ゲストおよびセキュア Wi-Fi

Cisco ISE ゲスト サービス

Cisco Identity Services Engine(ISE)ゲストサービスを使用すると、ビジター、請負業者、コンサルタント、顧客などの ゲストにセキュアなネットワークアクセスを提供することができます。Cisco ISE の Base ライセンス を持つゲストをサポートでき、会社のインフラストラクチャと 機能の要件に応じて複数の展開オプションから選択 できます。

Cisco ISE は、企業のネットワークおよび内部リソースとサービスへのゲストおよび従業員のオンボーディングを行う Web ベースの モバイルポータルを提供します。

管理者ポータルで、 ゲストポータルおよびスポンサーポータルの作成と編集、ゲストタイプの定義によるゲストアクセス 権限の設定、ゲストアカウントの作成と管理のためのスポンサー権限 の割り当てを行うことができます。

ISE コミュニティリソース

ISE ゲストおよび Web 認証に関する ISE コミュニティリソースの リストについては、「 ISE Guest Access - ISE Guest and Web Authentication」を参照してください。

分散環境のエンドユーザのゲストポータルと スポンサーポータル

Cisco ISE のエンドユーザ Web ポータルは、管理ペルソナ、ポリシーサービスペルソナ、およびモニタリングペルソナに基づき、設定、 セッションサポート、およびレポート作成を提供します。

  • 管理ノード:ユーザ、デバイス、およびエンドユーザポータルが管理ノードに書き込まれる構成の変更。

  • ポリシーサービスノード:エンドユーザポータルはポリシーサービスノードで実行する必要があります。ここでは、ネットワークアクセス、クライアント プロビジョニング、ゲストサービス、ポスチャ、およびプロファイリングを含むすべてのセッショントラフィックが処理されます。ポリシーサービスノードがノードグループに含まれる場合、1 つのノードで障害が発生すると、 他のノードが障害を検出し、保留中のセッションをリセットします。

  • モニタリングノード:モニタリングノードは、デバイスポータル、スポンサーポータル、およびゲストポータルでのエンドユーザおよびデバイスの アクティビティについて、データを収集、集約、およびレポートします。プライマリ モニタリング ノードで障害が発生した場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノード になります。

ゲストアカウントとスポンサー アカウント

  • ゲストアカウント:ゲストとは、通常、ネットワークへの一時アクセスを必要とする承認ユーザ、担当者、顧客、その他のユーザを 表します。いずれかのゲスト展開シナリオを使用して、従業員のネットワークアクセスを許可する場合は、 従業員用のゲストアカウントを使用することもできます。スポンサーポータルにアクセスして、スポンサーおよびアカウント登録ゲストによって作成されたゲストアカウントを表示 できます。

  • スポンサーアカウント:スポンサーポータルを使用して、承認ユーザ用の一時アカウントを作成し、企業ネットワークまたはインターネットにセキュアにアクセス できるようにします。ゲストアカウントを作成した後、スポンサーポータルを使用してそれらのアカウントを管理し、ゲストに アカウントの詳細を提供できます。

次のユーザがゲスト アカウントを作成できます。

  • スポンサー:管理者ポータルで、ゲストアカウントを作成し管理するスポンサーポータルにアクセスできる、 スポンサーのアクセス権限と機能のサポートを定義できます。

  • ゲスト:ゲストは、アカウント登録ゲストポータルに自分自身を登録することによって、独自のアカウントを作成することもできます。これらのアカウント登録ゲストは、 ポータル設定に基づいて、ログインクレデンシャルを受け取る前にスポンサーの承認が必要になる場合があります。

    ゲストは、ホットスポット ゲスト ポータルを使用してネットワークにアクセスすることもできます。このポータルでは、ゲスト アカウントやユーザ名およびパスワードなどのログインクレデンシャルを作成する必要はありません。

  • 従業員:ID ストア(Active Directory、LDAP、内部ユーザなど)に含まれている従業員は、クレデンシャルを持つゲストポータル(Sponsored-Guest ポータルおよびアカウント登録ゲストポータル)が設定されている場合には、 これを使用してアクセスすることもできます。

ゲスト アカウントが作成されると、ゲストは Sponsored-Guest ポータルを使用してネットワークにログインおよびアクセスできます。

ゲスト タイプおよびユーザ ID グループ

各ゲスト アカウントをゲスト タイプに関連付ける必要があります。ゲストタイプを使用して、スポンサーは、ゲストアカウントに対して、 さまざまなレベルのアクセス権や、さまざまなネットワーク接続時間を割り当てることができます。これらのゲストタイプは、特定のネットワーク アクセス ポリシーに関連付けられます。Cisco ISE には、次のデフォルト ゲスト タイプが含まれます。

  • 担当者:長い期間(最大 1 年)、 ネットワークへのアクセスを必要とするユーザ。

  • 日次:1 ~ 5 日間の短期間に、 ネットワークリソースへのアクセスを必要とするゲスト。

  • 週次:2 ~ 3 週間の間、 ネットワークへのアクセスを必要とするユーザ。

ゲストアカウントを作成する場合、 特定のスポンサーグループを特定のゲストタイプを使用するように制限することができます。このようなグループのメンバーは、 そのゲストタイプに指定された機能のみを持つ ゲストを作成できます。たとえば、スポンサーグループ ALL_ACCOUNTS は担当者ゲストタイプのみを使用するように設定でき、 スポンサーグループ OWN_ACCOUNTS および GROUP_ACCOUNTS は日次または週次ゲストタイプを使用するに設定できます。また、通常、 アカウント登録ゲストポータルを使用するアカウント登録ゲストは、1 日のみのアクセスを必要とするため、 これらのゲストには日次ゲストタイプを割り当てることができます。

ゲスト タイプは、ゲストのユーザ ID グループを定義します。

詳細については、以下を参照してください。

  • Cisco ISE Admin Guide: Asset Visibility』の「User Identity Groups」の項を参照してください

  • Cisco ISE Admin Guide: Asset Visibility』の「Create a User Identity Group」の項を参照してください

ゲストタイプの作成または 編集

デフォルトのゲストタイプとデフォルトのアクセス 権限や設定を編集できます。または、新しいゲストタイプを作成できます。ユーザが行った変更は、 このゲストタイプを使用して作成された既存のゲストアカウントに適用 されます。ログインしているゲストユーザには、ログアウトして再度ログインするまでこれらの変更は 表示されません。また、ゲストタイプを複製して、同じアクセス権限を持つ追加のゲスト タイプを作成できます。

各ゲストタイプに名前、説明、およびこのゲストタイプでゲストアカウントを作成できる スポンサーグループのリストがあります。ゲストタイプに対して、 アカウント登録ゲストにのみ使用すること、(任意のスポンサーグループによる)ゲストアカウントの 作成には使用しないこと、などを指定できます。

手順

下記で説明するフィールド に入力します。

これら 設定のナビゲーションパスは、[ゲストアクセス(Guest Access)] > [設定(Configure)] > [ゲストタイプ(Guest Types)] です。これらの設定を使用して、 ネットワークにアクセスできるゲストのタイプおよびそのアクセス権限を作成します。また、 このタイプのゲストを作成できるスポンサーグループを指定できます。

フィールド 使用上のガイドライン

ゲスト タイプ名(Guest type name)

デフォルトのゲストタイプおよび作成した別のタイプと区別できるこのゲストタイプの名前を入力します (1 ~ 256 文字)。

説明

このゲストタイプの推奨される使用方法に関する追加情報(最大 2000 文字)を入力します(「アカウント登録ゲストに使用」、 「ゲストアカウントの作成に使用禁止」など)。

言語ファイル(Language File)

このゲスト タイプを使用してポータルに使用する言語ファイルをエクスポートまたはインポートします。

追加データの収集(Collect Additional Data)

ゲストから追加の情報を収集するにはカスタム フィールドを選択します。

カスタムフィールドは、[ゲストアクセス(Guest Access)] > [設定(Settings)] > [カスタムフィールド(Custom Fields)] で管理されます。

最大アクセス時間—アカウント有効期間の開始(Maximum Access Time—Account Duration Starts)

[最初のログインから(From first login)] :アカウントの開始時刻は、ゲストユーザがゲストポータルに最初にログインしたときに開始され、終了時刻は指定された期間に 相当します。ゲストユーザはログインしなければ、アカウントがゲストアカウントの消去ポリシーによって削除されるまで、 アカウントは初回ログイン待ち状態のままになります。自己登録され、スポンサーが作成したユーザアカウントは、作成して自分のアカウントに ログオンした時点から始まります。

 

[これらの曜日および時間のみアクセスを許可(Allow access only on these days and times)] を使用すると、ロケーションは、これらの時間のコンテキストで使用されます。FFL アクセスがロケーションに基づかないようにするには、 アクセス用の日付と時刻を設定しないでください。

[スポンサーが指定した日付から(From sponsor-specified date)]:このゲストタイプのゲストがアクセスでき、ネットワークに接続され続けることができる、最大の日数、時間または分を 1 ~ 999 で指定します。

この設定を変更した場合、変更内容はこのゲスト タイプを使用して作成された既存のゲスト アカウントには適用されません。

これらの曜日および時間のみアクセスを許可(Allow access only on these days and times)

時間範囲を入力し、曜日を選択して、このゲスト タイプがいつネットワークにアクセスできるかを指定します。このゲスト タイプがこれらの時間パラメータを超えて接続を維持している場合、ログオフされます。時間範囲は、このゲストタイプを使用してゲストに 割り当てられた場所で定義されたタイムゾーンに基づきます。

+ および - をクリックして、アクセス時間制限を増減します。

ゲスト アカウントの消去ポリシーの設定(Configure guest account Purge Policy)

エンドポイント消去ジョブをスケジュールできます。エンドポイントの消去スケジュールはデフォルトで有効になっており、 Cisco ISE は 30 日以上経過したエンドポイントを削除します。詳細については、『Cisco ISE Admin Guide: Maintain and Monitor 』の「Endpoints Purge Settings」の項を参照してください。

ログイン オプション—最大同時ログイン数(Login Options—Maximum simultaneous logins)

このゲスト タイプが同時に実行できる最大ユーザ セッション数を入力します。

ゲストが制限を超えた場合(When guest exceeds limit)

[最大同時ログイン数(Maximum simultaneous logins)] を選択した場合は、その制限に到達した後にユーザが接続したときに実行するアクションも選択する必要があります。

ゲストが制限を超えた場合

  • 最も古い接続を切断(Disconnect the oldest connection)

  • 最も新しい接続を切断(Disconnect the newest connection)

    • エラーメッセージを示すポータルページにユーザをリダイレクトする(Redirect user to a portal page showing an error message):特定の時間エラーメッセージが表示され、その後セッションが切断されてユーザがゲストポータル にリダイレクトされます。エラーページの内容は、[メッセージ(Messages)] > [エラーメッセージ(Error Messages)] タブの [ポータルページのカスタマイズ(Portal Page Customization)] ダイアログで設定します。

ゲストが登録可能な最大デバイス数(Maximum devices guests can register)

各ゲストに登録できるデバイスの最大数を入力します。そのゲストタイプのゲストに登録済みの値より 小さい値を最大数として設定できます。この値は、新しく作成されたゲスト アカウントにのみ適用されます。

ゲストにゲスト ポータルのバイパスを許可する(Allow guest to bypass the Guest portal)

クレデンシャルを持つゲストのキャプティブポータル(Web 認証ページ)をバイパスし、有線およびワイヤレス(dot1x)サプリカントまたは VPN クライアントに 認証情報を提供することでネットワークにアクセスすることをユーザに許可します。ゲストアカウントは、[初期ログインを待機(Awaiting Initial Login)] 状態と AUP ページをバイパスして [アクティブ(Active)] 状態になります。

この設定を有効にしない場合、ユーザは初めにクレデンシャルを持つゲストのキャプティブポータルを使用してログインしないと、 ネットワークの他の部分にアクセスできません。

アカウント期限切れ通知—アカウント期限切れの__日前にアカウント期限切れ通知を送信する(Account Expiration Notification—Send account expiration notification __ days before account expires)

ゲストのアカウントが期限切れになる前にゲストに通知を送信します。期限切れの何日前、何時間前、または何分前に通知するかを指定します。

メッセージの表示言語(View messages in)

電子メールまたは SMS 通知の表示言語を指定します。

E メール

アカウントの失効通知に使用する手段としてメールを選択します。

次のカスタマイズを使用(Use customization from)

別のポータルから電子メールのカスタマイズを選択します。

メッセージ

アカウントの有効期限通知に使用するテキストを入力します。

テキストのコピー元(Copy text from)

アカウントの期限切れ通知のために別のゲスト タイプ用に作成した電子メール テキストを再利用します。

テスト電子メールの送信先(Send test email to me at)

自分の電子メール アドレスに送信することによって、電子メール通知が意図したとおりに表示されることを確認します。

SMS

アカウントの失効通知に使用する手段としてテキスト(SMS)を選択します。

メッセージ

アカウントの有効期限通知に使用するテキストを入力します。

テキストのコピー元(Copy text from)

別のゲスト タイプ用に作成したテキスト メッセージを再使用します。

テスト SMS の送信先(Send test SMS to me at)

自分の携帯電話に送信することによって、テキスト通知が意図したとおりに表示されることを確認します。

これらのスポンサー グループはこのゲスト タイプを作成できる(These sponsor groups can create this guest type)

このゲスト タイプでゲスト アカウントを作成できるスポンサー グループを選択します。

このゲスト タイプの使用を無効にする場合は、いずれのスポンサー グループにも割り当てないでください。このゲストタイプの使用を中止するには、 リストされたスポンサーグループを削除します。

次の作業

  • このゲスト タイプを使用するスポンサー グループを作成または変更します。

  • 該当する場合は、アカウント登録ゲストポータルで、 このゲストタイプをアカウント登録ゲストに割り当てます。

ゲスト タイプの無効化

ゲストアカウントで 使用されているゲストタイプのうち、最後に残ったゲストタイプは削除 できません。使用されているゲストタイプを削除するには、最初にそのゲストタイプが 使用できなくなることを確認します。ゲストタイプをディセーブルにしても、 そのゲストタイプで作成したゲストアカウントには影響しません。

次の手順で、ターゲット ゲスト タイプを準備および無効にする方法を説明します。

手順

ステップ 1

ターゲット ゲスト タイプを使用して、スポンサーがゲストを作成するのを許可しているスポンサー グループを識別します。[ワークセンター(Work Centers)][ゲストアクセス(Guest Access)][ポータルとコンポーネント(Portals and Components)][スポンサーグループ(Sponsor Groups)] を選択し、各スポンサーグループを開いて、[このスポンサーグループはこれらのゲストタイプを使用してアカウントを作成できます(This sponsor group can create accounts using these guest types)] リストを調べます。

ステップ 2

ターゲット ゲスト タイプを割り当てるアカウント登録ポータルを識別します。[ワークセンター(Work Center)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals and Components)] > [ゲストポータル(Guest Portals)] を選択します。各アカウント登録ゲスト ポータルを開きます。ポータルが特定のゲストタイプを使用している場合、[ポータル設定(Portal Settings)] を展開し、[ゲストとしてこのポータルを使用する従業員のログインオプションの継承元(Employees using this portal as guests inherit login options from)] フィールドに割り当てられたゲストタイプを変更します。

ステップ 3

削除するゲスト タイプを開き、前の手順で識別したすべてのスポンサー グループを削除します。この操作により、 効果的に、すべてのスポンサーがこのゲストタイプの新しいゲストアカウントの作成を使用できなくします。[ワークセンター(Work Center)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals and Components)] > [ゲストタイプ(Guest Type)] を選択します。

これで完了です。実際にゲスト タイプは削除できません。将来的にすべてのポータルで使用しないことを確認します。

エンドポイントユーザの 最大同時ログイン数の設定

ゲストに許可される同時ログインの最大数を設定できます。

ユーザがゲストポータルにログインし、正常に認証されると、ユーザがすでにログインの最大数に達しているかどうかを確認するために、 ユーザの既存のログイン数がチェックされます。達していた場合、ゲスト ユーザはエラー ページにリダイレクトされます。 エラー ページが表示され、セッションが停止します。そのユーザがインターネットに再度アクセスしようとすると、 ユーザの接続はゲストポータルのログインページにリダイレクトされます。

はじめる前に

このポータルの許可ポリシーで使用している許可プロファイルで [アクセスタイプ(Access Type)] Access_Accept に設定されていることを確認します。[アクセスタイプ(Access Type)] Access_Reject に設定されている場合は、最大同時ログイン数は機能しません。

手順

ステップ 1

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Type)] の順に選択し、[ログインオプション(Login Options)] の下で次の操作を実行します。

  1. [最大同時ログイン数(Maximum simultaneous logins)] を有効にします。これは、デフォルトのゲスト タイプですでに有効になっています。

  2. [ゲストが制限を超えた場合(When guest exceeds limit)] の下で、[最も新しい接続を切断(Disconnect the newest connection)] を選択します。

  3. [エラーメッセージを示すポータルページにユーザをリダイレクトする(Redirect user to a portal page showing an error message)] を選択して、許可する同時ログインの最大数を選択します。

ステップ 2

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] を選択して認証プロファイルを作成します。

  1. [共通タスク(Common Tasks)] で、[Webリダイレクション(Web Redirection)] をチェックし、次の操作を実行します。

    • 最初のドロップダウンで、[中央集中 Web 認証(Centralized Web Auth)] を選択します。

    • 前提条件の一部として作成した ACL を入力します。

    • [値(Value)] の場合、リダイレクト先のゲストポータルを選択します。

  2. [一般的なタスク(Common Tasks)] でスクロールダウンして、[再認証(Reauthentication)] をチェックして、次を行います。

    • [タイマー(Timer)] に、ユーザがゲストポータルにリダイレクトされる前にエラーページが表示される時間を入力します。

    • [再認証中に接続を維持(Maintain Connectivity During Reauthentication)] で、[デフォルト(Default)] を選択します。

ステップ 3

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択して、 属性 NetworkAccess.SessionLimitExceeded が true の場合にユーザがポータルにリダイレクトされるように、許可ポリシーを作成 します。

次の作業

[ポータルページのカスタマイズ(Portal Page Customization)] タブで エラーページのテキストをカスタマイズするには、 [メッセージ(Messages)][エラーメッセージ(ErrorMessages)] タブで、エラーメッセージキー ui_max_login_sessions_exceeded_error のテキストを変更します。

期限切れのゲスト アカウントを消去するスケジューリング設定

アクティブなまたは一時停止されたゲストアカウントが アカウント有効期間(スポンサーがアカウントを作成するときに定義)の終了に達すると、 そのアカウントは失効します。ゲストアカウントが期限切れになった場合、影響を受けるゲストはネットワークに アクセスできません。スポンサーは、期限切れになったアカウントを、消去される前に延長することができます。 ただし、アカウントが消去された場合、スポンサーは、新しいアカウントを作成する必要があります。

期限切れに なったゲストアカウントが消去された場合、関連するエンドポイントおよびレポート情報とロギング 情報は保持されます。

Cisco ISE は、デフォルトで 15 日ごとに期限切れになったゲストアカウントを 自動的に消去します。[次回消去日(Date of next purge)] は、次の消去の発生時期を示します。次のことも実行できます。

  • X 日ごとに 消去が行われるようにスケジュール設定します。最初の消去は X 日後の 消去の 時刻に行われ、その後消去は X 日ごとに行われます。

  • X 週間ごとに 特定の曜日に消去が行われるようにスケジュール設定します。最初の消去は次の その 曜 日消去の 時刻に行われ、その後消去は設定された週数おきにその曜日と時刻 に行われます。たとえば、月曜日に、5 週間おきに木曜日に消去が行われるように 設定したとします。次の消去は、今から 5 週間後の木曜日ではなく、 その週の木曜日に行われます。

  • [今すぐ消去(Purge Now)] をクリックして、ただちに消去を行います。

消去が実行されるように スケジュールされているときに Cisco ISE サーバがダウンした場合は、消去は行われません。消去 プロセスは、サーバがその時点で動作していれば、次にスケジュールされている消去時刻に 再度実行されます。

手順

ステップ 1

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [ゲストアカウント消去ポリシー(Guest Account Purge Policy)] の順に選択します。

ステップ 2

次のオプションの いずれかを選択します。

  • 期限切れのゲストアカウントレコードを即時に消去するには、[今すぐ消去(Purge Now)] を クリックします。
  • 消去をスケジュールするには、[期限切れのゲストアカウントの消去のスケジュール(Schedule purge of expired guest accounts)] をオンにします。
     

    各 消去の完了後に、[次回消去日(Date of next purge)] が次にスケジュールされている消去に合わせてリセット されます。

ステップ 3

[経過後にポータルユーザ情報を期限切れにする(Expire portal-user information after)] で、ユーザを期限切れにするための非アクティブ日数を指定します。この 設定により、使用されていない LDAP および Active Directory アカウントが ISE データベースに 無期限に残ることを防ぎます。

最初のログインが行われない 場合、指定された期間の終了時にゲストアカウントが期限切れ状態になり、 設定された消去ポリシーに基づいて消去されます。

ステップ 4

[経過後にポータルユーザ情報を期限切れにする(Expire portal-user information after)] で、ユーザを期限切れにするための非アクティブ日数を指定します。この設定により、使用されていない LDAP および Active Directory アカウントが ISE データベースに無期限に残ることを 防ぎます。

ステップ 5

[保存(Save)] をクリックします。設定 の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

ゲストアカウント作成用 のカスタムフィールドの追加

ゲスト アクセスを提供する場合、名前、電子メールアドレス、電話番号以外の情報をゲストから 収集する必要がある場合があります。Cisco ISE には、会社のニーズに固有の、 ゲストに関する追加情報の収集に使用できる カスタムフィールドが用意されています。ゲストタイプおよびアカウント登録ゲストポータルと スポンサーポータルにカスタムフィールドを関連付けることができます。Cisco ISE はデフォルトのカスタムフィールドを提供しません。

手順

ステップ 1

すべてのゲストポータル とスポンサーポータルのカスタムフィールドを追加、編集、または削除するには、[ゲストアクセス(Guest Access)] > [設定(Settings)] > [カスタムフィールド(Custom Fields)] を選択します。

ステップ 2

[カスタムフィールド名(Custom Field Name)] に入力し、ドロップダウンリストから データ タイプを選択し、カスタムフィールドに関する追加情報を提供するのに役立つ ヒント テキストを入力します。 たとえば、Date of Birth と入力し、[Date-MDY] を選択して、日付形式に関するヒント として MM/DD/YYYY を入力します。

ステップ 3

[追加(Add)] をクリックします。

カスタム フィールドがリストにアルファベット順またはソート順序のコンテキストで 表示されます。

ステップ 4

[保存(Save)] をクリックします。設定 の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

 

カスタムフィールド を削除すると、ゲストタイプの [カスタムフィールド(Custom Fields)] リスト、および アカウント登録ゲストポータルとスポンサーポータルの設定で選択できなくなります。フィールドが使用されている場合、[削除(Delete)] は無効になります。

次の作業

目的のカスタムフィールド を含めることが可能です。

  • その ゲストタイプで作成されたアカウントにこの情報が含まれるようにゲストタイプを定義する 場合。「 ゲストタイプの 作成または編集」を参照してください。

  • ゲストアカウントの作成時にスポンサー が使用するスポンサーポータルを設定する場合。 を参照してください。
  • アカウント登録ゲストポータルを 使用してアカウント登録ゲストからの情報を要求する場合。「 アカウント登録ゲストポータルの作成」を参照してください。

電子メールでの 通知用の電子メールアドレスおよび SMTP サーバの指定

Cisco ISE では、 スポンサーおよびゲストに、情報と手順を通知する電子メールを送信 できます。これらの電子メールでの通知を配信するように SMTP サーバを 設定できます。また、ゲストに通知を送信する電子メールアドレス を指定できます。


ゲスト通知には、UTF-8 に互換性がある電子メール クライアントが必要です。

シングル クリック スポンサーの承認機能を使用するには、HTML 対応の電子メール クライアント(機能を有効にする)が必要です。

手順

ステップ 1

電子メール設定 を指定し、すべてのゲストポータルおよびスポンサーポータルの SMTP サーバを設定するには、 [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [ゲスト電子メールの設定(Guest Email Settings)] の順に選択します。

ステップ 2

[ゲストへの電子メール通知を有効にする(Enable email notifications to guests)] はデフォルトでオンになっています。この設定を無効にした場合、ゲストは、ゲストポータルとスポンサーポータルの設定中に 有効にした他の設定に関係なく、電子メールでの通知を受信しません。

ステップ 3

ゲストに電子メールでの通知を送信するために指定されている [デフォルトの送信元メールアドレス(Default “From” email address)] を 入力します。たとえば、donotreply@ yourcompany.com と入力します。

ステップ 4

次のいずれか を実行します。

  • ゲストのアカウントを作成したスポンサーからの通知をゲストが受信するようにする場合は、[スポンサーの電子メールアドレスから通知を送信する(スポンサードの場合)(Send notifications from sponsor's email address (if sponsored))] を オンにします 。アカウント登録ゲストは、デフォルトの電子メールアドレスから通知 を受信します。
  • ゲストがスポンサードかアカウント登録かに関係なく通知を受信するようにする場合は、[常にデフォルトの電子メールアドレスから通知を送信する(Always send notifications from the default email address)] を オンにします 。
ステップ 5

[保存(Save)] をクリックします。設定 の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

ゲストの ロケーションおよび SSID の割り当て

ゲストロケーション はタイムゾーンの名前を定義し、ゲストにログインした時間関連設定を適用するために ISE によって 使用されます。ゲストロケーションは、ゲストアカウントを作成するスポンサー、 およびアカウント登録ゲストによってゲストアカウントに割り当てられます。デフォルトの ゲストロケーションは San Jose です。他のゲストロケーションが追加されていない場合、すべてのアカウント にこのゲストロケーションが割り当てられます。1 つ以上の新しいロケーションを作成しないと、 San Jose のゲストロケーションは削除できません。すべてのゲストが San Jose と 同じタイムゾーンにいる場合を除き、必要なタイムゾーンで少なくとも 1 つのゲストロケーション を作成します。


ゲスト アクセスの時間は、ゲスト ロケーションのタイム ゾーンに基づきます。ゲストロケーションのタイムゾーンがシステムの タイムゾーンと一致しないと、ゲストユーザはログインできなくなることがあります。この場合、ゲスト ユーザには「認証に失敗しました(Authentication Failed)」エラーが表示されることがあります。デバッグレポート に「ゲストのアクティブ時間はまだ開始していません(Guest active time period not yet started)」というエラーメッセージが表示されることがあります。回避策として、[アカウントの管理(Manage Accounts)] オプションを 使用して、ゲストユーザのローカルタイムゾーンに一致するようにゲストのアクセス開始時刻を調整できます。

ここで追加 する SSID はスポンサーポータルで使用できるため、スポンサーは接続する SSID をゲストに伝えることができます。

ゲストロケーション または SSID がスポンサーポータルで設定されている場合、またはゲストアカウントに割り当てられている場合は、 削除できません。

手順

ステップ 1

ゲストポータルおよびスポンサーポータルのゲストロケーションと SSID を追加、編集、または削除するには、[ワークセンター(Work Centers)] > [ポータルとコンポーネント(Portals & Components)] > [設定(Settings)] > [ゲストロケーションおよび SSID(Guest Locations and SSIDs)] を選択します。

ステップ 2

[ゲストロケーション(Guest Locations)]

  1. サポートが 必要な各タイムゾーンに対し、[ロケーション名(Location name)] に入力し、ドロップダウンリストから [タイムゾーン(Time zone)] を選択します。

  2. [追加(Add)] をクリックします。

     
    ゲスト ロケーションでは、場所の名前、タイム ゾーンの名前、および GMT オフセットはスタティックであり、これらを変更できません。 GMT オフセットは夏時間の変更によって変更されません。GMT オフセットは、リストに表示されているオフセットとは 逆です。たとえば、Etc/GMT+3 は実際には GMT-3 です。
     
    初回ログインの ゲストタイプの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Types)] ページでアクセス時間制限を設定する場合にのみ、ゲストロケーション(タイムゾーン)を設定することを確認してください。
ステップ 3

[ゲスト SSID(Guest SSIDs)]

  1. ゲストロケーションでゲストが使用できるネットワークの SSID 名を入力 します。

  2. [追加(Add)] をクリックします。

ステップ 4

[保存(Save)] をクリックします。最後に保存した値に戻すには、[リセット(Reset)] をクリックします。

次の作業

新しい ゲストロケーションまたは SSID を追加すると、次のことが可能になります。

  • スポンサーが ゲストアカウントを作成するときに使用できる SSID を提供します。「 スポンサーポータルのポータル設定」を参照してください。

  • スポンサーグループにゲスト ロケーションを追加して、ゲストアカウントの作成時にそのグループに割り当てられたスポンサーが 使用できるようにします。「 スポンサーグループの設定」を参照してください。

  • アカウント 登録ゲストポータルを使用してアカウント登録ゲストに使用可能なゲストロケーション を割り当てます。「 アカウント登録ゲストポータルの作成」を参照してください。

  • 既存のゲスト アカウントの場合は、アカウントを手動で編集して SSID またはロケーションを追加します。

ゲストパスワード ポリシーのルール

Cisco ISE には、ゲスト ユーザ パスワードについて次の組み込みルールがあります。

  • ゲストパスワードポリシーは、スポンサーポータル、アカウント登録ポータル、CSV ファイルでアップロードされたアカウント、 ERS API を使用して作成されたパスワード、およびユーザが作成したパスワードに適用されます。

  • ゲストパスワードポリシーに対する変更は、ゲストパスワードの期限が切れて変更が必要になるまで、 既存のアカウントに影響しません。

  • パスワードは大文字・小文字の区別をします。(Unable to authenticate using the domain name, user name, and password that you specified. Please check the values that you entered and try again. Passwords are case sensitive.)」

  • 特殊文字(<、>、/、スペース、カンマ、%)を使用することはできません。

  • 最小長および最小必須文字数は、すべてのパスワードに適用されます。

  • パスワードとユーザ名を同じにすることはできません。

  • 新規パスワードと既存パスワードを同じにすることはできません。

  • ゲスト アカウントの期限切れとは異なり、ゲストはパスワードが期限切れになる前に通知を受信しません。ゲストパスワードが期限切れになった場合は、 スポンサーがパスワードをランダムパスワードにリセットするか、 ゲストが現在のログインクレデンシャルを使用してログインしてからパスワードを変更することができます。


ゲストのデフォルト ユーザ名は 4 文字の英字からなり、パスワードは 4 文字の数字からなります。短期間のゲストには、短く覚えやすいユーザ名と パスワードが適切です。必要に応じて ISE でユーザ名とパスワードの長さを変更できます。

ゲスト パスワード ポリシーと有効期限の設定

すべてのゲストポータルのパスワード ポリシーを定義できます。ゲストパスワードポリシーは、すべてのゲストアカウントの パスワードの生成方法を決定します。パスワードはアルファベット、 数字、特殊文字を組み合わせて作成することができます。また、ゲストパスワードが期限切れになるまでの日数を設定し、 ゲストにパスワードのリセットを要求することが できます。

ゲストパスワードポリシーは、スポンサーポータル、アカウント登録ポータル、CSV ファイルでアップロードされたアカウント、 ERS API を使用して作成されたパスワード、およびユーザが作成したパスワードに適用されます。

手順

ステップ 1

[ゲストアクセス(Guest Access)] > [設定(Settings)] > [ゲストパスワードポリシー(Guest Password Policy)] を選択します。

ステップ 2

ゲストパスワードの [最小パスワード長(Minimum password length)] (文字数)を入力します。

ステップ 3

パスワードの作成にゲストが 使用できる各文字セットの文字を指定します。

[許可される文字数と最小値(Allowed Characters and Minimums)] で次のいずれか 1 つのオプションを選択して、ゲスト用のパスワードポリシーを指定します。
  • 各文字セットのすべての 文字を使用します。
  • 特定の文字の使用を防止する には、ドロップダウンメニューから [カスタム(Custom)] を選択し、その文字を 事前定義済みの完全なセットから削除します。
ステップ 4

各セットから、 使用する最小文字数を入力します。

4 つの 文字セットの必須文字数の合計が、 全体の 最小 パスワード長を超えないようにする必要があります。
ステップ 5

[パスワードの有効期限(Password Expiration)] で、次のオプションのいずれかを選択します。

  • 最初にログインしてからゲストがパスワードを変更する必要がある頻度( 日数)を指定します。 期限切れになる前にゲストがパスワードをリセットしないと、 次回に元のログインクレデンシャルを使用してネットワークにログインするときに、 パスワードを変更するように促されます。
  • パスワードを無期限に 設定します。
ステップ 6

[保存(Save)] をクリックします。設定 の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

次の作業

パスワード要件を 提示するためのパスワードポリシーに関連したエラーメッセージを カスタマイズする必要があります。

  1. [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [Sponsored-Guest ポータル(Sponsored-Guest Portals)] または [アカウント登録ゲストポータル(Self-Registered Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [エラーメッセージ(Error Messages)] を選択します。

  2. キーワード 「policy」を検索します。

ゲストユーザ名 ポリシーのルール

Cisco ISE には、 ゲストユーザ名ポリシーについて次の組み込みルールがあります。

  • ゲストユーザ名ポリシー に対する変更は、ゲストアカウントの期限が切れて変更が必要になるまで、 既存のアカウントに影響しません。

  • 特殊文字(<、>、/、スペース、カンマ、%)を使用することはできません。

  • 最小長および最小必須文字数は、 電子メールアドレスに基づいたユーザ名を含め、 すべてのシステム生成ユーザ名に適用されます。

  • パスワードと ユーザ名を同じにすることはできません。

ゲスト ユーザ名ポリシーの設定

ゲストユーザ名の作成方法に 関するルールを設定できます。生成されるユーザ名は、電子メールアドレスに基づいて、 またはゲストの姓と名に基づいて作成できます。また スポンサーは、ランダムな数のゲストアカウントを作成し、複数のゲストを作成する場合、 またはゲストの名前と電子メールアドレスが利用できない場合に時間を短縮する こともできます。ランダムに生成されたゲストユーザ名は、 アルファベット、数字、および特殊文字の組み合わせから成ります。これらの設定は、すべてのゲストに影響します。

手順

ステップ 1

すべてのゲストポータルとスポンサーポータルのゲストユーザ名ポリシーを定義するには、[ワークセンター(Work Centers)] > [ポータルとコンポーネント(Portals & Components)] > [設定(Settings)] > [ゲストユーザ名ポリシー(Guest Username Policy)] の順に選択します。

ステップ 2

ゲストユーザ名の [ユーザ名の最小長(Minimum username length)] (文字数)を入力します。

ステップ 3

[既知のゲストのユーザ名基準(Username Criteria for Known Guests)] で次のいずれか 1 つのオプションを選択して、既知のゲストの ユーザ名を作成するためのポリシーを指定します。

ステップ 4

[ランダムに生成されるユーザ名で使用できる文字(Characters Allowed in Randomly-Generated Usernames)] で次のいずれか 1 つのオプションを選択して、ゲストのランダムユーザ名を作成するためのポリシーを指定します。

  • 各文字セットのすべての文字を 使用します。
  • 特定の文字の使用を防止する には、ドロップダウンメニューから [カスタム(Custom)] を選択し、その文字を 事前定義済みの完全なセットから削除します。
ステップ 5

各セットから、 使用する最小文字数を入力します。

3 つの文字セット からの 合計文字数は、[ユーザ名の最小長(Minimum username length)] に指定されている数を超えないようにする必要があります。
ステップ 6

[保存(Save)] をクリックします。設定 の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

次の作業

ユーザ名要件を 提示するためのユーザ名ポリシーに関連したエラーメッセージを カスタマイズする必要があります。

  1. [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [Sponsored-Guest ポータル(Sponsored-Guest Portal)]、[アカウント登録ゲストポータル(Self-Registered Guest Portals)]、[スポンサーポータル(Sponsor Portals)]、または [デバイスポータル(My Devices Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [エラーメッセージ(Error Messages)] の順に選択します。

  2. キーワード 「policy」を検索します。

SMS プロバイダーおよび サービス

SMS サービスは、クレデンシャルを持つゲスト ポータルを使用しているゲストに SMS 通知を送信します。SMS メッセージを送信する予定がある場合は、 このサービスを有効にします。可能な限り、会社の経費を削減するために、無料の SMS サービス プロバイダーを設定および提供します。

Cisco ISE は、加入者に無料の SMS サービスを提供するさまざまなセルラー サービス プロバイダーをサポートします。Cisco ISE で サービス契約とアカウントクレデンシャルを設定せずに、これらのプロバイダーを使用できます。セルラーサービスプロバイダー には、ATT、Orange、Sprint、T-Mobile、Verizon などがあります。

また、無料の SMS サービスを 提供するその他のセルラー サービス プロバイダー、または Click-A-Tell などのグローバル SMS サービス プロバイダーも追加できます。デフォルトのグローバル SMS サービスプロバイダーには、 サービス契約が必要です。また、Cisco ISE のアカウントクレデンシャルを設定する必要が あります。

  • アカウント登録ゲストがアカウント登録フォームで無料 SMS サービスプロバイダーを選択すると、 SMS 通知がログインクレデンシャルとともに無料で送信されます。SMS サービスプロバイダーを選択しない場合は、 会社が契約したデフォルトのグローバル SMS サービスプロバイダーが SMS 通知を送信します。

  • 自分が作成したゲストアカウントに対してスポンサーが SMS 通知を送信できるようにする場合は、 スポンサーポータルをカスタマイズして、使用できる適切な SMS サービスプロバイダーをすべて選択します。スポンサーポータル用の SMS サービスプロバイダーを選択しない場合は、 会社が契約したデフォルトのグローバル SMS サービスプロバイダーが SMS サービスを提供します。

SMS プロバイダーは、ISE の SMS ゲートウェイとして設定されます。ISE からの電子メール は SMS ゲートウェイにより SMS に変換されます。 SMS ゲートウェイはプロキシサーバ の背後に配置できます。

ゲストに SMS 通知を送信するための SMS ゲートウェイの設定

次のことができるようにするには、Cisco ISE で SMS ゲートウェイを設定する必要があります。

  • ログイン クレデンシャルおよびパスワード リセット手順に関する SMS 通知をスポンサーがゲストに手動で送信します。

  • ゲストが、自分自身の登録に成功した後、自分のログイン資格情報が含まれた SMS 通知を自動的に受信します。

  • ゲスト アカウントの期限が切れる前に実行するアクションに関する SMS 通知をゲストが自動的に受信します。

情報をフィールドに 入力するときは、[USERNAME]、[PASSWORD]、[PROVIDER_ID] など、 [ ] 内のすべてのテキストを、 SMS プロバイダーのアカウントに固有の情報で更新する必要があります。

はじめる前に

[SMS 電子メールゲートウェイ(SMS Email Gateway)] オプション に使用するデフォルト SMTP サーバを設定します。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

次の表を使用して、SMS ゲートウェイを設定します。

表 1.SMS 電子メール ゲートウェイの SMS ゲートウェイ設定
フィールド 使用上のガイドライン

SMS ゲートウェイ プロバイダー ドメイン(SMS Gateway Provider Domain)

プロバイダードメインと、ゲストアカウントの携帯電話の番号を入力します。プロバイダーの SMS/MMS ゲートウェイにメッセージを送信するとき、 前者が電子メールアドレスのホスト部として使用され、後者はユーザ部分として使用されます。

