思科身份服务引擎管理员指南，版本 3.1

思科 ISE 访客服务

使用思科身份识别服务引擎（思科 ISE）访客服务，可以提供对访客（例如宾客、承包商、顾问和客户）的安全网络访问。您可以支持具有基本思科 ISE 许可证的访客，此外，还可以根据公司的基础设施和功能要求，从若干部署选项中选择。

思科 ISE 提供基于 Web 的门户和移动门户，让访客和员工注册公司的网络以及内部资源和服务。

从 Admin 门户，您可以创建和编辑访客和发起人门户，通过定义访客类型配置访客接入权限，以及分配发起人权限，创建和管理访客帐户。

访客门户
访客类型和用户身份组
发起人门户
发起人组

ISE 社区资源

有关 ISE 访客和 Web 身份验证的 ISE 社区资源的完整列表，请参阅 ISE 访客访问 - ISE 访客和 Web 身份验证。

分布式环境中的最终用户访客门户和发起人门户

思科 ISE 最终用户 Web 门户根据管理、策略服务和监控角色，提供配置、会话支持和报告功能。

策略管理节点 (PAN)：您对用户、设备和最终用户门户所做的配置更改会写入 PAN。
策略服务节点 (PSN)：最终用户门户在 PSN 上运行，后者处理所有会话流量，包括网络访问、客户端调配、访客服务、终端安全评估和分析。如果 PSN 是节点组的一部分，并且一个节点发生故障，则其他节点会检测到故障，并重置任何挂起的会话。
监控节点（MnT 节点）：MnT 节点在我的设备门户、发起人门户和访客门户上收集、聚合和报告有关最终用户和设备活动的数据。如果主 MnT 节点故障，则辅助 MnT 节点自动成为主 MnT 节点。

访客和发起人帐户

访客帐户 (Guest Accounts)：访客通常表示授权访客、承包商、客户，或者需要临时访问网络的其他用户。如果您更愿意使用其中一个访客部署场景以允许员工访问该网络，也可以让员工使用访客帐户。您可以访问发起人门户，查看由发起人和自注册访客创建的访客帐户。
发起人帐户 (Sponsor Accounts)：使用发起人门户为授权访客创建用于安全访问公司网络或互联网的临时帐户。在创建访客帐户后，您还可以使用发起人门户管理这些帐户并向访客提供帐户详细信息。

访客帐户可以通过以下方式创建：

发起人 (Sponsors)：在管理员门户上，您可以为发起人定义访问权限和功能支持，发起人可以访问发起人门户以创建和管理访客帐户。
访客 (Guests)：访客也可以通过自助注册访客门户创建自己的帐户。根据门户配置，自助注册的访客可能需要发起人批准后才能获得登录凭证。

访客还可以使用热点访客门户来访问网络，而无需创建访客帐户及用户名和密码等登录凭证。
员工 (Employees)：包括在身份库（例如 Active Directory、LDAP、内部用户）中的员工同样可以通过已配置的需要凭证的访客门户（发起人管理的和自助注册的访客门户）进行访问。

访客帐户创建完毕后，访客即可使用发起人管理的访客门户进行登录并获得访问网络的权限。

注	在成功的访客流期间，思科 ISE 会在访问-接受内部发送 RADIUS 会话超时属性，其值设置为访客账户持续时间的剩余秒数。但是，相应授权配置文件中的自定义会话超时属性优先于 RADIUS 会话超时属性的行为。

访客类型和用户身份组

每个访客帐户必须与访客类型关联。访客类型允许发起人向访客帐户配分各种访问级别以及不同的网络连接时间。这些访客类型与特定的网络接入策略相关联。思科 ISE 包括以下默认访客类型：

承包商 (Contractor)：需要在长达 1 年时间内访问网络的用户。
日 (Daily)：仅需在 1 至 5 天内访问网络资源的访客。
周 (Weekly)：需在数周内访问网络的用户。

在创建访客帐户时，可限制某些发起人组使用特定的访客类型。这种组的成员可以创建仅具有针对其访客类型特定功能的访客。例如，发起人组 ALL_ACCOUNTS 可设置为仅使用承包商访客类型，而发起人组 OWN_ACCOUNTS 和 GROUP_ACCOUNTS 则可设置为仅使用每日和每周访客类型。此外，由于使用自助注册访客门户的自助注册访客通常仅需访问一天，因此您可以向其分配每日访客类型。

访客类型定义访客的用户身份组。

有关详情，请参阅：

创建或编辑访客类型

可以编辑默认访客类型及其默认访问权限和设置，或者创建新的访客类型。所做更改将应用到使用此访客类型创建的现有访客帐户。登录的访客用户不会看到这些更改，直到这些用户注销并重新登录为止。还可以复制访客类型，使用相同的访问权限创建其他访客类型。

每个访客类型都有名称、说明以及可以使用此访客类型创建访客帐户的发起人组列表。如下所示，可以按如下方式指定某些访客类型：仅用于自行注册访客，或者不用于（由任何发起人组）创建访客帐户。

过程

在思科 ISE GUI 中，单击菜单图标 ()，然后选择访客访问 (Guest Access) > 配置 (Configure) > 访客类型 (Guest Types)。输入必要的详细信息。

使用这些设置可以创建能够访问网络的访客类型及其访问权限。您也可以指定哪些发起人组能够创建此访客类型。

字段名称

使用指南

访客类型名称 (Guest Type Name)

提供一个名称（1 至 256 个字符），将此访客类型与默认访客类型以及您创建的其他访客类型区分开来。

Description

提供有关此访客类型推荐用途的更多信息（最多 2000 个字符），例如：用于自行注册访客，不用于访客帐户创建等等。

Language File

使用此访客类型导出或导入用于门户的语言文件。

收集其他数据 (Collect Additional Data)

选择自定义字段，从访客收集更多信息。

要查看此处窗口，请单击菜单图标 ()，然后选择访客访问 (Guest Access) > 设置 (Settings) > 自定义字段 (Custom Fields)。

“最长访问时间”(Maximum Access Time) - 帐户持续时间开始

从首次登录开始 (From First Login)：当访客用户首次登录访客门户时，即开始计算帐户开始时间，并且帐户结束时间为指定的持续时间。如果访客用户从未登录，帐户会持续处于等待首次登录状态，直至该帐户根据访客帐户清除策略被删除。自注册和由发起人创建的用户帐户在他们创建并登录他们的帐户时开始。

注	如果您使用仅在这些日期和时间允许访问 (Allow access only on these days and times)，则在这些时间条件下使用位置。如果不希望“从首次登录开始”(From First Login) 访问基于位置，请勿设置访问的天数和时间。

从发起人指定的日期开始 (From sponsor-specified date)：指定此类型的访客能够访问网络和保持网络连接的最大天数、小时数或分钟数，从 1 到 999。

如果更改此设置，您的更改不会应用到使用此访客类型创建的原有访客帐户。

仅在这些日期和时间允许访问 (Allow Access only on these Days and Times)

输入时间范围并选择星期值，以指定此访客类型能够访问网络的时间。如果此访客类型在这些时间参数之外保持连接，他们将被注销。时间范围与使用此访客类型分配给访客的位置所定义的时区有关。

点击 + 或 -，添加或删除访问次数限制。

配置访客帐户清除策略

您可以安排终端清除作业计划。默认情况下会启用终端清除计划，并且思科 ISE 会删除超过 30 天的终端。有关详细信息，请参阅思科 ISE 管理员指南：维护和监控 中的“端点清除设置”。

“登录选项”(Login Options) - 最大同时登录数量

输入此访客类型可以同时运行的最大用户会话数。

当访客超过限制时 (When Guest Exceeds Limit)

如果选择最大同时登录数 (Maximum simultaneous logins)，还必须同时选择用户在达到限制后连接时要执行的操作。

当访客超过限度时 (When the guest exceeds limit)

断开最早的连接 (Disconnect the oldest connection)
断开最近的连接 (Disconnect the newest connection)
- 将用户重定向至显示错误信息的门户 (Redirect user to a portal page showing an error message)：先显示一条错误消息（持续时间可以配置），然后断开会话，并将用户重定向到访客门户。错误页面的内容在消息 (Messages) > 错误消息 (Error Messages) 选项卡上的门户页面自定义 (Portal Page Customization) 对话框中进行配置。

访客可以注册的最大设备数 (Maximum Devices Guests can Register)

输入每个访客可以注册的最大设备数。您可以将限制设为小于已为此访客类型的访客注册的设备数的数值。这只会影响新创建的访客帐户。

当访客用户达到他们可以注册的最大设备数时，他们会看到通知，通知他们可以通过以下方式之一继续：

选择要从其设备列表中删除的已注册设备，然后添加新设备。
继续注册新设备。在这种情况下，列表中最早注册的设备会自动取消注册。

允许访客绕开访客门户 (Allow Guest to bypass the Guest portal)

允许用户绕过需要提供凭证的访客强制网络门户（Web 身份验证页面），通过向有线和无线 (dot1x) 请求方或 VPN 客户端提供凭证来访问网络。访客帐户进入活动状态，绕过等待初始登录状态和 AUP 页面，即使其是必填项也是如此。

如果不启用此设置，用户必须首先通过需要提供凭证的访客强制网络门户登录，然后才能访问网络的其他部分。

“帐户过期通知”(Account Expiration Notification) - 在帐户过期之前 __ 天，发送帐户过期通知。

在帐户过期之前向访客发送通知，指定距离过期还剩多少天、多少小时或多少分钟。

查看...中的消息 (View messages in)

指定在按照您的设置显示邮件或 SMS 通知时使用的语言。

电子邮件 (Email)

选择邮件作为发送帐户过期通知的方式。

从...使用自定义 (Use customization from)

从另一门户选择邮件自定义。

消息 (Messages)

输入用于帐户过期通知的文本内容。

从...复制文本 (Copy text from)

重复使用您为另一访客类型创建的帐户过期通知邮件文本。

向我发送测试邮件，地址为 (Send test email to me at)

确保邮件通知发送到您的邮件地址后按原样显示。

SMS

选择文本 (SMS) 作为帐户过期通知的方式。

消息 (Messages)

输入用于帐户过期通知的文本内容。

从...复制文本 (Copy text from)

重复使用您为另一访客类型创建的文本消息。

向我发送测试 SMS，地址为 (Send test SMS to me at)

确保文本通知发送到您的手机后按原样显示。

这些发起人组可以创建该访客类型 (These sponsor groups can create this guest type)

选择哪些发起人组能够使用此访客类型创建访客帐户。

如果想要禁止使用此访客类型，请不要将其分配给任何发起人组。如果想要中断使用此访客类型，请删除列出的发起人组。

下一步做什么

创建或修改发起人组，以使用此访客类型。
如果适用，请在自行注册访客门户中将此访客类型分配给自行注册访客。

禁用访客类型

您无法删除最后一个剩余的访客类型，或访客帐户正在使用的访客类型。如果您希望删除使用中的访客类型，请首先确保其不再可供使用。禁用访客类型不会影响到使用该访客类型创建的访客帐户。

以下步骤介绍如何准备和禁用目标访客类型。

过程

步骤 1	确定允许发起人使用目标访客类型创建访客的发起人组。在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 配置 (Configure) > 门户和组件 (Portals and Components) > 发起人组 (Sponsor Groups)。打开每个发起人组并检查此发起人组可以使用这些访客类型创建帐户 (This sponsor group can create accounts using these guest types list) 列表。
步骤 2	确定分配目标访客类型的自注册门户。在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 配置 (Configure) > 门户和组件 (Portals and Components) > 访客门户 (Guest Portals)。打开每个自注册访客门户。如果门户使用特定访客类型，请展开门户设置 (Portal Settings)，并在使用此门户的员工作为访客继承登录选项于：(Employees using this portal as guests inherit login options from:) 字段。
步骤 3	打开要删除的访客类型，并删除您在之前的步骤中确定的所有发起人组。此操作会有效地防止所有发起人使用此访客类型创建新的访客帐户。在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 配置 (Configure) > 门户和组件 (Portals and Components) > 访客类型 (Guest Type)。

配置终端用户的最大同时登录数

可以配置针对访客用户允许的最大同时登录数。

当用户登录到访客门户并已成功进行身份验证时，系统会检查该用户的现有登录数，从而查看用户是否已达到最大登录数。如果已达到，则系统会将访客用户重定向到错误页面。系统将显示错误页面，并停止会话。如果此用户尝试再次访问互联网，则系统会将其重定向到访客门户的登录页面。

开始之前

确保您在此门户的授权策略中使用的授权配置文件的访问类型 (Access Type) 设置为 Access_Accept。如果访问类型 (Access Type) 设置为 Access_Reject，则不会实施最大同时登录数。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客类型 (Guest Type)。在登录选项 (Login Options) 下：

选中最大同时登录数 (Maximum maximum logins) 复选框，并输入允许的最大同时登录数。
在访客超出限制时 (When guest exceeds limit) 下，点击断开最新连接 (Disconnect the newest connection) 选项。
选中将用户重定向至显示错误消息的门户页面 (Redirect user to a portal page showing an error message) 复选框。

步骤 2

依次选择策略 (Policy) > 策略元素 (Policy Elements) > 结果 (Results)，并创建授权配置文件：

在常见任务 (Common Tasks) 下，选中 Web 重定向 (Web Redirection) 并执行以下操作：
- 在第一个下拉列表中，选择集中式 Web 身份验证 (Centralized Web Auth)。
- 输入已创建的 ACL 作为必备条件的一部分。
- 对于值 (Value)，选择要重定向到的访客门户。
在常见任务 (Common Tasks) 中向下滚动，选中重新身份验证 (Reauthentication) 复选框并执行以下操作：
- 在计时器 (Timer) 中，输入在将用户重定向到访客门户之前希望错误页面显示的时间量。
- 在 Maintain Connectivity During Reauthentication 中，选择 Default。

步骤 3

在思科 ISE GUI 中，单击菜单图标 ()，然后选择策略 (Policy) > 策略集 (Policy Sets)。创建授权策略，以便在属性 NetworkAccess.SessionLimitExceeded 为 true 时，将用户重定向到门户。

下一步做什么

可以在“门户页面自定义”(Portal Page Customization) 选项卡上自定义错误页面的文本。依次选择消息 (Messages) > 错误消息 (Error Messages) 并更改错误消息键 ui_max_login_sessions_exceeded_error 的文本。

安排清除过期访客帐户的时间

当活动或挂起访客帐户达到其帐户持续时间（按照创建帐户时发起人的定义）结束时，帐户过期。当访客帐户过期时，受影响的访客无法访问网络。发起人可以在清除之前延长到期帐户的期限。然而，帐户清除之后，发起人必须创建新的帐户。

清除过期访客帐户时，关联的终端以及报告和日志记录信息仍然保留。

默认情况下，思科 ISE 每 15 天自动清除一次过期访客帐户。Date of next purge 指示下次清除的时间。您还可以：

计划每 X 天执行清除操作。第一次清除会在 X 天之后在指定的清除时间 (Time of Purge)进行，然后每 X 天执行一次清除操作。
计划每 X 周在指定周的固定某天执行清除操作。第一次清除在下一周的某天 (Day of Week) 的指定的清除时间 (Time of Purge) 执行，随后清除会每 X 周（X 为设置的周值）在指定的日期和时间进行。例如，如果您在本周的星期一设置每 5 周在星期四执行清除操作，则下次清除将在本周的星期四进行，而不是 5 周之后的星期四。
通过点击立即清除 (Purge Now) 可立即强制执行清除操作。

如果思科 ISE 服务器在按计划运行清除时关闭，不会执行清除。假设服务器在下一次计划清除时可以运行，清除进程将在那时再次运行。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 访客帐户清除策略 (Guest Account Purge Policy)。

步骤 2

选择以下选项之一：

点击 Purge Now，立即清除过期的访客帐户记录。

选中 Schedule purge of expired guest accounts 复选框，安排清除。

注	每次完成清除后，Date of next purge 重置为下一次计划清除。

步骤 3

在门户用户信息在...后过期 (Expire portal-user information after) 中指定用户出现不活跃状态多久之后过期。此设置防止从未使用的 LDAP 和 Active Directory 帐户永远保存在 ISE 数据库中。

如果访客未进行首次登录，在指定时间段的到期时，根据配置的清除策略，访客帐户会变为已过期状态，然后被清除。

您还可以指定过期的访客帐户必须清除的频率（以天或周为单位）。如果选择了每 _ 周清除一次 (Purge occurs every _ weeks) 选项，还可以指定清除过期帐户的日期和时间。

步骤 4

点击 Save。如果不想保存对设置进行的任何更新，请点击 Reset 以恢复为上次保存的值。

添加用于创建访客帐户的自定义字段

当提供访客接入时，可能不仅仅从访客收集其姓名、邮箱地址和电话号码信息。可以将思科 ISE 提供的自定义字段用于针对公司需求收集其他访客信息。可以将自定义字段与访客类型，以及自注册的访客门户和发起人门户相关联。思科 ISE 不提供任何默认自定义字段。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择访客访问 (Guest Access) > 设置 (Settings) > 自定义字段 (Custom Fields)。

步骤 2

输入 Custom Field Name，从下拉列表中选取 Data Type，然后输入 Tip Text 以帮助提供其他有关自定义字段的信息。例如，如果输入 Date of Birth，请选取 Date-MDY，然后输入日期格式提示 MM/DD/YYYY。

步骤 3

点击添加 (Add)。

自定义字段按字母顺序显示于列表中或显示于有序排列的情景中。

步骤 4

点击 Save。如果不想保存对设置进行的任何更新，请点击 Reset 以恢复为上次保存的值。

注	如果删除自定义字段，则无法在访客类型的 Custom Fields 列表，以及自注册的访客门户和发起人门户设置中进行选择。如果正在使用字段，Delete 将被禁用。

下一步做什么

在以下情况下，可以包含所需的自定义字段：

当定义访客类型，使得使用该访客类型创建的帐户将包含此信息时。参阅创建或编辑访客类型。
当配置发起人门户，供发起人在创建访客帐户的时候使用时。请参阅自定义发起人门户。
当使用自注册的访客门户从自注册访客请求信息时。请参阅创建自注册访客门户。

为邮件通知指定邮箱地址和 SMTP 服务器

通过思科 ISE，可以将邮件发送到发起人和访客，向他们通知相关信息和说明。可以配置 SMTP 服务器来传送这些邮件通知。还可以指定将通知发送到访客的发件人邮箱地址。

注	访客通知需要兼容 UTF-8 的邮件客户端。需要支持 HTML 的邮件客户端（已启用功能）才能使用一键式发起人审批功能。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 访客电子邮件设置 (Guest Email Settings)。
步骤 2	默认情况下，Enable email notifications to guests 处于选中状态。如果禁用此设置，访客不会收到邮件通知，不管在配置访客门户和发起人门户时是否已启用任何其他设置。
步骤 3	输入为将邮件通知发送到访客而指定的 Default “From” email address。例如，donotreply@ `yourcompany`.com。
步骤 4	执行以下操作之一：如果希望访客从创建其帐户的发起人接收通知，请选中 Send notifications from sponsor's email address (if sponsored)。自注册访客将从默认邮箱地址接收通知。如果希望不管是由发起人发起的还是自注册的访客都收到通知，请选中 Always send notifications from the default email address。
步骤 5	点击 Save。如果不想保存对设置进行的任何更新，请点击 Reset 以恢复为上次保存的值。

分配访客位置和 SSID

访客位置定义时区的名称，并由 ISE 用于执行已登录访客的时间相关设置。访客位置由创建访客帐户的发起人以及由自行注册的访客分配给访客帐户。默认访客位置为 San Jose。如果未添加其他访客位置，则为所有帐户分配此访客位置。除非您创建一个或多个新位置，否则无法删除 San Jose 访客位置。除非所有访客都将位于与 San Jose 相同的时区中，否则请创建至少一个具有所需时区的访客位置。

注	访客访问时间基于访客位置的时区。如果访客位置的时区与系统时区不匹配，访客用户可能无法登录。在这种情况下，访客用户可能会收到“身份验证失败”错误。您可能会在调试报告中看到“访客活动时间段未开始 (Guest active time period not yet started)”错误消息。作为解决方法，您可以使用管理帐户 (Manage Accounts) 选项来调整访客接入开始时间，以匹配访客用户的本地时区。

您在此处添加的 SSID 可供发起人门户使用，因此发起人可以告知访客要连接的 SSID。

如果访客位置或 SSID 在发起人门户中进行配置或者分配给访客帐户，则无法删除。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 门户和组件 (Portals & Components) > 设置 (Settings) > 访客位置和 SSID (Guest Locations and SSIDs)。

步骤 2

对于 Guest Locations：

对于需要支持的每个时区，请输入 Location name 并从下拉列表中选取 Time zone。

点击 Add。

注	在 Guest Location 中，位置的名称、时区的名称和 GMT 时差是静态的；无法对其进行更改。GMT 时差不随夏令时更改而更改。GMT 偏移与列表中显示的相反。例如，`Etc/GMT+3` 实际上是 GMT-3。

注	对于“从首次登录开始”的访客类型，请确保仅当您要在工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客类型 (Guest Types) 页面中配置访问时间限制时配置访客位置（时区）。

步骤 3

对于 Guest SSIDs：

输入将可供访客在访客位置使用的网络的 SSID 名称。
单击添加 (Add)。

步骤 4

点击保存。要恢复为上次保存的值，请点击重置 (Reset)。

下一步做什么

如果您已添加新的访客位置或 SSID，则可以：

提供 SSID 以供发起人在创建访客帐户时使用。请参阅发起人门户的门户设置。
向发起人组中添加访客位置，以使分配到该组的发起人在创建访客帐户时可以使用这些访客位置。请参阅配置发起人组。
使用自行注册的访客门户分配自行注册的访客可用的访客位置。请参阅创建自注册访客门户。
对于现有访客帐户，请手动编辑它们以添加 SSID 或位置。

访客密码策略规则

对于访客密码，思科 ISE 具有以下内置规则：

访客密码策略适用于发起人门户、自注册门户、以 CSV 文件格式上传的帐户、使用 ERS API 创建的密码和用户创建的密码。
对访客密码策略的更改不会影响现有用户，直到访客密码过期并且需要更改为止。
密码区分大小写。
不能使用特殊字符 <、>、/、空格、逗号和 %。
最低长度和最小字符数要求适用于所有密码。
密码不能与用户名一样。
新密码不能与当前密码一样。
与访客帐户到期情况不一样，访客在密码到期之前不会收到通知。当访客密码到期时，发起人可以将密码重置为随机密码，或者访客也可以使用当前的登录凭证登录，然后更改其密码。

注	客户默认用户名是四位字母字符，而密码是四位数字字符。简短、易于记忆的用户名和密码适用于短期客户。如果需要，您可以在 ISE 中更改用户名和密码长度。

设置访客密码策略和到期时间

您可以为所有访客门户定义密码策略。访客密码策略决定着如何为所有访客帐户生成密码。密码可以是字母、数字或特殊字符的组合。您还可以设置访客密码到期的天数，使系统在经过这些天之后要求访客重置其密码。

访客密码策略适用于发起人门户、自注册门户、以 CSV 文件格式上传的帐户、使用 ERS API 创建的密码和用户创建的密码。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择访客访问 (Guest Access) > 设置 (Settings) > 访客密码策略 (Guest Password Policy) 。
步骤 2	在 Minimum password length 字段以字符为单位为访客密码输入最低密码长度值。
步骤 3	指定每个字符集中访客可用于创建密码的字符。在 Allowed Characters and Minimums 下选择以下选项之一以为访客指定密码策略：使用各字符集的所有字符。如要防止使用某些字符，请从下拉菜单选择 Custom，然后从预定义的完整字符集中删除这些字符。
步骤 4	输入每个字符集中使用的最低字符数。全部四个字符集中所需字符的总数不得超出总体最低密码长度。
步骤 5	在 Password Expiration 下选择以下选项之一：指定访客在首次登录之后必须更改密码的频率（以天为单位）。如果访客在密码到期之前不重置密码，则在下一次使用原始登录凭证登录网络时，系统会提示他们更改密码。将密码设置为永不过期。
步骤 6	点击 Save。如果不想保存对设置进行的任何更新，请点击 Reset 以恢复为上次保存的值。

下一步做什么

您应自定义与密码策略相关的错误消息以提供密码要求。

选择访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人管理的访客门户或自注册访客门户 (Sponsored-Guest Portals or Self-Registered Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 错误消息 (Error Messages)。
搜索关键字 policy。

访客用户名策略规则

对于访客用户名策略，思科 ISE 支持以下内置规则：

对访客用户名策略的更改不会影响现有用户，直到访客帐户过期并且需要更改为止。
不能使用特殊字符 <、>、/、空格、逗号和 %。
最低长度和最小字符数要求适用于所有系统生成的用户名，包括基于邮件地址的用户名。
密码不能与用户名一样。

设置访客用户名策略

您可以对访客用户名的创建规则进行配置。生成的用户名可以根据电子邮件地址或基于访客的名字和姓氏创建。当创建多个访客或访客姓名和电子邮件地址不可用时，发起人还可以创建任意数量的访客帐户以节省时间。随机生成的访客用户名由字母、数字和特殊字符组成。这些设置会影响所有访客。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 门户和组件 (Portals & Components) > 设置 (Settings) > 访客用户名策略 (Guest Username Policy)。
步骤 2	在 Minimum username length 字段以字符为单位为访客用户名指定最低用户名长度。
步骤 3	在 Username Criteria for Known Guests 下选择其中一个选项以指定为已知访客创建用户名的策略。
步骤 4	在 Characters Allowed in Randomly-Generated Usernames 下选择其中一个选项以指定为访客创建随机用户名的策略：使用各字符集的所有字符。如要防止使用某些字符，请从下拉菜单选择 Custom，然后从预定义的完整字符集中删除这些字符。
步骤 5	输入每个字符集中使用的最低字符数。从三个字符集中选取的字符总数不得超出 Minimum username length 中指定的数值。
步骤 6	点击 Save。如果不想保存对设置进行的任何更新，请点击 Reset 以恢复为上次保存的值。

下一步做什么

您应自定义与用户名策略相关的错误消息以提供用户名要求。

选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人管理的访客门户、自注册访客门户、发起人门户或我的设备门户 (Sponsored-Guest Portals, Self-Registered Guest Portals, Sponsor Portals, or My Devices Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 错误消息 (Error Messages)。
搜索关键字 policy。

SMS 运营商和服务

SMS 服务会向使用需要提供凭证的访客门户的访客发送 SMS 通知。如果计划发送 SMS 消息，请启用此服务。尽可能配置和提供免费的 SMS 服务运营商，以降低您公司的支出。

思科 ISE 支持向其自己的用户提供免费 SMS 服务的各种移动服务运营商。您可以使用这些运营商，而无需签订服务合同且无需在思科 ISE 中配置其帐户凭证。其中包括 ATT、Orange、Sprint、T-Mobile 和 Verizon。

您还可以添加其他提供免费 SMS 服务的移动服务运营商或 Click-A-Tell 等全球 SMS 服务运营商。默认全局 SMS 服务运营商要求签订服务合同并且您必须在思科 ISE 中配置其帐户凭证。

如果自行注册访客在 Self-Registration 窗体中选择自己的免费 SMS 服务运营商，系统将免费向他们发送包含其登录凭证的 SMS 通知。如果他们不选择 SMS 服务提供商，则由公司签约的默认全局 SMS 服务提供商发送 SMS 通知。
若要允许发起人向他们创建的访客发送 SMS 通知，应自定义发起人门户并选择所有可用的相应 SMS 服务提供商。如果没有为发起人门户选择任何 SMS 服务提供商，将由公司签约的默认全局 SMS 服务提供商提供 SMS 服务。

在思科 ISE 中，SMS 提供商配置为 SMS 网关。SMS 网关会将来自思科 ISE 的电子邮件转换为 SMS。SMS 网关可位于代理服务器之后。

配置 SMS 网关以向访客发送 SMS 通知

您必须在思科 ISE 中对 SMS 网关进行如下设置：

使发起人能够向访客手动发送 SMS 通知以提供访客登录凭证和密码重置说明。
使访客能够在成功注册之后使用其登录凭证自动接收 SMS 通知。
使访客能够自动接收关于在访客帐户到期之前要采取的操作的 SMS 通知。

当在这些字段输入信息时，您应使用您的 SMS 运营商帐户的具体信息更新 [ ]（例如 [USERNAME]、[PASSWORD]、[PROVIDER_ID] 等）中的所有文本。

开始之前

配置用于 SMS Email Gateway 选项的默认 SMTP 服务器。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMS 网关 (SMS Gateway) > SMS 网关提供商 (SMS Gateway Providers)。

