外部 ID ストアを使用した Cisco ISE への管理アクセス
Cisco ISE では、Active Directory、LDAP、RSA SecureID などの外部 ID ストアを介して管理者を認証できます。外部 ID ストアを介した認証の提供に使用できる次の 2 つのモデルがあります。
-
外部認証および許可:管理者に関してローカル Cisco ISE データベースで指定されたクレデンシャルはなく、許可は、外部 ID ストア グループ メンバーシップのみに基づきます。このモデルは、Active Directory および LDAP 認証で使用されます。
-
外部認証および内部許可:管理者の認証クレデンシャルは外部 ID ソースから取得され、許可および管理者ロール割り当てはローカル Cisco ISE データベースを使用して行われます。このモデルは、RSA SecurID 認証で使用されます。この方法では、外部 ID ストアとローカル Cisco ISE データベースの両方で同じユーザ名を設定する必要があります。
認証プロセス時、Cisco ISE は、外部 ID ストアとの通信が確立されなかった場合や失敗した場合はフォールバックし、内部 ID データベースから認証の実行を試行するように設計されています。また、外部認証が設定されている管理者には、ブラウザを起動してログイン セッションを開始すると必ず、ログイン ダイアログの [ID ストア(Identity Store)] ドロップダウン セレクタから [内部(Internal)] を選択して Cisco ISE ローカル データベースを介した認証を要求するオプションが依然として表示されます。
上級管理者グループに所属する管理者、および外部 ID ストアを使用して認証および認可するように設定されている管理者は、CLI アクセス用に外部 ID ストアを使用して認証することもできます。
(注) |
外部管理者認証を提供するこの方法は、管理者ポータルを介してのみ設定できます。Cisco ISE コマンドライン インターフェイス(CLI)では、これらの機能は設定されません。 |
ネットワークに既存の外部 ID ストアがまだない場合は、必要な外部 ID ストアをインストールし、これらの ID ストアにアクセスするように Cisco ISE が設定されていることを確認します。
外部認証および許可
デフォルトでは、Cisco ISE によって内部管理者認証が提供されます。外部認証を設定するには、外部 ID ストアで定義している外部管理者アカウントのパスワード ポリシーを作成する必要があります。次に、結果的に外部管理者 RBAC ポリシーの一部となるこのポリシーを外部管理者グループに適用できます。
ネットワークでは、外部 ID ストア経由の認証を提供するほかに、Common Access Card(CAC)認証デバイスを使用する必要もある場合があります。
外部認証を設定するには、次の手順を実行する必要があります。
-
外部 ID ストアを使用してパスワード ベースの認証を設定します。
-
外部管理者グループを作成します。
-
外部管理者グループ用のメニュー アクセスとデータ アクセスの権限を設定します。
-
外部管理者認証の RBAC ポリシーを作成します。
外部 ID ストアを使用したパスワード ベースの認証の設定
最初に、Active Directory や LDAP などの外部 ID ストアを使用して認証を行う管理者のためのパスワード ベースの認証を設定する必要があります。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[認証方式(Authentication Method)] タブで、[パスワードベース(Password Based)] を選択し、すでに設定されている外部 ID ソースの 1 つを選択します。たとえば、作成した Active Directory インスタンスを選択します。 |
ステップ 3 |
外部 ID ストアを使用して認証を行う管理者のためのその他の特定のパスワード ポリシーを設定します。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
外部管理者グループの作成
外部 Active Directory または LDAP 管理者グループを作成する必要があります。これにより、Cisco ISE は外部 Active Directory または LDAP ID ストアで定義されているユーザ名を使用して、ログイン時に入力した管理者ユーザ名とパスワードを検証します。
Cisco ISE は、外部リソースから Active Directory または LDAP グループ情報をインポートし、それをディクショナリ属性として保存します。次に、この属性を、外部管理者認証方式用の RBAC ポリシーを設定するときのポリシー要素の 1 つとして指定できます。
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。 [マッピングされた外部グループ(External Groups Mapped)] 列には、内部 RBAC ロールにマップされている外部グループの数が表示されます。管理者ロールに対応する番号をクリックすると、外部グループを表示できます(たとえば、[ネットワーク管理者(Super Admin)] に対して表示されている 2 をクリックすると、2 つの外部グループの名前が表示されます)。 |
ステップ 2 |
[追加(Add)] をクリックします。 |
ステップ 3 |
名前とオプションの説明を入力します。 |
ステップ 4 |
[外部(External)] オプション ボタンを選択します。 Active Directory ドメインに接続し、参加している場合は、Active Directory インスタンス名が [名前(Name)] フィールドに表示されます。 |
ステップ 5 |
[外部グループ(External Groups)] ドロップダウン リスト ボックスから、この外部管理者グループにマッピングする Active Directory グループを選択します。 追加の Active Directory グループをこの外部管理者グループにマッピングするために「+」記号をクリックします。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
