思科身份服务引擎管理员指南，版本 3.2

思科 ISE 访客服务

使用思科身份识别服务引擎（思科 ISE）访客服务，可以提供对访客（例如宾客、承包商、顾问和客户）的安全网络访问。您可以支持具有基本思科 ISE 许可证的访客，此外，还可以根据公司的基础设施和功能要求，从若干部署选项中选择。

思科 ISE 提供基于 Web 的门户和移动门户，让访客和员工注册公司的网络以及内部资源和服务。

从 Admin 门户，您可以创建和编辑访客和发起人门户，通过定义访客类型配置访客接入权限，以及分配发起人权限，创建和管理访客帐户。

访客门户
访客类型和用户身份组
发起人门户
发起人组

分布式环境中的最终用户访客门户和发起人门户

思科 ISE 最终用户 Web 门户根据管理、策略服务和监控角色，提供配置、会话支持和报告功能。

策略管理节点 (PAN)：您对用户、设备和最终用户门户所做的配置更改会写入 PAN。
策略服务节点 (PSN)：最终用户门户在 PSN 上运行，后者处理所有会话流量，包括网络访问、客户端调配、访客服务、终端安全评估和分析。如果 PSN 是节点组的一部分，并且一个节点发生故障，则其他节点会检测到故障，并重置任何挂起的会话。
监控节点（MnT 节点）：MnT 节点在我的设备门户、发起人门户和访客门户上收集、聚合和报告有关最终用户和设备活动的数据。如果主 MnT 节点故障，则辅助 MnT 节点自动成为主 MnT 节点。

访客和发起人帐户

访客帐户 (Guest Accounts)：访客通常表示授权访客、承包商、客户，或者需要临时访问网络的其他用户。如果您更愿意使用其中一个访客部署场景以允许员工访问该网络，也可以让员工使用访客帐户。您可以访问发起人门户，查看由发起人和自注册访客创建的访客帐户。
发起人帐户 (Sponsor Accounts)：使用发起人门户为授权访客创建用于安全访问公司网络或互联网的临时帐户。在创建访客帐户后，您还可以使用发起人门户管理这些帐户并向访客提供帐户详细信息。

访客帐户可以通过以下方式创建：

发起人 (Sponsors)：在管理员门户上，您可以为发起人定义访问权限和功能支持，发起人可以访问发起人门户以创建和管理访客帐户。
访客 (Guests)：访客也可以通过自助注册访客门户创建自己的帐户。根据门户配置，自助注册的访客可能需要发起人批准后才能获得登录凭证。

访客还可以使用热点访客门户来访问网络，而无需创建访客帐户及用户名和密码等登录凭证。
员工 (Employees)：包括在身份库（例如 Active Directory、LDAP、内部用户）中的员工同样可以通过已配置的需要凭证的访客门户（发起人管理的和自助注册的访客门户）进行访问。

访客帐户创建完毕后，访客即可使用发起人管理的访客门户进行登录并获得访问网络的权限。

访客类型和用户身份组

每个访客帐户必须与访客类型关联。访客类型允许发起人向访客帐户配分各种访问级别以及不同的网络连接时间。这些访客类型与特定的网络接入策略相关联。思科 ISE 包括以下默认访客类型：

承包商 (Contractor)：需要在长达 1 年时间内访问网络的用户。
日 (Daily)：仅需在 1 至 5 天内访问网络资源的访客。
周 (Weekly)：需在数周内访问网络的用户。

在创建访客帐户时，可限制某些发起人组使用特定的访客类型。这种组的成员可以创建仅具有针对其访客类型特定功能的访客。例如，发起人组 ALL_ACCOUNTS 可设置为仅使用承包商访客类型，而发起人组 OWN_ACCOUNTS 和 GROUP_ACCOUNTS 则可设置为仅使用每日和每周访客类型。此外，由于使用自助注册访客门户的自助注册访客通常仅需访问一天，因此您可以向其分配每日访客类型。

访客类型定义访客的用户身份组。

有关详情，请参阅：

创建或编辑访客类型

除了创建新的访客类型外，您还可以编辑默认访客类型的默认访问权限和设置。所做更改将应用到使用此访客类型创建的现有访客帐户。登录的访客用户不会看到这些更改，直到这些用户注销并重新登录为止。还可以复制访客类型，使用相同的访问权限创建其他访客类型。

对于现有访客帐户，按访客类型配置该帐户的属性。

如果您正在编辑现有的访客类型以变更时段或其他属性，则新属性不会应用于现有的访客帐户。

要更改现有访客帐户的属性，需使用新属性创建一个新访客类型，并将该访客类型应用于现有的账户。该帐户会具有新访客类型的所有属性，包括默认访问时间、日期和持续时间。此外，原始访客类型的自定义字段会复制到新访客帐户，即使自定义字段为空。

每个访客类型都有名称、说明以及可以使用此访客类型创建访客帐户的发起人组列表。如下所示，可以按如下方式指定某些访客类型：仅用于自行注册访客，或者不用于（由任何发起人组）创建访客帐户。

过程

填写以下字段。

访客类型名称 (Guest type name)：提供一个名称（1 至 256 个字符），将此访客类型与其他访客类型区分开来。
说明 (Description)：提供有关此访客类型推荐用途的更多信息（最多 2000 个字符），例如用于自行注册访客。
语言文件 (Language File)：使用此字段可导出和导入语言文件，文件包含所有受支持语言的电子邮件主题、电子邮件和 SMS 消息的内容。这些语言和内容用于有关过期帐户的通知中，并发送给分配了此访客类型的访客。如果您正在创建新的访客类型，在保存访客类型之前，此功能将被禁用。有关编辑语言文件的详细信息，请参阅门户语言自定义。
收集其他数据 (Collect Additional Data)：单击自定义字段 (Custom Fields) 选项，选择要用于向使用此访客类型的访客收集其他数据的自定义字段。

要管理自定义字段，请选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 设置 (Settings) > 自定义字段 (Custom Fields) 。

最长接入时间

最长帐户持续时间 (Maximum account duration)：输入分配给此访客类型的访客可以登录的天数、小时数或分钟数。

注	帐户清除策略检查过期的访客帐户，并发送过期通知。此策略每 20 分钟运行一次，因此，如果将帐户持续时间设置为少于 20 分钟，则在清除帐户之前可能不会发出过期通知。

您可以使用仅在这些日期和时间允许访问 (Allow Access only on these Days and Times) 选项指定向此类型的访客提供访问权限的持续时间和星期几。

您选择的星期几限制了在发起人的日历中可选择的访问日期。
当发起人选择持续时间和日期时，发起人门户中将实施最长帐户持续时间。

您在此进行的访问时间设置会影响创建访客帐户时发起人门户上可用的时间设置。

登录选项
- 最大同时登录数 (Maximum simultaneous logins)：输入分配此访客类型的用户可以同时运行的最大用户会话数。
- 当访客超过限制时 (When Guest Exceeds Limit)：如果选择最大同时登录数 (Maximum simultaneous logins)，还必须同时选择用户在达到最大登录数后连接时要执行的操作。
  - 断开最早的连接 (Disconnect the oldest connection)
  - 断开最近的连接 (Disconnect the newest connection)：如果选择将用户重定向至显示错误信息的门户页面 (Redirect user to a portal page showing an error message)，错误消息将在配置的时长内显示，然后会话断开，用户重定向到访客门户。错误页面的内容在消息 (Messages) > 错误消息 (Error Messages)窗口上的“门户页面自定义”(Portal Page Customization) 对话框中进行配置。
- 访客可以注册的最大设备数 (Maximum Devices Guests can Register)：输入每个访客可以注册的最大设备数。您可以将限制设为小于已为此访客类型的访客注册的设备数的数值。这只会影响新创建的访客帐户。当添加新设备并达到最大值时，最早的设备将断开连接。
- 用于注册访客设备的终端身份组 (Endpoint identity group for guest device registration)：选择要分配访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。
- 允许访客绕开访客门户 (Allow Guest to bypass the Guest portal)：允许用户绕过需要提供凭证的访客类型强制网络门户（Web 身份验证页面），通过向有线和无线 (dot1x) 请求方或 VPN 客户端提供凭证来访问网络。访客帐户进入活动状态，绕过等待初始登录状态和 AUP 页面，即使 AUP 是必填项也是如此。
  
  如果不启用此设置，用户必须首先通过需要提供凭证的访客强制网络门户登录，然后才能访问网络的其他部分。
帐户过期通知
- 在帐户过期之前 __ 天，发送帐户过期通知 (Send account expiration notification __ days before account expires)：在帐户过期之前向访客发送通知，指定距离过期还剩多少天、多少小时或多少分钟。
- 查看消息的语言 (View messages in)：指定在按照您的设置显示电子邮件或 SMS 通知时使用的语言。
- 电子邮件 (Email)：通过电子邮件发送帐户过期通知。
- 使用自定义设置源 (Use customization from)：将您为所选门户配置的相同自定义设置应用于此访客类型的帐户过期邮件。
- 复制文本自 (Copy text from)：重复使用您为另一访客类型的帐户过期电子邮件而创建的电子邮件文本。
- SMS：通过 SMS 发送帐户过期通知。
  
  SMS 的设置与电子邮件通知的设置相同，不同之处在于您选择了向我发送测试 SMS (Send test SMS to me) 对应的 SMS 网关。
发起人组 (Sponsor Groups)：指定成员可以使用此访客类型创建访客帐户的发起人组。删除您不希望访问此访客类型的发起人组。

下一步做什么

创建或修改发起人组，以使用此访客类型。有关详细信息，请参阅发起人组。
如果适用，请在自行注册访客门户中将此访客类型分配给自行注册访客。有关详细信息，请参阅创建自注册访客门户。

禁用访客类型

您无法删除最后一个剩余的访客类型，或访客帐户正在使用的访客类型。如果您希望删除使用中的访客类型，请首先确保其不再可供使用。禁用访客类型不会影响到使用该访客类型创建的访客帐户。

以下步骤介绍如何准备和禁用目标访客类型。

过程

步骤 1	确定允许发起人使用目标访客类型创建访客的发起人组。依次选择 > 访客访问 (Guest Access) > 配置 (Configure) > 发起人组 (Sponsor Groups)，然后打开每个发起人组并检查此发起人组可以使用这些访客类型创建帐户 (This sponsor group can create accounts using these guest types) 列表。
步骤 2	确定分配目标访客类型的自注册门户。依次选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals)。打开每个自注册访客门户。如果门户使用特定访客类型，请展开门户设置 (Portal Settings)，并在使用此门户的员工作为访客继承登录选项于：(Employees using this portal as guests inherit login options from:) 字段。
步骤 3	打开要删除的访客类型，并删除您在之前的步骤中确定的所有发起人组。此操作会有效地防止所有发起人使用此访客类型创建新的访客帐户。依次选择访客访问 (Guest Access) > 配置 (Configure) > 访客类型 (Guest Type)。

安排清除过期访客帐户的时间

当活动或挂起访客帐户达到其帐户持续时间（按照创建帐户时发起人的定义）结束时，帐户过期。当访客帐户过期时，受影响的访客无法访问网络。发起人可以在清除之前延长到期帐户的期限。然而，帐户清除之后，发起人必须创建新的帐户。

清除过期访客帐户时，关联的终端以及报告和日志记录信息仍然保留。

默认情况下，思科 ISE 每 15 天自动清除一次过期访客帐户。Date of next purge 指示下次清除的时间。您还可以：

计划每 X 天执行清除操作。第一次清除会在 X 天之后在指定的清除时间 (Time of Purge)进行，然后每 X 天执行一次清除操作。
计划每 X 周在指定周的固定某天执行清除操作。第一次清除在下一周的某天 (Day of Week) 的指定的清除时间 (Time of Purge) 执行，随后清除会每 X 周（X 为设置的周值）在指定的日期和时间进行。例如，如果您在本周的星期一设置每 5 周在星期四执行清除操作，则下次清除将在本周的星期四进行，而不是 5 周之后的星期四。
通过点击立即清除 (Purge Now) 可立即强制执行清除操作。

如果思科 ISE 服务器在按计划运行清除时关闭，不会执行清除。假设服务器在下一次计划清除时可以运行，清除进程将在那时再次运行。

过程

步骤 1

选择访客访问 (Guest Access) > 设置 (Settings) > 访客帐户清除策略 (Guest Account Purge Policy)。

步骤 2

步骤 3

选择以下选项之一：

点击 Purge Now，立即清除过期的访客帐户记录。

选中 Schedule purge of expired guest accounts 复选框，安排清除。

注	每次完成清除后，Date of next purge 重置为下一次计划清除。

步骤 4

指定多少 days of inactivity 后清除思科 ISE 数据库中为 LDAP 和 Active Directory 用户维护的用户特定门户记录。

步骤 5

点击 Save。如果不想保存对设置进行的任何更新，请点击 Reset 以恢复为上次保存的值。

添加用于创建访客帐户的自定义字段

当提供访客接入时，可能不仅仅从访客收集其姓名、邮箱地址和电话号码信息。可以将思科 ISE 提供的自定义字段用于针对公司需求收集其他访客信息。可以将自定义字段与访客类型，以及自注册的访客门户和发起人门户相关联。思科 ISE 不提供任何默认自定义字段。

下一步做什么

在以下情况下，可以包含所需的自定义字段：

当定义访客类型，使得使用该访客类型创建的帐户将包含此信息时。请参阅创建或编辑访客类型。
当配置发起人门户，供发起人在创建访客帐户的时候使用时。请参阅自定义发起人门户。
当使用自注册的访客门户从自注册访客请求信息时。请参阅创建自注册访客门户。

为邮件通知指定邮箱地址和 SMTP 服务器

通过思科 ISE，可以将邮件发送到发起人和访客，向他们通知相关信息和说明。可以配置 SMTP 服务器来传送这些邮件通知。还可以指定将通知发送到访客的发件人邮箱地址。

分配访客位置和 SSID

访客位置定义时区的名称，并由 ISE 用于执行已登录访客的时间相关设置。访客位置由创建访客帐户的发起人以及由自行注册的访客分配给访客帐户。默认访客位置为 San Jose。如果未添加其他访客位置，则为所有帐户分配此访客位置。除非您创建一个或多个新位置，否则无法删除 San Jose 访客位置。除非所有访客都将位于与 San Jose 相同的时区中，否则请创建至少一个具有所需时区的访客位置。

注	访客访问时间基于访客位置的时区。如果访客位置的时区与系统时区不匹配，访客用户可能无法登录。在这种情况下，访客用户可能会收到“身份验证失败”错误。您可能会在调试报告中看到“访客活动时间段未开始 (Guest active time period not yet started)”错误消息。作为解决方法，您可以使用管理帐户 (Manage Accounts) 选项来调整访客接入开始时间，以匹配访客用户的本地时区。

您在此处添加的 SSID 可供发起人门户使用，因此发起人可以告知访客要连接的 SSID。

如果访客位置或 SSID 在发起人门户中进行配置或者分配给访客帐户，则无法删除。

过程

步骤 1

要添加、编辑或删除访客门户和发起人门户的访客位置和 SSID，请选择访客访问 (Guest Access) > 设置 (Settings) > 访客位置和 SSID (Guest Locations and SSIDs)。

步骤 2

步骤 3

对于 Guest Locations：

对于需要支持的每个时区，请输入 Location name 并从下拉列表中选取 Time zone。

点击 Add。

注	在 Guest Location 中，位置的名称、时区的名称和 GMT 时差是静态的；无法对其进行更改。GMT 时差不随夏令时更改而更改。GMT 偏移与列表中显示的相反。例如，`Etc/GMT+3` 实际上是 GMT-3。

步骤 4

对于 Guest SSIDs：

输入将可供访客在访客位置使用的网络的 SSID 名称。
点击添加 (Add)。

步骤 5

点击保存 (Save)。要恢复为上次保存的值，请点击重置 (Reset)。

下一步做什么

如果您已添加新的访客位置或 SSID，则可以：

提供 SSID 以供发起人在创建访客帐户时使用。请参阅发起人门户的门户设置。
向发起人组中添加访客位置，以使分配到该组的发起人在创建访客帐户时可以使用这些访客位置。请参阅配置发起人组。
使用自行注册的访客门户分配自行注册的访客可用的访客位置。请参阅创建自注册访客门户。
对于现有访客帐户，请手动编辑它们以添加 SSID 或位置。

访客密码策略规则

对于访客密码，思科 ISE 具有以下内置规则：

访客密码策略适用于发起人门户、自注册门户、以 CSV 文件格式上传的帐户、使用 ERS API 创建的密码和用户创建的密码。
对访客密码策略的更改不会影响现有用户，直到访客密码过期并且需要更改为止。
密码区分大小写。
不能使用特殊字符 <、>、/、和 %。
最低长度和最小字符数要求适用于所有密码。
密码不能与用户名一样。
新密码不能与当前密码一样。
与访客帐户到期情况不一样，访客在密码到期之前不会收到通知。当访客密码到期时，发起人可以将密码重置为随机密码，或者访客也可以使用当前的登录凭证登录，然后更改其密码。

注	客户默认用户名是四位字母字符，而密码是四位数字字符。简短、易于记忆的用户名和密码适用于短期客户。如果需要，您可以在 ISE 中更改用户名和密码长度。

设置访客密码策略和到期时间

您可以为所有访客门户定义密码策略。访客密码策略决定着如何为所有访客帐户生成密码。密码可以是字母、数字或特殊字符的组合。您还可以设置访客密码到期的天数，使系统在经过这些天之后要求访客重置其密码。

访客密码策略适用于发起人门户、自注册门户、以 CSV 文件格式上传的帐户、使用 ERS API 创建的密码和用户创建的密码。

下一步做什么

您应自定义与密码策略相关的错误消息以提供密码要求。

选择访客访问 (Guest Access) > 配置 (Configure) > 发起人管理的访客门户或自注册访客门户 (Sponsored-Guest Portals or Self-Registered Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 错误消息 (Error Messages)。
搜索关键字 policy。

访客用户名策略规则

对于访客用户名策略，思科 ISE 支持以下内置规则：

对访客用户名策略的更改不会影响现有用户，直到访客帐户过期并且需要更改为止。
不能使用特殊字符 <、>、/、和 %。
最低长度和最小字符数要求适用于所有系统生成的用户名，包括基于邮件地址的用户名。
密码不能与用户名一样。

设置访客用户名策略

您可以对访客用户名的创建规则进行配置。生成的用户名可以根据电子邮件地址或基于访客的名字和姓氏创建。当创建多个访客或访客姓名和电子邮件地址不可用时，发起人还可以创建任意数量的访客帐户以节省时间。随机生成的访客用户名由字母、数字和特殊字符组成。这些设置会影响所有访客。

下一步做什么

您应自定义与用户名策略相关的错误消息以提供用户名要求。

选择访客访问 (Guest Access) > 配置 (Configure) > 发起人管理的访客门户、自注册访客门户、发起人门户或我的设备门户 (Sponsored-Guest Portals, Self-Registered Guest Portals, Sponsor Portals, or My Devices Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 错误消息 (Error Messages)。
搜索关键字 policy。

SMS 运营商和服务

SMS 服务会向使用需要提供凭证的访客门户的访客发送 SMS 通知。如果计划发送 SMS 消息，请启用此服务。尽可能配置和提供免费的 SMS 服务运营商，以降低您公司的支出。

思科 ISE 支持向其自己的用户提供免费 SMS 服务的各种移动服务运营商。您可以使用这些运营商，而无需签订服务合同且无需在思科 ISE 中配置其帐户凭证。其中包括 ATT、Orange、Sprint、T-Mobile 和 Verizon。

您还可以添加其他提供免费 SMS 服务的移动服务运营商或 Click-A-Tell 等全球 SMS 服务运营商。默认全局 SMS 服务运营商要求签订服务合同并且您必须在思科 ISE 中配置其帐户凭证。

如果自行注册访客在 Self-Registration 窗体中选择自己的免费 SMS 服务运营商，系统将免费向他们发送包含其登录凭证的 SMS 通知。如果他们不选择 SMS 服务提供商，则由公司签约的默认全局 SMS 服务提供商发送 SMS 通知。
若要允许发起人向他们创建的访客发送 SMS 通知，应自定义发起人门户并选择所有可用的相应 SMS 服务提供商。如果没有为发起人门户选择任何 SMS 服务提供商，将由公司签约的默认全局 SMS 服务提供商提供 SMS 服务。

