概要

Cisco ISE の概要

Cisco ISE は、企業におけるエンドポイントのアクセス制御とネットワークデバイスの管理を可能にする共通のポリシーエンジンとして機能します。

Cisco Identity Services Engine(ISE)は、アイデンティティベースのネットワーク アクセス コントロールおよびポリシー適用システムです。企業におけるエンドポイントのアクセスコントロールとネットワークデバイスの管理を可能にする共通のポリシーエンジンとして機能します。

Cisco ISE を活用すると、コンプライアンスを確保し、インフラストラクチャのセキュリティを強化し、サービス運用を合理化することができます。

Cisco ISE 管理者は、ユーザー/ユーザーグループ(誰が)、デバイスタイプ(何を)、アクセス時間(いつ)、アクセスロケーション(どこで)、アクセスタイプ(有線、ワイヤレス、または VPN)(どのように)、ネットワークの脅威と脆弱性といった、ネットワークのリアルタイムのコンテキストデータを収集できます。

その後、Cisco ISE 管理者は、この情報を使用してネットワークガバナンス上の決定を下すことができます。また、アイデンティティデータをさまざまなネットワーク要素に結び付けて、ネットワークのアクセスと使用率を管理するポリシーを作成することもできます。

Cisco ISE の機能

Cisco ISE ソフトウェアはそのままインストールする必要があります。基盤となるオペレーティング システム レベルで他のサードパーティ製アプリケーションをインストールすることはできません。

Cisco ISE は、次の機能を備えています。

  • デバイス管理:Cisco ISE は、TACACS+ セキュリティプロトコルを使用して、ネットワークデバイスの設定を制御および監査します。これによって、どのネットワーク デバイスに誰がアクセスできて関連するネットワーク設定を変更できるかについて、きめ細かい制御が容易になります。ネットワークデバイスは、デバイス管理者の操作の認証と許可のために Cisco ISE にクエリを行うように設定できます。また、これらのデバイスは、アカウンティングメッセージを Cisco ISE に送信して、そのような操作を記録します。

  • ゲストおよびセキュアワイヤレス:Cisco ISE を使用すると、ビジター、請負業者、コンサルタント、および顧客にセキュアなネットワークアクセスを提供できます。Web ベースポータルとモバイルポータルを使用して、企業のネットワークと内部リソースに対するゲストのオンボーディングを行うことができます。さまざまなタイプのゲストのアクセス権限を定義し、スポンサーを割り当てて、ゲストアカウントを作成および管理することができます。

  • 個人所有デバイスの持ち込み(BYOD):Cisco ISE を使用すると、従業員とゲストが、企業ネットワークで個人のデバイスを安全に使用できるようになります。BYOD 機能のエンドユーザーは、設定された手順でデバイスを追加し、事前に定義された認証とネットワークアクセスのレベルをプロビジョニングできます。

  • アセットの可視性:Cisco ISE を使用すると、ワイヤレス、有線、および VPN 接続の全体にわたって、一貫性のある方法で、ネットワーク上のユーザーとデバイスを可視化し、制御することができます。Cisco ISE は、プローブとデバイスセンサーを使用して、デバイスがネットワークに接続する方法をリッスンします。その後、広範囲にわたる Cisco ISE プロファイルデータベースによって、デバイスが分類されます。これにより、適切なレベルのネットワークアクセスを許可するために必要な可視性とコンテキストが提供されます。

  • セキュアアクセス:Cisco ISE は、さまざまな認証プロトコルを使用して、ネットワークデバイスとエンドポイントにセキュアなネットワークアクセスを提供します。これには、802.1X、RADIUS、MAB、Web ベース、EasyConnect、および外部エージェント対応の認証方式が含まれます(これらに限定されない)。

  • セグメンテーション:Cisco ISE は、ネットワークデバイスとエンドポイントに関するコンテキストデータを使用して、ネットワーク セグメンテーションを容易にします。Cisco ISE がセキュアなネットワーク セグメンテーションを実現する方法には、セキュリティグループタグ、アクセス制御リスト、ネットワーク アクセス プロトコル、ポリシーセット(認可、アクセス、認証を定義)などがあります。

  • ポスチャまたはコンプライアンス:Cisco ISE を使用すると、エンドポイントにネットワークへの接続を許可する前に、そのエンドポイントのコンプライアンス(ポスチャとも呼ばれる)を確認できます。エンドポイントがポスチャサービスに適したポスチャエージェントを確実に受け取るようにすることができます。

  • 脅威の封じ込め:Cisco ISE がエンドポイントから脅威または脆弱性の属性を検出すると、適応型ネットワーク制御ポリシーが送信され、エンドポイントのアクセスレベルが動的に変更されます。脅威または脆弱性が評価され、対処されると、エンドポイントは元のアクセスポリシーに戻されます。

  • セキュリティエコシステム統合:pxGrid 機能により、Cisco ISE は、接続されたネットワークデバイス、サードパーティベンダー、またはシスコパートナーシステムと、コンテキスト依存情報、ポリシー、設定データなどを安全に共有できます。