プロバイダー アカウント アドレス(Provider account address)

(オプション)

アカウントアドレスを入力します。これは、電子メールの送信元アドレス(通常、アカウントアドレス)として使用され、[ゲストアクセス(Guest Access)] > [設定(Settings)] の [デフォルトの電子メールアドレス(Default Email Address)] グローバル設定を上書きします。

SMTP API 宛先アドレス(SMTP API destination address)

(オプション)

Clickatell SMTP API などの、特定のアカウント受信者アドレスを必要とする SMTP SMS API を使用する場合は、 SMTP API 宛先アドレスを入力します。

これは、電子メールの送信先アドレスとして使用され、メッセージ本文のテンプレートはゲストアカウントの携帯電話の番号に 置き換えられます。

SMTP API 本文テンプレート(SMTP API body template)

(オプション)

Clicketell SMTP API など、SMS の送信に特定の電子メール本文テンプレートを必要とする SMTP SMS API を使用する場合は、 SMTP API 本文テンプレートを入力します。

サポートされる動的置換は $mobilenumber$、(形式 $YYYYMMDDHHHMISSmimi$ の)$timestamp$、および $message$ です。 URL に固有識別子が必要な SMS ゲートウェイには $timestamp$$mobilenumber$ を使用できます。

これらの設定へのナビゲーションパスは、[ゲストアクセス(Guest Access)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] です。

HTTP API(GET 方式または POST 方式)でゲストとスポンサーに SMS メッセージを送信するように設定するには、次の設定を使用します。

表 2.SMS HTTP API 用の SMS ゲートウェイ設定(SMS Gateway Settings for SMS HTTP API)
フィールド 使用上のガイドライン

URL

API の URL を入力します。

このフィールドは、符号化された URL ではありません。ゲスト アカウントの携帯電話の番号は、URL に置き換えられます。サポートされる動的置換は $mobilenumber$ および $message$ です。

HTTP API で HTTPS を使用した場合、HTTPS を URL 文字列に含め、Cisco ISE にプロバイダーの信頼できる証明書を アップロードします。[管理(Administration)] > [システム(System)] >[ 証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

データ(URL エンコード部分)(Data (Url encoded portion))

GET 要求または POST 要求のデータ(URL エンコード部分)を入力します。

このフィールドは、符号化された URL です。デフォルトの GET 方式を使用している場合、データが上で指定した URL に付加されます。

データ部分に HTTP POST 方式を使用(Use HTTP POST method for data portion)

POST 方式を使用する場合は、このオプションをオンにします。

上で指定したデータは、POST 要求の内容として使用されます。

HTTP POST データ コンテンツ タイプ(HTTP POST data content type)

POST 方式を使用する場合は、「plain/text」や「application/xml」などのコンテンツ タイプを指定します。

HTTPS ユーザ名(HTTPS Username)

HTTPS パスワード(HTTPS Password)

HTTPS ホスト名(HTTPS Host name)

HTTPS ポート番号(HTTPS Port number)

この情報を入力します。

ステップ 4

[長いメッセージを複数に分割する(Break up long message into multiple parts)] をオンにして、 Cisco ISE で 140 バイトを超えるメッセージを複数のメッセージに分割できるようにします。

ほとんど の SMS プロバイダーは、長い SMS メッセージを自動的に複数に分割します。MMS メッセージは SMS メッセージよりも長くなる可能性があります。
ステップ 5

[送信(Submit)] をクリックします。

次の作業

新しい SMS ゲートウェイを 追加すると、次のことが可能になります。

  • 期限切れのアカウントに関する SMS 通知をゲストに送信するときに、 SMS サービスプロバイダーを選択します。「 ゲストタイプの 作成または編集」を参照してください。

  • [アカウント登録(Self-Registration)] フォームで アカウント登録ゲストに示される選択肢として、 SMS プロバイダーのうちのどれを表示するかを指定します。「 アカウント登録ゲストポータルの作成」を参照してください。

アカウント登録ゲストのソーシャル ログイン

ゲストは、ゲストポータルにユーザ名とパスワードを入力する代わりに、アカウント登録ゲストでクレデンシャルを提供する 方法としてソーシャル メディア プロバイダーを選択できます。これを有効にするには、ソーシャルメディアサイトを外部 ID ソースとして設定し、 ユーザがその外部 ID(ソーシャル メディア プロバイダー)を使用できるようにするポータルを設定します。ISE の ソーシャルメディアログインに関する追加情報は、こちらをご覧ください。https://community.cisco.com/t5/security-documents/how-to-configure-amp-use-a-facebook-social-media-login-on-ise/ta-p/3609532

ソーシャル メディアで認証した後、ゲストはソーシャル メディア サイトから取得した情報を編集できます。ソーシャルメディアの クレデンシャルが使用されているにもかかわらず、ソーシャルメディアサイトは、ユーザがそのサイトの情報を使用してログインしたことを認識していません。 ISE は引き続き、ソーシャルメディアサイトから取得された情報を今後の追跡のために内部的に使用します。

ユーザがソーシャルメディアサイトから取得した情報を変更しないようにゲストポータルを設定したり、 登録フォームの表示を抑制することもできます。

ソーシャル ログイン ゲスト フロー

ログイン フローは、ポータル設定を構成する方法によって異なります。ソーシャルメディアのログインは、ユーザ登録なし、ユーザ登録あり、 またはユーザ登録とスポンサー承認ありで設定できます。

  1. ユーザはアカウント登録ポータルに接続し、ソーシャル メディアを使用してログインすることを選択します。アクセスコードを設定した場合、ユーザは ログインページにアクセスコードも入力する必要があります。

  2. ユーザは認証のためにソーシャル メディア サイトにリダイレクトされます。ユーザは、ソーシャルメディアサイトの基本的なプロファイル情報の 使用を承認する必要があります。

  3. ソーシャルメディアサイトへのログインが成功すると、ISE はユーザに関する追加情報をソーシャルメディアサイトから 取得します。ISE はソーシャル メディア情報を使用してユーザをログオンします。

  4. ログイン後、設定に応じて、ユーザは AUP を受け入れなくてはならない場合があります。

  5. ログイン フローの次のアクションは設定によって異なります。

    • 登録なし:登録は裏側で行われます。Facebook はログイン用にユーザのデバイスのトークンを ISE に提供します。

    • 登録あり:ユーザには、ソーシャル メディア プロバイダーからの情報が事前に入力された登録フォームを 完了するよう指示されます。これにより、ユーザは不足している情報を修正および追加し、ログインのために更新された情報を提出することが できます。登録フォームの設定で登録コードを設定した場合は、登録コードも入力する必要 があります。

    • 登録およびスポンサー承認あり:ユーザにソーシャルメディア提供の情報を更新させることに加えて、 ユーザはスポンサーの承認を待たなければならないという通知を受けます。スポンサーは、アカウントの承認または拒否を要求する電子メールを 受け取ります。スポンサーがアカウントを承認すると、ISE はユーザにアクセス権を電子メール送信します。ユーザはゲストポータルに接続し、 ソーシャルメディアトークンで自動的にログインします。

  6. 登録が成功します。ユーザは、アカウント自己登録用のゲストフォームを送信した後、 登録フォームの設定に誘導されます。ユーザのアカウントは、ポータルのゲストタイプ用に設定されたエンドポイント ID グループに追加されます。

  7. ゲスト アカウントが期限切れになるか、またはユーザがネットワークから切断するまで、ユーザはアクセス権を持ちます。

    アカウントの有効期限が切れた場合、ユーザのログインを許可する唯一の方法は、アカウントを再アクティブ化することです(そうでない場合は、アカウントを削除します)。ユーザは ログインフローを再度実行する必要があります。

    ユーザがネットワークから切断して再接続した場合、ISE の処理は許可ルールによって異なります。ユーザ が次のような認証を取得した場合:
    rule if guestendpoint then permit access
    ユーザがエンドポイント グループにまだ存在する場合、ユーザはログオン ページにリダイレクトされます。ユーザがまだ有効なトークンを持っている場合は、 自動的にログインします。持っていない場合は、登録をやり直す必要があります。

    ユーザがもはやエンドポイント グループに属していない場合、ユーザはゲスト ページにリダイレクトされ、登録をやり直します。

ソーシャル ログイン アカウントの期間

アカウント再認証は接続方法によって異なります。

  • 802.1x の場合、デフォルトの許可ルールでは、
    if guestendpoint then permit access
    デバイスがスリープ状態になった場合、または別の建物にローミングした場合に、ゲストが再接続できるようにします。再接続すると、 ゲストページにリダイレクトされ、トークンを使用して自動ログインするか、または再度登録を開始します。

  • MAB では、ユーザは再接続するたびにゲスト ポータルにリダイレクトされ、ソーシャル メディアを再度クリックする必要があります。 ISE にそのユーザのアカウントのトークン(ゲストアカウントの有効期限が切れていない)がまだある場合は、ソーシャル メディア プロバイダーに接続する必要はなく、 ログインが即座に成功します。

    すべての再接続が別のソーシャルログインにリダイレクトされないようにするには、デバイスを記憶し、 アカウントが期限切れになるまでアクセスを許可する許可ルールを設定できます。アカウントが期限切れになると、そのアカウントはエンドポイントグループから削除され、 フローはゲストリダイレクトのルールにリダイレクトされます。次に例を示します。 

    if wireless_mab and guest endpoint then permit access
    if wireless_mab then redirect to self-registration social media portal

レポートとユーザ トラッキング

ISE ライブ ログと Facebook

  • 認証 ID ストア:ISE のソーシャルメディアアプリで作成したアプリケーションの名前です。

  • Facebook のユーザ名:Facebook によって報告されたユーザ名です。ユーザが登録時にユーザ名を変更できるようにする場合、ISE によって 報告される名前はソーシャルメディアのユーザ名です。

  • SocialMediaIdentifier
    https://facebook.com/<number >
    number はソーシャルメディアユーザを識別します。

ISE レポート:ゲストユーザ名は、ソーシャルメディアサイトのユーザ名です。

Facebook 分析:Facebook の分析を使用して、Facebook のソーシャルログオンを通じてゲストネットワークを使用しているユーザを確認することができます。

ワイヤレスと Facebook:ワイヤレスコントローラの [ユーザ名(User Name)] は、ライブログの SocialMediaIdentifier と同じ一意の Facebook ID です。ワイヤレス UI の設定を表示するには、[モニタ(Monitor)] > [クライアント(Clients)] > [詳細(Detail)] に移動し、[ユーザ名(User Name)] フィールドを確認します。

ソーシャル メディアで認証されたゲストのブロック

個々のソーシャル メディア ユーザをブロックする許可ルールを作成することができます。これは、トークンが期限切れになっていない場合に Facebook を 認証に使用する際に便利です。次の例は、Facebook ユーザ名を使用してブロックされた Wi-Fi 接続の ゲストユーザを示します。

ISE のソーシャルログインの設定については、「ソーシャルログインの設定」を参照してください。

ソーシャル ログインの設定

はじめる前に

ISE が接続できるようにソーシャル メディア サイトを設定します。現在は Facebook のみがサポートされています。

ISE が Facebook にアクセスできるように、次の HTTPS 443 URL が NAD を介して開かれていることを確認します。
facebook.co
akamaihd.net
akamai.co
fbcdn.net

Facebook のソーシャル ログイン URL は HTTPS です。すべての NAD が HTTPS URL へのリダイレクションをサポートしているわけではありません。https://communities.cisco.com/thread/79494?start=0&tstart=0&mobileredirect=true を参照してください。
手順
ステップ 1

Facebook で、Facebook アプリケーションを作成します。

  1. https://developers.facebook.com にログオンし、開発者としてサインアップします。

  2. ヘッダーで [アプリ(Apps)] を選択し、[新しいアプリの追加(Add a New App)] を選択します。

ステップ 2

タイプが [Web] の新しい [製品(Product)]、[Facebook ログイン(Facebook Login)] を追加します。[設定(Settings)] をクリックして、以下を設定します。

  • [クライアント OAuth ログイン(Client OAuth Login)]:[いいえ(NO)]

  • [Web OAuth ログイン(Web OAuth Login)]:[はい(YES)]

  • [Web OAuth の再認証を強制(Force Web OAuth Reauthentication)]:[いいえ(NO)]

  • [組み込みブラウザ OAuth ログイン(Embedded Browser OAuth Login)]:[いいえ(NO)]

  • [有効な OAuth リダイレクト URI(Valid OAuth redirect URIs)]:ISE から自動リダイレクト URL を追加します

  • [デバイスからログイン(Login from Devices)]:[いいえ(NO)]

  1. [保存(Save)]
ステップ 3

[アプリレビュー(App Review)] をクリックして、[アプリは現在実行中でパブリックで利用可能です(Your app is currently live and available to the public)] で [はい(Yes)] を選択します。

ステップ 4

ISE で、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [ソーシャルログイン(Social Login)] に移動して、[追加(Add)] をクリックして、新しいソーシャルログインの外部 ID ソースを作成します。

  • [タイプ(Type)]:ソーシャル ログイン プロバイダーのタイプを選択します。Facebook が現在のところ唯一の選択肢です。

  • [アプリ ID(App ID)]:Facebook アプリケーションからアプリ ID を入力します。

  • [アプリ秘密(App Secret)]:Facebook アプリケーションからアプリ秘密を入力します。

ステップ 5

ISE で、アカウント登録ポータルでのソーシャル メディアのログインを有効にします。ポータルページで、[ポータルおよびページの設定(Portal & Page Settings)] > [ログインページの設定(Login Page Settings)] に移動して、[ソーシャルログインを許可(Allow Social Login)] をオンにします。すると、さらに多くの設定が表示されます。

  • [ソーシャルログイン後に登録フォームを表示(Show registration form after social login)]:これにより、ユーザは Facebook によって提供される情報を変更できます。

  • [ゲストの承認が必要(Require guests to be approved)]:スポンサーがアカウントを承認する必要があることをユーザに通知し、ログイン用のクレデンシャルを送信します。

ステップ 6

[管理(Administration)] > [外部 ID ソース(External Identity Sources)] に移動し、[Facebook ログイン(Facebook Login)] ページを選択し、Facebook の外部 ID ソースを編集します。

これによりリダイレクト URI が作成され、これを Facebook アプリケーションに追加します。
ステップ 7

Facebook で、前のステップの URI を Facebook アプリケーションに追加します。
次の作業

Facebook では、アプリに関するデータを表示できます。このデータには、Facebook ソーシャル ログインでのゲスト アクティビティが表示されます。

ゲスト ポータル

企業の訪問者が企業のネットワークを使用してインターネットまたはネットワーク上のリソースおよびサービスにアクセスしようとしている場合、 ゲストポータルを使用してネットワークアクセスを提供することができます。設定すると、従業員はゲストポータルを使用して 会社のネットワークにアクセスできます。

3 つのデフォルトのゲスト ポータルがあります。

  • ホットスポット ゲスト ポータル:ネットワーク アクセスはクレデンシャルを必要とせずに許可されます。通常、ネットワークアクセスを許可する前に ユーザポリシーの認可(AUP)が承認される必要があります。

    Wireless Setup では、ホットスポット ポータルとアカウント登録ポータルでのアクセス コード ログオンの要求がサポートされています。

  • Sponsored-Guest ポータル:ゲストのアカウントを作成したスポンサーによりネットワークアクセスが許可され、ゲストに ログインクレデンシャルが提供されます。

  • アカウント登録ゲストポータル:ゲストは各自のアカウントクレデンシャルを作成できます。ネットワークアクセスが付与される前に、 スポンサー承認が必要となることがあります。

Cisco ISE は、事前に定義されたデフォルト ポータルなど、複数のゲスト ポータルをホストすることができます。

ゲスト ポータルのクレデンシャル

Cisco ISE では、 ゲストにさまざまなタイプのクレデンシャルを使用したログインを要求することによって、保護された ネットワークアクセスを提供します。ゲストがこれらのクレデンシャルの 1 つまたは組み合わせを使用して ログインすることを要求できます。

  • ユーザ名:必須。 エンドユーザポータル(ホットスポット ゲスト ポータルを除く)を使用するすべてのゲストに適用され、 ユーザ名ポリシーから取得されます。ユーザ名ポリシーはシステムによって 生成されたユーザ名のみに適用され、ゲスト API プログラミング インターフェイスまたは アカウント登録プロセスを使用して指定されたユーザ名には適用されません。 [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [ゲストユーザ名ポリシー(Guest Username Policy)] で、ユーザ名に適用するポリシーを設定できます。ゲストは、電子メール、SMS、または印刷形式で、 ユーザ名の通知を受け取ることができます。

  • パスワード:必須。 エンドユーザポータル(ホットスポット ゲスト ポータルを除く)を使用するすべてのゲストに適用され、 パスワードポリシーから取得されます。 [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [ゲストパスワードポリシー(Guest Password Policy)] で、パスワードに適用するポリシーを設定できます。ゲストは、電子メール、SMS、または印刷形式で、 パスワードの通知を受け取ることができます。

  • アクセス コード:オプション。ホットスポット ゲスト ポータルおよびクレデンシャルを持つゲストポータルを使用するゲストに 適用されます。アクセスコードは、物理的に存在するゲストに対して指定される、 主にローカルで認識されるコードです(ホワイトボードによって視覚的に、 またはロビーアンバサダーにより口頭で)。ネットワークにアクセスするために、 屋外にいる誰かに知られたり使用されたりすることはありません。アクセス コードの設定を有効にした場合、次のようになります。

    • スポンサー付きゲストは、 [ログイン(Login)] ページで(ユーザ名およびパスワードとともに)これを入力するよう 求められます。

    • ホットスポット ゲスト ポータル を使用するゲストは、[利用規定(Acceptable Use Policy (AUP))] ページでこれを入力するよう求められます。

  • 登録 コード:オプション。アカウント登録ゲストに適用され、 アカウント登録ゲストに提供される方法においてアクセスコードと似ています。登録コード設定が有効な場合、 アカウント登録ゲストはアカウント登録フォームで これを入力するよう求められます。

ユーザ名と パスワードは、社内のスポンサーが(スポンサー付きゲストに対して)提供できます。 または、ゲストが自分自身を登録してこれらのクレデンシャルを取得できるように、 クレデンシャルを持つゲストポータルを設定できます。

ホットスポット ゲスト ポータルを使用したゲスト アクセス

Cisco ISE では、「ホットスポット」という アクセスポイントを含むネットワークアクセス機能が提供されます。これを使用すると、 ゲストは、ログインするためのクレデンシャルを必要とせずに、インターネットにアクセスできます。 ゲストがコンピュータまたは Web ブラウザを搭載した任意のデバイスでホットスポットネットワークに接続して、 Web サイトに接続しようとすると、自動的にホットスポット ゲスト ポータル にリダイレクトされます。この機能では、有線接続と無線接続(Wi-Fi) の両方がサポートされます。

ホットスポット ゲスト ポータルは代替となるゲストポータルで、これを使用すると、 ゲストにユーザ名とパスワードを要求することなく、ネットワークアクセスを提供することができ、 ゲストアカウントを管理する必要性が軽減されます。代わりに、ゲストデバイスにネットワークアクセスを直接提供するために、 Cisco ISE はネットワーク アクセス デバイス(NAD)およびデバイス登録 Web 認証(デバイス 登録 WebAuth)とともに動作します。 場合によって、ゲストは、アクセス コードを使用してログインするよう要求されることがあります。通常、 これは社内に物理的に存在しているゲストにローカルに 提供されるコードです。

ホットスポット ゲスト ポータル をサポートしている場合:

  • ホットスポット ゲスト ポータルの設定に基づいて、ゲストアクセスの条件を満たしている場合、 ゲストにネットワークアクセスが付与されます。

  • Cisco ISE によってデフォルトのゲスト ID グループ GuestEndpoints が提供され、 これを使用して、ゲストデバイスを一元的に追跡できます。

クレデンシャルを持つ ゲストポータルを使用したゲストアクセス

クレデンシャルを 持つゲストポータルを使用して、外部ユーザの内部ネットワークおよびサービスと、 インターネットへの一時アクセスを識別し許可することができます。 スポンサーは、ポータルの [ログイン(Login)] ページでこれらのクレデンシャルを入力することによって、 ネットワークにアクセスできる承認ユーザの一時的なユーザ名およびパスワードを作成 できます。

次のように 取得したユーザ名とパスワードを使用してゲストがログインできるように、クレデンシャルを持つ ゲストポータルを設定できます。

  • スポンサーから付与されます。この ゲストフローでは、ゲストは、社内に入って個人のゲストアカウントで設定されたとき、 ロビーアンバサダーなどのスポンサーによるグリーティングを受け取ります。

  • オプションの 登録コードまたはアクセスコードを使用して自分自身を登録した後に付与されます。この ゲストフローでは、ゲストは人間の介入なしでインターネットにアクセスでき、 これらのゲストにコンプライアンスに使用可能な一意の識別子が あることが Cisco ISE によって保証されます。

  • オプションの 登録コードまたはアクセスコードを使用して自分自身を登録した後に付与されます。ただし、 ゲストアカウントの要求がスポンサーによって承認された後のみです。この ゲストフローでは、ゲストにネットワークへのアクセスが提供されますが、 追加のスクリーニングレベルが実行された後でのみ提供されます。

また、ログイン時にユーザに 新しいパスワードを入力するよう強制できます。

Cisco ISE では、複数のクレデンシャルを持つゲストポータルを作成し、 これを使用してさまざまな基準に基づいてゲストアクセスを 許可することができます。たとえば、日次訪問者に使用されるポータルとは別の、 月次担当者向けのポータルを設定できます。

クレデンシャルを持つ ゲストポータルを使用した従業員アクセス

従業員は、 そのポータルに設定された ID ソース順序でクレデンシャルにアクセスできれば、 従業員クレデンシャルを使用してサインインすることによって、 クレデンシャルを持つゲストポータルを使用してネットワークにアクセスすることもできます。

ゲスト デバイスのコンプライアンス

ゲストおよび非ゲストがクレデンシャルを持つゲストポータルを 介してネットワークにアクセスした場合、アクセスを許可する前に、 そのデバイスのコンプライアンスをチェックすることができます。ゲストおよび非ゲストを [クライアント プロビジョニング(Client Provisioning)] ページにルーティングして、最初にポスチャエージェントをダウンロードするよう要求することができます。 このエージェントは、ポスチャプロファイルをチェックし、デバイスが準拠しているかどうかを検証します。これは、 クレデンシャルを持つゲストポータルで、[ゲストデバイスのコンプライアンス設定(Guest Device Compliance Settings)] のオプションを有効にすることで実行できます。 これによって、[クライアント プロビジョニング(Client Provisioning)] ページがゲストフローの一部として表示されます。

クライアント プロビジョニング サービスでは、ゲストのポスチャ評価および修復が提供されます。クライアント プロビジョニング ポータルは、中央 Web 認証(CWA) のゲスト展開でのみ使用できます。ゲストログインフローによって CWA が実行され、 クレデンシャルを持つゲストポータルは、利用規定やパスワード変更のチェックを実行した後、 クライアント プロビジョニング ポータルにリダイレクトされます。いったんポスチャが評価されると、 ポスチャサブシステムはネットワーク アクセス デバイスに対して許可変更(CoA)を実行し、 クライアント再接続を再認証します。

ゲストポータル の設定タスク

デフォルトポータルと、証明書、エンドポイント ID グループ、ID ソース順序、 ポータルテーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などの デフォルト設定を使用できます。デフォルト設定を使用しない場合は、 新しいポータルを作成するか、必要性に合うように既存の設定を編集する 必要があります。同じ設定で複数のポータルを作成する場合は、 ポータルを複製できます。

新しいポータルを作成したり、デフォルトポータルを編集した後は、 ポータルの使用を承認する必要があります。いったんポータルの使用を承認すると、 後続の設定変更はただちに有効になります。

ポータルを削除する場合は、 関連付けられている許可ポリシールールおよび許可プロファイルを先に削除するか、 別のポータルを使用するように変更する必要があります。

さまざまな ゲストポータルの設定に関連するタスクについては、この表を参照してください。

タスク ホットスポット ゲスト ポータル Sponsored-Guest ポータル アカウント登録ゲスト ポータル

ポリシー サービスの有効化

必須(Required)

必須(Required)

必須(Required)

ゲスト ポータルの証明書の追加

必須(Required)

必須(Required)

必須(Required)

外部 ID ソースの作成

N/A

必須(Required)

必須(Required)

ID ソース順序の作成

N/A

必須(Required)

必須(Required)

エンドポイント ID グループの作成(『Cisco ISE 管理者ガイド:コンプライアンス』の「エンドポイント ID グループの作成」のセクションを参照してください)

必須(Required)

不要 (ゲストタイプによって定義される)

不要 (ゲストタイプによって定義される)

ホットスポット ゲスト ポータルの作成

必須(Required)

N/A

N/A

Sponsored-Guest ポータルの作成

N/A

必須(Required)

N/A

アカウント登録ゲスト ポータルの作成

N/A

N/A

必須(Required)

ポータルの許可

必須(Required)

必須(Required)

必須(Required)

ゲスト ポータルのカスタマイズ

オプション

オプション

オプション

ポリシーサービス の有効化

Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータルポリシーサービス を有効にする必要があります。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2

ノードをクリックして、 [編集(Edit)] をクリックします。

ステップ 3

[全般設定(General Settings)] タブで、[ポリシーサービス(Policy Service)] をオンにします。

ステップ 4

[セッションサービスの有効化(Enable Session Services)] オプションをオンにします。

ステップ 5

[保存(Save)] をクリックします。

ゲストポータルの 証明書の追加

デフォルトの証明書を 使用しない場合は、有効な証明書を追加して、証明書グループタグに 割り当てることができます。すべてのエンドユーザ Web ポータルに使用されるデフォルトの証明書グループタグ は [デフォルトポータル証明書グループ(Default Portal Certificate Group)] です。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

ステップ 2

システム 証明書を追加し、ポータルに使用する証明書グループタグに 割り当てます。

この 証明書グループタグは、ポータルを作成または編集するときに選択できるように なります。
ステップ 3

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成または編集(Create or Edit)] > [ポータル設定(Portal Settings)] の順に選択します。

ステップ 4

新しく 追加された証明書に関連付けられた [証明書グループタグ(Certificate group tag)] ドロップダウンリストから 特定の証明書グループタグを選択します。

外部 ID ソースの作成

Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、 認証/許可のユーザ情報を取得できます。外部 ID ソースには、証明書ベースの認証に必要な証明書認証 プロファイルも含まれています。


認証済みユーザ ID を受信して共有できるようにするパッシブ ID サービスを 使用するには、Cisco ISE Admin Guide: Asset Visibility』の「Additional Passive Identity Service Providers」の項を参照してください。

手順
ステップ 1

[管理(Administration)] > [ID 管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] を選択します。

ステップ 2

次のオプションの いずれかを選択します。

  • 証明書認証プロファイル(Certificate Authentication Profile):証明書ベースの認証の場合。
  • Active Directory:外部 ID ソースである Active Directory に接続する場合。Cisco ISE Admin Guide: Asset Visibility 』の「Active Directory as an External Identity Source」の項を参照してください。
  • LDAP:LDAP ID ソースを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「LDAP」の項を参照してください。
  • RADIUSトークン(RADIUS Token):RADIUS トークンサーバを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「RADIUS Token Identity Sources」の項を参照してください。
  • RSA SecurID:RSA SecurID サーバを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「RSA Identity Sources」の項を参照してください。
  • SAML IDプロバイダー(SAML Id Providers):Oracle Access Manager などの ID プロバイダー(IdP)を追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「SAMLv2 Identity Provider as an External Identity Source」の項を参照してください。
  • ソーシャルログイン(Social Login):Facebook などのソーシャルログインを外部 ID ソースとして追加する場合。Cisco ISE 管理者ガイド:ゲストと BYOD 』の「アカウント登録ゲストのソーシャルログイン」のセクションを参照してください。
認証用の SAML IDP ポータル にリダイレクトするためのゲストポータルの設定

ゲストポータルを設定して、 ユーザが認証のために SAML IDP ポータルにリダイレクトされるようにすることが できます。

ゲストポータルで [ログインに次の ID プロバイダゲストポータルの使用を許可(Allow the following identity-provider guest portal to be used for login)] を設定することで、そのポータルで新しいログインエリアが有効になります。ユーザがそのログイン オプションを選択した場合、代替 ID ポータルにリダイレクトされてから(表示されません)、認証のために SAML IDP ログオンポータル にリダイレクトされます。

たとえば、 ゲストポータルには従業員ログインのためのリンクがある場合があります。既存のポータルに ログインする代わりに、ユーザは従業員ログオンリンクをクリックし、 SAML IDP シングルサインオンポータルにリダイレクトされます。従業員はこの SAML IDP による最後のログオンからの トークンを使用して再接続されるか、その SAML サイトでログインします。 これにより、同じポータルでシングル SSID からゲストと従業員の両方を扱うことが できます。

次の手順は、SAML IDP を認証用に使用するように設定されている別のポータルを呼び出すゲストポータルを設定する方法を 示しています。

手順
ステップ 1

外部 ID ソースを設定します。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「SAMLv2 Identity Provider as an External Identity Source」の項を参照してください。

ステップ 2

SAML プロバイダーの ゲストポータルを作成します。ポータル設定で [認証方式(Authentication method)] を SAML プロバイダーに設定します。ユーザにはこの ポータルは表示されず、これは単にユーザを SAML IDP ログオンページにつなぐためのプレースホルダです。 次に説明するように、他のポータルをこのサブポータルにリダイレクトするように 設定できます。

ステップ 3

作成したばかり の SAML プロバイダーポータルのゲストポータルにリダイレクトするためのオプションを備えた ゲストポータルを作成します。これはメインポータルで、サブポータルに リダイレクトします。

SAML プロバイダーに見えるように、このポータルの外観をカスタマイズする 場合もあります。

  1. メインポータル の [ログインページの設定(Login Page Settings)] で、[ログインに次の ID プロバイダゲストポータルの使用を許可(Allow the following identity-provider guest portal to be used for login)] にマークを付けます。

  2. SAML プロバイダーと使用するために設定したゲスト ポータルを選択します。

ID ソース 順序の作成

はじめる前に

Cisco ISE に外部 ID ソースを設定していることを確認します。

次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。

ゲストユーザがローカル WebAuth を使用して認証できるようにするには、ゲストポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。

手順
ステップ 1

[管理(Administration)] > [ID 管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] > [追加(Add)] を選択します。

ステップ 2

ID ソース順序の名前を入力します。 また、任意で説明を入力できます。

ステップ 3

[証明書認証プロファイル(Certificate Authentication Profile)] チェックボックスをオンにし、証明書ベースの認証のための証明書認証プロファイルを 選択します。

ステップ 4

[選択済み(Selected)] リストボックスの ID ソース順序に含めるデータベースを選択します。

ステップ 5

Cisco ISE がデータ ベースを検索する順に [選択済み(Selected)] リストのデータベースを並べ替えます。

ステップ 6

[高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。

  • [順序内の他のストアにアクセスせず、AuthenticationStatus 属性を ProcessError に設定(Do not access other stores in the sequence and set the AuthenticationStatus attribute to ProcessError)] :最初に選択された ID ソースでユーザが見つからないとき、 Cisco ISE が検索を中止する場合。

  • [ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)]:最初に選択された ID ソースでユーザが見つからない場合に、Cisco ISE が順序内の他の選択された ID ソースの検索を続行する場合。

    Cisco ISE では、要求の処理中にこれらの ID ソースが順番に検索されます。 [選択済み(Selected)] リストに、Cisco ISE が ID ソースを検索する順序で ID ソースが表示されていることを確認します。

ステップ 7

[送信(Submit)] をクリックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。

エンドポイント ID グループの作成

Cisco ISE では、検出したエンドポイント を、対応するエンドポイント ID グループにグループ化します。Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。[エンドポイント ID グループ(Endpoint Identity Groups)] ページでは、追加のエンドポイント ID グループも作成できます。 作成したエンドポイント ID グループは編集または削除できます。 システム定義のエンドポイント ID グループの説明のみを編集できます。それらのグループの名前を編集したり、グループを削除したりはできません。

手順
ステップ 1

[管理(Administration)] > [ID 管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

作成するエンドポイント ID グループの名前を入力します(エンドポイント ID グループの名前にはスペースを入れないでください)。

ステップ 4

作成するエンドポイント ID グループの説明を入力します。

ステップ 5

[親グループ(Parent Group)] ドロップダウンリストをクリックして、新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを選択します。

ステップ 6

[送信(Submit)] をクリックします。

ホットスポット ゲスト ポータルの作成

ホットスポット ゲスト ポータルを提供して、ゲストが、ログインに ユーザ名とパスワードを要求されずにネットワークに接続できるようにすることができます。ログイン時にアクセスコードが必要な場合があります。

新しい ホットスポット ゲスト ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE に よって提供されているデフォルトのポータルを含むすべてのホットスポット ゲスト ポータルを 削除できます。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、ゲストフロー 図のグラフィカルフローに反映されます。AUP ページなどのページを有効にすると、その ページがフローに表示され、ゲストはポータルで使用できるようになります。無効にすると、 フローから削除され、次に有効なページがゲストに 表示されます。

[認証成功の設定(Authentication Success Settings)] を除く すべてのページ設定は、任意です。

はじめる前に

  • このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。

  • ゲストがホットスポット ポータルのために接続する WLC が ISE でサポートされていることを確認します。お使いのバージョンの ISE の『Identity Services Engine Network Component Compatibility』ガイドを参照してください。

手順
ステップ 1

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] の順に選択します。

ステップ 2

新しいポータルを作成する場合は、 [ゲストポータルの作成(Create Guest Portal)] ダイアログボックスで、ポータルタイプとして [ホットスポット ゲストポータル(Hotspot Guest Portal)] を選択し、[続行(Continue)] をクリックします。

ステップ 3

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 4

[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。

ステップ 5

[ポータルの設定(Portal Settings)] でポート、 イーサネット インターフェイス、証明書グループタグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

ステップ 6

特定の ページのそれぞれに適用される次の設定を更新してください。

  • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] :利用規定に同意することをゲストに要求します。
  • [ポストログインバナーページの設定(Post-Login Banner Page Settings)] :必要に応じて、ゲストにアクセスステータスおよびその他の追加アクションを 通知します。
  • [VLAN DHCPリリースページの設定(VLAN DHCP Release Page Settings)] :ゲストデバイスの IP アドレスをゲスト VLAN から解放し、ネットワークの他の VLAN にアクセスするように更新します。
  • [認証成功の設定(Authentication Success Settings)] :認証されたゲストに対する表示内容を 指定します。
  • [サポート情報ページの設定(Support Information Page Settings)] :ネットワークアクセスの問題 のトラブルシューティングのためにヘルプデスクによって使用される情報をゲストが提供するのを 支援します。
ステップ 7

[保存(Save)] をクリックします。システム 生成の URL がポータルテスト URL として表示されます。この URL を使用して、ポータルにアクセスし、テストすることができます。

次の作業

ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。

Sponsored-Guest ポータルの作成

Sponsored-Guest ポータルを提供して、 指定されたスポンサーがゲストにアクセスを許可できるようにすることができます。

新しい Sponsored-Guest ポータルを 作成するか、既存のものを編集または複製できます。Cisco ISE に よって提供されているデフォルトのポータルを含む、任意の Sponsored-Guest ポータルを 削除できます。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、ゲストフロー 図のグラフィカルフローに反映されます。AUP ページなどのページを有効にすると、その ページがフローに表示され、ゲストはポータルで使用できるようになります。無効にすると、 フローから削除され、次に有効なページがゲストに 表示されます。

次のすべてのページ設定 によって、ゲスト用の利用規定(AUP)を表示し、 その同意を要求することができます。

  • ログインページの 設定

  • 利用規定(AUP) ページ設定

  • BYOD 設定(BYOD Settings)

はじめる前に

このポータルで 使用するために、必要な証明書、外部 ID ソース、および ID ソース 順序が設定されていることを確認します。

手順
ステップ 1

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] の順に選択します。

ステップ 2

新しいポータルを作成する場合は、 [ゲストポータルの作成(Create Guest Portal)] ダイアログボックスで、ポータルタイプとして [Sponsored-Guest ポータル(Sponsored-Guest Portal)] を選択し、[続行(Continue)] をクリックします。

ステップ 3

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 4

[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。

ステップ 5

[ポータル設定(Portal Settings)] でポート、イーサネットインターフェイス、証明書グループタグ、ID ソース順序、認証方式などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

ステップ 6

特定の ページのそれぞれに適用される次の設定を更新してください。

  • [ログインページの設定(Login Page Settings)] :ゲストクレデンシャルおよびログインガイドラインを指定します。 [ゲストが自分のアカウントを作成することを許可する(Allow guests to create their accounts)] オプションを選択した場合、ユーザは 独自のゲストアカウントを作成できます。このオプションが 選択されていない場合は、スポンサーがゲストアカウントを作成する必要があります。
     

    [認証方式(Authentication Method)] フィールドで ID プロバイダー IdP)を選択している場合は、 [ログインページ設定(Login Page Settings)] オプションは無効です。

  • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] :別の AUP ページを追加し、クレデンシャルを持つゲストポータルを 使用する従業員を含むゲスト用の利用規定の動作を 定義します。
  • [従業員のパスワード変更の設定(Employee Change Password Settings)] :ゲストに、初めてログインした後にパスワードを変更するように 指示します。
  • [ゲストデバイス登録の設定(Guest Device Registration Settings)] :Cisco ISE に自動的にゲスト デバイスが登録されるようにするか、またはゲストが手動でこれらのデバイスを登録できるページを表示するかどうかを選択します。
  • [BYOD 設定(BYOD Settings)] :従業員が自分のパーソナルデバイスを使用してネットワークにアクセス することを許可します。
  • [ポストログインバナーページの設定(Post-Login Banner Page Settings)] :ネットワークアクセスを許可する前にゲストに 追加情報を通知します。
  • [ゲストデバイスのコンプライアンス設定(Guest Device Compliance Settings)] :ゲストを [クライアント プロビジョニング(Client Provisioning)] ページにルーティングし、 最初にポスチャエージェントをダウンロードするように要求します。
  • [VLAN DHCPリリースページの設定(VLAN DHCP Release Page Settings)] :ゲストデバイスの IP アドレスをゲスト VLAN から解放し、ネットワークの他の VLAN にアクセスするように更新します。
  • [認証成功の設定(Authentication Success Settings)] :認証されたゲストに対する表示内容を 指定します。
  • [サポート情報ページの設定(Support Information Page Settings)] :ネットワークアクセスの問題 のトラブルシューティングのためにヘルプデスクによって使用される情報をゲストが提供するのを 支援します。
ステップ 7

[保存(Save)] をクリックします。システム 生成の URL がポータルテスト URL として表示されます。この URL を使用して、ポータルにアクセスし、テストすることができます。

次の作業
テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。 複数の PSN がある場合、ISE は最初のアクティブ PSN を選択します。

ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。

アカウント 登録ゲストポータルの作成

アカウント登録ゲストポータルを提供して、 ゲストが自分自身を登録し、自分のアカウントを作成して、 ネットワークにアクセスできるようにすることができます。これらのアカウントに対しては、 その後も、アクセスを許可する前に、スポンサーによる承認を要求できます。