在思科 ISE 中，SMS 提供商配置为 SMS 网关。SMS 网关会将来自思科 ISE 的电子邮件转换为 SMS。

配置 SMS 网关以向访客发送 SMS 通知

您必须在思科 ISE 中对 SMS 网关进行如下设置：

使发起人能够向访客手动发送 SMS 通知以提供访客登录凭证和密码重置说明。
使访客能够在成功注册之后使用其登录凭证自动接收 SMS 通知。
使访客能够自动接收关于在访客帐户到期之前要采取的操作的 SMS 通知。

当在这些字段输入信息时，您应使用您的 SMS 运营商帐户的具体信息更新 [ ]（例如 [USERNAME]、[PASSWORD]、[PROVIDER_ID] 等）中的所有文本。

开始之前

配置用于 SMS Email Gateway 选项的默认 SMTP 服务器。

下一步做什么

如果您配置了新的 SMS 网关，您可以：

选择要在将有关帐户即将到期的 SMS 通知发送到访客时使用的 SMS 运营商。请参阅创建或编辑访客类型。
指定哪些已配置的 SMS 运营商应显示在 Self-Registration 表单以供自注册用户选取。请参阅创建自注册访客门户。

访客门户

当访问公司的人员希望使用公司网络访问互联网或者您的网络上的资源和服务时，您可以通过访客门户为他们提供网络访问权限。在进行配置后，员工可以使用这些访客门户访问您的公司网络。

三种默认访客门户：

热点访客门户：授予网络访问权限，而不需要任何凭证。通常，必须在授予网络访问权限之前接受可接受的用户策略 (AUP)。
发起人管理的访客门户：网络访问权限由创建访客帐户的发起人授予，并为访客提供登录凭证。
自注册访客门户：访客可以创建自己的帐户和凭证，可能需要发起人批准后才能获得网络访问权限。

思科 ISE 可托管多个访客门户，包括一组预定义的默认门户。

默认门户主题有标准思科品牌推广，您可以通过管理员门户进行自定义。

无线设置有自己的默认主题 (CSS)，您可以修改一些基本设置，如徽标、横幅、背景图像、颜色和字体。在思科 ISE 中，还可以选择更改更多设置来进一步自定义门户，并进入高级自定义设置。

访客门户的凭证

思科 ISE 通过要求访客使用各种凭证，提供安全的网络访问。您可以要求访客使用以下一个或多个凭证登录。

用户名：必填。适用于使用最终用户门户（热点访客门户除外）的所有访客，系统根据用户名策略派生用户名。用户名策略仅适用于系统生成的用户名，而不适用于使用访客 API 编程接口或自行注册流程指定的用户名。您可以在访客访问 (Guest Access) > 设置 (Settings) > 访客用户名策略 (Guest Username Policy) 中配置应用于用户名的策略设置。可以通过邮件、SMS 或打印形式告知访客其用户名。
密码：必填。适用于使用最终用户门户（热点访客门户除外）的所有访客，根据密码策略派生密码。您可以在访客访问 (Guest Access) > 设置 (Settings) > 访客密码策略 (Guest Password Policy) 中配置应用于密码的策略设置。可以通过邮件、SMS 或打印形式告知访客其密码。
访问代码：可选。适用于使用热点访客门户和需要提供凭证的访客门户的访客。访问代码主要是提供给实际存在的访客（通过白板以肉眼方式或通过前台接待人员以口头方式）的本地已知代码。不在场的人无法获悉和使用此代码以获得网络访问权限。如果启用了访问代码设置，将出现以下情况：
- 系统会提示发起人管理的访客在 Login 页面上输入此代码（以及用户名和密码）。
- 系统会提示使用热点访客门户的访客在可接受使用政策 (AUP) 页面输入此代码。
注册码：可选。适用于自行注册访客，在如何向自行注册访客提供此代码方面其类似于访问代码。如果启用注册代码设置，系统会提示自行注册访客在 Self-Registration 窗体上输入此代码。

用户名和密码可由您公司的发起人提供（发起人管理的访客），也可以将需要提供凭证的访客门户配置为允许访客自行注册以获取这些凭证。

访客使用热点访客门户进行访问

思科 ISE 提供的网络接入功能包括“热点”，访客无需凭证登录即可使用这些接入点访问互联网。当访客使用计算机或任何设备的浏览器连接到热点网络并试图连接到某个网站时，就会被自动重定向至热点访客门户。该功能同时支持有线和无线 (Wi-Fi) 连接。

作为备选访客门户，热点访客门户允许您提供网络接入而无需访客具备用户名和密码，由此可减少对访客帐户进行管理的需求。相反，思科 ISE 与网络接入设备 (NAD) 和设备注册 Web 身份验证相配合，向访客设备直接提供网络接入。某些情况下，访客可能需要使用访问代码才能登录。通常情况下，该访问代码是本地提供给公司内部实际存在的访客的代码。

如果您支持热点访客门户：

根据热点访客门户的配置和设置，如果满足访客访问条件，访客即可访问网络。
思科 ISE 为您提供默认访客身份组、访客终端，使您可以密切跟踪访客设备。

访客使用需要提供凭证的访客门户进行访问

您可以使用需要提供凭证的访客门户识别并授权外部用户临时访问内部网络和服务以及互联网。发起人可以为能够通过在门户的 Login 页面中输入这些凭证来访问网络的授权访问者创建临时用户名和密码。

可以设置需要提供凭证的访客门户，以便访客可以使用获取的用户名和密码登录：

来自发起人。在此访客流程中，当访客进入公司场地并设置具有单独访客帐户时，发起人（例如前台接待人员）会向其致意。
在访客使用可选注册代码或访问代码自行注册后。在此访客流程中，访客可以在没有任何人为交互的情况下访问互联网，并且思科 ISE 可确保这些访客具有可用于合规的唯一标识符。
在访客使用可选注册代码或访问代码自行注册后，但是仅在发起人批准对访客帐户的请求后。在此访客流程中，系统会为访客提供网络访问权限，但是仅在执行额外的筛选后才提供。

您还可以强制用户在登录时输入新密码。

通过思科 ISE，您可以创建多个需要提供凭证的访客门户，您可以使用这些门户基于不同条件允许进行访客访问。例如，对于每月承包商，您可能具有与用于日常访问者的门户不同的门户。

员工使用需要提供凭证的访客门户进行访问

员工还可以通过使用员工凭证在须提供凭证的访客门户上注册来访问网络，只要为该门户配置的身份源序列可以获取其凭证即可。

访客设备合规性

当访客和非访客通过需要提供凭证的访客门户访问网络时，您可以在允许获得访问权限之前检查其设备的合规性。可以将他们路由至“客户端调配”(Client Provisioning) 窗口，要求他们首先下载终端安全评估代理，查看其终端安全评估配置文件，验证他们的设备是否合规。具体做法是，在需要提供凭证的访客门户的访客设备合规性设置 (Guest Device Compliance Settings) 中启用此选项，此门户将在访客流程中显示“客户端调配”(Client Provisioning) 窗口。

注	访客流程中的客户端终端安全评估仅支持临时代理。

客户端调配服务为访客提供终端安全评估和补救。客户端调配门户只通过中心网络身份验证 (CWA) 访客部署提供。访客登录流程执行 CWA，在执行可接受的使用策略和更改密码检查后，需要提供凭证的访客门户被重新定向到客户端调配门户。终端安全评估子系统在网络访问设备上执行授权更改 (CoA)，在终端安全评估后，重新授权客户端连接。

访客门户配置任务

您可以使用默认门户及其默认设置，例如证书、终端身份组、身份源序列、门户主题、图像和思科 ISE 提供的其他详细信息。如果您不想使用默认设置，则应创建新门户或编辑现有门户来满足需要。如果要创建多个具有相同设置的门户，则可以复制门户。

在创建新门户或编辑默认门户后，您必须授权使用该门户。授权使用门户后，您所进行的任何后续配置更改便会立即生效。

如果您选择删除门户，则必须先删除与其关联的任何授权策略规则和授权配置文件，或者将其修改为使用其他门户。

使用以下针对配置不同访客门户相关任务编制的表格。


任务	热点访客门户	发起人管理的访客门户	自注册的访客门户
启用策略服务	必填	必填	必填
为访客门户添加证书	必填	必填	必填
创建外部身份源	不适用	必填	必填
创建身份源序列	不适用	必填	必填
创建终端身份组	必填	不是必填项（由访客类型定义）	不是必填项（由访客类型定义）
创建热点访客门户	必填	不适用	不适用
创建发起人管理的访客门户	不适用	必填	不适用
创建自注册访客门户	不适用	不适用	必填
授权门户	必填	必填	必填
自定义访客门户	可选	可选	可选

启用策略服务

为了支持思科 ISE 最终用户 Web 门户，您必须在用于托管门户的节点上启用门户-策略服务。

过程

步骤 1	依次选择管理 (Administration) > 系统 (System) > 部署 (Deployment)。
步骤 2	点击节点并点击 Edit。
步骤 3	在常规设置 (General Settings) 选项卡下，选中策略服务 (Policy Service) 复选框。
步骤 4	选中启用会话服务 (Enable Session Services) 复选框。
步骤 5	点击保存 (Save)。

为访客门户添加证书

如果不希望使用默认证书，您可以添加一个有效证书，并将其分配到证书组标签。用于所有最终用户 Web 门户的默认证书组标签为默认门户证书组。

创建外部身份源

思科 ISE 能够与外部身份源（例如 Active Directory、LDAP、RADIUS 令牌和 RSA SecurID 服务器）连接，以获取用于身份验证和授权的用户信息。外部身份源还包括执行基于证书的身份验证所需的证书身份验证配置文件。

过程

步骤 1

选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources)。

步骤 2

选择以下选项之一：

选择证书身份验证配置文件 (Certificate Authentication Profile) 执行基于证书的身份验证。
选择 Active Directory 作为外部身份源连接到 Active Directory。有关更多详细信息，请参阅将 Active Directory 用作外部身份源。
选择 LDAP 以添加 LDAP 身份源。有关更多详细信息，请参阅LDAP。
选择 RADIUS 令牌 (RADIUS Token) 以添加 RADIUS 令牌服务器。有关更多详细信息，请参阅RADIUS 令牌身份源。
选择 RSA SecurID 以添加 RSA SecurID 服务器。有关更多详细信息，请参阅RSA 身份源。

创建身份源序列

开始之前

确保您已经在思科 ISE 中配置了外部身份源。

要执行以下任务，您必须是超级管理员或系统管理员。

要允许访客用户通过本地 WebAuth 进行身份验证，必须同时配置访客门户身份验证源和身份源序列，使它们包含相同的身份存储区。

过程

步骤 1	选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences) > 添加 (Add)。
步骤 2	输入身份源序列的名称。您还可以输入可选的说明。
步骤 3	选中 Select Certificate Authentication Profile 复选框并为基于证书的身份验证选择证书身份验证配置文件。
步骤 4	在选定列表 (Selected List) 字段中选择您希望包括在身份源序列中的数据库。
步骤 5	在选定列表 (Selected List) 字段中重新调整数据库的顺序，调整为您希望思科 ISE 搜索数据库的顺序。
步骤 6	如果无法访问所选身份库进行身份验证，请在高级搜索列表区域中选择以下选项之一：请勿访问序列中的其他库并将 “AuthenticationStatus” 属性设置为 “ProcessError” 将用户视为未找到，然后继续到序列中的下一个库在处理请求时，思科 ISE 会按照序列搜索这些身份源。确保“选定列表”(Selected list) 字段所列出的身份源的顺序是您希望思科 ISE 搜索身份源的顺序。
步骤 7	点击 Submit 创建您可以稍后在策略中使用的身份源序列。

创建终端身份组

思科 ISE 将其所发现的终端划分至相应的终端身份组。思科 ISE 拥有若干个系统定义的终端身份组。您还从终端身份组 (Endpoint Identity Groups) 窗口创建更多终端身份组。您可以编辑或删除您已创建的终端身份组。只能编辑系统定义的终端身份组的说明。无法编辑或删除这些组的名称。

过程

步骤 1	选择管理 (Administration) > 身份管理 (Identity Management) > 组 (Groups) > 终端身份组 (Endpoint Identity Groups)。
步骤 2	单击添加。
步骤 3	为您想要创建的终端身份组输入名称（请勿在终端身份组的名称中包含空格）。
步骤 4	为您想要创建的终端身份组输入说明。
步骤 5	点击 Parent Group 下拉列表，选择您要与新创建的终端身份组关联的终端身份组。
步骤 6	点击提交 (Submit)。

创建热点访客门户

您可以提供热点访客门户，以使访客能够在无需用户名和密码进行登录的情况下连接到网络。进行登录可能需要访问代码。

您可以创建新的热点访客门户，也可以编辑或复制现有热点访客门户。您可以删除任何热点访客门户，包括思科 ISE 提供的默认门户。

您在 Portal Behavior and Flow Settings 选项卡上对 Page Settings 进行的任何更改都会反映在访客流程图中的图形流程中。如果您启用某个页面（例如 AUP 页面），则该页面会显示在流程中，并且访客将在门户中体验该页面。如果禁用该页面，则系统会从流程中将其删除，并为访客显示下一个已启用页面。

所有页面设置（Authentication Success Settings 除外）都可选。

开始之前

确保您具有配置用于此门户的所需证书和终端身份组。
确保思科 ISE 支持访客将为热点门户连接到的 WLC。请参阅思科 ISE 版本对应的《身份服务引擎网络组件兼容性》指南，。

过程

步骤 1	选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate)。
步骤 2	如果是创建新门户，请在 Create Guest Portal 对话框中，选择 Hotspot Guest Portal 作为门户类型，然后点击 Continue。
步骤 3	在门户名称 (Portal Name) 中提供唯一的门户名称，并在说明 (Description) 中提供门户说明。确保您在此处使用的门户名称未用于任何其他最终用户门户。
步骤 4	使用语言文件 (Language File) 下拉菜单导出和导入要与门户一起使用的语言文件。
步骤 5	更新 Portal Settings 中的端口、以太网接口、证书组标签、终端身份组等的默认值，然后定义适用于整体门户的行为。
步骤 6	更新以下适用于每个特定页面的设置： Acceptable Use Policy (AUP) Page Settings - 要求访客接受可接受使用策略。 Post-Access Banner Page Settings - 通知访客其访问状态以及任何其他附加操作（如果需要）。 VLAN DHCP 释放页面设置 (VLAN DHCP Release Page Settings) - 从访客 VLAN 释放访客设备 IP 地址并进行更新，以访问网络上的其他 VLAN。身份验证成功设置 (Authentication Success Settings) - 指定访客通过身份验证后应看到的内容。支持信息页面设置 (Support Information Page Settings) - 帮助访客提供服务台可以用于排除网络接入问题的信息。
步骤 7	点击保存 (Save)。系统生成的 URL 显示为门户测试 URL (Portal test URL)，您可以使用它来访问门户并进行测试。

下一步做什么

您必须对门户授权才能使用门户。在对门户授权之前或之后，您都可以对门户进行自定义。

创建发起人管理的访客门户

您可以提供发起人管理的访客门户，让指定发起人向访客授予访问权限。

您可以创建一个新的发起人管理的访客门户，也可以编辑或复制现有门户。您可以删除任何发起人管理的访客门户，包括思科 ISE 提供的默认门户。

您在 Portal Behavior and Flow Settings 选项卡上对 Page Settings 进行的任何更改都会反映在访客流程图中的图形流程中。如果您启用某个页面（例如 AUP 页面），则该页面会显示在流程中，并且访客将在门户中体验该页面。如果禁用该页面，则系统会从流程中将其删除，并为访客显示下一个已启用页面。

通过以下所有页面设置，您可以为访客显示可接受使用政策 (AUP) 并要求访客接受政策：

登录页面设置
可接受使用政策 (AUP) 页面设置
BYOD 设置

开始之前

确保您具有为配合此门户使用而配置的所需证书、外部身份源和身份源序列。

下一步做什么

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，ISE 会选择第一个活动 PSN。

您必须对门户授权才能使用门户。在对门户授权之前或之后，您都可以对门户进行自定义。

创建自注册访客门户

您可以提供自注册门户以允许访客自行注册并创建自己的帐户，从而可以访问网络。您还可以要求这些帐户须经发起人批准后才能授予访问权限。

您可以创建新的自注册访客门户，也可以编辑或复制现有的门户。您可以删除任何自注册访客门户，包括思科 ISE 提供的默认门户。

您在 Portal Behavior and Flow Settings 选项卡上对 Page Settings 进行的任何更改都会反映在访客流程图中的图形流程中。如果您启用某个页面（例如 AUP 页面），则该页面会显示在流程中，并且访客将在门户中体验该页面。如果禁用该页面，则系统会从流程中将其删除，并为访客显示下一个已启用页面。

通过以下所有页面设置，您可以为访客显示可接受使用政策 (AUP) 并要求访客接受政策：

登录页面设置
自注册页面设置
自注册成功页面设置
可接受使用政策 (AUP) 页面设置
BYOD 设置

开始之前

确保您已为该门户配置了必要的证书、外部身份源和身份源序列。

下一步做什么

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，ISE 会选择第一个活动 PSN。

您必须对门户授权才能使用门户。在对门户授权之前或之后，您都可以对门户进行自定义。

授权门户

当授权门户时，将会设置网络访问的网络授权配置文件和规则。

开始之前

您必须先创建门户，然后才能对其进行授权。

过程

步骤 1	为门户设置特殊授权配置文件。
步骤 2	为配置文件创建授权策略规则。

创建授权配置文件

各门户要求您为其设置特殊的授权配置文件。

开始之前

如果不打算使用默认门户，您必须先创建门户以便将门户名称与授权配置文件关联。

下一步做什么

您应当创建门户授权策略规则，用于新创建的授权配置文件。

创建用于热点和 MDM 门户的授权策略规则

要配置供门户在响应用户（访客、发起人、员工）的访问请求时使用的重定向 URL，请为该门户定义授权策略规则。

url-redirect 会根据门户类型采取以下形式，其中：

ip:port：IP 地址和端口号

PortalID：唯一端口名称

对于热点访客门户：https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw

对于移动设备管理 (MDM) 门户：https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm

过程

步骤 1

依次选择策略 (Policy) > 授权 (Authorization) 以在标准 (Standard) 策略下创建新授权策略。

如果已启用策略集，选择您计划用于此门户的策略集，展开授权策略，并添加新规则。

步骤 2

对于条件 (Conditions)，请选择要用于门户验证的终端身份组。例如，对于热点访客门户，选择默认的 GuestEndpoints 终端身份组；而对于 MDM 门户，选择默认的 RegisteredDevices 终端身份组。

注	热点访客门户支持重新身份验证和终止 CoA 类型。仅当“热点访客门户”中选择“重新授权 CoA 类型”时，您可将 Network Access:UseCase EQUALS Guest Flow 用作热点访客授权策略中的一个验证条件。

步骤 3

对于 Permissions，请选择创建的门户授权配置文件。

注	在使用启用了 MAC 选项的字典属性创建授权条件（例如 RADIUS.Calling-Station-ID）时，必须使用 Mac 运算符（例如 Mac_equals）支持不同的 MAC 格式。

自定义访客门户

可以通过自定义门户主题、更改门户页面上的 UI 元素以及编辑向用户显示的错误消息与通知来自定义门户外观和用户（访客、发起人，在适当的情况下也可以是员工）体验。有关自定义门户的详细信息，请参阅自定义最终用户 Web 门户。

发起人门户

发起人门户是思科 ISE 访客服务主要的组件之一。使用发起人门户，发起人可以为授权的访客创建和管理临时帐户，以安全地访问公司网络或互联网。创建访客帐户后，发起人还可以使用发起人门户以打印文件、邮件或短信的形式向访客提供帐户详细信息。向自助注册的访客提供对公司网络的访问权限之前，系统可能会通过邮件要求发起人批准其访客帐户。