Cisco ISE 管理者

管理者は、次の目的で管理者ポータルを使用できます。

  • 展開、ヘルプデスク操作、ネットワークデバイス、およびノードのモニターリングとトラブルシューティングの管理。

  • Cisco ISE のサービス、ポリシー、管理者アカウント、およびシステム設定と操作の管理。

  • 管理者パスワードおよびユーザー パスワードを変更します。

CLI 管理者は Cisco ISE アプリケーションの開始と停止、ソフトウェアパッチとアップグレードの適用、Cisco ISE アプライアンスのリロードとシャットダウン、およびすべてのシステムログとアプリケーションログの表示を行うことができます。CLI 管理者には特別な権限が付与されているため、CLI 管理者クレデンシャルを保護し、Cisco ISE 展開を設定および管理する Web ベースの管理者を作成することが推奨されます。

セットアップ時に設定したユーザー名とパスワードは、CLI への管理アクセスにのみ使用されます。このロールは、CLI 管理ユーザー(CLI 管理者)と見なされます。デフォルトでは、CLI 管理ユーザーのユーザー名は admin、パスワードはセットアップで定義したパスワードです。デフォルトのパスワードはありません。この CLI 管理ユーザーはデフォルトの admin ユーザーであり、このユーザーアカウントは削除できません。ただし、他の管理者は編集することが可能で、これには対応するアカウントのパスワードを有効化、無効化、または変更するオプションが含まれています。

管理者を作成するか、または既存のユーザーを管理者ロールに昇格できます。管理者は、対応する管理者権限を無効にすることで、単純なネットワーク ユーザー ステータスに降格することもできます。

管理者は、Cisco ISE システムを設定および操作するローカル権限を持つユーザーです。

管理者は、1 つ以上の管理者グループに割り当てられます。


(注)  

Cisco ISE リリース 2.7 以降では、Cisco ISE でユーザーアカウントを作成するときに英数字の値を使用します。

CLI 管理者への外部 ID ストアの使用の強制

外部 ID ソースによる認証は、内部データベースを使用するよりも安全性が高くなります。CLI 管理者のロールベース アクセス コントロール(RBAC)は外部アイデンティティストアをサポートします。

前提条件

管理者ユーザーを定義して管理者グループに追加しておく必要があります。管理者はスーパー管理者である必要があります。

Active Directory ユーザーディレクトリでのユーザーの属性の定義

Active Directory を実行している Windows サーバーを使用して、CLI 管理者として設定する予定の各ユーザーの属性を変更します。

  1. [サーバーマネージャ(Server Manager)] ウィンドウで、[サーバーマネージャ(Server Manager)] > [ロール(Roles)] > [Active Directory ドメインサービス(Active Directory Domain Services)] > [Active Directory のユーザーとコンピュータ(Active Directory Users And Computers)] > [ ad.adserver ] <ad_server>.local> に移動します。

  2. [表示(View)] メニューで [高度な機能(Advanced Features)] を有効にし、ユーザーの属性を編集できるようにします。

  3. すべての管理者ユーザーのリストが含まれている Active Directory グループに移動し、ユーザーを選択します。

  4. ユーザーをダブルクリックして [プロパティ(Properties)] ウィンドウを開きます。

  5. [属性エディタ(Attribute Editor)] をクリックします。

  6. 属性をクリックして 「gid」と入力し、gidNumber を見つけます。gidNumber 属性が見つからない場合は、[フィルタ(Filter)] ボタンをクリックし、[値が設定されている属性のみを表示(Show only attributes that have values)] をオフにします。

  7. 属性名をダブルクリックして各属性を編集します。各ユーザーの設定を無効にする場合:

    • uidNumber に 60000 よりも大きな値を割り当て、この値が一意であることを確認します。割り当ての後に uidNumber を変更しないでください。

    • gidNumber に 110 または 111 を割り当てます。110 は管理者ユーザーを表し、111 は読み取り専用ユーザーを示します。gidNumber を変更した場合は、SSH 接続を行う前に 5 分以上待機してください。

Active Directory ドメインへの管理者 CLI ユーザーの参加

Cisco ISE CLI に接続し、identity-store コマンドを実行して管理者ユーザーを ID ストアに割り当てます。たとえば、CLI 管理者ユーザーを adpool1 として ISE に定義されている Active Directory にマッピングするには、identity-store active-directory domain-name adpool1 user admincliuser コマンドを実行します。

参加が完了したら、Cisco ISE CLI に接続し、管理者 CLI ユーザーとしてログインして設定を確認します。

このコマンドで使用するドメインが以前に ISE ノードに参加していた場合は、管理者コンソールでドメインに再参加する必要があります。

  1. [管理(Administration)] > [IDの管理(Identity Management)] > [外部IDソース(External Identity Sources)] に移動します。

  2. 左側のペインで、[Active Directory] をクリックし、Active Directory の名前を選択します。


    (注)  

    MS-RPC または Kerberos のいずれかを使用してテストユーザーとの接続をテストする場合は、Active Directory 接続のステータスに [使用可能(Operational)] と表示されても、エラーメッセージが表示される場合があります。

  3. 管理者 CLI ユーザーとして Cisco ISE CLI にこの時点でもログインできることを確認します。

新しい管理者の作成

Cisco ISE 管理者は、特定の管理タスクを実行するために、特定のロールが割り当てられたアカウントが必要です。複数の管理者アカウントを作成して、管理者が実行する必要がある管理タスクに基づいて 1 つ以上のロールを割り当てることができます。

[管理者ユーザー(Admin Users)] ウィンドウを使用して、Cisco ISE 管理者の属性の表示、作成、変更、削除、ステータスの変更、複製、または検索を実行します。


