Identity Services Engine サービスの概要
Cisco Identity Services Engine(ISE)は、ID 管理を向上させるためにネットワーク上の個々のサーバで実行されるアプリケーションです。AsyncOS は ISE サーバからユーザ ID 情報にアクセスできます。設定されている場合は、適切に設定された識別プロファイルに対してユーザ名および関連するセキュリティ グループ タグが Identity Services Engine から取得され、それらのプロファイルを使用するように設定されたポリシーで透過的ユーザ識別が許可されます。
(注) |
ISE サービスはコネクタ モードでは使用できません。 |
関連項目
pxGrid について
シスコの Platform Exchange Grid(pxGrid)を使用すると、セキュリティ モニタリングとネットワーク検出システム、ID とアクセス管理プラットフォームなど、ネットワーク インフラストラクチャのコンポーネントを連携させることができます。これらのコンポーネントは pxGrid を使用して、パブリッシュまたはサブスクライブ メソッドにより情報を交換します。
以下の 3 つの主要 pxGrid コンポーネントがあります:pxGrid パブリッシャ、pxGrid クライアント、pxGrid コントローラ。
- pxGrid パブリッシャ:pxGrid クライアントの情報を提供します。
- pxGrid クライアント:パブリッシュされた情報をサブスクライブする任意のシステム(Web セキュリティ アプライアンスなど)。パブリッシュされる情報には、セキュリティ グループ タグ(SGT)とユーザ グループおよびプロファイルの情報が含まれます。
- pxGrid コントローラ:本書では、クライアントの登録/管理およびトピック/サブスクリプション プロセスを制御する ISE pxGrid ノードです。
各コンポーネントには信頼できる証明書が必要です。これらの証明書は各ホスト プラットフォームにインストールしておく必要があります。
ISE サーバの展開とフェールオーバーについて
単一の ISE ノードのセットアップは「スタンドアロン展開」と呼ばれ、この 1 つのノードによって、管理、ポリシー サービス、およびモニタリングが実行されます。フェールオーバーをサポートし、パフォーマンスを向上させるには、複数の ISE ノードを「分散展開」でセットアップする必要があります。Web セキュリティ アプライアンスで ISE フェールオーバーをサポートするために必要な最小限の分散 ISE 構成は以下のとおりです。
- 2 つの pxGrid ノード
- 2 つのモニタリング ノード
- 2 つの管理ノード
- 1 つのポリシー サービス ノード
この構成は、『Cisco Identity Services Engine Hardware Installation Guide』では「中規模ネットワーク配置」と呼ばれています。詳細については、『Installation Guide』のネットワーク展開に関する項を参照してください。