在发起人门户上管理客户帐户

发起人门户登录流程

发起人组指定分配给发起人用户的一组权限。当发起人登录发起人门户时：

ISE 验证发起人的凭证。
如果发起人成功通过身份验证，思科 ISE 会搜索所有可用发起人组，以查找发起人所属的发起人组。如果符合以下两个条件，则发起人匹配或属于发起人组：
- 发起人是一个已配置成员组的成员。
- 如果您使用的是其他条件，则此发起人的所有条件评估为 true。
如果发起人属于发起人组，则发起人将从此组获取权限。发起人可以属于多个发起人组，在此情况下，这些组的权限将合并。如果发起人不属于任何发起人组，则登录发起人门户时将失败。

发起人组及其权限独立于发起人门户。无论发起人登录哪个发起人门户，均使用相同的算法来匹配发起人组。

使用发起人门户

使用发起人门户为授权访问者创建用于安全访问企业网络或互联网的临时访客帐户。在创建访客帐户后，可以使用发起人门户管理这些帐户并向访客提供帐户详细信息。

在发起人门户上，发起人可以单独创建新的访客帐户，或从文件导入一组用户。

注	从外部身份存储区（例如 Active Directory）授权的 ISE 管理员可以是发起人组的一部分。但是，内部管理员帐户（例如，默认“管理员”帐户）不能是发起人组的一部分。

有多种方法可打开发起人门户：

在管理员控制台中，使用管理帐户 (Manage Accounts) 链接。在管理员控制台上，点击访客访问 (Guest Access) > 管理帐户 (Manage Accounts)。点击管理帐户 (Manage Accounts) 时，您将分配到可访问 ALL_ACCOUNTS 的默认发起人组。可以创建新的访客帐户，但无法通知这些访客，因为没有电子邮件地址可用于接收来自访客的帐户激活请求。具有相同权限的发起人在登录发起人门户并搜索这些帐户时，可以发送通知。

此步骤要求您在发起人门户的门户行为和流程设置 (Portal Behavior and Flow Settings) 窗口中配置的 FQDN 在 DNS 服务器中。

如果通过 NAT 防火墙访问发起人门户，连接将使用端口 9002。
在管理员控制台的“发起人门户配置”(Sponsor Portal configuration) 窗口中。单击访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals)，打开发起人门户，然后单击说明 (Description) 字段右侧的门户测试 URL (Portal Test URL) 链接。
在浏览器中，打开在发起人门户的门户设置 (Portal Settings) 窗口中配置的 URL (FQDN)（必须在 DNS 服务器中定义）。

后续操作

有关如何使用发起人门户的信息，请参阅适用于您的 ISE 版本的《发起人门户用户指南》https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html。

管理发起人帐户

发起人用户是通过发起人门户创建和管理访客用户帐户的组织员工或承包商。思科 ISE 会通过本地数据库或通过外部轻型目录访问协议 (LDAP)、Microsoft Active Directory 或 SAML 身份库对发起人进行身份验证。如果不使用外部资源，则必须为发起人创建内部用户帐户。

发起人组

在使用任何发起人门户时，发起人组控制对发起人的授权。如果发起人是发起人组的成员，则该发起人拥有在该组中定义的权限。

如果发起人属于在发起人组中定义的至少一个成员组，则将该发起人视为发起人组的成员。成员组可以是用户身份组或从外部身份源中选择的组，例如 Active Directory。

一个发起人可以是多个发起人组的成员。如果是，该发起人拥有所有这些组的权限，如下所述：

如果在任何组中启用了某个权限，例如“删除访客帐户”，则会授权其该权限。
发起人可以使用任何组中的访客类型创建访客。
发起人可以在任何组中的位置创建访客。
对于诸如批次大小限制的数值，将使用各组中的最大值。

如果发起人不是任何发起人组的成员，则不允许该发起人登录任何发起人门户。

ALL_ACCOUNTS：发起人可以管理所有访客帐户。
GROUP_ACCOUNTS：发起人可以管理同一发起人组中的发起人创建的访客帐户。
OWN_ACCOUNTS：发起人只能管理他们创建的访客帐户。

您可以自定义特定发起人组的可用功能，从而限制或扩展发起人门户的功能。

创建发起人帐户并分配到发起人组

要创建内部发起人用户帐户并指定可使用发起人门户的发起人，请执行以下操作：

过程

步骤 1

注	默认身份组 Guest_Portal_Sequence 已分配到默认发起人组。

步骤 2

选择在思科 ISE GUI 中，点击菜单图标 ()，然后选择访客访问 (Guest Access) > 配置 (Configure) > 发起人组 (Sponsor Groups) > 创建、编辑或复制 (Create, Edit or Duplicate)，单击成员 (Members)。将发起人用户身份组映射到发起人组。

下一步做什么

您还可以创建特定于贵组织的额外用户身份组以用于发起人。依次选择管理 (Administration) > 身份管理 (Identity Management) > 组 (Groups) > 用户身份组 (User Identity Groups)。

配置发起人组

思科提供默认发起人组。如果不想使用默认选项，可以创建新的发起人组，或者编辑默认的发起人组，并且更改设置。还可以复制发起人组，以创建更多具有相同设置和权限的发起人组。

可以禁用发起人组，阻止发起人组成员登录发起人门户。可以删除任何发起人组，但思科 ISE 提供的默认发起人组除外。

过程

步骤 1

选择访客访问 (Guest Access) > 配置 (Configure) > 发起人组 (Sponsor Groups) > 创建、编辑或复制 (Create, Edit or Duplicate)。

步骤 2

输入 Sponsor group name 和 Description。

步骤 3

成员组 (Member Groups) - 点击成员 (Members) 以选择一个或多个用户（身份）组以及来自外部身份源的组，然后添加这些组。要成为此发起人组的成员，用户必须属于至少一个已配置的组。

步骤 4

点击成员 (Members)，选择用户（身份）组，添加这些组作为此发起人组的组成员。

步骤 5

要指定哪些访客类型可由基于此发起人组的发起人创建，请点击此发起人组可使用以下访客类型创建帐户 (This sponsor group can create accounts using these guest types)，然后选择一个或多个访客类型。

可以点击创建访客类型在 (Create Guest Types at) 下的链接，创建更多访客类型，分配给此发起人组。创建新的访客类型后，必须先保存、关闭并重新打开发起人组，然后才能选择新建的访客类型。

步骤 6

使用选择访客将访问的位置 (Select the locations that guests will be visiting) 指定在创建访客帐户时，此发起人组中的发起人可以选择的位置（用于设置访客时区）。

通过点击配置访问位置在 (Configure guest locations at) 下方的链接，并且添加访客位置，可以添加更多位置以供选择。创建新的访客位置后，必须先保存、关闭并重新打开发起人组，然后才能选择新建的访客位置。

这不会限制访客从其他位置登录。

步骤 7

在发起人可创建 (Sponsor Can Create) 下，配置此发起人组中的发起人用来创建访问帐户的选项。

分配给特定访客的多个访客帐户（导入）(Multiple guest accounts assigned to specific guests [Import])：允许发起人通过从文件中导入访客详细信息（例如名字和姓氏）创建多个访客帐户。

如果启用此选项，则导入 (Import) 选项将显示在发起人门户的创建帐户 (Create Accounts) 窗口中。Import 选项仅在桌面浏览器（而非移动）上可用，例如 Internet Explorer、Firefox、Safari 等。
批处理帐户数限制 (Limit to batch of)：如果允许此发起人组同时创建多个帐户，请指定在单个导入操作中可以创建的访客帐户数。

虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。
分配给任意访客的多个访客帐户（随机）(Multiple guest accounts to be assigned to any guests [Random])：允许发起人为尚且未知的访客以占位符形式创建多个随机访客帐户，或快速创建多个帐户。

如果启用此选项，则随机 (Random) 选项将显示在发起人门户的创建帐户 (Create Accounts) 窗口中。
默认用户名前缀 (Default username prefix)：指定发起人在创建多个随机访客帐户时可以使用的用户名前缀。如果指定，则在创建随机访客帐户时，发起人门户中会出现此前缀。此外，如果 Allow sponsor to specify a username prefix 的状态为：
- 已启用 (Enabled)：发起人可以在发起人门户中编辑默认前缀。
- 未启用 (Not enabled)：发起人无法在发起人门户中编辑默认前缀。
如果您不指定用户名前缀或者不允许发起人指定用户名前缀，则发起人将无法在发起人门户中分配用户名前缀。
允许发起人指定用户名前缀 (Allow sponsor to specify a username prefix)：如果允许此发起人组同时创建多个帐户，请指定在单个导入操作中可以创建的访客帐户数。

虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。

步骤 8

在发起人可管理 (Sponsor Can Manage) 下，可以限制此发起人组的成员可以查看和管理哪些访客帐户。

仅发起人创建的帐户 (Only accounts sponsor has created)：此组中的发起人只能根据发起人的电子邮件帐户，查看和管理他们创建的访客帐户。
此发起人组的成员创建的帐户 (Accounts created by members of this sponsor group)：此组中的发起人可查看和管理此发起人组中任意发起人创建的访客帐户。
所有访客帐户 (All guest accounts)：发起人查看并管理所有待处理访客帐户。

步骤 9

在发起人可以 (Sponsor Can) 下，可以向此发起人组的成员提供更多关于访客密码和帐户的权限。

查看访客的密码 (View guests’ passwords)：对于他们可以管理的访客帐户，允许发起人查看密码。

如果访客已更改密码，则发起人无法再对其进行查看；除非发起人将其重置为由思科 ISE 生成的随机密码。

注	如果此选项针对某个发起人组禁用，则该组的成员无法向他们管理的访客帐户发送关于登录凭证（访客密码）的电子邮件和 SMS 通知。

重置访客帐户密码 (Reset guest account passwords)：对于他们可以管理的访客帐户，允许发起人将访客的密码重置为由思科 ISE 生成的随机密码。
延长访客帐户有效期 (Extend guests’ accounts)：对于他们可以管理的访客帐户，允许发起人将其延长至到期日期之后。发起人自动复制到发送给访客的、有关帐户到期的邮件通知上。
删除访客帐户 (Delete guests’ accounts)：对于他们可以管理的访客帐户，允许发起人删除帐户并阻止访客访问您公司的网络。
暂停访客帐户 (Suspend guests’ accounts)：对于他们可以管理的访客帐户，允许发起人暂停其帐户，以阻止访客临时登录。

此操作还会发出授权变更 (CoA) 终止，以从网络中删除暂停的访客。
- 要求发起人提供原因 (Require sponsor to provide a reason)：要求发起人提供暂停访客帐户的原因。
批准并查看自行注册访客的请求 (Approve and view requests from self-registering guests)：此发起人组中的发起人可以查看自行注册访客的所有待处理帐户请求（待审批），或仅在用户（作为被访问人）输入发起人电子邮件地址时的请求。此功能要求选中自注册访客使用的门户中的要求自注册访客需获得批准 (Require self-registered guests to be approved)，而且列有发起人（作为联系人）的电子邮件。此功能还要求在发起人的身份源中正确配置邮件 (Email) 属性。
- 任何待处理帐户：属于此组的发起人可以批准并审核由任何发起人创建的帐户。
- 仅分配给此发起人的待处理帐户：属于此组的发起人只能查看和批准自己创建的帐户。
使用编程接口（访客 REST API）访问思科 ISE 访客帐户 (Access Cisco ISE guest accounts using the programmatic interface (Guest REST API))：对于他们可以管理的访客帐户，允许发起人使用访客 REST API 编程接口访问访客帐户。

步骤 10

点击保存 (Save)，然后点击关闭 (Close)。

为创建发起人帐户配置帐户内容

您可以配置访客和发起人创建新访客帐户时必须提供的用户数据类型。某些字段是识别 ISE 帐户所必需的，但您可以删除其他字段，并添加自己的自定义字段。

配置发起人创建帐户时使用的字段：

选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals)，然后编辑发起人门户。
选择门户页面自定义 (Portal Page Customization) 选项卡。
向下滚动并选择为已知访客创建帐户 (Create Account for Known Guests)。
在右侧的预览屏幕上，选择设置 (Settings)。

这些设置决定了在发起人门户上创建访客帐户时显示哪些字段以及哪些是必填字段。此配置适用于“已知”(Known)、“随机”(Random) 和“导入”(Imported) 访客类型。发起人为导入新用户而下载的模板是动态创建的，因此仅包括在已知访客中设置的字段。

发起人门户的特殊设置

以下设置是发起人门户“门户页面自定义”(Portal Page Customization) 选项卡上的“为导入的访客创建帐户”(Create Account for Imported Guest) 页面的独有设置。

允许在访客凭证电子邮件中复制发起人 (Allow sponsor to be copied in Guest Credentials email)：如果启用此选项，则发送到成功导入的访客的每封访客凭证电子邮件也会发送到发起人。默认为不向发起人发送电子邮件。
允许发起人接收摘要邮件 (Allow sponsor to receive summary email)：当发起人导入用户列表时，ISE 会发送一封包含所有导入用户摘要的电子邮件。如果取消选中此选项，发起人会收到每个导入用户的单独电子邮件。

配置发起人门户流程

您可以使用默认门户及其默认设置，例如证书、终端身份组、身份源序列、门户主题、图像和思科 ISE 提供的其他详细信息。如果您不想使用默认设置，则应创建新门户或编辑现有门户来满足需要。如果要创建多个具有相同设置的门户，则可以复制门户。

如果贵公司的公司办公室及其零售点拥有不同的品牌，或者贵公司拥有不同产品品牌，或者驻某城市的办公室希望消防、警察和其他部门具有不同主题的门户，则您可能希望创建多个发起人门户。

这些是与配置发起人门户有关的任务。

开始之前

配置或编辑站点的现有发起人组，如配置发起人组中所述。

过程

步骤 1	启用策略服务。
步骤 2	添加用于访客服务的证书。
步骤 3	创建外部身份源。
步骤 4	创建身份源序列。
步骤 5	创建发起人门户。
步骤 6	(可选) 自定义发起人门户。

启用策略服务

为了支持思科 ISE 最终用户 Web 门户，您必须在用于托管门户的节点上启用门户-策略服务。

过程

步骤 1	依次选择管理 (Administration) > 系统 (System) > 部署 (Deployment)。
步骤 2	点击节点并点击 Edit。
步骤 3	在常规设置 (General Settings) 选项卡下，选中策略服务 (Policy Service) 复选框。
步骤 4	选中启用会话服务 (Enable Session Services) 复选框。
步骤 5	点击保存 (Save)。

添加用于访客服务的证书

如果不希望使用默认证书，您可以添加一个有效证书，并将其分配到证书组标签。用于所有最终用户 Web 门户的默认证书组标签为默认门户证书组。

创建外部身份源

思科 ISE 能够与外部身份源（例如 Active Directory、LDAP、RADIUS 令牌和 RSA SecurID 服务器）连接，以获取用于身份验证和授权的用户信息。外部身份源还包括执行基于证书的身份验证所需的证书身份验证配置文件。

过程

步骤 1

选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources)。

步骤 2

选择以下选项之一：

选择证书身份验证配置文件 (Certificate Authentication Profile) 执行基于证书的身份验证。
选择 Active Directory 作为外部身份源连接到 Active Directory。有关更多详细信息，请参阅将 Active Directory 用作外部身份源。
选择 LDAP 以添加 LDAP 身份源。有关更多详细信息，请参阅LDAP。
选择 RADIUS 令牌 (RADIUS Token) 以添加 RADIUS 令牌服务器。有关更多详细信息，请参阅RADIUS 令牌身份源。
选择 RSA SecurID 以添加 RSA SecurID 服务器。有关更多详细信息，请参阅RSA 身份源。

创建身份源序列

开始之前

确保您已经在思科 ISE 中配置了外部身份源。

要执行以下任务，您必须是超级管理员或系统管理员。

要允许访客用户通过本地 WebAuth 进行身份验证，必须同时配置访客门户身份验证源和身份源序列，使它们包含相同的身份存储区。

过程

步骤 1	选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences) > 添加 (Add)。
步骤 2	输入身份源序列的名称。您还可以输入可选的说明。
步骤 3	选中 Select Certificate Authentication Profile 复选框并为基于证书的身份验证选择证书身份验证配置文件。
步骤 4	在选定列表 (Selected List) 字段中选择您希望包括在身份源序列中的数据库。
步骤 5	在选定列表 (Selected List) 字段中重新调整数据库的顺序，调整为您希望思科 ISE 搜索数据库的顺序。
步骤 6	如果无法访问所选身份库进行身份验证，请在高级搜索列表区域中选择以下选项之一：请勿访问序列中的其他库并将 “AuthenticationStatus” 属性设置为 “ProcessError” 将用户视为未找到，然后继续到序列中的下一个库在处理请求时，思科 ISE 会按照序列搜索这些身份源。确保“选定列表”(Selected list) 字段所列出的身份源的顺序是您希望思科 ISE 搜索身份源的顺序。
步骤 7	点击 Submit 创建您可以稍后在策略中使用的身份源序列。

创建发起人门户

您可以提供发起人门户，支持发起人为要连接到您的网络访问互联网及内部资源和服务的访客创建、管理和审批帐户。

思科 ISE 为您提供了默认发起人门户，您可以使用该门户，而不必创建另一个门户。但是，您可以创建新的发起人门户，也可以编辑或复制现有门户。您可以删除上述任何门户，默认发起人门户除外。发起人门户登录不支持 IPv6。

您对门户行为和流程设置 (Portal Behavior and Flow Settings) 选项卡上的“页面设置”(Page Settings) 所做的任何更改均会反映到发起人流程图中的图形流程中。如果您启用某个页面，例如 AUP 页面，它会显示在流程中，并且发起人会在门户中看到此页面。如果您禁用某个页面，它会从流程中删除，并且系统会为发起人显示下一个启用的页面。

开始之前

确保您具有为配合此门户使用而配置的所需证书、外部身份源和身份源序列。

过程

步骤 1	配置门户设置 (Portal Settings) 页面，如发起人门户的门户设置中所述。确保您在此处使用的门户名称未用于任何其他最终用户门户。
步骤 2	配置登录设置 (Login Settings) 页面，如发起人门户的登录页面设置中所述。
步骤 3	配置可接受的使用策略 (AUP) 页面设置 (Acceptable Use Policy [AUP] Page Settings) 页面，如发起人门户的可接受使用政策 (AUP) 页面设置中所述。
步骤 4	配置发起人更改密码设置 (Sponsor Change Password Settings) 选项，如发起人门户的发起人更改密码设置中所述。
步骤 5	配置登录后横幅页面设置 (Post-Login Banner Page Settings) 页面，如发起人门户的登录后横幅页面设置中所述。
步骤 6	如果要自定义门户，请点击发起人门户应用设置 (Sponsor Portal Application Settings)。
步骤 7	单击保存。

注	当使用 LDAP 和 SAML GuestID 存储库作为登录发起人门户的身份存储库时，我们建议您使用发起人电子邮件地址登录。如果您使用发起人 ID 登录，可能无法看到已批准的用户。

自定义发起人门户

可以通过自定义门户主题、更改门户页面上的 UI 元素以及编辑向用户显示的错误消息与通知来自定义门户外观和用户体验。有关自定义门户的详细信息，请参阅自定义最终用户 Web 门户。

为创建发起人帐户配置帐户内容

您可以配置访客和发起人创建新访客帐户时必须提供的用户数据类型。某些字段是识别 ISE 帐户所必需的，但您可以删除其他字段，并添加自己的自定义字段。

配置发起人创建帐户时使用的字段：

选择工作中心 (Work Centers) > 访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 发起人门户 (Sponsor Portals)，然后编辑发起人门户。
选择门户页面自定义 (Portal Page Customization) 选项卡。
向下滚动并选择为已知访客创建帐户 (Create Account for Known Guests)。

在右侧的预览屏幕上，选择设置 (Settings)。这些设置决定了在发起人门户上创建访客帐户时显示哪些字段，以及哪些是必填字段。

此配置适用于“已知”(Known)、“随机”(Random) 和“导入”(Imported) 访客类型。发起人为导入新用户而下载的模板是动态创建的，因此仅包括在已知访客中设置的字段。

发起人无法登录发起人门户

问题

当发起人尝试登录 Sponsor 门户时，系统显示以下错误消息：


“Invalid username or password. Please try again.”