(注)  
管理者ユーザーのドメインが CLI と GUI の両方で同じである場合は、CLI で Active Directory アクセスを設定してから GUI に参加することをお勧めします。それ以外の場合は、そのドメインへの認証の失敗を回避するために、GUI からドメインに再参加する必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザー(Admin Users)] > [追加(Add)] を選択します。
ステップ 2

[追加(Add)] ドロップダウンリストから、次のオプションのいずれかを選択します。

  • 管理者ユーザーの作成

    [管理者ユーザーの作成(Create an Admin User)] を選択した場合は、[新しい管理者(New Administrator)] ウィンドウが表示されます。このウィンドウから新しい管理者ユーザーのアカウント情報を設定できます。

  • ネットワーク アクセス ユーザーからの選択(Select from Network Access Users)

    [ネットワークアクセスユーザーからの選択(Select from Network Access Users)] を選択した場合、現在のユーザーのリストが表示され、そこからユーザーを選択できます。次に、このユーザーに対応する [管理者ユーザー(Admin User)] ウィンドウが表示されます。

ステップ 3

フィールドに値を入力します。[名前(Name)] フィールドでサポートされる文字は次のとおりです:# $ ’ ( ) * + -。/ @ _。

管理者ユーザー名は一意にする必要があります。既存のユーザー名を入力した場合は、次のメッセージがエラー ポップアップ ウィンドウに表示されます。 

User can't be created. A User with that name already exists.
ステップ 4

[送信(Submit)] をクリックして、新しい管理者を Cisco ISE 内部データベースに作成します。

Cisco ISE 管理者グループ

管理者グループは、Cisco ISE のロールベース アクセス コントロール(RBAC)グループです。同じグループに属するすべての管理者は、共通の ID を共有し、同じ権限を持ちます。特定の管理者グループのメンバーとしての管理者の ID は、許可ポリシーの条件として使用できます。管理者は、複数の管理者グループに属することができます。

どのアクセスレベルの管理者アカウントでも、管理者がアクセスできるすべてのウィンドウの、権限を持つオブジェクトを変更または削除できます。

Cisco ISE セキュリティモデルでは、管理者が、その管理者が持っている同じ権限セットが含まれる管理者グループを作成することが制限されます。付与される権限は、Cisco ISE データベースで定義されているユーザーの管理ロールに基づいています。このようにして、管理者グループは、Cisco ISE システムにアクセスするための権限を定義する基礎を形成します。

次の表に、Cisco ISE で事前定義された管理者グループ、およびこれらのグループのメンバーが実行できるタスクを示します。

表 1. Cisco ISE 管理者グループ、アクセス レベル、権限、および制約事項

管理者グループ ロール

アクセス レベル

権限

制約事項

カスタマイズ管理者

スポンサー、ゲスト、およびパーソナルデバイスポータルの管理。

  • ゲストおよびスポンサー アクセスの設定。

  • ゲスト アクセス設定の管理。

  • エンドユーザー Web ポータルの管理。

  • Cisco ISE のすべてのポリシー管理、ID 管理、またはシステムレベルの設定タスクを実行できません。

  • レポートを表示できません。

ヘルプデスク管理者

クエリのモニターリングおよびトラブルシューティング操作

  • すべてのレポートの実行。

  • すべてのトラブルシューティング フローの実行。

  • Cisco ISE ダッシュボードとライブログの表示。

  • アラームの表示。

レポート、トラブルシューティング フロー、ライブ認証、またはアラームの作成、更新、または削除は実行できません。

ID 管理者

  • ユーザーアカウントおよびエンドポイントの管理。

  • ID ソースの管理。

  • ユーザーアカウントおよびエンドポイントの追加、編集、および削除。

  • ID ソースの追加、編集、および削除。

  • ID ソース順序の追加、編集、および削除。

  • ユーザーアカウントの一般的な設定(属性およびパスワードポリシー)。

  • Cisco ISE ダッシュボード、ライブログ、アラーム、およびレポートの表示。

  • すべてのトラブルシューティング フローの実行。

Cisco ISE のすべてのポリシー管理またはシステムレベルの設定タスクを実行できません。

MnT 管理者

すべてのモニターリングおよびトラブルシューティング操作の実行。

  • すべてのレポートの管理(実行、作成、および削除)。

  • すべてのトラブルシューティング フローの実行。

  • Cisco ISE ダッシュボードとライブログの表示。

  • アラームの管理(作成、更新、表示、および削除)。

Cisco ISE のすべてのポリシー管理、ID 管理、またはシステムレベルの設定タスクを実行できません。

ネットワーク デバイス管理者

Cisco ISE ネットワーク デバイスとネットワーク デバイス リポジトリを管理します。

  • ネットワーク デバイスに対する読み取りおよび書き込み権限

  • ネットワーク デバイス グループおよびすべてのネットワーク リソース オブジェクト タイプに対する読み取りおよび書き込み権限。

  • Cisco ISE ダッシュボード、ライブログ、アラーム、およびレポートの表示。

  • すべてのトラブルシューティング フローの実行。

Cisco ISE のすべてのポリシー管理、ID 管理、またはシステムレベルの設定タスクを実行できません。

ポリシー管理者

認証、許可、ポスチャ、プロファイラ、クライアント プロビジョニング、およびワークセンターに関連する、ネットワーク上のすべての Cisco ISE サービスのポリシーを作成および管理します。