新しいアカウント 登録ゲストポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべての アカウント登録ゲストポータルを削除できます。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、ゲストフロー 図のグラフィカルフローに反映されます。AUP ページなどのページを有効にすると、その ページがフローに表示され、ゲストはポータルで使用できるようになります。無効にすると、 フローから削除され、次に有効なページがゲストに 表示されます。

次のすべてのページ設定 によって、ゲスト用の利用規定(AUP)を表示し、 その同意を要求することができます。

  • ログインページの 設定

  • アカウント登録ページの設定(Self-Registration Page Settings)

  • アカウント登録成功ページの設定(Self-Registration Success Page Settings)

  • 利用規定(AUP) ページ設定

  • BYOD 設定(BYOD Settings)

はじめる前に

このポータルに必要な証明書、 外部 ID ソース、および ID ソース順序が 設定されていることを確認します。

手順
ステップ 1

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] の順に選択します
ステップ 2

新しいポータルを作成する場合は、 [ゲストポータルの作成(Create Guest Portal)] ダイアログボックスで、ポータルタイプとして [アカウント登録ゲストポータル(Self-Registered Guest Portal)] を選択し、[続行(Continue)] をクリックします。

ステップ 3

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 4

[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。

ステップ 5

[ポータル設定(Portal Settings)] で、ポート、イーサネット インターフェイス、 証明書グループタグ、ID ソースシーケンス、 認証方式、およびこのポータルの動作を定義するその他の設定の デフォルト値を更新します。

ポータル設定フィールド の詳細については、「 クレデンシャルを持つゲストポータルのポータル設定」を参照してください。
ステップ 6

特定の ページのそれぞれに適用される次の設定を更新してください。

  • [ログインページの設定(Login Page Settings)] :ゲストクレデンシャルおよびログインガイドラインを指定します。詳細 については、「 クレデンシャルを持つゲストポータルのログインページ設定」を参照してください。
  • [アカウント登録ページの設定(Self-Registration Page Settings)]:ゲストが [アカウント登録(Self-Registration)] フォームを送信した後のゲストエクスペリエンス以外に、アカウント登録ゲストが読み取る情報、および [アカウント登録(Self-Registration)] フォームに 入力する必要がある情報を指定します。
  • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] :別の AUP ページを追加し、クレデンシャルを持つゲストポータルを 使用する従業員を含むゲスト用の利用規定の動作を 定義します。詳細については、「 クレデンシャルを持つゲストポータルの利用規定(AUP)ページ設定」を参照してください。
  • [従業員のパスワード変更の設定(Employee Change Password Settings)] :ゲストに、初めてログインした後にパスワードを変更するように 指示します。
  • [ゲストデバイス登録の設定(Guest Device Registration Settings)] :Cisco ISE に自動的にゲスト デバイスが登録されるようにするか、またはゲストが手動でこれらのデバイスを登録できるページを表示するかどうかを選択します。
  • [BYOD 設定(BYOD Settings)] :従業員が自分のパーソナルデバイスを使用してネットワークにアクセス することを許可します。詳細については、「 クレデンシャルを持つゲストポータルの BYOD 設定」を参照してください。 詳細については、「 クレデンシャルを持つゲストポータルの BYOD 設定」を参照してください。
  • [ポストログインバナーページ設定(Post-Login Banner Page Settings)] :ユーザが正常にログインした後、 ネットワークアクセスを付与される前に追加情報を表示します。
  • [ゲストデバイスのコンプライアンス設定(Guest Device Compliance Settings)] :ポスチャアセスメントのためにゲストを [クライアント プロビジョニング(Client Provisioning)] ページに リダイレクトします。詳細については、「 クレデンシャルを持つゲストポータルのゲストデバイスのコンプライアンス設定」を参照してください。
  • [VLAN DHCPリリースページの設定(VLAN DHCP Release Page Settings)] :ゲストデバイスの IP アドレスをゲスト VLAN から解放し、ネットワークの他の VLAN にアクセスするように更新します。詳細については、「 クレデンシャルを持つゲストポータルの BYOD 設定」を参照してください。
  • [認証成功の設定(Authentication Success Settings)] :認証後のゲストの宛先を 指定します。認証後に外部 URL にゲストをリダイレクトする場合、 URL アドレスを解決して、セッションがリダイレクトされるまでに遅延が生じることが あります。詳細については、「 ゲストポータルの認証成功の設定」を参照してください。
  • [サポート情報ページの設定(Support Information Page Settings)] :ネットワークアクセスの問題 のトラブルシューティングのためにヘルプデスクによって使用される情報をゲストが提供するのを 支援します。
ステップ 7

[保存(Save)] をクリックします。システム 生成の URL がポータルテスト URL として表示されます。この URL を使用して、ポータルにアクセスし、テストすることができます。

次の作業
テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。 複数の PSN がある場合、ISE は最初のアクティブ PSN を選択します。

ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。

スポンサーによるアカウント登録のアカウントの承認

登録済みゲストがアカウントの承認を要求するように設定すると、ISE は、アカウントの承認のために電子メールを承認者に 送信します。承認者は、訪問先担当者またはスポンサー ユーザのいずれかです。

承認者がスポンサーの場合、アカウントを拒否または承認するリンクを含めるように電子メールを設定できます。承認リンクには、 承認をスポンサーの電子メールアドレスに関連付けるトークンが含まれています。スポンサーに認証を要求できます。これにより、 トークンは無視されます。トークンはタイムアウトすることもあります。タイムアウトすると、スポンサーは、アカウントを承認する前に認証を受ける必要があります。

アカウント承認オプションは、自己登録ポータルの [登録フォームの設定(Registration Form Settings)] で設定します。この機能は、シングルクリック スポンサー承認とも呼ばれます。

スポンサーが電子メールを開いて承認リンクをクリックすると実行されるアクションは、承認者の設定に応じて異なります。

[承認要求電子メール送信先(Email approval request to)] が次のいずれかに設定されている場合について説明します。

  • [訪問先担当者(person being visited)]

    • ゲストアカウントに認証が不要な場合、1 回のクリックでアカウントが承認されます。

    • ゲストアカウントには認証が必要です。

    スポンサーポータルの特別なページがスポンサーに表示されます。このページでは、アカウントの承認前にスポンサーがクレデンシャルを 入力する必要があります。

  • [下に示すスポンサーの電子メールアドレス(Sponsor email addresses listed below)]:Cisco ISE は、指定されるすべての電子メールアドレスに電子メールを送信します。これらのスポンサーのいずれかが承認リンクまたは拒否リンクをクリックすると、 スポンサーポータルが表示されます。そのスポンサーがクレデンシャルを入力し、確認されます。スポンサーが所属するスポンサーグループで、 スポンサーによるゲストアカウントの承認が許可されている場合、スポンサーはアカウントを承認できます。クレデンシャルが失敗すると、Cisco ISE では、スポンサーポータルにログインしてアカウントを手動で承認する指示がスポンサーに対して示されます。

説明

  • 前のバージョンの Cisco ISE からデータベースをアップグレードまたは復元する場合は、承認または拒否のリンクを手動で挿入する必要が あります。ゲストの承認を要求するように自己登録ポータルを設定した後、次の手順を実行します。

    アカウント登録ゲストポータルを開き、[ポータルページのカスタマイズ(Portal Page Customizations)] タブを選択します。下にスクロールして、[承認要求の電子メール(Approval Request Email)] ページを選択します。そのページの電子メール本文部分で [承認/拒否のリンクを挿入する(Insert Approve/Deny Links)] をクリックします。

  • Active Directory および LDAP で認証するスポンサー ポータルのみがサポートされています。つまり、スポンサーは Active Directory または LDAP ユーザである必要があります。

  • スポンサーがマッピングするスポンサー グループには、スポンサーが属する Active Directory グループが含まれている必要があります。

  • [訪問先担当者(person being visited)] を選択した場合、アカウント登録ゲストがそのフィールドに入力する内容は、スポンサーの電子メールアドレスでなければなりません。アカウント登録ポータルをカスタマイズし、 そのフィールド名を「スポンサーの電子メールアドレス」のような名前に変更することを推奨します。 ゲストの訪問先担当者を取得するため、必要に応じて新しいフィールドを作成できます。

  • スポンサーのリストがある場合、最初のポータルが、スポンサーがログインするポータルではない場合でも、 最初のポータルのカスタマイズ内容が使用されます。

  • スポンサーは、承認リンクと拒否リンクを使用するために、HTM 対応の電子メール クライアントを使用する必要があります。

  • スポンサーの電子メール アドレスが有効なスポンサー用ではない場合、承認電子メールは送信されません。

シングルクリックスポンサーの承認の詳細については、『ISE Single Click Sponsor Approval FAQ』を参照してください。また、コミュニティド キュメントには、プロセス全体の手順を示すビデオへのリンクもあります。ビデオが実行されない場合は、 別のブラウザを試してください。

アカウント承認メール リンクの設定
ネットワークにアクセスする前に、アカウント登録ゲストの承認を要求できます。Cisco ISE は、訪問先担当者の電子メールアドレス を使用して、承認者に通知します。承認者は、訪問先担当者またはスポンサーのいずれかです。承認の 詳細については、「スポンサーによるアカウント登録のアカウントの承認」を参照してください。
手順
ステップ 1

[ワークセンター(Work Centers)] > [ゲスト(Guest)] > [設定(Configure)] > [ゲストポータル(Guest Portals)] に移動し、メールアカウント承認リンクを設定するアカウント登録ポータルを選択します。

ステップ 2

[アカウント登録ページの設定(Self Registration Page Settings)] タブを展開します。

ステップ 3

3. [アカウント登録ゲストの承認が必要である(Require self-registered guests to be approved)] をオンにします。これにより、[承認/拒否のリンクの設定(Approve/Deny Link Settings)] セクションがタブ エリアの下部に表示されます。また、 [承認要求メール(Approval Request Email)] の電子メール設定に、承認リンクと拒否リンクが取り込まれます。

[アカウント登録ページの設定(Self-Registration Page Settings)] を選択すると表示されるすべてのフィールドを以下に示します。

  • [アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)]:このポータルを使用するアカウント登録ゲストは、ゲストのクレデンシャルを受信する前にスポンサーによる承認が必要であることを指定します。 このオプションをクリックすると、スポンサーがアカウント登録ゲストを承認する方法に関する追加のオプションが表示されます。

    • [アカウント登録したゲストにスポンサーの承認後に自動ログインを許可(Allow guests to login automatically from self-registration after sponsor's approval)]:アカウント登録ゲストは、 スポンサーの承認後に自動的にログインします。

    • [承認要求電子メール送信先(Email approval request to)]:次のいずれかを選択します。

      • [下に示すスポンサーの電子メールアドレス(sponsor email addresses listed below)]:承認者として指名されたスポンサーの 1 つ以上の電子メールアドレス、またはすべてのゲストの承認要求の送信先と なるメールソフトウェアを入力します。電子メール アドレスが無効な場合、承認は失敗します。

      • [訪問先担当者(person being visited)]:[スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication)] フィールドが表示され、[含めるフィールド(Fields to include)] の [必須(Required)] オプションが有効になります(以前は無効だった場合)。これらのフィールドはアカウント登録フォームに表示され、 アカウント登録ゲストからこの情報を要求します。電子メール アドレスが無効な場合、承認は失敗します。

    • [承認/拒否のリンクの設定(Approve/Deny Link Settings)] :このセクションでは次の内容を設定できます。

      • [リンクの有効期間(Links are valid for)]:アカウント承認リンクの有効期間を設定できます。

      • [スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication )]:このセクションの設定でスポンサーによるアカウント承認用のクレデンシャルの入力が必須ではない場合にも、スポンサーにこの情報を入力させるには、 このフィールドをオンにします。このフィールドは、[アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] が [訪問先担当者(person being visited)] に設定されている場合にだけ表示されます。

      • [承認権限を検証するためスポンサーがスポンサーポータルと照合される(Sponsor is matched to a Sponsor Portal to verify approval privileges)]:[詳細 >(Details >)] をクリックして、スポンサーが有効なシステムユーザであり、スポンサーグループのメンバーであり、 そのスポンサーグループのメンバーにアカウント承認権限があることを確認するために検索されるポータルを選択します。各スポンサーポータルには、スポンサーを識別するために 使用される ID ソースシーケンスがあります。ポータルはリストされている順序で使用されます。リストの 1 番目のポータルは、 スポンサーポータルで使用されているスタイルとカスタマイズ内容を決定します。

ポータルの 許可

ポータルを許可するときは、 ネットワークアクセス用のネットワーク許可プロファイルおよびルールを 設定します。
はじめる前に

ポータルを許可する前に ポータルを作成する必要があります。

手順
ステップ 1

ポータルの 特別な許可プロファイルを設定します。

ステップ 2

プロファイルの 許可ポリシールールを作成します。

許可プロファイルの作成

各ポータルには、 特別な許可プロファイルを設定する必要があります。

はじめる前に

デフォルトのポータルを使用しない場合は、 許可プロファイルとポータル名を関連付けることができるように、 最初にポータルを作成する必要があります。

手順
ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。

ステップ 2

使用を許可する ポータル名を使用して許可プロファイルを作成します。

次の作業

新しく作成される 許可プロファイルを使用するポータル許可ポリシールールを作成する必要 があります。

ホットスポットポータルおよび MDM ポータル用の許可ポリシー ルールの作成

ユーザ(ゲスト、スポンサー、従業員) のアクセス要求への応答に使用するポータルのリダイレクション URL を設定するには、 そのポータル用の許可ポリシールールを定義 します。

url-redirect は、ポータルタイプに基づいて次の形式になります。

ip:port = IP アドレスとポート番号

PortalID = 一意のポータル名

ホットスポット ゲスト ポータル:https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw

モバイルデバイス 管理(MDM)ポータル:https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm

手順
ステップ 1

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択して、[標準(Standard)] ポリシーで新しい許可ポリシールールを作成します。

ステップ 2

[条件(Conditions)] には、ポータルの検証に使用する エンドポイント ID グループを選択します。たとえば、ホットスポット ゲスト ポータルの場合は、デフォルトの [GuestEndpoints] エンドポイント ID グループを選択し、MDM、ポータルの場合は、デフォルトの [RegisteredDevices] エンドポイント ID グループを選択します。

 
ホットスポット ゲスト ポータルは、Termination CoA だけを発行するため、ゲスト許可ポリシーの検証条件の 1 つとして [Network Access:UseCase EQUALS Guest Flow] を使用しないで ください。代わりに、エンドポイントが属する ID グループに 照合して検証を行います。次の例を参考にしてください。

  • "GuestEndpoint" + Wireless MAB の場合は Permit Access

  • Wireless MAB の場合は HotSpot Redirect

ステップ 3

[権限(Permissions)] には、作成したポータル許可プロファイルを 選択します。

ゲストポータルの カスタマイズ

ポータルの外観およびユーザ(必要に応じてゲスト、スポンサー、または従業員)エクスペリエンスをカスタマイズするには、 ポータルテーマをカスタマイズし、ポータルページの UI 要素を変更して、ユーザに表示されるエラーメッセージと通知を 編集します。ポータルのカスタマイズの詳細については、 』の「Customization of End-User Web Portals」の項を参照してください。

定期的な AUP 受け入れの設定

手順

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を参照し、AUP の期限が切れた場合にゲストユーザをクレデンシャルを持つポータルにリダイレクトする新しい許可ルールを リストの上部に作成します。LastAUPAcceptanceHours を目的の最大時間と比較するには条件を使用します(たとえば LastAUPAcceptanceHours > 8)。時間の範囲 1 ~ 999 をチェックできます。

次の作業

エンドポイント が AUP 設定を受信したことを確認するには、次の手順を実行します。

  1. [管理(Administration)] > [ID(Identities)] > [エンドポイント(EndPoints)] を選択します。

  2. AUP が最後に受け入れられた時刻を確認するエンドポイントをクリックします(AUPAcceptedTime)。

定期的な AUP の強制

ポリシーで LastAUPAcceptance を使用して、AUP を承認することをユーザに強制できます。

If LastAUPAcceptance >= 24: Hotspot Redirect
If LastAUPacceptance < 24: PermitAccess
If Wireless_MAB: Hotspot Redirect

この例では、24 時間ごとにホットスポット ポータルに AUP を強制する方法を示します。

  1. ユーザが 24 時間以上前に AUP を承認済みの場合、AUP を受け入れる(初めからやり直す)必要があります。

  2. ユーザが 24 時間前以内に AUP を承認済みの場合、セッションを続行します。

  3. ネットワーク(MAB)への最初のアクセス時は AUP を承認する必要があります。

クレデンシャルを持つポータルでは、そのポータルの AUP が有効であれば同じ規則を使用できます。

ゲスト ユーザ情報を保存

[アカウントを記憶する(Remember me)] は、ISE でレポートおよびログの MAC アドレスではなくゲストのユーザ名が表示されることを意味します。

ゲストが初回に認証されると、ゲストのデバイスの MAC アドレスがエンドポイントグループに保存され、 レポートでユーザ名が使用されます。ユーザが切断され、ネットワークに再接続された場合、MAC アドレスはすでにエンドポイントグループに存在するため、 ユーザは再びログイン(認証)する必要はありません。この場合、ユーザ名は利用できないため、 レポートとログには MAC アドレスが使用されます。

ISE 2.3 以降、ISE はポータル ユーザ ID を保持し、リリースに応じて一部のレポートに使用します。

  • ISE 2.3 にはこの機能が実装されていますが、オフにすることはできません。

  • ISE 2.4 には、[ゲスト(Guest)] > [設定(Settings)] > [ロギング(Logging)] にこの機能をオフにする機能が追加されました。新規インストールではデフォルトでオンになります。以前のリリースのアップグレードおよび復元では無効になっています。

[アカウントを記憶する(Remember Me)] のロギングの問題に関する詳細については、ISE コミュニティで『ISE 2.3+ Remember Me guest using guest endpoint group logging display』の投稿を参照してください。

[アカウントを記憶する(Remember Me)] の設定に関する詳細については、『ISE Guest Access Deployment guide』(https://communities.cisco.com/docs/DOC-77590)を参照してください。

各リリースでサポートされるレポート方法に関する詳細については、該当するリリースのリリース ノートを参照してください。

スポンサー ポータル

スポンサーポータルは、 Cisco ISE ゲストサービスの主要コンポーネントの 1 つです。スポンサーポータルを使用して、 スポンサーは承認ユーザ用の一時アカウントを作成および管理し、 企業ネットワークまたはインターネットにセキュアにアクセスできるようにします。ゲスト アカウントを作成した後、スポンサーは、スポンサーポータルを使用して、印刷、電子メール送信、 または携帯電話による送信を行ってゲストにアカウントの詳細を提供することもできます。アカウント登録ゲストに企業ネットワーク へのアクセス権を提供する前に、スポンサーはゲストアカウントを承認するように電子メールで 要求されることがあります。

スポンサー ポータルでのゲスト アカウントの管理

スポンサー ポータルのログオンのフロー

スポンサー グループにより、スポンサー ユーザに割り当てられる権限のセットが指定されます。スポンサーがスポンサー ポータルにログインすると、次の処理が行われます。

  1. ISE がスポンサーのクレデンシャルを検証します。

  2. スポンサーの認証が成功すると、ISE は使用可能なすべてのスポンサーグループを検索して、スポンサーが属する スポンサーグループを見つけます。次の両方の条件を満たしている場合は、スポンサーがスポンサー グループに一致しているか、属しています。

    • スポンサーは、設定されているいずれかのメンバー グループのメンバーである。

    • [その他の条件(Other Conditions)] を使用している場合は、そのスポンサーについてすべての条件が true である。

  3. スポンサーがスポンサー グループに属している場合、スポンサーはそのグループの権限を取得します。スポンサーは複数のスポンサーグループ に属することができます。この場合、属しているすべてのグループの権限が組み合わせられます。スポンサーがどのスポンサーグループにも 属していない場合、スポンサーポータルへのログインは失敗します。

スポンサー グループとその権限は、スポンサー ポータルから独立しています。スポンサーがログインするスポンサーポータルに関係なく、 スポンサーグループの照合には同一アルゴリズムが使用されます。

スポンサー ポータルの使用

スポンサーポータルを使用して、承認された訪問者が企業ネットワークまたはインターネットにセキュアにアクセスできるようにする 一時ゲストアカウントを作成します。ゲストアカウントを作成したら、スポンサーポータルを使用してこれらのアカウントを管理し、 アカウントの詳細情報をゲストに提供することができます。

スポンサー ポータルでは、スポンサーが新しいゲスト アカウントを個別に作成するか、またはファイルからユーザ グループをインポートすることができます。


Active Directory などの外部 ID ストアから承認された ISE 管理者は、スポンサー グループに所属できます。 ただし、内部管理者アカウント(デフォルトの「admin」アカウントなど)はスポンサー グループに含めることができません。

スポンサー ポータルを開く方法はいくつかあります。

  • 管理者コンソールで、[アカウントの管理(Manage Accounts)] リンクを使用します。管理者コンソールで、[ゲストアクセス(Guest Access)] をクリックしてから、[アカウントの管理(Manage Accounts)] をクリックします。[アカウントの管理(Manage Accounts)] をクリックすると、ALL_ACCOUNTS にアクセスできるデフォルトのスポンサーグループに割り当てられます。新しいゲストアカウントを作成できますが、 ゲストに対して通知することはできません。これは、ゲストからのアカウント アクティベーション リクエストを受信するための電子メールアドレスがないためです。 同じ権限を持ち、スポンサー ポータルにログインしてこれらのアカウントを検索するスポンサーは、通知を送信できます。

    このステップでは、スポンサーポータルの [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] ページで設定した FQDN が DNS サーバに存在している必要があります。

    NAT ファイアウォールを介してスポンサー ポータルにアクセスしている場合、接続はポート 9002 を使用します。

  • 管理者コンソールのスポンサー ポータル設定ページから、次の操作を実行します。[ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] をクリックし、スポンサーポータルを開き、 [説明(Description)] フィールドの右側にある [ポータルテストURL(Portal Test URL)] リンクをクリックします。

  • ブラウザで、スポンサーポータルの [ポータル設定(Portal Settings)] ページで設定した URL(FQDN)を開きます。この URL(FQDN)は DNS サーバで定義されている必要があります。

次の作業

スポンサーポータルの使用法については、お使いのバージョンの ISE の『Sponsor Portal User Guide』(https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html)を参照してください。

スポンサー アカウントの管理

スポンサーは、スポンサーポータルからゲストユーザアカウントを作成および管理する組織の従業員または請負業者 となります。Cisco ISE は、ローカルデータベースあるいは外部の Lightweight Directory Access Protocol (LDAP)、Microsoft Active Directory、または SAML ID ストア経由でスポンサーを認証します。外部ソースを使用しない場合、スポンサー用の内部 ユーザアカウントを作成する必要があります。

スポンサー グループ

スポンサー グループは、スポンサー ポータルの使用時にスポンサーに付与される権限を制御します。スポンサーがスポンサーグループ のメンバーである場合、スポンサーにはグループに定義されている権限が付与されます。

スポンサーは、次の両方が当てはまる場合にスポンサーグループのメンバーであると見なされます。

  1. スポンサーが、スポンサー グループで定義されているメンバー グループの少なくとも 1 つに属している。メンバーグループは、ユーザ ID グループか、Active Directory などの外部 ID ソースから選択されたグループです。

  2. スポンサーが、スポンサー グループで指定されているすべてのその他の条件を満たしている。オプションのその他の条件は、 ディクショナリ属性で定義される条件です。これらの条件は、許可ポリシーで使用されるものと動作が 似ています。

スポンサーは、複数のスポンサー グループのメンバーにすることができます。その場合、スポンサーにはそれらすべてのグループから次のように組み合わされた 権限が付与されます。

  • いずれかのグループで有効になっている場合、「ゲストのアカウントの削除」などの個々の権限が付与されます。

  • スポンサーは、任意のグループでゲスト タイプを使用してゲストを作成できます。

  • スポンサーは、任意のグループの場所にゲストを作成できます。

  • バッチ サイズ制限などの数値は、グループの最大値が使用されます。

スポンサーがいずれかのスポンサー グループのメンバーでない場合、そのスポンサーはスポンサー ポータルにログインできません。

  • ALL_ACCOUNTS:スポンサーは、 すべてのゲストアカウントを管理できます。

  • GROUP_ACCOUNTS:スポンサーは、 同じスポンサーグループのスポンサーが作成したゲストアカウントを管理できます。

  • OWN_ACCOUNTS:スポンサーは、 自分が作成したゲストアカウントのみを管理できます。

特定のスポンサーグループで使用可能な機能をカスタマイズでき、それによりスポンサーポータルの機能を制限または 拡張できます。次に例を示します。

スポンサーアカウント の作成およびスポンサーグループへの割り当て

内部スポンサー ユーザアカウントを作成し、スポンサーポータルを使用できるスポンサーを指定するには、次の手順を実行します。

手順
ステップ 1

[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。適切なユーザ ID グループに内部スポンサー ユーザアカウントを割り当てます。

 

デフォルトの スポンサーグループには、デフォルトの ID グループ Guest_Portal_Sequence が 割り当てられています。

ステップ 2

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーグループ(Sponsor Groups)] > [作成、編集または複製(Create, Edit or Duplicate)] の順に選択し、[メンバー(Members)] をクリックします。スポンサー ユーザ ID グループをスポンサー グループにマッピングします。

次の作業

スポンサーで 使用するために、追加で組織に固有のユーザ ID グループを作成することも できます。[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

スポンサー グループの設定

シスコは デフォルトのスポンサーグループを提供します。デフォルトオプションを使用しない場合、新しいスポンサーグループを作成するか、 またはデフォルトのスポンサーグループを編集して設定を変更 できます。スポンサーグループを複製して、同じ設定と権限を持つスポンサー グループをさらに作成することもできます。

スポンサーグループを 無効にすることができます。無効になったグループのメンバーは スポンサーポータルにログインできなくなります。Cisco ISE によって提供されているデフォルトの スポンサーグループ以外のスポンサーグループを削除できます。

手順
ステップ 1

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals and Components)] > [スポンサーグループ(Sponsor Groups)] > [作成、編集または複製(Create, Edit or Duplicate)] の順に選択します。

ステップ 2

[スポンサーグループ名(Sponsor group name)] と [説明(Description)] に入力します。

ステップ 3

[一致基準(Matching Criteria)]:このセクションの設定により、スポンサーがこのグループのメンバーかどうかが判別されます。

  • メンバーグループ(Member Groups):メンバーをクリックして 1 つ以上のユーザ(ID)グループおよび外部 ID ソースのグループを選択し、それらのグループを追加します。 ユーザがこのスポンサー グループのメンバーになるためには、少なくとも 1 つの設定済みグループに属している必要があります。

  • その他の条件(Other conditions):[新しい条件の作成(Create New Condition)] をクリックして、このスポンサーグループに含まれるためにスポンサーが満たす必要がある条件を 1 つ以上構築します。Active Directory、LDAP、SAML、ODBC の ID ストアからの認証属性を使用できますが、RADIUS トークンまたは RSA SecurID ストアは使用できません。内部ユーザ属性 も使用できます。条件には、属性、演算子、値があります。

    • ディクショナリ属性 Name を使用して条件を作成するには、ID グループ名の前にユーザ ID グループを付けます。次に例を示します。

      InternalUser:Name EQUALS bsmith

      この場合、「bsmith」という名前の内部ユーザだけがこのスポンサー グループに所属できます。

    • Active Directory インスタンスの ExternalGroups 属性を使用して条件を作成するには、一致させるスポンサーユーザの AD「プライマリグループ」 を選択します。たとえば、ユーザの名前が Smith の場合は AD1:LastName EQUALS Smith になります。

1 つ以上の設定されたメンバーグループとの一致に加えて、スポンサーはここで作成するすべての条件に一致する必要があります。認証しているスポンサーユーザが複数のスポンサーグループの一致基準を満たす場合には、 そのユーザには次のようにアクセス許可が付与されます。

  • ゲストのアカウントの削除などの個々の権限は、一致するグループのいずれかで有効になっている場合に付与されます。

  • スポンサーは、一致するグループのいずれかのゲスト タイプを使用してゲストを作成することができます。

  • スポンサーは、一致するグループのいずれかのゲスト タイプを使用してゲストを作成することができます。

  • スポンサーは、一致するグループのいずれかの場所でゲストを作成することができます。

  • バッチ サイズ制限などの数値については、一致するグループの最も大きな値が使用されます。

[メンバー グループ(Member Groups)] のみが指定されている一致基準、または [その他の条件(Other Conditions)] のみが指定されている一致基準を作成できます。[その他の条件(Other Conditions)] のみを指定する場合、 スポンサーグループのスポンサーのメンバーシップは、一致するディクショナリ属性のみに基づいて決定されます。

ステップ 4

このスポンサーグループに基づく スポンサーによって作成できるゲストタイプを指定するには、 [このスポンサーグループはこれらのゲストタイプを使用してアカウントを作成可能(This sponsor group can create accounts using these guest types)] でボックス内をクリックして、 1 つ以上のゲストタイプを選択します。

[次の場所にゲストタイプを作成(Create Guest Types at)] の下のリンクをクリックして、このスポンサーグループに割り当てるゲストタイプをさらに作成できます。新しいゲストタイプを作成した後、 その新しいゲストタイプを選択するには、スポンサーグループを保存して閉じ、再度開いてください。

ステップ 5

[ゲストが訪問するロケーションを選択(Select the locations that guests will be visiting)] を使用して、 ゲストアカウントの作成時にスポンサーグループのスポンサーが選択できる ロケーション(ゲストの時間帯の設定に使用)を指定します。

[次の場所にゲストロケーションを設定(Configure guest locations at)] の下のリンクをクリックして、ゲスト ロケーションを追加することで、選択できるロケーションをさらに追加できます。新しいゲストロケーションを作成した後、その新しいゲストロケーションを選択するには、 スポンサーグループを保存して閉じ、再度開いてください。

これによって、 ゲストが他のロケーションからログインできなくなることはありません。

ステップ 6

スポンサーがユーザの作成後に [通知(Notify)] をクリックする操作を行わずにすむようにするには、[自動ゲスト通知(Automatic guest notification)] の下の [電子メールアドレスが使用可能な場合はアカウント作成時にゲストに電子メールを自動的に送信する(Automatically email guests upon account creation if email address is available)] をオンにします。これにより、電子メールが送信されたことを示すウィンドウが表示されます。また、このオプションをオンにすると 、[ゲスト通知は自動送信されました(Guest notifications are sent automatically] というヘッダーがスポンサーポータルに追加されます。

ステップ 7

[スポンサー作成可能(Sponsor Can Create)] で、このグループ内のスポンサーがゲストアカウントを作成するために使用できる オプションを設定します。

  • 特定のゲストに割り当てられた複数のゲストアカウント(インポート)(Multiple guest accounts assigned to specific guests (Import)):スポンサーは、ファイルから姓名などのゲストの詳細をインポートすることによって、複数のゲストアカウントを作成できます。

    このオプションが有効である場合、[インポート(Import)] ボタンがスポンサーポータルの [アカウントの作成(Create Accounts)] ページに表示されます。[インポート(Import)] オプションは、Internet Explorer、 Firefox、Safari などのデスクトップブラウザだけで使用可能です(モバイルは不可)

  • バッチ処理の制限(Limit to batch of):このスポンサーグループが複数のアカウントを同時に作成できる場合、 単一のインポート操作で作成可能なゲストアカウントの数を指定します。

    スポンサーは最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、 作成するアカウントの数を制限することを推奨します。

  • ゲストへの複数のゲストアカウントの割り当て(ランダム)(Multiple guest accounts to be assigned to any guests (Random)):スポンサーが、未知のゲストのプレースホルダとして複数のランダムゲストアカウントを作成するか、または 複数のアカウントをすばやく作成することができるようにします。

    このオプションが有効である場合、[ランダム(Random)] ボタンがスポンサーポータルの [アカウントの作成(Create Accounts)] ページに表示されます。

  • デフォルトユーザ名プレフィックス(Default username prefix):スポンサーが複数のランダムなゲストアカウントを作成する場合に使用できるユーザ名プレフィックスを指定します。指定した場合、 このプレフィックスはランダムなゲストアカウントを作成するときにスポンサーポータルに表示されます。また、[スポンサーにユーザ名プレフィックスの指定を許可(Allow sponsor to specify a username prefix)] の設定により、次のようになります。

    • 有効:スポンサーは、スポンサー ポータルでデフォルトのプレフィックスを編集できます。

    • 無効:スポンサーは、スポンサー ポータルでデフォルトのプレフィックスを編集できません。

    ユーザ名プレフィックスを指定しないか、またはスポンサーにユーザ名プレフィックスの指定を許可しない場合、 スポンサーはスポンサーポータルでユーザ名プレフィックスを割り当てることができません。

  • スポンサーにユーザ名プレフィックスの指定を許可(Allow sponsor to specify a username prefix):このスポンサーグループが複数のアカウントを同時に作成できる場合、 単一のインポート操作で作成可能なゲストアカウントの数を指定します。

    スポンサーは最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、 作成するアカウントの数を制限することを推奨します。

ステップ 8

[スポンサーが管理可能(Sponsor Can Manage)] で、このスポンサーグループのメンバーが表示および管理できる ゲストアカウントを制限できます。

  • スポンサーが作成したアカウントのみ(Only accounts sponsor has created) :このグループのスポンサーは、 スポンサーの電子メールアカウントに基づいて、スポンサーが作成したゲストアカウントのみを表示および管理できます。

  • このスポンサーグループのメンバーによって作成されたアカウント(Accounts created by members of this sponsor group) :このグループのスポンサーは、 このスポンサーグループ内のスポンサーが作成したゲストアカウントを表示および管理できます。

  • すべてのゲストアカウント(All guest accounts) :スポンサーはすべての保留中のゲストアカウントを表示および管理できます。

ステップ 9

[スポンサーの権限(Sponsor Can)] で、このスポンサーグループのメンバーに、 ゲストのパスワードおよびアカウントに関連する追加の権限を提供できます。

  • ゲストの連絡先情報(電子メール、電話番号)の更新(Update guests' contact information (email, Phone Number)):スポンサーは、自分が管理できるゲストアカウントについて、ゲストの連絡先情報を変更できます。

  • ゲストのパスワードの表示/印刷(View/print guests' passwords):これをオンにすると、スポンサーはゲストのパスワードを印刷することができます。スポンサーは [アカウントの管理(Manage Accounts)] ページおよびゲストの詳細で、ゲストのパスワードを表示できます。これがオフの場合、スポンサーはパスワードを印刷できませんが、ユーザは 電子メールまたは SMS(設定済みの場合)を介してパスワードを取得できます。

  • ゲストのクレデンシャルを含む SMS 通知の送信(Send SMS notifications with guests’ credentials):スポンサーは、自分が管理できるゲストアカウントについて、アカウントの 詳細とログインクレデンシャルとともにゲストに SMS(テキスト)通知を送信できます。

  • ゲストアカウントパスワードのリセット(Reset guest account passwords):スポンサーは、自分が管理できるゲストアカウントについて、そのパスワードを Cisco ISE によって生成されたランダムなパスワードにリセット できます。

  • ゲストのアカウントの延長(Extend guests’ accounts):スポンサーは、自分が管理できるゲストアカウントについて、その有効期限を延長できます。スポンサーは、 アカウントの有効期限に関してゲストに送信される電子メール通知に自動的にコピーされます。

  • ゲストのアカウントの削除(Delete guests’ accounts):スポンサーは、自分が管理できるゲストアカウントについて、アカウントを削除し、ゲストが企業のネットワークにアクセスすることを 防ぐことができます。

  • ゲストのアカウントの一時停止(Suspend guests’ accounts):スポンサーは、自分が管理できるゲストアカウントについて、アカウントを一時停止してゲストが一時的にログインすることを防ぐことができます。

    また、このアクションは、許可変更(CoA)終了を発行して、一時停止されていたゲストをネットワークから排除できます。

    • スポンサーに理由の入力を求める(Require sponsor to provide a reason):ゲストアカウントの一時停止に対する説明の入力をスポンサーに求めます。

  • アカウント登録ゲストからの要求の承認および表示(Approve and view requests from self-registering guests):このスポンサーグループに含まれているスポンサーは、(承認が必要な)アカウント登録ゲストからのすべての保留中のアカウント要求を表示するか、 アクセス先の担当者としてユーザがスポンサーの電子メールアドレスを入力した要求のみを表示できます。 この機能では、アカウント登録ゲストによって使用されるポータルで [アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] にマークが付けられていて、スポンサーの電子メールが連絡先の担当者としてリストされている必要があります。

    • [保留中のすべてのアカウント(Any pending accounts)]:このグループに所属するスポンサーは、他のスポンサーによって作成されたアカウントを承認およびレビューします。

    • [このスポンサーに割り当てられている保留中のアカウントのみ(Only pending accounts assigned to this sponsor)]:このグループに所属するスポンサーは、スポンサー自身が作成したアカウントだけを表示および承認 できます。

  • プログラムによるインターフェイス(Guest REST API)を使用した Cisco ISE ゲストアカウントへのアクセス(Access Cisco ISE guest accounts using the programmatic interface (Guest REST API)):スポンサーは、自分が管理できるゲストアカウントについて、Guest REST API プログラミング インターフェイスを使用してゲストアカウントにアクセス できます。

ステップ 10

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

スポンサー アカウント作成のためのアカウント コンテンツの設定

ゲストとスポンサーが新しいゲスト アカウントの作成時に指定する必要があるユーザ データのタイプを設定できます。ISE アカウントを 識別するために必要なフィールドがありますが、その他のフィールドを削除し、独自のカスタムフィールドを追加することができます。

スポンサーによるアカウント作成用のフィールドを設定するには、次の手順に従います。

  1. ISE で [ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] を選択し、スポンサーポータルを編集します。

  2. [ポータルページのカスタマイズ(Portal Page Customization)] タブを選択します。

  3. 下にスクロールして [既知のゲストのアカウント作成(Create Account for Known Guests)] を選択します。

  4. 右側の [プレビュー(Preview)] 表示で [設定(Settings)] を選択します。

これらの設定により、スポンサー ポータルでのゲスト アカウントの作成時に表示される、ゲスト アカウントに必要なフィールドが決定します。 この設定は、ゲスト タイプ [既知(Known)]、[ランダム(Random)]、および [インポート(Imported)] に適用されます。新しいユーザをインポートするためにスポンサーがダウンロードするテンプレートは動的に作成されるので、 [既知のゲスト(Known Guests)] で設定したフィールドだけが含まれます。

アカウントのユーザ名とパスワードのインポート

スポンサーはユーザ名とパスワードをインポートできますが、スポンサーが CSV テンプレートをダウンロードするときにはこれらの行がテンプレートに追加されません。 スポンサーはこれらのヘッダーを追加できます。ISE が列を認識できるように、ヘッダーの名前が正しく設定されている必要があります。

  • [ユーザ名(Username)]:User Name または UserName です。

  • [パスワード(Password)]:password である必要があります。

スポンサー ポータルの特別な設定

次の設定は、[インポートされたゲストにアカウントを作成(Create Account for Imported Guests)] ページ、[ポータルページのカスタマイズ(Portal Page Customizations)] タブ、 スポンサーポータルで一意です。

  • [スポンサーによるゲストクレデンシャルの電子メールのコピーを許可(Allow sponsor to be copied in Guest Credentials email)]:このオプションを有効にすると、インポートされたゲストに正常に送信されるゲストクレデンシャルの各電子メールがスポンサーにも 送信されます。デフォルトでは、電子メールはスポンサーに送信されません。