内部読み取り専用管理者の作成
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[追加(Add)] をクリックして、[管理ユーザの作成(Create An Admin User)] を選択します。 |
ステップ 3 |
[読み取り専用(Read Only)] チェックボックスをオンにして読み取り専用管理者を作成します。 |
外部グループを読み取り専用管理者グループにマッピング
手順
ステップ 1 |
[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] を選択して、外部認証ソースを設定します。詳細については、「ユーザおよび外部 ID ソースの管理」の章を参照してください。 |
ステップ 2 |
必要な外部 ID ソース(Active Directory や LDAP など)をクリックし、選択した ID ソースからグループを取得します。 |
ステップ 3 |
[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] を選択して、管理者アクセスの認証方式を ID ソースとマッピングします。 |
ステップ 4 |
[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択し、[読み取り専用管理者(Read Only Admin)] グループを選択します。 |
ステップ 5 |
タイプの [外部(External)] チェックボックスをオンにして、読み取り専用権限を提供する必要のある外部グループを選択します。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
外部管理者グループのメニュー アクセス権限とデータ アクセス権限の設定
外部管理者グループに割り当てることができるメニュー アクセス権限とデータ アクセス権限を設定する必要があります。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
次のいずれかをクリックします。
|
ステップ 3 |
外部管理者グループのメニュー アクセス権限とデータ アクセス権限を指定します。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
外部管理者認証の RBAC ポリシーの作成
外部 ID ストアを使用して管理者を認証するように Cisco ISE を設定し、同時にカスタム メニュー アクセス権限とデータ アクセス権限を指定するには、新しい RBAC ポリシーを設定する必要があります。このポリシーには、認証用の外部管理者グループ、および外部認証と許可を管理するための Cisco ISE メニュー アクセス権限とデータ アクセス権限が存在している必要があります。
(注) |
これらの新しい外部属性を指定するように既存(システムプリセット)の RBAC ポリシーを変更することはできません。「テンプレート」として使用する必要がある既存のポリシーがある場合は、そのポリシーを複製し、名前を変更してから、新しい属性を割り当てます。 |
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
ルール名、外部管理者グループ、および権限を指定します。 適切な外部管理者グループが正しい管理者ユーザ ID に割り当てられている必要があることに注意してください。問題の管理者が正しい外部管理者グループに関連付けられていることを確認します。 |
ステップ 3 |
[保存(Save)] をクリックします。 管理者としてログインした場合、Cisco ISE RBAC ポリシーが管理者 ID を認証できないと、Cisco ISE では、「認証されていない」ことを示すメッセージが表示され、管理者ポータルにアクセスできません。 |
内部許可を伴う認証に対する外部 ID ストアを使用した管理アクセスの設定
この方法では、外部 ID ストアとローカル Cisco ISE データベースの両方で同じユーザ名を設定する必要があります。外部 RSA SecurID ID ストアを使用して管理者認証を提供するように Cisco ISE を設定している場合、管理者のクレデンシャル認証が RSA ID ストアによって実行されます。ただし、許可(ポリシー アプリケーション)は、依然として Cisco ISE 内部データベースに従って行われます。また、外部認証と許可とは異なる、留意する必要がある次の 2 つの重要な要素があります。
-
管理者の特定の外部管理者グループを指定する必要はありません。
-
外部 ID ストアとローカル Cisco ISE データベースの両方で同じユーザ名を設定する必要があります。
手順
ステップ 1 |
を選択します。 |
||
ステップ 2 |
外部 RSA ID ストアの管理者ユーザ名が Cisco ISE にも存在することを確認します。[パスワード(Password)] の下の [外部(External)] オプションをクリックします。
|
||
ステップ 3 |
[保存(Save)] をクリックします。 |
外部認証のプロセス フロー
管理者がログインすると、ログイン セッションはそのプロセスにおいて次の手順で処理されます。
-
管理者が RSA SecurID チャレンジを送信します。
-
RSA SecurID は、チャレンジ応答を返します。
-
管理者は、ユーザ ID とパスワードを入力する場合と同様に、ユーザ名および RSA SecurID チャレンジ応答を Cisco ISE ログイン ダイアログに入力します。
-
管理者は、指定した ID ストアが外部 RSA SecurID リソースであることを確認します。
-
管理者は、[ログイン(Login)] をクリックします。
ログイン時、管理者には、RBAC ポリシーで指定されたメニュー アクセス項目とデータ アクセス項目のみが表示されます。