元の URL への Web 認証リダイレクションの概要
元の URL 機能への Web 認証のリダイレクトは、ネットワークがゲスト ユーザを最初に要求された URL にリダイレクトできるようにします。この機能はデフォルトでイネーブルになり、設定は必要ありません。
ゲスト ネットワークは、企業によって提供されたネットワーク接続であり、ホスト エンタープライズのセキュリティを損なうことなく、企業のゲストがインターネットやエンタープライズ ネットワークへアクセスできるようにしします。エンタープライズ ネットワークのゲスト ユーザは、有線イーサネット接続またはワイヤレス接続を通じてゲスト アクセス ネットワークに接続できます。
ゲスト アクセスはキャプティブ ポータルを使用して、ゲストが行ったすべての Web 要求を収集し、これらの要求をゲスト オンボーディング Web ページの 1 つにリダイレクトします。ゲストがゲスト ワークフローを正常に完了させると、最初に要求したページにリダイレクトされます。
最初に要求した URL は、Cisco Identity Services Engine(ISE)ゲスト アクセス リダイレクト URL とともに、メタデータとして渡されます。Cisco ISE は、セキュリティ ポリシー管理および制御プラットフォームです。有線、ワイヤレス、VPN 接続のアクセス制御とセキュリティ コンプライアンスを自動化し、シンプルにします。デバイスがリダイレクト URL をゲスト クライアントに送信できるように、要求された URL が Cisco ISE ゲスト URL の末尾に追加されます。Cisco ISE は URL を解析し、オンボーディングの完了後に、元の URL にゲストをリダイレクトします。
https://10.64.67.92:8443/guestportal/gateway?sessionId=0920269E0000000B0002426B&action=cwa&redirect_
url=http://www.cisco.com/
この例では、URL の https://10.64.67.92:8443/guestportal/gateway?sessionId=0920269E0000000B0002426B&action=cwa がゲスト ポータルの URL で、「&」はそれに名前と値のペアのリストが続くことをブラウザに通知し、redirect_url=http://www.cisco.com はユーザが最初に要求した URL であり、ゲスト ワークフロー完了後にユーザがリダイレクトされる URL であることを示します。
次の図に、最初に要求した URL にユーザをリダイレクトするパケット フローを示します。
-
ユーザが最初にネットワークにアクセスし、www.google.com にアクセスするための HTTP 要求を送信します。ユーザが最初にネットワークにアクセスすると、MAC 認証バイパス(MAB)がトリガーされ、MAC アドレスが Cisco ISE に送信されます。
-
Cisco ISE が RADIUS アクセス許可メッセージを(MAC アドレスを受信しない場合でも)リダイレクト アクセス コントロール リスト(ACL)、ACL-WEBAUTH-REDIRECT メッセージ、およびゲスト Web ポータル URL とともにデバイスに返します。
RADIUS メッセージは、通常のネットワーク トラフィック用に、設定済みポートとリダイレクト ACL に基づいて制限されているポートを開くようにデバイスに指示します。
-
ユーザが Web ブラウザを起動すると、デバイスが HTTP トラフィックを代行受信して、ブラウザを Cisco ISE 中央 Web 認証(CWA)ゲスト Web ポータル URL にリダイレクトします。ユーザが要求した URL が抽出され、Cisco ISE ゲスト URL の後ろに追加されます。
-
ユーザが認証されると、Cisco ISE がデバイス登録ページをユーザに送信します。ユーザが必要な情報を入力し、Cisco ISE にページが返されます。Cisco ISE はユーザ プロファイルをダウンロードし、ユーザを最初に要求された URL である www.google.com にリダイレクトします。