原因

发起人输入了无效凭证。
由于数据库（内部用户数据库或 Active Directory）中没有此用户记录，此发起人无效。
发起人所属的发起人组已禁用。
发起人的用户帐户不属于活动/已启用的发起人组，这意味着发起人用户的身份组不是任何发起人组的成员。
发起人的内部用户帐户已禁用（暂停）。

解决方案

验证用户的凭证。
启用发起人组。
如果该用户帐户已禁用，则恢复该用户帐户。
将发起人用户的身份组添加为发起人组的成员。

监控访客和发起人活动

思科 ISE 提供各种报告和日志，您可以通过这些报告和日志查看终端与用户管理信息以及访客与发起人活动。

您可以按需或按计划运行这些报告。

过程

步骤 1	选择操作 (Operations) > 报告 (Reports) > 报告 (Reports)。
步骤 2	选择访客 (Guest) 或终端和用户 (Endpoints and Users) 以查看各种访客、发起人和终端相关报告
步骤 3	选择要使用过滤器 (Filters) 下拉列表搜索的数据。
步骤 4	在 Time Range 中选择您想要查看的数据的时间范围。
步骤 5	点击运行 (Run)。

指标控制面板

思科 ISE 会在思科 ISE 主页的指标控制板中提供网络中经过身份验证的访客 (Authenticated Guests) 和活动终端 (Active Endpoints) 的概览视图。

AUP 接受状态报告

您可以使用此报告跟踪特定时间的所有已接受和已拒绝的 AUP 连接。

访客记账报告

访客记账报告显示指定时间段内的访客登录历史记录。报告位于：操作 (Operations) > 报告 (Reports) > 访客访问权限报告 (Guest Access Reports) > 访客记账 (Guest Accounting)。

主访客报告

“主访客报告”(Primary Guest Report) 将各种报告的数据融入一个视图中，让您可以导出来自不同报告来源的数据。您可以添加更多数据列，删除您不想查看或导出的数据列。此报告的导航路径为：操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 访客 (Guest) > 主访客报告 (Master Guest Report)。

此报告收集所有访客活动并提供有关访客用户访问的网站的详细信息。您可以使用此报告进行安全审核，以查看访客用户何时访问了网络以及他们在网络上执行了什么活动。要查看访客的互联网活动（例如他们访问的网站的 URL），您必须首先执行以下操作：

在防火墙上启用用于访客流量的以下选项：
- 检查 HTTP 流量并将数据发送到思科 ISE 监控节点。思科 ISE 仅要求获取 Guest Activity 报告的 IP 地址和已访问 URL；所以，尽可能将数据限制为仅包含这些信息。
- 向思科 ISE 监控节点发送系统日志。

发起人登录和审核报告

发起人登录和审核报告是用于跟踪以下内容的组合报告：

发起人门户中的发起人登录活动。
发起人门户中由发起人执行的访客相关操作。

访客门户和发起人门户的审核日志记录

在访客门户和发起人门户内执行特定操作的过程中，系统会向基础审核系统发送审核日志消息。使用命令 show logging application localStore/iseLocalStore.log 来查看这些消息。

您可以将这些消息配置为由系统日志发送到监控和故障排除系统及日志收集器。监控子系统会在相应的发起人和设备审核日志及访客活动日志中提供此信息。

无论访客登录成功还是失败，访客登录流程都会记录在审核日志中。

访客访问 Web 身份验证选项

思科 ISE 访客和 Web 身份验证服务支持多个部署选项，可实现安全的访客访问。可以使用本地或集中式 Web 身份验证和设备注册 Web 身份验证，提供有线或无线访客连接。

集中式 Web 身份验证（集中式 WebAuth）：适用于所有访客门户。对于有线和无线连接请求，将由中央思科 ISE RADIUS 服务器使用 Web 身份验证。访客通过在热点访客门户上输入可选访问代码，或在需要提供凭证的访客门户上输入用户名和密码来进行身份验证。
本地 Web 身份验证（本地 WebAuth）：适用于需要提供凭证的访客门户。访客连接到交换机进行有线连接，或连接到无线 LAN 控制器 (WLC) 进行无线连接。网络接入设备 (NAD) 会将其定向到网页以进行身份验证。访客在需要提供凭证的访客门户上输入用户名和密码以进行身份验证。
设备注册 Web 身份验证（设备注册 WebAuth）：仅适用于热点访客门户。思科 ISE 在 Web 身份验证之前注册并授权访客设备。当访客连接到有线或无线 NAD 时，会定向到热点访客门户。访客无需提供凭证（用户名和密码）即可访问网络。

采用集中式 Web 身份验证流程的 NAD

在此方案中，网络访问设备 (NAD) 从未知终端连接向思科 ISE RADIUS 服务器发送新的授权请求。然后，终端接收到向思科 ISE 的 URL 重定向。

注	仅 IOS XE 3.7E、IOS 15.2(4) E 或更高版本支持 webauth-vrf-aware 命令。其他交换机在虚拟路由和转发 (VRF) 环境中不支持 Web 身份验证 URL 重定向。在这种情况下，作为解决办法，您可以在全局路由表中添加路由，以将流量泄漏回 VRF。

如果访客设备已连接 NAD，则访客服务交互采取 MAC 身份验证绕行 (MAB) 请求的形式，导致访客通过访客门户进行集中式 Web 身份验证登录。以下是对后续集中式 Web 身份验证的概述，此集中式 Web 身份验证适用于无线和有线网络访问设备。

访客设备通过硬线连接方式连接至 NAD。访客设备上无 802.1X 请求方。
包含适用于 MAB 的服务类型的身份验证策略允许在 MAB 失败的情况下继续运行并返回包含集中式 Web 身份验证用户界面的 URL 重定向的受限网络配置文件。
NAD 配置为对向思科 ISE RADIUS 服务器发出的 MAB 请求进行身份验证。
思科 ISE RADIUS 服务器处理 MAB 请求，但找不到适用于访客设备的终端。

这种 MAB 失败导致产生受限制网络配置文件并且在配置文件中返回指向 access-accept 中 NAD 的 url-redirect 值。要支持此功能，请确保已有授权策略而且其支持相应的有线或无线 MAB（在复合条件下），此外可以选择使用“Session:Posture Status=Unknown”条件。NAD 使用此值将默认端口 8443 上的所有访客 HTTP 流量重定向至 url-redirect 值。

此案例中标准 URL 值为：https://ip:port/guestportal/gateway?sessionId=NetworkSessionId&portal=<PortalID>&action=cwa
访客设备通过 Web 浏览器向重定向 URL 发出 HTTP 请求。
NAD 将此请求重定向至从初始 access-accept 返回的 url-redirect 值。
带操作 CWA 的网关 URL 值重定向至访客门户登录页面。
访客输入其登录凭证，然后提交登录窗体。
访客服务器对登录凭证进行身份验证。
根据流量类型，会发生以下情况：
- 如果为非安全评估流量（无进一步验证的身份验证），其中访客门户未配置为执行客户端调配，访客服务器会向 NAD 发送 CoA。此 CoA 将导致 NAD 使用思科 ISE RADIUS 服务器对访客设备进行重新身份验证。系统向已配置网络访问权限的 NAD 返回新的 access-accept 响应。如果未配置客户端调配并且需要更改 VLAN，则访客门户执行 VLAN IP 更新。访客无需重新输入登录凭证。系统自动使用首次登录时输入的用户名和密码。
- 如果是安全评估流量，其中访客门户配置为执行客户端调配，访客设备 Web 浏览器显示关于安全评估代理安装和合规性的 Client Provisioning 页面。（您也可以配置客户端调配资源策略以设置“NetworkAccess:UseCase=GuestFlow”条件。）

访客门户将重定向至客户端调配门户（因为没有适用于 Linux 的客户端调配或终端安全评估代理），此门户转而重定向回到访客身份验证 servlet，以执行可选 IP 释放/更新，然后执行 CoA。

重定向至 Client Provisioning 门户时，客户端调配服务将非永久性 Web 代理下载至访客设备并对设备执行安全评估检查。或者，还可以配置带有“NetworkAccess:UseCase=GuestFlow”条件的终端安全评估策略。

如果访客设备不合规，请确保已配置带有“NetworkAccess:UseCase=GuestFlow”和“Session:Posture Status=NonCompliant”条件的授权策略。

当访客设备合规时，请确保已配置带有“NetworkAccess:UseCase=GuestFlow”和“Session:Posture Status=Compliant”条件的授权策略。从此处，客户端调配服务向 NAD 发出 CoA。此 CoA 导致 NAD 使用思科 ISE RADIUS 服务器对访客进行重新身份验证。系统向已配置网络访问权限的 NAD 返回新的 access-accept 响应。

注	“NetworkAccess:UseCase=GuestFlow”还可应用于 Active Directory 和以访客身份登录的 LDAP 用户。

使用本地 Web 身份验证流程的无线 LAN 控制器

在这种方案下，访客登录并被重定向至无线 LAN 控制器 (WLC)。然后，WLC 将访客重定向到访客门户，在门户中系统会提示访客输入他们的登录凭证，接受可选的可接受使用政策 (AUP) 并可选择更改密码。

完成此操作后，访客设备的浏览器将重定向回到 WLC 以通过 POST 提供登录凭证。

现在，WLC 可以通过思科 ISE RADIUS 服务器让访客登录。完成此操作后，WLC 将客户设备浏览器重定向至原 URL 目标地址。要支持用于访客门户的原 URL 重定向，无线 LAN 控制器 (WLC) 和网络接入设备 (NAD) 要求为运行 IOS-XE 3.6.0.E 和 15.2(2)E 版本的 WLC 5760 与 Cisco Catalyst 3850、3650、2000、3000 和 4000 系列接入交换机。

带本地网络身份验证进程的有线 NAD

在此场景中，访客门户将访客登录请求重定向到交换机（有线 NAD）。登录请求采用 HTTPS URL 形式发布到交换机，并且包含登录凭证。交换机接收访客登录请求，并使用已配置的思科 ISE RADIUS 服务器验证访客。

思科 ISE 要求将 HTML 重定向的 login.html 文件上传到 NAD。此 login.html 文件返回到访客设备的浏览器，响应任何 HTTPS 请求。
访客设备的浏览器被重定向到访客门户，在此输入访客的登录凭证。
处理可接受使用政策 (AUP) 和更改密码（两项均可选）后，访客门户重定向访客设备的浏览器，在 NAD 上发布登录凭证。
NAD 向思科 ISE RADIUS 服务器发出 RADIUS 请求，要求对访客进行身份验证和授权。

Login.html 页面所需的 IP 地址和端口值

IP 地址和端口值必须在 login.html 页面的以下 HTML 代码中更改为思科 ISE 策略服务节点正在使用的值。默认端口为 8443，但是您可以更改此值，以便确保您分配给交换机的值与思科 ISE 中的设置相匹配。


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<head>
<title>ISE Guest Portal</title>
<meta Http-Equiv="Cache-Control" Content="no-cache">
<meta Http-Equiv="Pragma" Content="no-cache">
<meta Http-Equiv="Expires" Content="0">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">

<meta http-equiv="REFRESH" content="0;url=https://ip:port/portal/PortalSetup.action?switch_url=wired">

</HEAD>
<BODY>

<center>
Redirecting ... Login
<br>
<br>
<a href="https://ip:port/portal/PortalSetup.action?switch_url=wired">ISE Guest Portal</a>
</center>

</BODY>
</HTML>

自定义登录页面是公共 Web 表单，因此请考虑以下准则：

登录表必须接受用户名和密码的用户条目，并且将它们显示为 uname 和 pwd。
自定义登录页应当遵循 Web 表最佳实践，例如页面超时、隐藏密码和防止冗余提交。

在 NAD 上启用的 HTTPS 服务器

要使用基于 Web 的身份验证，您必须使用 ip http secure-server 命令在交换机内启用 HTTPS 服务器。

NAD 自定义身份验证代理 Web 页面的支持

您可以向 NAD 上传自定义的成功、过期和失败页面。思科 ISE 无需任何特定的自定义，因此您可以根据 NAD 的标准配置说明来创建这些页面。

在 NAD 上配置 Web 身份验证

需要使用自定义文件替换默认 HTML 页面，在 NAD 上完成 Web 身份验证。

开始之前

在基于 Web 的身份验证期间，创建四个替代 HTML 页面，而不使用交换机默认 HTML 页面。

过程

步骤 1

要指定使用自定义身份验证代理 Web 页面，首先在交换机闪存上存储自定义 HTML 文件。要将 HTML 文件复制到交换机闪存中，请在交换机上运行以下命令：

copy tftp/ftp flash

步骤 2

将 HTML 文件复制到交换机之后，在全局配置模式下执行以下命令：


ip admission proxy http login page file device:`login-filename`	指定自定义 HTML 文件在交换机内存文件系统中的位置，替换默认登录页面。设备：为闪存。
ip admission proxy http success page file device:`success-filename`	指定自定义 HTML 文件的位置，替换默认登录成功页面。
ip admission proxy http failure page file device:`fail-filename`	指定自定义 HTML 文件的位置，替换默认登录失败页面。
ip admission proxy http login expired page file device:`expired-filename`	指定自定义 HTML 文件的位置，替换默认登录过期页面。

步骤 3

请遵循交换机提供的指南，配置自定义身份验证代理 Web 页面。

步骤 4

如下列所示，验证自定义身份验证代理 Web 页面的配置：


Switch# show ip admission configuration
Authentication proxy webpage
	Login page           : flash:login.htm
	Success page         : flash:success.htm
	Fail Page            : flash:fail.htm
	Login expired Page   : flash:expired.htm

Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication global init state time is 2 minutes
Authentication Proxy Session ratelimit is 100
Authentication Proxy Watch-list is disabled
Authentication Proxy Auditing is disabled
Max Login attempts per user is 5

设备注册 Web 身份验证流程

通过使用设备注册 Web 身份验证和热点访客门户，您可以允许访客设备连接到专用网络，而无需用户名和密码。

在此场景中，访客使用无线连接来连接到网络。有关设备注册 Web 身份验证流程的示例，请参阅图 16-1。

以下是后续设备注册 Web 身份验证过程的概要，此过程与无线和有限连接类似：

网络接入设备 (NAD) 将重定向发送到热点访客门户。
如果访客设备的 MAC 地址不在任何终端身份组中或者未通过将可接受使用政策 (AUP) 接受的属性设置为 true 进行标记，则思科 ISE 会利用授权配置文件中指定的 URL 重定向进行响应。
URL 重定向会在访客尝试访问任何 URL 时向其显示 AUP 页面（如果启用）。
- 如果访客接受 AUP，则与其设备 MAC 地址关联的终端会分配给已配置的终端身份组。此终端现在通过将 AUP 接受的属性设置为 true 进行标记，从而对访客是否接受 AUP 进行跟踪。
- 如果客户不接受 AUP 或者如果发生错误（例如，在创建或更新终端时），系统会显示错误消息。
根据热点访客门户配置，可能会出现包含其他信息的访问后横幅页面（如果启用）。
创建或更新终端后，将向 NAD 发送授权变更 (CoA) 终止请求。
在 CoA 后，NAD 会使用新的 MAC 身份验证绕行 (MAB) 请求对访客连接重新进行身份验证。新的身份验证会使用终端的关联终端身份组查找该终端，并且返回对 NAD 的已配置访问。
根据热点访客门户配置，访客会被定向到其请求访问的 URL、管理员指定的自定义 URL 或 Authentication Success 页面。

有线和无线的 CoA 类型均是 Termination CoA。您可以配置热点访客门户来执行 VLAN DHCP Release（和更新），从而将有线与无线的 CoA 类型均重新授权为 Change of Auth。

VLAN DHCP Release 支持仅适用于 Windows 设备。它不适用于移动设备。如果进行注册的设备是移动设备，并且启用了 VLAN DHCP Release 选项，则会请求访客手动更新其 IP 地址。对于移动设备用户，我们建议使用 WLC 上的访问控制列表 (ACL)，而不是使用 VLAN。

访客门户设置

门户标识设置

这些设置的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 访客门户或发起人门户设置和自定义 (Guest Portals or Sponsor Portals Settings and Customization)。

门户名称 (Portal Name)：输入用于访问此门户的唯一门户名称。请勿将此门户名称用于任何其他发起人门户、访客门户或非访客门户，如黑名单门户、自带设备 (BYOD) 门户、客户端调配门户、移动设备管理 (MDM) 门户或我的设备门户。

此名称显示在用于重定向选择的授权配置文件门户选择中。它应用于门户列表，以便在其他门户中轻松识别。
描述 (Description)：可选。

门户测试 URL (Portal test URL)：点击保存 (Save) 后，系统生成的 URL 会显示为链接。使用此连接来测试门户。

点击该链接可打开新的浏览器标签页，其中显示此门户的 URL。必须打开具有策略服务的策略服务节点 (PSN)。如果禁用策略服务，则 PSN 仅显示管理员门户。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

语言文件 (Language File)：默认情况下，每个门户类型支持 15 种语言，这些语言可作为在单个压缩语言文件中捆绑在一起的单独属性文件使用。导出或导入要用于门户的压缩语言文件。压缩语言文件包含可用于显示门户的文本的所有单独语言文件。

语言文件包含到特定浏览器区域设置的映射，以及该语言下整个门户的所有字符串设置。单个语言文件包含所有受支持的语言，因此它可轻松用于实现翻译和本地化目的。

如果您更改一种语言的浏览器区域设置，则更改会应用于所有其他最终用户 Web 门户。例如，如果在热点访客门户中将 French.properties 浏览器区域设置从 fr,fr-fr,fr-ca 更改为 fr,fr-fr，则更改还会应用于我的设备门户。

在门户页面自定义 (Portal Page Customizations) 选项卡中自定义任何文本时，系统都会显示警报图标。警报消息会提醒您在自定义门户时对一种语言所做的任何更改必须同时添加到所有受支持的语言属性文件。您可以使用下拉列表选项手动关闭警报图标；或者它会在您导入更新后的压缩语言文件后自动关闭。

热点访客门户的门户设置

这些设置的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 新建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 门户设置 (Portal Settings)。

HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（黑名单门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

有效的组合包括（以发起人门户为例）：
- 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 1，证书组 A 和黑名单门户：端口 8444，接口 0，证书组 B。
无效组合包括：
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 0，证书标签 A 和黑名单门户：端口 8444，接口 0，证书组 A。

注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 以太网接口必须使用不同子网上的 IP 地址。
- 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
- 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。
证书组标签 (Certificate Group tag)：选取一个证书组标签，指定要用于门户的 HTTPS 流量的证书。
终端身份组 (Endpoint Identity Group)：选择用于跟踪访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。

选择用于跟踪员工设备的终端身份组。思科 ISE 提供 RegisteredDevices 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。
当此身份组中的终端达到 __ 天时将其清除 (Purge Endpoints in this Identity Group when they Reach __ Days)：指定从思科 ISE 数据库中清除设备之前应经历的天数。每天都会进行清除，并且清除活动与整体清除时间同步。更改全局应用于此终端身份组。

如果根据其他策略条件对终端清除策略进行更改，则此设置不可再使用。
显示语言
- 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。
- 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。
- 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。

热点访客门户的可接受使用政策 (AUP) 页面设置

此页面的导航路径为访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy (AUP) Page Settings)。

包含 AUP (Include an AUP)：在单独的页面上向用户显示公司的网络使用条款和条件。
要求访问代码 (Require an Access Code)：分配访问代码，作为多个访客在获取网络访问权限时应使用的登录凭证。访问代码主要是提供给实际存在的访客（通过白板以肉眼方式或通过前台接待人员以口头方式）的本地已知代码。它不会被场地外的人员获知和使用以访问网络。

除作为登录凭证提供给单独访客的用户名和密码以外，您还可以使用此选项。
要求滚动至 AUP 的末尾 (Require scrolling to end of AUP) - 确保用户已完全阅读 AUP。仅在用户已滚动至 AUP 的末尾时，才会激活接受 (Accept) 按钮。配置何时向用户显示 AUP。