  • ポリシーで使用されるすべての要素(認証プロファイル、ネットワーク デバイス グループ(NDG)、条件など)に対する読み取りおよび書き込み権限。

  • ID、エンドポイント、および ID グループ(ユーザー ID グループおよびエンドポイント ID グループ)に対する読み取りおよび書き込み権限。

  • サービスポリシーおよび設定に対する読み取りおよび書き込み権限。

  • Cisco ISE ダッシュボード、ライブログ、アラーム、およびレポートの表示。

  • すべてのトラブルシューティング フローの実行。

  • デバイス管理:デバイス管理ワークセンターにアクセスします。TACACS ポリシーの条件および結果に関する権限。TACACS プロキシおよびプロキシシーケンスのネットワークデバイス権限。

Cisco ISE のすべての ID 管理またはシステムレベルの設定タスクを実行できません。

デバイス管理:ワーク センターへのアクセスは下位リンクへのアクセスを保証していません。

RBAC 管理者

エンドポイント保護サービス適応型ネットワーク制御を除く、[操作(Operations)] メニューの下のすべてのタスク、および [管理(Administration)] の下のいくつかのメニュー項目への部分的なアクセス。

  • 認証の詳細の表示。

  • エンドポイント保護サービス適応型ネットワーク制御の有効化/無効化

  • アラームの作成、編集、および削除、レポートの生成と表示、Cisco ISE を使用したネットワーク内の問題のトラブルシューティング。

  • 管理者アカウント設定および管理者グループ設定に対する読み取り権限

  • [RBAC ポリシー(RBAC Policy)] ウィンドウでの管理者アクセス権限とデータアクセス権限に対する表示権限。

  • Cisco ISE ダッシュボード、ライブログ、アラーム、およびレポートの表示。

  • すべてのトラブルシューティング フローの実行。

Cisco ISE のすべての ID 管理またはシステムレベルの設定タスクを実行できません。

読み取り専用管理者

ISE GUI への読み取り専用アクセス。

  • データのフィルタリング、クエリーの実行、オプションの保存、印刷、データのエクスポートなど、ダッシュボード、レポート、およびライブログまたはセッションの機能の表示および使用。

  • 自分のアカウントのパスワードの変更。

  • グローバル検索、レポート、およびライブログまたはセッションを使用した ISE への照会。

  • 属性に基づいたデータのフィルタリングと保存。

  • 認証ポリシー、プロファイル ポリシー、ユーザー、エンドポイント、ネットワーク デバイス、ネットワーク デバイス グループ、ID(グループを含む)、およびその他の構成に関するデータのエクスポート。

  • レポート クエリのカスタマイズ、保存、印刷、およびエクスポート。

  • カスタム レポート クエリの生成、結果の保存、印刷、またはエクスポート。

  • 今後の参照用に GUI 設定を保存。

  • [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] ウィンドウから ise-psc-log などのログのダウンロード。

  • 許可ポリシー、認証ポリシー、ポスチャポリシー、プロファイラポリシー、エンドポイント、ユーザーなど、オブジェクトの作成、更新、削除、インポート、検疫、およびモバイルデバイス管理(MDM)アクションなどの構成変更の実行。

  • バックアップおよび復元、ノードの登録または登録解除、ノードの同期化、ノードグループの作成、編集、削除、またはパッチのアップグレードおよびインストールなどのシステム操作の実行。

  • ポリシー、ネットワーク デバイス、ネットワーク デバイス グループ、ID(グループを含む)、およびその他の設定に関するデータのインポート。

  • CoA、エンドポイントのデバッグ、収集フィルタの変更、ライブセッションデータの抑止のバイパス、PAN-HA フェールオーバー設定の変更、Cisco ISE ノードのペルソナまたはサービスの編集などの操作の実行。

  • パフォーマンスに重大な影響を与える可能性のあるコマンドの実行。たとえば、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般的なツール(General Tools)] ウィンドウの [TCP ダンプ(TCP Dump)] へのアクセスは制限されています。

  • サポート バンドルの生成。

スーパー管理者

すべての Cisco ISE 管理機能。デフォルトの管理者アカウントは、このグループに属します。

すべての Cisco ISE リソースに対する作成、読み取り、更新、削除、および実行(CRUDX)権限。

(注)   

スーパー管理者ユーザーは、デフォルトのシステム生成 RBAC ポリシーおよび権限は変更できません。これを行うには、ニーズに基づいた必要な権限が含まれた新しい RBAC ポリシーを作成し、これらのポリシーを管理者グループにマッピングする必要があります。

デバイス管理:デバイス管理ワーク センターにアクセスします。TACACS ポリシーの条件および結果に関する権限。TACACS プロキシおよびプロキシシーケンスのネットワークデバイス権限。さらに、TACACS グローバル プロトコル設定をイネーブルにする権限。

  • デバイス管理:ワークセンターへのアクセスは下位リンクへのアクセスを保証していません。

  • 他の管理者ユーザーを変更または削除できるのは、デフォルトの上級管理者グループの管理者ユーザーのみです。上級管理者グループのメニューとデータのアクセス権限で複製された管理者グループに含まれる外部からマッピングされたユーザーであっても、管理者ユーザーを変更または削除することはできません。