步骤 2

点击添加 (Add)。

步骤 3

输入以下详细信息以配置 SMS 网关：


字段名称	使用指南
SMS Gateway Provider Domain	输入作为用于向提供商 SMS/MMS 网关发送消息的邮件地址主机部分的提供商域和作为此地址用户部分的访客帐户移动号码。
Provider account address	（可选）输入作为电子邮件发件人地址（通常是帐户地址）的帐户地址，并在访客访问 (Guest Access) > 设置 (Settings)中覆盖默认电子邮件地址 (Default Email Address)全局设置。
SMTP API destination address	（可选）如果您使用的是需要具体帐户收件人地址的 SMTP SMS API（例如 Clickatell SMTP API），请输入 SMTP API 目标地址。此地址用作邮件的 TO 地址并且系统会将访客帐户的移动号码代入消息的正文模板中。
SMTP API body template	（可选）如果您使用的是需要使用特定邮件正文模板来发送 SMS 的 SMTP SMS API（例如 SMTP API），请输入 SMTP API 正文模板。支持的动态替换为 $mobilenumber$、$timestamp$（格式 $YYYYMMDDHHHMISSmimi$）和 $message$。您可以将 $timestamp$$mobilenumber$ 用于需要 URL 中有唯一标识符的 SMS 网关。

使用以下设置配置通过 HTTP API（GET 或 POST 方法）向访客和发起人发送 SMS 消息。


字段	使用指南
URL	输入 API 的 URL。此字段不是 URL 编码的。系统将访客帐户的移动号码代入 URL 中。支持的动态替换为 $mobilenumber$ and $message$。如果您将 HTTPS 用于 HTTP API，请在 URL 字符串中包含 HTTPS 并将您的提供商的受信任证书上传至思科 ISE。在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificates)。
Data (Url encoded portion)	输入 GET 或 POST 请求的数据（URL 编码部分）。此字段是 URL 编码的。如果使用默认 GET 方法，此数据附加于上述指定 URL 后面。
Use HTTP POST method for data portion	如果使用 POST 方法，请选中此选项。上述指定数据用作 POST 请求的内容。
HTTP POST data content type	如果使用 POST 方法，请指定内容类型，例如“plain/text”或“application/xml”。
HTTPS Username HTTPS Password HTTPS Host name HTTPS Port number	输入此信息。

步骤 4

（可选）如果要添加 Javascript，在移动号码发送给 SMS 提供商之前设置其格式，请选中启用移动号码格式 (Enable Mobile Number Format) 复选框。

步骤 5

点击 Submit。

下一步做什么

如果您配置了新的 SMS 网关，您可以：

选择要在将有关帐户即将到期的 SMS 通知发送到访客时使用的 SMS 运营商。请参阅创建或编辑访客类型 (Create or Edit Guest Types)。
指定哪些已配置的 SMS 运营商应显示在 Self-Registration 表单以供自注册用户选取。请参阅创建自注册访客门户。

用于自行注册访客的社交媒体登录

访客可以选择社交媒体提供商来提供自行注册访客的凭证，而不用在访客门户中输入用户名和密码。要启用此功能，请将社交媒体网站配置为外部身份源，并配置允许用户使用该外部身份的门户（社交媒体提供商）。有关思科 ISE 的社交媒体登录的其他信息，请参阅此处： https://community.cisco.com/t5/security-documents/how-to-configure-amp-use-a-facebook-social-media-login-on-ise/ta-p/3609532

在使用社交媒体进行身份验证后，访客可以编辑从社交媒体网站检索的信息。即便使用社交媒体凭证，社交媒体网站也不知道用户已使用该网站的信息登录。思科 ISE 仍使用从社交媒体网站内部检索的信息以便日后跟踪。

您可以配置访客门户，以防止用户更改从社交媒体网站检索的信息，甚至阻止显示注册表。

社交登录访客流程

登录流程各不相同，具体取决于您如何配置门户设置。您可以配置无需用户注册、需要用户注册或需要用户注册和发起人批准的社交媒体登录。

用户连接到自行注册门户，选择使用社交媒体登录。如果配置了访问代码，用户还必须在登录页面上输入访问代码。
用户重定向到社交媒体网站进行身份验证。用户必须批准使用其社交媒体网站的基本配置文件信息。
如果成功登录社交媒体网站，思科 ISE 将从社交媒体网站检索有关用户的其他信息。思科 ISE 使用社交媒体信息登录用户。
登录后，用户可能必须接受 AUP，具体取决于配置。
登录流程中的下一操作取决于配置：
- 无注册：注册在后台完成。Facebook 向思科 ISE 提供用户设备的令牌以供登录。
- 需注册：指示用户填写已使用社交媒体提供商提供的信息预填充的注册表单。这允许用户更正信息和添加缺失的信息，并提交更新的信息以供登录。如果在注册表单设置中配置了注册代码，则用户还必须输入注册代码。
- 需注册和发起人批准：除了允许用户更新社交媒体提供的信息外，还通知用户必须等待发起人批准。发起人收到一封电子邮件，请求批准或拒绝该帐户。如果发起人批准该帐户，则思科 ISE 会通过电子邮件告知用户他们已获得权限。用户连接访客门户，并使用社交媒体令牌自动登录。
注册成功。用户将定向到注册表单设置 (Registration Form Settings) 上的提交访客的自我注册表单后将访客定向到 (After submitting the guest form for self-registration, direct guest to) 中配置的选项。用户帐户添加到为该门户的访客类型配置的终端身份组。
在访客帐户过期或用户断开网络连接之前，用户一直拥有访问权。

如果帐户过期，用户登录的唯一方法是重新激活帐户或删除该帐户。用户必须再次经历登录流程。
如果用户断网并重新连接，则思科 ISE 采取的操作取决于授权规则。如果用户单击类似于以下的授权：
```
rule if guestendpoint then permit access
```
并且用户仍在终端组中，则用户将被重定向到登录页面。如果用户仍然具备有效的令牌，则会自动登录。否则，用户必须重新注册一遍。
如果用户不再位于终端组中，用户将重定向到访客页面，再注册一遍。

社交登录帐户持续时间

帐户的重新授权因连接方法而异：

对于 802.1x，默认授权规则
```
if guestendpoint then permit access
```
允许访客在用户设备进入睡眠状态或用户设备漫游到另一座建筑物时重新连接。当用户重新连接时，用户会重定向到访客页面，在该页面上使用令牌自动登录或重新开始注册。
对于 MAB，用户每次重新连接时，都会重定向到访客门户，并需要再次点击社交媒体。如果思科 ISE 仍具有该用户帐户的令牌（访客帐户尚未过期），则流程会立即成功完成登录，而无需与社交媒体提供商建立连接。

要防止每次重新连接重定向到另一个社交登录页面，您可以配置一个记住设备的授权规则，并允许在帐户过期前访问。当帐户到期时，它会从终端组中删除，流程将重定向到访客重定向规则。例如：
```
if wireless_mab and guest endpoint then permit access
```
```
if wireless_mab then redirect to self-registration social media portal
```

报告和用户跟踪

思科 ISE 实时日志和 Facebook

身份验证身份存储库 (Authentication Identity Store)：这是您在社交媒体应用中为思科 ISE 创建的应用程序的名称。
Facebook 用户名 (Facebook username)：这是 Facebook 报告的用户名。如果允许用户在注册期间更改其用户名，则思科 ISE 报告的名称为社交媒体用户名。
SocialMediaIdentifier：这是
```
https://facebook.com/<number>
```
其中，数字标识社交媒体用户。

ISE 报告 (ISE Reports)：访客用户名是社交媒体网站上的用户名。

Facebook 分析 (Facebook Analytics)：您可以使用 Facebook 的分析功能通过 Facebook 社交登录查看谁在使用您的访客网络。

无线和 Facebook (Wireless and Facebook)：无线控制器上的用户名 (User Name) 是唯一的 Facebook ID，与实时日志上的 SocialMediaIdentifier 相同。要查看无线 UI 中的设置，请选择监控 (Monitor) > 客户端 (Clients) > 详细信息 (Detail)，然后查看用户名 (User Name) 字段。

阻止已通过社交媒体身份验证的访客

您可以创建授权规则来阻止单个社交媒体用户。使用 Facebook 进行身份验证且令牌尚未到期时，此做法非常有用。以下示例显示使用 Facebook 用户名阻止的一个连接 Wi-Fi 的访客用户。

有关为思科 ISE 配置社交登录的信息，请参阅配置社交媒体登录。

配置社交媒体登录

开始之前

配置社交媒体网站，以便思科 ISE 可以与之连接。目前仅支持 Facebook。

确保通过您的 NAD 打开以下 HTTPS 443 URL，以便思科 ISE 可以访问 Facebook：

facebook.co
akamaihd.net
akamai.co
fbcdn.net

注	Facebook 的社交媒体登录 URL 是 HTTPS。并非所有 NAD 都支持重定向到 HTTPS URL。请参阅https://communities.cisco.com/thread/79494?start=0&tstart=0&mobileredirect=true。

过程

步骤 1	在 Facebook 上，创建 Facebook 应用：登录https://developers.facebook.com并注册为开发者。在标题中选择应用 (Apps)，然后点击添加新应用 (Add a New App)。
步骤 2	添加 Web 类型的新产品 Facebook 登录。点击设置 (Settings) 并设置以下值：客户端 OAuth 登录 (Client OAuth Login)：否 Web OAuth 登录 (Web OAuth Login)：是强制 Web OAuth 重新身份验证 (Force Web OAuth Reauthentication)：否嵌入式浏览器 OAuth 登录 (Embedded Browser OAuth Login)：否有效的 OAuth 重定向 URI (Valid OAuth redirect URIs)：从思科 ISE 添加自动重定向 URL 从设备登录 (Login from Devices)：否
步骤 3	点击应用审核 (App Review)，然后为`您的应用当前处于活动状态且可供公众使用 (Your app is currently live and available to the public)` 选择是 (Yes)。
步骤 4	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > 社交媒体登录 (Social Login)。点击添加 (Add) 以创建新的社交媒体登录外部身份源。类型 (Type)：选择社交媒体登录提供方的类型。Facebook 目前是唯一选择。应用 ID (App ID)：输入来自 Facebook 应用的应用 ID。应用密钥 (App Secret)：输入来自 Facebook 应用的应用密钥。
步骤 5	在思科 ISE 中，在自注册门户中启用社交媒体登录 (Social Media Login)。在门户页面上，选择门户和页面设置 (Portal & Page Settings) > 登录页面设置 (Login Page Settings)，选中允许社交登录 (Allow Social Login) 复选框，然后输入以下详细信息：在社交媒体登录后显示注册表 (Show registration form after social login)：这可以让用户更改 Facebook 提供的信息。要求访客获得批准 (Require guests to be approved)：这会向用户告知发起人必须批准其帐户，并将向他们发送登录凭证。
步骤 6	选择管理 (Administration) > 外部身份源 (External Identity Sources)，选择 Facebook 登录 (Facebook Login) 窗口，然后编辑 Facebook 外部身份源。这将创建需要添加到 Facebook 应用的重定向 URI。
步骤 7	在 Facebook 中，将上一步中的 URI 添加到 Facebook 应用。

下一步做什么

在 Facebook 中，可以显示有关应用的数据，其中会显示 Facebook 社交媒体登录的访客活动。

访客门户

当访问公司的人员希望使用公司网络访问互联网或者您的网络上的资源和服务时，您可以通过访客门户为他们提供网络访问权限。在进行配置后，员工可以使用这些访客门户访问您的公司网络。

三种默认访客门户：

热点访客门户：授予网络访问权限，而不需要任何凭证。通常，必须在授予网络访问权限之前接受可接受的用户策略 (AUP)。

对于热点和自注册门户，无线设置支持要求访问代码登录。
发起人管理的访客门户：网络访问权限由创建访客帐户的发起人授予，并为访客提供登录凭证。
自注册访客门户：访客可以创建自己的帐户和凭证，可能需要发起人批准后才能获得网络访问权限。

思科 ISE 可托管多个访客门户，包括一组预定义的默认门户。

访客门户的凭证

思科 ISE 通过要求访客使用各种凭证，提供安全的网络访问。您可以要求访客使用以下一个或多个凭证登录。

用户名：必填。适用于使用最终用户门户（热点访客门户除外）的所有访客，系统根据用户名策略派生用户名。用户名策略仅适用于系统生成的用户名，而不适用于使用访客 API 编程接口或自行注册流程指定的用户名。您可以在工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 访客用户名策略 (Guest Username Policy) 中配置应用于用户名的策略设置。可以通过邮件、SMS 或打印形式告知访客其用户名。
密码：必填。适用于使用最终用户门户（热点访客门户除外）的所有访客，根据密码策略派生密码。您可以在工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 访客密码策略 (Guest Password Policy) 中配置应用于密码的策略设置。可以通过邮件、SMS 或打印形式告知访客其密码。
访问代码：可选。适用于使用热点访客门户和需要提供凭证的访客门户的访客。访问代码主要是提供给实际存在的访客（通过白板以肉眼方式或通过前台接待人员以口头方式）的本地已知代码。不在场的人无法获悉和使用此代码以获得网络访问权限。如果启用了访问代码设置，将出现以下情况：
- 系统会提示发起人管理的访客在 Login 页面上输入此代码（以及用户名和密码）。
- 系统会提示使用热点访客门户的访客在可接受使用政策 (AUP) 页面输入此代码。
注册码：可选。适用于自行注册访客，在如何向自行注册访客提供此代码方面其类似于访问代码。如果启用注册代码设置，系统会提示自行注册访客在 Self-Registration 窗体上输入此代码。

用户名和密码可由您公司的发起人提供（发起人管理的访客），也可以将需要提供凭证的访客门户配置为允许访客自行注册以获取这些凭证。

注	在访客门户中批量导入用户条目时，请确保以 E.164 格式提供电话号码。此外，请确保 Excel 文件中电话号码列的格式设置为“文本”。

访客使用热点访客门户进行访问

思科 ISE 提供的网络接入功能包括“热点”，访客无需凭证登录即可使用这些接入点访问互联网。当访客使用计算机或任何设备的浏览器连接到热点网络并试图连接到某个网站时，就会被自动重定向至热点访客门户。该功能同时支持有线和无线 (Wi-Fi) 连接。

作为备选访客门户，热点访客门户允许您提供网络接入而无需访客具备用户名和密码，由此可减少对访客帐户进行管理的需求。相反，思科 ISE 与网络接入设备 (NAD) 和设备注册 Web 身份验证相配合，向访客设备直接提供网络接入。某些情况下，访客可能需要使用访问代码才能登录。通常情况下，该访问代码是本地提供给公司内部实际存在的访客的代码。

如果您支持热点访客门户：

根据热点访客门户的配置和设置，如果满足访客访问条件，访客即可访问网络。
思科 ISE 为您提供默认访客身份组、访客终端，使您可以密切跟踪访客设备。

访客使用需要提供凭证的访客门户进行访问

您可以使用需要提供凭证的访客门户识别并授权外部用户临时访问内部网络和服务以及互联网。发起人可以为能够通过在门户的 Login 页面中输入这些凭证来访问网络的授权访问者创建临时用户名和密码。

可以设置需要提供凭证的访客门户，以便访客可以使用获取的用户名和密码登录：

来自发起人。在此访客流程中，当访客进入公司场地并设置具有单独访客帐户时，发起人（例如前台接待人员）会向其致意。
在访客使用可选注册代码或访问代码自行注册后。在此访客流程中，访客可以在没有任何人为交互的情况下访问互联网，并且思科 ISE 可确保这些访客具有可用于合规的唯一标识符。
在访客使用可选注册代码或访问代码自行注册后，但是仅在发起人批准对访客帐户的请求后。在此访客流程中，系统会为访客提供网络访问权限，但是仅在执行额外的筛选后才提供。

您还可以强制用户在登录时输入新密码。

通过思科 ISE，您可以创建多个需要提供凭证的访客门户，您可以使用这些门户基于不同条件允许进行访客访问。例如，对于每月承包商，您可能具有与用于日常访问者的门户不同的门户。

员工使用需要提供凭证的访客门户进行访问

员工还可以通过使用员工凭证在须提供凭证的访客门户上注册来访问网络，只要为该门户配置的身份源序列可以获取其凭证即可。

访客设备合规性

当访客和非访客通过需要提供凭证的访客门户访问网络时，您可以在允许获得访问权限之前检查其设备的合规性。可以将他们路由至“客户端调配”(Client Provisioning) 窗口，要求他们首先下载终端安全评估代理，查看其终端安全评估配置文件，验证他们的设备是否合规。具体做法是，在需要提供凭证的访客门户的访客设备合规性设置 (Guest Device Compliance Settings) 中启用此选项，此门户将在访客流程中显示“客户端调配”(Client Provisioning) 窗口。

注	访客流程中的客户端终端安全评估仅支持临时代理。

客户端调配服务为访客提供终端安全评估和补救。客户端调配门户只通过中心网络身份验证 (CWA) 访客部署提供。访客登录流程执行 CWA，在执行可接受的使用策略和更改密码检查后，需要提供凭证的访客门户被重新定向到客户端调配门户。终端安全评估子系统在网络访问设备上执行授权更改 (CoA)，在终端安全评估后，重新授权客户端连接。

访客门户配置任务

您可以使用默认门户及其默认设置，例如证书、终端身份组、身份源序列、门户主题、图像和思科 ISE 提供的其他详细信息。如果您不想使用默认设置，则应创建新门户或编辑现有门户来满足需要。如果要创建多个具有相同设置的门户，则可以复制门户。

在创建新门户或编辑默认门户后，您必须授权使用该门户。授权使用门户后，您所进行的任何后续配置更改便会立即生效。

如果您选择删除门户，则必须先删除与其关联的任何授权策略规则和授权配置文件，或者将其修改为使用其他门户。

使用以下针对配置不同访客门户相关任务编制的表格。


任务	热点访客门户	发起人管理的访客门户	自注册的访客门户
启用策略服务	必填	必填	必填
为访客门户添加证书	必填	必填	必填
创建外部身份源	不适用	必填	必填
创建身份源序列	不适用	必填	必填
创建终端身份组	必填	不是必填项（由访客类型定义）	不是必填项（由访客类型定义）
创建热点访客门户	必填	不适用	不适用
创建发起人管理的访客门户	不适用	必填	不适用
创建自注册访客门户	不适用	不适用	必填
授权门户	必填	必填	必填
自定义访客门户	可选	可选	可选

启用策略服务

为了支持思科 ISE 最终用户 Web 门户，您必须在用于托管门户的节点上启用门户-策略服务。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)。
步骤 2	点击节点并点击 Edit。
步骤 3	在常规设置 (General Settings) 选项卡下，启用策略服务 (Policy Service) 切换按钮。
步骤 4	选中启用会话服务 (Enable Session Services) 复选框。
步骤 5	点击保存。

为访客门户添加证书

如果不希望使用默认证书，您可以添加一个有效证书，并将其分配到证书组标签。用于所有最终用户 Web 门户的默认证书组标签为默认门户证书组。

过程

步骤 1
步骤 2	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 系统证书 (System Certificates)。
步骤 3	添加一个系统证书并将其分配到您希望用于该门户的证书组标签。在创建或编辑门户期间，此证书组标签可供选择。
步骤 4	选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建或编辑 (Create or Edit) > 门户设置 (Portal Settings)。
步骤 5	从与新添加证书关联的 Certificate group tag 下拉列表中选择特定的证书组标签。

创建外部身份源

思科 ISE 能够与外部身份源（例如 Active Directory、LDAP、RADIUS 令牌和 RSA SecurID 服务器）连接，以获取用于身份验证和授权的用户信息。外部身份源还包括执行基于证书的身份验证所需的证书身份验证配置文件。

注	要使用被动身份服务（它能让您接收和共享经过身份验证的用户身份），请参阅其他被动身份服务提供程序。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources)。

步骤 2

选择以下选项之一：

选择证书身份验证配置文件 (Certificate Authentication Profile) 执行基于证书的身份验证。
选择 Active Directory 作为外部身份源连接到 Active Directory。有关更多详细信息，请参阅将 Active Directory 用作外部身份源。
选择 LDAP 以添加 LDAP 身份源。有关更多详细信息，请参阅LDAP。
选择 RADIUS 令牌 (RADIUS Token) 以添加 RADIUS 令牌服务器。有关更多详细信息，请参阅RADIUS 令牌身份源。
选择 RSA SecurID 以添加 RSA SecurID 服务器。有关更多详细信息，请参阅RSA 身份源。
选择 SAML Id 提供程序 (SAML Id Providers) 添加身份提供程序 (IdP)，例如 Oracle 访问管理器。有关更多详细信息，请参阅SAMLv2 身份提供者作为外部身份源。
选择社交登录 (Social Login) 以将社交登录（如 Facebook）设置为外部身份源。有关更多详细信息，请参阅用于自行注册访客的社交媒体登录。

配置访客门户以重定向至 SAML IDP 门户进行身份验证

您可以配置访客门户以允许将用户被重定向至 SAML IDP 门户进行身份验证。

在访客门户（自注册或发起访客）配置允许以下身份提供程序访客门户用于登录 (Allow the following identity-provider guest portal to be used for login) 选项在该门户启用一个新登录区域。如果用户选择该登录选项，将被重定向至备用身份门户（他们看不到），然后重定向至 SAML IDP 登录门户进行身份验证。

例如访客门户可有员工登录的链接。取代登录现有的门户的操作是，用户点击员工登录链接，并被重定向至 SAML IDP 单一登录门户。员工可使用上次以此 SAML IDP 登录的令牌重新连接，或者在该 SAML 站点登录。这样同一门户可处理来自单一 SSID 的访客和员工。

以下步骤显示如何配置访客门户以调用另一门户，而另一门户配置为使用 SAML IDP 进行身份验证。

过程

步骤 1

配置外部身份源有关更多详细信息，请参阅SAMLv2 身份提供者作为外部身份源。

步骤 2

为 SAML 提供程序创建一个访客门户。在“门户设置”(Portal Settings) 中将身份验证方法 (Authentication method) 设置为 SAML 提供程序。用户不会看到此门户，它只是一个将用户导向 SAML IDP 登录页面的点位符。其他门户可配置为重定向至此子门户，如下所述。

步骤 3

通过重定向至您刚创建的 SAML 提供程序门户的访客门户选项，创建一个访客门户。这是将重定向至子门户的主门户。

您可能要自定义此门户的外观以使其看起来像 SAML 提供程序。

在主门户的“登录页面设置”(Login Page Settings) 页面，选中允许以下身份提供程序访客门户用于登录 (Allow the following identity-provider guest portal to be used for login)。
选择配置为与 SAML 提供程序一起使用的访客门户。

创建身份源序列

开始之前

确保您已经在思科 ISE 中配置了外部身份源。

要执行以下任务，您必须是超级管理员或系统管理员。

要允许访客用户通过本地 WebAuth 进行身份验证，必须同时配置访客门户身份验证源和身份源序列，使它们包含相同的身份存储区。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences) > 添加 (Add)。
步骤 2	输入身份源序列的名称。您还可以输入可选的说明。
步骤 3	选中 Select Certificate Authentication Profile 复选框并为基于证书的身份验证选择证书身份验证配置文件。
步骤 4	在选定列表 (Selected List) 字段中选择您希望包括在身份源序列中的数据库。
步骤 5	在选定列表 (Selected List) 字段中重新调整数据库的顺序，调整为您希望思科 ISE 搜索数据库的顺序。
步骤 6	如果无法访问所选身份库进行身份验证，请在高级搜索列表区域中选择以下选项之一：请勿访问序列中的其他库并将 “AuthenticationStatus” 属性设置为 “ProcessError” 将用户视为未找到，然后继续到序列中的下一个库在处理请求时，思科 ISE 会按照序列搜索这些身份源。确保“选定列表”(Selected list) 字段所列出的身份源的顺序是您希望思科 ISE 搜索身份源的顺序。
步骤 7	点击 Submit 创建您可以稍后在策略中使用的身份源序列。

创建终端身份组

思科 ISE 将其所发现的终端划分至相应的终端身份组。思科 ISE 拥有若干个系统定义的终端身份组。您还从终端身份组 (Endpoint Identity Groups) 窗口创建更多终端身份组。您可以编辑或删除您已创建的终端身份组。只能编辑系统定义的终端身份组的说明。无法编辑或删除这些组的名称。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份管理 (Identity Management) > 组 (Groups) > 终端身份组 (Endpoint Identity Groups)。
步骤 2	单击添加。
步骤 3	为您想要创建的终端身份组输入名称（请勿在终端身份组的名称中包含空格）。
步骤 4	为您想要创建的终端身份组输入说明。
步骤 5	点击 Parent Group 下拉列表，选择您要与新创建的终端身份组关联的终端身份组。
步骤 6	点击提交。

创建热点访客门户

您可以提供热点访客门户，以使访客能够在无需用户名和密码进行登录的情况下连接到网络。进行登录可能需要访问代码。

您可以创建新的热点访客门户，也可以编辑或复制现有热点访客门户。您可以删除任何热点访客门户，包括思科 ISE 提供的默认门户。

您在 Portal Behavior and Flow Settings 选项卡上对 Page Settings 进行的任何更改都会反映在访客流程图中的图形流程中。如果您启用某个页面（例如 AUP 页面），则该页面会显示在流程中，并且访客将在门户中体验该页面。如果禁用该页面，则系统会从流程中将其删除，并为访客显示下一个已启用页面。

所有页面设置（Authentication Success Settings 除外）都可选。

开始之前

确保您具有配置用于此门户的所需证书和终端身份组。
确保思科 ISE 支持访客将为热点门户连接到的 WLC。请参阅思科 ISE 版本对应的《身份服务引擎网络组件兼容性》指南，。

下一步做什么

您必须对门户授权才能使用门户。在对门户授权之前或之后，您都可以对门户进行自定义。

创建发起人管理的访客门户

您可以提供发起人管理的访客门户，让指定发起人向访客授予访问权限。

您可以创建一个新的发起人管理的访客门户，也可以编辑或复制现有门户。您可以删除任何发起人管理的访客门户，包括思科 ISE 提供的默认门户。

您在 Portal Behavior and Flow Settings 选项卡上对 Page Settings 进行的任何更改都会反映在访客流程图中的图形流程中。如果您启用某个页面（例如 AUP 页面），则该页面会显示在流程中，并且访客将在门户中体验该页面。如果禁用该页面，则系统会从流程中将其删除，并为访客显示下一个已启用页面。

通过以下所有页面设置，您可以为访客显示可接受使用政策 (AUP) 并要求访客接受政策：

登录页面设置
可接受使用政策 (AUP) 页面设置
BYOD 设置

开始之前

确保您具有为配合此门户使用而配置的所需证书、外部身份源和身份源序列。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate)。

步骤 2

如果创建新门户，请在创建访客门户 (Create Guest Portal) 对话框中选择发起人管理的访客门户 (Sponsored-Guest Portal) 作为门户类型，然后点击继续 (Continue)。

步骤 3

在门户名称 (Portal Name) 中提供唯一的门户名称，并在说明 (Description) 中提供门户说明。

确保您在此处使用的门户名称未用于任何其他最终用户门户。

步骤 4

使用语言文件 (Language File) 下拉菜单导出和导入要与门户一起使用的语言文件。

步骤 5

在门户设置 (Portal Settings) 中更新端口、以太网接口、证书组标签、身份源序列、身份验证方法等的默认值，然后定义适用于整个门户的行为。

步骤 6

更新以下适用于每个特定页面的设置：

登录页面设置 (Login Page Settings)：指定访客凭证和登录指南。如果您选择允许访客创建帐户 (Allow guests to create their accounts) 选项，用户将能够创建自己的访客帐户。如果未选择此选项，则需要发起人来创建访客帐户。

注	如果您已在“认证方法”(Authentication Method) 字段选择了身份提供者 (IdP)，则“登录页面设置”(Login Page Settings) 选项将被禁用。

可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy [AUP] Page Settings)：为访客添加单独的 AUP 页面并定义可接受使用政策行为，包括使用需要提供凭证的访客门户的员工。
员工更改密码设置 (Employee Change Password Settings)：要求访客在第一次登录后更改其密码。
访客设备注册设置 (Guest Device Registration Settings)：选择思科 ISE 是自动注册访客设备还是显示访客可以手动注册其设备的页面。
BYOD 设置 (BYOD Settings)：允许员工使用个人设备访问网络。
登录后横幅页面设置 (Post-Login Banner Page Settings)：授予访客网络访问权限前向其通知额外信息。
访客设备合规性设置 (Guest Device Compliance Settings)：将访客路由到“客户端调配”(Client Provisioning) 页面并要求其先下载终端安全评估代理。
VLAN DHCP 释放页面设置 (VLAN DHCP Release Page Settings)：从访客 VLAN 释放访客设备 IP 地址并进行续订，以访问网络上的其他 VLAN。
身份验证成功设置 (Authentication Success Settings)：指定访客通过身份验证后应看到的内容。
支持信息页面设置 (Support Information Page Settings)：帮助访客提供信息，以便服务台用于排除网络接入问题。