配置热点访客门户流时，AUP 访问代码取决于终端身份组设备注册。

仅在从与热点门户配置绑定的终端身份组中删除 MAC 地址后，才会显示 AUP 访问代码页面。通过思科 ISE 上的“情景可视性”(Context Visibility) 页面从数据库中手动删除终端，或者通过终端清除功能和配置的终端清除策略清除终端。

热点门户的访问后横幅页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访问接入后横幅页面设置 (Post-Access Banner Page Settings) 。

使用此设置可通知访客其访问状态以及任何其他附加操作（如果需要）。


字段	使用指南
包含访问后横幅页面 (Include a Post-Access Banner page)	在对访客成功进行身份验证后并在向其授予网络访问权限之前显示其他信息。

需要提供凭证的访客门户的门户设置

这些设置的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 新建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 门户设置 (Portal Settings)。

HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（黑名单门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

有效的组合包括（以发起人门户为例）：
- 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 1，证书组 A 和黑名单门户：端口 8444，接口 0，证书组 B。
无效组合包括：
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 0，证书标签 A 和黑名单门户：端口 8444，接口 0，证书组 A。

注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 以太网接口必须使用不同子网上的 IP 地址。
- 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
- 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。
门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
身份源序列 (Identity Source Sequence)：选择将哪个身份源序列用于用户身份验证。身份源序列是验证用户凭证时，按顺序搜索的身份存储区列表。

思科 ISE 包含适用于发起人门户的默认身份源序列：Sponsor_Portal_Sequence。

要配置身份源序列，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences)。
显示语言
- 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。
- 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。
- 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。

需要提供凭证的访客门户的登录页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 登录页面设置 (Login Page Settings)。

要求访问代码 (Require an Access Code)：分配访问代码，作为多个访客在获取网络访问权限时应使用的登录凭证。访问代码主要是提供给实际存在的访客（通过白板以肉眼方式或通过前台接待人员以口头方式）的本地已知代码。它不会被场地外的人员获知和使用以访问网络。

除作为登录凭证提供给单独访客的用户名和密码以外，您还可以使用此选项。
速率限制之前最大失败登录尝试次数 (Maximum Failed Login Attempts Before Rate Limiting)：指定思科 ISE 开始限制该帐户之前从单个浏览器会话尝试登录时的失败次数。这不会导致帐户锁定。限制的速率在限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts When Rate Limiting) 中进行配置。
限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts when Rate Limiting)：设置用户在达到速率限制之前最大失败登录尝试次数 (Maximum failed login attempts before rate limiting) 中定义的登录失败次数后，尝试再次登录（限制速率）之前必须等待的时间长度（分钟）。
包含 AUP (Include an AUP)：将可接受使用政策窗口添加到流。可以将 AUP 添加到窗口，或链接到另一个窗口。
允许访客创建自己的帐户 (Allow Guests to Create their Own Accounts)：在此门户的登录页面上为访客提供自行注册的选项。如果未选中此选项，则发起人需创建访客帐户。启用该选项会同时启用该页面中的选项卡以供您配置自注册页面设置和自注册成功页面设置。

如果访客选择此选项，则为其提供自注册表单，他们可在其中输入请求的信息来创建其自己的访客帐户。
允许访客在登录后更改密码 (Allow guests to change password after login)：允许访客在成功进行身份验证并接受 AUP 后更改其密码（如果需要）。如果访客更改其密码，则在丢失登录凭证的情况下发起人无法为访客提供其登录凭证。发起人只能将访客的密码重置为随机密码。

需要提供凭证的访客门户的自助注册页面设置

此页面的导航路径为 Guest Access > Configure > Guest Portals > Create, Edit or Duplicate > Portal Behavior and Flow Settings > Self Registration Page Settings。使用这些设置使访客可以自助注册并指定访客需要在 Self-Registration 表单中提供的信息。


字段	使用指南
Assign self-registered guests to guest type	选择应该将使用此门户的所有自助注册访客分配到哪个访客类型。
Account valid for	以天、小时或分钟为单位指定帐户的持续时间，经过此时间之后，帐户就会到期，除非您或发起人在 Sponsor 门户中延长此帐户持续时间。
Require a registration code for self registration	为自助注册访客分配成功提交其 Self-Registration 表单所必须输入的代码。注册代码与接入代码类似，都是通过离线方式提供给访客，以防外部的用户访问系统。
Fields to include / Required	检查您要在 Self-Registration 表单上显示的字段。然后检查哪些字段是访客提交此表单和接收访客帐户必须填写的强制字段。您可能需要强制填写 SMS Service Provider 和 Person being Visited 等字段，以从自助注册访客收集重要信息。
Guests can choose from these locations to set their time zone	输入自助注册的访客在注册时使用您所定义的位置列表可以选择的位置。这将自动分配相关时区，作为这些访客的有效访问时间。位置名称应该明确，以免在选择时出现含糊（例如 Boston Office、500 Park Ave New York、Singapore 等）如果您只提供一个位置，系统会将其自动分配为默认位置并且不在门户中显示此位置以供访客查看。此外，在 Fields to include 列表中，系统会禁用 Location。
SMS Service Provider	在 Self-Registration 表单上显示 SMS 运营商，使自助注册的访客可以选择他们自己的 SMS 运营商。您可以使用访客的 SMS 服务向他们发送 SMS 通知以最大程度地降低公司开支。
Guests can choose from these SMS providers	选择应该在 Self-Registration 表单上显示的 SMS 运营商。如果您只选择一个 SMS 运营商作为供访客使用的默认 SMS 运营商，则此提供商不会显示于 Self-Registration 表单上。
Custom Fields	选择您想要从自助注册的访客收集的其他信息。然后检查哪些字段是访客提交 Self-Registration 表单和接收访客帐户必须填写的字段。系统按名称字母顺序列出这些字段。
包含一个 AUP（在页面上/作为链接）(Include an AUP [on page/as link])	将公司的网络使用条款和条件显示为当前为用户显示的窗口上的文本或者显示为用于打开包含 AUP 文本的新选项卡或窗口的链接。
要求接受 (Require Acceptance)	要求用户在其帐户完全启用之前接受 AUP。除非用户接受 AUP，否则不会启用登录 (Login) 按钮。如果用户不接受 AUP，将不会获取网络访问权限。
要求滚动至 AUP 的末尾 (Require scrolling to end of AUP)	仅在启用在页面上包含一个 AUP (Include an AUP on page) 的情况下，才会显示此选项。确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 末尾时，才会启用接受 (Accept) 按钮。
Only allow guests with an email address from	指定允许的电子邮件地址域，来自这些域的自行注册访客可以进入电子邮件地址并成功接收他们的帐户凭证；例如 cisco.com、example.com。在本示例中，如果用户输入 `myname@cisco.com` 作为其邮件地址，在成功创建帐户之后，他们会收到其登录凭证。但如果他们输入的是 `myname@hotmail.com`（或并非来自 cisco.com 或 example.com 的任何其他地址），则系统不会创建任何帐户而且他们也不会收到凭证。如果将此字段留空，则可从任意域进行注册，禁止电子邮件地址来自以下域的访客 (Do not allow guests with email address from) 中列出的拦截域除外。
Do not allow guests with an email address from	指定拦截的电子邮件地址域，来自这些域的自行注册访客不能进入电子邮件地址并成功接收他们的帐户凭证；例如 cisco.com、example.com。在本示例中，如果用户输入 `myname@cisco.com` 作为其邮件地址，则系统不会创建任何帐户并且他们也不会收到凭证。
Require self-registered guests to be approved	指定使用此门户的自助注册的访客需要获得发起人的批准，才能收到其访客凭证。然后在此页面的 After registration submission, direct guest to 下选择一个以下选项： Self-Registration Success page Login page with instructions about how to obtain login credentials URL 如果启用此字段，您还应该在此页面上在 Send credential notification upon approval using 下启用 Email 和 SMS 中的一个字段或这两个字段。启用要求自助注册访客需获得批准 (Require self-registered guests to be approved) 将启用以下额外配置字段，其具有以下属性：批准/拒绝链接设置 (Approve/Deny Link Settings) - 其他设置允许您配置：链接有效性 (Links are valid for)，天数。要求审批人输入身份验证用户名和密码以进行身份验证 (Require approver to enter a username and password for authentication) - 基于以下经过排序的发起人门户列表对发起人进行身份验证基于以下经过排序的发起人门户列表对发起人进行身份验证 (Authenticate sponsors based on the following ordered list of sponsor portals) - 如果有多个发起人可以审批此帐户，则选择发起人必须登录才能审批该帐户的门户。
Email approval request to	如果您选择： sponsor email addresses listed below，请输入指定为批准人的发起人邮件地址，或应该接收全部访客批准请求的邮件地址或邮件收发器。被访问者 (person being visited)，“要包括的字段”(Fields to include) 列表中的被访问者 (Person being visited) 和必填 (Required) 选项也将启用（如果之前已禁用这些选项）。Self-Registration 表单上将显示这些字段，要求自助注册的访客提供这些信息。这些人将收到一封邮件通知，邮件中会说明自助注册的访客要求获得批准。
Self-Registration Success page	将自助注册成功的访客定向至 Self-Registration Success 页面，此页面会显示您在 Self Registration Success Page Settings 中指定的字段和消息。可能无需显示所有信息，因为系统可能正在等待批准帐户（如已在此页面启用此选项）或根据此页面中指定的允许域和拦截域向电子邮件地址或电话号码发送登录凭证。如果您在 Self-Registration Success Page Settings 中启用 Allow guests to log in directly from the Self-Registration Success page，则自助注册成功的访客可以直接从此页面登录。如未启用，则在显示 Self-Registration Success 页面之后，系统会将访客定向至门户的 Login 页面。
Login page with instructions about how to obtain login credentials	将自助注册成功的访客定向回到该门户的 Login 页面并显示“Please wait for your guest credentials to be delivered either via email, SMS, or print format and proceed with logging in”之类的消息。要自定义默认消息，请点击 Portal Page Customization 选项卡并选择 Self-Registration Page Settings。系统可能正在等待批准帐户（如已在此页面启用此选项）或根据此页面上指定的允许域和拦截域向电子邮件地址或电话号码发送登录凭证。
URL	将自助注册成功的访客定向至指定的 URL，同时等待发送其帐户凭证。系统可能正在等待批准帐户（如已在此页面启用此选项）或根据此页面上指定的允许域和拦截域向电子邮件地址或电话号码发送登录凭证。
Email	选择将邮件作为自助注册成功的访客用于接收其登录凭证信息的选项。如果您选择此选项，Email address 会成为 Fields to include 列表中的必填字段，而且您再也无法禁用此选项。
SMS	选择将 SMS 作为自助注册成功的访客用于接收其登录凭证信息的选项。如果您选择此选项，SMS Service Provider 会成为 Fields to include 列表中的必填字段，而且您再也无法禁用此选项。

自行注册成功页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 自注册成功页面设置 (Self Registration Success Page Settings)。使用这些设置可向成功自注册的访客通知他们获取网络访问权限所需的凭证。


字段	使用指南
自注册成功页面中纳入该信息 (Include this information on the Self-Registration Success page)	选中要在“自注册成功”(Self-Registration Success) 页面上为成功自注册访客显示的字段。如果不需要访客的赞助商审批，请选中用户名 (Username) 和密码 (Password)，为访客显示这些凭证。如果需要赞助商审批，则这些字段将被禁用，因为凭证只能在得到批准之后发送到访客。
允许访客通过以下方式向自己发送信息 (Allow guest to send information to self using)	选中成功自注册访客可用于向自己传送凭证信息的方式的选项：打印 (Print)、电子邮件 (Email) 或 SMS。
包含一个 AUP（在页面上/作为链接）(Include an AUP [on page/as link])	将公司的网络使用条款和条件显示为当前为用户显示的窗口上的文本或者显示为用于打开包含 AUP 文本的新选项卡或窗口的链接。
要求接受 (Require Acceptance)	要求用户在其帐户完全启用之前接受 AUP。除非用户接受 AUP，否则不会启用登录 (Login) 按钮。如果用户不接受 AUP，将不会获取网络访问权限。
要求滚动至 AUP 的末尾 (Require scrolling to end of AUP)	如果选择了页面上的 AUP (AUP on page) 选项，系统会显示此字段。确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 末尾时，才会启用接受 (Accept) 按钮。
允许访客直接通过自注册成功页面登录 (Allow guests to log in directly from the Self-Registration Success page)	“自注册成功”(Self-Registration Success) 页面底部显示登录 (Login) 按钮。这使得访客能够绕过“登录” (Login) 页面，自动将登录凭证传送到门户并在门户流程中显示下一个页面（例如，AUP 页面）。

需要提供凭证的访客门户的可接受使用政策 (AUP) 页面设置

包含 AUP (Include an AUP)：在单独的页面上向用户显示公司的网络使用条款和条件。
对员工使用不同的 AUP (Use Different AUP for Employees)：仅为员工显示不同的 AUP 及网络使用条款和条件。如果您选择此选项，则不能同时选择跳过面向员工的 AUP (Skip AUP for employees)。
对员工跳过 AUP (Skip AUP for Employees)：员工在访问网络之前无需接受 AUP。如果您选择此选项，则不能同时选择使用面向员工的不同 AUP (Use different AUP for employees)。
要求滚动至 AUP 末尾 (Require Scrolling to End of AUP)：此选项仅在已启用在页面上包含 AUP (Include an AUP on page) 时显示。

确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 的末尾时，才会激活接受 (Accept) 按钮。配置何时向用户显示 AUP。
- 仅首次登录时 (On First Login only)：仅在用户首次登录网络或门户时显示 AUP。
- 每次登录时 (On Every Login)：每次用户登录网络或门户时都显示 AUP。
- 每 __ 天（从首次登录算起）(Every __ Days [starting at first login])：在用户首次登录网络或门户后定期显示 AUP。

需要提供凭证的访客门户的访客更改密码设置

访客更改密码设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访客更改密码设置 (Guest Change Password Settings)

允许访客在登录后更改密码 (Allow guests to change password after login)：允许访客在成功进行身份验证并接受 AUP 后更改其密码（如果需要）。如果访客更改其密码，则在丢失登录凭证的情况下发起人无法为访客提供其登录凭证。发起人只能将访客的密码重置为随机密码。

需要提供凭证的访客门户的访客设备注册设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 访客设备注册设置 (Guest Device Registration Settings)。

使用这些设置可确保在登录到访客设备时思科 ISE 自动注册访客设备，或者允许访客在登录后手动注册其设备。

在访客访问 (Guest Access) > 配置 (Configure) > 访客类型 (Guest Types) 中为每个访客类型指定最大设备数量。

自动注册访客设备 (Automatically Register Guest Devices)：自动为访客用来访问此门户的设备创建终端。此终端将添加到为此门户指定的终端身份组并且适用该身份组的清除策略。
现在，可以创建授权规则来允许访问该身份组中的终端，以便不再需要 Web 身份验证。

如果达到最大注册设备数，则系统会自动删除第一个注册设备，注册访客尝试登录所使用的设备，并且通知访客。选择访客访问 (Guest Access) > 配置 (Configure) > 访客类型 (Guest Types) 以更改可向其注册访客的设备的最大数量。
允许访客注册设备 (Allow Guests to Register Devices)：访客可以通过提供名称、说明和 MAC 地址手动注册其设备。MAC 地址与终端身份组相关联。
如果达到最大注册设备数，则访客需要删除至少一个设备，然后才允许其注册其他设备。

需要提供凭证的访客门户的 BYOD 设置

此页面的导航路径为：访客访问 (Guest Access) > 门户和组件 (Portals & Components) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > BYOD 设置 (BYOD Settings)。

使用这些设置为非访客（例如使用需要提供凭证的访客门户访问企业网络的员工）启用自带设备 (BYOD) 功能。


字段	使用指南
允许员工在网络中使用个人设备 (Allow Employees to use Personal Devices on the Network)	向此门户添加“BYOD 注册”(BYOD Registration) 窗口，允许员工完成员工设备注册过程，并且可能进行本地请求方和证书调配，具体视员工的个人设备类型（例如，iOS、Android、OSX）对应的客户端调配设置而定。
终端身份组	选择用于跟踪访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认值，则还可以创建其他终端身份组。
当此身份组中的终端达到 __ 天时将其清除 (Purge Endpoints in this Identity Group when they Reach __ Days)	更改用户设备自注册以来到其从思科 ISE 数据库中清除的天数。每天都会进行清除，并且清除活动与整体清除时间同步。更改全局应用于此终端身份组。如果根据其他策略条件对终端清除策略进行更改，则此设置不可再使用。
Allow employees to choose to get guest access only	使员工可以访问访客网络并避免在访问企业网络时可能需要另行调配和注册。
在注册期间显示设备 ID 字段 (Display Device ID Field During Registration)	在注册过程中向用户显示设备 ID，即使设备 ID 已预配置并在使用 BYOD 门户时无法更改也如此。
原始 URL (Originating URL)	成功对网络进行身份验证后，将用户的浏览器重定向到用户正在尝试访问的原始网站（如果适用）。如果不适用，则系统会显示“身份验证成功”(Authentication Success) 窗口。请确保允许重定向 URL 通过 NAD 上的访问控制列表和在该 NAD 的思科 ISE 中配置的授权配置文件，在 PSN 的端口 8443 上工作。对于 Windows、MAC 和 Android 设备，控制权交给自助调配向导应用，后者负责调配。因此，这些设备不会被重定向到原始 URL。但是，iOS (dot1X) 和不受支持的设备（允许进行网络访问）会重定向到此 URL。
注册成功页面	显示设备注册成功的页面。
URL	成功对网络进行身份验证后，将用户的浏览器重定向到指定的 URL，例如贵公司的网站。

需要提供凭证的访客门户的登录后横幅页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访问后横幅页面设置 (Post-Access Banner Page Settings)。

使用此设置可在用户（适用情况下的访客、发起人或员工）成功登录后向其通知其他信息。


字段	使用指南
包含登录后横幅页面 (Include a Post-Login Banner page)	在用户成功登录后并在向其授予网络访问权限之前显示其他信息。

需要提供凭证的访客门户的访客设备合规性设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 访客设备合规性设置 (Guest Device Compliance Settings)。使用这些设置可要求使用访客门户的访客和员工对其设备进行客户端调配，以便获取对网络的访问权限。

需要访客设备合规性 (Require guest device compliance) - 将访客重定向到“客户端调配”(Client Provisioning) 页面，这会要求其下载终端安全评估代理。这会将客户端调配添加到访客流，您可以在其中配置访客的终端安全评估策略，如检查病毒防护软件。
如果访客是使用需要提供证书的访客门户来访问网络的员工，并且：
- 如果您已启用 BYOD Settings 中的 Allow employees to use personal devices on the network，则员工会被重定向到 BYOD 流程，并且不会进行客户端调配。
- 如果您同时启用 BYOD Settings 中的 Allow employees to use personal devices on the network 和 Allow employees to choose to get guest access only，并且员工选择访客接入，则他们会被重定向到 Client Provisioning 页面。

访客门户的 VLAN DHCP 释放页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > VLAN DHCP 释放页面设置 (VLAN DHCP Release Page Settings)。

启用 VLAN DHCP 释放 (Enable VLAN DHCP release)：在有线与无线环境中发生 VLAN 更改后刷新访客的 Windows 设备 IP 地址。

这会在网络访问将访客 VLAN 更改为新 VLAN 时影响最终授权过程中的集中式 Web 身份验证 (CWA) 流程。在 VLAN 更改之前必须释放访客的旧 IP 地址，并且必须在访客连接新 VLAN 时通过 DHCP 请求新访客 IP 地址。仅在使用 DirectX 控件的 Internet Explorer 浏览器上支持 IP 地址释放和续订操作。

