Identity Services Engine(ISE)/ ISE パッシブ ID コントローラ(ISE-PIC)サービスの概要
Cisco Identity Services Engine(ISE)は、ID 管理を向上させるためにネットワーク上の個々のサーバーで実行されるアプリケーションです。Web セキュリティアプライアンス は、ISE または ISE-PIC のサーバーからユーザーアイデンティティ情報にアクセスできます。ISE または ISE-PIC のいずれかが設定されている場合は、適切に設定された識別プロファイルに対してユーザー名および関連するセキュリティ グループ タグが ISE から、ユーザー名および Active Directory グループが ISE-PIC からそれぞれ取得され、それらのプロファイルを使用するように設定されたポリシーで透過的ユーザー識別が許可されます。
-
セキュリティ グループ タグと Active Directory グループを使用してアクセス ポリシーを作成できます。
-
ISE/ISE-PIC による透過的な識別に失敗したユーザーの場合、Active Directory ベースのレルムを使用してフォールバック認証を設定できます。「フォールバック認証」を参照してください。
-
仮想デスクトップ環境(Citrix、Microsoft 共有/リモート デスクトップ サービスなど)でユーザーの認証を設定できます。「ISE/ISE-PIC 統合での VDI(仮想デスクトップ インフラストラクチャ)ユーザー認証」を参照してください。
(注) |
Cisco Secure Web Appliance ISE バージョンのサポートマトリックスの詳細については、『ISE Compatibility Matrix Information』を参照してください。
|
関連項目
pxGrid について
シスコの Platform Exchange Grid(pxGrid)を使用すると、セキュリティ モニターリングとネットワーク検出システム、ID とアクセス管理プラットフォームなど、ネットワーク インフラストラクチャのコンポーネントを連携させることができます。これらのコンポーネントは pxGrid を使用して、パブリッシュまたはサブスクライブ メソッドにより情報を交換します。
以下の 3 つの主要 pxGrid コンポーネントがあります:pxGrid パブリッシャ、pxGrid クライアント、pxGrid コントローラ。
-
pxGrid パブリッシャ:pxGrid クライアントの情報を提供します。
-
pxGrid クライアント:パブリッシュされた情報をサブスクライブする任意のシステム(Web セキュリティアプライアンス など)。パブリッシュされる情報には、セキュリティグループタグ(SGT)、Active Directory グループ、ユーザーグループおよびプロファイルの情報が含まれます。
-
pxGrid コントローラ:クライアントの登録/管理およびトピック/サブスクリプション プロセスを制御する ISE/ISE-PIC pxGrid ノードが該当します。
各コンポーネントには信頼できる証明書が必要です。これらの証明書は各ホスト プラットフォームにインストールしておく必要があります。
ISE/ISE-PIC サーバーの展開とフェールオーバーについて
単一の ISE/ISE-PIC ノードのセットアップはスタンドアロン展開と呼ばれ、この 1 つのノードによって、管理およびポリシー サービスが実行されます。フェールオーバーをサポートし、パフォーマンスを向上させるには、複数の ISE/ISE-PIC ノードを分散展開でセットアップする必要があります。Web セキュリティアプライアンス で ISE/ISE-PIC フェールオーバーをサポートするために必要な最小限の分散 ISE/ISE-PIC 構成は以下のとおりです。
-
2 つの pxGrid ノード
-
2 つの管理ノード
-
1 つのポリシー サービス ノード
この構成は、『Cisco Identity Services Engine Hardware Installation Guide』では「中規模ネットワーク展開」と呼ばれています。詳細については、『Installation Guide』のネットワーク展開に関する項を参照してください。