  • [スポンサーによるサマリーの電子メールの受信を許可(Allow sponsor to receive summary email)]:スポンサーがユーザリストをインポートすると、ISE はインポートされたすべてのユーザを含むサマリーの電子メールを 1 つ送信します。このオプションをオフにすると、 スポンサーはインポートされたユーザごとにそれぞれ電子メールを受信します。

スポンサー ポータル フローの設定

デフォルトポータルと、証明書、エンドポイント ID グループ、ID ソース順序、 ポータルテーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などの デフォルト設定を使用できます。デフォルト設定を使用しない場合は、 新しいポータルを作成するか、必要性に合うように既存の設定を編集する 必要があります。同じ設定で複数のポータルを作成する場合は、 ポータルを複製できます。

会社の営業所や その小売の場所にさまざまなブランディングがある場合、 会社にさまざまな製品ブランドがある場合、または市役所が火災、警察、 およびその他の部門で異なるテーマのポータルを必要とする場合は、 複数のスポンサーポータルを作成することもできます。

これらは、 スポンサーポータルの設定に関連するタスクです。

はじめる前に

スポンサーグループの設定」の説明に従い、サイトの既存のスポンサーグループを設定または編集します。

手順

ステップ 1

ポリシーサービスの有効化

ステップ 2

ゲストサービスの証明書の追加

ステップ 3

外部 ID ソースの作成

ステップ 4

ID ソース順序の作成

ステップ 5

スポンサーポータルの作成

ステップ 6

(任意)スポンサーポータルのカスタマイズ

ポリシーサービス の有効化

Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータルポリシーサービス を有効にする必要があります。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2

ノードをクリックして、 [編集(Edit)] をクリックします。

ステップ 3

[全般設定(General Settings)] タブで、[ポリシーサービス(Policy Service)] をオンにします。

ステップ 4

[セッションサービスの有効化(Enable Session Services)] オプションをオンにします。

ステップ 5

[保存(Save)] をクリックします。

ゲストサービスの 証明書の追加

デフォルトの証明書を 使用しない場合は、有効な証明書を追加して、証明書グループタグに 割り当てることができます。すべてのエンドユーザ Web ポータルに使用されるデフォルトの証明書グループタグ は [デフォルトポータル証明書グループ(Default Portal Certificate Group)] です。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

ステップ 2

システム 証明書を追加し、ポータルに使用する証明書グループタグに 割り当てます。

この 証明書グループタグは、ポータルを作成または編集するときに選択できるように なります。
ステップ 3

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [作成または編集(Create or Edit)] > [ポータル設定(Portal Settings)] を選択します。

ステップ 4

新しく 追加された証明書に関連付けられた [証明書グループタグ(Certificate group tag)] ドロップダウンリストから 特定の証明書グループタグを選択します。

外部 ID ソースの作成

Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、 認証/許可のユーザ情報を取得できます。外部 ID ソースには、証明書ベースの認証に必要な証明書認証 プロファイルも含まれています。


認証済みユーザ ID を受信して共有できるようにするパッシブ ID サービスを 使用するには、Cisco ISE Admin Guide: Asset Visibility』の「Additional Passive Identity Service Providers」の項を参照してください。

手順
ステップ 1

[管理(Administration)] > [ID 管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] を選択します。

ステップ 2

次のオプションの いずれかを選択します。

  • 証明書認証プロファイル(Certificate Authentication Profile):証明書ベースの認証の場合。
  • Active Directory:外部 ID ソースである Active Directory に接続する場合。Cisco ISE Admin Guide: Asset Visibility 』の「Active Directory as an External Identity Source」の項を参照してください。
  • LDAP:LDAP ID ソースを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「LDAP」の項を参照してください。
  • RADIUSトークン(RADIUS Token):RADIUS トークンサーバを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「RADIUS Token Identity Sources」の項を参照してください。
  • RSA SecurID:RSA SecurID サーバを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「RSA Identity Sources」の項を参照してください。
  • SAML IDプロバイダー(SAML Id Providers):Oracle Access Manager などの ID プロバイダー(IdP)を追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「SAMLv2 Identity Provider as an External Identity Source」の項を参照してください。
  • ソーシャルログイン(Social Login):Facebook などのソーシャルログインを外部 ID ソースとして追加する場合。Cisco ISE 管理者ガイド:ゲストと BYOD 』の「アカウント登録ゲストのソーシャルログイン」のセクションを参照してください。

ID ソース 順序の作成

はじめる前に

Cisco ISE に外部 ID ソースを設定していることを確認します。

次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。

ゲストユーザがローカル WebAuth を使用して認証できるようにするには、ゲストポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。

手順
ステップ 1

[管理(Administration)] > [ID 管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] > [追加(Add)] を選択します。

ステップ 2

ID ソース順序の名前を入力します。 また、任意で説明を入力できます。

ステップ 3

[証明書認証プロファイル(Certificate Authentication Profile)] チェックボックスをオンにし、証明書ベースの認証のための証明書認証プロファイルを 選択します。

ステップ 4

[選択済み(Selected)] リストボックスの ID ソース順序に含めるデータベースを選択します。

ステップ 5

Cisco ISE がデータ ベースを検索する順に [選択済み(Selected)] リストのデータベースを並べ替えます。

ステップ 6

[高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。

  • [順序内の他のストアにアクセスせず、AuthenticationStatus 属性を ProcessError に設定(Do not access other stores in the sequence and set the AuthenticationStatus attribute to ProcessError)] :最初に選択された ID ソースでユーザが見つからないとき、 Cisco ISE が検索を中止する場合。

  • [ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)]:最初に選択された ID ソースでユーザが見つからない場合に、Cisco ISE が順序内の他の選択された ID ソースの検索を続行する場合。

    Cisco ISE では、要求の処理中にこれらの ID ソースが順番に検索されます。 [選択済み(Selected)] リストに、Cisco ISE が ID ソースを検索する順序で ID ソースが表示されていることを確認します。

ステップ 7

[送信(Submit)] をクリックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。

スポンサーポータル の作成

スポンサー ポータルを提供して、ネットワークに接続してインターネットと内部リソースおよびサービスにアクセスするゲスト のアカウントをスポンサーが作成、管理、および承認できるように することができます。

Cisco ISE では、 別のポータルを作成する必要なく使用できるデフォルトのスポンサーポータルが 用意されています。ただし、新しいスポンサーポータルを作成するか、 既存のものを編集または複製できます。デフォルトのスポンサーポータル以外のすべての ポータルを削除できます。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブの [ページ設定(Page Settings)] で行った変更は、 スポンサーフロー図のグラフィカルフローに反映されます。[AUP] ページなどのページを有効にすると、 そのページがフローに表示され、スポンサーはポータルでそれを確認します。無効にした場合は、 そのページがフローから削除され、次に有効にされたページがスポンサーに 表示されます。

はじめる前に

このポータルで 使用するために、必要な証明書、外部 ID ソース、および ID ソース 順序が設定されていることを確認します。

手順
ステップ 1

スポンサーポータルのポータル設定」の説明に従って、[ポータル設定(Portal Settings)] ページを設定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 2

スポンサーポータルのログイン設定」の説明に従って、[ログイン設定(Login Settings)] ページを設定します。

ステップ 3

スポンサーポータルの利用規定(AUP)設定 」の説明に従って、[利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] ページを設定します。

ステップ 4

ゲストパスワードポリシーと有効期限の設定 」と「 ゲストパスワードポリシーのルール」の説明に従って、[スポンサーのパスワード変更設定(Sponsor Change Password Settings)] ページを設定します。

ステップ 5

スポンサーポータルのポストログインバナー設定」の説明に従って、[ポストログインバナーページ設定(Post-Login Banner Page Settings)] ページを 設定します。

ステップ 6

[スポンサー ポータル アプリケーションの設定(Sponsor Portal Application Settings)] では、ポータルをカスタマイズする場合は [ポータルのカスタマイズ(Portal Customization)] タブを 参照します。

ステップ 7

[保存(Save)] をクリックします。

スポンサー ポータルのカスタマイズ

ポータルの外観およびユーザエクスペリエンスをカスタマイズするには、ポータルテーマをカスタマイズし、 ポータルページの UI 要素を変更して、ユーザに表示されるエラーメッセージと通知を編集します。ポータルのカスタマイズの 詳細については、「エンドユーザ Web ポータルのカスタマイズ」を参照してください。

スポンサー アカウント作成のためのアカウント コンテンツの設定

ゲストとスポンサーが新しいゲスト アカウントの作成時に指定する必要があるユーザ データのタイプを設定できます。ISE アカウントを 識別するために必要なフィールドがありますが、その他のフィールドを削除し、独自のカスタムフィールドを追加することができます。

スポンサーによるアカウント作成用のフィールドを設定するには、次の手順に従います。

  1. ISE で [ワーク センター(Work Centers)] > [ゲスト アクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサー ポータル(Sponsor Portals)] を選択し、スポンサー ポータルを編集します。

  2. [ポータルページのカスタマイズ(Portal Page Customization)] タブを選択します。

  3. 下にスクロールして [既知のゲストのアカウント作成(Create Account for Known Guests)] を選択します。

    • 右側の [プレビュー(Preview)] 表示で [設定(Settings)] を選択します。

    これらの設定により、スポンサー ポータルでのゲスト アカウントの作成時に表示される、ゲスト アカウントに必要なフィールドが決定します。

この設定は、ゲスト タイプ [既知(Known)]、[ランダム(Random)]、および [インポート(Imported)] に適用されます。新しいユーザをインポートするためにスポンサーがダウンロードするテンプレートは動的に作成されるので、 [既知のゲスト(Known Guests)] で設定したフィールドだけが含まれます。

スポンサーによるアカウントのユーザ名とパスワードのインポート

スポンサーはユーザ名とパスワードをインポートできますが、スポンサーがテンプレートをダウンロードするときにはこれらの行はテンプレートに追加されません。 スポンサーはこれらのヘッダーを追加できます。ISE が列を認識できるように、ヘッダーの名前が正しく設定されている必要があります。

  • ユーザ名User Name または UserName のいずれかを指定します。

  • パスワード :password にする必要があります。

スポンサーに対して使用可能な時間設定項目の設定

スポンサーは新しいゲスト アカウントを作成するときに、アカウントがアクティブである期間を設定します。スポンサーが使用できるオプションを設定して、 スポンサーがアカウントの期間と、開始時刻および終了時刻を設定できるようにすることができます。これらのオプションはゲストタイプ別に 設定されます。スポンサーに対し、[アクセス情報(Access Information)] というヘッダーの下に結果が表示されます。

スポンサーのポータルアカウント期間オプションを制御する [ゲストタイプ(Guest Type)] 設定は、[最大アクセス時間(Maximum Access Time)] ヘッダーの下にあります。この設定について 次に説明します。

  • [初回ログインから(From-First-Login)]:スポンサー ポータルには [期間(Duration)] フィールドが表示され、その下に [初回ログインから(From-First-Login)] が表示されます。

    ゲスト タイプ設定の [最大アカウント期間(Maximum account duration)] により、スポンサーがその期間として入力できる値が決定されます。

  • [スポンサーが指定した日付から(From sponsor-specified date)](該当する場合はアカウント登録の日付):スポンサーは、期間を [営業日の終わり(End of business day)] として設定するか、 または [営業日の終わり(End of business day)] フィールドをオフにして、期間、開始時刻、および終了時刻を設定するかを選択できます。

    期間と有効な日付を制御するゲストタイプ設定は、[アクセスを許可する日付と時刻(Allow access only on these days and times)] ヘッダー の下にあります。

    • 選択した曜日により、スポンサーのカレンダーで選択できる日付が制限されます。

    • 期間と日付を選択すると、スポンサー ポータルで最大アカウント期間が適用されます。

スポンサー ポータルの Kerberos 認証

ISE を設定して、Windows にログオンしているスポンサーユーザのスポンサーポータルへのアクセスの認証に Kerberos を使用することが できます。このプロセスは、Kerberos チケットでログインしているスポンサー ユーザの Active Directory クレデンシャルを使用します。ブラウザが ISE との SSL 接続を確立した後、セキュアトンネル内で Kerberos SSO が実行されます。

次の項目は同じ Active Directory ドメインに存在する必要があります。

  • スポンサーの PC

  • ISE PSN

  • このスポンサー ポータルに設定された FQDN

この要件は、Microsoft では Active Directory フォレスト間の双方向の信頼での Kerberos SSO がサポートされていないため必要です。

スポンサー ユーザは、Windows にログオンする必要があります。

ゲスト ポータルの Kerberos 認証はサポートされていません。

Kerberos の設定

スポンサーポータルで Kerberos を有効にするには、[スポンサー設定とカスタマイズ(Sponsor Settings and Customization)] ページで [Kerberos SSOを許可する(Allow Kerberos SSO)] チェックボックスをオンにします。

スポンサーのブラウザも正しく設定されていなければなりません。次のセクションでは、各ブラウザを手動で設定する方法を説明します。

Firefox を手動で設定するには

  1. アドレスバーに about:config と入力します。

  2. 表示される警告は無視し、クリックして続行します。

  3. 検索バーで negotiate を検索します。

  4. network.negotiate-auth.delegation-urisnetwork.negotiate-auth.trusted-uris に FQDN を追加します。各属性の URL の一覧はコンマで区切られます。

  5. タブを閉じます。ブラウザが使用可になり、再起動は必要ありません。

Internet Explorer を手動で設定するには

  1. 右上の歯車をクリックし、[インターネットオプション(Internet Options)] を選択します。

  2. [セキュリティ(Security)] タブをクリックします。

  3. [ローカルイントラネット(Local Intranet)] を選択します。

  4. [サイト(Sites)] ボタンをクリックしてから、[詳細(Advanced)] ボタンをクリックします。

  5. 文字列に <mydomain>.com を追加します(<mydomain> はスポンサーポータル FQDN のワイルドカード)、または FQDN を入力します。

  6. [閉じる(Close)] をクリックし、[OK] をクリックします。

  7. [Advanced] タブをクリックします。

  8. [セキュリティ(Security)] チェックボックスまで下方向にスクロールし、[統合Windows認証を有効にする(Enable Integrated Windows Authentication)] チェックボックスが有効になっていることを確認します。

  9. コンピュータを再起動します。

Chrome は Internet Explorer から設定を取得します

トラブルシューティング

  • コマンドプロンプトで set user を実行し、マシンが適切な AD ドメインに連結されていることを確認します。

  • コマンドプロンプトで klist を実行し、キャッシュされた Kerberos チケットとホスト名の一覧を表示します。

  • SPNEGO トークン データを見ます。NTLM パスワードベースのトークン文字列は、Kerberos トークン文字列よりもはるかに短く、正しい トークン文字列は 1 行に収まりません。

  • kerberos フィルタを使用して Wireshark を使用し、存在する場合は Kerberos 要求をキャプチャします。


Kerberos SSO オプションを有効にすると、ユーザは、Kerberos SSO が正しく機能するノード FQDN でスポンサーポータルにアクセスする 必要があります。スポンサーポータルでポータル FQDN が設定されている場合、ユーザがポータル FQDN に接続すると、 そのノード FQDN によってこのポータルにリダイレクトされます。

スポンサーがスポンサー ポータルにログインできない

問題
次のエラーメッセージは、スポンサーがスポンサーポータルにログイン しようとしたときに表示されます。 

「Invalid username or password. Please try again.」
原因

  • スポンサーが 無効なクレデンシャルを入力しました。

  • スポンサーは、 ユーザレコードがデータベース(内部ユーザまたは Active Directory)にないため 無効です。

  • スポンサーが属する スポンサーグループは無効です。

  • スポンサーのユーザアカウントがアクティブな/有効な スポンサーグループのメンバーではありません。これは、スポンサーユーザの ID グループが いずれのスポンサーグループのメンバーでもないことを意味します。

  • スポンサーの 内部ユーザアカウントは無効(一時停止中)です。

ソリューション

  • ユーザの クレデンシャルを確認します。

  • スポンサーグループ を有効にします。

  • ユーザアカウントが 無効になっている場合は復元します。

  • スポンサーユーザの ID グループをスポンサーグループのメンバーとして 追加します。

ゲストとスポンサーの アクティビティのモニタ

Cisco ISE は、 エンドポイントおよびユーザ管理情報、およびゲストとスポンサーのアクティビティを参照できる さまざまなレポートとログを提供します。Cisco ISE 1.2 レポート の一部は廃止されましたが、情報は他のレポートで表示できます。

オンデマンドまたは スケジュールベースでこれらのレポートを実行できます。

手順

ステップ 1

[操作(Operations)] > [レポート(Reports)] を選択します。

ステップ 2

レポート セレクタで、[ゲストアクセスレポート(Guest Access Reports)] および [エンドポイントとユーザ(Endpoints and Users)] 選択を展開し、さまざまな ゲスト、スポンサー、およびエンドポイントに関するレポートを表示します。

ステップ 3

レポートを 選択し、[フィルタ(Filters)] ドロップダウンリストを使用して、検索するデータを選択します。

ユーザ名、 ポータル名、デバイス名、エンドポイント ID グループ、および 他のデータについてフィルタを使用できます。

ステップ 4

データを表示する [時間範囲(Time Range)] を選択します。

ステップ 5

[実行(Run)] をクリックします。

メトリック ダッシュボード

Cisco ISE では、 Cisco ISE ホームページに表示されるメトリックダッシュボードで、ネットワークの [認証されたゲスト(Authenticated Guests)] と [アクティブエンドポイント(Active Endpoints)] を一目で 確認できます。

ホットスポット フローの場合、[認証されたゲスト(Authenticated Guests)] ダッシュレットにエンドポイントが表示されません。

AUP 受け入れ ステータスレポート

AUP 受け入れステータス レポートには、すべてのゲストポータルからの、ゲストによる利用規定(AUP)の受け入れの ステータスが示されます。このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲストアクセスレポート(Guest Access Reports)] > [AUP 受け入れステータス(AUP Acceptance Status)] から使用できます。

レポートを使用して、 特定の期間のすべての許可および拒否された AUP 接続を追跡 できます。

ゲスト アカウンティング レポート

ゲスト アカウンティング レポート は、指定された期間のゲストログイン履歴を表示します。このレポート は、[操作(Operations)] > [レポート(Reports)] > [ゲストアクセスレポート(Guest Access Reports)] > [ゲストアカウンティング(Guest Accounting)] で利用できます。

マスターゲスト レポート

マスターゲストレポート は、さまざまなレポートからのデータを単一のビューへ結合して、複数の異なるレポートソースから データをエクスポートできるようにします。データカラムをさらに追加したり、表示またはエクスポートしない データカラムを削除したりできます。このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲストアクセスレポート(Guest Access Reports)] > [マスターゲスト(Master Guest)] で利用できます。このレポートには、 非推奨のゲスト アクティビティ レポートに含まれていた情報も含まれるようになりました。

このレポートはすべての ゲストアクティビティを収集し、ゲストユーザがアクセスした Web サイトに関する詳細を提供します。 このレポートをセキュリティ監査の目的で使用して、ゲストユーザ がいつネットワークにアクセスして、何を行ったかを確認できます。アクセスした Web サイトの URL などの ゲストのインターネット アクティビティを表示するには、初めに次の操作を行う必要があります。

  • 成功した認証の ロギングカテゴリを有効にします。[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging Categories)] を選択して、[成功した認証(Passed authentications)] を選択します。

  • ゲストトラフィックで使用する ファイアウォールで次のオプションを有効にします。

    • HTTP トラフィックを検査し、 Cisco ISE モニタリングノードにデータを送信します。Cisco ISE はゲスト アクティビティ レポートに 対して IP アドレスおよびアクセスした URL だけを必要とするため、可能な場合は、 この情報だけが含まれるようにデータを制限します。

    • Cisco ISE モニタリングノードに syslog を送信します。

スポンサーのログインおよび 監査レポート

スポンサーログインおよび監査 レポートは、次を追跡する統合レポートです。

  • スポンサー ポータルでのスポンサーによるログイン アクティビティ。

  • スポンサーポータルでスポンサーが実行したゲスト関連の 操作。

このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲストアクセスレポート(Guest Access Reports)] > [スポンサーログインおよび監査(Sponsor Login and Audit)] で使用できます。

ゲストおよびスポンサー ポータルの監査ロギング

ゲストポータルおよび スポンサーポータルで特定のアクションが実行されると、基礎となる監査システムに監査ログメッセージが 送信されます。デフォルトでは、これらのメッセージは、 /opt/CSCOcpm/logs/localStore/iseLocalStore.log ファイルに記録されます。

これらの メッセージを syslog によってモニタリング/トラブルシューティング システムおよびログコレクタに送信するように設定することが できます。モニタリングサブシステムによって、 適切なスポンサー、デバイス監査ログ、およびゲストのアクティビティログにこの情報が示されます。

ゲストログインフローは、 ゲストログインが成功したか失敗したかにかかわらず、監査ログに記録されます。

ゲスト アクセス Web 認証オプション

Cisco ISE ゲスト サービスと Web 認証サービスでは、セキュアなゲスト アクセスを有効にするための複数の展開オプションがサポートされています。ローカルまたは 中央 Web 認証とデバイス登録 Web 認証を使用した有線または無線のゲスト接続を提供することができます。

  • [中央 Web 認証(Central WebAuth)]:すべてのゲスト ポータルに適用されます。有線および無線の両方の接続要求に対して、中央 Cisco ISE RADIUS サーバを介した Web 認証を使用します。ゲストは、ホットスポット ゲスト ポータルでオプションのアクセス コードを入力するか、クレデンシャルを持つゲストポータルでユーザ名とパスワードを入力することにより、後で認証されます。


    ユーザ クレデンシャルのブラウザへのリダイレクト(CWA)を使用する場合、複数のタブが開いたブラウザを使用しているユーザはサポートされません。 リダイレクト時に、ブラウザが複数のタブを開いていると、ISE はすべてのタブにリダイレクトします。ユーザはポータルにログインできますが、 ISE はセッションを承認できず、ユーザはアクセスに失敗します。

    この問題を回避するには、ユーザがブラウザ上で 1 つを除くすべてのタブを閉じる必要があります。

  • ローカル Web 認証(ローカル WebAuth):クレデンシャルを持つゲスト ポータルに適用されます。ゲストは、有線接続の場合はスイッチに接続し、 ワイヤレス接続の場合はワイヤレス LAN コントローラ(WLC)に接続します。ネットワーク アクセス デバイス(NAD)は、認証用の Web ページにゲストを転送します。ゲストは、認証のために、クレデンシャルを持つゲスト ポータルでユーザ名とパスワードを入力します。

  • デバイス登録 Web 認証(デバイス登録 WebAuth):ホットスポット ゲスト ポータルにのみ適用されます。Cisco ISE は、 Web 認証の前にゲストデバイスを登録して承認します。ゲストが有線またはワイヤレス NAD に接続すると、 ゲストはホットスポット ゲスト ポータルに転送されます。ゲストは、クレデンシャル(ユーザ名とパスワード)を入力せずにネットワークにアクセスします。

ISE コミュニティリソース

ゲストアクセスを提供するように Cisco ISE と Cisco ワイヤレスコントローラを設定する方法については、『ISE Guest AccessPrescriptive Deployment Guide』を参照してください。

ISE のテクニカルノート『ISE Wireless Guest Setup Guide & Wizard』も参照してください。

中央 WebAuth プロセス対応の NAD

このシナリオでは、 ネットワーク アクセス デバイス(NAD)で、不明なエンドポイント接続から Cisco ISE RADIUS サーバへの新しい認証要求を作成します。これで、エンドポイントは Cisco ISE への URL-redirect を受け取ります。


webauth-vrf-aware コマンドは、IOS XE 3.7E、IOS 15.2(4)E 以降のバージョンでのみサポートされています。その他のスイッチでは、 Virtual Route Forwarding(VRF)環境での WebAuth URL リダイレクトはサポートされていません。このような場合、回避策として、トラフィックを VRF に戻すためのルート をグローバル ルーティング テーブルに追加できます。

ゲストデバイスが NAD に 接続されている場合、ゲストサービスのインタラクションは、ゲストポータルの中央 WebAuth の ログインにつながる MAC 認証バイパス(MAB)要求の形式を 取ります。無線と有線の両方のネットワーク アクセス デバイスに 適用される後続の中央 Web 認証(中央 WebAuth)プロセスの概要は、 次のとおりです。

  1. ゲストデバイス は、有線接続によって NAD に接続します。ゲストデバイス上に 802.1X サプリカントはありません。

  2. MAB の サービスタイプを扱う認証ポリシーにより、MAB が引き続き失敗し、 中央 WebAuth ユーザインターフェイスの URL-redirect を含む制限付きネットワークプロファイルが 返されます。

  3. NAD は、 Cisco ISE RADIUS サーバに対して MAB 要求を認証するように設定されています。

  4. Cisco ISE RADIUS サーバ で MAB 要求が処理されますが、ゲストデバイスのエンドポイントが見つかりません。

    この MAB の失敗により、 制限付きネットワークプロファイルが適用され、プロファイル内の URL-redirect 値が access-accept で NAD に返されます。この機能をサポートするには、 許可ポリシーが存在し、適切な有線または無線 MAB(複合条件下で)と、 任意で「Session:Posture Status=Unknown」条件が備わっていることを 確認します。NAD では、この値に基づいて、デフォルトポート 8443 のすべてのゲスト HTTPS トラフィック が URL-redirect 値にリダイレクトされます。

    この場合の標準の URL 値は次のとおりです:https://ip:port/guestportal/gateway?sessionId=NetworkSessionId&portal=<PortalID>&action=cwa

  5. ゲストデバイス が、Web ブラウザから URL をリダイレクトするための HTTP 要求を開始します。

  6. NAD により、 最初の access-accept から返された URL-redirect 値に要求がリダイレクトされます。

  7. CWA をアクション としたゲートウェイ URL 値は、ゲスト ポータル ログイン ページにリダイレクトされます。

  8. ゲストは ログインクレデンシャルを入力してログインフォームを送信します。

  9. ゲストサーバは ログインクレデンシャルを認証します。

  10. フローのタイプに応じて、 次の処理が実行されます。

    • クライアント プロビジョニングを実行するようにゲストポータルが 設定されていない非ポスチャフロー(これ以上の検証がない認証)の場合、 ゲストサーバは CoA を NAD に送信します。この CoA により、NAD は Cisco ISE RADIUS サーバを使用してゲストデバイスを再認証します。設定された ネットワークアクセスとともに新しい access-accept が NAD に返されます。 クライアント プロビジョニングが未設定で、VLAN を変更する必要がある場合、 ゲストポータルで VLAN IP の更新が行われます。ゲストはログインクレデンシャルを再入力する必要は ありません。初回ログイン時に入力したユーザ名とパスワードが 自動的に使用されます。

    • クライアント プロビジョニングを実行するようにゲストポータルが 設定されているポスチャフローの場合、ゲストデバイスの Web ブラウザに、ポスチャエージェントのインストールおよびコンプライアンスのための [クライアント プロビジョニング(Client Provisioning)] ページが表示されます(必要に応じて、 クライアント プロビジョニング リソース ポリシーに 「NetworkAccess:UseCase=GuestFlow」条件を含めることもできます)。

Linux 向けの クライアント プロビジョニングやポスチャエージェントは存在しないため、 ゲストポータルはクライアント プロビジョニング ポータルにリダイレクトされ、クライアント プロビジョニング ポータルは元のゲスト認証サーブレットにリダイレクトされます。 この認証サーブレットで、必要に応じて IP リリース/更新が行われてから、CoA が実行されます。

クライアント プロビジョニング ポータルへのリダイレクションを使用して、 クライアント プロビジョニング サービスはゲストデバイスに非永続的 Web エージェントをダウンロードし、 デバイスのポスチャチェックを実行します(必要に応じて、ポスチャポリシーに 「NetworkAccess:UseCase=GuestFlow」条件を含めることもできます)。

ゲストデバイス が非準拠の場合、「NetworkAccess:UseCase=GuestFlow」条件および「Session:Posture Status=NonCompliant」条件 を備えた許可ポリシーが設定済みであることを 確認してください。

ゲスト デバイスが準拠している場合は、設定した許可ポリシーに「NetworkAccess:UseCase=GuestFlow」条件 および「Session:Posture Status=Compliant」条件が含まれていることを 確認してください。ここから、クライアント プロビジョニング サービスによって NAD に対して CoA が発行されます。この CoA により、NAD は Cisco ISE RADIUS サーバを使用してゲストを 再認証します。設定されたネットワークアクセスとともに新しい access-accept が NAD に 返されます。


「NetworkAccess: UseCase=GuestFlow」は、ゲストとしてログインする Active Directory(AD)および LDAP ユーザにも適用できます。

ローカル WebAuth プロセス対応のワイヤレス LAN コントローラ

このシナリオでは、ゲストが ログインすると、ワイヤレス LAN コントローラ(WLC)に転送されます。その後、WLC は ゲストをゲストポータルにリダイレクトします。ゲストポータルでは、 ログインクレデンシャルの入力を求められ、必要に応じて利用規定(AUP)の受け入れやパスワードの変更を 実行することもできます。完了したら、ゲストデバイスのブラウザは WLC にリダイレクトされ、 POST 経由でログインクレデンシャルが提供されます。

WLC は、Cisco ISE RADIUS サーバ経由で ゲストのログイン処理を行うことができます。その処理が完了したら、WLC は ゲストデバイスのブラウザを元の URL の宛先にリダイレクトします。ゲストポータルの元の URL リダイレクトを サポートするためのワイヤレス LAN コントローラ(WLC)と ネットワーク アクセス デバイス(NAD)の要件は、リリース IOS-XE 3.6.0.E および 15.2(2)E が動作する WLC 5760 および Cisco Catalyst 3850、3650、2000、3000、および 4000 シリーズアクセススイッチ です。

図 1ローカル WebAuth 対応 WLC の Non-Posture フロー

ローカル WebAuth プロセス対応の有線 NAD

このシナリオでは、ゲストポータルにより、 ゲストのログイン要求がスイッチ(有線 NAD)にリダイレクトされます。ログイン要求は、 スイッチにポストされる HTTPS URL の形式になり、 ログインクレデンシャルが含まれます。スイッチにゲストログイン要求が届くと、 設定済みの Cisco ISE RADIUS サーバを使用してゲストの認証が行われます。

  1. Cisco ISE により、HTML リダイレクトを含む login.html ファイルを NAD に アップロードするよう要求されます。HTTPS 要求が発生すると、この login.html ファイルが ゲストデバイスのブラウザに返されます。

  2. ゲストデバイスのブラウザがゲストポータルにリダイレクトされます。 ここで、ゲストのログインクレデンシャルが入力されます。

  3. 利用規定(AUP)とパスワード変更が処理された後(両方ともオプションです)、 ゲストポータルにより、ログインクレデンシャルをポストするゲストデバイスのブラウザ が NAD にリダイレクトされます。

  4. NAD により、Cisco ISE RADIUS サーバに対して RADIUS 要求が発行され、 ゲストの認証と許可が行われます。

Login.html ページに必要な IP アドレスおよび ポートの値

login.html ページ の次の HTML コードで、IP アドレスとポートの値を Cisco ISE ポリシーサービスノードと 同じ値に変更する必要があります。デフォルト ポートは 8443 ですが、この値を変更できます。そのため、スイッチに割り当てた 値が Cisco ISE の設定と一致していることを確認してください。 


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<head>
<title>ISE Guest Portal</title>
<meta Http-Equiv="Cache-Control" Content="no-cache">
<meta Http-Equiv="Pragma" Content="no-cache">
<meta Http-Equiv="Expires" Content="0">
<meta http-equiv="content-type" content="text/html; charset=utf-8">

<meta http-equiv="REFRESH" content="0;url=https://ip:port/portal/PortalSetup.action?switch_url=wired">

</HEAD>
<BODY>

<center>
Redirecting ... Login
<br>
<br>
<a href="https://ip:port/portal/PortalSetup.action?switch_url=wired">ISE Guest Portal</a>
</center>

</BODY>
</HTML>

カスタムログインページ はパブリック Web フォームであるため、次のガイドラインに従ってください。

  • ログインフォームは、 ユーザによるユーザ名とパスワードの入力を受け付け、これらを uname および pwd として示す必要があります。

  • カスタムログインページは、 ページタイムアウト、パスワード非表示、冗長送信の防止など、Web フォームに対する ベストプラクティスに従う必要があります。

NAD での HTTPS サーバの有効化

Web ベース 認証を使用するには、 ip http secure-server コマンドを使用してスイッチ内で HTTPS サーバを有効にする必要があります。

NAD 上でのカスタマイズされた認証プロキシ Web ページの サポート

成功、失効、失敗に関するカスタムページ を NAD にアップロードできます。Cisco ISE では特定の カスタマイズは必要ないため、NAD に付属する標準 の設定手順を使用して、これらのページを作成できます。

NAD の Web 認証の設定

デフォルトの HTML ページをカスタムファイルで 置き換えて、NAD における Web 認証を完了する必要が あります。

はじめる前に

Web ベースの 認証中、スイッチのデフォルト HTML ページの代わりに使用する 4 つの代替 HTML ページ を作成します。

手順
ステップ 1

カスタム認証プロキシ Web ページを 使用するように指定するには、最初にカスタム HTML ファイルを スイッチのフラッシュメモリに格納します。スイッチのフラッシュメモリに HTML ファイルをコピーするには、 スイッチで次のコマンドを実行します。

copy tftp/ftp flash

ステップ 2

スイッチに HTML ファイル をコピーした後、グローバル コンフィギュレーション モードで次のコマンドを実行します。

a.

ip admission proxy http login page file device:login-filename

スイッチのメモリファイルシステム内で、 デフォルトのログインページの代わりに使用するカスタム HTML ファイルの 場所を指定します。device: はフラッシュ メモリです。

b.

ip admission proxy http success page file device:success-filename

デフォルトのログイン成功ページの代わりに 使用するカスタム HTML ファイルの場所を指定します。

c.

ip admission proxy http failure page file device:fail-filename

デフォルトのログイン失敗ページの代わりに 使用するカスタム HTML ファイルの場所を指定します。

d.

ip admission proxy http login expired page file device:expired-filename

デフォルトのログイン失効ページの代わりに 使用するカスタム HTML ファイルの場所を指定します。

ステップ 3

スイッチによって提供される ガイドラインに従って、カスタマイズされた認証プロキシ Web ページを設定します。

ステップ 4

次の例に示すように、 カスタム認証プロキシ Web ページの設定を確認します。 


Switch# show ip admission configuration
Authentication proxy webpage
 Login page : flash:login.htm
 Success page : flash:success.htm
 Fail Page : flash:fail.htm
 Login expired Page : flash:expired.htm

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

デバイス登録 WebAuth プロセス

デバイス 登録 Web 認証(デバイス登録 WebAuth)およびホットスポット ゲスト ポータルを使用すると、ユーザ名とパスワードを要求しないで、 プライベートネットワークへの接続をゲストデバイスに許可できます。

このシナリオでは、 ゲストは無線接続でネットワークに接続します。デバイス登録 WebAuth プロセスフローの例については、 図 16-1 を 参照してください。後続のデバイス登録 WebAuth プロセスの概要を次に説明します。 無線接続と有線接続の両方で同様のプロセスとなります。

  1. ネットワーク アクセス デバイス(NAD)がホットスポット ゲスト ポータルにリダイレクトを送信します。

  2. ゲストデバイスの MAC アドレスがいずれのエンドポイント ID グループにも含まれていないか、利用規定(AUP)accepted 属性が true に設定されていない場合、Cisco ISE は許可プロファイルに指定された URL リダイレクションを 使用して応答します。

  3. ゲストが何らかの URL にアクセスしようとすると、URL リダイレクションに よって AUP ページ(有効な場合)が示されます。

    • ゲストが AUP を受け入れると、デバイスの MAC アドレスに 関連付けられたエンドポイントが、設定されたエンドポイント ID グループに割り当てられます。 ゲストによる AUP の受け入れを追跡できるよう、この時点で、 このエンドポイントの AUP accepted 属性は true に設定されます。

    • ゲストが AUP を受け入れない場合、または、 エンドポイントの作成中や更新中などにエラーが発生した場合、エラーメッセージが表示されます。

  4. ホットスポット ゲスト ポータルの設定に基づいて、追加情報を含むポストアクセス バナーページが表示される場合があります(有効な場合)。

  5. エンドポイントが作成または更新された後、許可変更 (CoA)終了が NAD に送信されます。

  6. CoA の後、NAD は MAC 認証バイパス(MAB)の 新しい要求でゲスト接続を再認証します。新規認証では、エンドポイント とそれに関連付けられているエンドポイント ID グループが検索され、設定されているアクセス が NAD に返されます。

  7. ホットスポット ゲスト ポータルの設定に基づいて、ゲストは、 アクセスを要求した URL、管理者が指定したカスタム URL 、または認証の成功ページに誘導されます。

有線とワイヤレスの どちらの場合も、CoA タイプは Termination CoA です。VLAN DHCP リリース(および更新)を実行するようにホットスポット ゲスト ポータルを設定し、それによって、有線と無線の両方の CoA タイプを許可変更に再許可できます。

VLAN DHCP リリースのサポートは、Windows デバイスのみで使用可能です。モバイル デバイスでは利用できません。登録するデバイスが モバイルで、[VLAN DHCP リリース(VLAN DHCP Release)] オプションが有効の場合、ゲストは手動で IP アドレスを更新することを要求されます。 モバイル デバイスのユーザの場合は、VLAN を使用するよりも、WLC でアクセス コントロール リスト(ACL)を使用することを推奨します。

図 2ワイヤレスデバイス 登録 Web 認証フロー

ワイヤレス デバイス登録 Web 認証フロー

ゲストポータル 設定

ポータル ID 設定

これらの設定へのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータルまたはスポンサーポータル(Guest Portals or Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ゲストポータルおよびスポンサーポータルの設定とカスタマイズ(Guest Portals or Sponsor Portals Settings and Customization)] です。

  • ポータル名(Portal Name):このポータルにアクセスするための一意のポータル名を入力します。このポータル名を、その他のスポンサー、ゲスト、または 非ゲストポータル(ブラックリスト、個人所有デバイス持ち込み(BYOD)、クライアント プロビジョニング、モバイルデバイス管理(MDM)、またはデバイスの各ポータル) に使用しないでください。

    この名前は、 許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、 ポータルのリストで他のポータルの中から簡単に識別するために使用されます。

  • [説明]:任意項目です。

  • ポータルテスト URL(Portal test URL):[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。ポータルをテストするために使用します。

    リンクをクリックすると、 このポータルの URL を表示する新しいブラウザタブが開きます。これを有効にするには、 ポリシーサービスを含むポリシーサービスノード(PSN)をオンにする必要があり ます。ポリシーサービスがオンになっていない場合、PSN は管理者用 ポータルのみを表示します。


    テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。 複数の PSN がある場合、ISE は最初のアクティブ PSN を選択します。

  • 言語ファイル(Language File) :各ポータルタイプは、デフォルトで 15 種類の言語をサポートします。 これらの言語は、個々のプロパティファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内に まとめてバンドルされています。ポータルで使用する圧縮言語ファイルをエクスポートまたは インポートします。圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の 言語ファイルがすべて含まれています。