“VLAN DHCP 释放”(VLAN DHCP Release) 选项不适用于移动设备。相反，系统会请求访客手动重置 IP 地址。此方法因设备而异。例如，在 Apple iOS 设备上，访客可以选择 Wi-Fi 网络并点击 Renew Lease 按钮。
延迟 __ 秒释放 (Delay to Release __ Seconds)：输入延迟释放时间。我们建议使用较短的值，因为释放必须紧随在下载小应用程序之后、在思科 ISE 服务器指示 NAD 对 CoA 请求重新进行身份验证之前发生。
延迟 __ 秒执行 CoA (Delay to CoA __ Seconds)：输入使思科 ISE 延迟执行 CoA 的时间。提供足够时间（使用默认值作为规定值），以允许下载小程序并在客户端上执行 IP 释放。
延迟 __ 秒续订 (Delay to Renew __ Seconds)：输入延迟续订值。此时间会添加到 IP 释放值，并且在下载控件之前不会开始计时。提供足够时间（使用默认值作为规定值），以便允许 CoA 进行处理并授予新的 VLAN 访问权限。

访客门户的身份验证成功设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 身份验证成功设置 (Authentication Success Settings)。

这些设置会通知用户（适用的访客、发起人或员工）身份验证成功或显示 URL。在经过身份验证后将访客转到: (Once authenticated, take guest to:) 下，配置以下字段：

原始 URL (Originating URL)：成功对网络进行身份验证后，将用户的浏览器重定向到用户正在尝试访问的原始网站（如果适用）。如果不适用，则系统会显示“身份验证成功”(Authentication Success) 窗口。请确保允许重定向 URL 通过 NAD 上的访问控制列表和在该 NAD 的 ISE 中配置的授权配置文件，在 PSN 的端口 8443 上工作。

对于 Windows、MAC 和 Android 设备，控制权交给自助调配向导应用，后者负责调配。因此，这些设备不会被重定向到原始 URL。但是，iOS (dot1X) 和不受支持的设备（允许进行网络访问）会重定向到此 URL。
身份验证成功 (Authentication Success) 页面：通知用户身份验证成功。
URL：成功对网络进行身份验证后，将用户的浏览器重定向到指定的 URL，例如您公司的网站。

注	如果您在身份验证后将一个访客重定向到外部 URL，可能会在解析 URL 地址和重定向会话时有延迟。请确保允许重定向 URL 通过 NAD 上的访问控制列表和在该 NAD 的 ISE 中配置的授权配置文件，在 PSN 的端口 8443 上工作。

访客门户的支持信息页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 支持信息页面设置 (Support Information Page Settings)。

使用这些设置可显示服务中心可用于对用户（适用情况下的访客、发起人或员工）遇到的访问问题进行故障排除的信息。


字段	使用指南
包含支持信息页面 (Include a Support Information Page)	在门户的所有已启用窗口上显示指向信息窗口（例如联系我们 [Contact Us]）的链接。
MAC 地址	在支持信息 (Support Information) 窗口上包含设备的 MAC 地址。
IP 地址	在支持信息 (Support Information) 窗口上包含设备的 IP 地址。
浏览器用户代理	在支持信息 (Support Information) 窗口上包含浏览器详细信息，如产品名称和版本、布局引擎，以及发起请求的用户代理的版本。
策略服务器 (Policy Server)	在支持信息 (Support Information) 窗口上包含服务此门户的 ISE 策略服务节点 (PSN) 的 IP 地址。
故障代码	如果适用，请包含日志消息目录中的对应编号。要查看消息目录，选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 消息目录 (Message Catalog)。
隐藏字段 (Hide Field)	如果字段标签将会包含的信息不存在，请勿在支持信息 (Support Information) 窗口上显示任何字段标签。例如，如果故障代码未知并因此为空白，请勿显示故障代码 (Failure code)，即使已选择故障代码也如此。
显示不含任何值的标签 (Display Label with no Value)	在支持信息 (Support Information) 窗口上显示所有选定字段标签，即使其将会包含的信息不存在也如此。例如，如果故障代码未知，请显示故障代码 (Failure code)，即使其为空白也如此。
显示含默认值的标签 (Display Label with Default Value)	如果标签将会包含的信息不存在，请在支持信息 (Support Information) 窗口上的任何选定字段中显示此文本。例如，如果在此字段中输入“不可用”(Not Available)，并且故障代码未知，则故障代码 (Failure Code) 将显示不可用 (Not Available)。

门户标识设置

这些设置的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 访客门户或发起人门户设置和自定义 (Guest Portals or Sponsor Portals Settings and Customization)。

门户名称 (Portal Name)：输入用于访问此门户的唯一门户名称。请勿将此门户名称用于任何其他发起人门户、访客门户或非访客门户，如黑名单门户、自带设备 (BYOD) 门户、客户端调配门户、移动设备管理 (MDM) 门户或我的设备门户。

此名称显示在用于重定向选择的授权配置文件门户选择中。它应用于门户列表，以便在其他门户中轻松识别。
描述 (Description)：可选。

门户测试 URL (Portal test URL)：点击保存 (Save) 后，系统生成的 URL 会显示为链接。使用此连接来测试门户。

点击该链接可打开新的浏览器标签页，其中显示此门户的 URL。必须打开具有策略服务的策略服务节点 (PSN)。如果禁用策略服务，则 PSN 仅显示管理员门户。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

语言文件 (Language File)：默认情况下，每个门户类型支持 15 种语言，这些语言可作为在单个压缩语言文件中捆绑在一起的单独属性文件使用。导出或导入要用于门户的压缩语言文件。压缩语言文件包含可用于显示门户的文本的所有单独语言文件。

语言文件包含到特定浏览器区域设置的映射，以及该语言下整个门户的所有字符串设置。单个语言文件包含所有受支持的语言，因此它可轻松用于实现翻译和本地化目的。

如果您更改一种语言的浏览器区域设置，则更改会应用于所有其他最终用户 Web 门户。例如，如果在热点访客门户中将 French.properties 浏览器区域设置从 fr,fr-fr,fr-ca 更改为 fr,fr-fr，则更改还会应用于我的设备门户。

在门户页面自定义 (Portal Page Customizations) 选项卡中自定义任何文本时，系统都会显示警报图标。警报消息会提醒您在自定义门户时对一种语言所做的任何更改必须同时添加到所有受支持的语言属性文件。您可以使用下拉列表选项手动关闭警报图标；或者它会在您导入更新后的压缩语言文件后自动关闭。

发起人门户的门户设置

配置这些设置以标识门户并选择要用于所有门户页面的语言文件。

HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（黑名单门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

有效的组合包括（以发起人门户为例）：
- 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 1，证书组 A 和黑名单门户：端口 8444，接口 0，证书组 B。
无效组合包括：
- 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。
- 发起人门户：端口 8444，接口 0，证书标签 A 和黑名单门户：端口 8444，接口 0，证书组 A。

注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 以太网接口必须使用不同子网上的 IP 地址。
- 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。
- 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。
- 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。
证书组标签 (Certificate Group tag)：选取一个证书组标签，指定要用于门户的 HTTPS 流量的证书。
完全限定域名 (FQDN) (Fully Qualified Domain Name [FQDN])：为发起人门户或我的设备门户输入至少一个唯一 FQDN 或主机名。例如，可以输入 sponsorportal.yourcompany.com,sponsor，以便在用户将其中任一名称输入到浏览器中时，发起人门户会打开。以逗号分隔名称，但条目之间不包含空格。

如果更改默认 FQDN，还需执行以下操作：
- 更新 DNS，以便新 URL 的 FQDN 解析为有效的策略服务节点 (PSN) IP 地址。或者，此地址可能指向提供 PSN 池的负载均衡器虚拟 IP 地址。
- 要避免由于名称不匹配而出现证书警告消息，请在思科 ISE PSN 的本地服务器证书的使用者备选名称 (SAN) 属性中加入自定义 URL 的 FQDN 或通配符。
身份源序列 (Identity Source Sequence)：选择将哪个身份源序列用于用户身份验证。身份源序列是验证用户凭证时，按顺序搜索的身份存储区列表。

思科 ISE 包含适用于发起人门户的默认身份源序列：Sponsor_Portal_Sequence。

要配置身份源序列，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 身份源序列 (Identity Source Sequences)。
空闲超时 (Idle Timeout)：输入思科 ISE 在门户中没有活动的情况下注销用户之前要等待的时间（以分钟为单位）。有效范围为 1 至 30 分钟。

允许 Kerberos (Allow Kerberos)：使用 Kerberos 对发起人进行身份验证，用于访问发起人门户。在浏览器与 ISE 建立 SSL 连接后，在安全隧道内执行 Kerberos SSO。

Kerberos 身份验证要求以下项目位于同一域中：

发起人的 PC
ISE PSN
为此发起人门户配置的 FQDN

注	访客门户不支持 Kerberos 身份验证。

显示语言
- 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。
- 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。
- 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。
发起人的可用 SSID (SSIDs Available to Sponsors)：输入网络的名称或 SSID（会话服务标识符），发起人可以告知访客该网络是可以连接访问的正确网络。

发起人门户的登录页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 登录页面设置 (Login Page Settings)。

速率限制之前最大失败登录尝试次数 (Maximum Failed Login Attempts Before Rate Limiting)：指定思科 ISE 开始限制该帐户之前从单个浏览器会话尝试登录时的失败次数。这不会导致帐户锁定。限制的速率在限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts When Rate Limiting) 中进行配置。
限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts when Rate Limiting)：设置用户在达到速率限制之前最大失败登录尝试次数 (Maximum failed login attempts before rate limiting) 中定义的登录失败次数后，尝试再次登录（限制速率）之前必须等待的时间长度（分钟）。
包含 AUP (Include an AUP)：将可接受使用政策窗口添加到流。可以将 AUP 添加到窗口，或链接到另一个窗口。

发起人门户的可接受使用政策 (AUP) 页面设置

此页面的导航路径为访客访问 (Guest Access) > 配置 (Configure) > 发起者门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy (AUP) Page Settings)。

使用这些设置可定义用户（适用情况下的访客、发起人或员工）的 AUP 体验。


字段	使用指南
包含 AUP 页面 (Include AUP page)	在单独的页面上向用户显示公司的网络使用条款和条件。
要求滚动至 AUP 的末尾 (Require scrolling to end of AUP)	确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 末尾时，才会启用接受 (Accept) 按钮。
仅首次登录时 (On First Login only)	仅在用户首次登录到网络或门户时显示 AUP。
每次登录时 (On Every Login)	每次用户登录到网络或门户时显示 AUP。
每 __ 天（从首次登录算起）(Every __ Days [starting at first login])	在用户首次登录到网络或门户时定期显示 AUP。

发起人门户的发起人更改密码设置

要为使用发起人门户的发起人配置密码要求，请选择访客访问 (Guest Access) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 发起人更改密码设置 (Sponsor Change Password Settings)。


字段	使用指南
Allow sponsors to change their own passwords	允许发起人在登录发起人门户后更改密码。此选项仅在发起人在内部用户数据库中时才显示“更改密码”(Change Password) 页面。

发起人门户的登录后横幅页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 访客门户或发起人门户 (Guest Portals or Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 访问后横幅页面设置 (Post-Access Banner Page Settings)。

使用此设置可在用户（适用情况下的访客、发起人或员工）成功登录后向其通知其他信息。


字段	使用指南
包含登录后横幅页面 (Include a Post-Login Banner page)	在用户成功登录后并在向其授予网络访问权限之前显示其他信息。

发起人门户的支持信息页面设置

此页面的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 支持信息页面设置 (Support Information Page Settings)。

使用这些设置可显示服务中心可用于对用户（适用情况下的访客、发起人或员工）遇到的访问问题进行故障排除的信息。


字段	使用指南
包含支持信息页面 (Include a Support Information Page)	在门户的所有已启用窗口上显示指向信息窗口（例如联系我们 [Contact Us]）的链接。
MAC 地址	在支持信息 (Support Information) 窗口上包含设备的 MAC 地址。
IP 地址	在支持信息 (Support Information) 窗口上包含设备的 IP 地址。
浏览器用户代理	在支持信息 (Support Information) 窗口上包含浏览器详细信息，如产品名称和版本、布局引擎，以及发起请求的用户代理的版本。
策略服务器 (Policy Server)	在支持信息 (Support Information) 窗口上包含服务此门户的 ISE 策略服务节点 (PSN) 的 IP 地址。
故障代码	如果适用，请包含日志消息目录中的对应编号。要查看消息目录，选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 消息目录 (Message Catalog)。
隐藏字段 (Hide Field)	如果字段标签将会包含的信息不存在，请勿在支持信息 (Support Information) 窗口上显示任何字段标签。例如，如果故障代码未知并因此为空白，请勿显示故障代码 (Failure code)，即使已选择故障代码也如此。
显示不含任何值的标签 (Display Label with no Value)	在支持信息 (Support Information) 窗口上显示所有选定字段标签，即使其将会包含的信息不存在也如此。例如，如果故障代码未知，请显示故障代码 (Failure code)，即使其为空白也如此。
显示含默认值的标签 (Display Label with Default Value)	如果标签将会包含的信息不存在，请在支持信息 (Support Information) 窗口上的任何选定字段中显示此文本。例如，如果在此字段中输入“不可用”(Not Available)，并且故障代码未知，则故障代码 (Failure Code) 将显示不可用 (Not Available)。

自定义从发起人门户发送至访客的通知

这些设置的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户页面自定义 (Portal Page Customization) > 通知访客 (Notify Guests)。

在 Page Customizations 下，您可以自定义发起人从发起人门户发送至访客的通知上显示的消息、标题、内容、说明和字段与按钮标签。

在 Settings 下，您可以指定发起人是否可以使用邮件或 SMS 单独向访客发送用户名和密码。您还可以指定发起人是否可以向访客显示 Support Information 页面，以提供技术支持可用于对访问问题进行故障排除的信息。

自定义发起人门户的“管理和审批”选项卡

这些设置的导航路径为：访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户页面自定义 (Portal Page Customization) > 管理和审批 (Manage and Approve)。

在 Page Customizations 下，您可以自定义发起人门户的 Manage 和 Approve 选项卡上显示的消息、标题、内容、说明以及字段和按钮标签。

其中包括帐户（已注册和待处理）摘要和详细视图、根据发起人对访客帐户执行的操作（例如编辑、扩展、暂停等）显示的弹出对话框，以及常规门户和帐户操作消息。

访客和发起人门户的全局设置

选择访客访问 (Guest Access) > 设置 (Settings)。您可以配置以下常规设置应用于思科 ISE 的访客和发起人门户、访客类型以及发起人组：

清除访客帐户和生成用户名和密码的策略。
向访客和发起人发送邮件和 SMS 通知时使用的 SMTP 服务器和 SMS 网关。
使用自助注册访客门户创建访客帐户和注册访客时可选择的位置、时区、SSID 和自定义字段。

配置这些全局设置后，在配置特定访客和发起人门户、访客类型和发起人组时，可以根据需要使用这些设置。

“门户设置”(Portal settings) 页面中提供以下选项卡：

访客帐户清除策略 (Guest Account Purge Policy)：当要清除已过期的访客帐户时安排。有关详细信息，请参阅安排清除过期访客帐户的时间。
自定义字段 (Custom Fields)：添加用于访客门户的自定义字段，以检索来自用户的其他信息。有关详细信息，请参阅添加用于创建访客帐户的自定义字段。
访客邮件设置 (Guest Email Settings)：确定是否发送邮件将其帐户的变更通知访客。有关详细信息，请参阅为邮件通知指定邮箱地址和 SMTP 服务器。
访客位置和 SSID (Guest Locations and SSIDs)：配置位置和访客可以在这些位置中使用的网络服务集标识符 (SSID)。有关详细信息，请参阅分配访客位置和 SSID。
访客用户名策略 (Guest Username Policy)：配置创建访客用户名的方式。有关详细信息，请参阅设置访客用户名策略和访客密码策略规则。
访客密码策略 (Guest Password Policy)：定义所有访客和发起人门户的访客密码策略。有关详细信息，请参阅设置访客密码策略和到期时间。
SMS 网关设置 (SMS Gateway Settings)：定义用于向访客和发起人发送 SMS 通知的 SMS 网关。有关详细信息，请参阅配置 SMS 网关以向访客发送 SMS 通知。

访客类型设置

这些设置的导航路径为访客访问权限 (Guest Access) > 配置 (Configure) > 访客类型 (Guest Types)。使用这些设置可以创建能够访问网络的访客类型及其访问权限。您也可以指定哪些发起人组能够创建此访客类型。

发起人组设置

这些设置的导航路径为访客访问权限 (Guest Access) > 配置 (Configure) > 发起人组 (Sponsor Groups)。使用这些设置可向发起人组添加成员，定义访客类型和位置权限，以及设置与创建和管理访客帐户相关的权限。

禁用发起人组 (Disable Sponsor Group) - 禁止此发起人组的成员访问发起人门户。

例如，您可能希望在管理门户中进行配置更改时暂时阻止发起人登录到发起人门户。或者，您可能希望禁用不频繁活动（例如，年度会议的发起访客）中涉及的发起人组，直至其需要再次激活。
发起人组名称 (Sponsor group name) - 输入唯一名称（1 至 256 个字符）。
Description
— 包含有用信息（最多 2000 个字符），例如此发起人组使用的访客类型。
成员 (Members)—点击显示选择发起人组成员 (Select Sponsor Group Members) 复选框，您可在其中选择可用的用户身份组（从内部和外部身份存储中选择）并将其添加为此发起人组的成员。
发起人组成员 (Sponsor Group Members) - 搜索和筛选所选发起人组的列表，并删除不希望包含的任意组。
此发起人组可以使用这些访客类型创建帐户 (This sponsor group can create accounts using these guest types) - 指定此发起人组的成员在创建访客帐户时可以使用的访客类型。要启用发起人组，该发起人组必须具有至少一个可使用的访客类型。

如果您仅向此发起人组分配一个访客类型，则可以选择不在发起人门户中显示该访客类型，因为它是可供使用的唯一访客类型。依次选择访客访问权限 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portal) > 页面自定义 (Page Customization) > 创建帐户 (Create Accounts) > 访客类型 (Guest Types) > 设置 (Settings)。选中 Hide guest type if only one is available to sponsor 复选框可启用此选项。
配置访客类型 (Configure Guest Types)
—如果您需要的访客类型不可用，请依次点击访客访问权限 (Guest Access) > 配置 (Configure) > 访客类型 (Guest Types) 并创建新访客类型或编辑现有访客类型。
选择访客将访问的位置 (Select the locations that guests will be visiting) - 选择不同的位置，此组的发起人在创建访客帐户时可将这些位置分配给访客。这可帮助定义这些访客帐户的有效时区，并且指定适用于访客的所有时间参数，如有效访问时间等。这不会阻止访客从其他位置连接到网络。

要启用发起人组，该发起人组必须具有至少一个可使用的位置。

如果仅向此发起人组分配一个位置，则该位置将是其成员创建的访客帐户的唯一有效时区。默认情况下，该位置不会显示在发起人门户中。

发起人可以创建

分配给特定访客的多个访客帐户（导入）- 允许发起人通过从文件中导入访客详细信息（例如名字和姓氏）创建多个访客帐户。

如果启用此选项，则导入 (Import) 按钮将显示在发起人门户的创建帐户 (Create Accounts) 页面中。Import 选项仅在桌面浏览器（而非移动）上可用，例如 Internet Explorer、Firefox、Safari 等。
批处理帐户帐户数限制 - 如果允许此发起人组同时创建多个帐户，指定在单个导入操作中可以创建的访客帐户数。

虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。
分配给任意访客的多个访客帐户（随机）(Multiple guest accounts to be assigned to any guests (Random)) - 允许发起人为尚且未知的访客以占位符形式创建多个随机访客帐户，或快速创建多个帐户。

如果启用此选项，则随机 (Random) 按钮将显示在发起人门户的创建帐户 (Create Accounts) 页面中。
默认用户名前缀 - 指定发起人在创建多个随机访客帐户时可以使用的用户名前缀。如果指定，则在创建随机访客帐户时，发起人门户中会出现此前缀。此外，如果 Allow sponsor to specify a username prefix 的状态为：
- 已启用 - 发起人可以在发起人门户中编辑默认前缀。
- 未启用 - 发起人无法在发起人门户中编辑默认前缀。
如果您不指定用户名前缀或者不允许发起人指定用户名前缀，则发起人将无法在发起人门户中分配用户名前缀。
允许发起人指定用户名前缀 - 如果允许此发起人组同时创建多个帐户，指定在单个导入操作中可以创建的访客帐户数。