步骤 7

点击保存 (Save)。系统生成的 URL 显示为门户测试 URL (Portal test URL)，您可以使用它来访问门户并进行测试。

下一步做什么

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，ISE 会选择第一个活动 PSN。

您必须对门户授权才能使用门户。在对门户授权之前或之后，您都可以对门户进行自定义。

创建自注册访客门户

您可以提供自注册门户以允许访客自行注册并创建自己的帐户，从而可以访问网络。您还可以要求这些帐户须经发起人批准后才能授予访问权限。

您可以创建新的自注册访客门户，也可以编辑或复制现有的门户。您可以删除任何自注册访客门户，包括思科 ISE 提供的默认门户。

您在 Portal Behavior and Flow Settings 选项卡上对 Page Settings 进行的任何更改都会反映在访客流程图中的图形流程中。如果您启用某个页面（例如 AUP 页面），则该页面会显示在流程中，并且访客将在门户中体验该页面。如果禁用该页面，则系统会从流程中将其删除，并为访客显示下一个已启用页面。

通过以下所有页面设置，您可以为访客显示可接受使用政策 (AUP) 并要求访客接受政策：

登录页面设置
自注册页面设置
自注册成功页面设置
可接受使用政策 (AUP) 页面设置
BYOD 设置

开始之前

确保您已为该门户配置了必要的证书、外部身份源和身份源序列。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate)。。
步骤 2	如果要创建新门户，请在 Create Guest Portal 对话框中选择 Self-Registered Guest Portal 作为门户类型，并点击 Continue。
步骤 3	在门户名称 (Portal Name) 中提供唯一的门户名称，并在说明 (Description) 中提供门户说明。确保您在此处使用的门户名称未用于任何其他最终用户门户。
步骤 4	使用语言文件 (Language File) 下拉菜单导出和导入要与门户一起使用的语言文件。
步骤 5	在门户设置 (Portal Setting) 字段，请更新对门户行为进行定义的端口、以太网接口、证书组标记、身份源序列、身份验证方法，以及其他设置的默认值。有关门户设置字段的详细信息，请参阅需要提供凭证的访客门户的门户设置。
步骤 6	更新以下适用于每个特定页面的设置：登录页面设置 (Login Page Settings)：指定访客凭证和登录指南。有关详细信息，请参阅需要提供凭证的访客门户的登录页面设置。自注册页面设置 (Self-Registration Page Settings)：指定自注册访客将阅读并应输入到自注册表单中的信息，另外还包括访客提交表单后的访客体验。可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy [AUP] Page Settings)：为访客添加单独的 AUP 页面并定义可接受使用政策行为，包括使用需要提供凭证的访客门户的员工。有关详细信息，请参阅需要提供凭证的访客门户的可接受使用政策 (AUP) 页面设置。员工更改密码设置 (Employee Change Password Settings)：要求访客在第一次登录后更改其密码。访客设备注册设置 (Guest Device Registration Settings)：选择思科 ISE 是自动注册访客设备还是显示访客可以手动注册其设备的页面。 BYOD 设置 (BYOD Settings)：允许员工使用个人设备访问网络。有关详细信息，请参阅需要提供凭证的访客门户的 BYOD 设置。登录后横幅页面 (Include a Post-Login Banner page)：在用户成功登录后、被授予网络访问权限之前显示其他信息。访客设备合规性设置 (Guest Device Compliance Settings)：将访客重定向到“客户端调配”(Client Provisioning) 页面以进行终端安全评估。有关详细信息，请参阅需要提供凭证的访客门户的访客设备合规性设置。 VLAN DHCP 释放页面设置 (VLAN DHCP Release Page Settings)：从访客 VLAN 释放访客设备 IP 地址并进行续订，以访问网络上的其他 VLAN。有关详细信息，请参阅需要提供凭证的访客门户的 BYOD 设置。身份验证成功设置 (Authentication Success Settings)：指定在对访客进行身份验证后应将其定向至何处。如果您在身份验证后将一个访客重定向到外部 URL，可能会在解析 URL 地址和重定向会话时有延迟。有关详细信息，请参阅访客门户的身份验证成功设置。支持信息页面设置 (Support Information Page Settings)：帮助访客提供信息，以便服务台用于排除网络接入问题。
步骤 7	点击保存 (Save)。系统生成的 URL 显示为门户测试 URL (Portal test URL)，您可以使用它来访问门户并进行测试。

下一步做什么

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，ISE 会选择第一个活动 PSN。

您必须对门户授权才能使用门户。在对门户授权之前或之后，您都可以对门户进行自定义。

发起人自行注册帐户批准

当您将注册访客配置为需要让其帐户获得批准时，思科 ISE 会向批准者发送电子邮件以批准帐户。批准者可以是被访问者或发起人用户。

当批准者是发起人时，您可以配置电子邮件以包含用来拒绝或批准帐户的链接。批准链接包含一个令牌，可将批准操作关联到发起人的电子邮件地址。您可以要求发起人进行身份验证，而忽略令牌。令牌也可能超时，这需要发起人在批准帐户之前进行身份验证。

您应在自注册门户的注册表单设置 (Registration Form Settings) 中配置帐户批准选项。此功能也称为一键式发起人批准。

当发起人打开电子邮件并点击批准链接时，具体操作因批准者的配置而异。

如果将批准请求电子邮件收件方 (Email approval request to) 配置为：

被访问者
- 访客帐户不需要身份验证：一次点击即可批准帐户。
- 访客帐户需要身份验证：系统将发起人定向到发起人门户，发起人必须在这里输入其凭证才能批准帐户。
下面列出的发起人邮件地址 (Sponsor email addresses listed below)：思科 ISE 将电子邮件发送到所有提供的电子邮件地址。当其中一个发起人点击批准或拒绝链接时，他们会被定向到其发起人门户。该发起人需输入其凭证，系统会对其进行验证。如果他们所属的发起人组允许他们批准访客帐户，则他们可以批准该帐户。如果凭证失败，则思科 ISE 会通知发起人登录到发起人门户，并手动批准帐户。

考虑因素

如果正在从以前版本的思科 ISE 升级或恢复数据库，则必须手动插入批准或拒绝链接。打开自注册访客门户并选择“门户页面自定义”(Portal Page Customization) 选项卡。向下滚动并选择“批准请求电子邮件”(Approval Request Email) 窗口。点击该窗口邮件正文部分中的插入批准/拒绝链接 (Insert Approve/Deny Links)。
仅支持使用 Active Directory 和 LDAP 进行身份验证的发起人门户。发起人映射到的发起人组必须包含发起人所属的 Active Directory 组。
如果存在发起人列表，则使用第一个门户的自定义，即使该门户不是发起人登录的门户也不例外。
发起人必须使用支持 HTML 的电子邮件客户端才能使用批准和拒绝链接。
如果发起人的电子邮件地址不是有效的发起人，则不会发送批准电子邮件。

有关一键式发起人批准的详细信息，请参阅思科 ISE 社区资源：ISE 一键式发起人批准常见问题解答。本文档还有一个视频链接，其中介绍了整个过程。

配置帐户批准电子邮件链接

您可以要求自注册访客获得批准后才能访问网络。思科 ISE 使用被访问者的电子邮件地址通知审批者。审批者是被访问者或发起人。有关批准的详细信息，请参阅发起人自行注册帐户批准。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客 (Guest) > 配置 (Configure) > 访客门户 (Guest Portals)。，然后选择要为电子邮件帐户批准链接配置的自注册门户。

步骤 2

展开自注册页面设置 (Self-Registration Page Settings) 选项卡。

步骤 3

选中要求自注册访客获得批准 (Require self-registered guests to be approved)。

系统将显示批准/拒绝链接设置 (Approve/Deny Link Settings) 部分。它还使用批准和拒绝链接填充审批请求电子邮件的电子邮件配置。

输入下列详细信息：

要求自注册访客获得批准 (Require self-registered guests to be approved)：指定使用此门户的自注册访客需要获得获得发起人的批准，才能收到其访客凭证。点击此选项会显示有关发起人如何批准自注册访客的更多选项。
- 允许访客在获得发起人批准后通过自注册自动登录 (Allow guests to login automatically from self-registration after sponsor's approval)：自注册访客将在发起人批准后自动登录。
- 批准请求电子邮件收件方 (Email approval request to)：
  - 下面列出的发起人电子邮件地址 (Sponsor email addresses listed below)：输入被指定为批准者的发起人的一个或多个电子邮件地址，或邮件收发器，所有访客批准请求都会发送到上述地址。如果电子邮件地址无效，则批准会失败。
  - 被访问者 (Person being visited)：显示要求发起人提供身份验证凭证 (Require sponsor to provide credentials for authentication) 字段，并启用要包括的字段 (Fields to include) 中的必填 (Required) 选项（如果之前已禁用）。自注册表单上会显示这些字段，要求自注册访客提供这些信息。如果电子邮件地址无效，则批准会失败。
- 批准/拒绝链接设置 (Approve/Deny Link Settings)：
  - 链接有效期 (Links are valid for)：您可以设置帐户批准链接的到期期限。
  - 要求发起人提供身份验证凭证 (Require sponsor to provide credentials for authentication)：选中此选项可强制发起人输入凭证以批准帐户（即使此部分中的配置不要求如此）。仅当将要求自注册访客获得批准 (Require self-registered guests to be approved) 设置为被访问者 (person being visited) 时，此字段才可见。
  - 发起人与发起人门户匹配以验证批准权限 (Sponsor is matched to a Sponsor Portal to verify approval privileges)：点击详细信息 (Details) 以选择要搜索的门户，确认发起人是有效的系统用户、发起人组的成员，并且该组的成员有权批准帐户。每个发起人门户都有一个身份源序列，用于标识发起人。门户按其列出的顺序使用。列表中的第一个门户确定发起人门户中使用的样式和自定义。

授权门户

当授权门户时，将会设置网络访问的网络授权配置文件和规则。

开始之前

您必须先创建门户，然后才能对其进行授权。

过程

步骤 1	为门户设置特殊授权配置文件。
步骤 2	为配置文件创建授权策略规则。

创建授权配置文件

各门户要求您为其设置特殊的授权配置文件。

开始之前

如果不打算使用默认门户，您必须先创建门户以便将门户名称与授权配置文件关联。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择策略 (Policy ) > 策略元素 (Policy Elements) > 结果 (Results) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)。
步骤 2	使用您希望授权门户使用的名称创建授权配置文件。

下一步做什么

您应当创建门户授权策略规则，用于新创建的授权配置文件。

创建用于热点和 MDM 门户的授权策略规则

要配置供门户在响应用户（访客、发起人、员工）的访问请求时使用的重定向 URL，请为该门户定义授权策略规则。

url-redirect 会根据门户类型采取以下形式，其中：

ip:port：IP 地址和端口号

PortalID：唯一端口名称

对于热点访客门户：https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw

对于移动设备管理 (MDM) 门户：https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择策略 (Policy) > 策略集 (Policy Sets) 以在标准 (Standard) 策略下创建新授权策略。

步骤 2

对于条件 (Conditions)，请选择要用于门户验证的终端身份组。例如，对于热点访客门户，选择默认的 GuestEndpoints 终端身份组；而对于 MDM 门户，选择默认的 RegisteredDevices 终端身份组。

注	热点访客门户支持重新身份验证和终止 CoA 类型。仅当“热点访客门户”中选择“重新授权 CoA 类型”时，您可将 Network Access:UseCase EQUALS Guest Flow 用作热点访客授权策略中的一个验证条件。

步骤 3

对于 Permissions，请选择创建的门户授权配置文件。

注	在使用启用了 MAC 选项的字典属性创建授权条件（例如 RADIUS.Calling-Station-ID）时，必须使用 Mac 运算符（例如 Mac_equals）支持不同的 MAC 格式。

自定义访客门户

可以通过自定义门户主题、更改门户页面上的 UI 元素以及编辑向用户显示的错误消息与通知来自定义门户外观和用户（访客、发起人，在适当的情况下也可以是员工）体验。有关自定义门户的详细信息，请参阅》中的“自定义最终用户 Web 门户”部分。

配置定期 AUP 接受

过程

选择策略 (Policy) > 策略集 (Policy Sets)，在列表顶部创建新的授权规则，当 AUP 期限到期时，将访客用户重定向到需要提供凭证的门户。使用条件比较 LastAUPAcceptanceHours 与需要的最大小时数，例如 LastAUPAcceptanceHours > 8。您可以查找 1 到 999 小时的小时范围。

下一步做什么

要验证终端是否已接收 AUP 设置，请执行以下操作：

在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份 (Identities) > 终端 (Endpoints)。
点击终端，验证终端是否有 AUP 最后被接受的时间 (AUPAcceptedTime)。

强制定期 AUP

可以通过在策略中使用 LastAUPAcceptance 强制用户接受 AUP。

If LastAUPAcceptance >= 24: Hotspot Redirect

If LastAUPacceptance < 24: PermitAccess

If Wireless_MAB: Hotspot Redirect

此示例显示如何每 24 小时在热点门户上强制执行 AUP。

如果用户在 24 小时之前接受过 AUP，则必须再次接受 AUP（重新开始）。
如果用户在 24 小时之内接受过 AUP，则继续会话。
首次访问网络 (MAB) 时，他们必须接受 AUP。

对于需要提供凭证的门户，只要为此门户启用 AUP，即可使用相同规则。

注	要确保访客 AUP 页面与终端通信，请将 LastAUPacceptanceHours 条件添加到访客门户的重定向授权规则中，如下所示： `If AUP <= "X hours": Add in the Permit Access Rule` `If AUP > "X hours": Add in the Redirection Rule` 新用户可以在没有 LastAUPAcceptanceHours 条件的情况下配置重定向授权规则。

访客 Remember Me

此功能使思科 ISE 能够在报告和日志中显示访客的用户名，而不是 MAC 地址。

当访客首次进行身份验证时，用户设备的 MAC 地址保存在终端组中，报告中使用的是用户名。如果用户断开连接，然后重新连接到网络，则 MAC 地址已在终端组中，因此用户不必重新登录（身份验证）。在这种情况下，用户名不可用，因此报告和日志中使用 MAC 地址。

从思科 ISE 2.3 开始，ISE 会保留门户用户 ID，并将其用于某些报告中，具体取决于版本。

思科 ISE 2.3 实施了此功能，但您无法将其关闭。
思科 ISE 2.4 添加了禁用此功能的选项，它位于访客 (Guest) > 设置 (Settings) > 日志记录 (Logging)。默认情况下，新安装的产品中启用该选项，升级和恢复以前的版本时禁用它。

有关 Remember Me 日志记录问题的详细信息，请参阅以下思科 ISE 社区资源：ISE 2.3+ Remember Me 访客使用访客终端组日志记录显示 (ISE 2.3+ Remember Me guest using guest endpoint group logging display)。

有关配置 Remember Me 的详细信息，请参阅思科 ISE 访客访问部署指南： https://communities.cisco.com/docs/DOC-77590

有关每个版本支持的报告方法的详细信息，请参阅该版本的发行说明。

发起人门户

发起人门户是思科 ISE 访客服务主要的组件之一。使用发起人门户，发起人可以为授权的访客创建和管理临时帐户，以安全地访问公司网络或互联网。创建访客帐户后，发起人还可以使用发起人门户以打印文件、邮件或短信的形式向访客提供帐户详细信息。向自助注册的访客提供对公司网络的访问权限之前，系统可能会通过邮件要求发起人批准其访客帐户。

在发起人门户上管理客户帐户

发起人门户登录流程

发起人组指定分配给发起人用户的一组权限。当发起人登录发起人门户时：

ISE 验证发起人的凭证。
如果发起人成功通过身份验证，思科 ISE 会搜索所有可用发起人组，以查找发起人所属的发起人组。如果符合以下两个条件，则发起人匹配或属于发起人组：
- 发起人是一个已配置成员组的成员。
- 如果您使用的是其他条件，则此发起人的所有条件评估为 true。
如果发起人属于发起人组，则发起人将从此组获取权限。发起人可以属于多个发起人组，在此情况下，这些组的权限将合并。如果发起人不属于任何发起人组，则登录发起人门户时将失败。

发起人组及其权限独立于发起人门户。无论发起人登录哪个发起人门户，均使用相同的算法来匹配发起人组。

使用发起人门户

使用发起人门户为授权访问者创建用于安全访问企业网络或互联网的临时访客帐户。在创建访客帐户后，可以使用发起人门户管理这些帐户并向访客提供帐户详细信息。

在发起人门户上，发起人可以单独创建新的访客帐户，或从文件导入一组用户。

注	从外部身份存储区（例如 Active Directory）授权的 ISE 管理员可以是发起人组的一部分。但是，内部管理员帐户（例如，默认“管理员”帐户）不能是发起人组的一部分。

有多种方法可打开发起人门户：

在管理员控制台中，使用管理帐户 (Manage Accounts) 链接。在管理员控制台上，点击访客访问 (Guest Access) > 管理帐户 (Manage Accounts)。点击管理帐户 (Manage Accounts) 时，您将分配到可访问 ALL_ACCOUNTS 的默认发起人组。可以创建新的访客帐户，但无法通知这些访客，因为没有电子邮件地址可用于接收来自访客的帐户激活请求。具有相同权限的发起人在登录发起人门户并搜索这些帐户时，可以发送通知。

此步骤要求您在发起人门户的门户行为和流程设置 (Portal Behavior and Flow Settings) 窗口中配置的 FQDN 在 DNS 服务器中。

如果通过 NAT 防火墙访问发起人门户，连接将使用端口 9002。
在管理员控制台的“发起人门户配置”(Sponsor Portal configuration) 窗口中。单击访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals)，打开发起人门户，然后单击说明 (Description) 字段右侧的门户测试 URL (Portal Test URL) 链接。
在浏览器中，打开在发起人门户的门户设置 (Portal Settings) 窗口中配置的 URL (FQDN)（必须在 DNS 服务器中定义）。

后续操作

有关如何使用发起人门户的信息，请参阅适用于您的 ISE 版本的《发起人门户用户指南》https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html。

管理发起人帐户

发起人用户是通过发起人门户创建和管理访客用户帐户的组织员工或承包商。思科 ISE 会通过本地数据库或通过外部轻型目录访问协议 (LDAP)、Microsoft Active Directory 或 SAML 身份库对发起人进行身份验证。如果不使用外部资源，则必须为发起人创建内部用户帐户。

发起人组

在使用任何发起人门户时，发起人组控制对发起人的授权。如果发起人是发起人组的成员，则该发起人拥有在该组中定义的权限。

如果以下两项全都符合，则发起人被视为发起人组的成员：

发起人属于在发起人组中定义的至少一个成员组。成员组可以是用户身份组或从外部身份源中选择的组，例如 Active Directory。
发起人满足在发起人组指定的所有其他条件。其他条件是指字典属性上定义的条件，是可选的。这些条件的行为类似于授权策略中所用的条件。

一个发起人可以是多个发起人组的成员。如果是，该发起人拥有所有这些组的权限，如下所述：

如果在任何组中启用了某个权限，例如“删除访客帐户”，则会授权其该权限。
发起人可以使用任何组中的访客类型创建访客。
发起人可以在任何组中的位置创建访客。
对于诸如批次大小限制的数值，将使用各组中的最大值。

如果发起人不是任何发起人组的成员，则不允许该发起人登录任何发起人门户。

ALL_ACCOUNTS：发起人可以管理所有访客帐户。
GROUP_ACCOUNTS：发起人可以管理同一发起人组中的发起人创建的访客帐户。
OWN_ACCOUNTS：发起人只能管理他们创建的访客帐户。

您可以自定义特定发起人组的可用功能，从而限制或扩展发起人门户的功能。

创建发起人帐户并分配到发起人组

要创建内部发起人用户帐户并指定可使用发起人门户的发起人，请执行以下操作：

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users)。将内部发起人用户帐户分配到适当的用户身份组。

注	默认身份组 Guest_Portal_Sequence 已分配到默认发起人组。

步骤 2

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人组 (Sponsor Groups) > 创建、编辑或复制 (Create, Edit or Duplicate)，单击成员 (Members)。将发起人用户身份组映射到发起人组。

下一步做什么

您还可以创建特定于贵组织的额外用户身份组以用于发起人。依次选择管理 (Administration) > 身份管理 (Identity Management) > 组 (Groups) > 用户身份组 (User Identity Groups)。

配置发起人组

思科提供默认发起人组。如果不想使用默认选项，可以创建新的发起人组，或者编辑默认的发起人组，并且更改设置。还可以复制发起人组，以创建更多具有相同设置和权限的发起人组。

可以禁用发起人组，阻止发起人组成员登录发起人门户。可以删除任何发起人组，但思科 ISE 提供的默认发起人组除外。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals and Components) > 发起人组 (Sponsor Groups) > 创建、编辑或复制 (Create, Edit or Duplicate)。
步骤 2	输入 Sponsor group name 和 Description。
步骤 3	在匹配条件 (Match Criteria) 部分输入以下详细信息：成员组 (Member Groups)：点击成员 (Members) 以选择一个或多个用户（身份）组以及来自外部身份源的组，然后添加这些组。要成为此发起人组的成员，用户必须属于至少一个已配置的组。其他条件 (Other conditions)：点击创建新条件 (Create New Condition) 可构建要将发起人包括在此发起人组中所必须符合的一个或多个条件。您可以使用来自 Active Directory、LDAP、SAML 和 ODBC 身份存储区的身份验证属性，但不能使用 RADIUS 令牌或 RSA SecurID 存储区的。您也可以使用内部用户属性。条件具有属性、操作符和值。要使用内部字典属性 `Name` 创建条件，请将用户身份组作为身份组名称前缀。例如： `InternalUser:Name EQUALS bsmith` 这意味着只有名称为“bsmith”的内部用户才能属于此发起人组。要使用 Active Directory 实例的 ExternalGroups 属性创建条件，请为要匹配的发起人用户选择 AD“Primary Group”。例如，如果用户名是 Smith，则 `AD1:LastName EQUALS Smith` 为 True。除匹配一个或多个配置的成员组之外，发起人还必须符合您在此处创建的所有条件。如果一个进行身份验证的发起人用户符合多个发起人组的匹配条件，则该用户的权限如下：如果在任何匹配组中启用了某个权限，例如删除访客帐户，则会授权其该权限。发起人可以使用任何匹配组中的访客类型创建访客。发起人可以使用任何匹配组中的访客类型创建访客。发起人可以在任何匹配组中的位置创建访客。对于诸如批次大小限制的数值，将使用各匹配组中的最大值。您可以创建仅包含成员组或仅包含其他条件的匹配条件。如果仅指定其他条件，则发起人组中发起人的成员资格仅由匹配的字典属性确定。
步骤 4	要指定哪些访客类型可由基于此发起人组的发起人创建，请点击此发起人组可使用以下访客类型创建帐户 (This sponsor group can create accounts using these guest types)，然后选择一个或多个访客类型。可以点击创建访客类型在 (Create Guest Types at) 下的链接，创建更多访客类型，分配给此发起人组。创建新的访客类型后，必须先保存、关闭并重新打开发起人组，然后才能选择新建的访客类型。
步骤 5	使用选择访客将访问的位置 (Select the locations that guests will be visiting) 指定在创建访客帐户时，此发起人组中的发起人可以选择的位置（用于设置访客时区）。通过点击配置访问位置在 (Configure guest locations at) 下方的链接，并且添加访客位置，可以添加更多位置以供选择。创建新的访客位置后，必须先保存、关闭并重新打开发起人组，然后才能选择新建的访客位置。这不会限制访客从其他位置登录。
步骤 6	如果希望发起人在创建用户后省去点击通知 (Notify) 的步骤，则在自动访客通知 (Automatic guest notification) 下，选中如果邮件地址可用，则在创建帐户时自动向访客发送邮件 (Automatically email guests upon account creation if email address is available)。这会导致弹出一个窗口，说明已发送电子邮件。选中此项还会为发起人门户增加标题行，内容是自动发送访客通知 (Guest notifications are sent automatically)。
步骤 7	在发起人可创建 (Sponsor Can Create) 下，配置此发起人组中的发起人用来创建访问帐户的选项。分配给特定访客的多个访客帐户（导入）(Multiple guest accounts assigned to specific guests [Import])：允许发起人通过从文件中导入访客详细信息（例如名字和姓氏）创建多个访客帐户。如果启用此选项，则导入 (Import) 选项将显示在发起人门户的创建帐户 (Create Accounts) 窗口中。Import 选项仅在桌面浏览器（而非移动）上可用，例如 Internet Explorer、Firefox、Safari 等。批处理帐户数限制 (Limit to batch of)：如果允许此发起人组同时创建多个帐户，请指定在单个导入操作中可以创建的访客帐户数。虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。分配给任意访客的多个访客帐户（随机）(Multiple guest accounts to be assigned to any guests [Random])：允许发起人为尚且未知的访客以占位符形式创建多个随机访客帐户，或快速创建多个帐户。如果启用此选项，则随机 (Random) 选项将显示在发起人门户的创建帐户 (Create Accounts) 窗口中。默认用户名前缀 (Default username prefix)：指定发起人在创建多个随机访客帐户时可以使用的用户名前缀。如果指定，则在创建随机访客帐户时，发起人门户中会出现此前缀。此外，如果 Allow sponsor to specify a username prefix 的状态为：已启用 (Enabled)：发起人可以在发起人门户中编辑默认前缀。未启用 (Not enabled)：发起人无法在发起人门户中编辑默认前缀。如果您不指定用户名前缀或者不允许发起人指定用户名前缀，则发起人将无法在发起人门户中分配用户名前缀。允许发起人指定用户名前缀 (Allow sponsor to specify a username prefix)：如果允许此发起人组同时创建多个帐户，请指定在单个导入操作中可以创建的访客帐户数。虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。
步骤 8	在发起人可管理 (Sponsor Can Manage) 下，可以限制此发起人组的成员可以查看和管理哪些访客帐户。仅发起人创建的帐户 (Only accounts sponsor has created)：此组中的发起人只能根据发起人的电子邮件帐户，查看和管理他们创建的访客帐户。此发起人组的成员创建的帐户 (Accounts created by members of this sponsor group)：此组中的发起人可查看和管理此发起人组中任意发起人创建的访客帐户。所有访客帐户 (All guest accounts)：发起人查看并管理所有待处理访客帐户。
步骤 9	在发起人可以 (Sponsor Can) 下，可以向此发起人组的成员提供更多关于访客密码和帐户的权限。更新访客的联系信息（电子邮件、电话号码）(Update guests' contact information (email, Phone Number))：对于他们可以管理的访客帐户，允许发起人更改访客的联系信息查看/打印访客密码 (View/print guests' passwords)：启用此选项后，发起人可以打印访客密码。发起人可以在管理帐户 (Manage Accounts) 窗口和访客详细信息中查看访客的密码。未选中此选项时，发起人无法打印密码，但用户仍可以通过电子邮件或 SMS（如果已配置）获取密码。发送含访客凭证的 SMS 通知 (Send SMS notifications with guests’ credentials)：对于他们可以管理的访客帐户，允许发起人向访客发送包含其帐户详细信息和登录凭证的 SMS（文本）通知。重置访客帐户密码 (Reset guest account passwords)：对于他们可以管理的访客帐户，允许发起人将访客的密码重置为由思科 ISE 生成的随机密码。延长访客帐户有效期 (Extend guests’ accounts)：对于他们可以管理的访客帐户，允许发起人将其延长至到期日期之后。发起人自动复制到发送给访客的、有关帐户到期的邮件通知上。删除访客帐户 (Delete guests’ accounts)：对于他们可以管理的访客帐户，允许发起人删除帐户并阻止访客访问您公司的网络。暂停访客帐户 (Suspend guests’ accounts)：对于他们可以管理的访客帐户，允许发起人暂停其帐户，以阻止访客临时登录。此操作还会发出授权变更 (CoA) 终止，以从网络中删除暂停的访客。要求发起人提供原因 (Require sponsor to provide a reason)：要求发起人提供暂停访客帐户的原因。批准并查看自行注册访客的请求 (Approve and view requests from self-registering guests)：此发起人组中的发起人可以查看自行注册访客的所有待处理帐户请求（待审批），或仅在用户（作为被访问人）输入发起人电子邮件地址时的请求。此功能要求选中自注册访客使用的门户中的要求自注册访客需获得批准 (Require self-registered guests to be approved)，而且列有发起人（作为联系人）的电子邮件。任何待处理帐户：属于此组的发起人可以批准并审核由任何发起人创建的帐户。仅分配给此发起人的待处理帐户：属于此组的发起人只能查看和批准自己创建的帐户。使用编程接口（访客 REST API）访问思科 ISE 访客帐户 (Access Cisco ISE guest accounts using the programmatic interface (Guest REST API))：对于他们可以管理的访客帐户，允许发起人使用访客 REST API 编程接口访问访客帐户。
步骤 10	点击保存 (Save)，然后点击关闭 (Close)。