    言語ファイル には、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定 (例:フランス語の場合は fr、fr-fr、fr-ca)への マッピングが含まれています。1 つの言語ファイルには、 翻訳およびローカリゼーションの目的に容易に使用できるように、 サポートされるすべての言語が含まれています。

    1 つの言語用の ブラウザロケール設定を変更した場合、変更内容は他のすべての エンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータル の French.properties ブラウザロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、 この変更内容がデバイスポータルにも適用されます。

    [ポータルページのカスタマイズ(Portal Page Customizations)] タブで いずれかのポータルページテキストをカスタマイズすると、 警告アイコンが表示されます。警告メッセージは、 ポータルのカスタマイズ時に 1 つの言語で行った変更をすべてのサポート対象の言語プロパティファイルで 更新するように注意を促します。ドロップダウンリストのオプションを使用して、 手動で警告アイコンが表示されないようにします。また、警告アイコンは、 更新された圧縮言語ファイルのインポート後に自動的に表示されなくなります。

ホットスポット ゲスト ポータル のポータル設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)] です。

  • [HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルトポータルで 8443 です。 ただし、ブラックリストポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、 この制限に従うようにポート設定を更新します。

    ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。

    ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、 ゲストポータルへの割り当てと同じポートを使用します。

    同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループタグを使用する必要があります。 次に例を示します。

    • スポンサー ポータルを例として使用した有効な組み合わせを次に示します。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

    • 無効な組み合わせには次が含まれます。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

  • [使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、 PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネットインターフェイスを設定する必要があります。

    これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、 これらのすべての PSN がゲストセッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

    • イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。

    • ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。

    • ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。

    • ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリインターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。

    • ボンディングされた NIC のみが選択されている場合:PSN はポータルの設定時に、最初にボンディング インターフェイスの設定を試みます。 ポンディング インターフェイスの設定に失敗した場合、その PSN でボンディングが設定されていないことが原因と考えられます。PSN はエラーを記録して終了します。 PSN は物理インターフェイスでのポータルの開始を試みません。

    • NIC チーミングやボンディングは、O/S の設定オプションです。高可用性(耐障害性)を実現するために、2 つの NIC を個別に設定できます。 どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。

      • 物理 NIC と対応するボンディングされた NIC の両方が設定されている場合:PSN はポータル設定時に、最初にボンディングインターフェイスへの接続を試みます。 ボンディング インターフェイスへの接続に失敗した場合、その PSN にボンディングが設定されていないことが原因と考えられます。PSN は物理インターフェイスでポータルの開始を試みます。

  • [証明書グループタグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループタグを選択します。

  • [エンドポイント ID グループ(Endpoint identity group)]:ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することも できます。

    従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することも できます。

  • [__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days)]:Cisco ISE データベースから消去されるまでの、ユーザのデバイスの登録からの日数を変更します。消去は毎日実行され、 消去アクティビティは全体的な消去タイミングと同期されます。変更は、このエンドポイント ID グループ 全体に適用されます。

    その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、 この設定は使用できなくなります。

  • 表示言語

    • [ブラウザのロケールを使用する(Use browser locale)]:クライアントブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。

    • [フォールバック言語(Fallback language)]:ブラウザロケールから言語を取得できない場合、またはブラウザロケール言語が ISE でサポートされていない場合に使用する言語を選択します。

    • [常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。

    [スポンサーに使用可能なSSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。

ホットスポット ゲスト ポータルの利用規定(AUP)ページ設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] です。

  • [AUP ページを含める(Include an AUP page)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。

  • [アクセスコードが必要(Require an access code)]:複数のゲストがネットワークへのアクセスを獲得するために使用する必要があるログインクレデンシャルとして、アクセスコードを割り当てます。アクセスコードは、 物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、 またはロビーアンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。

    個別の ゲストにログインクレデンシャルとして提供されるユーザ名とパスワードに加えて、 このオプションを使用できます。

  • [AUP の最後までのスクロールが必要(Require scrolling to end of AUP)]:ユーザが AUP を完全に読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールした後にのみアクティブになります。AUP がユーザに表示された場合に設定します。

ホットスポット ゲスト ポータルのフローを設定する場合、AUP アクセス コードはエンドポイント ID グループのデバイス登録によって異なります。 つまり、[AUPの最後の受け入れとネットワークアクセス:EQUALSゲストフローの使用例(AUP Last Acceptance and Network Access: Use Case EQUALS Guest Flow)] フラグを使用することはできません。ユーザのセッション が接続時に NAD から削除されると、AUP ページが表示されますが、AUP アクセス コードを入力する必要はありません。

AUP アクセスコードページは、MAC アドレスがホットスポットポータルの設定に関連付けられたエンドポイント ID グループから 削除された後にのみ表示されます。エンドポイントは、Cisco ISE の [コンテキストの可視性(Context Visibility)] ページを介してデータベースから手動で削除するか、エンドポイント消去機能を使用し、エンドポイント消去ポリシーを設定して消去します。

ホットスポットポータル のポストアクセスバナーページ設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portal s& Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [アクセス後のバナーページ設定(Post-Access Banner Page Settings)] です。

この設定を使用して、 ゲストにアクセスステータスおよび必要に応じてその他の追加アクションを通知します。

フィールド 使用上のガイドライン

アクセス後バナー ページを含める(Include a Post-Access Banner page)

ゲストが正常に認証された後、 ネットワークアクセスを付与される前に 追加情報を表示します。

クレデンシャルを持つ ゲストポータルのポータル設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)] です。

  • [HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルトポータルで 8443 です。 ただし、ブラックリストポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、 この制限に従うようにポート設定を更新します。

    ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。

    ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、 ゲストポータルへの割り当てと同じポートを使用します。

    同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループタグを使用する必要があります。 次に例を示します。

    • スポンサー ポータルを例として使用した有効な組み合わせを次に示します。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

    • 無効な組み合わせには次が含まれます。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

  • [使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、 PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネットインターフェイスを設定する必要があります。

    これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、 これらのすべての PSN がゲストセッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

    • イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。

    • ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。

    • ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。

    • ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリインターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。

    • ボンディングされた NIC のみが選択されている場合:PSN はポータルの設定時に、最初にボンディング インターフェイスの設定を試みます。 ポンディング インターフェイスの設定に失敗した場合、その PSN でボンディングが設定されていないことが原因と考えられます。PSN はエラーを記録して終了します。 PSN は物理インターフェイスでのポータルの開始を試みません。

    • NIC チーミングやボンディングは、O/S の設定オプションです。高可用性(耐障害性)を実現するために、2 つの NIC を個別に設定できます。 どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。

      • 物理 NIC と対応するボンディングされた NIC の両方が設定されている場合:PSN はポータル設定時に、最初にボンディングインターフェイスへの接続を試みます。 ボンディング インターフェイスへの接続に失敗した場合、その PSN にボンディングが設定されていないことが原因と考えられます。PSN は物理インターフェイスでポータルの開始を試みます。

  • ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。

  • [認証方式(Authentication Method)]:ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダー(IdP)を選択します。 ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。 たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。

    Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。

    IdP を設定するには、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [SAML ID プロバイダー(SAML Id Providers)] の順に選択します。

    ID ソース順序を設定するには、[管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] の順に選択します。

  • [ゲストとしてこのポータルを使用する従業員のログインオプションの継承元(Employees using this portal as guests inherit login options from)]:従業員がこのポータルにログオンしたときに 割り当てられるゲストタイプを選択します。従業員のエンドポイント データは、そのゲストタイプで 属性 [エンドポイント ID グループにデバイス情報を保存する(Store device information in endpoint identity group)] に設定されたエンドポイント ID グループに保存されます。 関連付けられたゲスト タイプの他の属性は継承されません。

  • 表示言語

    • [ブラウザのロケールを使用する(Use browser locale)]:クライアントブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。

    • [フォールバック言語(Fallback language)]:ブラウザロケールから言語を取得できない場合、またはブラウザロケール言語が ISE でサポートされていない場合に使用する言語を選択します。

    • [常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。

    [スポンサーに使用可能なSSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。

クレデンシャルを持つ ゲストポータルのログインページ設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ログインページの設定(Login Page Settings)] です。

  • [アクセスコードが必要(Require an access code)]:複数のゲストがネットワークへのアクセスを獲得するために使用する必要があるログインクレデンシャルとして、アクセスコードを割り当てます。アクセスコードは、 物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、 またはロビーアンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。

    個別の ゲストにログインクレデンシャルとして提供されるユーザ名とパスワードに加えて、 このオプションを使用できます。

  • [頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザセッションからのログイン試行失敗回数を指定します。 これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。

  • [頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)]: [頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間(スロットル率)を分単位で設定します。

  • [AUPを含める(Include an AUP)]:フローに利用規約ページを追加します。AUP をページに追加したり、別のページへのリンクを設定することができます。これを追加すると、 右側のフローの画像が変わります。

    • [同意が必要(Require acceptance)]:フローを続行する前に、ユーザが AUP に同意するように 強制します。

  • [ゲストに自分自身のアカウントの作成を許可(Allow guests to create their own accounts)]:このポータルの [ログイン(Login)] ページで、ゲストが自身を登録するためのオプションが提供されます。このオプションが選択されていない場合は、 スポンサーがゲストアカウントを作成します。これを有効にすることで、このページのタブが有効になり、[アカウント登録ページの設定(Self-Registration Page Settings)] および [アカウント登録成功ページの設定(Self-Registration Success Page Settings)] を設定できます。

    ゲストが このオプションを選択した場合、自身のゲストアカウントを作成するために必要な情報を 入力できるアカウント登録フォームが示されます。

  • [ゲストにパスワードのリセットを許可(Allow guests to recover the password)]:このオプションは、アカウント登録ゲストに対し、ゲストポータルの [パスワードのリセット(Reset Password)] ボタンを有効にします。有効なアカウントを持つアカウント登録ゲストがログインポータルに接続し、 パスワードを忘れた場合は、[パスワードのリセット(Reset Password)] をクリックできます。これにより、ゲストは自分の電話番号または電子メール(いずれかを登録に使用) を入力できるアカウント登録ページに戻ります。

  • [ソーシャルログインを許可(Allow Social Login)]:このポータルのユーザのログインクレデンシャルを取得するためにソーシャルメディアサイトを使用します。このオプションをチェックすると、次の設定が表示されます。

    • [ソーシャルログイン後に登録フォームを表示(Show registration form after social login)]:これにより、ユーザは Facebook によって提供される情報を変更できます。

    • [ゲストの承認が必要(Require guests to be approved)]:スポンサーがアカウントを承認する必要があることをユーザに通知し、ログイン用のクレデンシャルを送信します。

  • [ゲストにログイン後のパスワード変更を許可(Allow guests to change password after login)]:ゲストが正常に認証され、AUP に同意した後に、ゲストに必要に応じてパスワードを変更することを許可します。ゲストが 自分のパスワードを変更した場合、スポンサーはゲストにログインクレデンシャル情報を提供できません。スポンサーは、ゲストのパスワードを ランダムパスワードにリセットすることだけが可能です。

  • [ログインに次の ID プロバイダゲストポータルの使用を許可(Allow the following identity-provider guest portal to be used for login)]:このオプションをオンにし、 SAML Id ID プロバイダを選択すると、 その SAML ID のリンクがこのポータルに追加されます。このサブポータルは、ユーザが証明書を提供している SAML IDP のように見えるように設定できます。

  • [ソーシャルログインを許可(Allow social login)]:このポータルはすべて、ユーザログインにソーシャルメディアタイプを使用します。この項目を選択すると、設定したソーシャルメディアタイプを ドロップダウンで選択できます。ソーシャルログインの設定の詳細については、Cisco ISE 管理者ガイド:ゲストと BYOD 』 の「アカウント登録ゲストのソーシャルログイン」のセクションを参照してください。

    • [ソーシャルログイン後にゲストフォームを表示(Show guest form after social login)]:このオプションを選択すると、ログオン画面がスキップされます。

アカウント登録ページの設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portal & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [アカウント登録ページの設定(Self-Registration Page Settings)] です。これらの設定を使用して、ゲストが自身を登録し、提供する必要がある情報をアカウント登録フォームで指定 できるようにします。

  • [アカウント登録ゲストに割り当てるゲストタイプ(Assign self-registered guests to guest type)]:このポータルを使用するすべてのアカウント登録ゲストに割り当てられるゲストタイプを選択します。

  • [アカウントの有効期間(Account valid for)]:アカウントの有効期間を、日、時間、または分で指定します。この期間を超過した場合、管理者またはスポンサーがスポンサーポータルでアカウント有効期間を延長した場合を除き、 アカウントは失効します。

  • [アカウント登録に登録コードを必要とする(Require a registration code for self registration)]:アカウント登録ゲストがアカウント登録フォームを正常に送信するために入力する必要があるコードを割り当てます。部外者がシステムに アクセスすることを防ぐために、アクセスコードと同様に、 登録コードはオフラインで提供されます。

  • [含めるフィールド(Fields to include)]:アカウント登録ページ上で、アカウント登録フォームに表示するフィールドのチェックボックスをオンにします。その後、 ゲストがこのフォームを送信してゲストアカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。アカウント登録ゲストから重要な情報を収集するために 、[SMS サービスプロバイダー(SMS Service Provider)] および [訪問先担当者(Person being Visited)] フィールドを必須にすることができます。

    • [場所(Location)]:アカウント登録のゲストが定義済みリストを使用して登録時に選択できる場所を 入力します。これにより、これらのゲストの有効なアクセス時間として自動的に関連するタイム ゾーンが割り当てられます。場所の名前は、 選択時に混乱を回避するために具体的なものを使用します(たとえば、ボストンオフィス、500 Park Ave New York、シンガポールなど)。

      ゲスト アクセスを時間で制限する予定の場合は、その時間を設定するときにタイム ゾーンを使用します。アクセス時間が制御された ゲスト全員がサンノゼのタイムゾーンにいる場合を除き、各自のロケールのタイムゾーンを作成します。場所が 1 つだけである場合は、 その場所がデフォルトの場所として自動的に割り当てられ、ポータルではこのフィールドがゲストに対して表示されません。また、[場所(Location)] は、[含めるフィールド(Fields to include)] のリスト内で無効になります。

    • [SMS サービスプロバイダー(SMS Service Provider)]:アカウント登録フォームに SMS プロバイダーを表示して、アカウント登録ゲストが自分の SMS プロバイダーを選択できるようにします。これで、会社の経費を最小化するために、ゲストの SMS サービスを使用して SMS 通知を送信できるようになります。 ゲストが使用できる SMS プロバイダーを 1 つだけ選択した場合は、このフィールドはアカウント登録フォームに表示されません。

    • [訪問先担当者(Person being Visited)]:これはテキストフィールドであるため、このフィールドを使用する場合には、ゲストに対し、このフィールドに入力する情報について説明してください。

    • [カスタムフィールド(Custom Fields)]:アカウント登録ゲストから追加のデータを収集するために作成したカスタムフィールドを選択します。その後、 ゲストがアカウント登録フォームを送信してゲストアカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。 これらのフィールドは名前のアルファベット順に表示されます。これらのフィールドは、カスタムフィールドを追加するため、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [カスタムフィールド(Custom Fields)] で作成します。

    • [AUP を含める(Include an AUP)]:会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、 または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。

      • [同意が必要(Require acceptance)]:ユーザが AUP を最後まで読んだことを確認します。これにより、アカウント登録ページの [同意する(Accept)] ボタンが設定されます。AUP を [ページ(as on page)] として設定する場合は、ユーザが AUP の終わりまでスクロールするまで [同意する(Accept)] ボタンを無効にすることもできます。

  • [次の電子メールアドレスを持つゲストのみを許可(Only allow guests with an email address from)]:アカウント登録ゲストが電子メールアドレスを作成するときに [電子メールアドレス(Email Address)] で使用できるドメイン(例:cisco.com)のホワイトリストを指定します。

    このフィールドを空白のままにすると、[次の電子メールアドレスを持つゲストを許可しない(Do not allow guests with email address from)] にリストされているドメイン以外のすべての電子メールアドレスが有効になります。

  • [次の電子メールアドレスを持つゲストを許可しない(Do not allow guests with email address from)]:アカウント登録ゲストが電子メールアドレスを作成するときに [電子メールアドレス(Email Address)] に使用できないドメイン(例:czgtgj.com)のブラックリストを指定します。

  • [アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)]:このポータルを使用するアカウント登録ゲストは、ゲストのクレデンシャルを受信する前にスポンサーによる承認が必要であることを指定します。 このオプションをクリックすると、スポンサーがアカウント登録ゲストを承認する方法に関する追加のオプションが表示されます。

    • [アカウント登録したゲストにスポンサーの承認後に自動ログインを許可(Allow guests to login automatically from self-registration after sponsor's approval)]:アカウント登録ゲストは、 スポンサーの承認後に自動的にログインします。

    • [承認要求電子メール送信先(Email approval request to)]:次のいずれかを選択します。

      • [下に示すスポンサーの電子メールアドレス(sponsor email addresses listed below)]:承認者として指名されたスポンサーの 1 つ以上の電子メールアドレス、またはすべてのゲストの承認要求の送信先と なるメールソフトウェアを入力します。電子メール アドレスが無効な場合、承認は失敗します。

      • [訪問先担当者(person being visited)]:[スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication)] フィールドが表示され、[含めるフィールド(Fields to include)] の [必須(Required)] オプションが有効になります(以前は無効だった場合)。これらのフィールドはアカウント登録フォームに表示され、 アカウント登録ゲストからこの情報を要求します。電子メール アドレスが無効な場合、承認は失敗します。

    • [承認/拒否のリンクの設定(Approve/Deny Link Settings)] :このセクションでは次の内容を設定できます。

      • [リンクの有効期間(Links are valid for)]:アカウント承認リンクの有効期間を設定できます。

      • [スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication )]:このセクションの設定でスポンサーによるアカウント承認用のクレデンシャルの入力が必須ではない場合にも、スポンサーにこの情報を入力させるには、 このフィールドをオンにします。このフィールドは、[アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] が [訪問先担当者(person being visited)] に設定されている場合にだけ表示されます。

      • [承認権限を検証するためスポンサーがスポンサーポータルと照合される(Sponsor is matched to a Sponsor Portal to verify approval privileges)]:[詳細 >(Details >)] をクリックして、スポンサーが有効なシステムユーザであり、スポンサーグループのメンバーであり、 そのスポンサーグループのメンバーにアカウント承認権限があることを確認するために検索されるポータルを選択します。各スポンサーポータルには、スポンサーを識別するために 使用される ID ソースシーケンスがあります。ポータルはリストされている順序で使用されます。リストの 1 番目のポータルは、 スポンサーポータルで使用されているスタイルとカスタマイズ内容を決定します。

  • [登録の送信後のゲストの誘導先(After registration submission, direct guest to)]:登録の正常完了後にアカウント登録ゲストを誘導する場所を選択します。

    • [アカウント登録成功(Self-Registration Success)] ページ:アカウント登録に成功したゲストを [アカウント登録成功(Self-Registration Success)] ページに誘導します。 このページには、[アカウント登録成功ページ設定(Self Registration Success Page Settings)] で指定したフィールドとメッセージが表示されます。

      すべての情報を表示することが望ましくない場合があります。システムはアカウントの承認待ち(このページで 有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリストドメインに基づいて電子メールアドレスまたは電話番号にログインクレデンシャルを 提供する可能性があるためです。

      [アカウント登録成功ページの設定(Self Registration Success Page Settings)] で [ゲストのアカウント登録成功ページからの直接ログインを許可する(Allow guests to log in directly from the Self-Registration Success page)] を有効にした場合、アカウント登録に成功したゲストはこのページから直接ログインすることができます。これが有効になっていない場合、ゲストは [アカウント登録成功(Self-Registration Success)] ページが 表示された後にポータルのログインページに誘導されます。

    • [ログインクレデンシャルを取得する方法の手順を含むログインページ(Login page with instructions about how to obtain login credentials)]:アカウント登録に成功したゲストをポータルのログインページに再び誘導し、 「ゲストクレデンシャルが電子メール、SMS、または印刷物で提供されるのを待ってからログインに進んでください。」などのメッセージを表示します。

      デフォルトメッセージをカスタマイズするには、[ポータルページのカスタマイズ(Portal Page Customization)] タブをクリックして、[アカウント登録ページ設定(Self Registration Page Settings)] を選択します。

      システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、 ブラックリストドメインに基づいて電子メールアドレスまたは電話番号にログインクレデンシャルを提供する可能性があります。

    • [URL]:アカウント登録に成功したゲストを、アカウントクレデンシャルの提供を待機している間に、指定された URL に誘導します。

      システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、 ブラックリストドメインに基づいて電子メールアドレスまたは電話番号にログインクレデンシャルを提供する可能性があります。

  • [クレデンシャル通知自動送信手段(Send credential notification automatically using)]:

    • [電子メール(Email)]:アカウント登録に成功したゲストがログインクレデンシャルを受信する手段のオプションとして電子メールを選択します。このオプション を選択した場合、[電子メールアドレス(Email address)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。

    • [SMS]:アカウント登録に成功したゲストがログインクレデンシャルを受信する手段のオプションとして SMS を選択します。この オプションを選択した場合、[SMS サービスプロバイダー(SMS Service Provider)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。

アカウント登録成功ページの設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals& Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [アカウント登録成功ページ設定(Self Registration Success Page Settings)] です。これらの設定を使用して、正常にアカウント登録したゲストに、ネットワークへのアクセスを獲得するために必要なクレデンシャルを通知します。

フィールド 使用上のガイドライン

アカウント登録の成功ページにこの情報を含める(Include this information on the Self-Registration Success page)

[アカウント登録成功(Self-Registration Success)] ページで 正常に登録されたゲストに表示される フィールドのチェックボックスをオンにします。

スポンサーに よるゲストの承認が必要ない場合は、[ユーザ名(Username)] と [パスワード(Password)] のチェックボックスをオンにして、ゲストにこれらのクレデンシャルを表示します。 スポンサーの承認が必要な場合、クレデンシャルはゲストが承認された後にのみ提供されるため、 これらのフィールドを無効にします。

ゲストは次の手段で情報を自分に送信できる(Allow guest to send information to self using)

正常に アカウント登録したゲストが自分自身にクレデンシャル情報を送信するためのオプションの チェックボックスをオンにします。[印刷(Print)] 、[電子メール(Email)] 、または [SMS]

AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link))

会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。

同意が必要(Require acceptance)

ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。 [ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効 になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。

AUP の最後までのスクロールが必要(Require scrolling to end of AUP)

この フィールドは、[ページ上の AUP(AUP on page)] オプションを選択した場合のみ表示されます。

ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。

ゲストをアカウント登録の成功ページから直接ログインできるようにする(Allow guests to log in directly from the Self-Registration Success page)

[アカウント登録の成功(Self-Registration Success)] ページ下部に [ログイン(Login)] ボタンを 表示します。これにより、ゲストはログインページをバイパスし、 自動的にログインクレデンシャルをポータルに提供して、 ポータルフローの次のページ(たとえば AUP ページ)を表示できるようになります。

クレデンシャルを持つ ゲストポータルの利用規定(AUP)ページ設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] です。

  • [AUP ページを含める(Include an AUP page)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。

  • [従業員に別の AUP を使用する(Use different AUP for employees)]:従業員専用に別の AUP およびネットワーク使用諸条件を表示します。このオプションを選択すると 、[従業員用の AUP をスキップ(Skip AUP for employees)] は選択できません。

  • [従業員用の AUP をスキップ(Skip AUP for employees)]:従業員は、ネットワークにアクセスする前に AUP に同意する必要はありません。このオプションを選択すると、[従業員に別の AUP を使用する(Use different AUP for employees)] は選択できません。

  • [AUP の最後までのスクロールが必要(Require scrolling to end of AUP)]:[AUP をページに含める(Include an AUP on page)] を有効にした場合にのみ、このオプションが表示されます。

    ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールした後にのみアクティブになります。AUP がユーザに表示された場合に設定します。

    • [初回のログインのみ(On first login only)]:ユーザが初めてネットワークまたはポータルにログインしたときに AUP を表示します。

    • [ログインごと(On every login)]:ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。

    • [__ 日ごと(初回のログインから)(Every __ days (starting at first login))]:ネットワークやポータルにユーザが初めてログインした後は、AUP を定期的に表示します。

クレデンシャルを持つ ゲストポータルのゲストによるパスワード変更の設定

ゲストのパスワード変更設定(Guest Change Password Settings)

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ゲストによるパスワード変更設定(Guest Change Password Settings)] です。

  • [ゲストにログイン後のパスワード変更を許可(Allow guests to change password after login)]:ゲストが正常に認証され、AUP に同意した後に、ゲストに必要に応じてパスワードを変更することを許可します。ゲストが 自分のパスワードを変更した場合、スポンサーはゲストにログインクレデンシャル情報を提供できません。スポンサーは、ゲストのパスワードを ランダムパスワードにリセットすることだけが可能です。

クレデンシャルを持つ ゲストポータルのゲストデバイス登録の設定

ゲスト デバイス登録設定(Guest Device Registration Settings)

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ゲストデバイス登録設定(Guest Device Registration Settings)] です。

これらの設定を使用して、ゲストがログインしたら Cisco ISE がゲストのデバイスを自動的に登録するようにするか、 ゲストがログイン後に手動で自身のデバイスを登録することを許可できます。

各ゲストタイプの最大デバイス数は、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Types)] で指定されます。

  • [ゲストのデバイスを自動登録(Automatically register guest devices)]:ゲストが このポータルにアクセスするデバイスのエンドポイントを自動的に 作成します。エンドポイントは、このポータルに指定されたエンドポイント ID グループに 追加されます。

    許可 ルールの作成が可能になり、該当 ID グループ内のエンドポイントへのアクセスが許可されます。 そのため、Web 認証は不要になります。

    登録済みデバイスの 最大数に到達すると、システムは自動的に最初の登録デバイスを削除し、 ゲストがログインしようとしているデバイスを登録し、 このことをゲストに通知します。[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Types)] を選択し、 ゲストが登録できるデバイスの最大数を変更します。

  • [ゲストにデバイスの登録を許可(Allow guests to register devices)]:ゲストは、 名前、説明、および MAC アドレスを入力して、自分のデバイスを手動で登録できます。MAC アドレスはエンドポイント ID グループに関連付けられます。

    登録済みデバイスの 最大数に到達した場合に別のデバイスを登録できるようにするには、 ゲストは少なくとも 1 個のデバイスを削除する必要があります。

クレデンシャルを持つ ゲストポータルの BYOD 設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [BYOD 設定(BYOD Settings)] です。

この設定を使用して、従業員などゲスト以外の個人所有デバイスの持ち込み(BYOD)機能を有効にし、 クレデンシャルを持つゲストポータルを使用して企業ネットワークにアクセスできるようにします。

フィールド 使用上のガイドライン

従業員がネットワークでパーソナル デバイスを使用することを許可する(Allow employees to use personal devices on the network)

このポータルに [従業員の個人所有デバイス(BYOD)の登録(Employee Bring Your Own Device (BYOD) Registration)] ページ を追加して、従業員がデバイス登録 プロセスを実行できるようにして、場合によってはネイティブサプリカントおよび証明書の プロビジョニングを実行できるようにします。これは、 従業員のパーソナルデバイスタイプ(iOS、Android、RT またはモバイルを除く Windows、OSX など)の クライアント プロビジョニングの設定に応じて異なります。

エンドポイント ID グループ(Endpoint Identity Group)

ゲストのデバイスを 追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを 提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することも できます。

従業員にゲストアクセスの選択のみを許可する(Allow employees to choose to get guest access only)

従業員をゲストネットワークにアクセスさせて、 企業ネットワークへのアクセスに必要になることがある追加の プロビジョニングおよび登録を避けます。

登録時にデバイス ID フィールドを表示する(Display Device ID field during registration)

登録プロセス中に、デバイス ID をユーザに表示します。これは、デバイス ID が事前設定されており、BYOD ポータルを使用しているときに変更できない場合も含みます。

元の URL(Originating URL)

ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。 リダイレクトできない場合は、認証成功ページが表示されます。リダイレクト URL が NAD のアクセスコントロールリストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。

Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行する セルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。 ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワークアクセスが許可されている)では、この URL にリダイレクトされます。

成功ページ(Success page)

デバイスの登録が成功したことを示すページを表示します。

URL

ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。

クレデンシャルを持つ ゲストポータルのポストログインバナーページ設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータルまたはスポンサーポータル(Guest Portals or Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポストログインバナーページ設定(Post-Login Banner Page Settings)] です。

これらの設定を使用して、 正常なログイン後にユーザ(状況に応じてゲスト、スポンサーまたは従業員) に追加情報を通知します。

フィールド 使用上のガイドライン

ポストログイン バナー ページを含める(Include a Post-Login Banner page)

ユーザが正常にログインした後、ネットワークアクセスを付与される前に追加情報を表示します。

クレデンシャルを持つ ゲストポータルのゲストデバイスのコンプライアンス設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ゲストデバイスのコンプライアンス設定(Guest Device Compliance Settings)] です。これらの設定を使用して、ネットワークにアクセスするためにデバイスのクライアント プロビジョニングを実行するようゲストおよびゲストポータル を使用する従業員に要求します。

  • [ゲスト デバイス コンプライアンスが必要(Require guest device compliance)]:ゲストをポスチャエージェントのダウンロードを要求する [クライアント プロビジョニング(Client Provisioning)] ページにリダイレクトします。これにより、 ウイルス対策ソフトウェアのチェックなど、ゲストのポスチャポリシーを設定するゲストフローにクライアント プロビジョニングが追加されます。

    ゲストが、ネットワークへのアクセスにクレデンシャルを持つゲスト ポータルを使用している従業員の場合:

    • [BYOD 設定(BYOD Settings)] で [従業員にネットワークでのパーソナル デバイスの使用を許可する(Allow employees to use personal devices on the network)] が有効になっている場合、従業員は BYOD フローにリダイレクトされ、クライアントのプロビジョニングは実行されません。

    • [BYOD 設定(BYOD Settings)] で [従業員にネットワークでのパーソナル デバイスの使用を許可する(Allow employees to use personal devices on the network)] および [従業員にゲスト アクセスの選択のみを許可する(Allow employees to choose to get guest access only)] が有効になっていて、従業員がゲスト アクセスを選択する場合、[クライアント プロビジョニング(Client Provisioning)] ページにルーティングされます。

ゲストポータルの VLAN DHCP リリースページ設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [VLAN DHCP リリースページの設定(VLAN DHCP Release Page Settings)] です。

  • [VLAN DHCPリリースを有効にする(Enable VLAN DHCP release)]:有線環境と無線環境の両方で VLAN が変更された後、Windows デバイスのゲストの IP アドレスを更新します。

    これは、ネットワークアクセスでゲスト VLAN が新しい VLAN に変更されたときに、最終的な許可処理時の中央 WebAuth(CWA)フロー に影響します。ゲストの古い IP アドレスは VLAN の変更の前にリリースされる必要があり、ゲストが新しい VLAN に接続するときに 新しいゲスト IP アドレスが DHCP を介して要求される必要があります。IP アドレスのリリースと更新操作は、DirectX コントロールを使用する Internet Explorer ブラウザのみでサポートされています。

    VLAN DHCP リリース オプションは、モバイル デバイスでは動作しません。代わりに、ゲストが IP アドレスを手動でリセットする必要があります。 この方法はデバイスによって異なります。たとえば、Apple iOS デバイスでは、ゲストは Wi-Fi ネットワークを選択して、[リースを更新(Renew Lease)] ボタンをクリックできます。

  • [リリースを__秒遅延(Delay to release __ seconds)]:リリース遅延時間を入力します。リリースは、アプレットをダウンロードした直後から、Cisco ISE サーバが CoA 要求を再認証するよう NAD に 指示するまでの間に行う必要があるため、この時間は短くすることを推奨します。

  • [CoA を__秒遅延(Delay to CoA __ seconds)]:Cisco ISE が CoA の実行を遅延する時間を入力します。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、 アプレットによるクライアント上での IP リリースのダウンロードと実行を可能にします。

  • [更新を__秒遅延(Delay to renew __ seconds)]:更新を遅延する値を入力します。この時間は IP リリース値に追加され、コントロールがダウンロードされるまで計時が 開始されません。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、CoA の処理を可能にし、 新しい VLAN アクセスが付与されるようにします。

ゲストポータル の認証成功の設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [認証成功の設定(Authentication Success Settings)] です。

これらの設定では、 ユーザ(状況に応じてゲスト、スポンサーまたは従業員)に認証の成功が通知されるか、 または URL が表示されます。[認証されたらゲストに次を表示:(Once authenticated, take guest to:)] で、次のフィールドを設定します。

  • 元の URL(Originating URL):ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイト にリダイレクトします。リダイレクトできない場合は、認証成功ページが表示されます。リダイレクト URL が NAD のアクセスコントロールリストと その NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを 確認します。

    Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。 ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワークアクセスが許可されている)では、この URL にリダイレクトされます。

  • 認証の成功ページ(Authentication Success page):ユーザの認証に成功した通知。

  • URL:ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクト します。


認証後に外部 URL にゲストをリダイレクトする場合、URL アドレスを解決して、 セッションがリダイレクトされるまでに遅延が生じることがあります。リダイレクト URL が NAD のアクセスコントロールリストとその NAD の ISE で設定された 許可プロファイルにより、PSN のポート 8443 で動作することを確認します。

ゲストポータルの サポート情報ページの設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [サポート情報ページの設定(Support Information Page Settings)] です。

これらの設定を使用して、 ヘルプデスクがユーザ(状況に応じてゲスト、スポンサーまたは従業員)が 体験したアクセスの問題をトラブルシューティングするために使用できる情報を表示します。

フィールド 使用上のガイドライン

サポート情報ページを含める(Include a Support Information Page)

該当ポータルのすべての 有効なページ上で、 問い合わせ先などの情報へのリンクを表示します。

MAC アドレス

[サポート情報(Support Information)] ページにデバイスの MAC アドレスを 含めます。

IP アドレス

[サポート情報(Support Information)] ページにデバイスの IP アドレスを 含めます。

ブラウザのユーザ エージェント(Browser user agent)

[サポート情報(Support Information)] ページに、要求の発信元のユーザエージェントの製品名と バージョン、レイアウトエンジン、バージョンなど、 ブラウザの詳細を含めます。

ポリシー サーバ(Policy server)

[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシーサービス ノード(PSN)の IP アドレスを含めます。

障害コード(Failure code)

可能な場合は、ログメッセージカタログ内の対応する 番号を含めます。メッセージカタログにアクセスしてこれを表示するには、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [メッセージカタログ(Message Catalog)] に移動します。

フィールドを隠す(Hide field)

含める情報が存在しない場合、[サポート情報(Support Information)] ページ 上の該当するフィールドラベルを表示しません。たとえば、 障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。

値のないラベルを表示(Display label with no value)

含める情報が存在しない場合でも、選択されているすべてのフィールド のラベルを [サポート情報(Support Information)] ページに表示します。たとえば、 障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。

デフォルト値でラベルを表示(Display label with default value)

[サポート情報(Support Information)] ページ 上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。 たとえば、このフィールドに「Not Available」と入力したときに障害コードが 不明な場合は、[障害コード(Failure code)] に [使用できません(Not Available)] と表示されます。

スポンサー ポータル アプリケーションの設定

ポータル ID 設定

これらの設定へのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータルまたはスポンサーポータル(Guest Portals or Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ゲストポータルおよびスポンサーポータルの設定とカスタマイズ(Guest Portals or Sponsor Portals Settings and Customization)] です。

  • ポータル名(Portal Name):このポータルにアクセスするための一意のポータル名を入力します。このポータル名を、その他のスポンサー、ゲスト、または 非ゲストポータル(ブラックリスト、個人所有デバイス持ち込み(BYOD)、クライアント プロビジョニング、モバイルデバイス管理(MDM)、またはデバイスの各ポータル) に使用しないでください。

    この名前は、 許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、 ポータルのリストで他のポータルの中から簡単に識別するために使用されます。

  • [説明]:任意項目です。

  • ポータルテスト URL(Portal test URL):[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。ポータルをテストするために使用します。

    リンクをクリックすると、 このポータルの URL を表示する新しいブラウザタブが開きます。これを有効にするには、 ポリシーサービスを含むポリシーサービスノード(PSN)をオンにする必要があり ます。ポリシーサービスがオンになっていない場合、PSN は管理者用 ポータルのみを表示します。


    テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。 複数の PSN がある場合、ISE は最初のアクティブ PSN を選択します。

  • 言語ファイル(Language File) :各ポータルタイプは、デフォルトで 15 種類の言語をサポートします。 これらの言語は、個々のプロパティファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内に まとめてバンドルされています。ポータルで使用する圧縮言語ファイルをエクスポートまたは インポートします。圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の 言語ファイルがすべて含まれています。

    言語ファイル には、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定 (例:フランス語の場合は fr、fr-fr、fr-ca)への マッピングが含まれています。1 つの言語ファイルには、 翻訳およびローカリゼーションの目的に容易に使用できるように、 サポートされるすべての言語が含まれています。

    1 つの言語用の ブラウザロケール設定を変更した場合、変更内容は他のすべての エンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータル の French.properties ブラウザロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、 この変更内容がデバイスポータルにも適用されます。

    [ポータルページのカスタマイズ(Portal Page Customizations)] タブで いずれかのポータルページテキストをカスタマイズすると、 警告アイコンが表示されます。警告メッセージは、 ポータルのカスタマイズ時に 1 つの言語で行った変更をすべてのサポート対象の言語プロパティファイルで 更新するように注意を促します。ドロップダウンリストのオプションを使用して、 手動で警告アイコンが表示されないようにします。また、警告アイコンは、 更新された圧縮言語ファイルのインポート後に自動的に表示されなくなります。

スポンサーポータルの ポータル設定

これらの設定を設定して、ポータルを特定し、すべてのポータルページ で使用する言語ファイルを選択します。

  • [HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルトポータルで 8443 です。 ただし、ブラックリストポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、 この制限に従うようにポート設定を更新します。

    ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。

    ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、 ゲストポータルへの割り当てと同じポートを使用します。

    同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループタグを使用する必要があります。 次に例を示します。

    • スポンサー ポータルを例として使用した有効な組み合わせを次に示します。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

    • 無効な組み合わせには次が含まれます。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

  • [使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、 PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネットインターフェイスを設定する必要があります。

    これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、 これらのすべての PSN がゲストセッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

    • イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。

    • ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。

    • ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。

    • ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリインターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。

    • ボンディングされた NIC のみが選択されている場合:PSN はポータルの設定時に、最初にボンディング インターフェイスの設定を試みます。 ポンディング インターフェイスの設定に失敗した場合、その PSN でボンディングが設定されていないことが原因と考えられます。PSN はエラーを記録して終了します。 PSN は物理インターフェイスでのポータルの開始を試みません。

    • NIC チーミングやボンディングは、O/S の設定オプションです。高可用性(耐障害性)を実現するために、2 つの NIC を個別に設定できます。 どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。

      • 物理 NIC と対応するボンディングされた NIC の両方が設定されている場合:PSN はポータル設定時に、最初にボンディングインターフェイスへの接続を試みます。 ボンディング インターフェイスへの接続に失敗した場合、その PSN にボンディングが設定されていないことが原因と考えられます。PSN は物理インターフェイスでポータルの開始を試みます。