システム管理者

すべての Cisco ISE 設定およびメンテナンスのタスク。

[操作(Operations)] タブの下のすべてのアクティビティを実行するためのフルアクセス(読み取りおよび書き込み権限)、および [管理(Administration)] タブの下のいくつかのメニュー項目への部分的なアクセス。

  • 管理者アカウント設定および管理者グループ設定に対する読み取り権限。

  • RBAC ポリシーウィンドウに加えて、管理者アクセスおよびデータアクセス権限に対する読み取り権限。

  • [管理(Administration)] > [システム(System)] のすべてのオプションに対する読み取りおよび書き込み権限。

  • 認証の詳細の表示。

  • エンドポイント保護サービス適応型ネットワーク制御の有効化/無効化

  • アラームの作成、編集、および削除、レポートの生成と表示、Cisco ISE を使用したネットワーク内の問題のトラブルシューティング。

  • デバイス管理:TACACS グローバルプロトコル設定を有効にする権限。

Cisco ISE のすべてのポリシー管理またはシステムレベルの設定タスクを実行できません。

昇格されたシステム管理者(Cisco ISE リリース 2.6、パッチ 2 以降で使用可能)

すべての Cisco ISE 設定およびメンテナンスのタスク。

昇格されたシステム管理者は、システム管理者のすべての権限があるほか、管理者ユーザーを作成できます。

  • ネットワーク管理者ユーザーを作成または削除することはできません。

  • ネットワーク管理者グループを管理することはできません。

外部 RESTful サービス(ERS)管理者

GET、POST、DELETE、PUT など、すべての ERS API 要求へのフル アクセス

  • ERS API 要求の作成、読み取り、更新、および削除。

ロールは、内部ユーザー、ID グループ、エンドポイント、エンドポイントグループ、および SGT をサポートする ERS 許可のみを対象としています。

外部 RESTful サービス(ERS)オペレータ

ERS API への読み取り専用アクセス、GET のみ

  • ERS API 要求の読み取りのみ可能

ロールは、内部ユーザー、ID グループ、エンドポイント、エンドポイントグループ、および SGT をサポートする ERS 許可のみを対象としています。

TACACS+ Admin

フル アクセス

アクセス先:

  • デバイス管理ワーク センター。

  • 展開(Deployment):TACACS+ サービスを有効にします。

  • 外部 ID ストア。

  • [操作(Operations)] > [TACACSライブログ(TACACS Live Logs)] ウィンドウ。

管理者グループの作成

[管理者グループ(Admin Groups)] ウィンドウでは、Cisco ISE ネットワーク管理者グループを表示、作成、変更、削除、複製、またはフィルタリングできます。

始める前に

外部管理者グループ タイプを設定するには、1 つ以上の外部 ID ストアが指定されている必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

ステップ 2

[追加(Add)] をクリックして名前と説明を入力します。

[名前(Name)] フィールドでサポートされる特殊文字は次のとおりです:スペース、# $ & ‘ ( ) * + -。/ @ _。

ステップ 3

対応するチェックボックスをオンにして、設定する管理者グループの [タイプ(Type)] を指定します。

  • [内部(Internal)]:このグループタイプに割り当てられた管理者は、Cisco ISE 内部データベースに保存されたクレデンシャルに対して認証を行います。

  • [外部(External)]:このグループに割り当てられた管理者は、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] > [認証方式(Authentication Method)] ウィンドウで選択した外部アイデンティティストアに保存されているクレデンシャルに対して認証を行います。必要に応じて、外部グループを指定できます。

(注)   

内部ユーザーに認証用の外部 ID ストアが設定されている場合、内部ユーザーは ISE 管理者用ポータルにログインするときに、その外部 ID ストアを [IDソース(Identity Source)] として選択する必要があります。[内部IDソース(Internal Identity Source)] を選択すると認証が失敗します。

ステップ 4

[メンバーユーザー(Member Users)] エリアの [追加(Add)] をクリックして、ユーザーをこの管理者グループに追加します。ユーザーを管理者グループから削除するには、削除するユーザーに対応するチェックボックスをオンにして、[削除(Remove)] をクリックします。

ステップ 5

[送信(Submit)] をクリックします。

Cisco ISE への管理アクセス

Cisco ISE 管理者は、自分が属する管理者グループに基づいてさまざまな管理タスクを実行できます。これらの管理タスクは重要です。ネットワーク内の Cisco ISE の管理が許可されているユーザーにのみ、管理アクセス権を付与します。

Cisco ISE では、ここで説明するオプションを使用することで Web インターフェイスへの管理アクセスを制御することができます。。


(注)  

Cisco ISE サーバーがネットワークに追加されると、その Web インターフェイスが起動した後に実行状態になるとマークされます。ただし、ポスチャサービスなどの一部のアドバンスドサービスが使用可能になるまでに時間がかかる場合があるため、すべてのサービスが完全に動作するまでに時間がかかることがあります。

管理アクセスの方法

Cisco ISE サーバーには、いくつかの方法で接続することができます。ポリシー管理ノード(PAN)は、管理者ポータルを実行します。ログインするには管理者パスワードが必要です。他の ISE ペルソナサーバーには、CLI を実行する SSH またはコンソールを通じてアクセスできます。ここでは、各接続タイプで利用可能なプロセスとパスワードのオプションについて説明します。