为创建发起人帐户配置帐户内容

您可以配置访客和发起人创建新访客帐户时必须提供的用户数据类型。某些字段是识别 ISE 帐户所必需的，但您可以删除其他字段，并添加自己的自定义字段。

配置发起人创建帐户时使用的字段：

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals)，然后编辑发起人门户。
选择门户页面自定义 (Portal Page Customization) 选项卡。
向下滚动并选择为已知访客创建帐户 (Create Account for Known Guests)。
在右侧的预览屏幕上，选择设置 (Settings)。

这些设置决定了在发起人门户上创建访客帐户时显示哪些字段以及哪些是必填字段。此配置适用于“已知”(Known)、“随机”(Random) 和“导入”(Imported) 访客类型。发起人为导入新用户而下载的模板是动态创建的，因此仅包括在已知访客中设置的字段。

导入帐户的用户名和密码

发起人可以导入用户名和密码，但当发起人下载 CSV 模板时，这些行不会添加到模板中。发起人可以添加这些标题。它们必须正确命名，以便 ISE 能够识别列：

用户名 - 可以是 User Name 或 UserName。
密码 - 必须是 password。

发起人门户的特殊设置

以下设置是发起人门户“门户页面自定义”(Portal Page Customization) 选项卡上的“为导入的访客创建帐户”(Create Account for Imported Guest) 页面的独有设置。

允许在访客凭证电子邮件中复制发起人 (Allow sponsor to be copied in Guest Credentials email)：如果启用此选项，则发送到成功导入的访客的每封访客凭证电子邮件也会发送到发起人。默认为不向发起人发送电子邮件。
允许发起人接收摘要邮件 (Allow sponsor to receive summary email)：当发起人导入用户列表时，ISE 会发送一封包含所有导入用户摘要的电子邮件。如果取消选中此选项，发起人会收到每个导入用户的单独电子邮件。

配置发起人门户流程

您可以使用默认门户及其默认设置，例如证书、终端身份组、身份源序列、门户主题、图像和思科 ISE 提供的其他详细信息。如果您不想使用默认设置，则应创建新门户或编辑现有门户来满足需要。如果要创建多个具有相同设置的门户，则可以复制门户。

如果贵公司的公司办公室及其零售点拥有不同的品牌，或者贵公司拥有不同产品品牌，或者驻某城市的办公室希望消防、警察和其他部门具有不同主题的门户，则您可能希望创建多个发起人门户。

这些是与配置发起人门户有关的任务。

开始之前

配置或编辑站点的现有发起人组，如配置发起人组中所述。

过程

步骤 1	启用策略服务。
步骤 2	添加用于访客服务的证书。
步骤 3	创建外部身份源。
步骤 4	创建身份源序列。
步骤 5	创建发起人门户。
步骤 6	(可选) 自定义发起人门户。

启用策略服务

为了支持思科 ISE 最终用户 Web 门户，您必须在用于托管门户的节点上启用门户-策略服务。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 部署 (Deployment)。
步骤 2	点击节点并点击 Edit。
步骤 3	在常规设置 (General Settings) 选项卡下，启用策略服务 (Policy Service) 切换按钮。
步骤 4	选中启用会话服务 (Enable Session Services) 复选框。
步骤 5	点击保存。

添加用于访客服务的证书

如果不希望使用默认证书，您可以添加一个有效证书，并将其分配到证书组标签。用于所有最终用户 Web 门户的默认证书组标签为默认门户证书组。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 系统证书 (System Certificates)。
步骤 2	添加一个系统证书并将其分配到您希望用于该门户的证书组标签。在创建或编辑门户期间，此证书组标签可供选择。
步骤 3	选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 创建或编辑 (Create or Edit) > 门户设置 (Portal Settings)。
步骤 4	从与新添加证书关联的 Certificate Group Tag 下拉列表中选择特定的证书组标签。

创建外部身份源

思科 ISE 能够与外部身份源（例如 Active Directory、LDAP、RADIUS 令牌和 RSA SecurID 服务器）连接，以获取用于身份验证和授权的用户信息。外部身份源还包括执行基于证书的身份验证所需的证书身份验证配置文件。

注	要使用被动身份服务（它能让您接收和共享经过身份验证的用户身份），请参阅其他被动身份服务提供程序。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources)。

步骤 2

选择以下选项之一：

选择证书身份验证配置文件 (Certificate Authentication Profile) 执行基于证书的身份验证。
选择 Active Directory 作为外部身份源连接到 Active Directory。有关更多详细信息，请参阅将 Active Directory 用作外部身份源。
选择 LDAP 以添加 LDAP 身份源。有关更多详细信息，请参阅LDAP。
选择 RADIUS 令牌 (RADIUS Token) 以添加 RADIUS 令牌服务器。有关更多详细信息，请参阅RADIUS 令牌身份源。
选择 RSA SecurID 以添加 RSA SecurID 服务器。有关更多详细信息，请参阅RSA 身份源。
选择 SAML Id 提供程序 (SAML Id Providers) 添加身份提供程序 (IdP)，例如 Oracle 访问管理器。有关更多详细信息，请参阅SAMLv2 身份提供者作为外部身份源。
选择社交登录 (Social Login) 以将社交登录（如 Facebook）设置为外部身份源。有关更多详细信息，请参阅用于自行注册访客的社交媒体登录。

创建身份源序列

开始之前

确保您已经在思科 ISE 中配置了外部身份源。

要执行以下任务，您必须是超级管理员或系统管理员。

要允许访客用户通过本地 WebAuth 进行身份验证，必须同时配置访客门户身份验证源和身份源序列，使它们包含相同的身份存储区。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences) > 添加 (Add)。
步骤 2	输入身份源序列的名称。您还可以输入可选的说明。
步骤 3	选中 Select Certificate Authentication Profile 复选框并为基于证书的身份验证选择证书身份验证配置文件。
步骤 4	在选定列表 (Selected List) 字段中选择您希望包括在身份源序列中的数据库。
步骤 5	在选定列表 (Selected List) 字段中重新调整数据库的顺序，调整为您希望思科 ISE 搜索数据库的顺序。
步骤 6	如果无法访问所选身份库进行身份验证，请在高级搜索列表区域中选择以下选项之一：请勿访问序列中的其他库并将 “AuthenticationStatus” 属性设置为 “ProcessError” 将用户视为未找到，然后继续到序列中的下一个库在处理请求时，思科 ISE 会按照序列搜索这些身份源。确保“选定列表”(Selected list) 字段所列出的身份源的顺序是您希望思科 ISE 搜索身份源的顺序。
步骤 7	点击 Submit 创建您可以稍后在策略中使用的身份源序列。

创建发起人门户

您可以提供发起人门户，支持发起人为要连接到您的网络访问互联网及内部资源和服务的访客创建、管理和审批帐户。

思科 ISE 为您提供了默认发起人门户，您可以使用该门户，而不必创建另一个门户。但是，您可以创建新的发起人门户，也可以编辑或复制现有门户。您可以删除上述任何门户，默认发起人门户除外。

您对门户行为和流程设置 (Portal Behavior and Flow Settings) 选项卡上的“页面设置”(Page Settings) 所做的任何更改均会反映到发起人流程图中的图形流程中。如果您启用某个页面，例如 AUP 页面，它会显示在流程中，并且发起人会在门户中看到此页面。如果您禁用某个页面，它会从流程中删除，并且系统会为发起人显示下一个启用的页面。

开始之前

确保您具有为配合此门户使用而配置的所需证书、外部身份源和身份源序列。

过程

步骤 1	配置门户设置 (Portal Settings) 页面，如发起人门户的门户设置中所述。确保您在此处使用的门户名称未用于任何其他最终用户门户。
步骤 2	配置登录设置 (Login Settings) 页面，如发起人门户的登录页面设置中所述。
步骤 3	配置可接受的使用策略 (AUP) 页面设置 (Acceptable Use Policy [AUP] Page Settings) 页面，如发起人门户的可接受使用政策 (AUP) 页面设置中所述。
步骤 4	配置发起人更改密码设置 (Sponsor Change Password Settings) 选项，如发起人门户的发起人更改密码设置中所述。
步骤 5	配置登录后横幅页面设置 (Post-Login Banner Page Settings) 页面，如发起人门户的登录后横幅页面设置中所述。
步骤 6	如果要自定义门户，请点击发起人门户应用设置 (Sponsor Portal Application Settings)。
步骤 7	单击保存。

自定义发起人门户

可以通过自定义门户主题、更改门户页面上的 UI 元素以及编辑向用户显示的错误消息与通知来自定义门户外观和用户体验。有关自定义门户的详细信息，请参阅自定义最终用户 Web 门户。

为创建发起人帐户配置帐户内容

您可以配置访客和发起人创建新访客帐户时必须提供的用户数据类型。某些字段是识别 ISE 帐户所必需的，但您可以删除其他字段，并添加自己的自定义字段。

配置发起人创建帐户时使用的字段：

选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals)，然后编辑发起人门户。
选择门户页面自定义 (Portal Page Customization) 选项卡。
向下滚动并选择为已知访客创建帐户 (Create Account for Known Guests)。

在右侧的预览屏幕上，选择设置 (Settings)。这些设置决定了在发起人门户上创建访客帐户时显示哪些字段，以及哪些是必填字段。

此配置适用于“已知”(Known)、“随机”(Random) 和“导入”(Imported) 访客类型。发起人为导入新用户而下载的模板是动态创建的，因此仅包括在已知访客中设置的字段。

发起人导入帐户的用户名和密码

发起人可以导入用户名和密码，但当发起人下载模板时，这些行不会添加到模板中。发起人可以添加这些标题。它们必须正确命名，以便思科 ISE 能够识别列：

用户名：可以是 User Name或 UserName
密码：必须是密码

配置适用于发起人的时间设置

当发起人创建新的访客帐户时，他们会配置该帐户的活动时间。您可以配置发起人可用的选项，以允许他们设置帐户持续时间以及开始和结束时间。这些选项按访客类型配置。发起人在访问信息 (Access Information) 标题下查看结果。

控制发起人门户帐户时间选项的访客类型设置位于标题最长访问时间 (Maximum Access Time) 下，如下所述：

从首次登录开始 (From first login)：发起人门户显示首次登录后帐户处于活动状态的持续时间。

访客类型设置最长帐户持续时间 (Maximum Account Duration) 确定发起人可为持续时间输入的值。
从发起人指定日期开始（或从自行注册日期开始，如果适用）(From sponsor-specified date (or date of self-registration, if applicable))：发起人可以选择将持续时间设置为“工作日结束”(End of business day)，或者取消选中该字段并设置持续时间、开始时间和结束时间。

用于控制持续时间和生效日期的访客类型设置位于标题仅在这些日期和时间允许访问 (Allow access only on these days and times) 下。
- 您选择的星期几限制了在发起人的日历中可选择的日期。
- 选择持续时间和日期时，发起人门户中将实施最长帐户持续时间。

发起人门户的 Kerberos 身份验证

您可以配置思科 ISE，使之使用 Kerberos 对登录到 Windows 以访问发起人门户的发起人用户进行身份验证。此过程使用 Kerberos 票证中的已登录发起人用户的 Active Directory 凭证。在浏览器与思科 ISE 建立 SSL 连接后，系统会在安全隧道内执行 Kerberos SSO。

以下项目必须位于同一 Active Directory 域中：

发起人的 PC
ISE PSN
为此发起人门户配置的 FQDN

此要求是因为 Microsoft 不支持跨 Active Directory 林的双向信任 Kerberos SSO。

发起人用户必须登录 Windows。

访客门户不支持 Kerberos 身份验证。

配置 Kerberos

要在发起人门户上启用 Kerberos，请选中发起人设置和自定义 (Sponsor Settings and Customization) 窗口中的允许 Kerberos SSO (Allow Kerberos SSO) 复选框。

此外，还必须正确配置发起人的浏览器。以下各节介绍如何手动配置每个浏览器。

注	Active Directory 中的用户名和用户主体名称必须匹配。SSO 将根据用户主体名称来识别用户的会话。

注

在从浏览器使用发起人门户 FQDN 访问发起人门户时，思科 ISE 会将请求重定向到 PSN FQDN，而不是配置的发起人门户 FQDN。

例如，如果发起人门户 FQDN 为 sponsor.example.com，并且 PSN FQDN 为 psn.example.com，那么在尝试通过浏览器访问 https://sponsor.example.com 时，您就会被重定向到 https://ise.example.com:8445/sponsorportal/PortalSetup.action?portal=b7e7d773-7bb3-442b-a50b-42837c12248a。

只有在启用 Allow Kerberos SSO 选项时才会发生此行为。

要手动配置 Firefox

在地址栏中输入 about:config。
忽略显示的警告，然后点击以继续。
在搜索栏中搜索 negotiate。
将 FQDN 添加到 network.negotiate-auth.delegation-uris 和 network.negotiate-auth.trusted-uris。每个属性的 URL 列表以逗号分隔。
关闭选项卡浏览器已就绪，无需重新启动。

手动配置 Internet Explorer

点击右上角的齿轮，然后选择 Internet 选项 (Internet Options)。
点击安全选项卡。
点击本地 Intranet (Local Intranet)。
点击站点 (Sites)，然后点击高级 (Advanced)。
添加字符串 <mydomain>.com，其中 <mydomain> 是发起人门户 FQDN 的通配符，或者可以输入 FQDN。
点击关闭 (Close)，然后点击确定 (OK)。
单击 Advanced 选项卡。
向下滚动到安全 (Security) 部分并选中启用集成 Windows 身份验证 (Enable Integrated Windows Authentication) 复选框。
重启计算机。

Chrome 可以从 Internet Explorer 获取配置

故障排除

在命令提示符下运行 set user，验证计算机是否绑定到正确的 AD 域。
在命令提示符下运行 klist，查看缓存的 Kerberos 票证和主机名列表。
查看 SPNEGO 令牌数据。NTLM 密码令牌字符串比 Kerberos 令牌字符串短很多；正确的令牌字符串不应包含在一行中。
使用采用过滤器 kerberos 的 Wireshark 捕获 Kerberos 请求（如果存在）。

注	当启用 Kerberos SSO 选项时，用户需要通过节点 FQDN 访问发起人门户，以使 Kerberos SSO 正常运行。如果为发起人门户配置了门户 FQDN，则当用户连接到门户 FQDN 时，用户将通过其节点 FQDN 重定向到门户。

发起人无法登录发起人门户

问题

当发起人尝试登录 Sponsor 门户时，系统显示以下错误消息：


“Invalid username or password. Please try again.”

原因

发起人输入了无效凭证。
由于数据库（内部用户数据库或 Active Directory）中没有此用户记录，此发起人无效。
发起人所属的发起人组已禁用。
发起人的用户帐户不属于活动/已启用的发起人组，这意味着发起人用户的身份组不是任何发起人组的成员。
发起人的内部用户帐户已禁用（暂停）。

解决方案

验证用户的凭证。
启用发起人组。
如果该用户帐户已禁用，则恢复该用户帐户。
将发起人用户的身份组添加为发起人组的成员。

监控访客和发起人活动

思科 ISE 提供各种报告和日志，您可以通过这些报告和日志查看终端与用户管理信息以及访客与发起人活动。

您可以按需或按计划运行这些报告。

过程

步骤 1	在思科 ISE GUI 中，单击菜单图标 ()，然后选择操作 (Operations) > 报告 (Reports) > 报告 (Reports)。
步骤 2	选择访客 (Guest) 或终端和用户 (Endpoints and Users) 以查看各种访客、发起人和终端相关报告
步骤 3	选择要使用过滤器 (Filters) 下拉列表搜索的数据。
步骤 4	在 Time Range 中选择您想要查看的数据的时间范围。
步骤 5	点击运行。

指标控制面板

思科 ISE 会在思科 ISE 主页的指标控制板中提供网络中经过身份验证的访客 (Authenticated Guests) 和活动终端 (Active Endpoints) 的概览视图。

注	对于热点流，终端不会显示在经过身份验证的访客 (Authenticated Guest) Dashlet 上

AUP 接受状态报告

AUP Acceptance Status 报告访客从所有访客门户对可接受使用政策 (AUP) 的接受状态。要查看此处窗口，请单击菜单图标 ()，然后选择操作 (Operations) > 报告 (Reports) > 访客 (Guest) > AUP 接受状态 (AUP Acceptance Status)。

您可以使用此报告跟踪特定时间的所有已接受和已拒绝的 AUP 连接。

访客记账报告

访客记账报告显示指定时间段内的访客登录历史记录。要查看此处窗口，请单击菜单图标 ()，然后选择操作 (Operations) > 报告 (Reports) > Guest > 访客记账 (Guest Accounting)。

主访客报告

“主访客报告”(Primary Guest Report) 将各种报告的数据融入一个视图中，让您可以导出来自不同报告来源的数据。您可以添加更多数据列，删除您不想查看或导出的数据列。要查看此处窗口，请单击菜单图标 ()，然后选择操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 访客 (Guest) > 主访客报告 (Primary Guest Report)。

此报告收集所有访客活动并提供有关访客用户访问的网站的详细信息。您可以使用此报告进行安全审核，以查看访客用户何时访问了网络以及他们在网络上执行了什么活动。要查看访客的互联网活动（例如他们访问的网站的 URL），您必须首先执行以下操作：

启用 Passed authentications 日志记录类别。在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories)，然后选择“已通过的身份验证”(Passed Authentications)。
在防火墙上启用用于访客流量的以下选项：
- Inspect HTTP traffic and send data to Cisco ISE Monitoring node. 思科 ISE 仅要求获取 Guest Activity 报告的 IP 地址和已访问 URL；所以，尽可能将数据限制为仅包含这些信息。
- Send syslogs to Cisco ISE Monitoring node.

发起人登录和审核报告

发起人登录和审核报告是用于跟踪以下内容的组合报告：

发起人门户中的发起人登录活动。
发起人门户中由发起人执行的访客相关操作。

要查看此处窗口，请单击菜单图标 ()，然后选择操作 (Operations) > 报告 (Reports) > 访客访问报告 (Guest Access Reports) > 发起人登录和审核报告 (Sponsor Login and Audit)。

访客门户和发起人门户的审核日志记录

在访客门户和发起人门户内执行特定操作的过程中，系统会向基础审核系统发送审核日志消息。默认情况下，这些消息显示在 /opt/CSCOcpm/logs/localStore/iseLocalStore.log 文件中。

您可以将这些消息配置为由系统日志发送到监控和故障排除系统及日志收集器。监控子系统会在相应的发起人和设备审核日志及访客活动日志中提供此信息。

无论访客登录成功还是失败，访客登录流程都会记录在审核日志中。

访客访问 Web 身份验证选项

思科 ISE 访客和 Web 身份验证服务支持多个部署选项，可实现安全的访客访问。可以使用本地或集中式 Web 身份验证和设备注册 Web 身份验证，提供有线或无线访客连接。

集中式 Web 身份验证（集中式 WebAuth）：适用于所有访客门户。对于有线和无线连接请求，将由中央思科 ISE RADIUS 服务器使用 Web 身份验证。访客通过在热点访客门户上输入可选访问代码，或在需要提供凭证的访客门户上输入用户名和密码来进行身份验证。

注	在重定向期间，如果浏览器打开多个选项卡，思科 ISE 会重定向到每个选项卡。用户可以登录到门户，但思科 ISE 无法授权会话，并且用户无法获得访问权限。要解决此问题，用户必须关闭浏览器上除一个选项卡外的所有选项卡。

本地 Web 身份验证（本地 WebAuth）：适用于需要提供凭证的访客门户。访客连接到交换机进行有线连接，或连接到无线 LAN 控制器 (WLC) 进行无线连接。网络接入设备 (NAD) 会将其定向到网页以进行身份验证。访客在需要提供凭证的访客门户上输入用户名和密码以进行身份验证。
设备注册 Web 身份验证（设备注册 WebAuth）：仅适用于热点访客门户。思科 ISE 在 Web 身份验证之前注册并授权访客设备。当访客连接到有线或无线 NAD 时，会定向到热点访客门户。访客无需提供凭证（用户名和密码）即可访问网络。


ISE 社区资源有关如何使用 Cisco Wireless Controller 配置思科 ISE 以提供访客访问权限的信息，请参阅《 ISE 访客访问规范化部署指南》。另请参阅以下技术说明：《ISE 无线访客设置指南和向导》。

采用集中式 Web 身份验证流程的 NAD

在此方案中，网络访问设备 (NAD) 从未知终端连接向思科 ISE RADIUS 服务器发送新的授权请求。然后，终端接收到向思科 ISE 的 URL 重定向。

注	仅 IOS XE 3.7E、IOS 15.2(4) E 或更高版本支持 webauth-vrf-aware 命令。其他交换机在虚拟路由和转发 (VRF) 环境中不支持 Web 身份验证 URL 重定向。在这种情况下，作为解决办法，您可以在全局路由表中添加路由，以将流量泄漏回 VRF。

如果访客设备已连接 NAD，则访客服务交互采取 MAC 身份验证绕行 (MAB) 请求的形式，导致访客通过访客门户进行集中式 Web 身份验证登录。以下是对后续集中式 Web 身份验证的概述，此集中式 Web 身份验证适用于无线和有线网络访问设备。

访客设备通过硬线连接方式连接至 NAD。访客设备上无 802.1X 请求方。
包含适用于 MAB 的服务类型的身份验证策略允许在 MAB 失败的情况下继续运行并返回包含集中式 Web 身份验证用户界面的 URL 重定向的受限网络配置文件。
NAD 配置为对向思科 ISE RADIUS 服务器发出的 MAB 请求进行身份验证。
思科 ISE RADIUS 服务器处理 MAB 请求，但找不到适用于访客设备的终端。

这种 MAB 失败导致产生受限制网络配置文件并且在配置文件中返回指向 access-accept 中 NAD 的 url-redirect 值。要支持此功能，请确保已有授权策略而且其支持相应的有线或无线 MAB（在复合条件下），此外可以选择使用“Session:Posture Status=Unknown”条件。NAD 使用此值将默认端口 8443 上的所有访客 HTTP 流量重定向至 url-redirect 值。

此案例中标准 URL 值为：https://ip:port/guestportal/gateway?sessionId=NetworkSessionId&portal=<PortalID>&action=cwa
访客设备通过 Web 浏览器向重定向 URL 发出 HTTP 请求。
NAD 将此请求重定向至从初始 access-accept 返回的 url-redirect 值。
带操作 CWA 的网关 URL 值重定向至访客门户登录页面。
访客输入其登录凭证，然后提交登录窗体。
访客服务器对登录凭证进行身份验证。
根据流量类型，会发生以下情况：
- 如果为非安全评估流量（无进一步验证的身份验证），其中访客门户未配置为执行客户端调配，访客服务器会向 NAD 发送 CoA。此 CoA 将导致 NAD 使用思科 ISE RADIUS 服务器对访客设备进行重新身份验证。系统向已配置网络访问权限的 NAD 返回新的 access-accept 响应。如果未配置客户端调配并且需要更改 VLAN，则访客门户执行 VLAN IP 更新。访客无需重新输入登录凭证。系统自动使用首次登录时输入的用户名和密码。
- 如果是安全评估流量，其中访客门户配置为执行客户端调配，访客设备 Web 浏览器显示关于安全评估代理安装和合规性的 Client Provisioning 页面。（您也可以配置客户端调配资源策略以设置“NetworkAccess:UseCase=GuestFlow”条件。）

访客门户将重定向至客户端调配门户（因为没有适用于 Linux 的客户端调配或终端安全评估代理），此门户转而重定向回到访客身份验证 servlet，以执行可选 IP 释放/更新，然后执行 CoA。

重定向至 Client Provisioning 门户时，客户端调配服务将非永久性 Web 代理下载至访客设备并对设备执行安全评估检查。或者，还可以配置带有“NetworkAccess:UseCase=GuestFlow”条件的终端安全评估策略。

如果访客设备不合规，请确保已配置带有“NetworkAccess:UseCase=GuestFlow”和“Session:Posture Status=NonCompliant”条件的授权策略。

当访客设备合规时，请确保已配置带有“NetworkAccess:UseCase=GuestFlow”和“Session:Posture Status=Compliant”条件的授权策略。从此处，客户端调配服务向 NAD 发出 CoA。此 CoA 导致 NAD 使用思科 ISE RADIUS 服务器对访客进行重新身份验证。系统向已配置网络访问权限的 NAD 返回新的 access-accept 响应。

注	“NetworkAccess:UseCase=GuestFlow”还可应用于 Active Directory 和以访客身份登录的 LDAP 用户。

使用本地 Web 身份验证流程的无线 LAN 控制器

在这种方案下，访客登录并被重定向至无线 LAN 控制器 (WLC)。然后，WLC 将访客重定向到访客门户，在门户中系统会提示访客输入他们的登录凭证，接受可选的可接受使用政策 (AUP) 并可选择更改密码。完成此操作后，访客设备的浏览器将重定向回到 WLC 以通过 POST 提供登录凭证。

现在，WLC 可以通过思科 ISE RADIUS 服务器让访客登录。完成此操作后，WLC 将客户设备浏览器重定向至原 URL 目标地址。要支持用于访客门户的原 URL 重定向，无线 LAN 控制器 (WLC) 和网络接入设备 (NAD) 要求为运行 IOS-XE 3.6.0.E 和 15.2(2)E 版本的 WLC 5760 与 Cisco Catalyst 3850、3650、2000、3000 和 4000 系列接入交换机。

带本地网络身份验证进程的有线 NAD

在此场景中，访客门户将访客登录请求重定向到交换机（有线 NAD）。登录请求采用 HTTPS URL 形式发布到交换机，并且包含登录凭证。交换机接收访客登录请求，并使用已配置的思科 ISE RADIUS 服务器验证访客。

思科 ISE 要求将 HTML 重定向的 login.html 文件上传到 NAD。此 login.html 文件返回到访客设备的浏览器，响应任何 HTTPS 请求。
访客设备的浏览器被重定向到访客门户，在此输入访客的登录凭证。
处理可接受使用政策 (AUP) 和更改密码（两项均可选）后，访客门户重定向访客设备的浏览器，在 NAD 上发布登录凭证。
NAD 向思科 ISE RADIUS 服务器发出 RADIUS 请求，要求对访客进行身份验证和授权。

Login.html 页面所需的 IP 地址和端口值

IP 地址和端口值必须在 login.html 页面的以下 HTML 代码中更改为思科 ISE 策略服务节点正在使用的值。默认端口为 8443，但是您可以更改此值，以便确保您分配给交换机的值与思科 ISE 中的设置相匹配。


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<head>
<title>ISE Guest Portal</title>
<meta Http-Equiv="Cache-Control" Content="no-cache">
<meta Http-Equiv="Pragma" Content="no-cache">
<meta Http-Equiv="Expires" Content="0">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">

<meta http-equiv="REFRESH" content="0;url=https://ip:port/portal/PortalSetup.action?switch_url=wired">

</HEAD>
<BODY>

<center>
Redirecting ... Login
<br>
<br>
<a href="https://ip:port/portal/PortalSetup.action?switch_url=wired">ISE Guest Portal</a>
</center>

</BODY>
</HTML>

自定义登录页面是公共 Web 表单，因此请考虑以下准则：

登录表必须接受用户名和密码的用户条目，并且将它们显示为 uname 和 pwd。
自定义登录页应当遵循 Web 表最佳实践，例如页面超时、隐藏密码和防止冗余提交。

在 NAD 上启用的 HTTPS 服务器

要使用基于 Web 的身份验证，您必须使用 ip http secure-server 命令在交换机内启用 HTTPS 服务器。

NAD 自定义身份验证代理 Web 页面的支持

您可以向 NAD 上传自定义的成功、过期和失败页面。思科 ISE 无需任何特定的自定义，因此您可以根据 NAD 的标准配置说明来创建这些页面。

在 NAD 上配置 Web 身份验证

需要使用自定义文件替换默认 HTML 页面，在 NAD 上完成 Web 身份验证。

开始之前

在基于 Web 的身份验证期间，创建四个替代 HTML 页面，而不使用交换机默认 HTML 页面。

过程

步骤 1

要指定使用自定义身份验证代理 Web 页面，首先在交换机闪存上存储自定义 HTML 文件。要将 HTML 文件复制到交换机闪存中，请在交换机上运行以下命令：

copy tftp/ftp flash

步骤 2

将 HTML 文件复制到交换机之后，在全局配置模式下执行以下命令：


ip admission proxy http login page file device:`login-filename`	指定自定义 HTML 文件在交换机内存文件系统中的位置，替换默认登录页面。设备：为闪存。
ip admission proxy http success page file device:`success-filename`	指定自定义 HTML 文件的位置，替换默认登录成功页面。
ip admission proxy http failure page file device:`fail-filename`	指定自定义 HTML 文件的位置，替换默认登录失败页面。
ip admission proxy http login expired page file device:`expired-filename`	指定自定义 HTML 文件的位置，替换默认登录过期页面。

步骤 3

请遵循交换机提供的指南，配置自定义身份验证代理 Web 页面。

步骤 4

如下列所示，验证自定义身份验证代理 Web 页面的配置：


Switch# show ip admission configuration
Authentication proxy webpage
	Login page           : flash:login.htm
	Success page         : flash:success.htm
	Fail Page            : flash:fail.htm
	Login expired Page   : flash:expired.htm