  • [証明書グループタグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループタグを選択します。

  • [完全修飾ドメイン名(FQDN)(Fully Qualified Domain Name (FQDN))]:スポンサーまたはデバイスポータルに対応する 1 つの固有の FQDN またはホスト名を入力します。たとえば、sponsorportal.yourcompany.com,sponsor と入力することで、ユーザはブラウザにこれらのいずれかを入力すると、スポンサーポータルが表示されます。カンマを使用して名前を区切りますが、エントリ間にスペースを挿入しないでください。

    デフォルトの FQDN を変更する場合は、次を実行します。

    • DNS を更新して、新しい URL の FQDN が有効なポリシー サービス ノード(PSN)の IP アドレスに解決するようにします。PSN の プールを提供するロードバランサの仮想 IP アドレスを指定することもできます。

    • 名前の不一致による証明書の警告メッセージを回避するために、Cisco ISE PSN のローカルサーバ証明書のサブジェクト代替名(SAN)属性に、カスタマイズされた URL の FQDN またはワイルドカードを含めます。

  • [認証方式(Authentication Method)]:ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダー(IdP)を選択します。 ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。 たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。

    Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。

    IdP を設定するには、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [SAML ID プロバイダー(SAML Id Providers)] の順に選択します。

    ID ソース順序を設定するには、[管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] の順に選択します。

  • [アイドルタイムアウト(Idle Timeout)]:ポータルでアクティビティがない場合にユーザをログアウトするまでに Cisco ISE が待機する時間(分)を入力します。 有効な範囲は 1 ~ 30 分です。

  • [Kerberosを許可する(Allow Kerberos)]:スポンサーポータルへアクセスするためのスポンサーの認証に Kerberos を使用します。ブラウザが ISE との SSL 接続を確立した後、 セキュアトンネル内で Kerberos SSO が実行されます。


    Kerberos 認証には、同じドメイン内に存在する次の項目が必要です。

    • スポンサーの PC

    • ISE PSN

    • このスポンサー ポータルに設定された FQDN

    ゲスト ポータルの Kerberos 認証はサポートされていません。

  • 表示言語

    • [ブラウザのロケールを使用する(Use browser locale)]:クライアントブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。

    • [フォールバック言語(Fallback language)]:ブラウザロケールから言語を取得できない場合、またはブラウザロケール言語が ISE でサポートされていない場合に使用する言語を選択します。

    • [常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。

    [スポンサーに使用可能なSSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。

  • [スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの 名前または SSID(セッションサービス識別子)を入力します。

スポンサーポータル のログイン設定

スポンサー ポータルのログイン ページ設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ログインページの設定(Login Page Settings)] です。

  • [頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザセッションからのログイン試行失敗回数を指定します。 これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。

  • [頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)]: [頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間(スロットル率)を分単位で設定します。

  • [AUPを含める(Include an AUP)]:フローに利用規約ページを追加します。AUP をページに追加したり、別のページへのリンクを設定することができます。これを追加すると、 右側のフローの画像が変わります。

    • [同意が必要(Require acceptance)]:フローを続行する前に、ユーザが AUP に同意するように 強制します。

スポンサーポータルの 利用規定(AUP)設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)] です。

これらの設定を使用して、ユーザ(状況に応じてゲスト、スポンサーまたは従業員) に対して AUP エクスペリエンスを定義します。

フィールド 使用上のガイドライン

AUP ページを含める(Include an AUP page)

会社のネットワーク使用諸条件を、別のページでユーザに表示します。

AUP の最後までのスクロールが必要(Require scrolling to end of AUP)

ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。

初回のログインのみ(On first login only)

ユーザがネットワークまたはポータルに初めてログインしたときのみ、AUP を表示します。

ログインごと(On every login)

ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。

__日ごと(初回のログインから)(Every __ days (starting at first login))

ユーザがネットワークまたはポータルに初めてログインした後に、定期的に AUP を表示します。

スポンサーポータルのスポンサーの パスワード変更設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [スポンサーによるパスワード変更設定(Sponsor Change Password Settings)] です。これらの設定により、スポンサー ポータルを使用するスポンサーのパスワード要件が定義されます。

すべてのユーザのパスワードポリシーを設定するには、[管理(Administration)] > [IDの管理(Identity Management)] > [設定(Settings)] > [ユーザパスワードポリシー(User Password Policy)] を選択します。

フィールド 使用上のガイドライン

スポンサーは自身のパスワードを変更可能(Allow sponsors to change their own passwords)

スポンサーは、スポンサー ポータルにログインした後、自身のパスワードを変更できます。このオプションは、 スポンサーが内部ユーザデータベースの一部である場合にだけ、[パスワードの変更(Change Password)] ページを表示します。

スポンサーポータルの ポストログインバナー設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータルまたはスポンサーポータル(Guest Portals or Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポストログインバナーページ設定(Post-Login Banner Page Settings)] です。

これらの設定を使用して、 正常なログイン後にユーザ(状況に応じてゲスト、スポンサーまたは従業員) に追加情報を通知します。

フィールド 使用上のガイドライン

ポストログイン バナー ページを含める(Include a Post-Login Banner page)

ユーザが正常にログインした後、ネットワークアクセスを付与される前に追加情報を表示します。

スポンサーポータルの サポート情報ページの設定

このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [サポート情報ページの設定(Support Information Page Settings)] です。

これらの設定を使用して、 ヘルプデスクがユーザ(状況に応じてゲスト、スポンサーまたは従業員)が 体験したアクセスの問題をトラブルシューティングするために使用できる情報を表示します。

フィールド 使用上のガイドライン

サポート情報ページを含める(Include a Support Information Page)

該当ポータルのすべての 有効なページ上で、 問い合わせ先などの情報へのリンクを表示します。

MAC アドレス

[サポート情報(Support Information)] ページにデバイスの MAC アドレスを 含めます。

IP アドレス

[サポート情報(Support Information)] ページにデバイスの IP アドレスを 含めます。

ブラウザのユーザ エージェント(Browser user agent)

[サポート情報(Support Information)] ページに、要求の発信元のユーザエージェントの製品名と バージョン、レイアウトエンジン、バージョンなど、 ブラウザの詳細を含めます。

ポリシー サーバ(Policy server)

[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシーサービス ノード(PSN)の IP アドレスを含めます。

障害コード(Failure code)

可能な場合は、ログメッセージカタログ内の対応する 番号を含めます。メッセージカタログにアクセスしてこれを表示するには、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [メッセージカタログ(Message Catalog)] に移動します。

フィールドを隠す(Hide field)

含める情報が存在しない場合、[サポート情報(Support Information)] ページ 上の該当するフィールドラベルを表示しません。たとえば、 障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。

値のないラベルを表示(Display label with no value)

含める情報が存在しない場合でも、選択されているすべてのフィールド のラベルを [サポート情報(Support Information)] ページに表示します。たとえば、 障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。

デフォルト値でラベルを表示(Display label with default value)

[サポート情報(Support Information)] ページ 上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。 たとえば、このフィールドに「Not Available」と入力したときに障害コードが 不明な場合は、[障害コード(Failure code)] に [使用できません(Not Available)] と表示されます。

スポンサーポータルの ゲストへの通知のカスタマイズ

これらの設定へのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ゲストへの通知(Notify Guests)] です。

[ページのカスタマイズ(Page Customizations)] で、スポンサーがスポンサーポータルからゲストに送信する通知に表示される、メッセージ、 タイトル、コンテンツ、手順、 およびフィールドやボタンのラベルをカスタマイズできます。

[設定(Settings)] では、スポンサーが電子メールまたは SMS を使用してゲストにユーザ名と パスワードを個別に送信できるかどうかを指定できます。また、 ヘルプデスクがアクセスの問題をトラブルシューティングするために使用できる情報を提供するために、 スポンサーがゲストに [サポート情報(Support Information)] ページを表示できるかどうかを指定できます。

スポンサーポータルの カスタマイズの管理と承認

これらの設定へのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [管理と承認(Manage and Approve)] です。

[ページのカスタマイズ(Page Customizations)] で、スポンサーポータルの [管理と承認(Manage and Approve)] タブに表示される、 メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンの ラベルをカスタマイズできます。

これらには、 アカウント(登録済みおよび保留)の概要および詳細ビュー、スポンサーがゲストアカウントに対して実行する編集、拡張、一時停止など の操作に基づいて表示されるポップアップダイアログ、 さらに汎用ポータルやアカウント アクション メッセージが 含まれています。

グローバル設定

ゲストおよびスポンサーポータルの グローバル設定

[ゲストアクセス(Guest Access)] > [設定(Settings)] を選択します。Cisco ISE 内のゲストポータル、 スポンサーポータル、ゲストタイプ、およびスポンサーグループ に適用される、次の一般設定を設定できます。

  • ゲスト アカウントの消去、およびユーザ名とパスワードの生成のポリシー。

  • 電子メールおよび SMS 通知をゲスト アカウントとスポンサーに送信するときに使用する SMTP サーバおよび SMS ゲートウェイ。

  • アカウント登録ゲストポータルを使用したゲストアカウントの作成およびゲストの登録時に選択する場所、タイムゾーン、 SSID およびカスタムフィールド。

これらのグローバル設定を指定すると、 特定のゲストポータルとスポンサーポータル、 ゲストタイプおよびスポンサーグループの設定時にそれらを必要に応じて使用できます。

[ポータル設定(Portal settings)] ページ には、次のタブがあります。

ゲスト タイプの設定

これらの設定のナビゲーションパス は、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Types)] です。これらの設定を使用して、 ネットワークにアクセスできるゲストのタイプおよびそのアクセス権限を作成します。また、 このタイプのゲストを作成できるスポンサーグループを指定できます。

  • [ゲストタイプ名(Guest type name)]:このゲストタイプを他のゲストタイプと区別する名前(1 ~ 256 文字)を指定します。

  • [説明(Description)]:このゲストタイプの推奨される使用方法に関する追加情報(最大 2000 文字)を指定します。 たとえば、アカウント登録ゲスト用、ゲスト アカウントの作成に使用しない、など。

  • [言語ファイル(Language File)]:このフィールドでは、サポート対象のすべての言語で、電子メールの件名、電子メールメッセージ、および SMS メッセージの内容を含む言語ファイルをエクスポートおよびインポートできます。これらの言語とコンテンツは、アカウントが期限切れになった旨の通知に使用され、 このゲストタイプに割り当てられているゲストに送信されます。新しいゲストタイプを作成すると、 ゲストタイプを保存するまではこの機能は無効です。言語ファイルの編集の詳細については、「ポータル言語のカスタマイズ」を参照してください。

  • [追加データを収集(Collect Additional Data)]:[カスタムフィールド...(Custom Fields...)] ボタンをクリックして、このゲストタイプを使用しているゲストから追加データを収集するために使用するカスタムフィールドを選択します。

    カスタムフィールドを管理するには、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [カスタムフィールド(Custom Fields)] を選択します。

  • [最大アクセス時間(Maximum Access Time)]

    • [アカウント期間の開始(Account duration starts)]:[最初のログインから(From first login)] を選択した場合、アカウントの開始時間は、ゲストユーザがゲストポータルに最初にログインしたときに開始され、 終了時間は指定された期間に相当します。ゲストユーザがログインしなければ、アカウントがゲストアカウント消去ポリシーによって削除されるまで、アカウントは Awaiting first login 状態のままになります。

      値は、1 から 999 日、時間、または分です。

      アカウント登録ユーザのアカウントは、ユーザがアカウントを作成し、自分のアカウントにログオンしたときに開始されます。

      [スポンサーが指定した日付から(From sponsor-specified date)] を選択した場合は、このゲストタイプのゲストがネットワークにアクセスして 接続を保持できる最大日数、時間数、または分数を 入力します。

      この設定を変更した場合、変更内容はこのゲスト タイプを使用して作成された既存のゲスト アカウントには適用されません。

    • [最大アカウント期間(Maximum account duration)]:このゲストタイプが割り当てられているゲストがログインできる期間(日数、時間数、または分数) を入力します。


      アカウント消去ポリシーにより期限切れのゲスト アカウントが確認され、期限切れ通知が送信されます。このポリシーは 20 分ごとに実行されるため、 アカウント期間を 20 分未満に設定すると、 アカウントの消去前に期限切れ通知が送信されることがあります。

      [アクセスを許可する日付と時刻(Allow access only on these days and times)] オプションを使用して、このゲストタイプのゲストにアクセスを提供する期間や曜日を指定できます。

      • 選択した曜日によって、スポンサーのカレンダーで選択できる日付へのアクセスが制限されます。

      • スポンサーが期間と日付を選択すると、スポンサー ポータルで最大アカウント期間が適用されます。

    ここで設定するアクセス時刻の設定は、 ゲストアカウントの作成時にスポンサーポータルで使用できる時刻設定に 影響します。 詳細については、「 スポンサーに対して使用可能な時間設定項目の設定」を参照してください。

  • ログイン オプション

    • [最大同時ログイン数(Maximum simultaneous logins)]:このゲストタイプに割り当てられたユーザが同時に実行できる最大ユーザセッション数を入力します。

    • [ゲストが制限を超えた場合(When guest exceeds limit)]:[最大同時ログイン数(Maximum simultaneous logins)] を選択した場合は、その最大ログイン数に到達した後でユーザが接続したときに実行するアクションも選択する必要があります。

      • [最も古い接続を切断(Disconnect the oldest connection)]

      • [最も新しい接続を切断(Disconnect the newest connection)]:[エラーメッセージを示すポータルページにユーザをリダイレクトする(Redirect user to a portal page showing an error message)] をオプションで選択:特定の時間にわたってエラーメッセージが表示され、その後セッションが切断されてユーザがゲストポータルにリダイレクトされます。 エラーメッセージが表示される時間は設定可能です。エラーページの内容は、[メッセージ(Messages)] > [エラーメッセージ(Error Messages)] ページの [ポータルページのカスタマイズ(Portal Page Customization)] ダイアログで設定します。

    • [ゲストが登録できるデバイスの最大数(Maximum devices guests can register)]:各ゲストに登録できるデバイスの最大数を入力します。そのゲストタイプのゲストに登録済みの値より 小さい値を最大数として設定できます。この値は、新しく作成されたゲスト アカウントにのみ適用されます。新しいデバイスを追加し、 最大数に達すると、最も古いデバイスが切断されます。

    • [ゲストデバイス登録のためのエンドポイントIDグループ(Endpoint identity group for guest device registration)]:ゲストのデバイスに割り当てるエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することも できます。

    • [ゲストに対しゲストポータルのバイパスを許可する(Allow guest to bypass the Guest portal)]:クレデンシャルを持つゲストタイプのキャプティブポータル(Web 認証ページ)をバイパスし、 有線およびワイヤレス(dot1x)サプリカントまたは VPN クライアントに認証情報を提供することでネットワークにアクセスすることをユーザに許可します。ゲストアカウントは、AUP が必要な場合でも、[初期ログインを待機(Awaiting Initial Login)] 状態と AUP ページをバイパスして [アクティブ(Active)] 状態になります。

      この設定を有効にしない場合、 ユーザは初めにクレデンシャルを持つゲストのキャプティブポータルを使用してログインしないと、 ネットワークの他の部分にアクセスできません。

  • アカウント 有効期限通知

    • [アカウント有効期限の __ 日前にアカウント有効期限通知を送信する(Send account expiration notification __ days before account expires)]:アカウントが期限切れになる前に ゲストに通知を送信します。 有効期限前の日数、時間数、または分数を指定します。

    • [メッセージ表示原語(View messages in)]:電子メールまたは SMS 通知の 表示言語を指定します。

    • [電子メール(Email)]:アカウント有効期限通知を電子メールで送信します。

    • [次のポータルのカスタマイズを使用する(Use customization from)]:選択したポータルに対して設定した同一のカスタマイズ内容を このゲストタイプのアカウント有効期限メールに適用します。

    • [テキストのコピー元(Copy text from)]:別のゲストタイプのアカウント有効期限メールに、 作成した電子メールテキストを再利用します。

    • [テスト電子メールの送信先(Send test email to me at)]

    • [SMS]:アカウント 有効期限通知を SMS で送信します。

      SMS の設定は、 電子メール通知の設定と 同一ですが、[テスト SMS の送信(Send test SMS to me)] の SMS ゲートウェイを選択する点が異なります。

  • [スポンサーグループ(Sponsor Groups)]:このゲストタイプを使用してメンバーがゲストアカウントを作成できるスポンサーグループを指定します。このゲストタイプにアクセスできないように するスポンサーグループは削除します。

スポンサー グループ設定

これらの設定のナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーグループ(Sponsor Groups)] です。スポンサーグループにメンバーを追加したり、ゲストタイプおよびロケーション特権を定義したり、ゲストアカウントの作成と管理に関連する権限を設定したりする場合に、 これらの設定を使用します。

  • [スポンサーグループの無効化(Disable Sponsor Group)]:このスポンサーグループのメンバーがスポンサーポータルにアクセスできないようにします。

    たとえば、管理者ポータルで設定を変更している間、スポンサーが一時的にスポンサーポータルに ログインできないようにします。あるいは、再びアクティブ化する必要があるまで、年次会議のスポンサーシップゲストなど、 頻繁には発生しないアクティビティに関するスポンサーグループを無効にします。

  • [スポンサーグループ名(Sponsor group name)]:一意の名前を入力します(1 ~ 256 文字)。

  • [説明(Description)]:このスポンサーグループで使用されるゲストタイプなどの有益な情報を入力します(最大 2000 文字)。

  • [ゲストタイプの設定(Configure Guest Types)]:必要とするゲストタイプが使用可能でない場合は、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストタイプ(Guest Types)] の順にクリックし、新しいゲストタイプを作成するか、または既存のゲストタイプを編集します。

  • 一致基準

    • メンバー(Members):[スポンサーグループメンバーの選択(Select Sponsor Group Members)] ボックスを表示する場合にクリックします。ここでは、使用可能なユーザ ID グループを(内部および外部の ID ストアから)選択し、 このスポンサーグループのメンバーとして追加できます。

      • スポンサーグループメンバー(Sponsor Group Members):選択したスポンサーグループのリストを検索およびフィルタリングし、含めないグループを削除します。

    • その他の条件(Other conditions):[新しい条件の作成(Create New Condition)] をクリックして、このスポンサーグループに含まれるためにスポンサーが満たす必要がある条件を 1 つ以上構築します。Active Directory、LDAP、SAML、ODBC の ID ストアからの認証属性を使用できますが、RADIUS トークンまたは RSA SecurID ストアは使用できません。内部ユーザ属性 も使用できます。条件には、属性、演算子、値があります。

      • ディクショナリ属性 Name を使用して条件を作成するには、ID グループ名の前にユーザ ID グループを付けます。次に例を示します。

        InternalUser:Name EQUALS bsmith

        この場合、「bsmith」という名前の内部ユーザだけがこのスポンサー グループに所属できます。

  • このスポンサーグループはこれらのゲストタイプを使用してアカウントを作成可能(This sponsor group can create accounts using these guest types):このスポンサーグループのメンバーがゲストアカウントの作成時に使用できるゲストタイプを指定します。有効にするスポンサーグループには、 使用できる少なくとも 1 つのゲストタイプが設定されている必要があります。

    このスポンサーグループに 1 つのゲストタイプのみを割り当てる場合、それが使用可能な唯一の有効なゲストであるため、 スポンサーポータルに表示しないことを選択できます。[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portal)] > [ページカスタマイズ(Page Customization)] > [アカウントの作成(Create Accounts)] > [ゲストタイプ(Guest Types)] > [設定(Settings)] の順に選択します。このオプションを有効にするには、[スポンサーで 1 つのみ使用できる場合はゲスト タイプを非表示(Hide guest type if only one is available to sponsor)] をオンにします。

  • ゲストがアクセスするロケーションを選択(Select the locations that guests will be visiting):このグループのスポンサーがアカウントの作成時にゲストに割り当てることができるさまざまなロケーションを選択します。このことは、 これらのゲストアカウントの有効な時間帯を定義し、有効なアクセス時間などゲストに適用するすべての時間パラメータを指定する場合に役立ちます。 このことによって、ゲストが他のロケーションからネットワークに接続できなくなることはありません。

    有効にするスポンサー グループには、使用できる少なくとも 1 つのロケーションが設定されている必要があります。

    このスポンサーグループに 1 つのロケーションのみを割り当てると、それが、メンバーが作成するゲストアカウントの唯一の 有効な時間帯になります。デフォルトでは、スポンサー ポータルに表示されません。

スポンサーが作成可能(Sponsor

Can Create)

  • 特定のゲストに割り当てられた複数のゲストアカウント(インポート)(Multiple guest accounts assigned to specific guests (Import)):スポンサーは、ファイルから姓名などのゲストの詳細をインポートすることによって、複数のゲストアカウントを作成できます。

    このオプションが有効である場合、[インポート(Import)] ボタンがスポンサーポータルの [アカウントの作成(Create Accounts)] ページに表示されます。[インポート(Import)] オプションは、Internet Explorer、 Firefox、Safari などのデスクトップブラウザだけで使用可能です(モバイルは不可)

  • バッチ処理の制限(Limit to batch of):このスポンサーグループが複数のアカウントを同時に作成できる場合、 単一のインポート操作で作成可能なゲストアカウントの数を 指定します。

    スポンサーは 最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、 作成するアカウントの数を制限することを推奨します。

  • ゲストへの複数のゲストアカウントの割り当て(ランダム)(Multiple guest accounts to be assigned to any guests (Random)):スポンサーが、未知のゲストのプレースホルダとして、 または複数のアカウントをすばやく作成する必要がある場合に複数のランダムゲストアカウントを作成できるようにします。

    このオプションが有効である場合、[ランダム(Random)] ボタンがスポンサーポータルの [アカウントの作成(Create Accounts)] ページに表示されます。

  • デフォルトユーザ名プレフィックス(Default username prefix):スポンサーが複数のランダムなゲストアカウントを作成する場合に使用できるユーザ名プレフィックスを指定します。指定した場合、 このプレフィックスはランダムなゲストアカウントを作成するときにスポンサーポータルに表示されます。また、[スポンサーにユーザ名プレフィックスの指定を許可(Allow sponsor to specify a username prefix)] の設定により、次のようになります。

    • 有効:スポンサーは、スポンサー ポータルでデフォルトのプレフィックスを編集できます。

    • 無効:スポンサーは、スポンサー ポータルでデフォルトのプレフィックスを編集できません。

    ユーザ名プレフィックスを指定しないか、またはスポンサーにユーザ名プレフィックスの指定を許可しない場合、 スポンサーはスポンサーポータルでユーザ名プレフィックスを割り当てることができません。

  • スポンサーにユーザ名プレフィックスの指定を許可(Allow sponsor to specify a username prefix):このスポンサーグループが 複数のアカウントを同時に作成できる場合、単一のインポート操作で 作成可能なゲストアカウントの数を指定します。

    スポンサーは 最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、 作成するアカウントの数を制限することを推奨します。

  • 開始日を__日後より遅くすることはできない(Start date can be no more than __ days into the future):有効にして日数を指定すると、 作成した複数のゲストアカウントの開始日をこの日数以内に設定する 必要があります。

スポンサーが管理可能(Sponsor Can Manage)

  • スポンサーが作成したアカウントのみ(Only accounts sponsor has created):このグループのスポンサーは、スポンサーの電子メールアカウントに基づいて、スポンサーが作成したゲストアカウントのみを 表示および管理できます。

  • このスポンサーグループのメンバーによって作成されたアカウント(Accounts created by members of this sponsor group):このグループのスポンサーは、このスポンサーグループ内のスポンサーが作成したゲストアカウントを表示および管理できます。

  • すべてのゲストアカウント(All guest accounts):スポンサーはすべての保留中のゲストアカウントを表示および管理できます。


[アカウント登録ゲストからの要求の承認および表示(Approve and view requests from self-registering guests)] にマークを付けて、[スポンサーが可能(Sponsor Can)] の下で [このスポンサーに割り当てられた保留中のアカウントのみ(Only pending accounts assigned to this sponsor)] オプションを使用していない限り、グループメンバーシップにかかわらず、すべてのスポンサーがすべての保留中のアカウントを表示できます。
スポンサーが可能(Sponsor

Can)

  • ゲストの連絡先情報(電子メール、電話番号)の更新(Update guests' contact information (email, Phone Number)):スポンサーは、自分が管理できるゲストアカウントについて、ゲストの連絡先情報を変更できます。

  • ゲストのパスワードの表示/印刷(View/print guests' passwords):これをオンにすると、スポンサーはゲストのパスワードを印刷することができます。スポンサーは [アカウントの管理(Manage Accounts)] ページおよびゲストの詳細で、ゲストのパスワードを表示できます。これがオフの場合、スポンサーはパスワードを印刷できませんが、ユーザは 電子メールまたは SMS(設定済みの場合)を介してパスワードを取得できます。

  • ゲストのクレデンシャルを含む SMS 通知の送信(Send SMS notifications with guests’ credentials):スポンサーは、自分が管理できるゲストアカウントについて、アカウントの 詳細とログインクレデンシャルとともにゲストに SMS(テキスト)通知を送信できます。

  • ゲストアカウントパスワードのリセット(Reset guest account passwords):スポンサーは、自分が管理できるゲストアカウントについて、そのパスワードを Cisco ISE によって生成されたランダムなパスワードにリセット できます。

  • ゲストのアカウントの延長(Extend guests’ accounts):スポンサーは、自分が管理できるゲストアカウントについて、その有効期限を延長できます。スポンサーは、 アカウントの有効期限に関してゲストに送信される電子メール通知に自動的にコピーされます。

  • ゲストのアカウントの削除(Delete guests’ accounts):スポンサーは、自分が管理できるゲストアカウントについて、アカウントを削除し、ゲストが企業のネットワークにアクセスすることを 防ぐことができます。

  • ゲストのアカウントの一時停止(Suspend guests’ accounts):スポンサーは、自分が管理できるゲストアカウントについて、アカウントを一時停止してゲストが一時的にログインすることを防ぐことができます。

    また、このアクションは、許可変更(CoA)終了を発行して、一時停止されていたゲストをネットワークから排除できます。

    • スポンサーに理由の入力を求める(Require sponsor to provide a reason):ゲストアカウントの一時停止に対する説明の入力をスポンサーに求めます。

  • アカウント登録ゲストからの要求の承認および表示(Approve and view requests from self-registering guests):このスポンサーグループに含まれているスポンサーは、(承認が必要な)アカウント登録ゲストからのすべての保留中のアカウント要求を表示するか、 アクセス先の担当者としてユーザがスポンサーの電子メールアドレスを入力した要求のみを表示できます。 この機能では、アカウント登録ゲストによって使用されるポータルで [アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] にマークが付けられていて、スポンサーの電子メールが連絡先の担当者としてリストされている必要があります。

    • [保留中のすべてのアカウント(Any pending accounts)]:このグループに所属するスポンサーは、他のスポンサーによって作成されたアカウントを承認およびレビューします。

    • [このスポンサーに割り当てられている保留中のアカウントのみ(Only pending accounts assigned to this sponsor)]:このグループに所属するスポンサーは、スポンサー自身が作成したアカウントだけを表示および承認 できます。

  • プログラムによるインターフェイス(Guest REST API)を使用した Cisco ISE ゲストアカウントへのアクセス(Access Cisco ISE guest accounts using the programmatic interface (Guest REST API)):スポンサーは、自分が管理できるゲストアカウントについて、Guest REST API プログラミング インターフェイスを使用してゲストアカウントにアクセス できます。

エンドユーザ ポータル

Cisco ISE では、Web ベースのポータル をエンドユーザの 3 つのプライマリセットに対して提供しています。

  • ゲストポータル (ホットスポットとクレデンシャルを持つゲストポータル)を使用して企業ネットワークに一時的にアクセスする 必要があるゲスト。

  • スポンサーポータルを使用してゲ ストアカウントを作成および管理できるスポンサーとして指定されている従業員。

  • 個人所有デバイスの持ち込み(BYOD)、 モバイルデバイス管理(MDM)、デバイスポータルなどのさまざまな非ゲストポータルを使用して、 企業ネットワークでパーソナルデバイスを使用している 従業員。

エンドユーザ Web ポータルのカスタマイズ

さまざまなデフォルト ポータルが用意されており、これらを編集および複製したり、追加ポータルを作成したりすることができます。ポータルの外観を完全にカスタマイズし、 その結果として、ポータルのエクスペリエンスをカスタマイズすることもできます。他のポータルへの影響なく、各ポータルを個別にカスタマイズ できます。

ポータル全体または ポータルの特定のページに適用される、次のようなポータルインターフェイスのさまざまな 側面をカスタマイズできます。

  • テーマ、イメージ、 色、バナー、およびフッター

  • ポータルテキスト、 エラーメッセージ、および通知の表示に使用される言語

  • タイトル、コンテンツ、 手順、およびフィールドとボタンのラベル

  • 電子メール、 SMS、およびプリンタでゲストに送信される通知(アカウント登録ゲストポータルと スポンサーポータルにのみ該当)

  • ユーザに 表示されるエラーメッセージと情報メッセージ

  • 特定の必要によって ゲスト情報を収集するカスタムフィールド(アカウント登録ゲストポータルと スポンサーポータルにのみ該当)

図 3.カスタマイズ用のポータル ページのレイアウト

カスタマイズ用のポータル ページのレイアウトには、カスタマイズできるポータル ページのさまざまな領域が表示されます

ISE Community Resource

Web ポータルの カスタマイズの詳細については、「 ISE Portal Builder」および「 HowTo: ISE Web Portal Customization Options」を参照してください。

カスタマイズ 方法

エンドユーザの ポータルページをカスタマイズする方法は複数あり、 それぞれ異なるレベルの知識が必要です。

  • 基本:すべての変更はポータル カスタマイズ ページで行われます。このページでは次の操作を実行できます。

    • バナーとロゴのアップロード。

    • 一部の色の変更(ボタンを除く)。

    • 画面のテキスト、およびポータル全体で使用される言語の変更。

  • 中間(Intermediate)

    • ミニ エディタを使用した HTML および Javascript の追加。

    • jQuery mobile theme roller を使用したすべてのページ要素の色の変更。

  • 詳細設定(Advanced)

    • プロパティおよび CSS ファイルの手動による変更。

ポータルをカスタマイズした後、 それを複製して(同じタイプの)複数のポータルを作成 できます。たとえば、1 つの業務エンティティのホットスポット ゲスト ポータルをカスタマイズした場合、 それを複製し、少し変更して他の業務エンティティのカスタム ホットスポット ゲスト ポータルを 作成することができます。

ミニエディタを使用して ポータルをカスタマイズするためのヒント

  • ミニ エディタのボックス内のワードが長いと、ポータルの画面領域のスクロールがオフになる場合があります。これを防ぐには、HTML 段落属性 style="word-wrap: break-word" を使用します。次に例を示します。 

     <p style="word-wrap:break-word">
 thisisaverylonglineoftextthatwillexceedthewidthoftheplacethatyouwanttoputitsousethisstructure
 </p>

  • HTML または javascript を使用してポータル ページをカスタマイズする場合は、必ず有効な構文を使用してください。ミニエディタに入力するタグ およびコードは ISE によって検証されません。無効な構文が原因でポータル フロー時に問題が発生する場合があります。

ポータル コンテンツのタイプ

Cisco ISE では、「そのまま」使用するか、 または新しいカスタムファイルを作成するためのモデルとして既存の CSS ファイルを使用することでカスタマイズできる、 ポータルテーマのデフォルトセットが提供されます。ただし、カスタマイズされた CSS ファイルを 使用しないでポータルの外観を変更することもできます。

たとえば、 独自の企業ロゴやバナーイメージを使用する場合は、単にこれらの新しいイメージファイルをアップロードして 使用することができます。ポータルのさまざまな要素および領域の色を変更することによって、 デフォルトのカラースキームをカスタマイズできます。カスタム変更時に、 カスタム変更を表示する言語を選択することも できます。

ロゴおよびバナーを置き換えるための画像を設計するときは、 画像のサイズを次のピクセルサイズに可能な限り近づけてください。

バナー 1724 X 133
デスクトップのロゴ 86 X 45
モバイルのロゴ 80 X 35

ISE はポータルに合わせて画像のサイズを変更しますが、画像が小さすぎるとサイズ変更後に正しく表示されない場合があります。

高度なカスタマイズ(ページレイアウトの変更、ポータルページへのビデオクリップや広告の追加など)を行うには、 独自のカスタム CSS ファイルを使用できます。

特定のポータルでのこのようなタイプの変更は、 そのポータルのすべてのページにグローバルに適用されます。 ページレイアウトの変更は、ポータル内にグローバルに、または特定の 1 ページのみに 適用することができます。

ポータル ページのタイトル、コンテンツ、およびラベル

エンドユーザ Web ポータルページでゲストに表示されるタイトル、テキストボックス、手順、フィールドとボタンのラベル、 その他の視覚要素をカスタマイズすることができます。ページをカスタマイズするときには、ページ設定を動的に編集することができます。

これらの変更は、カスタマイズしている特定のページにのみ適用されます。

ポータルの 基本的なカスタマイズ

ニーズに最適な事前定義済みテーマ を選択し、デフォルト設定のほとんどを使用します。その後、 次のような基本的なカスタマイズが可能です。


Tip

更新するときに、 カスタマイズを参照 することができます。

ポータルの テーマカラーの変更

デフォルトポータルテーマの デフォルトカラースキームをカスタマイズして、ポータルのさまざまな要素と 領域の色を変更できます。これらの変更は、 カスタマイズしているポータル全体に適用されます。

ポータルの色を 変更する場合は、次のことに注意してください。

  • このオプションを使用して、 このポータルで使用するためにインポートしたカスタムポータルテーマの カラースキームを変更することはできません。その色の設定を変更するには、 カスタムテーマ CSS ファイルを編集する必要があります。

  • ポータルのテーマカラーを 変更した後で、[ポータルテーマ(Portal Theme)] ドロップダウンメニューから別のポータルのテーマを選択した場合、元のポータルテーマの変更は失われ、 デフォルトカラーに戻ります。

  • 変更済みのカラースキームを 使用してポータルのテーマカラーを調整し、保存する前に色をリセットした場合、 カラースキームはデフォルトカラーに戻り、 前の変更はすべて失われます。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [設定(Configure)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ポータルテーマ(Portal Theme)] ドロップダウンリストからデフォルトテーマの 1 つを選択します。

ステップ 3

[調整(Tweaks)] を クリックして、選択したデフォルトポータルテーマの色の設定の一部を上書きします。

  1. バナーとページ背景、 テキスト、およびラベルの色の設定を変更します。

  2. テーマの デフォルトカラースキームに戻す場合は、[色のリセット(Reset Colors)] をクリックします。

  3. [プレビュー(Preview)] で色の変更を確認する場合は、[OK] をクリックします。

ステップ 4

[保存(Save)] をクリックします。

ポータルの表示言語の変更

カスタム変更を加えるときに、 変更内容を表示する言語を選択できます。この変更は、 カスタマイズしているポータル全体に適用されます。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [グローバルなカスタマイズ(Global Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [グローバルなカスタマイズ(Global Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [グローバルなカスタマイズ(Global Customization)] を選択します。
ステップ 2

[表示(View In)] ドロップダウンリストから、ページをカスタマイズするときにテキストを 表示する言語を選択します。

ドロップダウンリストには、 特定のポータルに関連付けられた言語ファイルにあるすべての言語が 含まれています。

次の作業

ポータルページを カスタマイズするときに選択した言語に加えた変更が、サポート対象のすべての言語プロパティファイルで 更新されていることを確認します。

ポータルのアイコン 、イメージ、およびロゴの変更

独自の企業ロゴ、 アイコン、およびバナーイメージを使用する場合は、カスタムイメージをアップロードするだけで 既存のイメージを置き換えることができます。サポートされている画像形式 は、.gif、.jpg、.jpeg、.png です。これらの変更は、カスタマイズしているポータル 全体に適用されます。

はじめる前に

ポータルのフッター (たとえば、アドバタイズメント)にイメージを含めるには、 そのイメージがある外部サーバにアクセスできる必要があります。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [設定(Configure)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[イメージ(Images)] で、ロゴ、アイコン、イメージのボタンをクリックし、 カスタムイメージをアップロードします。

ステップ 3

[保存(Save)] をクリックします。

ポータルのバナー およびフッター要素の更新

ポータルの各ページの バナーおよびフッターセクションに表示される情報を カスタマイズできます。これらの変更は、カスタマイズしているポータル全体に適用されます。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

各ポータルページに表示される [バナータイトル(Banner title)] を変更します。

ステップ 3

ポータルを 使用するゲスト用に次のリンクを含めます。

  • [ヘルプ(Help)] :オンラインヘルプ(スポンサーおよびデバイスポータルにのみ 提供します)。

  • [連絡先(Contact)]:テクニカル サポート(このことができるようにするには、[サポート情報(Support Information)] ページを設定します)。

ステップ 4

各ポータルページの 下部に表示される [フッター要素(Footer Elements)] に利用規約または著作権表示を追加します。

ステップ 5

[保存(Save)] をクリックします。

タイトル、手順、ボタン 、およびラベルテキストの変更

ポータルに 表示されるすべてのテキストを更新できます。カスタマイズするページの各 UI 要素に、 入力できる文字数の最小範囲および最大範囲が あります。テキストブロックの一部が使用可能な場合、 ミニエディタを使用して表示スタイルをテキストに適用できます。これらの変更は、 カスタマイズしている特定のポータルページにだけ適用されます。これらのページ要素は、 電子メール、SMS、印刷通知ごとに異なります。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [設定(Configure)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、変更するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、表示された UI 要素を更新します。すべての ページに [ブラウザページタイトル(Browser Page Title)]、[コンテンツタイトル(Content Title)]、[説明テキスト(Instructional Text)]、[コンテンツ(Content)] 、および 2 つの [任意のコンテンツ(Optional Content)] の各テキストブロックが含まれています。[コンテンツ(Content)] 領域のフィールドはすべてのページに固有です。

テキストボックスの 内容のフォーマットおよびスタイル

テキストの基本的な書式設定を 行うには、[説明テキスト(Instructional Text)]、[オプションの内容 1(Optional Content 1)]、および [オプションの内容 2(Optional Content 2)] テキストボックスにあるミニエディタを使用します。これらの変更は、 カスタマイズしている特定のポータルページにだけ適用されます。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

手順

ステップ 1

次のポータルに 移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、変更するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] の、[説明テキスト(Instructional Text)] および [オプションの内容(Optional Content)] テキストボックスで、次の操作を実行できます。

  • テキストのフォント、色、 サイズを変更します。
  • テキストに太字、イタリック体、 下線のスタイルを設定します。
  • 箇条書きおよび番号付きリストを 作成します。
 

ミニエディタを使用してフォーマットしたテキストに適用された HTML タグを見るために [HTML ソースの切り替え(Toggle HTML Source)] ボタンを使用できます。 [HTMLソース(HTML Source)] ビューでテキストを編集する場合は、[ポータルページのカスタマイズ(Portal Page Customization)] ウィンドウで変更を保存する前に、[HTMLソースの切り替え(Toggle HTML Source)] ボタンをもう一度クリックします。

ポータル ページのカスタマイズ用の変数

これらのポータル ページ テキスト ボックスへのナビゲーション パス:

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。

  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。

  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル)> [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。