虽然发起人可以创建最多 10000 个帐户，但是由于潜在的性能问题，我们建议您限制创建的帐户数。
开始日期不能超过未来 __ 天 - 启用并指定天数，而且在此期间，发起人需为其所创建的多个访客帐户设置开始日期。

发起人可以管理

仅发起人创建的帐户 (Only accounts sponsor has created) - 此组中的发起人只能根据发起人的邮件帐户，查看和管理他们创建的访客帐户。
此发起人组的成员创建的帐户 (Accounts created by members of this sponsor group) - 此组中的发起人可查看和管理此发起人组中任意发起人创建的访客帐户。
所有访客帐户 (All guest accounts) - 发起人查看并管理所有待处理访客帐户。

注	无论组成员身份如何，所有发起人都可以查看所有待处理的帐户，除非您选中发起人可以 (Sponsor Can) 下面批准并查看自注册访客的请求 (Approve and view requests from self-registering guests) 的仅分配给此发起人的待处理帐户 (Only pending accounts assigned to this sponsor) 选项。

发起人可以

查看访客的密码 - 对于他们可以管理的访客帐户，允许发起人查看密码。

如果访客密码已更改，则发起人无法再查看；除非发起人将其重置为由思科 ISE 生成的随机密码。

注	如果此选项针对某个发起人组禁用，则该组的成员无法向他们管理的访客帐户发送关于登录凭证（访客密码）的电子邮件和 SMS 通知。

重置访客帐户密码 - 对于他们可以管理的访客帐户，允许发起人将访客的密码重置为由思科 ISE 生成的随机密码。
延长访客帐户有效期 - 对于他们可以管理的访客帐户，允许发起人将其延长至到期日期之后。发起人自动复制到发送给访客的、有关帐户到期的邮件通知上。
发送含访客凭证的 SMS 通知 - 对于他们可以管理的访客帐户，允许发起人向访客发送包含其帐户详细信息和登录凭证的 SMS（文本）通知。
删除访客帐户 (Delete guests’ accounts) - 对于他们可以管理的访客帐户，允许发起人删除帐户并阻止访客访问您公司的网络。
暂停访客帐户 - 对于他们可以管理的访客帐户，允许发起人暂停其帐户，以阻止访客临时登录。

此操作还会发出授权变更 (CoA) 终止，以从网络中删除暂停的访客。
要求发起人提供原因 (Require sponsor to provide a reason) - 要求发起人提供暂停访客帐户的原因。
恢复访客的密码 - 对于他们可以管理的访客帐户，允许发起人恢复暂停的帐户。
批准自注册访客的请求 - 对于他们可以管理的访客帐户，允许发起人在收到请求其批准的邮件时批准自注册的访客。
批准并查看自注册访客的请求 (Approve and view requests from self-registering guests) - 此发起人组中的发起人可以查看自注册访客的所有待处理帐户请求（待审批），或仅在用户（作为被访问人）输入发起人邮箱地址时的请求。此功能要求选中自注册访客使用的门户中的要求自注册访客需获得批准 (Require self-registered guests to be approved)，而且列有发起人（作为联系人）的电子邮件。
使用编程接口（访客 REST API）访问思科 ISE 访客帐户 - 对于他们可以管理的访客帐户，允许发起人使用访客 REST API 编程接口访问访客帐户。

最终用户门户

思科 ISE 为三类主要最终用户提供基于 Web 的门户：

需要使用访客门户（热点和有凭证访客门户）临时访问企业网络的访客。
被指定为发起人，可以使用 Sponsor 门户创建和管理访客帐户的员工。
使用各种非访客门户（例如 Bring Your Own Device (BYOD) 门户、Mobile Device Management (MDM) 门户和 My Devices 门户）在企业网络上使用其个人设备的员工。

自定义最终用户 Web 门户

您可以编辑、复制和创建更多门户。您也可以完全自定义门户外观以及门户体验。您可以单独自定义每个门户，而不影响其他门户。

您可以自定义门户界面的各个要素，这些自定义设置可以适用于整个门户，也可以适用于门户的特定页面，例如：

主题、图像、颜色、横幅和页脚
用于显示门户文本、错误消息和通知的语言
标题、内容、说明以及字段和按钮标签
通过邮件、SMS 和打印机发送给访客的通知（仅适用于自行注册访客门户和发起人门户）
显示给用户的错误消息和信息性消息
对于自注册访客和发起人门户，可以创建自定义字段以搜集特定于您的需求的访客信息

自定义门户页面布局显示门户页面上可自定义的各个区域。 — 图 3. 自定义门户页面布局

自定义方法

自定义最终用户门户页面的方法有多种，各自需要不同的知识水平。

基本：您可以修改门户“自定义”页面：
- 上传条幅和徽标
- 更改某些颜色（按钮除外）
- 更改屏幕上的文本以及整个门户上使用的语言

中级

使用迷你编辑器添加 HTML 和 Javascript

注	要在迷你编辑器中输入 HTML，需要先单击 HTML 图标。

使用 jQuery 移动主题滚动条可更改所有页面元素的颜色

高级
- 手动修改属性和 CSS 文件。

自定义门户后，可以通过复制该门户来创建（相同类型的）多个门户。例如，如果已为一家商业实体自定义热点访客门户，则可以复制此门户，稍作更改，为其他商业实体创建自定义热点访客门户。

使用迷你编辑器自定义门户的技巧

迷你编辑器框中的长字词可能会滚动出门户的屏幕区域。可以使用 HTML 段落属性 style="word-wrap: break-word" 中断行。例如：
```
 <p style="word-wrap:break-word">
 thisisaverylonglineoftextthatwillexceedthewidthoftheplacethatyouwanttoputitsousethisstructure
 </p>
```
使用 HTML 或 javascript 自定义门户页面时，应确保使用有效的语法。思科 ISE 不会验证输入迷你编辑器的标签和代码。无效语法有可能在门户流程中造成问题。

门户内容类型

思科 ISE 提供一组默认门户主题，您可以“按原样”使用或使用现有 CSS 文件作为模型进行自定义，以创建新的自定义文件。但是，可以在不使用自定义 CSS 文件的情况下修改门户的外观。

例如，如果想要使用唯一的公司徽标和横幅图像，只需上传和使用这些新的图像文件。可以通过更改门户的不同元素和区域的颜色来自定义默认配色方案。甚至可以选择在进行自定义更改时查看更改所要使用的语言。

当设计要替换徽标和横幅的图像时，尽可能让图像接近以下像素大小：


横幅	1724 X 133
桌面徽标	86 X 45
移动徽标	80 X 35

请注意，ISE 会调整图像的大小以适合门户，但过小的图像在调整大小之后可能无法正确显示。

要执行高级自定义，如更改页面布局或在门户页面上添加视频剪辑或广告，可以使用自定义 CSS 文件。

在特定门户内，这些类型的更改会全局应用到该门户的所有页面。对页面布局的更改可以全局应用或只应用到门户中的某个特定页面。

门户页面标题、内容和标签

您可以自定义标题、文本框、说明、字段与按钮标签，以及访客在最终用户 Web 门户页面上查看的其他可视元素。在自定义页面时，甚至可以动态编辑页面设置。

这些更改只适用于您所自定义的特定页面。

门户的基本自定义

选择最适合您的需求的预定义主题，并使用其大多数默认设置。然后，您可以执行基本的自定义，例如：

修改门户主题颜色
更改门户图标、图像和徽标
更新门户的横幅和页脚元素
更改门户显示语言
更改标题、说明、按钮和标签文本
格式和样式文本框内容

提示	当您进行更新时，您可以查看您的自定义。

修改门户主题颜色

可以自定义默认门户主题中的默认配色方案，并更改门户的不同元素和区域的颜色。这些更改将应用于您自定义的所有门户。

如果计划更改门户颜色，请注意以下事项：

无法使用此选项更改可能已导入用于此门户的任何自定义门户主题中的配色方案。必须编辑自定义主题 CSS 文件才能更改其颜色设置。
更改门户主题中的颜色之后，如果从 Portal Theme 下拉菜单中选择其他门户主题，则原始门户主题中的更改将丢失，颜色将恢复到其默认颜色。
如果使用已修改的配色方案调整门户主题的颜色，然后在保存方案前重置其颜色，则配色方案将恢复到其默认颜色，且之前所做的所有修改都将丢失。

过程

步骤 1	导航至以下门户：对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	从 Portal Theme 下拉列表选择一个默认主题。
步骤 3	点击 Tweaks 以覆盖选定默认门户主题中的某些颜色设置。更改横幅和页面背景、文本和标签的颜色设置。如果要恢复到主题的默认配色方案，请点击 Reset Colors。如果要在 Preview 中查看颜色更改，请点击 OK。
步骤 4	点击保存 (Save)。

更改门户显示语言

您可以选择您想要用于查看您所做的自定义更改的语言。此更改适用于您所自定义的整个门户。

过程

步骤 1

导航至以下门户：

对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 全局自定义 (Global Customization)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 全局自定义 (Global Customization)。

步骤 2

从 View In 下拉列表选择您想要用于在自定义页面时查看文本的语言。

此下拉列表包含与特定门户关联的语言文件中的所有语言。

下一步做什么

确保将您在自定义门户页面期间以所选语言所做的任何更改都更新至所支持的语言属性文件中。

更改门户图标、图像和徽标

如果要使用唯一的公司徽标、图标和横幅图像，只需通过上传自定义图像即可替换现有图像。支持的图像格式包括：.gif、.jpg、.jpeg 和 .png。这些更改将应用于您自定义的所有门户。

开始之前

要在门户的页脚（例如，广告）中包含图像，应该能够访问具有这些图像的外部服务器。

过程

步骤 1

导航至以下门户：

对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，选择访客访问 (Guest Access) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在 Images 下方，点击任意徽标、图标和图像按钮，然后上传自定义图像。

步骤 3

点击保存 (Save)。

更新门户的横幅和页脚元素

您可以自定义门户各页面中横幅和页脚部分所显示信息。这些更改将应用于您自定义的所有门户。

过程

步骤 1	导航至以下门户：对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	更改显示在各门户页面中的横幅标题 (Banner title)。
步骤 3	包括这些使用门户的访客链接：帮助 (Help) - 在线帮助（仅提供给发起人和我的设备门户）。联系方式 (Contact) - 技术支持（设置支持信息页面以启用它）。
步骤 4	在各门户页面上显示的页角元素 (Footer Elements) 中添加免责声明或版权声明。
步骤 5	点击保存 (Save)。

更改标题、说明、按钮和标签文本

您可以更新门户中显示的所有文本。您所自定义的页面上的每个 UI 元素对于您可以输入的字符数都有最高和最低范围限制。有些文本块提供小型编辑器，你可以使用此编辑器将视觉风格应用于相应文本。这些更改只适用于您自定义的特定门户页面。这些页面元素对于邮件、SMS 和打印通知是不同的。

过程

步骤 1

导航至以下门户：

对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在 Pages 下，选择您想要更改的页面。

步骤 3

在 Page Customizations 下，更新任何显示的 UI 元素。所有页面均包含浏览器页面标题 (Browser Page Title)、内容标题 (Content Title)、说明文本 (Instructional Text)、内容 (Content) 和两个可选内容 (Optional Content) 文本块。Content 区域的字段是特定于各页面的。

格式和样式文本框内容

使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 文本框中可用的小型编辑器对文本执行基本格式处理。这些更改仅用于您自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 按钮可在使用文本框时缩放其大小。

过程

步骤 1

导航至以下门户：

对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在 Pages 下，选择您想要更改的页面。

步骤 3

在页面自定义 (Page Customizations) 下，在说明文本 (Instructional Text) 和可选文本 (Optional Content) 文本块中，您可以执行以下操作：

更改文本的字体、大小和颜色。
将文本样式设置为粗体、斜体或带下划线。
创建带项目符号和编号的列表。

注	您可以使用切换 HTML 源 (Toggle HTML Source) 按钮查看应用于您使用小型编辑器进行格式设置的文本的 HTML 标记。如果在 HTML 源 (HTML Source) 视图中编辑文本，请再次单击切换 HTML 源 (Toggle HTML Source) 按钮，然后再在门户页面自定义 (Portal Page Customization) 窗口中保存所做更改。

用于门户页面自定义的变量

这些门户页面文本框的导航路径为：

对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。

为门户内容和访客通知创建模板时，请使用这些变量，从而确保向门户用户（访客、发起人和员工）显示的信息的一致性。对每个门户，请使用此处列出的变量名称替换说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 文本框中的文本。

表 1. 访客门户的变量列表
显示名称	用以下变量名称替换
Access code 用于以电子邮件、文本或打印通知的形式向访客提供访问代码。	ui_access_code
BYOD IOS SSID 用于指定在双 SSID 流程中完成自行激活之后设备应该连接的网络。	ui_byod_success_ios_ssid
Client Provisioning Agent Type 用于指定客户端调配策略中当前配置的代理。	ui_client_provision_agent_type
Client Provisioning Agent URL 用于指定安全评估代理的下载 URL。	ui_client_provision_agent_url
Client Provisioning agent install minutes 用于向访客通知其必须在多长时间内（由补救计时器设置）按照客户端调配 (Client Provisioning) 窗口上的说明完成安装。如果访客未在计时结束前按照说明完成安装，就必须刷新浏览器页面并再次执行登录过程。	ui_client_provision_install_agent_mins
Company	ui_company
Email address	ui_email_address
End date and time	ui_end_date_time
First name	ui_first_name
Last name	ui_last_name
Location name	ui_location_name
Maximum registered devices	ui_max_reg_devices
Maximum simultaneous logins	ui_max_siml_login
Password	ui_password
Person being visited (email)	ui_person_visited
Phone number	ui_phone_number
Reason for visit	ui_reason_visit
SMS Provider	ui_sms_provider
SSID 用于指定访客可用于连接网络的无线网络。	ui_ssid
Start date and time	ui_start_date_time
Time left	ui_time_left
Username	ui_user_name

表 2. 发起人门户的变量列表
显示名称	用以下变量名称替换
Guest - Company	ui_guest_company
Guest - Email address	ui_guest_email_address
Guest - End date and time	ui_guest_end_date_time
Guest - First name	ui_guest_first_name
Guest - Last name	ui_guest_last_name
Guest - Location name	ui_guest_location_name
Guest - Maximum registered devices	ui_guest_max_reg_devices
Guest - Maximum simultaneous logins	ui_guest_max_siml_login
Guest - Password	ui_guest_password
Guest - Person being visited (email)	ui_guest_person_visited
Guest - Phone number	ui_guest_phone_number
Guest - Reason for visit	ui_guest_reason_visit
Guest - SMS Provider	ui_guest_sms_provider
Guest - SSID 用于指定访客可用于连接网络的无线网络。	ui_guest_ssid
Guest - Start date and time	ui_guest_start_date_time
Guest - Time left	ui_guest_time_left
Guest - Username	ui_guest_user_name
Username 用于指定登录门户的用户的用户名。	ui_sponsor_user_name

表 3. MDM 门户的变量列表
显示名称	用以下变量名称替换
MDM - Vendor Name	ui_mdm_vendor_name

表 4. My Devices 门户的变量列表
显示名称	用以下变量名称替换
MyDevices - Login Failure Rate Limit	$user_login_failure_rate_limit$
MyDevices - Max Devices to Register	ui_max_register_devices
MyDevices - User Name 用于指定登录门户的用户的用户名。	$session_username$

查看您的自定义

您可以查看自己的自定义向门户用户（访客、发起人或员工）的显示方式。

过程

步骤 1

点击 Portal test URL 查看您做出的更改。

步骤 2

（可选）点击预览 (Preview) 以动态查看所做的更改如何出现在各类设备上：

移动设备：在预览 (Preview) 下查看做出的更改。
桌面设备：单击预览 (Preview) 并单击桌面预览 (Desktop Preview)。

如果没有显示更改，请点击 Refresh Preview。所显示的门户仅用于查看您做出的更改；您无法点击按钮或输入数据。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

门户的高级自定义

如果不想使用思科 ISE 提供的任一默认门户主题，您可以对门户进行自定义来满足您的需求。为此，您必须熟悉使用 CSS 和 JavaScript 文件以及 jQuery Mobile ThemeRoller 应用。

您不能修改默认门户主题，但可以执行以下操作：

导出门户的默认主题 CSS 文件，将其用作创建自定义门户主题的基础。
创建自定义门户主题 CSS 文件，方法是编辑默认门户主题并将其另存为新文件。
导入自定义门户主题 CSS 文件，并将其应用于门户。

基于您的专业知识程度和具体要求，您可执行各种高级自定义。您可以使用预定义变量来实现显示信息的一致性，在门户页面上添加广告，使用 HTML、CSS 和 Javascript 代码来自定义您的内容，以及修改门户页面布局。

您可以通过将 HMTL、CSS 和 javascript 添加到每个门户的门户页面定制 (Portal Page Customization) 选项卡上的内容框中来修改门户。本文档提供使用 HTML 和 CSS 进行定制的示例。使用 javascript 定制的示例位于此处的 ISE 社区：http://cs.co/ise-community。更多 HTML、CSS 和 Javascript 示例位于此处的 ISE 社区：https://community.cisco.com/t5/security-documents/how-to-ise-web-portal-customization-options/ta-p/3619042。

注	TAC 不支持思科 ISE 门户的 Javascript 定制。如果您在使用 Javascript 定制时遇到问题，请将您的问题发布到 ISE 社区 https://community.cisco.com/t5/identity-services-engine-ise/bd-p/5301j-disc-ise。

启用高级门户自定义

思科 ISE 可以让您自定义最终用户门户上显示的内容。在门户页面自定义 (Portal Page Customization) 下列出的不同页面上的文本框中输入 HTML、CSS 和 Javascript 代码。

过程

步骤 1	选择管理 (Administration) > 系统 (System) > 管理员访问权限 (Admin Access) > 设置 (Settings) > 门户定制 (Portal Customization)。
步骤 2	验证在默认情况下是否已选中 Enable portal customization with HTML。此设置可以让您在说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段中包含 HTML 标签。
步骤 3	选中启用 HTML 和 JavaScript 门户自定义 (Enable portal customization with HTML and Javascript) 后，可以通过包含以下字段进行高级 JavaScript 自定义： <script> tags in the 说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段。

门户的主题和结构 CSS 文件

如果您具有使用 CSS 文件方面的经验，则可以自定义默认门户主题 CSS 文件以修改门户演示和操作页面布局、颜色和字体等元素。自定义 CSS 文件使您在指定演示特征时能够灵活控制，从而使您能够在多个页面上共享格式，并降低结构内容的复杂性和重复性。

思科 ISE 最终用户门户使用两种不同类型的 CSS 文件：structure.css 和 theme.css。每个门户主题都有其自己的 theme.css 文件，但每个门户类型只有一个 structure.css 文件；例如，适用于访客门户的 guest.structure.css、适用于发起人门户的 sponsor.structure.css，以及适用于我的设备门户的 mydevices.structure.css。

structure.css 为页面布局和结构提供样式。它定义每个页面上的元素的定位，并且包括 jQuery Mobile 结构样式。只可以查看 structure.css 文件，但不能进行编辑。但是，当更改 theme.css 文件中的页面布局时，请将这些文件导入门户，并进行应用，最新更改将优先于 structure.css 样式。

theme.css 文件指定字体、按钮颜色和标题背景等样式。您可以导出 theme.css 文件，更改主题设置，然后导入这些设置，用作门户的自定义主题。对 theme.css 文件所做的所有页面布局样式更改都将优先于在 structure.css 文件中定义的样式。

无法修改任何思科提供的默认门户 theme.css 文件。但是，可以编辑文件中的设置并将这些设置保存到新的自定义 theme.csstheme.css 文件。可以对自定义 theme.css 文件进行进一步编辑，但将其导入回思科 ISE 时，记得要使用与最初所用主题名称相同的名称。无法将两个不同的主题名称用于同一个 theme.css 文件。