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

设备注册 Web 身份验证流程

通过使用设备注册 Web 身份验证和热点访客门户，您可以允许访客设备连接到专用网络，而无需用户名和密码。

在此场景中，访客使用无线连接来连接到网络。有关设备注册 Web 身份验证流程的示例，请参阅图 16-1。以下是后续设备注册 Web 身份验证过程的概要，此过程与无线和有限连接类似：

网络接入设备 (NAD) 将重定向发送到热点访客门户。
如果访客设备的 MAC 地址不在任何终端身份组中或者未通过将可接受使用政策 (AUP) 接受的属性设置为 true 进行标记，则思科 ISE 会利用授权配置文件中指定的 URL 重定向进行响应。
URL 重定向会在访客尝试访问任何 URL 时向其显示 AUP 页面（如果启用）。
- 如果访客接受 AUP，则与其设备 MAC 地址关联的终端会分配给已配置的终端身份组。此终端现在通过将 AUP 接受的属性设置为 true 进行标记，从而对访客是否接受 AUP 进行跟踪。
- 如果客户不接受 AUP 或者如果发生错误（例如，在创建或更新终端时），系统会显示错误消息。
根据热点访客门户配置，可能会出现包含其他信息的访问后横幅页面（如果启用）。
创建或更新终端后，将向 NAD 发送授权变更 (CoA) 终止请求。
在 CoA 后，NAD 会使用新的 MAC 身份验证绕行 (MAB) 请求对访客连接重新进行身份验证。新的身份验证会使用终端的关联终端身份组查找该终端，并且返回对 NAD 的已配置访问。
根据热点访客门户配置，访客会被定向到其请求访问的 URL、管理员指定的自定义 URL 或 Authentication Success 页面。

有线和无线的 CoA 类型均是 Termination CoA。您可以配置热点访客门户来执行 VLAN DHCP Release（和更新），从而将有线与无线的 CoA 类型均重新授权为 Change of Auth。

VLAN DHCP Release 支持仅适用于 Windows 设备。它不适用于移动设备。如果进行注册的设备是移动设备，并且启用了 VLAN DHCP Release 选项，则会请求访客手动更新其 IP 地址。对于移动设备用户，我们建议使用 WLC 上的访问控制列表 (ACL)，而不是使用 VLAN。

访客门户设置

门户标识设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 访客门户或发起人门户设置和自定义 (Guest Portals or Sponsor Portals Settings and Customization)。

门户名称 (Portal Name)：输入用于访问此门户的唯一门户名称。请勿将此门户名称用于任何其他发起人门户、访客门户或非访客门户，如阻止列表门户、自带设备 (BYOD) 门户、客户端调配门户、移动设备管理 (MDM) 门户或我的设备门户。

此名称显示在用于重定向选择的授权配置文件门户选择中。它应用于门户列表，以便在其他门户中轻松识别。
描述 (Description)：可选。

门户测试 URL (Portal test URL)：点击保存 (Save) 后，系统生成的 URL 会显示为链接。使用此连接来测试门户。

点击该链接可打开新的浏览器标签页，其中显示此门户的 URL。必须打开具有策略服务的策略服务节点 (PSN)。如果禁用策略服务，则 PSN 仅显示管理员门户。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

语言文件 (Language File)：默认情况下，每个门户类型支持 15 种语言，这些语言可作为在单个压缩语言文件中捆绑在一起的单独属性文件使用。导出或导入要用于门户的压缩语言文件。压缩语言文件包含可用于显示门户的文本的所有单独语言文件。

语言文件包含到特定浏览器区域设置的映射，以及该语言下整个门户的所有字符串设置。单个语言文件包含所有受支持的语言，因此它可轻松用于实现翻译和本地化目的。

如果您更改一种语言的浏览器区域设置，则更改会应用于所有其他最终用户 Web 门户。例如，如果在热点访客门户中将 French.properties 浏览器区域设置从 fr,fr-fr,fr-ca 更改为 fr,fr-fr，则更改还会应用于我的设备门户。

在门户页面自定义 (Portal Page Customizations) 选项卡中自定义任何文本时，系统都会显示警报图标。警报消息会提醒您在自定义门户时对一种语言所做的任何更改必须同时添加到所有受支持的语言属性文件。您可以使用下拉列表选项手动关闭警报图标；或者它会在您导入更新后的压缩语言文件后自动关闭。

热点访客门户的门户设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 新建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 门户设置 (Portal Settings)。

HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（阻止列表门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

有效的组合包括（以发起人门户为例）：
- 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 1，证书组 A 和阻止列表门户：端口 8444，接口 0，证书组 B。
无效组合包括：
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 0，证书标签 A 和阻止列表门户：端口 8444，接口 0，证书组 A。

注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 以太网接口必须使用不同子网上的 IP 地址。
- 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
- 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。
- 如果仅选择绑定 NIC，则当 PSN 尝试配置门户时，首先会尝试配置绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 记录错误并退出。PSN 不会尝试在物理接口上启动门户。
- 若要配置两个单独的 NIC 以提供高可用性（容错），NIC 组合 (NIC Teaming) 或绑定是一种配置选择。如果其中一个 NIC 失败，属于绑定连接中一部分的另一个 NIC 会继续连接。根据门户设置 (Portal Settings) 配置，为门户选择一个 NIC。如果物理 NIC 和相应的绑定 NIC 均已配置，则当 PSN 尝试配置门户时，首先会尝试连接绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 尝试在物理接口上启动门户。
证书组标签 (Certificate Group tag)：选取一个证书组标签，指定要用于门户的 HTTPS 流量的证书。
终端身份组 (Endpoint Identity Group)：选择用于跟踪访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。

选择用于跟踪员工设备的终端身份组。思科 ISE 提供 RegisteredDevices 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。
当此身份组中的终端达到 __ 天时将其清除 (Purge Endpoints in this Identity Group when they Reach __ Days)：指定从思科 ISE 数据库中清除设备之前应经历的天数。每天都会进行清除，并且清除活动与整体清除时间同步。更改全局应用于此终端身份组。

如果根据其他策略条件对终端清除策略进行更改，则此设置不可再使用。
显示语言
- 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。
- 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。
- 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。

热点访客门户的可接受使用政策 (AUP) 页面设置

要查看此处窗口，请单击菜单图标 (

)，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy (AUP) Page Settings)。

包含 AUP (Include an AUP)：在单独的页面上向用户显示公司的网络使用条款和条件。
要求访问代码 (Require an Access Code)：分配访问代码，作为多个访客在获取网络访问权限时应使用的登录凭证。访问代码主要是提供给实际存在的访客（通过白板以肉眼方式或通过前台接待人员以口头方式）的本地已知代码。它不会被场地外的人员获知和使用以访问网络。

除作为登录凭证提供给单独访客的用户名和密码以外，您还可以使用此选项。
要求滚动至 AUP 的末尾 (Require scrolling to end of AUP) - 确保用户已完全阅读 AUP。仅在用户已滚动至 AUP 的末尾时，才会激活接受 (Accept) 按钮。配置何时向用户显示 AUP。

配置热点访客门户流时，AUP 访问代码取决于终端身份组设备注册。

仅在从与热点门户配置绑定的终端身份组中删除 MAC 地址后，才会显示 AUP 访问代码页面。通过思科 ISE 上的“情景可视性”(Context Visibility) 页面从数据库中手动删除终端，或者通过终端清除功能和配置的终端清除策略清除终端。

热点门户的访问后横幅页面设置

此页面的导航路径为：工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访问接入后横幅页面设置 (Post-Access Banner Page Settings) 。

使用此设置可通知访客其访问状态以及任何其他附加操作（如果需要）。


字段	使用指南
包含访问后横幅页面 (Include a Post-Access Banner page)	在对访客成功进行身份验证后并在向其授予网络访问权限之前显示其他信息。

需要提供凭证的访客门户的门户设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 新建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 门户设置 (Portal Settings)。

HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（阻止列表门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

有效的组合包括（以发起人门户为例）：
- 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 1，证书组 A 和阻止列表门户：端口 8444，接口 0，证书组 B。
无效组合包括：
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 0，证书标签 A 和阻止列表门户：端口 8444，接口 0，证书组 A。

注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 以太网接口必须使用不同子网上的 IP 地址。
- 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
- 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。
- 如果仅选择绑定 NIC，则当 PSN 尝试配置门户时，首先会尝试配置绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 记录错误并退出。PSN 不会尝试在物理接口上启动门户。
- 若要配置两个单独的 NIC 以提供高可用性（容错），NIC 组合 (NIC Teaming) 或绑定是一种配置选择。如果其中一个 NIC 失败，属于绑定连接中一部分的另一个 NIC 会继续连接。根据门户设置 (Portal Settings) 配置，为门户选择一个 NIC。如果物理 NIC 和相应的绑定 NIC 均已配置，则当 PSN 尝试配置门户时，首先会尝试连接绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 尝试在物理接口上启动门户。
门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
身份验证方法 (Authentication Method)：选择将哪个身份源序列或身份提供程序 (IdP) 用于用户身份验证。身份源序列是验证用户凭证时，按顺序搜索的身份存储区列表。

思科 ISE 包含适用于发起人门户的默认身份源序列：Sponsor_Portal_Sequence。

要配置 IdP，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > SAML 身份提供程序 (SAML Id Providers)。

要配置身份源序列，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences)。
使用此门户的员工作为访客继承登录选项自 (Employees Using this Portal as Guests Inherit Login Options from)：选择员工登录此门户时被分配的访客类型。员工的终端数据存储在终端身份组中，该身份组在属性在终端身份组中存储设备信息 (Store device information in endpoint identity group) 的访客类型中进行配置。不会从关联的访客类型继承其他属性。
显示语言
- 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。
- 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。
- 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。

需要提供凭证的访客门户的登录页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 登录页面设置 (Login Page Settings)。

要求访问代码 (Require an Access Code)：分配访问代码，作为多个访客在获取网络访问权限时应使用的登录凭证。访问代码主要是提供给实际存在的访客（通过白板以肉眼方式或通过前台接待人员以口头方式）的本地已知代码。它不会被场地外的人员获知和使用以访问网络。

除作为登录凭证提供给单独访客的用户名和密码以外，您还可以使用此选项。
速率限制之前最大失败登录尝试次数 (Maximum Failed Login Attempts Before Rate Limiting)：指定思科 ISE 开始限制该帐户之前从单个浏览器会话尝试登录时的失败次数。这不会导致帐户锁定。限制的速率在限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts When Rate Limiting) 中进行配置。
限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts when Rate Limiting)：设置用户在达到速率限制之前最大失败登录尝试次数 (Maximum failed login attempts before rate limiting) 中定义的登录失败次数后，尝试再次登录（限制速率）之前必须等待的时间长度（分钟）。
包含 AUP (Include an AUP)：将可接受使用政策窗口添加到流。可以将 AUP 添加到窗口，或链接到另一个窗口。
允许访客创建自己的帐户 (Allow Guests to Create their Own Accounts)：在此门户的登录页面上为访客提供自行注册的选项。如果未选中此选项，则发起人需创建访客帐户。启用该选项会同时启用该页面中的选项卡以供您配置自注册页面设置和自注册成功页面设置。

如果访客选择此选项，则为其提供自注册表单，他们可在其中输入请求的信息来创建其自己的访客帐户。
允许访客找回密码 (Allow Guests to Recover the Password)：此选项可在访客门户上为自注册访客启用“重置密码”(Reset Password) 按钮。如果仍然拥有有效帐户的自注册访客连接登录门户并忘记了密码，他们可以点击重置密码 (Reset Password)。这会让他们返回自注册窗口，在此窗口中，他们可以输入自己的（注册时使用的）电话或电子邮件，然后输入新密码。
允许社交媒体登录 (Allow Social Login)：使用社交媒体网站获取此门户用户的登录凭证。选中此选项会显示以下设置：
- 在社交媒体登录后显示注册表 (Show registration form after social login)：这可以让用户更改 Facebook 提供的信息。
- 要求访客获得批准 (Require guests to be approved)：这会向用户告知发起人必须批准其帐户，并将向他们发送登录凭证。

允许访客在登录后更改密码 (Allow guests to change password after login)：允许访客在成功进行身份验证并接受 AUP 后更改其密码（如果需要）。如果访客更改其密码，则在丢失登录凭证的情况下发起人无法为访客提供其登录凭证。发起人只能将访客的密码重置为随机密码。

注	内部用户无法在访客门户中更改其密码。

允许以下身份提供程序访客门户用于登录 (Allow the following identity-provider guest portal to be used for login)：选中此选项并选择 SAML ID 身份提供程序后，可向此门户添加该 SAML ID 的链接。此子门户可配置为类似于接收用户提供的凭证的 SAML IDP 的门户。
允许社交媒体登录 (Allow social login)：允许此门户将社交媒体类型用于用户登录。有关配置社交媒体登录的详细信息，请参阅用于自行注册访客的社交媒体登录。

自注册页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portal & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 自注册页面设置 (Self Registration Page Settings)。使用这些设置可以让访客能够自行注册，并指定访客必须在自注册表单中提供的信息。

将自注册访客分配到访客类型 (Assign self-registered guests to guest type)：选择应该将使用此门户的所有自注册访客分配到访客类型。
帐户有效期 (Account valid for)：以天、小时或分钟为单位指定帐户的持续时间，经过此时间之后，帐户就会到期，除非您或发起人在发起人门户中延长帐户持续时间。
要求用于自注册的注册码 (Require a registration code for self registration)：为自助注册访客分配成功提交其自注册表单所必须输入的代码。注册代码与接入代码类似，都是通过离线方式提供给访客，以防外部的用户访问系统。
要包括的字段 (Fields to include)：检查要在自注册表单上显示的字段。然后检查哪些字段是访客提交此表单和接收访客帐户必须填写的强制字段。您可能需要强制填写 SMS Service Provider 和 Person being Visited 等字段，以从自助注册访客收集重要信息。
- 位置 (Location)：输入自助注册访客在注册时可以使用您所定义的位置列表选择的位置。这将自动分配相关时区，作为这些访客的有效访问时间。应使用明确的位置名称，以免在选择时出现含糊（如波士顿办事处、纽约公园大道 500 号、新加坡）。
  
  如果计划按一天中的时段来限制访客访问，则时区用来确定该时间。除非所有时间访问受控访客都位于圣荷西时区，否则请为您的区域设置创建时区。如果只有一个位置，系统会将其自动指定为默认位置，并且不在门户中显示此字段以供访客查看。此外，在要包括的字段 (Fields to include) 列表中，会禁用位置 (Location)。
- SMS 服务运营商 (SMS Service Provider)：在自注册表单上显示 SMS 运营商，使自注册访客可以选择他们自己的 SMS 运营商。然后，可以使用访客的 SMS 服务向他们发送 SMS 通知，这可以最大程度地降低公司开支。如果只选择一个 SMS 运营商供访客使用，则此字段不会在自注册表单上显示。
- 被访问者 (Person being visited)：这是一个文本字段，因此，如果要使用它，请指示访客在此字段中输入哪种类型的信息。
- 自定义字段 (Custom Fields)：选择之前为向自注册访客收集更多数据而创建的自定义字段。然后检查哪些字段是访客提交 Self-Registration 表单和接收访客帐户必须填写的字段。系统按名称字母顺序列出这些字段。您可以在工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 自定义字段 (Custom Fields) 上创建这些字段，以便添加更多自定义字段。
- 包含一个 AUP (Include an AUP)：显示公司的网络使用条款和条件，可以是当前为用户显示的页面上的文本，或是一个链接，能够打开包含 AUP 文本的新选项卡或窗口。
  - 要求接受 (Require acceptance)：确保用户已完整阅读 AUP。这会在自注册页面上配置接受 (Accept) 按钮。如果将 AUP 配置为在页面上，则还可以禁用“接受”(Accept) 按钮，直到用户滚动到 AUP 的末尾。
仅允许电子邮件地址来自以下域的访客 (Only allow guests with an email address from)：指定自注册访客可在电子邮件地址 (Email Address) 中使用哪些允许的域列表来创建电子邮件地址，例如，cisco.com。

如果将此字段留空，则任何电子邮件地址均有效，但不允许电子邮件地址来自以下域的访客 (Do not allow guests with email address from) 中列出的域除外。
不允许电子邮件地址来自以下域的访客 (Do not allow guests with email address from)：指定自注册访客不能在电子邮件地址 (Email Address) 中用来创建电子邮件地址的阻止域列表，例如，czgtgj.com。
要求自注册访客获得批准 (Require self-registered guests to be approved)：指定使用此门户的自注册访客需要获得获得发起人的批准，才能收到其访客凭证。点击此选项会显示有关发起人如何批准自注册访客的更多选项。
- 允许访客在获得发起人批准后通过自注册自动登录 (Allow guests to login automatically from self-registration after sponsor's approval)：自注册访客将在发起人批准后自动登录。
- 批准请求电子邮件收件方 (Email approval request to)：
  - 下面列出的发起人电子邮件地址 (Sponsor email addresses listed below)：输入被指定为批准者的发起人的一个或多个电子邮件地址，或邮件收发器，所有访客批准请求都会发送到上述地址。如果电子邮件地址无效，则批准会失败。
  - 被访问者 (Person being visited)：显示要求发起人提供身份验证凭证 (Require sponsor to provide credentials for authentication) 字段，并启用要包括的字段 (Fields to include) 中的必填 (Required) 选项（如果之前已禁用）。自注册表单上会显示这些字段，要求自注册访客提供这些信息。如果电子邮件地址无效，则批准会失败。
- 批准/拒绝链接设置 (Approve/Deny Link Settings)：
  - 链接有效期 (Links are valid for)：您可以设置帐户批准链接的到期期限。
  - 要求发起人提供身份验证凭证 (Require sponsor to provide credentials for authentication)：选中此选项可强制发起人输入凭证以批准帐户（即使此部分中的配置不要求如此）。仅当将要求自注册访客获得批准 (Require self-registered guests to be approved) 设置为被访问者 (person being visited) 时，此字段才可见。
  - 发起人与发起人门户匹配以验证批准权限 (Sponsor is matched to a Sponsor Portal to verify approval privileges)：点击详细信息 (Details) 以选择要搜索的门户，确认发起人是有效的系统用户、发起人组的成员，并且该组的成员有权批准帐户。每个发起人门户都有一个身份源序列，用于标识发起人。门户按其列出的顺序使用。列表中的第一个门户确定发起人门户中使用的样式和自定义。
提交注册后，将访客定向至 (After registration submission, direct guest to)：选择在成功注册后将自注册访客定向到什么位置。
- 自注册成功页面 (Self-Registration Success page)：将成功自注册的访客定向至自注册成功 (Self-Registration Success) 窗口，其中会显示您在自注册成功页面设置 (Self Registration Success Page Settings) 中指定的字段和消息。
  
  可能无需显示所有信息，因为系统可能正在等待批准帐户（如已在此窗口启用该选项）或根据此窗口中指定的允许列表域和组织列表域，向电子邮件地址或电话号码发送登录凭证。
  
  如果在自注册成功页面设置 (Self-Registration Success Page Settings) 中启用了允许访客直接从自注册成功页面登录 (Allow guests to log in directly from the Self-Registration Success page)，则自助注册成功的访客可以直接从此窗口登录。如未启用，则在显示自注册成功 (Self-Registration Success) 窗口之后，系统会将访客定向至门户的登录窗口。
- 包含如何获取登录凭证相关说明的登录页面 (Login page with instructions about how to obtain login credentials)：将成功自注册的访客定向回到门户的登录窗口，并显示一条消息，如“请等待您的访客凭证以电子邮件、短信或打印格式送达，然后再继续登录。(Please wait for your guest credentials to be delivered either via email, SMS, or print format and proceed with logging in)”。
  
  要自定义默认消息，请点击门户页面自定义 (Portal Page Customization) 选项卡，然后选择自注册页面设置 (Self-Registration Page Settings)。
  
  系统可能正在等待批准帐户（如已在此窗口启用该选项）或根据此窗口中指定的允许列表域和组织列表域，向电子邮件地址或电话号码发送登录凭证。
- URL：将自注册成功的访客定向至指定的 URL，同时等待他们的帐户凭证送达。
  
  系统可能正在等待批准帐户（如已在此窗口启用该选项）或根据此窗口中指定的允许列表域和组织列表域，向电子邮件地址或电话号码发送登录凭证。
使用以下方式自动发送凭证通知：
- 电子邮件 (Email)：选择将邮件作为自注册成功的访客用来接收其登录凭证信息的选项。如果您选择此选项，Email address 会成为 Fields to include 列表中的必填字段，而且您再也无法禁用此选项。
- SMS：选择将 SMS 作为自注册成功的访客用来接收其登录凭证信息的选项。如果您选择此选项，SMS Service Provider 会成为 Fields to include 列表中的必填字段，而且您再也无法禁用此选项。

自行注册成功页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 自注册成功页面设置 (Self Registration Success Page Settings)。使用这些设置可向成功自注册的访客通知他们获取网络访问权限所需的凭证。


字段	使用指南
自注册成功页面中纳入该信息 (Include this information on the Self-Registration Success page)	选中要在“自注册成功”(Self-Registration Success) 页面上为成功自注册访客显示的字段。如果不需要访客的赞助商审批，请选中用户名 (Username) 和密码 (Password)，为访客显示这些凭证。如果需要赞助商审批，则这些字段将被禁用，因为凭证只能在得到批准之后发送到访客。
允许访客通过以下方式向自己发送信息 (Allow guest to send information to self using)	选中成功自注册访客可用于向自己传送凭证信息的方式的选项：打印 (Print)、电子邮件 (Email) 或 SMS。
包含一个 AUP（在页面上/作为链接）(Include an AUP [on page/as link])	将公司的网络使用条款和条件显示为当前为用户显示的窗口上的文本或者显示为用于打开包含 AUP 文本的新选项卡或窗口的链接。
要求接受 (Require Acceptance)	要求用户在其帐户完全启用之前接受 AUP。除非用户接受 AUP，否则不会启用登录 (Login) 按钮。如果用户不接受 AUP，将不会获取网络访问权限。
要求滚动至 AUP 的末尾 (Require scrolling to end of AUP)	如果选择了页面上的 AUP (AUP on page) 选项，系统会显示此字段。确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 末尾时，才会启用接受 (Accept) 按钮。
允许访客直接通过自注册成功页面登录 (Allow guests to log in directly from the Self-Registration Success page)	“自注册成功”(Self-Registration Success) 页面底部显示登录 (Login) 按钮。这使得访客能够绕过“登录” (Login) 页面，自动将登录凭证传送到门户并在门户流程中显示下一个页面（例如，AUP 页面）。

需要提供凭证的访客门户的可接受使用政策 (AUP) 页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy (AUP) Page Settings)。

包含 AUP (Include an AUP)：在单独的页面上向用户显示公司的网络使用条款和条件。
对员工使用不同的 AUP (Use Different AUP for Employees)：仅为员工显示不同的 AUP 及网络使用条款和条件。如果您选择此选项，则不能同时选择跳过面向员工的 AUP (Skip AUP for employees)。
对员工跳过 AUP (Skip AUP for Employees)：员工在访问网络之前无需接受 AUP。如果您选择此选项，则不能同时选择使用面向员工的不同 AUP (Use different AUP for employees)。
要求滚动至 AUP 末尾 (Require Scrolling to End of AUP)：此选项仅在已启用在页面上包含 AUP (Include an AUP on page) 时显示。

确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 的末尾时，才会激活接受 (Accept) 按钮。配置何时向用户显示 AUP。
- 仅首次登录时 (On First Login only)：仅在用户首次登录网络或门户时显示 AUP。
- 每次登录时 (On Every Login)：每次用户登录网络或门户时都显示 AUP。
- 每 __ 天（从首次登录算起）(Every __ Days [starting at first login])：在用户首次登录网络或门户后定期显示 AUP。

需要提供凭证的访客门户的访客更改密码设置

访客更改密码设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访客更改密码设置 (Guest Change Password Settings)

允许访客在登录后更改密码 (Allow guests to change password after login)：允许访客在成功进行身份验证并接受 AUP 后更改其密码（如果需要）。如果访客更改其密码，则在丢失登录凭证的情况下发起人无法为访客提供其登录凭证。发起人只能将访客的密码重置为随机密码。

注	内部用户无法在访客门户中更改其密码。

需要提供凭证的访客门户的访客设备注册设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 访客设备注册设置 (Guest Device Registration Settings)。

使用这些设置可确保在登录到访客设备时思科 ISE 自动注册访客设备，或者允许访客在登录后手动注册其设备。

在工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客类型 (Guest Types) 中为每个访客类型指定最大设备数量。

自动注册访客设备 (Automatically Register Guest Devices)：自动为访客用来访问此门户的设备创建终端。此终端将添加到为此门户指定的终端身份组。
现在，可以创建授权规则来允许访问该身份组中的终端，以便不再需要 Web 身份验证。

如果达到最大注册设备数，则系统会自动删除第一个注册设备，注册访客尝试登录所使用的设备，并且通知访客。选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户 (Portals & Components) > 访客类型 (Guest Types) 以更改可向其注册访客的设备的最大数量。
允许访客注册设备 (Allow Guests to Register Devices)：访客可以通过提供名称、说明和 MAC 地址手动注册其设备。MAC 地址与终端身份组相关联。
如果达到最大注册设备数，则访客需要删除至少一个设备，然后才允许其注册其他设备。

需要提供凭证的访客门户的 BYOD 设置

此页面的导航路径为：工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > BYOD 设置 (BYOD Settings)。

使用这些设置为非访客（例如使用需要提供凭证的访客门户访问企业网络的员工）启用自带设备 (BYOD) 功能。


字段	使用指南
允许员工在网络中使用个人设备 (Allow Employees to use Personal Devices on the Network)	向此门户添加“BYOD 注册”(BYOD Registration) 窗口，允许员工完成员工设备注册过程，并且可能进行本地请求方和证书调配，具体视员工的个人设备类型（例如，iOS、Android、OSX）对应的客户端调配设置而定。
终端身份组	选择用于跟踪访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。
Allow employees to choose to get guest access only	使员工可以访问访客网络并避免在访问企业网络时可能需要另行调配和注册。
在注册期间显示设备 ID 字段 (Display Device ID Field During Registration)	在注册过程中向用户显示设备 ID，即使设备 ID 已预配置并在使用 BYOD 门户时无法更改也如此。
原始 URL (Originating URL)	成功对网络进行身份验证后，将用户的浏览器重定向到用户正在尝试访问的原始网站（如果适用）。如果不适用，则系统会显示“身份验证成功”(Authentication Success) 窗口。请确保允许重定向 URL 通过 NAD 上的访问控制列表和在该 NAD 的思科 ISE 中配置的授权配置文件，在 PSN 的端口 8443 上工作。对于 Windows、MAC 和 Android 设备，控制权交给自助调配向导应用，后者负责调配。因此，这些设备不会被重定向到原始 URL。但是，iOS (dot1X) 和不受支持的设备（允许进行网络访问）会重定向到此 URL。
注册成功页面	显示设备注册成功的页面。
URL	成功对网络进行身份验证后，将用户的浏览器重定向到指定的 URL，例如贵公司的网站。

需要提供凭证的访客门户的登录后横幅页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访问后横幅页面设置 (Post-Access Banner Page Settings)。

使用此设置可在用户（适用情况下的访客、发起人或员工）成功登录后向其通知其他信息。


字段	使用指南
包含登录后横幅页面 (Include a Post-Login Banner page)	在用户成功登录后并在向其授予网络访问权限之前显示其他信息。

需要提供凭证的访客门户的访客设备合规性设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 访客设备合规性设置 (Guest Device Compliance Settings)。使用这些设置可要求使用访客门户的访客和员工对其设备进行客户端调配，以便获取对网络的访问权限。

需要访客设备合规性 (Require guest device compliance) - 将访客重定向到“客户端调配”(Client Provisioning) 页面，这会要求其下载终端安全评估代理。这会将客户端调配添加到访客流，您可以在其中配置访客的终端安全评估策略，如检查病毒防护软件。
如果访客是使用需要提供证书的访客门户来访问网络的员工，并且：
- 如果您已启用 BYOD Settings 中的 Allow employees to use personal devices on the network，则员工会被重定向到 BYOD 流程，并且不会进行客户端调配。
- 如果您同时启用 BYOD Settings 中的 Allow employees to use personal devices on the network 和 Allow employees to choose to get guest access only，并且员工选择访客接入，则他们会被重定向到 Client Provisioning 页面。

访客门户的 VLAN DHCP 释放页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > VLAN DHCP 释放页面设置 (VLAN DHCP Release Page Settings)。

启用 VLAN DHCP 释放 (Enable VLAN DHCP release)：在有线与无线环境中发生 VLAN 更改后刷新访客的 Windows 设备 IP 地址。