ポータルユーザ (ゲスト、スポンサーおよび従業員)に表示される情報の一貫性を維持するために、 ポータルコンテンツおよびゲスト通知用のテンプレートを作成するときに これらの変数を使用します。 [説明テキスト(Instructional Text)]、[オプションコンテンツ 1(Optional Content 1)]、および [オプションコンテンツ 2(Optional Content 2)] テキストボックスで、各ポータルのテキストを次に示す変数名と置き換えます。

表 3.ゲストポータル の変数のリスト
表示名 変数名による代替

アクセス コード

電子メール、 テキストまたは印刷物の通知を使用して、ゲストにアクセスコードを提供するための テキスト。

ui_access_code

BYOD IOS SSID

デュアル SSID フロー に入った後にデバイスが接続する必要があるネットワークを指定するために 使用します。

ui_byod_success_ios_ssid

クライアント プロビジョニング エージェントのタイプ(Client Provisioning Agent Type)

AnyConnect エージェント や NAC エージェントなど、クライアント プロビジョニング ポリシーで現在設定されているエージェントを 指定するために使用します。

ui_client_provision_agent_type

クライアント プロビジョニング エージェントの URL(Client Provisioning Agent URL)

ポスチャエージェントの ダウンロード URL を指定するために使用します。

ui_client_provision_agent_url

クライアント プロビジョニング エージェント インストール分数(Client Provisioning agent install minutes)

ゲストに、 クライアント プロビジョニング ページでインストール手順を完了する必要がある制限時間 (修復タイマーにより設定)を通知するために使用します。タイマーが 時間切れになる前にゲストがインストール手順を完了しなかった場合、 ゲストはブラウザページをリフレッシュして、ログインプロセスをやり直す必要があります。

ui_client_provision_install_agent_mins

会社

ui_company

電子メールアドレス(Email address)

ui_email_address

終了日時(End date and time)

ui_end_date_time

名(First name)

ui_first_name

姓(Last name)

ui_last_name

ロケーション名(Location name)

ui_location_name

最大登録デバイス数(Maximum registered devices)

ui_max_reg_devices

最大同時ログイン数(Maximum simultaneous logins)

ui_max_siml_login

パスワード(Password)

ui_password

訪問先担当者(電子メール)(Person being visited (email))

ui_person_visited

電話番号(Phone number)

ui_phone_number

訪問の理由(Reason for visit)

ui_reason_visit

SMS プロバイダー(SMS Provider)

ui_sms_provider

SSID

ゲストが ネットワークに接続するために使用できるワイヤレスネットワークを指定するために使用します。

ui_ssid

開始日時(Start date and time)

ui_start_date_time

残り時間(Time left)

ui_time_left

ユーザ名(Username)

ui_user_name

表 4.スポンサーポータルの 変数のリスト
表示名 変数名による 代替

ゲスト - 会社(Guest - Company)

ui_guest_company

ゲスト - 電子メールアドレス(Guest - Email address)

ui_guest_email_address

ゲスト - 終了日時(Guest - End date and time)

ui_guest_end_date_time

ゲスト - 名(Guest - First name)

ui_guest_first_name

ゲスト - 姓(Guest - Last name)

ui_guest_last_name

ゲスト - ロケーション名(Guest - Location name)

ui_guest_location_name

ゲスト - 最大登録デバイス数(Guest - Maximum registered devices)

ui_guest_max_reg_devices

ゲスト - 最大同時ログイン数(Guest - Maximum simultaneous logins)

ui_guest_max_siml_login

ゲスト - パスワード(Guest - Password)

ui_guest_password

ゲスト - 訪問先担当者(電子メール)(Guest - Person being visited (email))

ui_guest_person_visited

ゲスト - 電話番号(Guest - Phone number)

ui_guest_phone_number

ゲスト - 訪問の理由(Guest - Reason for visit)

ui_guest_reason_visit

ゲスト - SMS プロバイダー(Guest - SMS Provider)

ui_guest_sms_provider

ゲスト - SSID(Guest - SSID)

ゲストが ネットワークに接続するために使用できるワイヤレスネットワークを指定するために使用します。

ui_guest_ssid

ゲスト - 開始日時(Guest - Start date and time)

ui_guest_start_date_time

ゲスト - 残り時間(Guest - Time left)

ui_guest_time_left

ゲスト - ユーザ名(Guest - Username)

ui_guest_user_name

ユーザ名(Username)

ポータルに ログインしたユーザのユーザ名を指定するために使用します。

ui_sponsor_user_name

[ゲスト アクセス情報(Guest Access Information)] ページの [から(From)] を表示するために使用します。

ui_from_label

[ゲストアクセス情報(Guest Access Information)] ページの [初回ログイン(First Login)] を表示するために 使用します。

ui_first_login_text

初回ログイン時にアクセス時間が開始すると、 ゲストアカウントの通知メッセージを表示するために使用します。

ui_notification_first_login_text

電子メール通知のアカウントの有効期間を示す動的 変数。

ui_access_duration

利用できなくなったアカウントを表示する動的 変数。[開始/終了(Start-End)] アカウントでは日付は終了日 で、[初回ログインから(From-First-Login)] アカウントでは日付はアカウントの作成日に消去期間日数を 足したものです。

ui_account_purge_date

ゲストユーザが少なくとも一度以前ログインしたことがある場合、 スポンサーが、ゲストのタイプを [初回ログインから(From-First-Login)] から [開始/終了(Start-End)] に変更、 または逆に変更することを制限するために使用します。一般的なスポンサー ポータル メッセージに表示されます。

ui_guest_type_change_ffl_startend_not_allowed_error

ui_guest_type_change_ startend_ffl_not_allowed_error

表 5.MDM ポータル の変数のリスト
表示名 変数名による 代替

MDM - ベンダー名(MDM - Vendor Name)

ui_mdm_vendor_name

表 6.デバイスポータル の変数のリスト
表示名 変数名による 代替

デバイス - ログイン失敗の頻度制限(MyDevices - Login Failure Rate Limit)

$user_login_failure_rate_limit$

デバイス - 最大登録デバイス数(MyDevices - Max Devices to Register)

ui_max_register_devices

デバイス - ユーザ名(MyDevices - User Name)

ポータルに ログインしたユーザのユーザ名を指定するために使用します。

$session_username$

カスタマイズ の参照

カスタマイズが ポータルユーザ(ゲスト、スポンサー、従業員)にどのように表示されるかを 確認できます。

手順

  • [ポータルテストURL(Portal test URL)] をクリックして、変更を表示します。


    テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。複数の PSN がある場合、ISE は最初のアクティブ PSN を選択します。

  • 変更がさまざまなデバイスでどのように表示されるかを動的に確認するには、[プレビュー(Preview)] を クリックします。

    • モバイルデバイス: [プレビュー(Preview)] で変更を確認します。

    • デスクトップ デバイス:[プレビュー(Preview)] をクリックし、[デスクトッププレビュー(Desktop Preview)] をクリックします。新しいタブが開いて、 すべての変更がこのタブに表示されます。

    変更が 表示されない場合は、[プレビューのリフレッシュ(Refresh Preview)] をクリックします。表示されるポータルは、変更を確認するためだけのものです。 ボタンをクリックしたり、データを入力したりすることはできません。

カスタム ポータル ファイル

カスタム ポータル ファイル メニューでは、ISE サーバに独自のファイルをアップロードすることができ、(管理者用ポータルを除く) ユーザがアクセスできるすべてのポータルのカスタマイズに使用できます。アップロードしたファイルは PSN に保存され、すべての PSN に同期されます。

サポートされるファイル タイプは次のとおりです。

  • .png、.gif、.jpg、.jpeg、ico:背景、お知らせ、広告用

  • .htm、.html、.js、.json、.css、.m4a、.m4v、.mp3、.mp4、.mpeg、.ogg、.wav:高度なカスタマイズ用、たとえば、ポータル ビルダー

ファイルのサイズは限定されます:

  • ファイルあたり 20 MB

  • すべてのファイルの合計が 200 MB

ファイルのリストのパス列には、このサーバ上のファイルの URL が表示されます。この URL は、ミニエディタ外部でそのファイルを参照する場合に 使用できます。イメージ ファイルの場合、リンクをクリックすると、新しいウィンドウが開き、イメージが表示されます。

アップロードされたファイルは、ポータル ページのカスタマイズの下のミニ エディタで、管理者用ポータルを除くすべてのポータル タイプにより参照できます。 ミニエディタにファイルを挿入するには、ツールバーの [ファイルを挿入(insert file)] ボタンをクリックします。[HTML ソース(HTML Source)] ビューに切り替えます。挿入されたファイルが適切な HTML タグで囲まれていることが わかります。

テストのために、表示可能なアップロード ファイルを ISE の外部からブラウザで表示することもできます。URL は https://ise_ip:8443/portal/customFiles/filename です。

ポータルの 高度なカスタマイズ

Cisco ISE から提供されるデフォルトのポータルテーマの 1 つを使用しない場合、ニーズに合わせてポータルをカスタマイズ できます。そのためには、CSS および Javascript ファイルと jQuery Mobile ThemeRoller アプリケーションの使用経験が必要です。

デフォルトのポータル テーマを変更することはできませんが、次の操作を実行できます。

専門知識と要件に基づいて、さまざまなタイプの高度なカスタマイズを実行できます。事前定義済み変数を使用して、 表示される情報の整合性の実現、ポータルページへのアドバタイズメントの追加、HTML、CSS、および Javascript コードを使用した内容のカスタマイズ、ポータルページのレイアウト変更が可能になります。

ポータルを変更するには、各ポータルの [ポータルページのカスタマイズ(Portal Page Customization)] タブのコンテンツボックスに HTML、CSS、および Javascript を 追加します。このドキュメントでは、HTML と CSS を使用したカスタマイズの例について説明します。Javascript を使用した例は、ISE コミュニティ (http://cs.co/ise-community)で紹介されています。さらに多くの HTML、CSS、および Javascript の例については、ISE コミュニティ https://community.cisco.com/t5/security-documents/how-to-ise-web-portal-customization-options/ta-p/3619042 を参照してください。


TAC では、Javascript での Cisco ISE ポータルのカスタマイズをサポートしていません。Javascript でのカスタマイズに関する問題が発生した場合は、 ISE コミュニティ https://community.cisco.com/t5/identity-services-engine-ise/bd-p/5301j-disc-ise に質問を投稿してください。シスコの従業員およびコミュニティ メンバーがお力になれる場合があります。

高度なポータル カスタマイズの有効化

Cisco ISE では、エンドユーザ ポータルに表示されるコンテンツをカスタマイズすることができます。 [ポータルページのカスタマイズ(Portal Page Customization)] にリストされているさまざまなページのテキストボックスに HTML、CSS、および Javascript コードを入力できます。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [ポータルのカスタマイズ(Portal Customization)] を選択します。

ステップ 2

[HTML を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML)] がデフォルトでオンになっていることを確認します。この設定 によって、[説明テキスト(Instructional Text)]、[オプションの内容 1(Optional Content 1)]、および [オプションの内容 2(Optional Content 2)] テキストボックスに HTML タグを含めることができます。

ステップ 3

[説明テキスト(Instructional Text)]、[オプションの内容 1(Optional Content 1)]、および [オプションの内容 2(Optional Content 2)] テキストボックスに <script> タグを含めることによって、高度な JavaScript のカスタマイズを行う場合は、[HTML と Javascript を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML and Javascript)] をオンにします。

次の作業

これで、ポータルに HTML、CSS、および Javascript を入力できるようになります。

ポータルテーマと 構造 CSS ファイル

CSS ファイルの使用に関する経験がある場合、 デフォルトのポータルテーマ CSS ファイルをカスタマイズして、ポータルプレゼンテーションを変更し、 ページレイアウト、色、フォントなどの要素を操作できます。CSS ファイルをカスタマイズすると、 プレゼンテーションの特性の指定における柔軟性と制御が向上し、 複数のページでフォーマットを共有することが可能になり、 構造化されたコンテンツの複雑さと繰り返しが削減されます。

Cisco ISE エンドユーザ ポータルは、種類が異なる 2 つの CSS ファイル(structure.css および theme.css)を使用します。ポータルテーマごとに独自の theme.css ファイルがありますが、ポータルタイプにつき structure.css ファイルは 1 つのみです(例:ゲストポータルの場合は guest.structure.css、 スポンサーポータルの場合は sponsor.structure.css、 デバイスポータルの場合は mydevices.structure.css)。

structure.css では、ページレイアウトと構造のスタイルを指定しています。これには 各ページの要素の位置が定義され、jQuery Mobile 構造の スタイルも含まれています。structure.css ファイルは表示のみ可能で、編集することはできません。 ただし、 theme.css ファイル内のページレイアウトを変更し、これらのファイルをポータルにインポートして適用すると、 最新の変更が structure.css のスタイルよりも 優先されます。

theme.css ファイルは、フォント、ボタンの色、ヘッダーの背景などの スタイルを指定します。 theme.css ファイルをエクスポートし、テーマ設定を変更してインポートし、 ポータルのカスタムテーマとして使用できます。 theme.css ファイルに対するページレイアウトスタイルの変更は、structure.css ファイルで定義されるスタイルよりも 優先されます。

シスコが提供する デフォルトのポータル theme.css ファイルは変更できません。ただし、ファイル内の設定を編集して、 新しいカスタム theme.css ファイル(theme.css)に保存できます。カス タム theme.css ファイルをさらに編集することはできますが、Cisco ISE に再度インポートする場合は、最初に使用されていたのと同じテーマ名にしてください。同 じ theme.css ファイルに 2 つの異なるテーマ名を使用することはできません。

たとえば、 デフォルトの green theme.css ファイルを使用して新しいカスタム blue theme.css ファイルを作成し、 Blue と名付けることができます。その 後、 blue theme.css ファイルを編集できますが、これを再度インポートする場合は、同じテーマ名の Blue を再利用する必要があります。 Cisco ISE はファイル名やその名前とテーマ名の一意性の関係を確認するため、そのファイルを Red という名前に することは できません。ただし、 blue theme.css ファイルを編集し、 red theme.css として保存し、 新規ファイルをインポートして Red と名付けることは可能です。

jQuery Mobile による テーマカラーの変更について

シスコのエンドユーザポータルの カラースキームは、jQuery ThemeRoller と互換性があります。ThemeRoller Web サイトを 使用して、ポータル全体の色を簡単に編集できます。

ThemeRoller の色 の「見本」にはそれぞれ独自のカラースキームがあります。 それらのスキームによって、主要 UI 要素(ツールバー、コンテンツブロック、ボタン、リスト項目、フォントのテキストシャドウなど)の 色、テクスチャ、フォントの設定が定義されます。さらに、 ボタンのさまざまな操作状態(通常時、マウスオーバー時、押された時)の設定も 定義されます。

シスコでは、 次の 3 つの見本が使用されます。

  • 見本 A: デフォルトの見本。

  • 見本 B: 強調する要素を定義します(例:[承認(Accept)] ボタンなど)。

  • 見本 C: 重要な要素を定義します(例:アラート、エラーメッセージ、無効な入力フィールド、 削除ボタンなど)。

見本を新たに追加して 適用する場合は、その見本を使用する要素を含む HTML コードを(オプションコンテンツなどに) 追加しない限り、追加した見本を適用できません。

シスコ提供の デフォルトの CSS ファイルを編集するか、またはデフォルトのテーマに定義されている CSS クラスおよび構造に基づいて 新しいファイルを作成するには、 jQuery Mobile ThemeRoller(リリース 1.3.2)の必要なバージョンを使用してください。

jQuery Mobile ThemeRoller の 見本およびテーマの詳細情報については、『 Creating a Custom Theme with ThemeRoller』の「Theming Overview」を参照してください。jQuery Mobile ThemeRoller のオンラインヘルプを使用して、 カスタムテーマをダウンロード、インポート、および共有する方法を学習します。

HTML、CSS、および Javascript コードを使用して、ポータルページに表示されるテキストおよびコンテンツをカスタマイズする方法のチュートリアルについては、 Codecademy にアクセスしてください。

シスコの見本を 示すテーマの例

見本がどのように使用されるかを 示すために、ゲストポータルのデフォルトテーマが色の違いを示すように ThemeRoller で編集されました。

次の画面 は、ユーザ(見本 B)からのアクションを取るボタンとともに ゲストポータルのログインエラー(見本 C)を示し、画面の残りは見本 A です。

jQuery Mobile による テーマカラーの変更

はじめる前に

jQuery Mobile ThemeRoller の バージョン 1.3.2 を使用していることを確認します。ご使用のバージョンが 次のように画面の左上隅に表示されます。

手順
ステップ 1

ポータル で [設定(Configuration)] タブをクリックして、[高度なカスタマイズ(Advanced Customization)] > [テーマのエクスポート/インポート(Export/Import Themes)] をクリックし、ポータルから変更する既存のテーマをエクスポートします。

ステップ 2

[カスタムテーマ(Custom Theming)] ダイアログで、更新するテーマをエクスポートします。

ステップ 3

テキストエディタでそのテーマを開き、 すべてを選択してコピーします。

ステップ 4

jQuery Web サイト の [テーマのインポート(Import Theme)] ボックスにテキスト(CSS)を貼り付けます。

ステップ 5

jQuery Mobil Web ベースの アプリケーションで変更を行います。

ステップ 6

jQuery Web サイト から更新されたテーマをエクスポートします(エクスポート形式は zip)。

ステップ 7

更新されたテーマを 解凍し、テーマ フォルダ内の更新されたテーマを PC に展開します。テーマの 名前は、jQuery Web サイトで指定した名前です。

ステップ 8

ポータル設定 ページの [カスタムテーマ(Custom Theming)] ダイアログで、展開した CSS テーマファイルを ポータルにインポートします。

ポータル設定 ページの [ポータルテーマ(Portal Theme)] ドロップダウンをクリックすることで、 古いテーマと新しいテーマを切替えることができます。

ロケーションに基づく カスタマイズ

ゲストアカウント が作成されるときに、それらをロケーションに関連付けて Service Set Identifier(SSID)属性を 指定することできます。ロケーションと SSID のどちらも、CSS クラスとして使用することができます。これを使用すると、ゲストのロケーションと SSID に基づいて、 それぞれ異なる CSS スタイルをポータルページに適用できます。


この情報は、 クレデンシャルを持つゲストポータルにのみ、ゲストがログインした後に適用されます。

次に例を示します。

  • ゲスト ロケーション:ロケーションとして San Jose または Boston を持つ アカウント付きゲストがクレデンシャルを持つゲストポータルにログイン した場合、 guest-location-san-jose または guest-location-boston のいずれかのクラスをすべてのポータルページで使用できます。

  • ゲスト SSID : Coffee Shop Wireless という名前の SSID の場合、すべてのポータルページで guest-ssid-coffee-shop-wireless という CSS クラスを使用できます。この SSID は、 ゲストアカウントに指定した SSID であり、ログイン時にゲスト が接続した SSID ではありません。

スイッチやワイヤレス LAN コントローラ(WLC)など のデバイスをネットワークに追加するときに、 ロケーションも指定できます。このロケーションも CSS クラスとして使用することができ、 これを使用すると、ネットワークデバイスのロケーションに応じて、 それぞれ異なる CSS スタイルをポータルページに適用できます。

たとえば、WLC が Seattle に割り当てられ、 ゲストが Seattle-WLC から Cisco ISE にリダイレクトされた場合、 すべてのポータルページで device-location-my-locations-usa-seattle という CSS クラスを使用できます。

ユーザデバイスタイプに 基づくカスタマイズ

Cisco ISE は、クライアントデバイスのタイプ(ゲスト、スポンサー、または従業員)を検出し、企業のネットワークまたはエンドユーザ Web ポータル(ゲスト、スポンサーおよびデバイス)にアクセスします。タイプは、モバイルデバイス(Android、iOS など)またはデスクトップデバイス(Windows、MacOS など)の いずれかとして検出されます。デバイスタイプは、CSS クラスとして利用できます。このクラスは、ユーザのデバイスタイプに基づいて ポータルページに異なる CSS スタイルを適用するために使用できます。

ユーザは Cisco ISE のエンドユーザ Web ポータルにログインすると、それらのポータルページで cisco-ise-mobile クラスまたは cisco-ise-desktop クラスを使用できます。

ポータルのデフォルトテーマ CSS ファイルのエクスポート

シスコが提供する デフォルトのポータルテーマをダウンロードし、ニーズに合わせてカスタマイズできます。それを 高度なカスタマイズを実行するための基本として使用できます。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。
ステップ 2

[高度なカスタマイズ(Advanced Customization)] ドロップダウンリストから [テーマのエクスポート/インポート(Export/Import Themes)] を選択します。

ステップ 3

[カスタムテーマ(Custom Theming)] ダイアログボックスで、ドロップダウンリストを使用してカスタマイズする テーマを選択します。

ステップ 4

[テーマ CSS のエクスポート(Export Theme CSS)] をクリックして、カスタマイズするデフォルトの theme.css ファイルをダウンロードします。

ステップ 5

[保存(Save)] をクリックしてファイルをデスクトップに保存します。

カスタムポータルテーマ CSS ファイルの作成

カスタムポータルテーマを 作成するには、既存のデフォルトポータルテーマをカスタマイズして、 新規ポータルの theme.css ファイルに変更を保存します。デフォルトテーマの設定および見本を変更して、 選択したポータルへのグローバルな変更を行うことができます。

はじめる前に

  • カスタマイズするポータルから theme.css ファイルをデスクトップにダウンロードします。

  • このタスクには、HTML、CSS、および Javascript コードの使用経験が必要です。

  • jQuery Mobile ThemeRoller のリリース 1.3.2 を使用します。

手順

ステップ 1

ダウンロード したポータルの theme.css ファイルのコンテンツを jQuery Mobile ThemeRoller ツールにインポートします。

ヒント 

変更するときに、 カスタマイズを参照する ことができます。

ステップ 2

(任意)ポータルコンテンツに組み込まれたリンク

ステップ 3

(任意)動的なテキスト更新の変数の挿入

ステップ 4

(任意)テキストをフォーマットし、リンクを含めるソースコードの使用

ステップ 5

(任意)アドバタイズメントとしてのイメージの追加

ステップ 6

(任意)ゲストロケーションに基づいたグリーティングのカスタマイズ

ステップ 7

(任意)ユーザデバイスタイプに基づいたグリーティングのカスタマイズ

ステップ 8

(任意)カルーセルアドバタイジングの設定

ステップ 9

(任意)ポータルページのレイアウトの変更

ステップ 10

カスタマイズ されたファイルを新しい theme.css ファイルとして保存します。

 

デフォルト CSS テーマファイルに編集内容を保存することはできません。編集を使用して新しいカスタム ファイルを作成することのみができます。

ステップ 11

新しい theme.css ファイルは、準備を整えた後、Cisco ISE にインポート できます。

ポータルコンテンツに 組み込まれたリンク

リンクを追加して、 ゲストがポータルページからさまざまな Web サイトにアクセスできるようにすることができます。これらの変更は、 カスタマイズしている特定のポータルページにだけ適用されます。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals and Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals and Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • 証明書 プロビジョニングポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニング(Certificate Provisioning)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、更新するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、[オプションの内容(Optional Content)] テキストブロックで提供されるミニエディタを使用して、ポータルページへのリンクを追加します。

ステップ 4

[リンクの作成(Create Link)] ボタンをクリックします。

[リンクプロパティ(Link Properties)] ダイアログボックスが表示されます。
ステップ 5

[URL] の [説明(Description)] ウィンドウに、ハイパーリンクする URL およびテキストを入力します。

リンクが正しく機能するように、 URL にプロトコル識別子を含めます。たとえば、 www.cisco.com ではなく http://www.cisco.com を使用します。

ステップ 6

[設定(Set)] をクリックし、[保存(Save)] をクリックします。

ミニエディタを使用してフォーマットしたテキストに適用された HTML タグを見るために [HTML ソースの切り替え(Toggle HTML Source)] ボタンを使用 できます。

動的なテキスト更新の 変数の挿入

内容を動的に 更新する事前定義済みの変数($variable$)を代わりに使用することによって、ポータルに 表示されるテキストのテンプレートを作成することもできます。これにより、 ゲストに表示するテキストと情報の一貫性が維持されます。これらの変更は、 カスタマイズしている特定のポータルページにだけ適用されます。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals and Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals and Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、更新するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、[説明テキスト(Instructional Text)]、[オプションの内容 1(Optional Content 1)]、および [オプションの内容 2(Optional Content 2)] テキストボックスで提供されるミニエディタを使用して、ポータルページのテキストテンプレートを作成します。

たとえば、 複数のゲスト用に単一の初期メッセージテンプレートを作成し、正常にログインしてネットワークに接続した後に ゲストに表示するメッセージをカスタマイズ できます。

ステップ 4

通常どおりに テキストボックスに情報を入力します。

たとえば、 ポータル用の初期メッセージを入力することができます。 
Welcome to our company’s Guest portal,
ステップ 5

テキストの代わりに 変数を使用するポイントで、[変数の挿入(Insert Variable)] ボタンをクリックします。

変数の リストがポップアップメニューに表示されます。
ステップ 6

テキストの 代わりに使用する変数を選択します。

この例では、 初期メッセージに各ゲストの名を表示する [名(First name)] を選択します。 変数 $ui_first_name$ がカーソル位置に挿入されます。 
Welcome to our company’s Guest portal,$ui_first_name$.

これは、 John という名のゲスト の場合、「 Welcome to our company’s Guest portal, John」(当社のゲストポータルへようこそ、John)という初期メッセージとしてポータルの初期ページに表示されます。

ステップ 7

テキストボックスに 情報を入力し終えるまで、必要に応じて続けて変数のリストを 使用します。

ステップ 8

[保存(Save)] をクリックします。

ミニエディタを使用してフォーマットしたテキストに適用された HTML タグを見るために [HTML ソースの切り替え(Toggle HTML Source)] ボタンを使用 できます。

テキストをフォーマットし、 リンクを含めるソースコードの使用

ミニエディタのフォーマットとプレーンテキスト付きリンクアイコンの使用に加えて、HTML、CSS、および Javascript コード を使用して、ポータルページに表示されるテキストをカスタマイズすることもできます。これらの変更は、カスタマイズしている特定のポータル ページにだけ適用されます。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

はじめる前に

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [ポータルのカスタマイズ(Portal Customization)] で [HTML を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML)] がデフォルトで有効になっていることを確認します。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、更新するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、[説明テキスト(Instructional Text)]、[任意のコンテンツ 1(Optional Content 1)]、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスで提供されるミニエディタを使用して、ソースコードを入力および表示します。

ステップ 4

[HTML ソースの切り替え(Toggle HTML Source)] ボタンをクリックします。

ステップ 5

ソースコードを 入力します。

たとえば、 テキストに下線を引くには、次のように入力します。 
<p style="text-decoration:underline;">Welcome to Cisco!</p>
たとえば、 HTML コードを使用してリンクを含めるには、次のように入力します。 
<a href="http://www.cisco.com">Cisco</a>
重要 

外部 URL を HTML コードで挿入する場合は、「http」または「https」を含む絶対 (全体的な)URL パスを入力することを確認します。

ステップ 6

[保存(Save)] をクリックします。

アドバタイズメントとしての イメージの追加

ポータルページの 特定の領域に表示されるイメージおよびアドバタイズメントを含めることができます。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

はじめる前に

[管理(Administration)] > [システム(System)] > [管理アクセス(Admin Access)] > [設定(Settings)] > [ポータルのカスタマイズ(Portal Customization)] で [HTML を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML)] が有効になっていることを確認します。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、更新するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、[説明テキスト(Instructional Text)]、[任意のコンテンツ 1(Optional Content 1)]、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスで提供されるミニエディタを使用して、ソースコードを入力および表示します。

ステップ 4

[HTML ソースの切り替え(Toggle HTML Source)] ボタンをクリックします。

ステップ 5

ソースコードを 入力します。

たとえば、 ホットスポット ゲスト ポータル ポストアクセス バナーに HTML コードを 使用して製品アドバタイズメントおよびそのイメージを含めるには、このコードを [ポストアクセスバナー(Post-Access Banner)] ページの [任意のコンテンツ 1(Optional Content 1)] テキストボックスに入力します。 
<p style="text-decoration:underline;">Optimized for 10/40/100 Campus Services!</p>
<img src="http://www.static-cisco.com/assets/prod/root/catalyst_6800.jpg" width="100%" />
 

外部 URL を HTML コードで挿入する場合は、「http」または「https」を含む絶対 (全体的な)URL パスを入力することを確認します。

図 4.アドバタイズメント のサンプルイメージ

アドバタイズメントのサンプル イメージ
ステップ 6

[保存(Save)] をクリックします。

カルーセルアドバタイジング の設定

カルーセルアドバタイジングは、 複数の製品イメージまたは説明テキストが表示され、 バナー内で循環して繰り返されるアドバタイズメントの形式です。ゲストポータルで カルーセルアドバタイジングを使用して、複数の関連製品や、 会社が提供するさまざまな製品を宣伝します。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

はじめる前に

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [ポータルのカスタマイズ(Portal Customization)] を選択し、[HTML と Javascript を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML and Javascript)] をオンにします。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、更新するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、[説明テキスト(Instructional Text)]、[任意のコンテンツ 1(Optional Content 1)]、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスで提供されるミニエディタを使用して、ソースコードを入力および表示します。

ステップ 4

[HTML ソースの切り替え(Toggle HTML Source)] ボタンをクリックします。

ステップ 5

ソースコードを 入力します。

たとえば、 ゲストポータルで製品イメージを使用してカルーセルアドバタイジングを 実装するには、[ポストアクセスバナー(Post-Access Banner)](ホットスポットポータルの場合)または [ポストログインバナー(Post Login Banner)](クレデンシャルを持つゲストポータルの場合)ページの [オプションの内容 1(Optional Content 1)] テキストボックスに 次の HTML および Javascript コードを 入力します。 

<script>
var currentIndex = 0;
setInterval(changeBanner, 5000);

function changeBanner(){
var bannersArray = ["<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq/
n21v1DrawerContainer.img.jpg/1379452035953.jpg' width='100%'/>", 
"<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq_0/
n21v1DrawerContainer.img.jpg/1400748629549.jpg' width='100%' />", 
"<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq_1/
n21v1DrawerContainer.img.jpg/1376556883237.jpg' width='100%'/>" 

];
 var div = document.getElementById("image-ads");
 if(div){
 currentIndex = (currentIndex<2) ? (currentIndex+1) : 0;
 div.innerHTML = bannersArray[currentIndex];
 }
}
</script>
<style>
.grey{
color: black;
background-color: lightgrey;
}
</style>
<div class="grey" id="image-ads">
<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout- overview/gd12v2/gd12v2-left/n21v1_cq/
n21v1DrawerContainer.img.jpg/1379452035953.jpg'/>
</div>
たとえば、 ゲストポータルで製品の説明テキストを使用してカルーセルアドバタイジングを実装 するには、[ポストアクセスバナー(Post-Access Banner)](ホットスポットポータルの場合)または [ポストログインバナー(Post Login Banner)](クレデンシャルを持つゲストポータルの場合)ページの [オプションの内容2(Optional Content 2)] テキストボックス に次の HTML および Javascript コードを 入力します。 

<script>
var currentIndex = 0;
setInterval(changeBanner, 2000);

function changeBanner(){
var bannersArray = ["Optimize branch services on a single platform while delivering an optimal 
application experience across branch and WAN infrastructure", "Transform your Network Edge to 
deliver high-performance, highly secure, and reliable services to unite campus, data center, 
and branch networks", "Differentiate your service portfolio and increase revenues by delivering 
end-to-end scalable solutions and subscriber-aware services"];

var colorsArray = ["grey", "blue", "green"];
 var div = document.getElementById("text-ads");
 if(div){
 currentIndex = (currentIndex<2) ? (currentIndex+1) : 0;
 div.innerHTML = bannersArray[currentIndex];
 div.className = colorsArray[currentIndex];
 }
}
</script>
<style>
.grey{
color: black;
background-color: lightgrey;
}
.blue{
color: black;
background-color: lightblue;
}
.green{
color: black;
background-color: lightgreen;
}
</style>
<div class="grey" id="text-ads">
Optimize branch services on a single platform while delivering an optimal application 
experience across branch and WAN infrastructure
</div>
 

外部 URL を HTML コードで挿入する場合は、「http」または「https」を含む絶対(全体的な)URL パスを入力する必要があります。

ステップ 6

[保存(Save)] をクリックします。

ゲストロケーションに 基づいたグリーティングのカスタマイズ

次の例に、 ゲストがクレデンシャルを持つゲストポータル(ホットスポットではない)に ログインした後に表示される正常なログインメッセージを、 ゲストタイプに設定されたロケーションに基づいてカスタマイズする方法を示します。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

手順

ステップ 1

次のポータルのいずれかに 移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、[認証成功(Authentication Success)] ページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、[オプションの内容 1(Optional Content 1)] テキストボックスで提供されるミニエディタを使用して、HTML ソースコードを入力および表示します。

ステップ 4

[HTML ソースの切り替え(Toggle HTML Source)] ボタンをクリックします。

ステップ 5

ソースコードを 入力します。

たとえば、 ロケーションベースのグリーティングを含めるには、[オプションコンテンツ1(Optional Content 1)] に次のコードを入力します。 
<style>
 .custom-greeting {
 display: none;
 }
 .guest-location-san-jose .custom-san-jose-greeting {
 display: block;
 }
 .guest-location-boston .custom-boston-greeting {
 display: block;
 }
</style>
<div class="custom-greeting custom-san-jose-greeting">
 Welcome to The Golden State!
</div>
<div class="custom-greeting custom-boston-greeting">
 Welcome to The Bay State!
</div>
正常なログイン後に、 特定のロケーションに応じて異なるメッセージがゲストに 表示されます。

ユーザデバイスタイプに 基づいたグリーティングのカスタマイズ

ユーザが Cisco ISE エンド ユーザ Web ポータル(ゲスト、スポンサーおよびデバイス)のいずれかにログインした後に、 ユーザに送信するグリーティングを、クライアントデバイスタイプ(モバイルまたはデスクトップ) に基づいてカスタマイズできます。

[全画面表示の切り替え(Toggle Full Screen)] ボタンを使用して、作業しているテキスト ボックスのサイズを拡大および縮小します。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[ページ(Pages)] で、更新するページを選択します。

ステップ 3

[ページのカスタマイズ(Page Customizations)] で、[オプションの内容 1(Optional Content 1)] テキストボックスで提供されるミニエディタを使用して、HTML ソースコードを入力および表示します。

ステップ 4

[HTML ソースの切り替え(Toggle HTML Source)] ボタンをクリックします。

ステップ 5

ソースコードを 入力します。

たとえば、 AUP ページにデバイスタイプベースのメッセージを含めるには、[AUP] ページの [オプションの内容 1(Optional Content 1)] テキストボックスに次のコードを入力します。 
<style>
 .custom-greeting {
 display: none;
 }
 .cisco-ise-desktop .custom-desktop-greeting {
 display: block;
 }
 .cisco-ise-mobile .custom-mobile-greeting {
 display: block;
 }
</style>
<div class="custom-greeting custom-mobile-greeting">
 Try our New Dark French Roast! Perfect on the Go!
</div>
<div class="custom-greeting custom-desktop-greeting">
 We brough back our Triple Chocolate Muffin!
 Grab a seat and dig in!
</div>
ユーザが ネットワークまたはポータルへのアクセスを取得するために使用したデバイスに応じて、 [AUP] ページに異なるグリーティングが表示されます。

ポータルページの レイアウトの変更

ページの全体的な レイアウトを操作できます。たとえば、追加情報や情報へのリンクを提供する サイドバーを AUP ページに追加できます。

手順

ステップ 1

作成し、 ポータルに適用するカスタム theme.css ファイルの末尾に次の CSS コードを 追加します。これにより、[オプションの内容 1(Optional Content 1)] テキストボックスが次のように表示されるように AUP ページのレイアウトが変更されます。

  • デスクトップ デバイスモードのサイドバー

  • モバイル デバイスモードのサイドバー 

#page-aup .cisco-ise-optional-content-1 {
 margin-bottom: 5px;
}
@media all and ( min-width: 60em ) {
 #page-aup .cisco-ise-optional-content-1 {
 float: left;
 margin-right: 5px;
 width: 150px;
 }
 #page-aup .cisco-ise-main-content {
 float: left;
 width: 800px;
 }
 #page-aup .cisco-ise-main-content h1,
 #page-aup .cisco-ise-main-content p {
 margin-right: auto;
 margin-left: -200px;
 }
}

次に、 ポータルの AUP ページの [オプションの内容1(Optional Content 1)] テキストボックスで HTML コードを使用して、 リンクを追加できます。

ステップ 2

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portal & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portal & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 3

[ページ(Pages)] で、サイドバーを追加するページを 選択します。

ステップ 4

[ページのカスタマイズ(Page Customizations)] で、[オプションの内容 1(Optional Content 1)] テキストボックスで提供されるミニエディタを使用して、ソースコードを入力および表示します。

ステップ 5

[HTML ソースの切り替え(Toggle HTML Source)] ボタンをクリックします。

ステップ 6

ソースコードを 入力します。

たとえば、 AUP ページにサイドバーを含めるには、AUP ページの [オプションの内容 1(Optional Content 1)] テキストボックスにこのコードを入力します。 
<ul data-role="listview">
 <li>Rent a Car</li>
 <li>Top 10 Hotels</li>
 <li>Free Massage</li>
 <li>Zumba Classes</li>
</ul>
図 5.サンプル AUP ページ のサイドバーのビュー(デスクトップデバイス)

サンプル AUP ページのサイド バーのビュー(デスクトップ デバイス)

図 6.サンプル AUP ページ のサイドバーのビュー(モバイルデバイス)

サンプル AUP ページのサイド バーのビュー(モバイル デバイス)
ステップ 7

[保存(Save)] をクリックします。

次の作業

[オプションの内容(Optional Content)] テキストボックスに別のテキストまたは HTML コードを入力して、他のページをカスタマイズできます。

カスタムポータルテーマ CSS ファイルのインポート

作成した カスタム theme.css ファイルをアップロードし、 エンドユーザポータルに適用できます。これらの変更は、カスタマイズしているポータル 全体に適用されます。

カスタム theme.css ファイルを編集し、Cisco ISE に再度インポートする場合は、 最初に使用したテーマ名を使用するように注意してください。同 じ theme.css ファイルに 2 つの異なるテーマ名を使用することはできません。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [設定(Configure)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[高度なカスタマイズ(Advanced Customization)] ドロップダウンリストから [テーマのエクスポート/インポート(Export/Import Themes)] を選択します。

ステップ 3

[カスタムテーマ(Custom Theming)] ダイアログボックスで、新しい theme.css ファイルを検索するには、[参照(Browse)] をクリックします。

ステップ 4

新しいファイルの [テーマ名(Theme Name)] を入力します。

ステップ 5

[保存(Save)] をクリックします。

次の作業

カスタマイズする ポータルにこのカスタムポータルテーマを適用できます。

  1. ポータル全体に 適用する更新されたテーマを [ポータルテーマ(Portal Themes)] ドロップダウンリストから選択します。

  2. [保存(Save)] をクリックします。

カスタムポータル テーマの削除

Cisco ISE にインポートした カスタムポータルテーマは、いずれかのポータルで使用されていない 場合に削除できます。Cisco ISE によって提供されているデフォルトのテーマを 削除することはできません。

はじめる前に

他のポータルで 使用されているポータルテーマを削除することはできません。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] を選択します。
ステップ 2