  • [管理者パスワード(Admin password)]:インストール時に作成した Cisco ISE 管理者ユーザーのタイムアウトは、デフォルトで 45 日間です。[管理(Administration)] > [システム(System)] > [管理者設定(Admin Settings)] からパスワードの有効期間をオフにすると、これを回避できます。[パスワードポリシー(Password Policy)] タブをクリックし、[パスワードライフタイム(Password Lifetime)] で [管理パスワードの有効期限(Administrative passwords expire)] チェックボックスをオフにします。

    この操作を行わないと、パスワードの有効期限が切れます。管理者パスワードは CLI で application reset-passwd コマンドを実行してリセットできます。CLI にアクセスするコンソールに接続するか、またはブートオプションメニューにアクセスする ISE イメージファイルを再起動することにより、管理者パスワードをリセットできます。

  • [CLI パスワード(CLI password)]:CLI パスワードはインストール時に指定する必要があります。無効なパスワードが原因で CLI へのログインに問題がある場合は、CLI パスワードをリセットできます。コンソールに接続し、password CLI コマンドを実行して、パスワードをリセットします。詳細については、『Cisco Identity Services Engine CLI リファレンスガイド』を参照してください。

  • [CLIへのSSHアクセス(SSH access to the CLI)]:インストール中またはインストール後に service sshd コマンドを使用して、SSH アクセスを有効にすることができます。また、SSH 接続でキーを使用するように強制することもできます。この場合、ネットワークデバイスすべてへの SSH 接続にもそのキーを使用します。詳細については、SSH キーの検証を参照してください。SSH キーで Diffie-Hellman アルゴリズムの使用を強制できます。ECDSA キーは、SSH キーではサポートされないことに注意してください。

Cisco ISE でのロールベースの管理者アクセス コントロール

Cisco ISE では、管理権限を制限することでセキュリティを確保するロールベース アクセス コントロール(RBAC)ポリシーが提供されます。RBAC ポリシーは、ロールおよび権限を定義するためにデフォルトの管理者グループに関連付けられています。標準的な権限セット(メニューおよびデータ アクセス)が、事前定義された管理者グループそれぞれとペアになっており、それによって、関連付けられたロールおよび職務機能と整合性がとられています。

ユーザー インターフェイスにある一部の機能には、使用するために特定の権限が必要です。ある機能が使用できない場合、または特定のタスクの実行が許可されない場合、その機能を利用するタスクを実行するのに必要な権限が自分の管理者グループにない場合があります。

アクセスレベルに関係なく、すべての管理者アカウントは、管理者がアクセスできるすべてのウィンドウで、権限を持つオブジェクトを変更または削除できます。


(注)  

ネットワーク管理者または読み取り専用管理者の権限を持つシステム定義の管理者ユーザーのみが、ユーザーグループに含まれていないアイデンティティベースのユーザーを表示できます。これらの権限なしで作成した管理者は、それぞれのユーザーを表示することはできません。

ロールベースの権限

Cisco ISE ではメニューおよびデータレベルの権限を設定することができます。これらは、メニューアクセス権限とデータアクセス権限と呼ばれます。

メニュー アクセス権限により、Cisco ISE 管理インターフェイスのメニューおよびサブメニュー項目を表示または非表示にすることができます。この機能によって、メニュー レベルのアクセスを制限または有効にすることができるように権限を作成することができます。

データアクセス権限により、Cisco ISE インターフェイスの管理者グループ、ユーザー ID グループ、エンドポイント ID グループ、ロケーション、およびデバイスタイプのデータへ、読み取り/書き込みアクセス権、読み取り専用アクセス権、またはアクセス権なしを付与できます。

RBAC ポリシー

RBAC ポリシーにより、管理者にメニュー項目やその他の ID グループ データ要素への特定のタイプのアクセスを付与できるかどうかが決定されます。RBAC ポリシーを使用して、管理者グループに基づく管理者に、メニュー項目または ID グループデータ要素へのアクセスを許可または拒否できます。管理者は、管理者ポータルにログインすると、関連付けられている管理者グループに定義されているポリシーおよび権限に基づいて、メニューおよびデータにアクセスできます。

RBAC ポリシーは、管理者グループをメニュー アクセス権限とデータ アクセス権限にマッピングします。たとえば、ネットワーク管理者に [管理者アクセス(Admin Access)] 操作メニューおよびポリシー データ要素を表示しないようにすることができます。これは、ネットワーク管理者が関連付けられるカスタム RBAC ポリシーを管理者グループに作成することで実現できます。


(注)  

管理者アクセス用にカスタマイズされた RBAC ポリシーを使用している場合は、特定のデータアクセスに関連するすべてのメニューアクセスが提供されていることを確認します。たとえば、ID またはポリシー管理者のデータ アクセス権を持つエンドポイントを追加または削除するには、[ワークセンター(Work Center)] > [ネットワークアクセス(Network Access)] と [管理(Administration)] > [IDの管理(Identity Management)] のメニュー アクセスを指定する必要があります。