这会在网络访问将访客 VLAN 更改为新 VLAN 时影响最终授权过程中的集中式 Web 身份验证 (CWA) 流程。在 VLAN 更改之前必须释放访客的旧 IP 地址，并且必须在访客连接新 VLAN 时通过 DHCP 请求新访客 IP 地址。仅在使用 DirectX 控件的 Internet Explorer 浏览器上支持 IP 地址释放和续订操作。

“VLAN DHCP 释放”(VLAN DHCP Release) 选项不适用于移动设备。相反，系统会请求访客手动重置 IP 地址。此方法因设备而异。例如，在 Apple iOS 设备上，访客可以选择 Wi-Fi 网络并点击 Renew Lease 按钮。
延迟 __ 秒释放 (Delay to Release __ Seconds)：输入延迟释放时间。我们建议使用较短的值，因为释放必须紧随在下载小应用程序之后、在思科 ISE 服务器指示 NAD 对 CoA 请求重新进行身份验证之前发生。
延迟 __ 秒执行 CoA (Delay to CoA __ Seconds)：输入使思科 ISE 延迟执行 CoA 的时间。提供足够时间（使用默认值作为规定值），以允许下载小程序并在客户端上执行 IP 释放。
延迟 __ 秒续订 (Delay to Renew __ Seconds)：输入延迟续订值。此时间会添加到 IP 释放值，并且在下载控件之前不会开始计时。提供足够时间（使用默认值作为规定值），以便允许 CoA 进行处理并授予新的 VLAN 访问权限。

访客门户的身份验证成功设置

要查看此处窗口，请单击菜单图标 (

)，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 身份验证成功设置 (Authentication Success Settings)。

这些设置会通知用户（适用的访客、发起人或员工）身份验证成功或显示 URL。在经过身份验证后将访客转到: (Once authenticated, take guest to:) 下，配置以下字段：

原始 URL (Originating URL)：成功对网络进行身份验证后，将用户的浏览器重定向到用户正在尝试访问的原始网站（如果适用）。如果不适用，则系统会显示“身份验证成功”(Authentication Success) 窗口。请确保允许重定向 URL 通过 NAD 上的访问控制列表和在该 NAD 的 ISE 中配置的授权配置文件，在 PSN 的端口 8443 上工作。

对于 Windows、MAC 和 Android 设备，控制权交给自助调配向导应用，后者负责调配。因此，这些设备不会被重定向到原始 URL。但是，iOS (dot1X) 和不受支持的设备（允许进行网络访问）会重定向到此 URL。
身份验证成功 (Authentication Success) 页面：通知用户身份验证成功。
URL：成功对网络进行身份验证后，将用户的浏览器重定向到指定的 URL，例如您公司的网站。

注	如果您在身份验证后将一个访客重定向到外部 URL，可能会在解析 URL 地址和重定向会话时有延迟。请确保允许重定向 URL 通过 NAD 上的访问控制列表和在该 NAD 的 ISE 中配置的授权配置文件，在 PSN 的端口 8443 上工作。

访客门户的支持信息页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 支持信息页面设置 (Support Information Page Settings)。

使用这些设置可显示服务中心可用于对用户（适用情况下的访客、发起人或员工）遇到的访问问题进行故障排除的信息。


字段	使用指南
包含支持信息页面 (Include a Support Information Page)	在门户的所有已启用窗口上显示指向信息窗口（例如联系我们 [Contact Us]）的链接。
MAC 地址	在支持信息 (Support Information) 窗口上包含设备的 MAC 地址。
IP 地址	在支持信息 (Support Information) 窗口上包含设备的 IP 地址。
浏览器用户代理	在支持信息 (Support Information) 窗口上包含浏览器详细信息，如产品名称和版本、布局引擎，以及发起请求的用户代理的版本。
策略服务器 (Policy Server)	在支持信息 (Support Information) 窗口上包含服务此门户的 ISE 策略服务节点 (PSN) 的 IP 地址。
故障代码	如果适用，请包含日志消息目录中的对应编号。要查看消息目录，选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 消息目录 (Message Catalog)。
隐藏字段 (Hide Field)	如果字段标签将会包含的信息不存在，请勿在支持信息 (Support Information) 窗口上显示任何字段标签。例如，如果故障代码未知并因此为空白，请勿显示故障代码 (Failure code)，即使已选择故障代码也如此。
显示不含任何值的标签 (Display Label with no Value)	在支持信息 (Support Information) 窗口上显示所有选定字段标签，即使其将会包含的信息不存在也如此。例如，如果故障代码未知，请显示故障代码 (Failure code)，即使其为空白也如此。
显示含默认值的标签 (Display Label with Default Value)	如果标签将会包含的信息不存在，请在支持信息 (Support Information) 窗口上的任何选定字段中显示此文本。例如，如果在此字段中输入“不可用”(Not Available)，并且故障代码未知，则故障代码 (Failure Code) 将显示不可用 (Not Available)。

门户标识设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 访客门户或发起人门户设置和自定义 (Guest Portals or Sponsor Portals Settings and Customization)。

门户名称 (Portal Name)：输入用于访问此门户的唯一门户名称。请勿将此门户名称用于任何其他发起人门户、访客门户或非访客门户，如阻止列表门户、自带设备 (BYOD) 门户、客户端调配门户、移动设备管理 (MDM) 门户或我的设备门户。

此名称显示在用于重定向选择的授权配置文件门户选择中。它应用于门户列表，以便在其他门户中轻松识别。
描述 (Description)：可选。

门户测试 URL (Portal test URL)：点击保存 (Save) 后，系统生成的 URL 会显示为链接。使用此连接来测试门户。

点击该链接可打开新的浏览器标签页，其中显示此门户的 URL。必须打开具有策略服务的策略服务节点 (PSN)。如果禁用策略服务，则 PSN 仅显示管理员门户。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

语言文件 (Language File)：默认情况下，每个门户类型支持 15 种语言，这些语言可作为在单个压缩语言文件中捆绑在一起的单独属性文件使用。导出或导入要用于门户的压缩语言文件。压缩语言文件包含可用于显示门户的文本的所有单独语言文件。

语言文件包含到特定浏览器区域设置的映射，以及该语言下整个门户的所有字符串设置。单个语言文件包含所有受支持的语言，因此它可轻松用于实现翻译和本地化目的。

如果您更改一种语言的浏览器区域设置，则更改会应用于所有其他最终用户 Web 门户。例如，如果在热点访客门户中将 French.properties 浏览器区域设置从 fr,fr-fr,fr-ca 更改为 fr,fr-fr，则更改还会应用于我的设备门户。

在门户页面自定义 (Portal Page Customizations) 选项卡中自定义任何文本时，系统都会显示警报图标。警报消息会提醒您在自定义门户时对一种语言所做的任何更改必须同时添加到所有受支持的语言属性文件。您可以使用下拉列表选项手动关闭警报图标；或者它会在您导入更新后的压缩语言文件后自动关闭。

发起人门户的门户设置

配置这些设置以标识门户并选择要用于所有门户页面的语言文件。

HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（阻止列表门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

有效的组合包括（以发起人门户为例）：
- 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 1，证书组 A 和阻止列表门户：端口 8444，接口 0，证书组 B。
无效组合包括：
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 0，证书标签 A 和阻止列表门户：端口 8444，接口 0，证书组 A。

注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 以太网接口必须使用不同子网上的 IP 地址。
- 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
- 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。
- 如果仅选择绑定 NIC，则当 PSN 尝试配置门户时，首先会尝试配置绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 记录错误并退出。PSN 不会尝试在物理接口上启动门户。
- 若要配置两个单独的 NIC 以提供高可用性（容错），NIC 组合 (NIC Teaming) 或绑定是一种配置选择。如果其中一个 NIC 失败，属于绑定连接中一部分的另一个 NIC 会继续连接。根据门户设置 (Portal Settings) 配置，为门户选择一个 NIC。如果物理 NIC 和相应的绑定 NIC 均已配置，则当 PSN 尝试配置门户时，首先会尝试连接绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 尝试在物理接口上启动门户。
证书组标签 (Certificate Group tag)：选取一个证书组标签，指定要用于门户的 HTTPS 流量的证书。
完全限定域名 (FQDN) (Fully Qualified Domain Name [FQDN])：为发起人门户或我的设备门户输入至少一个唯一 FQDN 或主机名。例如，可以输入 sponsorportal.yourcompany.com,sponsor，以便在用户将其中任一名称输入到浏览器中时，发起人门户会打开。以逗号分隔名称，但条目之间不包含空格。

如果更改默认 FQDN，还需执行以下操作：
- 更新 DNS，以便新 URL 的 FQDN 解析为有效的策略服务节点 (PSN) IP 地址。或者，此地址可能指向提供 PSN 池的负载均衡器虚拟 IP 地址。
- 要避免由于名称不匹配而出现证书警告消息，请在思科 ISE PSN 的本地服务器证书的使用者备选名称 (SAN) 属性中加入自定义 URL 的 FQDN 或通配符。如果为发起人门户启用了允许 Kerberos SSO (Allow Kerberos SSO) 选项，则必须在门户使用的本地服务器证书的 SAN 属性中包含思科 ISE PSN 的 FQDN 或通配符。
身份验证方法 (Authentication Method)：选择将哪个身份源序列或身份提供程序 (IdP) 用于用户身份验证。身份源序列是验证用户凭证时，按顺序搜索的身份存储区列表。

思科 ISE 包含适用于发起人门户的默认身份源序列：Sponsor_Portal_Sequence。

要配置 IdP，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > SAML 身份提供程序 (SAML Id Providers)。

要配置身份源序列，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences)。
空闲超时 (Idle Timeout)：输入思科 ISE 在门户中没有活动的情况下注销用户之前要等待的时间（以分钟为单位）。有效范围为 1 至 30 分钟。

允许 Kerberos (Allow Kerberos)：使用 Kerberos 对发起人进行身份验证，用于访问发起人门户。在浏览器与 ISE 建立 SSL 连接后，在安全隧道内执行 Kerberos SSO。

注	Kerberos 身份验证要求以下项目位于同一域中：发起人的 PC ISE PSN 为此发起人门户配置的 FQDN

注	访客门户不支持 Kerberos 身份验证。

显示语言
- 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。
- 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。
- 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。
发起人的可用 SSID (SSIDs Available to Sponsors)：输入网络的名称或 SSID（会话服务标识符），发起人可以告知访客该网络是可以连接访问的正确网络。

发起人门户的登录页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 登录页面设置 (Login Page Settings)。

速率限制之前最大失败登录尝试次数 (Maximum Failed Login Attempts Before Rate Limiting)：指定思科 ISE 开始限制该帐户之前从单个浏览器会话尝试登录时的失败次数。这不会导致帐户锁定。限制的速率在限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts When Rate Limiting) 中进行配置。
限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts when Rate Limiting)：设置用户在达到速率限制之前最大失败登录尝试次数 (Maximum failed login attempts before rate limiting) 中定义的登录失败次数后，尝试再次登录（限制速率）之前必须等待的时间长度（分钟）。
包含 AUP (Include an AUP)：将可接受使用政策窗口添加到流。可以将 AUP 添加到窗口，或链接到另一个窗口。

发起人门户的可接受使用政策 (AUP) 页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起者门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy (AUP) Page Settings)。

使用这些设置可定义用户（适用情况下的访客、发起人或员工）的 AUP 体验。


字段	使用指南
包含 AUP 页面 (Include AUP page)	在单独的页面上向用户显示公司的网络使用条款和条件。
要求滚动至 AUP 的末尾 (Require scrolling to end of AUP)	确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 末尾时，才会启用接受 (Accept) 按钮。
仅首次登录时 (On First Login only)	仅在用户首次登录到网络或门户时显示 AUP。
每次登录时 (On Every Login)	每次用户登录到网络或门户时显示 AUP。
每 __ 天（从首次登录算起）(Every __ Days [starting at first login])	在用户首次登录到网络或门户时定期显示 AUP。

发起人门户的发起人更改密码设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 发起人更改密码设置 (Sponsor Change Password Settings)。这些设置为使用发起人门户的发起人定义密码要求。


字段	使用指南
Allow sponsors to change their own passwords	允许发起人在登录发起人门户后更改密码。此选项仅在发起人在内部用户数据库中时才显示“更改密码”(Change Password) 页面。

发起人门户的登录后横幅页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访问后横幅页面设置 (Post-Access Banner Page Settings)。

使用此设置可在用户（适用情况下的访客、发起人或员工）成功登录后向其通知其他信息。


字段	使用指南
包含登录后横幅页面 (Include a Post-Login Banner page)	在用户成功登录后并在向其授予网络访问权限之前显示其他信息。

发起人门户的支持信息页面设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 支持信息页面设置 (Support Information Page Settings)。

使用这些设置可显示服务中心可用于对用户（适用情况下的访客、发起人或员工）遇到的访问问题进行故障排除的信息。


字段	使用指南
包含支持信息页面 (Include a Support Information Page)	在门户的所有已启用窗口上显示指向信息窗口（例如联系我们 [Contact Us]）的链接。
MAC 地址	在支持信息 (Support Information) 窗口上包含设备的 MAC 地址。
IP 地址	在支持信息 (Support Information) 窗口上包含设备的 IP 地址。
浏览器用户代理	在支持信息 (Support Information) 窗口上包含浏览器详细信息，如产品名称和版本、布局引擎，以及发起请求的用户代理的版本。
策略服务器 (Policy Server)	在支持信息 (Support Information) 窗口上包含服务此门户的 ISE 策略服务节点 (PSN) 的 IP 地址。
故障代码	如果适用，请包含日志消息目录中的对应编号。要查看消息目录，选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 消息目录 (Message Catalog)。
隐藏字段 (Hide Field)	如果字段标签将会包含的信息不存在，请勿在支持信息 (Support Information) 窗口上显示任何字段标签。例如，如果故障代码未知并因此为空白，请勿显示故障代码 (Failure code)，即使已选择故障代码也如此。
显示不含任何值的标签 (Display Label with no Value)	在支持信息 (Support Information) 窗口上显示所有选定字段标签，即使其将会包含的信息不存在也如此。例如，如果故障代码未知，请显示故障代码 (Failure code)，即使其为空白也如此。
显示含默认值的标签 (Display Label with Default Value)	如果标签将会包含的信息不存在，请在支持信息 (Support Information) 窗口上的任何选定字段中显示此文本。例如，如果在此字段中输入“不可用”(Not Available)，并且故障代码未知，则故障代码 (Failure Code) 将显示不可用 (Not Available)。

自定义从发起人门户发送至访客的通知

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户页面自定义 (Portal Page Customization) > 通知访客 (Notify Guests)。

在 Page Customizations 下，您可以自定义发起人从发起人门户发送至访客的通知上显示的消息、标题、内容、说明和字段与按钮标签。

在 Settings 下，您可以指定发起人是否可以使用邮件或 SMS 单独向访客发送用户名和密码。您还可以指定发起人是否可以向访客显示 Support Information 页面，以提供技术支持可用于对访问问题进行故障排除的信息。

自定义发起人门户的“管理和审批”选项卡

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户页面自定义 (Portal Page Customization) > 管理和审批 (Manage and Approve)。

在 Page Customizations 下，您可以自定义发起人门户的 Manage 和 Approve 选项卡上显示的消息、标题、内容、说明以及字段和按钮标签。

其中包括帐户（已注册和待处理）摘要和详细视图、根据发起人对访客帐户执行的操作（例如编辑、扩展、暂停等）显示的弹出对话框，以及常规门户和帐户操作消息。

访客和发起人门户的全局设置

在思科 ISE GUI 中，单击菜单图标 ()，然后选择访客访问 (Guest Access) > 设置 (Settings)。您可以配置以下常规设置应用于思科 ISE 的访客和发起人门户、访客类型以及发起人组：

清除访客帐户和生成用户名和密码的策略。
向访客和发起人发送邮件和 SMS 通知时使用的 SMTP 服务器和 SMS 网关。
使用自助注册访客门户创建访客帐户和注册访客时可选择的位置、时区、SSID 和自定义字段。

配置这些全局设置后，在配置特定访客和发起人门户、访客类型和发起人组时，可以根据需要使用这些设置。

“门户设置”(Portal settings) 页面中提供以下选项卡：

访客帐户清除策略 (Guest Account Purge Policy)：当要清除已过期的访客帐户时安排。有关详细信息，请参阅安排清除过期访客帐户的时间。
自定义字段 (Custom Fields)：添加用于访客门户的自定义字段，以检索来自用户的其他信息。有关详细信息，请参阅添加用于创建访客帐户的自定义字段。
访客邮件设置 (Guest Email Settings)：确定是否发送邮件将其帐户的变更通知访客。有关详细信息，请参阅为邮件通知指定邮箱地址和 SMTP 服务器。
访客位置和 SSID (Guest Locations and SSIDs)：配置位置和访客可以在这些位置中使用的网络服务集标识符 (SSID)。有关详细信息，请参阅分配访客位置和 SSID。
访客用户名策略 (Guest Username Policy)：配置创建访客用户名的方式。有关详细信息，请参阅设置访客用户名策略和访客密码策略规则。
访客密码策略 (Guest Password Policy)：定义所有访客和发起人门户的访客密码策略。有关详细信息，请参阅设置访客密码策略和到期时间。
日志记录 (Logging)：通过用户设备的 MAC 地址跟踪访客用户。当报告中显示访客用户时，用户名为 MAC 地址。如果选择此选项，报告会显示门户用户 ID 作为用户名，而不是 MAC 地址。有关此选项的详细信息，请参阅访客 Remember Me。

访客类型设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals and Components) > 访客类型 (Guest Type)。使用这些设置可以创建能够访问网络的访客类型及其访问权限。您也可以指定哪些发起人组能够创建此访客类型。

访客类型名称 (Guest type name)：提供一个名称（1 至 256 个字符），将此访客类型与其他访客类型区分开来。
说明 (Description)：提供有关此访客类型推荐用途的更多信息（最多 2000 个字符），例如用于自行注册访客。
语言文件 (Language File)：使用此字段可导出和导入语言文件，文件包含所有受支持语言的电子邮件主题、电子邮件和 SMS 消息的内容。这些语言和内容用于有关过期帐户的通知中，并发送给分配了此访客类型的访客。如果您正在创建新的访客类型，在保存访客类型之前，此功能将被禁用。有关编辑语言文件的详细信息，请参阅门户语言自定义。
收集其他数据 (Collect Additional Data)：单击自定义字段 (Custom Fields) 选项，选择要用于向使用此访客类型的访客收集其他数据的自定义字段。

要管理自定义字段，请选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 自定义字段 (Custom Fields) 。

最长接入时间

帐户持续时间开始 (Account Duration Starts)：如果您选中了从首次登录开始 (From first login) 选项，当访客用户首次登录访客门户时，即开始计算帐户开始时间，并且帐户结束时间为配置的持续时间。如果访客用户从未登录，帐户会持续处于等待首次登录 (Awaiting first login) 状态，直至访客帐户清除策略删除该帐户。

值的范围为 1 到 999 天、小时或分钟。

自注册用户的账户在他们创建并登录他们的帐户时开始。

如果您选择从发起人指定的日期开始 (From sponsor-specified date)，输入此类型的访客能够访问网络和保持网络连接的最大天数、小时数或分钟数。

如果更改这些设置，您的更改不会应用到使用此访客类型创建的原有访客帐户。

最长帐户持续时间 (Maximum account duration)：输入分配给此访客类型的访客可以登录的天数、小时数或分钟数。

注	帐户清除策略检查过期的访客帐户，并发送过期通知。此策略每 20 分钟运行一次，因此，如果将帐户持续时间设置为少于 20 分钟，则在清除帐户之前可能不会发出过期通知。

您可以使用仅在这些日期和时间允许访问 (Allow Access only on these Days and Times) 选项指定向此类型的访客提供访问权限的持续时间和星期几。

您选择的星期几限制了在发起人的日历中可选择的访问日期。
当发起人选择持续时间和日期时，发起人门户中将实施最长帐户持续时间。

您在此进行的访问时间设置会影响创建访客帐户时发起人门户上可用的时间设置。有关详细信息，请参阅配置适用于发起人的时间设置。

登录选项
- 最大同时登录数 (Maximum simultaneous logins)：输入分配此访客类型的用户可以同时运行的最大用户会话数。
- 当访客超过限制时 (When Guest Exceeds Limit)：如果选择最大同时登录数 (Maximum simultaneous logins)，还必须同时选择用户在达到最大登录数后连接时要执行的操作。
  - 断开最早的连接 (Disconnect the oldest connection)
  - 断开最近的连接 (Disconnect the newest connection)：如果选择将用户重定向至显示错误信息的门户页面 (Redirect user to a portal page showing an error message)，错误消息将在配置的时长内显示，然后会话断开，用户重定向到访客门户。错误页面的内容在消息 (Messages) > 错误消息 (Error Messages)窗口上的“门户页面自定义”(Portal Page Customization) 对话框中进行配置。
- 访客可以注册的最大设备数 (Maximum Devices Guests can Register)：输入每个访客可以注册的最大设备数。您可以将限制设为小于已为此访客类型的访客注册的设备数的数值。这只会影响新创建的访客帐户。当添加新设备并达到最大值时，最早的设备将断开连接。
- 用于注册访客设备的终端身份组 (Endpoint identity group for guest device registration)：选择要分配访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。
- 允许访客绕开访客门户 (Allow Guest to bypass the Guest portal)：允许用户绕过需要提供凭证的访客类型强制网络门户（Web 身份验证页面），通过向有线和无线 (dot1x) 请求方或 VPN 客户端提供凭证来访问网络。访客帐户进入活动状态，绕过等待初始登录状态和 AUP 页面，即使 AUP 是必填项也是如此。
  
  如果不启用此设置，用户必须首先通过需要提供凭证的访客强制网络门户登录，然后才能访问网络的其他部分。
帐户过期通知
- 在帐户过期之前 __ 天，发送帐户过期通知 (Send account expiration notification __ days before account expires)：在帐户过期之前向访客发送通知，指定距离过期还剩多少天、多少小时或多少分钟。
- 查看消息的语言 (View messages in)：指定在按照您的设置显示电子邮件或 SMS 通知时使用的语言。
- 电子邮件 (Email)：通过电子邮件发送帐户过期通知。
- 使用自定义设置源 (Use customization from)：将您为所选门户配置的相同自定义设置应用于此访客类型的帐户过期邮件。
- 复制文本自 (Copy text from)：重复使用您为另一访客类型的帐户过期电子邮件而创建的电子邮件文本。
- SMS：通过 SMS 发送帐户过期通知。
  
  SMS 的设置与电子邮件通知的设置相同，不同之处在于您选择了向我发送测试 SMS (Send test SMS to me) 对应的 SMS 网关。
发起人组 (Sponsor Groups)：指定成员可以使用此访客类型创建访客帐户的发起人组。删除您不希望访问此访客类型的发起人组。

发起人组设置

要查看此处窗口，请单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人组 (Sponsor Groups)。使用这些设置可向发起人组添加成员，定义访客类型和位置权限，以及设置与创建和管理访客帐户相关的权限。

禁止发起人组 (Disable Sponsor Group)：禁止此发起人组的成员访问发起人门户。

例如，您可能希望在管理门户中进行配置更改时暂时阻止发起人登录到发起人门户。或者，您可能希望禁用不频繁活动（例如，年度会议的发起访客）中涉及的发起人组，直至其需要再次激活。
发起人组名称 (Sponsor group name)：输入唯一名称（1 至 256 个字符）。
说明 (Description)：包含有用信息（最多 2000 个字符），例如此发起人组使用的访客类型。
配置访客类型：如果您需要的访客类型不可用，请单击工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客类型 (Guest Types) 并创建新的访客组或编辑现有组。
匹配标准
- 成员 (Members)：点击显示选择发起人组成员 (Select Sponsor Group Members) 复选框，您可在其中选择可用的用户身份组（从内部和外部身份存储区中选择）并将其添加为此发起人组的成员。
  - 发起人组成员 (Sponsor Group Members)：搜索和筛选所选发起人组的列表，并删除不希望包含的任意组。
- 其他条件 (Other conditions)：点击创建新条件 (Create New Condition) 可构建要将发起人包括在此发起人组中所必须符合的一个或多个条件。您可以使用来自 Active Directory、LDAP、SAML 和 ODBC 身份存储区的身份验证属性，但不能使用 RADIUS 令牌或 RSA SecurID 存储区的。您也可以使用内部用户属性。条件具有属性、操作符和值。
  - 要使用内部字典属性 Name 创建条件，请将用户身份组作为身份组名称前缀。例如：
    
    InternalUser:Name EQUALS bsmith
    
    这意味着只有名称为“bsmith”的内部用户才能属于此发起人组。
此发起人组可以使用这些访客类型创建帐户 (This sponsor group can create accounts using these guest types)：指定此发起人组的成员在创建访客帐户时可以使用的访客类型。要启用发起人组，该发起人组必须具有至少一个可使用的访客类型。

如果仅向此发起人组分配一个访客类型，则可以选择不在发起人门户中显示该访客类型，因为它是可供使用的唯一有效访客类型。选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portal) > 页面自定义 (Page Customization) > 创建帐户 (Create Accounts) > 访客类型 (Guest Types) > 设置 (Settings)。选中 Hide guest type if only one is available to sponsor 复选框可启用此选项。
选择访客将访问的位置 (Select the locations that guests will be visiting)：选择在创建访客帐户时可分配给这些访客的位置。这可帮助定义这些访客帐户的有效时区，并且指定适用于访客的所有时间参数，例如有效访问时间等。这不会阻止访客从其他位置连接到网络。这不会阻止访客从其他位置连接到网络。

要启用发起人组，该发起人组必须具有至少一个可使用的位置。

如果您仅向此发起人组分配一个位置，则该位置将是其成员创建的访客帐户的唯一有效时区。默认情况下，该位置不会显示在发起人门户中。

发起人可以创建

分配给特定访客的多个访客帐户（导入）(Multiple guest accounts assigned to specific guests (Import))：允许发起人通过从文件中导入访客详细信息（例如名字和姓氏）创建多个访客帐户。

如果启用此选项，则导入 (Import) 选项将显示在发起人门户的创建帐户 (Create Accounts) 页面中。“导入”(Import) 选项仅在桌面浏览器（而非移动浏览器）上可用，例如 Internet Explorer、Firefox、Safari 等。
批处理帐户数限制 (Limit to batch of)：如果允许此发起人组同时创建多个帐户，请指定在单个导入操作中可以创建的访客帐户数。

虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。
分配给任意访客的多个访客帐户（随机）(Multiple guest accounts to be assigned to any guests (Random))：允许发起人为尚且未知的访客或在访客需要快速创建许多帐户时将多个随机访客帐户创建为占位符。

如果启用此选项，则随机 (Random) 选项将显示在发起人门户的创建帐户 (Create Accounts) 窗口中。
默认用户名前缀 (Default username prefix)：指定发起人在创建多个随机访客帐户时可以使用的用户名前缀。如果指定，则在创建随机访客帐户时，发起人门户中会出现此前缀。此外，如果 Allow sponsor to specify a username prefix 的状态为：
- 已启用 (Enabled)：发起人可以在发起人门户中编辑默认前缀。
- 未启用 (Not enabled)：发起人无法在发起人门户中编辑默认前缀。
如果您不指定用户名前缀或者不允许发起人指定用户名前缀，则发起人将无法在发起人门户中分配用户名前缀。
允许发起人指定用户名前缀 (Allow sponsor to specify a username prefix)：如果允许此发起人组同时创建多个帐户，请指定在单个导入操作中可以创建的访客帐户数。

虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。
开始日期不能超过未来 __ 天 (Start date can be no more than __ days into the future)：指定天数，在此期间，发起人需为其所创建的多个访客帐户设置开始日期。

发起人可以管理

仅发起人创建的帐户 (Only accounts sponsor has created)：此组中的发起人只能根据发起人的电子邮件帐户，查看和管理他们创建的访客帐户。
此发起人组的成员创建的帐户 (Accounts created by members of this sponsor group)：此组中的发起人可查看和管理此发起人组中任意发起人创建的访客帐户。
所有访客帐户 (All guest accounts)：发起人查看并管理所有待处理访客帐户。

注	无论组成员身份如何，所有发起人都可以查看所有待处理的帐户，除非您选中发起人可以 (Sponsor Can) 下面批准并查看自注册访客的请求 (Approve and view requests from self-registering guests) 的仅分配给此发起人的待处理帐户 (Only pending accounts assigned to this sponsor) 选项。

