます。ID プロバイダは、ユーザ クレデンシャルを保管、検証し、ユーザがポータルにアクセスできる SAML 応答を生成します。異なるユーザ名とパスワードの組み合わせを入力する必要がなくなるため、パスワードの劣化が軽減します。
Cisco ISE は、管理ペルソナの自動フェールオーバーをサポートしています。自動フェールオーバー機能をイネーブルにするには、分散セットアップで少なくとも 2 つのノードが管理ペルソナを引き継ぎ、1 つのノードが非管理ペルソナを引き継ぐ必要があります。プライマリ管理ノード(PAN)がダウンした場合は、セカンダリ管理ノードの自動プロモーションが開始されます。この場合、非管理セカンダリ ノードが各管理ノードのヘルス チェック ノードとして指定されます。ヘルス チェック ノードは、設定された間隔で PAN の正常性を確認します。PAN の正常性について受信されたヘルス チェック応答がダウンまたは到達不能により良好でない場合、ヘルス チェック ノードは、設定されたしきい値まで待機した後、プライマリ ロールを引き継ぐようにセカンダリ管理ノードのプロモーションを開始します。セカンダリ管理ノードの自動フェールオーバー後に使用できなくなる機能がいくつかあります。Cisco ISE は、元の PAN へのフォールバックをサポートしていません。詳細については、「Cisco ISE ノードの展開」の章の「管理ノードのハイ アベイラビリティ」の項を参照してください。
Cisco ISE では、管理者ポータルから GUI ベースの一元化されたアップグレードが提供されます。アップグレード プロセスはさらに簡素化され、アップグレードの進行状況およびノードのステータスが画面に表示されます。
(注) | GUI ベースのアップグレードは、リリース 2.0 からそれ以降のリリースにアップグレードする場合、または Cisco ISE 2.0 の限定提供リリースを一般提供リリースにアップグレードする場合にのみ適用できます。 |
Cisco ISE は、Cisco IronPort トンネル インフラストラクチャを使用して、展開内の ISE サーバに接続してシステムの問題をトラブルシューティングするための、シスコ テクニカル サポート エンジニア用のセキュア トンネルを作成します。Cisco ISE は SSH を使用して、トンネル経由のセキュアな接続を作成します。管理者として、トンネル アクセスを制御できます。サポート エンジニアにアクセス権を付与する時期と期間を選択できます。シスコ カスタマー サポートは、ユーザの介入なしにトンネルを確立できません。サービス ログインに関する通知を受信します。任意の時点でトンネル接続をディセーブルにできます。