デフォルトのメニュー アクセス権限

Cisco ISE では、事前定義された一連の管理者グループに関連付けられた、すぐに使用できる権限セットが用意されています。事前定義済みの管理者グループ権限により、任意の管理者グループのメンバーが、管理インターフェイス内のメニュー項目へのフル アクセス権または制限されたアクセス権(メニュー アクセスと呼ばれます)を持つように権限を設定したり、その他の管理者グループのデータ アクセス要素の使用(データ アクセスと呼ばれます)を管理者グループに委任するように権限を設定したりできます。これらの権限は、さまざまな管理者グループ用の RBAC ポリシーの策定にさらに使用できる再利用可能なエンティティです。Cisco ISE では、デフォルトの RBAC ポリシーですでに使用されている一連のシステム定義メニューアクセス権限が用意されています。定義済みのメニュー アクセス権限とは別に、Cisco ISE では RBAC ポリシーで使用できるカスタム メニュー アクセス権限を作成することができます。キーアイコンはメニューとサブメニューのメニューアクセス権限を表し、クロス付きのキーアイコンは異なる RBAC グループのアクセス権限がないことを表します。


(注)  

上級管理者ユーザーの場合、すべてのメニュー項目が使用可能です。その他の管理者ユーザーの場合、[メニューアクセス権限(Menu Access Privileges)] カラムのすべてのメニュー項目はスタンドアロン展開、および分散展開におけるプライマリノードで使用可能です。分散展開のセカンダリノードの場合、[管理(Administration)] タブの下のメニュー項目は使用不可です。

メニュー アクセス権限の設定

Cisco ISE では、RBAC ポリシーにマッピングできるカスタム メニュー アクセス権限を作成することができます。管理者のロールに応じて、管理者の特定のメニュー オプションのみへのアクセスを許可できます。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] > [メニューアクセス(Menu Access)] を選択します。

ステップ 2

[追加(Add)] をクリックし、[名前(Name)] フィールドおよび [説明(Description)] フィールドに値を入力します。

  1. [ISEナビゲーション構造(ISE Navigation Structure)] メニューを目的のレベルまで展開し、権限を作成するオプションをクリックします。

  2. [メニューアクセスの権限(Permissions for Menu Access)] ペインで [表示(Show)] をクリックします。

ステップ 3

[送信(Submit)] をクリックします。

データ アクセス権限を付与するための前提条件

RBAC 管理者がオブジェクト(たとえば「ユーザー ID グループ」データ型の「従業員」)へのフル アクセス権限を持っている場合、管理者はそのグループに属するユーザーの表示、追加、更新、削除を行うことができます。管理者に [ユーザー(Users)] ウィンドウのメニューのアクセス権限が付与されていることを確認します([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザー(Users)])。これは、ネットワークデバイスとエンドポイントオブジェクトに当てはまります(ネットワーク デバイス グループおよびエンドポイント ID グループのデータ型に付与されたアクセス権限に基づく)。

デフォルトのネットワーク デバイス グループ オブジェクト(すべてのデバイス タイプおよびすべてのロケーション)に属するネットワーク デバイスのデータ アクセスを有効にしたり、制限したりすることはできません。これらのデフォルト ネットワーク デバイス グループ オブジェクトの下に作成されたオブジェクトに対するフルアクセスデータ権限が付与される場合、すべてのネットワークデバイスが表示されます。このため、デフォルト ネットワーク デバイス グループ オブジェクトに依存しない、ネットワーク デバイス グループのデータ型の階層を別個に作成することをお勧めします。制限付きアクセスを作成するには、新たに作成されたネットワーク デバイス グループに、ネットワーク デバイス オブジェクトを割り当てる必要があります。


(注)  

管理者グループに対してではなく、ユーザー ID グループ、ネットワーク デバイス グループ、およびエンドポイント ID グループに関してのみ、データアクセス権限を有効にしたり制限したりできます。

デフォルトのデータ アクセス権限

Cisco ISE では、事前定義されたデータ アクセス権限のセットが付属しています。これらの権限により、複数の管理者が、同じユーザー母集団内でデータアクセス権限を持つことができます。データ アクセス権限の使用を 1 つ以上の管理者グループに対して有効化または制限することができます。このプロセスにより、1 つの管理者グループの管理者に対する自律委任制御が可能となり、選択的関連付けを介して選択済みの管理者グループのデータ アクセス権限を再利用できます。データアクセス権限の範囲は、フルアクセス権から、選択された管理者グループまたはネットワーク デバイス グループを表示するためのアクセス権なしまでとなります。RBAC ポリシーは、管理者(RBAC)グループ、メニュー アクセス、データ アクセス権限に基づいて定義されます。最初に、メニューアクセス権限とデータアクセス権限を作成し、次に、対応するメニューアクセス権限とデータアクセス権限に管理者グループを関連付ける RBAC ポリシーを作成する必要があります。RBAC ポリシーには、次の形式を使用します。admin_group=Super Admin の場合、スーパー管理者メニューアクセス権限とスーパー管理者データアクセス権限を割り当てます。定義済みのデータ アクセス権限とは別に、Cisco ISE では RBAC ポリシーと関連付けることができるカスタム データ アクセス権限を作成することができます。

管理者グループに付与することができる、フルアクセス、アクセスなし、読み取り専用という名前の 3 つのデータアクセス権限があります。

読み取り専用権限は次の管理者グループに付与できます。

  • [管理(Administration)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)]

  • [管理(Administration)] > [グループ(Groups)] > [ユーザー ID グループ(User Identity Group)]

  • [管理(Administration)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)]

  • [ネットワーク可視性(Network Visibility)] > [エンドポイント(Endpoints)]

  • [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)]

  • [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)]

  • [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)]

  • [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ユーザー ID グループ(User Identity Groups)]

  • [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)]