发起人可以

更新访客的联系信息（电子邮件、电话号码）(Update guests' contact information (email, Phone Number))：对于他们可以管理的访客帐户，允许发起人更改访客的联系信息
查看/打印访客密码 (View/print guests' passwords)：启用此选项后，发起人可以打印访客密码。发起人可以在管理帐户 (Manage Accounts) 窗口和访客详细信息中查看访客的密码。未选中此选项时，发起人无法打印密码，但用户仍可以通过电子邮件或 SMS（如果已配置）获取密码。
发送含访客凭证的 SMS 通知 (Send SMS notifications with guests’ credentials)：对于他们可以管理的访客帐户，允许发起人向访客发送包含其帐户详细信息和登录凭证的 SMS（文本）通知。
重置访客帐户密码 (Reset guest account passwords)：对于他们可以管理的访客帐户，允许发起人将访客的密码重置为由思科 ISE 生成的随机密码。
延长访客帐户有效期 (Extend guests’ accounts)：对于他们可以管理的访客帐户，允许发起人将其延长至到期日期之后。发起人自动复制到发送给访客的、有关帐户到期的邮件通知上。
删除访客帐户 (Delete guests’ accounts)：对于他们可以管理的访客帐户，允许发起人删除帐户并阻止访客访问您公司的网络。
暂停访客帐户 (Suspend guests’ accounts)：对于他们可以管理的访客帐户，允许发起人暂停其帐户，以阻止访客临时登录。

此操作还会发出授权变更 (CoA) 终止，以从网络中删除暂停的访客。
- 要求发起人提供原因 (Require sponsor to provide a reason)：要求发起人提供暂停访客帐户的原因。
批准并查看自行注册访客的请求 (Approve and view requests from self-registering guests)：此发起人组中的发起人可以查看自行注册访客的所有待处理帐户请求（待审批），或仅在用户（作为被访问人）输入发起人电子邮件地址时的请求。此功能要求选中自注册访客使用的门户中的要求自注册访客需获得批准 (Require self-registered guests to be approved)，而且列有发起人（作为联系人）的电子邮件。
- 任何待处理帐户：属于此组的发起人可以批准并审核由任何发起人创建的帐户。
- 仅分配给此发起人的待处理帐户：属于此组的发起人只能查看和批准自己创建的帐户。
使用编程接口（访客 REST API）访问思科 ISE 访客帐户 (Access Cisco ISE guest accounts using the programmatic interface (Guest REST API))：对于他们可以管理的访客帐户，允许发起人使用访客 REST API 编程接口访问访客帐户。

最终用户门户

思科 ISE 为三类主要最终用户提供基于 Web 的门户：

需要使用访客门户（热点和有凭证访客门户）临时访问企业网络的访客。
被指定为发起人，可以使用 Sponsor 门户创建和管理访客帐户的员工。
使用各种非访客门户（例如 Bring Your Own Device (BYOD) 门户、Mobile Device Management (MDM) 门户和 My Devices 门户）在企业网络上使用其个人设备的员工。

自定义最终用户 Web 门户

您可以编辑、复制和创建更多门户。您也可以完全自定义门户外观以及门户体验。您可以单独自定义每个门户，而不影响其他门户。

您可以自定义门户界面的各个要素，这些自定义设置可以适用于整个门户，也可以适用于门户的特定页面，例如：

主题、图像、颜色、横幅和页脚
用于显示门户文本、错误消息和通知的语言
标题、内容、说明以及字段和按钮标签
通过邮件、SMS 和打印机发送给访客的通知（仅适用于自行注册访客门户和发起人门户）
显示给用户的错误消息和信息性消息
对于自注册访客和发起人门户，可以创建自定义字段以搜集特定于您的需求的访客信息


ISE 社区资源有关自定义 Web 门户的详细信息，请参阅 ISE 门户生成器和操作方法：ISE Web 门户自定义选项。

自定义方法

自定义最终用户门户页面的方法有多种，各自需要不同的知识水平。

基本：您可以修改门户“自定义”页面：
- 上传条幅和徽标
- 更改某些颜色（按钮除外）
- 更改屏幕上的文本以及整个门户上使用的语言

中级

使用迷你编辑器添加 HTML 和 Javascript

注	要在迷你编辑器中输入 HTML，需要先单击 HTML 图标。

使用 jQuery 移动主题滚动条可更改所有页面元素的颜色

高级
- 手动修改属性和 CSS 文件。

自定义门户后，可以通过复制该门户来创建（相同类型的）多个门户。例如，如果已为一家商业实体自定义热点访客门户，则可以复制此门户，稍作更改，为其他商业实体创建自定义热点访客门户。

使用迷你编辑器自定义门户的技巧

迷你编辑器框中的长字词可能会滚动出门户的屏幕区域。可以使用 HTML 段落属性 style="word-wrap: break-word" 中断行。例如：
```
 <p style="word-wrap:break-word">
 thisisaverylonglineoftextthatwillexceedthewidthoftheplacethatyouwanttoputitsousethisstructure
 </p>
```
使用 HTML 或 javascript 自定义门户页面时，应确保使用有效的语法。思科 ISE 不会验证输入迷你编辑器的标签和代码。无效语法有可能在门户流程中造成问题。

门户内容类型

思科 ISE 提供一组默认门户主题，您可以“按原样”使用或使用现有 CSS 文件作为模型进行自定义，以创建新的自定义文件。但是，可以在不使用自定义 CSS 文件的情况下修改门户的外观。

例如，如果想要使用唯一的公司徽标和横幅图像，只需上传和使用这些新的图像文件。可以通过更改门户的不同元素和区域的颜色来自定义默认配色方案。甚至可以选择在进行自定义更改时查看更改所要使用的语言。

当设计要替换徽标和横幅的图像时，尽可能让图像接近以下像素大小：


横幅	1724 X 133
桌面徽标	86 X 45
移动徽标	80 X 35

请注意，ISE 会调整图像的大小以适合门户，但过小的图像在调整大小之后可能无法正确显示。

要执行高级自定义，如更改页面布局或在门户页面上添加视频剪辑或广告，可以使用自定义 CSS 文件。

在特定门户内，这些类型的更改会全局应用到该门户的所有页面。对页面布局的更改可以全局应用或只应用到门户中的某个特定页面。

门户页面标题、内容和标签

您可以自定义标题、文本框、说明、字段与按钮标签，以及访客在最终用户 Web 门户页面上查看的其他可视元素。在自定义页面时，甚至可以动态编辑页面设置。

这些更改只适用于您所自定义的特定页面。

门户的基本自定义

选择最适合您的需求的预定义主题，并使用其大多数默认设置。然后，您可以执行基本的自定义，例如：

修改门户主题颜色
更改门户图标、图像和徽标
更新门户的横幅和页脚元素
更改门户显示语言
更改标题、说明、按钮和标签文本
格式和样式文本框内容

提示	当您进行更新时，您可以查看您的自定义。

修改门户主题颜色

可以自定义默认门户主题中的默认配色方案，并更改门户的不同元素和区域的颜色。这些更改将应用于您自定义的所有门户。

如果计划更改门户颜色，请注意以下事项：

无法使用此选项更改可能已导入用于此门户的任何自定义门户主题中的配色方案。必须编辑自定义主题 CSS 文件才能更改其颜色设置。
更改门户主题中的颜色之后，如果从 Portal Theme 下拉菜单中选择其他门户主题，则原始门户主题中的更改将丢失，颜色将恢复到其默认颜色。
如果使用已修改的配色方案调整门户主题的颜色，然后在保存方案前重置其颜色，则配色方案将恢复到其默认颜色，且之前所做的所有修改都将丢失。

过程

步骤 1	导航至以下门户：对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	从 Portal Theme 下拉列表选择一个默认主题。
步骤 3	点击 Tweaks 以覆盖选定默认门户主题中的某些颜色设置。更改横幅和页面背景、文本和标签的颜色设置。如果要恢复到主题的默认配色方案，请点击 Reset Colors。如果要在 Preview 中查看颜色更改，请点击 OK。
步骤 4	点击保存。

更改门户显示语言

您可以选择您想要用于查看您所做的自定义更改的语言。此更改适用于您所自定义的整个门户。

过程

步骤 1

导航至以下门户：

对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 全局自定义 (Global Customization)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 全局自定义 (Global Customization)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 全局自定义 (Global Customization)。

步骤 2

从 View In 下拉列表选择您想要用于在自定义页面时查看文本的语言。

此下拉列表包含与特定门户关联的语言文件中的所有语言。

下一步做什么

确保将您在自定义门户页面期间以所选语言所做的任何更改都更新至所支持的语言属性文件中。

更改门户图标、图像和徽标

如果要使用唯一的公司徽标、图标和横幅图像，只需通过上传自定义图像即可替换现有图像。支持的图像格式包括：.gif、.jpg、.jpeg 和 .png。这些更改将应用于您自定义的所有门户。

开始之前

要在门户的页脚（例如，广告）中包含图像，应该能够访问具有这些图像的外部服务器。

过程

步骤 1

导航至以下门户：

对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在 Images 下方，点击任意徽标、图标和图像按钮，然后上传自定义图像。

步骤 3

点击保存。

更新门户的横幅和页脚元素

您可以自定义门户各页面中横幅和页脚部分所显示信息。这些更改将应用于您自定义的所有门户。

过程

步骤 1	导航至以下门户：对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	更改显示在各门户页面中的横幅标题 (Banner title)。
步骤 3	包括这些使用门户的访客链接：帮助 (Help) - 在线帮助（仅提供给发起人和我的设备门户）。联系方式 (Contact) - 技术支持（设置支持信息页面以启用它）。
步骤 4	在各门户页面上显示的页角元素 (Footer Elements) 中添加免责声明或版权声明。
步骤 5	点击保存。

更改标题、说明、按钮和标签文本

您可以更新门户中显示的所有文本。您所自定义的页面上的每个 UI 元素对于您可以输入的字符数都有最高和最低范围限制。有些文本块提供小型编辑器，你可以使用此编辑器将视觉风格应用于相应文本。这些更改只适用于您自定义的特定门户页面。这些页面元素对于邮件、SMS 和打印通知是不同的。

过程

步骤 1

导航至以下门户：

对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在 Pages 下，选择您想要更改的页面。

步骤 3

在 Page Customizations 下，更新任何显示的 UI 元素。所有页面均包含浏览器页面标题 (Browser Page Title)、内容标题 (Content Title)、说明文本 (Instructional Text)、内容 (Content) 和两个可选内容 (Optional Content) 文本块。Content 区域的字段是特定于各页面的。

格式和样式文本框内容

使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 文本框中可用的小型编辑器对文本执行基本格式处理。这些更改仅用于您自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 按钮可在使用文本框时缩放其大小。

过程

步骤 1

导航至以下门户：

对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在 Pages 下，选择您想要更改的页面。

步骤 3

在页面自定义 (Page Customizations) 下，在说明文本 (Instructional Text) 和可选文本 (Optional Content) 文本块中，您可以执行以下操作：

更改文本的字体、大小和颜色。
将文本样式设置为粗体、斜体或带下划线。
创建带项目符号和编号的列表。

注	您可以使用切换 HTML 源 (Toggle HTML Source) 按钮查看应用于您使用小型编辑器进行格式设置的文本的 HTML 标记。如果在 HTML 源 (HTML Source) 视图中编辑文本，请再次单击切换 HTML 源 (Toggle HTML Source) 按钮，然后再在门户页面自定义 (Portal Page Customization) 窗口中保存所做更改。

用于门户页面自定义的变量

这些门户页面文本框的导航路径为：

对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。

为门户内容和访客通知创建模板时，请使用这些变量，从而确保向门户用户（访客、发起人和员工）显示的信息的一致性。对每个门户，请使用此处列出的变量名称替换说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 文本框中的文本。

表 1. 访客门户的变量列表
显示名称	用以下变量名称替换
Access code 用于以电子邮件、文本或打印通知的形式向访客提供访问代码。	ui_access_code
BYOD IOS SSID 用于指定在双 SSID 流程中完成自行激活之后设备应该连接的网络。	ui_byod_success_ios_ssid
Client Provisioning Agent Type 用于指定客户端调配策略中当前配置的代理，例如 AnyConnect 代理。	ui_client_provision_agent_type
Client Provisioning Agent URL 用于指定安全评估代理的下载 URL。	ui_client_provision_agent_url
Client Provisioning agent install minutes 用于向访客通知其必须在多长时间内（由补救计时器设置）按照客户端调配 (Client Provisioning) 窗口上的说明完成安装。如果访客未在计时结束前按照说明完成安装，就必须刷新浏览器页面并再次执行登录过程。	ui_client_provision_install_agent_mins
Company	ui_company
Email address	ui_email_address
End date and time	ui_end_date_time
First name	ui_first_name
Last name	ui_last_name
Location name	ui_location_name
Maximum registered devices	ui_max_reg_devices
Maximum simultaneous logins	ui_max_siml_login
Password	ui_password
Person being visited (email)	ui_person_visited
Phone number	ui_phone_number
Reason for visit	ui_reason_visit
SMS Provider	ui_sms_provider
SSID 用于指定访客可用于连接网络的无线网络。	ui_ssid
Start date and time	ui_start_date_time
Time left	ui_time_left
Username	ui_user_name

表 2. 发起人门户的变量列表
显示名称	用以下变量名称替换
Guest - Company	ui_guest_company
Guest - Email address	ui_guest_email_address
Guest - End date and time	ui_guest_end_date_time
Guest - First name	ui_guest_first_name
Guest - Last name	ui_guest_last_name
Guest - Location name	ui_guest_location_name
Guest - Maximum registered devices	ui_guest_max_reg_devices
Guest - Maximum simultaneous logins	ui_guest_max_siml_login
Guest - Password	ui_guest_password
Guest - Person being visited (email)	ui_guest_person_visited
Guest - Phone number	ui_guest_phone_number
Guest - Reason for visit	ui_guest_reason_visit
Guest - SMS Provider	ui_guest_sms_provider
Guest - SSID 用于指定访客可用于连接网络的无线网络。	ui_guest_ssid
Guest - Start date and time	ui_guest_start_date_time
Guest - Time left	ui_guest_time_left
Guest - Username	ui_guest_user_name
Username 用于指定登录门户的用户的用户名。	ui_sponsor_user_name
用于显示访客访问信息 (Guest Access Information) 窗口中的“来自”(From)。	ui_from_label
用于显示访客访问信息 (Guest Access Information) 窗口中的“首次登录”(First Login)。	ui_first_login_text
用于显示访问时间始于首次登录时的访客帐户通知消息。	ui_notification_first_login_text
表示邮件通知中帐户持续时间的动态变量。	ui_access_duration
显示帐户的动态变量不再可用。对于“开始-结束”(Start-End) 帐户，日期采用结束日期，对于从“首次登录”(From-First-Login ) 帐户，日期为帐户创建日期加上清除持续时间日。	ui_account_purge_date
用于当访客用户过去至少登录一次时限制发起人从“从首次登录到开始-结束”(From First Login to Start-End) 状态更改访客类型，反之亦然。显示在通用发起人门户消息中。	ui_guest_type_change_ffl_startend_not_allowed_error ui_guest_type_change_ startend_ffl_not_allowed_error

表 3. MDM 门户的变量列表
显示名称	用以下变量名称替换
MDM - Vendor Name	ui_mdm_vendor_name

表 4. My Devices 门户的变量列表
显示名称	用以下变量名称替换
MyDevices - Login Failure Rate Limit	$user_login_failure_rate_limit$
MyDevices - Max Devices to Register	ui_max_register_devices
MyDevices - User Name 用于指定登录门户的用户的用户名。	$session_username$

查看您的自定义

您可以查看自己的自定义向门户用户（访客、发起人或员工）的显示方式。

过程

步骤 1

点击 Portal test URL 查看您做出的更改。

步骤 2

（可选）点击预览 (Preview) 以动态查看所做的更改如何出现在各类设备上：

移动设备：在预览 (Preview) 下查看做出的更改。
桌面设备：单击预览 (Preview) 并单击桌面预览 (Desktop Preview)。

如果没有显示更改，请点击 Refresh Preview。所显示的门户仅用于查看您做出的更改；您无法点击按钮或输入数据。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

自定义门户文件

通过自定义门户文件菜单，您可以将自己的文件上传到 ISE 服务器，然后用它来自定义所有面向用户的门户（管理员门户除外）。您上传的文件将存储在 PSN 上，并同步到所有 PSN。

支持的文件类型为：

.png、.gif、.jpg、.jpeg、ico：用作背景、公告和广告
.htm、.html、.js、.json、.css、.m4a、.m4v、.mp3、.mp4、.mpeg、.ogg、.wav：用于高级自定义（例如，门户构建器）

文件大小限制：

每个文件 20 MB
所有文件共 200 MB

文件列表中的路径列显示此服务器上的文件的 URL，您可以使用该 URL 在迷你编辑器外部引用该文件。如果是图像文件，则当您点击该链接时，它会打开显示图像的新窗口。

上传的文件可在门户页面自定义 (Portal Page Customization) 下的迷你编辑器中被所有门户类型引用，管理员门户除外。要将文件插入迷你编辑器，请点击插入文件 (Insert File)。切换到 HTML 源视图，您将看到插入的文件被相应的 HTML 标记包围。

您还可以从 ISE 外部通过浏览器查看可显示的已上传文件，以进行测试。URL 为 https://ise_ip:8443/portal/customFiles/filename。

门户的高级自定义

如果不想使用思科 ISE 提供的任一默认门户主题，您可以对门户进行自定义来满足您的需求。为此，您必须熟悉使用 CSS 和 JavaScript 文件以及 jQuery Mobile ThemeRoller 应用。

您不能修改默认门户主题，但可以执行以下操作：

导出门户的默认主题 CSS 文件，将其用作创建自定义门户主题的基础。
创建自定义门户主题 CSS 文件，方法是编辑默认门户主题并将其另存为新文件。
导入自定义门户主题 CSS 文件，并将其应用于门户。

基于您的专业知识程度和具体要求，您可执行各种高级自定义。您可以使用预定义变量来实现显示信息的一致性，在门户页面上添加广告，使用 HTML、CSS 和 Javascript 代码来自定义您的内容，以及修改门户页面布局。

您可以通过将 HMTL、CSS 和 javascript 添加到每个门户的门户页面定制 (Portal Page Customization) 选项卡上的内容框中来修改门户。本文档提供使用 HTML 和 CSS 进行定制的示例。使用 javascript 定制的示例位于此处的 ISE 社区：http://cs.co/ise-community。更多 HTML、CSS 和 Javascript 示例位于此处的 ISE 社区：https://community.cisco.com/t5/security-documents/how-to-ise-web-portal-customization-options/ta-p/3619042。

注	TAC 不支持思科 ISE 门户的 Javascript 定制。如果您在使用 Javascript 定制时遇到问题，请将您的问题发布到 ISE 社区 https://community.cisco.com/t5/identity-services-engine-ise/bd-p/5301j-disc-ise。

门户的主题和结构 CSS 文件

如果您具有使用 CSS 文件方面的经验，则可以自定义默认门户主题 CSS 文件以修改门户演示和操作页面布局、颜色和字体等元素。自定义 CSS 文件使您在指定演示特征时能够灵活控制，从而使您能够在多个页面上共享格式，并降低结构内容的复杂性和重复性。

思科 ISE 最终用户门户使用两种不同类型的 CSS 文件：structure.css 和 theme.css。每个门户主题都有其自己的 theme.css 文件，但每个门户类型只有一个 structure.css 文件；例如，适用于访客门户的 guest.structure.css、适用于发起人门户的 sponsor.structure.css，以及适用于我的设备门户的 mydevices.structure.css。

structure.css 为页面布局和结构提供样式。它定义每个页面上的元素的定位，并且包括 jQuery Mobile 结构样式。只可以查看 structure.css 文件，但不能进行编辑。但是，当更改 theme.css 文件中的页面布局时，请将这些文件导入门户，并进行应用，最新更改将优先于 structure.css 样式。

theme.css 文件指定字体、按钮颜色和标题背景等样式。您可以导出 theme.css 文件，更改主题设置，然后导入这些设置，用作门户的自定义主题。对 theme.css 文件所做的所有页面布局样式更改都将优先于在 structure.css 文件中定义的样式。

无法修改任何思科提供的默认门户 theme.css 文件。但是，可以编辑文件中的设置并将这些设置保存到新的自定义 theme.csstheme.css 文件。可以对自定义 theme.css 文件进行进一步编辑，但将其导入回思科 ISE 时，记得要使用与最初所用主题名称相同的名称。无法将两个不同的主题名称用于同一个 theme.css 文件。

例如，可以使用默认的 green theme.css 文件创建新的自定义 blue theme.css 文件并将该文件命名为 Blue。之后，可以编辑 blue theme.css 文件，但是当您再次导入此文件时，必须重新使用 Blue 主题名称。不能将其命名为 Red，因为思科 ISE 会检查文件名与其名称之间的关系，以及主题名称的唯一性。但是，可以编辑 blue theme.css 文件，将其另存为 red theme.css，导入新文件，然后将其命名为 Red。

关于使用 jQuery Mobile 更改主题颜色

思科最终用户门户的颜色主题与 jQuery ThemeRoller 兼容。您可以使用 ThemeRoller 网站轻松编辑整个门户的颜色。

ThemeRoller 颜色“样本”包含一个独特的颜色主题，用于定义主要 UI 元素（例如工具栏、内容块、按钮、列表项和字体文本阴影）的颜色、底纹和字体设置。颜色主题还定义按钮各种交互状态设置：正常、悬停和按下。

思科使用三种样本：

样本 A - 默认样本。
样本 B - 定义着重强调的元素，例如 Accept 按钮。
样本 C - 定义关键元素，例如警告、错误消息、无效输入字段和删除按钮。

您无法应用其他样本，除非您添加包含使用新增样本的元素的 HTML 代码（例如添加至 Optional Content 中）。

要编辑思科提供的默认 CSS 文件或创建基于默认主题中定义的 CSS 类和结构的新文件，请使用规定版本的 jQuery Mobile ThemeRoller（1.3.2 版本）。

有关 jQuery Mobile ThemeRoller 中样本和主题的更多信息，请参阅使用 ThemeRoller 创建自定义主题中的“创建主题概述”。请使用 jQuery Mobile ThemeRoller 在线帮助了解如何下载、导入和共享您的自定义主题。

有关如何使用 HTML、CSS 和 Javascript 代码自定义在门户页面上显示的文本和内容的教程，请访问 CodeAcademy。

显示思科样本的主题示例

为了演示如何使用样本，我们在 ThemeRoller 中编辑了用于访客门户的默认主题以显示颜色差异。

以下屏幕显示访客门户登录错误（样本 C）以及要求用户操作的按钮（样本 B），屏幕的其余部分为样本 A。

使用 jQuery Mobile 更改主题颜色

开始之前

确保您使用的是 1.3.2 版本的 jQuery Mobile ThemeRoller。屏幕左上角会显示您所使用的版本，如下所示。

过程

步骤 1	在门户上点击配置 (Configuration) 选项卡，从门户中导出您想要更改的现有主题。
步骤 2	选择高级定制 (Advanced Customization) > 导出/导入主题 (Export/Import Themes)。
步骤 3	在自定义主题 (Custom Theming) 对话框中，导出您要更新的主题。
步骤 4	在文本编辑器中打开该主题，全选并复制。
步骤 5	将该文本 (CSS) 粘贴到 jQuery 网站的导入主题 (Import Theme) 字段。
步骤 6	在 jQuery Mobil Web 版应用中执行更改。
步骤 7	从 jQuery 网站导出更新的主题（导出格式为 ZIP）。
步骤 8	解压缩更新的主题，从主题文件夹中将更新的主题提取至您的 PC。主题名称即您在 jQuery 网站提供的名称。
步骤 9	在门户配置页面的自定义主题 (Custom Theming) 对话框中将提取的 CSS 主题文件导入您的门户。您可以点击门户配置 (Portal Configuration) 窗口上的门户主题 (Portal Theme) 下拉列表，在新旧主题之间来回切换。

基于位置的自定义

创建访客帐户后，您可以将其与某个位置关联并指定服务集标识符 (SSID) 属性。位置和 SSID 均可用作 CSS 类，您可以将 CSS 类用于根据访客的位置和 SSID 向门户页面应用不同的 CSS 样式。

例如：

访客位置 - 当使用 San Jose 或 Boston 作为位置的帐户的用户登录需要提供凭证的访客门户时，以下一个类可用于每个门户页面：guest-location-san-jose 或 guest-location-boston。
访客 SSID - 对于名称为 Coffee Shop Wireless 的 SSID，以下 CSS 类可用于每个门户页面：guest-ssid-coffee-shop-wireless。此 SSID 是您在访客帐户上指定的 SSID，而不是访客在登录时连接的 SSID。

注	此信息仅适用于需要提供凭证的访客门户（在访客登录之后）。

当您向网络添加交换机和无线 LAN 控制器 (WLC) 等设备时，也可以指定位置。此位置还可用作根据网络设备的位置向门户页面应用不同 CSS 样式的 CSS 类。

例如，如果向 Seattle 分配 WLC 并且访客从 Seattle-WLC 重定向至思科 ISE，以下 CSS 类可用于每个门户页面：device-location-my-locations-usa-seattle。

基于用户设备类型的自定义

思科 ISE 会检测用来访问公司网络或最终用户 Web 门户（访客、发起人和设备）的客户端设备类型（访客、发起人或员工）。它会被检测为移动设备（Android、iOS 等）或桌面设备（Windows、MacOS 等）。设备类型可作为 CSS 类，您可以根据用户的设备类型，使用该类将不同的 CSS 样式应用到门户页面。

当用户登录任何思科 ISE 最终用户 Web 门户时，门户页面上提供以下类：cisco-ise-mobile 或 cisco-ise-desktop。

导出门户的默认主题 CSS 文件

您可以下载思科提供的默认门户主题并按照您的需求进行自定义。您可以将其用做执行高级自定义的基础。

过程

步骤 1	导航至以下门户：对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
步骤 2	从高级自定义 (Advanced Customization) 下拉列表中，选择导出/导入主题 (Export/Import Themes)。
步骤 3	在自定义主题 (Custom Theming) 对话框中，使用下拉菜单选择您想要自定义的主题。
步骤 4	点击导出主题 CSS (Export Theme CSS) 以下载默认 `theme.css` 文件进行自定义。
步骤 5	点击保存 (Save) 将文件保存至您的桌面。

创建自定义门户主题 CSS 文件

通过自定义现有默认门户主题和在新门户 theme.css 文件中保存更改，可以创建自定义门户主题。可以修改默认主题设置和样本，对选中的门户进行全局更改。

开始之前

将 theme.css 文件从想要自定义的门户下载到桌面。
此任务需要拥有使用 HTML、CSS 和 Javascript 代码的经验。
使用 jQuery Mobile ThemeRoller 版本 1.3.2

过程

步骤 1

将已下载的门户 theme.css 文件内容导入 jQuery Mobile ThemeRoller 工具。

提示	做出更改时，您可以查看您的自定义。

步骤 2

(可选) 在门户内容中嵌入链接

步骤 3

(可选) 插入动态文本更新的变量

步骤 4

(可选) 使用源代码设置文本格式和包含链接

步骤 5

(可选) 将图像添加为广告

步骤 6

(可选) 根据访客位置自定义问候语

步骤 7

(可选) 根据用户设备类型自定义问候语

步骤 8

(可选) 设置轮播广告

步骤 9

(可选) 修改门户页面布局

步骤 10

将自定义文件另存为新的 theme.css 文件。

注	不能将编辑保存到默认 CSS 主题文件。只能使用已进行的任何编辑创建新的自定义文件。

步骤 11

当新 theme.css 文件就绪时，可以将其导入思科 ISE。

在门户内容中嵌入链接

您可以添加链接以使访客可以从门户页面访问各种网站。这些更改仅用于您进行自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航至以下门户：对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals and Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals and Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于证书调配门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > 证书调配 (Certificate Provisioning) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在页面 (Pages) 下，选择想要更新的页面。
步骤 3	在页面自定义 (Page Customizations) 下，使用带有可选内容 (Optional Content) 文本块的小型编辑器向门户页面添加链接。
步骤 4	点击创建链接 (Create Link) 按钮。此时将显示链接属性 (Link Properties) 对话框。
步骤 5	输入 URL 并且在 URL 的描述 (Description) 窗口输入您要添加超链接的文本。为使链接正常工作，URL 中应包括协议标识符。例如使用 http://www.cisco.com 而不是 www.cisco.com。
步骤 6	点击设置 (Set)，然后点击保存 (Save)。可以使用切换 HTML 源 (Toggle HTML Source) 选项查看应用于您使用小型编辑器进行格式设置的文本的 HTML 标记。