[高度なカスタマイズ(Advanced Customization)] ドロップダウンリストから [テーマの削除(Delete Themes)] を選択します。

ステップ 3

[テーマ名(Theme Name)] ドロップダウンリストから削除するポータルテーマを選択します。

ステップ 4

[削除(Delete)] をクリックし、[保存(Save)] をクリックします。

カスタマイズ の参照

カスタマイズが ポータルユーザ(ゲスト、スポンサー、従業員)にどのように表示されるかを 確認できます。

手順

  • [ポータルテストURL(Portal test URL)] をクリックして、変更を表示します。


    テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。複数の PSN がある場合、ISE は最初のアクティブ PSN を選択します。

  • 変更がさまざまなデバイスでどのように表示されるかを動的に確認するには、[プレビュー(Preview)] を クリックします。

    • モバイルデバイス: [プレビュー(Preview)] で変更を確認します。

    • デスクトップ デバイス:[プレビュー(Preview)] をクリックし、[デスクトッププレビュー(Desktop Preview)] をクリックします。新しいタブが開いて、 すべての変更がこのタブに表示されます。

    変更が 表示されない場合は、[プレビューのリフレッシュ(Refresh Preview)] をクリックします。表示されるポータルは、変更を確認するためだけのものです。 ボタンをクリックしたり、データを入力したりすることはできません。

ポータル言語のカスタマイズ

ゲスト、スポンサー、デバイスおよびクライアント プロビジョニングの各ポータルは、サポートされているすべての言語およびロケールにローカライズされています。ローカライズには、 テキストラベル、メッセージ、フィールド名およびボタンラベルが含まれます。クライアントブラウザが Cisco ISE テンプレートにマッピングされていない ロケールを要求した場合、ポータルは英語のテンプレートを使用して内容を表示します。

管理者ポータルを使用して、各言語のゲスト、スポンサー、デバイスの各ポータルで使用されるフィールドを個別に変更できます。 また、言語を追加することも可能です。現在、クライアント プロビジョニング ポータルについては、これらのフィールドはカスタマイズできません。

デフォルトでは、各タイプのポータルでは 15 言語がサポートされています。[ポータルページのカスタマイズ(Portal Page Customization)] ページで、 ポータルで使用する言語を選択し、オプションで選択した言語でページのコンテンツを更新します。ある言語に合わせてページのフォントとコンテンツを変更しても、 他の言語へこの変更は反映されません。[ポータルページのカスタマイズ(Portal Page Customization)] 画面で行った変更は、 次回に言語ファイルをエクスポートするときに組み込まれます。

サポート対象の言語は次のとおりです。

  • 中国語(簡体字)

  • 中国語(繁体字)

  • チェコ語

  • Dutch

  • 英語

  • フランス語

  • ドイツ語

  • ハンガリー語

  • イタリア語

  • 日本語

  • Korean

  • ポーランド語

  • ポルトガル語

  • ロシア語

  • スペイン語

NAC および MAC エージェントのインストーラおよび WebAgent ページはローカライズされていません。

ポータルで使用する言語の編集

  1. 編集するポータルを開きます。

  2. [ポータルページのカスタマイズ(Portal Page Customization] タブで、ページの最上部近くにある [表示(view in)] ドロップダウンから、編集する言語を選択します。

  3. 必要に応じてコンテンツ、ヘッダー、フォントを変更します。

  4. ポータル設定を保存し、更新する次の言語でこのフローを繰り返します。

言語ファイルを編集するには

各 [ポータル ページのカスタマイズ(Portal Page Customization)] ページでは言語ファイルも提供されます。言語ファイルとは、属性ファイルが含まれている ZIP です。 これらの属性ファイルは、ポータルフローの一部であるテキストやヘッダーのカスタマイズには使用できますが、[ポータルページのカスタマイズ(Portal Page Customization)] ページのカスタマイズ には使用できません。

言語ファイルには、特定のブラウザロケール設定(例:フランス語の場合は fr、fr-fr、fr-ca) へのマッピングと、その言語でのポータル全体のすべての文字列設定が含まれています。1 つの言語用のブラウザロケール設定を変更した場合、 変更内容は他のすべてのエンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータル の French.properties ブラウザロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、この変更内容がデバイスポータルにも 適用されます。

zip 形式の言語ファイルをエクスポートし、新規言語の追加や不要な既存言語の削除などを行って更新することが できます。

言語ファイルの更新手順については、次を参照してください。

言語ファイルの エクスポート

各ポータルタイプに使用できる言語ファイルをエクスポートして、そのファイルで指定された既存の値を編集およびカスタマイズし、 言語を追加または削除できます。


言語プロパティ ファイル内の一部のディクショナリ キーだけが値(テキスト)で HTML をサポートしています。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [編集(Edit)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [設定(Configure)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals] > [編集(Edit)] を選択します
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル)> [編集(Edit)] を選択します
ステップ 2

[言語ファイル(Language File)] をクリックし、ドロップダウンリストから [エクスポート(Export)] を選択します。

ステップ 3

デスクトップに zip 形式 の言語ファイルを保存します。例:Hotspot.zip、Self-Registered.zip など。

言語ファイルでの 言語の追加または削除

ポータルタイプに 使用したい言語が言語ファイルにない場合は、新しい言語プロパティファイルを作成し、 zip 形式の言語ファイルに追加できます。 不要な言語がある場合、その言語プロパティファイルを 削除できます。

はじめる前に

言語プロパティ ファイルを追加または削除するには、各ポータル タイプで使用可能な zip 形式の言語ファイルをエクスポートします。

手順

ステップ 1

UTF-8 を 表示するエディタ(Notepad ++ など)を使用して、言語を追加または削除する ポータルタイプ用の定義済み言語ファイルを開きます。

複数のポータル タイプの言語を追加または削除するには、該当するすべてのポータル プロパティ ファイルを使用します。

ステップ 2

新しい言語を追加するには、 既存の言語プロパティファイルを他のファイルと同じ命名規則を使用する新しい言語 プロパティファイルとして zip 形式の言語ファイル に保存します。たとえば、新しい日本語の言語プロパティファイルを作成するには、 ファイルを Japanese.properties(LanguageName.properties)として保存します。

ステップ 3

新しい言語 プロパティファイルの最初の行にブラウザロケール値を指定して、 ブラウザロケールに新しい言語を関連付けます。たとえば、LocaleKeys= ja,ja-jp(LocaleKeys=browser locale value)を Japanese.properties ファイルの最初の行に入力する必要があります。

ステップ 4

新しい言語 プロパティファイルでディクショナリキーのすべての値(テキスト)を更新します。

ディクショナリキーは 変更できません。キーの値だけを変更できます。

 

一部のディクショナリキーだけが、 値(テキスト)に HTML をサポートしています。

次の作業

  1. すべての プロパティファイル(新規および既存)を zip 形式で圧縮し、新しい zip 形式の言語ファイルを作成します。フォルダや ディレクトリは含めないでください。


    Mac を使用する場合は、ZIP ファイルを抽出すると、DS ストアが生成されます。編集後に言語ファイルを圧縮する場合は、 DS ストアに ZIP を含めないでください。DS ストアの抽出方法については、https://superuser.com/questions/198569/compressing-folders-on-a-mac-without-the-ds-store を参照してください。

  2. zip 形式の言語ファイル には新しい名前または元の名前を使用します。

  3. エクスポート 元の特定のポータルに zip 形式の言語ファイルをインポートします。

更新された言語 ファイルのインポート

言語プロパティファイルを 追加または削除したり、既存のプロパティファイルのテキストを更新してカスタマイズした 編集済み言語ファイルをインポートできます。


Word ファイルからカスタマイズした内容をコピーして貼り付けることはできません。代わりに [ファイル(File)] > [名前を付けて保存(Save As)] を選択し、Word ファイルを HTML 形式で保存します。その後、この HTML ファイルからカスタマイズした内容をコピーして貼り付けることができます。

手順

ステップ 1

次のポータルに移動します。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] を選択します。
  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] を選択します。
  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] を選択します
ステップ 2

[言語ファイル(Language File)] をクリックし、ドロップダウンリストから [インポート(Import)] を選択します。

ステップ 3

デスクトップを 参照して新しい zip 形式の言語ファイルを見つけます。

ステップ 4

エクスポートした ポータルタイプに再度インポートします。

次の作業

変更した テキストまたは追加した新しい言語を表示するには、 [表示(View In)] ドロップダウンリストから特定の言語を選択します。

ゲスト通知、承認、および エラーメッセージのカスタマイズ

各ポータルで内で、 ゲストが電子メール、SMS テキストメッセージ、および印刷物で通知を受け取る方法を カスタマイズできます。これらの通知を使用して、次の場合にログインクレデンシャルを電子メール送信、テキスト送信、 または印刷します。

  • ゲストがアカウント登録ゲストポータルを使用し、 自分自身の登録に成功した場合。

  • スポンサーがゲストアカウントを作成し、ゲストに詳細を提供する 場合。スポンサーグループ作成時にスポンサーによる SMS 通知の 使用を許可するかどうかを指定できます。これらの機能を利用できる場合は、 常に電子メール通知および印刷通知を使用できます。

ネットワークにアクセスしようとする アカウント登録ゲストを承認するよう要求するスポンサー宛電子メール通知を カスタマイズすることもできます。また、ゲストとスポンサーに表示されるデフォルトの エラーメッセージをカスタマイズできます。

電子メールでの 通知のカスタマイズ

電子メールで ゲストに送信される情報をカスタマイズできます。

はじめる前に

  • 電子メールでの通知を有効にするよう に SMTP サーバを設定します。[管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMTP サーバ(SMTP Server)] を選択します。

  • ゲストへの電子メールでの通知の サポートを設定します。[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [ゲスト電子メールの設定(Guest Email Settings)] を選択します。[ゲストへの電子メール通知を有効にする(Enable email notifications to guests)] をオンにします。

  • [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [ポータルのカスタマイズ(Portal Customization)] で [HTML を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML)] がデフォルトで有効になっていることを確認します。

手順

ステップ 1

自己登録スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ゲストへの通知(Notify Guests)] > [電子メール通知(Email Notification)] を選択します。

ステップ 2

[グローバルページのカスタマイズ(Global Page Customizations)] で指定されたデフォルトの [ロゴ(電子メール)(Logo (Email))] を変更できます。

ステップ 3

[件名(Subject)] および [電子メール本文(Email body)] を指定します。電子メールメッセージに含まれる、ゲストアカウント 情報を指定するには、事前定義済みの変数を使用します。テキストをカスタマイズするには、 ミニエディタと HTML タグを使用します。

ステップ 4

[設定(Settings)] では、次のことが可能です。

  • 異なる電子メールで [ユーザ名とパスワードを個別に送信する(Send username and password separately)]。 このオプションを選択すると、 ユーザ名電子メール通知と パスワード電子メール通知をカスタマイズするための 2 つのタブが [ページのカスタマイズ(Page Customizations)] に表示されます。
  • 電子メールアドレスへの [テスト電子メールの送信(Send Test Email)]。すべてのデバイスでカスタマイズをプレビューし、 適切に表示されることを確認します。
ステップ 5

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

SMS テキスト メッセージ通知のカスタマイズ

SMS テキストメッセージで ゲストに送信される情報をカスタマイズできます。

はじめる前に

  • SMS ゲートウェイに電子メールを送信して、 SMS テキストメッセージを配信するために使用される SMTP サーバを 設定します。[管理(Administration)] > [システム(System)] > [設定(Settings)] > [SMTP サーバ(SMTP Server)] を選択します。

  • SMS テキスト通知をサポートするように スポンサーグループを設定します。

  • サードパーティ SMS ゲートウェイで アカウントを設定します。[管理(Administration)] > [システム(Systems)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] を選択します。Cisco ISE では、テキストメッセージが電子メール としてゲートウェイに送信され、SMS プロバイダー経由で指定したユーザにメッセージが 転送されます。

  • [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [ポータルのカスタマイズ(Portal Customization)] で [HTML を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML)] がデフォルトで有効になっていることを確認します。

手順

ステップ 1

アカウント登録ゲストポータルおよびスポンサーポータルの場合は、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータルまたはスポンサーポータル(Guest or Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [SMS 受信または SMS 通知(SMS Receipt or SMS Notification)] を選択します。

ステップ 2

[メッセージテキスト(Message Text)] をカスタマイズするには、ミニエディタと HTML タグを使用します。SMS テキストメッセージに含まれる、 ゲストアカウント情報を指定するには、事前定義済みの変数を使用します。

ステップ 3

[設定(Settings)] では、次のことが可能です。

  • 異なるテキストメッセージで [ユーザ名とパスワードを個別に送信する(Send username and password separately)]。 このオプションを選択すると、 ユーザ名メッセージ通知と パスワードメッセージ通知をカスタマイズするための 2 つのタブが [ページのカスタマイズ(Page Customizations)] に表示されます。
  • 携帯電話への [テストメッセージの送信(Send Test Message)] 。カスタマイズをプレビューし、 情報が適切に表示されることを確認します。サポートされる電話番号の形式 には、+1 ### ### ####、###-###-####、(###) ### ####、##########、1########## などがあります。
ステップ 4

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

印刷通知のカスタマイズ

ゲスト用に印刷される情報を カスタマイズできます。


各ポータル内では、 印刷通知ロゴは、電子メール通知ロゴの設定から 継承されます。

はじめる前に

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [ポータルのカスタマイズ(Portal Customization)] で [HTML を使用したポータルのカスタマイズの有効化(Enable portal customization with HTML)] がデフォルトで有効になっていることを確認します。

手順

ステップ 1

アカウント登録ゲストポータルおよびスポンサーポータルの場合は、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータルまたはスポンサーポータル(Guest or Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [印刷受け取りまたは印刷通知(Print Receipt or Print Notification)] を選択します。

ステップ 2

[印刷説明テキスト(Print Introduction Text)] を指定します。電子メールメッセージに含まれる、ゲストアカウント 情報を指定するには、事前定義済みの変数を使用します。テキストをカスタマイズするには、 ミニエディタと HTML タグを使用します。

ステップ 3

サムネールで、 または [印刷プレビュー(Print Preview)] をクリックして、カスタマイズをプレビューします。サムネールでは、HTML のカスタマイズを表示できません。

[印刷プレビュー(Print Preview)] オプションを選択した場合、アカウントの詳細を印刷できるウィンドウが表示され、 そこで適切に表示されることを確認します。
ステップ 4

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

承認要求の電子メールでの通知のカスタマイズ

アカウント登録ゲストのアカウントが作成され、 そのゲストがログインクレデンシャルを取得する前に、 アカウント登録ゲストを承認するようスポンサーに要求できます。電子メールでスポンサーに送信される、 承認を要求する情報をカスタマイズできます。この通知は、 ネットワークアクセスを許可する前にアカウント登録ゲストポータルを使用するアカウント登録ゲストを 承認する必要があると指定した場合にのみ表示 されます。

はじめる前に

  • 電子メールでの通知を有効にするよう に SMTP サーバを設定します。[管理(Administration)] > [システム(Systems)] > [設定(Settings)] > [SMTP サーバ(SMTP Server)] を選択します。

  • ゲストへの電子メールでの通知の サポートを設定します。[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [設定(Settings)] > [ゲスト電子メールの設定(Guest Email Settings)] を選択します。[ゲストへの電子メール通知を有効にする(Enable email notifications to guests)] をオンにします。

  • スポンサーに 自己登録アカウントの要求を承認させるには、[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブの [アカウント登録ページの設定(Self-Registration Page Settings)] で、[アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] を オンにします。 それによって、[ポータルページのカスタマイズ(Portal Page Customization)] の [通知(Notifications)] の下の [承認要求の電子メール(Approval Request Email)] タブが有効になり、スポンサーに送られる電子メールをカスタマイズできます。

手順

ステップ 1

[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [設定(Configure)] > [アカウント登録ゲストポータル(Self-Registered Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [承認要求電子メール(Approval Request Email)] を選択します。ここでは次を実行できます。

  1. [グローバル ページのカスタマイズ(Global Page Customizations)] で指定されたデフォルトの [ロゴ(Logo)] を変更します。

  2. [件名(Subject)] および [電子メール本文(Email body)] を指定します。電子メール メッセージに含まれる、ゲスト アカウント情報を指定するには、事前定義済みの変数を使用します。テキストをカスタマイズするには、 ミニエディタと HTML タグを使用します。たとえば、リクエスト承認の電子メールにスポンサーポータルへのリンクを含めるには、[リンクを作成(Create a Link)] ボタンをクリックして、 スポンサーポータルに FQDN を追加します。

  3. [テスト電子メールの送信(Send Test Email)] を使用してすべてのデバイスでカスタマイズをプレビューし、適切に表示されることを確認します。

  4. 忘れずに [保存(Save)] をクリックしてから、[閉じる(Close)] をクリックしてください。

ステップ 2

スポンサーが送信する承認電子メールの内容をカスタマイズします。[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] の順に選択し、[ポータルページのカスタマイズ(Portal Page Customization)] を選択してから、[メール通知(Email Notification)] タブを選択します。

エラーメッセージ の編集

ゲスト、 スポンサー、および従業員に表示される [失敗(Failure)] ページに表示されるエラーメッセージを完全に カスタマイズできます。[失敗(Failure)] ページは、ブラックリストポータルを除く すべてのエンドユーザ Web ポータルで利用可能です。

手順

ステップ 1

次のいずれかを 実行します。

  • ゲストポータルの場合は、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [メッセージ(Messages)] > [エラーメッセージ(Error Messages)] の順に選択します。
  • スポンサーポータルの場合は、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customizations)] > [メッセージ(Messages)] > [エラーメッセージ(Error Messages)] の順に選択します。
  • デバイスポータルの場合は、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customizations)] > [メッセージ(Messages)] > [エラーメッセージ(Error Messages)] を選択します。
ステップ 2

[表示言語(View In)] ドロップダウンから、メッセージのカスタマイズ時にテキストを 表示する言語を選択します。

このドロップダウンリスト には、特定のポータルに関連付けられた言語ファイルのすべての言語が 含まれています。ポータルページのカスタマイズ時に行った変更でサポート対象 の言語プロパティファイルを更新します。
ステップ 3

エラーメッセージテキスト を更新します。特定のエラーメッセージを検索するには、 エラーメッセージに関連付けられた AUP を検索する aup などのキーワードを入力します。

ステップ 4

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

ポータルページのタイトル 、コンテンツおよびラベルの文字数制限

[ポータルページのカスタマイズ(Portal Page Customization)] タブのタイトル、テキストボックス、手順、フィールド、ボタンラベル、およびその他の視覚的な要素に入力できる文字数には上限および下限があります。

ポータルページのタイトル 、コンテンツおよびラベルの文字数制限

ポータル ページの UI 要素へのナビゲーション パスは、次のとおりです。

  • ゲストポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。

  • スポンサーポータルの場合、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。

  • デバイスポータルの場合、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] >(任意のポータル) > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] を選択します。

タイトル、テキストボックス、手順、フィールドとボタンのラベル、 およびカスタマイズしているポータルページのその他のビジュアル要素のコンテンツを 入力する際に、この情報を使用します。これらの更新は、 カスタマイズしている特定のページにのみ適用されます。

シングルバイト文字とマルチバイト文字のどちらを入力するかにかかわらず、 識別される最大文字数のみをフィールドに入力できます。マルチバイト 文字は文字数制限には影響しません。

フィールドのカテゴリ フィールド フィールドラベル:最小 文字数 フィールドラベル:最大 文字数 フィールドの入力値:最小文字数 フィールドの入力値:最大 文字数

共通の ページ要素

バナー タイトル

256

フッター 要素

[0]

2000

ブラウザ ページのタイトル

[0]

256

説明テキスト

[0]

2000

コンテンツ タイトル

[0]

256

オプション コンテンツ 1

[0]

2000

オプション コンテンツ 2

[0]

2000

ボタン ラベル

[0]

64

チェック ボックスラベル

[0]

64

タブ ラベル

[0]

64

リンク ラベル

[0]

256

AUP

AUP テキスト

[0]

50,000

メッセージ テキスト

メッセージ テキスト(ページに表示)

[0]

2000

メッセージ テキスト(ポップアップ ウィンドウに表示)

[0]

256

フィールド ラベル

すべての フィールドラベル

[0]

256

フィールド 入力(一般)

一般的な フィールド入力(次の特別な場合を参照)

[0]

256

フィールド 入力(特別な場合)

[アクセスコード(Access Code)] フィールド

1

20

[登録コード(Registration Code)] フィールド

1

20

[ユーザ名(Username)] フィールド

1

64

[パスワード(Password)] フィールド

1

256

[電話番号(Phone Number)] フィールド

[0]

64

[デバイス ID(Device ID)] フィールド

12

17

ポータルの カスタマイズ

エンドユーザ Web ポータル およびゲストエクスペリエンスの外観をカスタマイズできます。カスケーディング スタイル シート(CSS)言語 と Javascript の使用経験がある場合、ポータルページのレイアウトを変更 することで、jQuery Mobile ThemeRoller アプリケーションを使用してポータル のテーマをカスタマイズできます。

必要なポータルページから CSS テーマまたは言語プロパティをエクスポートすることで、 すべてのフィールドを表示できます。詳細については、「 ポータルの デフォルトのテーマ CSS ファイルのエクスポート」を参照してください。

エンドユーザポータルの ページレイアウトの CSS クラスと説明

Cisco ISE エンドユーザ Web ポータルのページレイアウトを定義および変更するには、次の CSS クラスを 使用します。

CSS クラス名 説明

cisco-ise-banner

ロゴ、 バナーイメージ、およびバナーテキストが含まれます。

スポンサーポータル およびデバイスポータルでは、このクラスにコンテキストメニューを アクティブ化できるボタンも含まれます。たとえば、この メニューで [ログアウト(Log Out)]、[パスワードの変更(Change Password)] などのオプションが含まれるポップアップウィンドウを表示できます。

cisco-ise-body

バナーの 一部ではないすべてのページの要素が含まれます。

cisco-ise-optional-content-1

デフォルト では空です。テキスト、リンク、および HTML コードと JavaScript コードを追加できます。

cisco-ise-main-content

説明テキスト、 操作ボタン、および cisco-ise-footer コンテナなど、ポータル ページのメインコンテンツが含まれます。

cisco-ise-optional-content-2

デフォルト では空です。テキスト、リンク、および HTML コードと JavaScript コードを追加できます。

cisco-ise-footer

フッターの 一部です。 サポートへの問い合わせやオンライン ヘルプなどのリンクのプレースホルダーです。

cisco-ise-footer-text

デフォルト では空です。著作権表示または免責事項など、ポータルページの 下部に表示するもののプレースホルダーです。

図 7. エンドユーザポータルのページレイアウトで使用される CSS クラス

エンドユーザ ポータルのページ レイアウトで使用される CSS クラス

ポータル言語ファイルの HTML サポート

各ポータルの圧縮済み言語 ファイルには、そのポータルのデフォルト言語プロパティファイルが 含まれます。各プロパティファイルには、ポータルに表示される内容を定義する ディクショナリキーが含まれます。

[説明テキスト(Instructional Text)]、[コンテンツ(Content)] 、[オプションコンテンツ 1(Optional Content 1)] 、[オプションコンテンツ 2(Optional Content 2)] の各テキストボックスの内容など、ポータルに表示されるテキストをカスタマイズすることができます。これらのテキストボックスには、 デフォルトコンテンツがあるものと空白のものがあります。

これらのテキストボックスに関連付けられた ディクショナリキーの一部でのみ、その値(テキスト)で HTML がサポート されます。

ブラックリストポータルの 言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Text)] 、[コンテンツ(Content)] 、[任意のコンテンツ 1(Optional Content 1)] 、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [ブラックリストポータル(Blacklist Portal)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] です。テキストボックス のミニエディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、 コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、ファイル内のディクショナリ キーの完全なリストではありません。

  • key.blacklist.ui_reject_message

個人所有デバイスの 持ち込みポータルの言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Text)] 、[コンテンツ(Content)] 、[任意のコンテンツ 1(Optional Content 1)] 、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [BYOD ポータル(BYOD Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] です。テキストボックスのミニエディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、ファイル内のディクショナリ キーの完全なリストではありません。

  • key.guest.ui_contact_instruction_message

  • key.guest.ui_byod_welcome_optional_content_1

  • key.guest.ui_byod_welcome_optional_content_2

  • key.guest.ui_byod_reg_limit_message

  • key.guest.ui_byod_reg_content_message

  • key.guest.ui_byod_success_manual_reconnect_message

  • key.guest.ui_byod_install_winmac_instruction_message

  • key.guest.ui_byod_install_optional_content_1

  • key.guest.ui_byod_reg_optional_content_2

  • key.guest.ui_byod_install_optional_content_2

  • key.guest.ui_byod_reg_optional_content_1

  • key.guest.ui_byod_reg_instruction_message

  • key.guest.ui_byod_welcome_aup_text

  • key.guest.ui_contact_optional_content_2

  • key.guest.ui_contact_optional_content_1

  • key.guest.ui_byod_install_ios_instruction_message

  • key.guest.ui_byod_welcome_instruction_message

  • key.guest.ui_error_optional_content_2

  • key.guest.ui_error_optional_content_1

  • key.guest.ui_byod_welcome_renew_cert_message

  • key.guest.ui_byod_install_android_instruction_message

  • key.guest.ui_byod_install_instruction_message

  • key.guest.ui_byod_welcome_config_device_message

  • key.guest.ui_byod_success_message

  • key.guest.ui_byod_success_unsupported_device_message

  • key.guest.ui_byod_success_optional_content_1

  • key.guest.ui_byod_success_optional_content_2

  • key.guest.ui_error_instruction_message

証明書プロビジョニングポータルの 言語ファイルの HTML サポート

このポータル の [説明テキスト(Instructional Text)] 、[コンテンツ(Content)] 、[任意のコンテンツ 1(Optional Content 1)] 、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニングポータル(Certificate Provisioning Portal)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] です。テキストボックスのミニエディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コード を追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、 ファイル内のディクショナリキーの完全なリストではありません。

  • key.manualcertprov.ui_login_instruction_message

  • key.manualcertprov.ui_aup_instruction_message

  • key.manualcertprov.ui_changepwd_instruction_message

  • key.manualcertprov.ui_post_access_instruction_message

  • key.manualcertprov.ui_status_csv_invalid_instruction_message

  • key.manualcertprov.ui_login_optional_content_1

  • key.manualcertprov.ui_login_optional_content_2

  • key.manualcertprov.ui_aup_optional_content_1

  • key.manualcertprov.ui_aup_optional_content_2

  • key.manualcertprov.ui_changepwd_optional_content_1

  • key.manualcertprov.ui_changepwd_optional_content_2

  • key.manualcertprov.ui_post_access_optional_content_1

  • key.manualcertprov.ui_post_access_optional_content_2

  • key.manualcertprov.ui_landing_instruction_message

  • key.manualcertprov.ui_status_page_single_generated_content

  • key.manualcertprov.ui_status_generated_content

クライアント プロビジョニング ポータルの言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Text)]、[コンテンツ(Content)]、[任意のコンテンツ 1(Optional Content 1)]、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [クライアント プロビジョニング ポータル(Client Provisioning Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] です。 テキストボックスのミニエディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、ファイル内のディクショナリ キーの完全なリストではありません。

  • key.guest.ui_client_provision_agent_installed_instructions_without_java_message

  • key.guest.ui_contact_instruction_message

  • key.guest.ui_success_message

  • key.guest.ui_client_provision_unable_to_detect_message

  • key.guest.ui_client_provision_instruction_message

  • key.guest.ui_client_provision_agent_installation_message

  • key.guest.ui_client_provision_posture_agent_check_message

  • key.guest.ui_vlan_instruction_message

  • key.guest.ui_client_provision_agent_installation_instructions_with_no_java_message

  • key.guest.ui_success_instruction_message

  • key.guest.ui_vlan_optional_content_1

  • key.guest.ui_vlan_optional_content_2

  • key.guest.ui_contact_optional_content_2

  • key.guest.ui_contact_optional_content_1

  • key.guest.ui_contact_optional_content_1

  • key.guest.ui_client_provision_posture_check_compliant_message

  • key.guest.ui_client_provision_optional_content_2

  • key.guest.ui_client_provision_optional_content_1

  • key.guest.ui_error_optional_content_2

  • key.guest.ui_error_optional_content_1

  • key.guest.ui_client_provision_posture_check_non_compliant_message

  • key.guest.ui_vlan_install_message

  • key.guest.ui_success_optional_content_1

  • key.guest.ui_success_optional_content_2

  • key.guest.ui_client_provision_posture_agent_scan_message

クレデンシャル ゲスト ポータルの 言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Test)]、[コンテンツ(Content)]、[オプションコンテンツ 1(Optional Content 1)]、および [オプションコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ( Portal Page Customization)] > [ページ((Pages)] です。テキスト ボックスのミニ エディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、ファイル内のディクショナリ キーの完全なリストではありません。

  • key.guest.ui_contact_instruction_message

  • key.guest.ui_login_optional_content_1

  • key.guest.ui_login_optional_content_2

  • key.guest.ui_client_provision_unable_to_detect_message

  • key.guest.ui_client_provision_instruction_message

  • key.guest.ui_device_reg_optional_content_2

  • key.guest.ui_device_reg_optional_content_1

  • key.guest.ui_byod_success_manual_reconnect_message

  • key.guest.ui_byod_reg_optional_content_2

  • key.guest.ui_byod_reg_optional_content_1

  • key.guest.ui_client_provision_agent_installation_instructions_with_no_java_message

  • key.guest.ui_success_instruction_message

  • key.guest.ui_max_devices_instruction_message

  • key.guest.ui_max_devices_optional_content_1

  • key.guest.ui_self_reg_results_instruction_message

  • key.guest.notification_credentials_email_body

  • key.guest.ui_max_devices_optional_content_2

  • key.guest.ui_contact_optional_content_2

  • key.guest.ui_contact_optional_content_1

  • key.guest.ui_byod_install_ios_instruction_message

  • key.guest.ui_changepwd_instruction_message

  • key.guest.ui_client_provision_posture_check_compliant_message

  • key.guest.ui_aup_instruction_message

  • key.guest.ui_changepwd_optional_content_2

  • key.guest.ui_changepwd_optional_content_1

  • key.guest.ui_self_reg_results_optional_content_2

  • key.guest.ui_self_reg_results_optional_content_1

  • key.guest.ui_device_reg_instruction_message

  • key.guest.ui_byod_welcome_renew_cert_message

  • key.guest.ui_vlan_execute_message

  • key.guest.ui_byod_install_android_instruction_message

  • key.guest.ui_client_provision_posture_check_non_compliant_message

  • key.guest.ui_byod_install_instruction_message

  • key.guest.ui_device_reg_max_reached_message

  • key.guest.ui_byod_success_message

  • key.guest.ui_byod_success_unsupported_device_message

  • key.guest.ui_byod_success_optional_content_1

  • key.guest.ui_byod_success_optional_content_2

  • key.guest.ui_aup_employee_text

  • key.guest.ui_client_provision_agent_installed_instructions_without_java_message

  • key.guest.ui_success_message

  • key.guest.ui_byod_welcome_optional_content_1

  • key.guest.ui_byod_welcome_optional_content_2

  • key.guest.ui_self_reg_optional_content_2

  • key.guest.ui_self_reg_optional_content_1

  • key.guest.ui_byod_reg_limit_message

  • key.guest.notification_credentials_print_body

  • key.guest.ui_byod_reg_content_message

  • key.guest.ui_client_provision_agent_installation_message

  • key.guest.ui_post_access_message

  • key.guest.ui_vlan_instruction_message

  • key.guest.ui_byod_install_winmac_instruction_message

  • key.guest.ui_aup_guest_text

  • key.guest.ui_byod_install_optional_content_1

  • key.guest.ui_byod_install_optional_content_2

  • key.guest.ui_byod_reg_instruction_message

  • key.guest.ui_aup_optional_content_1

  • key.guest.ui_aup_optional_content_2

  • key.guest.ui_self_reg_aup_text

  • key.guest.ui_login_instruction_message

  • key.guest.ui_vlan_optional_content_1

  • key.guest.ui_vlan_optional_content_2

  • key.guest.ui_self_reg_results_aup_text

  • key.guest.ui_device_reg_register_message

  • key.guest.ui_byod_welcome_instruction_message

  • key.guest.ui_client_provision_optional_content_2

  • key.guest.ui_self_reg_instruction_message

  • key.guest.ui_vlan_install_message

  • key.guest.ui_success_optional_content_1

  • key.guest.ui_success_optional_content_2

  • key.guest.ui_post_access_instruction_message

  • key.guest.ui_post_access_optional_content_2

  • key.guest.ui_post_access_optional_content_1

  • key.guest.ui_byod_welcome_config_device_message

  • key.guest.ui_client_provision_posture_agent_scan_message

ホットスポット ゲスト ポータルの 言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Test)]、[コンテンツ(Content)]、[オプションコンテンツ 1(Optional Content 1)]、および [オプションコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ( Portal Page Customization)] > [ページ((Pages)] です。テキスト ボックスのミニ エディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、ファイル内のディクショナリ キーの完全なリストではありません。

  • key.guest.ui_contact_instruction_message

  • key.guest.ui_success_message

  • key.guest.ui_post_access_message

  • key.guest.ui_vlan_instruction_message

  • key.guest.ui_success_instruction_message

  • key.guest.ui_aup_optional_content_1

  • key.guest.ui_aup_optional_content_2

  • key.guest.ui_vlan_unsupported_error_message

  • key.guest.ui_vlan_optional_content_1

  • key.guest.ui_vlan_optional_content_2

  • key.guest.ui_contact_optional_content_2

  • key.guest.ui_contact_optional_content_1

  • key.guest.ui_aup_instruction_message

  • key.guest.ui_aup_hotspot_text

  • key.guest.ui_vlan_execute_message

  • key.guest.ui_vlan_install_message

  • key.guest.ui_success_optional_content_1

  • key.guest.ui_success_optional_content_2

  • key.guest.ui_post_access_instruction_message

  • key.guest.ui_post_access_optional_content_2

  • key.guest.ui_post_access_optional_content_1

モバイルデバイス管理ポータルの 言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Text)] 、[コンテンツ(Content)] 、[オプションコンテンツ 1(Optional Content 1)] 、および [オプションコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [MDM ポータル(MDM Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] です。テキストボックスのミニエディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、ファイル内のディクショナリ キーの完全なリストではありません。

  • key.mdm.ui_contact_instruction_message

  • key.mdm.ui_mdm_enrollment_after_message

  • key.mdm.ui_error_optional_content_2

  • key.mdm.ui_error_optional_content_1

  • key.mdm.ui_mdm_enroll_optional_content_1

  • key.mdm.ui_mdm_enroll_optional_content_1

  • key.mdm.ui_mdm_enroll_optional_content_2

  • key.mdm.ui_mdm_enroll_instruction_message

  • key.mdm.ui_error_instruction_message

  • key.mdm.ui_mdm_enrollment_link_message

  • key.mdm.ui_mdm_not_reachable_message

  • key.mdm.ui_contact_optional_content_2

  • key.mdm.ui_mdm_continue_message

  • key.mdm.ui_contact_optional_content_1

デバイスポータルの 言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Text)] 、[コンテンツ(Content)] 、[任意のコンテンツ 1(Optional Content 1)] 、および [任意のコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [デバイスポータル(My Devices Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ(Portal Page Customization)] > [ページ(Pages)] です。テキストボックスのミニエディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、ファイル内のディクショナリ キーの完全なリストではありません。

  • key.mydevices.ui_add_optional_content_1

  • key.mydevices.ui_add_optional_content_2

  • key.mydevices.ui_post_access_instruction_message

  • key.mydevices.ui_edit_instruction_message

  • key.mydevices.ui_contact_optional_content_2

  • key.mydevices.ui_contact_optional_content_1

  • key.mydevices.ui_changepwd_optional_content_1

  • key.mydevices.ui_changepwd_optional_content_2

  • key.mydevices.ui_post_access_message

  • key.mydevices.ui_home_instruction_message

  • key.mydevices.ui_edit_optional_content_1

  • key.mydevices.ui_edit_optional_content_2

  • key.mydevices.ui_add_instruction_message

  • key.mydevices.ui_post_access_optional_content_2

  • key.mydevices.ui_post_access_optional_content_1

  • key.mydevices.ui_error_instruction_message

  • key.mydevices.ui_actions_instruction_message

  • key.mydevices.ui_home_optional_content_2

  • key.mydevices.ui_aup_optional_content_1

  • key.mydevices.ui_aup_optional_content_2

  • key.mydevices.ui_home_optional_content_1

  • key.mydevices.ui_changepwd_instruction_message

  • key.mydevices.ui_contact_instruction_message

  • key.mydevices.ui_aup_employee_text

  • key.mydevices.ui_login_optional_content_2

  • key.mydevices.ui_login_optional_content_1

  • key.mydevices.ui_login_instruction_message

  • key.mydevices.ui_error_optional_content_1

  • key.mydevices.ui_error_optional_content_2

  • key.mydevices.ui_aup_instruction_message

スポンサーポータルの 言語ファイルの HTML サポート

このポータルの [説明テキスト(Instructional Test)]、[コンテンツ(Content)]、[オプションコンテンツ 1(Optional Content 1)]、および [オプションコンテンツ 2(Optional Content 2)] テキストボックスへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [スポンサーポータル(Sponsor Portals)] > [編集(Edit)] > [ポータルページのカスタマイズ( Portal Page Customization)] > [ページ((Pages)] です。テキスト ボックスのミニ エディタの [HTML ソースの表示(View HTML Source)] アイコンを使用して、コンテンツに HTML コードを追加できます。

ポータルの言語プロパティファイルの次のディクショナリキーで、テキスト内の HTML がサポートされています。

これは、 ファイル内のディクショナリキーの完全なリストではありません。

  • key.sponsor.ui_aup_instruction_message

  • key.sponsor.ui_create_random_instruction_message

  • key.sponsor.ui_home_instruction_message

  • key.sponsor.ui_post_access_instruction_message

  • key.sponsor.notification_credentials_print_body

  • key.sponsor.ui_aup_sponsor_text

  • key.sponsor.ui_create_accounts_access_info_instruction_message

  • key.sponsor.ui_login_instruction_message

  • key.sponsor.notification_credentials_email_body

  • key.sponsor.ui_create_known_instruction_message

  • key.sponsor.ui_create_import_instruction_message

  • key.sponsor.ui_suspend_account_instruction_message

  • key.sponsor.ui_post_access_message

  • key.sponsor.ui_login_optional_content_2

  • key.sponsor.ui_login_optional_content_1

  • key.sponsor.notification_credentials_email_password_body

  • key.sponsor.ui_contact_optional_content_2

  • key.sponsor.ui_contact_optional_content_1

  • key.sponsor.ui_login_aup_text

  • key.sponsor.ui_changepwd_instruction_message

  • key.sponsor.ui_create_accounts_guest_type_instruction_message

  • key.sponsor.ui_changepwd_optional_content_1

  • key.sponsor.ui_changepwd_optional_content_2

  • key.sponsor.notification_credentials_email_username_body

  • key.sponsor.ui_aup_optional_content_1

  • key.sponsor.ui_aup_optional_content_2

  • key.sponsor.ui_post_access_optional_content_1

  • key.sponsor.ui_post_access_optional_content_2

  • key.sponsor.ui_contact_instruction_message