データタイプ([エンドポイント ID グループ(Endpoint Identity Groups)] など)に対して読み取り専用権限を持つ場合は、そのデータタイプに CRUD 操作を実行することはできません。オブジェクト(GuestEndpoints など)に対して読み取り専用権限を持つ場合には、そのオブジェクトに編集または削除操作を実行することはできません。

以下の図に、さまざまな RBAC グループのための追加のサブメニューまたはオプションを含む 2 番目または 3 番目のレベルのメニューに、データアクセス権限がどのように適用されるかを示します。

図 1. データ アクセス権限(Data Access Privileges)


ラベル

説明

1

[ユーザー ID グループ(User Identity Groups)] データタイプに対しフルアクセス権があることが示されています。

2

[エンドポイント ID グループ(Endpoint Identity Groups)] が、その子(Asia)に付与されている最大の権限(フルアクセス)を得ていることが示されています。

3

オブジェクト([ブロックリスト(Blocked List)])にはアクセス権限がないことが示されています。

4

親(Continents)が、その子(Asia)に付与されている最大のアクセス権限を得ていることが示されています。

5

オブジェクト([オーストラリア(Australia)])には読み取り専用アクセスがあることが示されています。

6

親([ネットワーク デバイス グループ(Network Device Groups)])にフルアクセスが付与されている場合は、子が自動的に権限を継承します。

7

親([アジア(Asia)])にフルアクセスが付与されている場合は、オブジェクトに権限が明示的に付与されていない限り、オブジェクトがフルアクセス権限を継承することが示されています。

データ アクセス権限の設定

Cisco ISE では、RBAC ポリシーにマッピングできるカスタム データ アクセス権限を作成することができます。管理者のロールに基づいて、データを選択するのみのアクセス権を管理者に提供することができます。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2

[権限(Permissions)] > [データ アクセス(Data Access)] を選択します。

ステップ 3

[追加(Add)] をクリックし、[名前(Name)] フィールドおよび [説明(Description)] フィールドに値を入力します。

  1. 管理者グループをクリックして展開し、対応する管理者グループを選択します。

  2. [フル アクセス(Full Access)]、[読み取り専用アクセス(Read Only Access)]、または [アクセスなし(No Access)] をクリックします。

ステップ 4

[保存(Save)] をクリックします。

読み取り専用管理ポリシー

デフォルトの読み取り専用管理者ポリシーは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(RBAC Policy)] ウィンドウで利用できます。このポリシーは、新規インストールとアップグレードされた展開の両方で使用できます。読み取り専用管理ポリシーは、読み取り専用管理者グループに適用されます。デフォルトでは、ネットワーク管理者メニュー アクセス権と読み取り専用データ アクセス権は、読み取り専用管理者に付与されます。このポリシーは複製できず、関連するデータアクセス権限は編集できません。


(注)  

  • デフォルトの読み取り専用ポリシーは、読み取り専用管理者グループに割り当てられます。読み取り専用管理者グループを使用してカスタム RBAC ポリシーを作成することはできません。

  • Cisco ISE は、読み取り専用管理者グループの静的チェックのみに基づく読み取り専用機能をサポートします。

読み取り専用管理者のメニュー アクセスのカスタマイズ

デフォルトでは、読み取り専用管理者にはネットワーク管理者メニュー アクセス権と読み取り専用管理者データ アクセス権が与えられます。ただし、ネットワーク管理者が読み取り専用管理者に [ホーム(Home)] タブと [管理(Administration)] タブのみを表示する必要がある場合、ネットワーク管理者はカスタムメニューアクセス権を作成したり、デフォルトのアクセス許可を MnT 管理者メニュー アクセス権またはポリシー管理者メニューアクセス権にカスタマイズすることができます。ネットワーク管理者は、読み取り専用管理ポリシーにマップされた読み取り専用データ アクセスを変更することはできません。

手順
ステップ 1

管理者用ポータルにネットワーク管理者としてログインします。

ステップ 2

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] > [メニューアクセス(Menu Access)] ページに移動します。

ステップ 3

[追加(Add)] をクリックして、[名前(Name)](MyMenu など)と [説明(Description)] を入力します。

ステップ 4

[メニュー アクセス権限(Menu Access Privileges)] セクションでは、[表示/非表示(Show/Hide)] オプションを選択して、読み取り専用管理者に表示する必要があるオプション([ホーム(Home)] タブや [管理(Administration)] タブなど)を選択できます。

ステップ 5

[送信(Submit)] をクリックします。

カスタムメニューアクセス権限は、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authorization)] > [ポリシー(Policy)] ページに表示される、読み取り専用管理ポリシーに対応する [権限(Permissions)] ドロップダウンに表示されます。
ステップ 6

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

ステップ 7

[読み取り専用管理者ポリシー(Read-Only Admin Policy)] に対応する [権限(Permissions)] ドロップダウンをクリックし、デフォルト([MnT 管理者メニューアクセス(MnT Admin Menu Access)])か、または[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] > [メニューアクセス(Menu Access)]ウィンドウで作成したカスタムメニューアクセス権限(MyMenu)を選択します。

ステップ 8

[保存(Save)] をクリックします。

(注)   

  • 読み取り専用管理者ポリシーにデータ アクセス権限を選択すると、エラーが発生します。

  • 読み取り専用管理者用ポータルにログインすると、ウィンドウ上部に読み取り専用のアイコンが表示され、指定したメニューオプションのみを表示できます(データアクセスなし)。