插入动态文本更新的变量

通过替代动态更新内容的预定义变量 ($variable$)，您可以为显示在门户的文本创建模板。这可以使向访客显示的文本和信息保持一致。这些更改仅用于您自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航至以下门户：对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals and Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals and Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在 Pages 下，选择要更新的页面。
步骤 3	在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器创建门户页面的文本模板。例如，您可以为多个访客创建一个欢迎消息模板，但只有在访客成功登录并连接到网络之后才能看到个性化设置的消息。
步骤 4	像往常一样在字段中输入信息。例如，您可以为您的门户输入一条欢迎消息： `Welcome to our company’s Guest portal,`
步骤 5	如果要用变量替代文本，请点击插入变量 (Insert Variable)。变量列表将显示在弹出菜单中。
步骤 6	选择用于替代文本的变量。例如，选择名字 (First name) 以在欢迎消息中显示每位访客的名字。变量 $ui_first_name$ 插入到光标位置： `Welcome to our company’s Guest portal,$ui_first_name$.` 此欢迎消息会出现在名叫 John 的访客的门户欢迎页面上： Johen，欢迎访问我们公司的访客门户。
步骤 7	根据需要继续使用变量列表，直到您在文本框中完成信息输入。
步骤 8	点击 Save。可以使用切换 HTML 源 (Toggle HTML Source) 选项查看应用于您使用小型编辑器进行格式设置的文本的 HTML 标记。

使用源代码设置文本格式和包含链接

除了可以将小型编辑器的格式设置和链接图标用于纯文本，您还可以使用 HTML、CSS 和 Javascript 代码来自定义在门户页面上显示的文本。这些更改仅用于您自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 选项可在使用文本框时缩放其大小。

开始之前

确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1

导航至以下门户：

对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在页面 (Pages) 下，选择想要更新的页面。

步骤 3

在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器输入和查看源代码。

步骤 4

点击切换 HTML 源 (Toggle HTML Source)。

步骤 5

输入您的源代码。

例如，要为文本添加下划线，请输入：

<p style="text-decoration:underline;">Welcome to Cisco!</p>

例如，要使用 HTML 代码加入一个链接，请输入：

<a href="http://www.cisco.com">Cisco</a>

重要	当在 HTML 代码中插入外部 URL 时，确保您输入的是包括“http”或“https”的绝对（完整）URL 路径。

步骤 6

点击保存。

将图像添加为广告

您可以加入要在门户页面的特定区域中显示的图像和广告。

使用切换全屏 (Toggle Full Screen) 选项可在使用文本框时缩放其大小。

过程

步骤 1

导航至以下门户：

对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在页面 (Pages) 下，选择想要更新的页面。

步骤 3

在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器输入和查看源代码。

步骤 4

点击切换 HTML 源 (Toggle HTML Source)。

步骤 5

输入您的源代码。

例如，要使用 HTML 代码在热点访客门户访问后横幅上加入产品广告及其图像，请在 Post-Access Banner 页面上的 Optional Content 1 文本框中输入此代码：

<p style="text-decoration:underline;">Optimized for 10/40/100 Campus Services!</p>
<img  src="http://www.static-cisco.com/assets/prod/root/catalyst_6800.jpg" width="100%" />

注	当在 HTML 代码中插入外部 URL 时，确保您输入的是包括“http”或“https”的绝对（完整）URL 路径。

步骤 6

点击保存。

设置轮播广告

轮播广告是一种广告格式，在一个横幅内显示多个产品图像和文本说明并且重复循环播放。在您的访客门户上使用轮播广告以推广多个相关产品或您公司提供的各种不同产品。

使用切换全屏 (Toggle Full Screen) 选项可在使用文本框时缩放其大小。

开始之前

在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization)，然后选中通过 HTML 和 Javascript 启用门户自定义 (Enable portal customization with HTML and Javascript)。

过程

步骤 1

导航至以下门户：

对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在页面 (Pages) 下，选择想要更新的页面。

步骤 3

在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器输入和查看源代码。

步骤 4

点击切换 HTML 源 (Toggle HTML Source)。

步骤 5

输入您的源代码。

例如，要在访客门户上使用产品图像实施轮播广告，请在访问后横幅 (Post-Access Banner)（对于热点门户）或登录后横幅 (Post Login Banner) 窗口（对于需要提供凭证的访客门户）可选内容 1 (Optional Content 1) 字段中输入以下 HTML 和 Javascript 代码：


<script>
var currentIndex = 0;
setInterval(changeBanner, 5000);

function changeBanner(){
var bannersArray = ["<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq/
n21v1DrawerContainer.img.jpg/1379452035953.jpg' width='100%'/>", 
"<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq_0/
n21v1DrawerContainer.img.jpg/1400748629549.jpg' width='100%' />", 
"<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq_1/
n21v1DrawerContainer.img.jpg/1376556883237.jpg' width='100%'/>"  

];
  var div = document.getElementById("image-ads");
  if(div){
     currentIndex = (currentIndex<2) ? (currentIndex+1) : 0;
      div.innerHTML = bannersArray[currentIndex];
   }
}
</script>
<style>
.grey{
color: black;
background-color: lightgrey;
}
</style>
<div class="grey" id="image-ads">
<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/ content_parsys/overview/layout- overview/gd12v2/gd12v2-left/n21v1_cq/ n21v1DrawerContainer.img.jpg/1379452035953.jpg'/>
</div>

例如，要在访客门户上使用文本产品说明实施轮播广告，请在访问后横幅 (Post-Access Banner)（对于热点门户）或登录后横幅 (Post Login Banner) 窗口（对于需要提供凭证的访客门户）可选内容 2 (Optional Content 2) 字段中输入以下 HTML 和 Javascript 代码：


<script>
var currentIndex = 0;
setInterval(changeBanner, 2000);

function changeBanner(){
var bannersArray = ["Optimize branch services on a single platform while delivering an optimal 
application experience across branch and WAN infrastructure", "Transform your Network Edge to 
deliver high-performance, highly secure, and reliable services to unite campus, data center, 
and branch networks",  "Differentiate your service portfolio and increase revenues by delivering 
end-to-end scalable solutions and subscriber-aware services"];

var colorsArray = ["grey", "blue",  "green"];
  var div = document.getElementById("text-ads");
  if(div){
     currentIndex = (currentIndex<2) ? (currentIndex+1) : 0;
      div.innerHTML = bannersArray[currentIndex];
               div.className = colorsArray[currentIndex];
   }
}
</script>
<style>
.grey{
color: black;
background-color: lightgrey;
}
.blue{
color: black;
background-color: lightblue;
}
.green{
color: black;
background-color: lightgreen;
}
</style>
<div class="grey" id="text-ads">
Optimize branch services on a single platform while delivering an optimal application 
experience across branch and WAN infrastructure
</div>

注	当在 HTML 代码中插入外部 URL 时，您不需输入绝对（完整）URL 路径，包括“http”或“https”。

步骤 6

点击保存。

根据访客位置自定义问候语

此示例显示如何根据访客类型中配置的位置，自定义访客在登录需要提供凭证的访客门户（不是热点）后所看到的登录成功的消息。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航到这些门户之一：对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在页面 (Pages)中，点击身份验证成功 (Authentication Success)。
步骤 3	在页面自定义 (Page Customizations) 下，使用可选内容 1 (Optional Content 1) 字段随附的小型编辑器输入和查看 HTML 源代码。
步骤 4	点击切换 HTML 源 (Toggle HTML Source)。
步骤 5	输入您的源代码。例如，要包含基于位置的问候语，在目录选项 1 (Optional Content 1) 中键入此代码︰ `<style> .custom-greeting { display: none; } .guest-location-san-jose .custom-san-jose-greeting { display: block; } .guest-location-boston .custom-boston-greeting { display: block; } </style> <div class="custom-greeting custom-san-jose-greeting"> Welcome to The Golden State! </div> <div class="custom-greeting custom-boston-greeting"> Welcome to The Bay State! </div>` 访客将根据其特定位置，在登录成功后看到不同的问候语。

根据用户设备类型自定义问候语

可以根据客户端设备类型（移动设备或桌面设备）自定义在用户登录任何思科 ISE 最终用户 Web 门户（访客、发起人和设备）之后向其发送的问候语。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航至以下门户：对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在页面 (Pages) 下，选择想要更新的页面。
步骤 3	在页面自定义 (Page Customizations) 下，使用可选内容 1 (Optional Content 1) 字段随附的小型编辑器输入和查看 HTML 源代码。
步骤 4	点击切换 HTML 源 (Toggle HTML Source)。
步骤 5	输入您的源代码。例如，要在 AUP 页面中包含基于设备类型的问候语，请在 AUP 页面中的可选内容 (Optional Content 1) 文本框中输入以下代码： `<style> .custom-greeting { display: none; } .cisco-ise-desktop .custom-desktop-greeting { display: block; } .cisco-ise-mobile .custom-mobile-greeting { display: block; } </style> <div class="custom-greeting custom-mobile-greeting"> Try our New Dark French Roast! Perfect on the Go! </div> <div class="custom-greeting custom-desktop-greeting"> We brough back our Triple Chocolate Muffin! Grab a seat and dig in! </div>` 用户将在 AUP 页面上看到不同的问候语，视用户用于获取网络或门户访问权限的设备类型而定。

修改门户页面布局

可以操作页面的整体布局；例如，可以将边栏添加到 AUP 页面，以提供其他信息或信息链接。

过程

步骤 1	将以下 CSS 代码添加到创建并计划应用于门户的自定义 `theme`.css 文件的底部。这会更改 AUP 页面布局。可选内容 1 (Optional Content 1) 字段在桌面和移动设备模式下显示为侧栏。 `#page-aup .cisco-ise-optional-content-1 { margin-bottom: 5px; } @media all and ( min-width: 60em ) { #page-aup .cisco-ise-optional-content-1 { float: left; margin-right: 5px; width: 150px; } #page-aup .cisco-ise-main-content { float: left; width: 800px; } #page-aup .cisco-ise-main-content h1, #page-aup .cisco-ise-main-content p { margin-right: auto; margin-left: -200px; } }` 之后，可以在该门户的 AUP 窗口的可选内容 1 (Optional Content 1) 字段中使用 HTML 代码添加链接。
步骤 2	导航至以下门户：对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portal & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portal & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 3	在 Pages 下，选择要在其中包含边栏的页面。
步骤 4	在页面定制 (Page Customizations) 下，使用可选内容 1 (Optional Content 1) 字段随附的小型编辑器输入和查看源代码。
步骤 5	点击切换 HTML 源 (Toggle HTML Source)。
步骤 6	输入您的源代码。例如，要为 AUP 窗口添加侧栏，请在 AUP 窗口上的可选内容 1 (Optional Content 1) 字段中输入此代码： `<ul data-role="listview"> <li>Rent a Car</li> <li>Top 10 Hotels</li> <li>Free Massage</li> <li>Zumba Classes</li> </ul>`
步骤 7	单击保存。

下一步做什么

可以通过在可选内容 (Optional Content) 字段中输入不同的文本或 HTML 代码来定制其他页面。

导入自定义门户主题 CSS 文件

您可以上传已创建的任何自定义 theme.css 文件并将其应用于任何最终用户门户。这些更改将应用于您自定义的所有门户。

任何时候编辑自定义 theme.css 文件并将其导入回到思科 ISE 中时，请记住使用原先对其使用的同一主题名称。无法将两个不同的主题名称用于同一个 theme.css 文件。

过程

步骤 1	导航至以下门户：对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	从高级自定义 (Advanced Customization) 下拉列表中，选择导出/导入主题 (Export/Import Themes)。
步骤 3	在自定义主题 (Custom Theming) 对话框中，点击浏览 (Browse) 查找新的 `theme`.css 文件。
步骤 4	输入新文件的主题名称 (Theme Name)。
步骤 5	点击保存 (Save)。

下一步做什么

您可以将此自定义门户主题应用于要自定义的门户。

从门户主题 (Portal Themes) 下拉列表中选择已更新的主题来应用于整个门户。
点击保存。

删除自定义门户主题

可以删除已导入思科 ISE 中的任何自定义门户主题，除非某个门户正在使用该主题。不能删除思科 ISE 提供的任何默认主题。

开始之前

想要删除的门户主题不应被任何门户使用。

过程

步骤 1	导航至以下门户：对于访客门户，工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	从高级自定义 (Advanced Customization) 下拉列表选择删除主题 (Delete Themes)。
步骤 3	从主题名称 (Theme Name) 下拉列表选择想要删除的门户主题。
步骤 4	点击删除 (Delete)，然后点击保存 (Save)。

查看您的自定义

您可以查看自己的自定义向门户用户（访客、发起人或员工）的显示方式。

过程

步骤 1

点击 Portal test URL 查看您做出的更改。

步骤 2

（可选）点击预览 (Preview) 以动态查看所做的更改如何出现在各类设备上：

移动设备：在预览 (Preview) 下查看做出的更改。
桌面设备：单击预览 (Preview) 并单击桌面预览 (Desktop Preview)。

如果没有显示更改，请点击 Refresh Preview。所显示的门户仅用于查看您做出的更改；您无法点击按钮或输入数据。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

门户语言自定义

访客门户、发起人门户、我的设备门户和客户端调配门户会本地化为所有受支持的语言和区域设置。这包括文本、标签、消息、字段名称和按钮标签。如果客户端浏览器请求未映射到思科 ISE 中的模板的区域设置，则门户使用英语模板显示内容。

通过使用管理门户，您可以针对每种语言单独修改用于访客门户、发起人门户和我的设备门户的字段，并且可以添加更多语言。当前，您无法自定义客户端调配门户的这些字段。

默认情况下，每种类型的门户都支持 15 种语言。您可以在门户页面自定义 (Portal Page Customization) 窗口中选择门户使用的语言，还可以选择更新该语言的页面内容。请注意，如果更改页面上一种语言的字体和内容，则这些更改不会影响其他语言。导出语言文件时，会包含您在门户页面自定义 (Portal Page Customization) 窗口中所做的更改。

支持的语言为：

中文（简体）
中文（繁体）
捷克语
荷兰语
英语
法语
德语
匈牙利语
意大利语
日语
韩语
波兰语
葡萄牙语
俄语
西班牙语

编辑门户使用的语言

打开要编辑的门户。
在门户页面自定义 (Portal Page Customization) 选项卡上，从查看 (view in) 下拉列表中选择要编辑的语言。
根据需要更改内容、标题和字体。
保存该门户配置，并对要更新的其他语言重复此流程。

要编辑语言文件

每个门户页面自定义 (Portal Page Customization) 窗口还提供一个语言文件。语言文件是属性文件的 ZIP 文件，可用于自定义作为门户流程一部分的标题和文本，但不可用来在门户页面自定义 (Portal Page Customization) 窗口中自定义。

语言文件还包含到特定浏览器区域设置的映射，以及该语言下整个门户的所有字符串设置。如果您更改一种语言的浏览器区域设置，则更改会应用于所有其他最终用户 Web 门户。例如，如果在热点访客门户中将 French.properties 浏览器区域设置从 fr,fr-fr,fr-ca 更改为 fr,fr-fr，则更改还会应用于我的设备门户。

您可以导出压缩语言文件并对其进行更新，包括添加新语言或删除不需要的现有语言。

有关如何更新语言文件的说明，请参阅：

导出语言文件
从语言文件添加或删除语言
导入更新的语言文件

导出语言文件

可以导出可供每个门户类型使用的语言文件，用以编辑和自定义其中指定的现有值，并添加或删除语言。

注	语言属性文件中只有一些字典键支持在其值（文本）中使用 HTML。

过程

步骤 1

导航至以下门户：

对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 编辑 (Edit)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 配置 (Configure) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit)。

步骤 2

点击语言文件 (Language File)，然后从下拉列表中选择导出 (Export)。

步骤 3

在桌面上保存压缩后的语言文件。

从语言文件添加或删除语言

如果想用于门户类型的语言在该语言文件中不存在，则可以创建新的语言属性文件，并将其添加到压缩语言文件中。如果有不需要的语言，则可以删除其语言属性文件。

开始之前

要添加或删除语言属性文件，请导出适于各个门户类型的压缩语言文件。

过程

步骤 1

使用任何显示 UTF-8 的编辑器（例如 Notepad ++），为想要添加或删除语言的门户类型打开预定义语言文件。

如果想要为多个门户类型添加或删除语言，请使用所有适当的门户属性文件。

步骤 2

要添加新的语言，请将现有语言属性文件另存为新语言属性文件，与压缩语言文件中的其他文件使用相同的命名规范。例如，要创建新的日语语言属性文件，请将该文件另存为 Japanese.properties (LanguageName.properties)。

步骤 3

在新语言属性文件的第一行指定浏览器本地值，将新语言与其浏览器区域设置关联起来。例如，LocaleKeys= ja,ja-jp (LocaleKeys=browser locale value) 应当是 Japanese.properties 文件的第一行。

步骤 4

更新新语言属性文件中的所有字典键值（文本）。

无法更改字典键。只能更新其值。

注	仅部分字典键支持在键值（文本）中使用 HTML。

下一步做什么

压缩所有属性文件（新文件和现有文件），创建新的压缩语言文件。不包含任何文件夹或目录。

注	使用 Mac 时，解压 zip 文件将生成 DS 存储区。在编辑语言文件后进行压缩时，请勿在 zip 中包含 DS 存储区。要了解提取 DS 存储区的方法，请参阅 https://superuser.com/questions/198569/compressing-folders-on-a-mac-without-the-ds-store。

为压缩语言文件创建新名称或使用其原始名称。
将压缩语言文件导入您从其导出的特定门户。

导入更新的语言文件

可以导入通过添加或删除语言属性文件或通过更新现有属性文件中的文本进行自定义的已编辑语言文件。

注	确保不从 Word 文件复制和粘贴自定义内容。或者，选择文件 (File) > 另存为 (Save As) 并将 Word 文件保存为 HTML 格式。然后，您可以从 HTML 文件复制和粘贴自定义内容。

过程

步骤 1	导航至以下门户：对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit)。
步骤 2	点击 Language File，然后从下拉列表中选择 Import。
步骤 3	浏览以在桌面上查找新的压缩语言文件。
步骤 4	将语言文件重新导入从其导出文件的门户类型。

下一步做什么

要显示更改的文本或添加的新语言，请从 View In 下拉列表中选择特定语言。

自定义访客通知、审批和错误消息

在每个门户中，您可以自定义访客接收通知的方式，可以通过邮件、SMS 文本消息和打印方式。使用这些通知以邮件、文本发送登录凭证或打印登录凭证：

当访客使用自注册访客门户且成功进行自注册时。
当发起人创建访客帐户且要向访客提供详细信息时。当创建发起人组时，您可以确定是否授权发起人使用 SMS 通知。如果这些设施可用，则发起人总是可以使用邮件发送并打印通知。

您还可以自定义发送给发起人的邮件通知，用于发起人批准尝试获得访问网络权限的自助注册访客的请求。此外，您还可以自定义向访客和发起人显示的默认错误消息。

自定义邮件通知

可以自定义通过邮件发送给访客的信息。

开始之前

将 SMTP 服务器配置为启用邮件通知。在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMTP 服务器 (SMTP Server)。
配置对向访客发送邮件通知的支持。在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 访客邮件设置 (Guest Email Settings)。选中对访客启用邮件通知 (Enable email notifications to guests)。
确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1	对于自行注册的发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 通知访客 (Notify Guests) > 邮件通知 (Email Notification)。
步骤 2	可以更改在全局页面自定义 (Global Page Customizations) 下指定的徽标 (Logo [Email]) 默认值。
步骤 3	指定 Subject 和 Email body。使用预定义变量指定邮件中包含的访客帐户信息。使用小型编辑器和 HTML 标记自定义文本。
步骤 4	在设置 (Settings) 下，可以：选择分别发送用户名和密码 (Send username and password separately)，使用不同的邮件单独发送用户名和密码。如果选择此选项，两个单独的选项卡会显示在页面自定义 (Page Customizations) 中，用于自定义用户名邮件 (Username Email) 和密码邮件 (Password Email) 通知。选择发送测试邮件 (Send Test Email)，将测试邮件发送到邮箱地址，以在所有设备上预览自定义设置，从而确保信息正确显示。
步骤 5	点击保存 (Save)，然后点击关闭 (Close)。

自定义 SMS 文本消息通知

您可以自定义通过 SMS 文本消息发送给访客的信息。

开始之前

配置用于将邮件发送到 SMS 网关以传达 SMS 文本消息的 SMTP 服务器。在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMTP 服务器 (SMTP Server)。
将发起人组配置为支持 SMS 文本通知。
设置具有第三方 SMS 网关的帐户。在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMS 网关 (SMS Gateway)。思科 ISE 将文本消息作为邮件发送到网关，该网关通过 SMS 运营商将消息转发给指定用户。
确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1	对于自行注册的访客门户或发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客或发起人门户 (Guest or Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > SMS 回执或 SMS 通知 (SMS Receipt or SMS Notification)。
步骤 2	使用迷你编辑器和 HTML 标签自定义消息文本 (Message Text)。使用预定义变量指定要在 SMS 文本消息中包含的访客帐户信息。
步骤 3	在设置 (Settings) 下，可以：选择分别发送用户名和密码 (Send username and password separately)，以使用不同文本消息单独发送用户名和密码。如果选择此选项，则在页面自定义 (Page Customizations) 中会出现两个单独的选项卡，用于自定义用户名消息 (Username Message) 和密码消息 (Password Message) 通知。选择发送测试消息 (Send Test Message)，向手机发送文本消息，以预览自定义，确保信息按预期显示。
步骤 4	点击保存 (Save)，然后点击关闭 (Close)。

自定义打印通知

您可以自定义为访客打印的信息。

注	在每个门户中，打印通知徽标沿用自邮件通知徽标设置。

开始之前

确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1	对于自行注册的访客门户和发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客或发起人门户 (Guest or Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 打印回执或打印通知 (Print Receipt or Print Notification)。
步骤 2	指定打印说明文本 (Print Introduction Text)。使用预定义变量指定邮件中包含的访客帐户信息。使用小型编辑器和 HTML 标记自定义文本。
步骤 3	在缩略图中预览自定义或点击打印预览 (Print Preview)。您无法在缩略图中查看任何 HTML 自定义。如果选择打印预览 (Print Preview) 选项，则会显示一个窗口，从中可以打印帐户详细信息来确保信息按预期显示。
步骤 4	点击保存 (Save)，然后点击关闭 (Close)。

自定义审批请求邮件通知

您可以要求发起人需要批准自行注册的访客，才能创建访客帐户且访客才可以获取登录凭证。您可以自定义通过邮件发送至发起人，请求发起人批准的信息。只有在您已指定使用 Self-Registered Guest 门户的自行注册的访客必须经过批准才能获得网络访问权限的情况下，才会显示此通知。

开始之前

将 SMTP 服务器配置为启用邮件通知。在思科 ISE GUI 中，单击菜单图标 ()，然后选择管理 (Administration) > 系统 (Systems) > 设置 (Settings) > SMTP 服务器 (SMTP Server)。
配置对向访客发送邮件通知的支持。在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 访客邮件设置 (Guest Email Settings)。选中对访客启用邮件通知 (Enable email notifications to guests)。
如果希望发起人批准自注册帐户请求，请在门户行为和流设置 (Portal Behavior and Flow Settings) 选项卡中的自注册页面设置 (Self-Registration Page Settings) 下选中需要批准自注册访客 (Require self-registered guests to be approved) 复选框。这会启用门户页面自定义 (Portal Page Customization) 页面中通知 (Notifications) 下方的请求批准电子邮件 (Approval Request Email) 选项卡，在这里可以自定义发送给发起人的电子邮件。

过程

步骤 1

在思科 ISE GUI 中，单击菜单图标 ()，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 配置 (Configure) > 自注册访客门户 (Self-Registered Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 请求批准电子邮件 (Approval Request Email)。在此，您可以：

步骤 2

执行以下操作：

在 Global Page Customizations 下更改在 Logo 中指定的默认标志。
指定 Subject 和 Email body。使用预定义变量指定邮件中包含的访客帐户信息。使用小型编辑器和 HTML 标记自定义文本。例如，要在请求批准电子邮件中包含指向发起人门户的链接，请点击创建链接 (Create a Link) 按钮，然后将 FQDN 添加到发起人门户。
在所有设备上使用 Send Test Email 预览您的自定义，确保其显示符合预期。
点击 Save，然后点击 Close。

步骤 3

自定义发起人发送的批准电子邮件内容：

选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals)。
点击门户页面自定义 (Portal Page Customization)。
点击电子邮件通知 (Email Notification) 选项卡并输入所需的详细信息。

编辑错误消息

可以完全自定义为访客、发起人和员工显示在“故障”(Failure) 页面中的错误消息。所有最终用户 Web 门户都具有“故障”(Failure) 页面，但阻止列表门户除外。

过程

步骤 1	执行以下操作之一：对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 消息 (Messages) > 错误消息 (Error Messages)。对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 消息 (Messages) > 错误消息 (Error Messages)。对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 消息 (Messages) > 错误消息 (Error Messages)。
步骤 2	从查看语言 (View In) 下拉列表中选择在自定义消息时查看文本所要使用的语言。下拉列表包含与特定门户关联的语言文件中的所有语言。确保将自定义门户页面时所做的任何更改更新到支持的语言属性文件中。
步骤 3	更新错误消息文本。可以通过键入 aup 等关键字来搜索特定错误消息，以便查找 AUP 相关的错误消息。
步骤 4	点击保存 (Save)，然后点击关闭 (Close)。

门户页面标题、内容和标签的字符限制

可以在 Portal Page Customization 选项卡的标题、文本框、说明、字段和按钮标签以及其他视觉元素中输入的最大和最小字符范围限制。

门户页面标题、内容和标签的字符限制

这些门户页面 UI 元素的导航路径如下：

对于访客门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于发起人门户，单击菜单图标 () ，然后选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于设备门户，单击菜单图标 () ，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。

在标题、文本框、说明、字段与按钮标签，以及您自定义的其他门户页面可视元素中输入内容时，请使用此信息。这些更新仅适用于您自定义的特定页面。

注	无论您输入的是单字节还是多字节字符，您最多都只能输入字段指定的最大字符数。多字节字符不影响字符限制。


字段类别	字段	字段标签：最小字符数	字段标签：最大字符数	字段输入值：最小字符数	字段输入值：最大字符数
常见页面元素	横幅标题				256
	页脚元素			0	2000
	浏览器页面标题			0	256
	说明文本			0	2000
	内容标题			0	256
	可选内容 1			0	2000
	可选内容 2			0	2000
	按钮标签	0	64
	复选框标签	0	64
	选项卡标签	0	64
	链接标签	0	256
AUP	AUP 文本			0	50000
消息文本	消息文本（显示在页面上）			0	2000
	消息文本（显示在弹出窗口中）			0	256
字段标签	所有字段标签	0	256
字段输入（常规）	一般字段输入（请参阅下面的特殊情况）			0	256
字段输入（特殊情况）	“访问代码”(Access Code) 字段			1	20
	“注册代码”(Registration Code) 字段			1	20
	“用户名”(Username) 字段			1	64
	“密码”(Password) 字段			1	256
	“电话号码”(Phone Number) 字段			0	64
	“设备 ID”(Device ID) 字段			12	17

门户自定义

您可以自定义最终用户 Web 门户的外观和访客体验。如果您熟悉级联样式表 (CSS) 语言和 Javascript，您可以使用 jQuery Mobile ThemeRoller 应用，通过更改门户页面布局来自定义门户主题。

您可以通过从所需门户页面导出 CSS 主题或语言属性查看所有字段。有关详细信息，请参阅导出门户的默认主题 CSS 文件。

最终用户门户页面布局的 CSS 类和说明

使用这些 CSS 类可定义和修改思科 ISE 最终用户 Web 门户的页面布局。


CSS 类名	说明
cisco-ise-banner	包括徽标、横幅图像和横幅文本。在发起人门户和我的设备门户上，此类还包含可激活上下文菜单的按钮。例如，菜单可能会显示具有 Log Out 和 Change Password 等选项的弹出窗口。
cisco-ise-body	包含不属于横幅的一部分的所有页面元素。
cisco-ise-optional-content-1	默认情况下为空。您可以添加文本、链接以及 HTML 和 JavaScript 代码。
cisco-ise-main-content	包含门户页面的主要内容，例如说明性文本、操作按钮和 cisco-ise-footer 容器。
cisco-ise-optional-content-2	默认情况下为空。您可以添加文本、链接以及 HTML 和 JavaScript 代码。
cisco-ise-footer	页脚的一部分，它是 Contact Support 和在线 Help 等链接的占位符。
cisco-ise-footer-text	默认情况下为空。它是要在门户页面底部显示的任何内容（例如版权声明或免责声明）的占位符。

门户语言文件的 HTML 支持

每个门户的压缩语言文件包含该门户的默认语言属性文件。每个属性文件包含用于定义门户上显示的内容的字典键。

您可以自定义门户上显示的文本，包括说明文本 (Instructional Text)、内容 (Content)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段中的内容。其中一些字段具有默认内容，而有些字段则为空。

其中，只有与这些字段关联的一些字典键在其值（文本）中支持 HTML。

阻止列表门户语言文件的 HTML 支持

要查看此处窗口，请单击菜单图标 ()，然后选择管理 (Administration) > 设备门户管理 (Device Portal Management) > 阻止列表门户 (Blocked List Portal) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。您可以使用小型编辑器中的查看 HTML 源代码 (View HTML Source) 图标，并在内容中添加 HTML 代码。