Identity Services Engine(ISE)/ ISE パッシブ ID コントローラ(ISE-PIC)サービスの概要
Cisco Identity Services Engine(ISE)は、ID 管理を向上させるためにネットワーク上の個々のサーバで実行されるアプリケーションです。Web セキュリティ アプライアンスは、ISE または ISE-PIC のサーバからユーザ アイデンティティ情報にアクセスできます。ISE または ISE-PIC のいずれかが設定されている場合は、適切に設定された識別プロファイルに対してユーザ名および関連するセキュリティ グループ タグが ISE から、ユーザ名および Active Directory グループが ISE-PIC からそれぞれ取得され、それらのプロファイルを使用するように設定されたポリシーで透過的ユーザ識別が許可されます。
(注) |
|
関連項目
pxGrid について
シスコの Platform Exchange Grid(pxGrid)を使用すると、セキュリティ モニタリングとネットワーク検出システム、ID とアクセス管理プラットフォームなど、ネットワーク インフラストラクチャのコンポーネントを連携させることができます。これらのコンポーネントは pxGrid を使用して、パブリッシュまたはサブスクライブ メソッドにより情報を交換します。
以下の 3 つの主要 pxGrid コンポーネントがあります:pxGrid パブリッシャ、pxGrid クライアント、pxGrid コントローラ。
-
pxGrid パブリッシャ:pxGrid クライアントの情報を提供します。
-
pxGrid クライアント:パブリッシュされた情報をサブスクライブする任意のシステム(Web セキュリティ アプライアンスなど)。パブリッシュされる情報には、セキュリティ グループ タグ(SGT)、Active Directory グループ、ユーザ グループおよびプロファイルの情報が含まれます。
-
pxGrid コントローラ:クライアントの登録/管理およびトピック/サブスクリプション プロセスを制御する ISE/ISE-PIC pxGrid ノードが該当します。
各コンポーネントには信頼できる証明書が必要です。これらの証明書は各ホスト プラットフォームにインストールしておく必要があります。
ISE/ISE-PIC サーバの展開とフェールオーバーについて
単一の ISE/ISE-PIC ノードのセットアップはスタンドアロン展開と呼ばれ、この 1 つのノードによって、管理およびポリシー サービスが実行されます。フェールオーバーをサポートし、パフォーマンスを向上させるには、複数の ISE/ISE-PIC ノードを分散展開でセットアップする必要があります。Web セキュリティ アプライアンスで ISE/ISE-PIC フェールオーバーをサポートするために必要な最小限の分散 ISE/ISE-PIC 構成は以下のとおりです。
-
2 つの pxGrid ノード
-
2 つの管理ノード
-
1 つのポリシー サービス ノード
この構成は、『Cisco Identity Services Engine Hardware Installation Guide』では「中規模ネットワーク展開」と呼ばれています。詳細については、『Installation Guide』のネットワーク展開に関する項を参照してください。