例如，可以使用默认的 green theme.css 文件创建新的自定义 blue theme.css 文件并将该文件命名为 Blue。之后，可以编辑 blue theme.css 文件，但是当您再次导入此文件时，必须重新使用 Blue 主题名称。不能将其命名为 Red，因为思科 ISE 会检查文件名与其名称之间的关系，以及主题名称的唯一性。但是，可以编辑 blue theme.css 文件，将其另存为 red theme.css，导入新文件，然后将其命名为 Red。

使用 jQuery Mobile 更改主题颜色

思科最终用户门户的颜色主题与 jQuery ThemeRoller 兼容。您可以使用 ThemeRoller 网站轻松编辑整个门户的颜色。

ThemeRoller 颜色“样本”包含一个独特的颜色主题，用于定义主要 UI 元素（例如工具栏、内容块、按钮、列表项和字体文本阴影）的颜色、底纹和字体设置。颜色主题还定义按钮各种交互状态设置：正常、悬停和按下。

思科使用三种样本：

样本 A - 默认样本。
样本 B - 定义着重强调的元素，例如 Accept 按钮。
样本 C - 定义关键元素，例如警告、错误消息、无效输入字段和删除按钮。

您无法应用其他样本，除非您添加包含使用新增样本的元素的 HTML 代码（例如添加至 Optional Content 中）。

要编辑思科提供的默认 CSS 文件或创建基于默认主题中定义的 CSS 类和结构的新文件，请使用规定版本的 jQuery Mobile ThemeRoller（1.3.2 版本）。

有关 jQuery Mobile ThemeRoller 中样本和主题的更多信息，请参阅使用 ThemeRoller 创建自定义主题中的“创建主题概述”。请使用 jQuery Mobile ThemeRoller 在线帮助了解如何下载、导入和共享您的自定义主题。

有关如何使用 HTML、CSS 和 Javascript 代码自定义在门户页面上显示的文本和内容的教程，请访问 CodeAcademy。

显示思科样本的主题示例

为了演示如何使用样本，我们在 ThemeRoller 中编辑了用于访客门户的默认主题以显示颜色差异。

以下屏幕显示访客门户登录错误（样本 C）以及要求用户操作的按钮（样本 B），屏幕的其余部分为样本 A。

使用 jQuery Mobile 更改主题颜色

开始之前

确保您使用的是 1.3.2 版本的 jQuery Mobile ThemeRoller。屏幕左上角会显示您所使用的版本，如下所示。

过程

步骤 1	在门户上点击配置 (Configuration) 选项卡，从门户中导出您想要更改的现有主题。
步骤 2	选择高级定制 (Advanced Customization) > 导出/导入主题 (Export/Import Themes)。
步骤 3	在自定义主题 (Custom Theming) 对话框中，导出您要更新的主题。
步骤 4	在文本编辑器中打开该主题，全选并复制。
步骤 5	将该文本 (CSS) 粘贴到 jQuery 网站的导入主题 (Import Theme) 字段。
步骤 6	在 jQuery Mobil Web 版应用中执行更改。
步骤 7	从 jQuery 网站导出更新的主题（导出格式为 ZIP）。
步骤 8	解压缩更新的主题，从主题文件夹中将更新的主题提取至您的 PC。主题名称即您在 jQuery 网站提供的名称。
步骤 9	在门户配置页面的自定义主题 (Custom Theming) 对话框中将提取的 CSS 主题文件导入您的门户。您可以点击门户配置 (Portal Configuration) 窗口上的门户主题 (Portal Theme) 下拉列表，在新旧主题之间来回切换。

基于位置的自定义

创建访客帐户后，您可以将其与某个位置关联并指定服务集标识符 (SSID) 属性。位置和 SSID 均可用作 CSS 类，您可以将 CSS 类用于根据访客的位置和 SSID 向门户页面应用不同的 CSS 样式。

例如：

访客位置 - 当使用 San Jose 或 Boston 作为位置的帐户的用户登录需要提供凭证的访客门户时，以下一个类可用于每个门户页面：guest-location-san-jose 或 guest-location-boston。
访客 SSID - 对于名称为 Coffee Shop Wireless 的 SSID，以下 CSS 类可用于每个门户页面：guest-ssid-coffee-shop-wireless。此 SSID 是您在访客帐户上指定的 SSID，而不是访客在登录时连接的 SSID。

注	此信息仅适用于需要提供凭证的访客门户（在访客登录之后）。

当您向网络添加交换机和无线 LAN 控制器 (WLC) 等设备时，也可以指定位置。此位置还可用作根据网络设备的位置向门户页面应用不同 CSS 样式的 CSS 类。

例如，如果向 Seattle 分配 WLC 并且访客从 Seattle-WLC 重定向至思科 ISE，以下 CSS 类可用于每个门户页面：device-location-my-locations-usa-seattle。

基于用户设备类型的自定义

思科 ISE 会检测用来访问公司网络或最终用户 Web 门户（访客、发起人和设备）的客户端设备类型（访客、发起人或员工）。它会被检测为移动设备（Android、iOS 等）或桌面设备（Windows、MacOS 等）。设备类型可作为 CSS 类，您可以根据用户的设备类型，使用该类将不同的 CSS 样式应用到门户页面。

当用户登录任何思科 ISE 最终用户 Web 门户时，门户页面上提供以下类：cisco-ise-mobile 或 cisco-ise-desktop。

导出门户的默认主题 CSS 文件

您可以下载思科提供的默认门户主题并按照您的需求进行自定义。您可以将其用做执行高级自定义的基础。

过程

步骤 1	导航至以下门户：对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
步骤 2	从高级自定义 (Advanced Customization) 下拉列表中，选择导出/导入主题 (Export/Import Themes)。
步骤 3	在自定义主题 (Custom Theming) 对话框中，使用下拉菜单选择您想要自定义的主题。
步骤 4	点击导出主题 CSS (Export Theme CSS) 以下载默认 `theme.css` 文件进行自定义。
步骤 5	点击保存 (Save) 将文件保存至您的桌面。

创建自定义门户主题 CSS 文件

通过自定义现有默认门户主题和在新门户 theme.css 文件中保存更改，可以创建自定义门户主题。可以修改默认主题设置和样本，对选中的门户进行全局更改。

开始之前

将 theme.css 文件从想要自定义的门户下载到桌面。
此任务需要拥有使用 HTML、CSS 和 Javascript 代码的经验。
使用 jQuery Mobile ThemeRoller 版本 1.3.2

过程

步骤 1

将已下载的门户 theme.css 文件内容导入 jQuery Mobile ThemeRoller 工具。

提示	做出更改时，您可以查看您的自定义。

步骤 2

(可选) 在门户内容中嵌入链接

步骤 3

(可选) 插入动态文本更新的变量

步骤 4

(可选) 使用源代码设置文本格式和包含链接

步骤 5

(可选) 将图像添加为广告

步骤 6

(可选) 根据访客位置自定义问候语

步骤 7

(可选) 根据用户设备类型自定义问候语

步骤 8

(可选) 设置轮播广告

步骤 9

(可选) 修改门户页面布局

步骤 10

将自定义文件另存为新的 theme.css 文件。

注	不能将编辑保存到默认 CSS 主题文件。只能使用已进行的任何编辑创建新的自定义文件。

步骤 11

当新 theme.css 文件就绪时，可以将其导入思科 ISE。

在门户内容中嵌入链接

您可以添加链接以使访客可以从门户页面访问各种网站。这些更改仅用于您进行自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航至以下门户：对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在页面 (Pages) 下，选择想要更新的页面。
步骤 3	在页面自定义 (Page Customizations) 下，使用带有可选内容 (Optional Content) 文本块的小型编辑器向门户页面添加链接。
步骤 4	点击创建链接 (Create Link) 按钮。此时将显示链接属性 (Link Properties) 对话框。
步骤 5	输入 URL 并且在 URL 的描述 (Description) 窗口输入您要添加超链接的文本。为使链接正常工作，URL 中应包括协议标识符。例如使用 http://www.cisco.com 而不是 www.cisco.com。
步骤 6	点击设置 (Set)，然后点击保存 (Save)。可以使用切换 HTML 源 (Toggle HTML Source) 选项查看应用于您使用小型编辑器进行格式设置的文本的 HTML 标记。

插入动态文本更新的变量

通过替代动态更新内容的预定义变量 ($variable$)，您可以为显示在门户的文本创建模板。这可以使向访客显示的文本和信息保持一致。这些更改仅用于您自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航至以下门户：对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在 Pages 下，选择要更新的页面。
步骤 3	在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器创建门户页面的文本模板。例如，您可以为多个访客创建一个欢迎消息模板，但只有在访客成功登录并连接到网络之后才能看到个性化设置的消息。
步骤 4	像往常一样在字段中输入信息。例如，您可以为您的门户输入一条欢迎消息： `Welcome to our company’s Guest portal,`
步骤 5	如果要用变量替代文本，请点击插入变量 (Insert Variable)。变量列表将显示在弹出菜单中。
步骤 6	选择用于替代文本的变量。例如，选择名字 (First name) 以在欢迎消息中显示每位访客的名字。变量 $ui_first_name$ 插入到光标位置： `Welcome to our company’s Guest portal,$ui_first_name$.` 此欢迎消息会出现在名叫 John 的访客的门户欢迎页面上： Johen，欢迎访问我们公司的访客门户。
步骤 7	根据需要继续使用变量列表，直到您在文本框中完成信息输入。
步骤 8	点击 Save。可以使用切换 HTML 源 (Toggle HTML Source) 选项查看应用于您使用小型编辑器进行格式设置的文本的 HTML 标记。

使用源代码设置文本格式和包含链接

除了可以将小型编辑器的格式设置和链接图标用于纯文本，您还可以使用 HTML、CSS 和 Javascript 代码来自定义在门户页面上显示的文本。这些更改仅用于您自定义的特定门户页面。

使用切换全屏 (Toggle Full Screen) 选项可在使用文本框时缩放其大小。

开始之前

确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1

导航至以下门户：

对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在页面 (Pages) 下，选择想要更新的页面。

步骤 3

在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器输入和查看源代码。

步骤 4

点击切换 HTML 源 (Toggle HTML Source)。

步骤 5

输入您的源代码。

例如，要为文本添加下划线，请输入：

<p style="text-decoration:underline;">Welcome to Cisco!</p>

例如，要使用 HTML 代码加入一个链接，请输入：

<a href="http://www.cisco.com">Cisco</a>

重要	当在 HTML 代码中插入外部 URL 时，确保您输入的是包括“http”或“https”的绝对（完整）URL 路径。

步骤 6

点击保存 (Save)。

将图像添加为广告

您可以加入要在门户页面的特定区域中显示的图像和广告。

使用切换全屏 (Toggle Full Screen) 选项可在使用文本框时缩放其大小。

开始之前

确保在管理 > 系统 > 管理访问 > 设置 > 门户自定义中启用启用 HTML 的门户自定义。

过程

步骤 1

导航至以下门户：

对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在页面 (Pages) 下，选择想要更新的页面。

步骤 3

在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器输入和查看源代码。

步骤 4

点击切换 HTML 源 (Toggle HTML Source)。

步骤 5

输入您的源代码。

例如，要使用 HTML 代码在热点访客门户访问后横幅上加入产品广告及其图像，请在 Post-Access Banner 页面上的 Optional Content 1 文本框中输入此代码：

<p style="text-decoration:underline;">Optimized for 10/40/100 Campus Services!</p>
<img  src="http://www.static-cisco.com/assets/prod/root/catalyst_6800.jpg" width="100%" />

注	当在 HTML 代码中插入外部 URL 时，确保您输入的是包括“http”或“https”的绝对（完整）URL 路径。

步骤 6

点击保存 (Save)。

设置轮播广告

轮播广告是一种广告格式，在一个横幅内显示多个产品图像和文本说明并且重复循环播放。在您的访客门户上使用轮播广告以推广多个相关产品或您公司提供的各种不同产品。

使用切换全屏 (Toggle Full Screen) 选项可在使用文本框时缩放其大小。

开始之前

选择管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization)，然后选中通过 HTML 和 Javascript 启用门户自定义 (Enable portal customization with HTML and Javascript)。

过程

步骤 1

导航至以下门户：

对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。

步骤 2

在页面 (Pages) 下，选择想要更新的页面。

步骤 3

在页面定制 (Page Customizations) 下，使用说明文本 (Instructional Text)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段随附的小型编辑器输入和查看源代码。

步骤 4

点击切换 HTML 源 (Toggle HTML Source)。

步骤 5

输入您的源代码。

例如，要在访客门户上使用产品图像实施轮播广告，请在访问后横幅 (Post-Access Banner)（对于热点门户）或登录后横幅 (Post Login Banner) 窗口（对于需要提供凭证的访客门户）可选内容 1 (Optional Content 1) 字段中输入以下 HTML 和 Javascript 代码：


<script>
var currentIndex = 0;
setInterval(changeBanner, 5000);

function changeBanner(){
var bannersArray = ["<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq/
n21v1DrawerContainer.img.jpg/1379452035953.jpg' width='100%'/>", 
"<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq_0/
n21v1DrawerContainer.img.jpg/1400748629549.jpg' width='100%' />", 
"<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/
content_parsys/overview/layout-overview/gd12v2/gd12v2-left/n21v1_cq_1/
n21v1DrawerContainer.img.jpg/1376556883237.jpg' width='100%'/>"  

];
  var div = document.getElementById("image-ads");
  if(div){
     currentIndex = (currentIndex<2) ? (currentIndex+1) : 0;
      div.innerHTML = bannersArray[currentIndex];
   }
}
</script>
<style>
.grey{
color: black;
background-color: lightgrey;
}
</style>
<div class="grey" id="image-ads">
<img src='http://www.cisco.com/c/en/us/products/routers/index/_jcr_content/ content_parsys/overview/layout- overview/gd12v2/gd12v2-left/n21v1_cq/ n21v1DrawerContainer.img.jpg/1379452035953.jpg'/>
</div>

例如，要在访客门户上使用文本产品说明实施轮播广告，请在访问后横幅 (Post-Access Banner)（对于热点门户）或登录后横幅 (Post Login Banner) 窗口（对于需要提供凭证的访客门户）可选内容 2 (Optional Content 2) 字段中输入以下 HTML 和 Javascript 代码：


<script>
var currentIndex = 0;
setInterval(changeBanner, 2000);

function changeBanner(){
var bannersArray = ["Optimize branch services on a single platform while delivering an optimal 
application experience across branch and WAN infrastructure", "Transform your Network Edge to 
deliver high-performance, highly secure, and reliable services to unite campus, data center, 
and branch networks",  "Differentiate your service portfolio and increase revenues by delivering 
end-to-end scalable solutions and subscriber-aware services"];

var colorsArray = ["grey", "blue",  "green"];
  var div = document.getElementById("text-ads");
  if(div){
     currentIndex = (currentIndex<2) ? (currentIndex+1) : 0;
      div.innerHTML = bannersArray[currentIndex];
               div.className = colorsArray[currentIndex];
   }
}
</script>
<style>
.grey{
color: black;
background-color: lightgrey;
}
.blue{
color: black;
background-color: lightblue;
}
.green{
color: black;
background-color: lightgreen;
}
</style>
<div class="grey" id="text-ads">
Optimize branch services on a single platform while delivering an optimal application 
experience across branch and WAN infrastructure
</div>

注	当在 HTML 代码中插入外部 URL 时，您不需输入绝对（完整）URL 路径，包括“http”或“https”。

步骤 6

点击保存 (Save)。

根据访客位置自定义问候语

此示例显示如何根据访客类型中配置的位置，自定义访客在登录需要提供凭证的访客门户（不是热点）后所看到的登录成功的消息。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航到这些门户之一：对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在页面 (Pages)中，点击身份验证成功 (Authentication Success)。
步骤 3	在页面自定义 (Page Customizations) 下，使用可选内容 1 (Optional Content 1) 字段随附的小型编辑器输入和查看 HTML 源代码。
步骤 4	点击切换 HTML 源 (Toggle HTML Source)。
步骤 5	输入您的源代码。例如，要包含基于位置的问候语，在目录选项 1 (Optional Content 1) 中键入此代码︰ `<style> .custom-greeting { display: none; } .guest-location-san-jose .custom-san-jose-greeting { display: block; } .guest-location-boston .custom-boston-greeting { display: block; } </style> <div class="custom-greeting custom-san-jose-greeting"> Welcome to The Golden State! </div> <div class="custom-greeting custom-boston-greeting"> Welcome to The Bay State! </div>` 访客将根据其特定位置，在登录成功后看到不同的问候语。

根据用户设备类型自定义问候语

可以根据客户端设备类型（移动设备或桌面设备）自定义在用户登录任何思科 ISE 最终用户 Web 门户（访客、发起人和设备）之后向其发送的问候语。

使用切换全屏 (Toggle Full Screen) 选项可在使用字段时缩放其大小。

过程

步骤 1	导航至以下门户：对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	在页面 (Pages) 下，选择想要更新的页面。
步骤 3	在页面自定义 (Page Customizations) 下，使用可选内容 1 (Optional Content 1) 字段随附的小型编辑器输入和查看 HTML 源代码。
步骤 4	点击切换 HTML 源 (Toggle HTML Source)。
步骤 5	输入您的源代码。例如，要在 AUP 页面中包含基于设备类型的问候语，请在 AUP 页面中的可选内容 (Optional Content 1) 文本框中输入以下代码： `<style> .custom-greeting { display: none; } .cisco-ise-desktop .custom-desktop-greeting { display: block; } .cisco-ise-mobile .custom-mobile-greeting { display: block; } </style> <div class="custom-greeting custom-mobile-greeting"> Try our New Dark French Roast! Perfect on the Go! </div> <div class="custom-greeting custom-desktop-greeting"> We brough back our Triple Chocolate Muffin! Grab a seat and dig in! </div>` 用户将在 AUP 页面上看到不同的问候语，视用户用于获取网络或门户访问权限的设备类型而定。

修改门户页面布局

可以操作页面的整体布局；例如，可以将边栏添加到 AUP 页面，以提供其他信息或信息链接。

过程

步骤 1	将以下 CSS 代码添加到创建并计划应用于门户的自定义 `theme`.css 文件的底部。这会更改 AUP 页面布局。可选内容 1 (Optional Content 1) 字段在桌面和移动设备模式下显示为侧栏。 `#page-aup .cisco-ise-optional-content-1 { margin-bottom: 5px; } @media all and ( min-width: 60em ) { #page-aup .cisco-ise-optional-content-1 { float: left; margin-right: 5px; width: 150px; } #page-aup .cisco-ise-main-content { float: left; width: 800px; } #page-aup .cisco-ise-main-content h1, #page-aup .cisco-ise-main-content p { margin-right: auto; margin-left: -200px; } }` 之后，可以在该门户的 AUP 窗口的可选内容 1 (Optional Content 1) 字段中使用 HTML 代码添加链接。
步骤 2	导航至以下门户：对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 3	在 Pages 下，选择要在其中包含边栏的页面。
步骤 4	在页面定制 (Page Customizations) 下，使用可选内容 1 (Optional Content 1) 字段随附的小型编辑器输入和查看源代码。
步骤 5	点击切换 HTML 源 (Toggle HTML Source)。
步骤 6	输入您的源代码。例如，要为 AUP 窗口添加侧栏，请在 AUP 窗口上的可选内容 1 (Optional Content 1) 字段中输入此代码： `<ul data-role="listview"> <li>Rent a Car</li> <li>Top 10 Hotels</li> <li>Free Massage</li> <li>Zumba Classes</li> </ul>` 图 5. AUP 页面示例的边栏视图（桌面设备上）图 6. AUP 页面示例的边栏视图（移动设备上）
步骤 7	单击保存。

下一步做什么

可以通过在可选内容 (Optional Content) 字段中输入不同的文本或 HTML 代码来定制其他页面。

导入自定义门户主题 CSS 文件

您可以上传已创建的任何自定义 theme.css 文件并将其应用于任何最终用户门户。这些更改将应用于您自定义的所有门户。

任何时候编辑自定义 theme.css 文件并将其导入回到思科 ISE 中时，请记住使用原先对其使用的同一主题名称。无法将两个不同的主题名称用于同一个 theme.css 文件。

过程

步骤 1	导航至以下门户：对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	从高级自定义 (Advanced Customization) 下拉列表中，选择导出/导入主题 (Export/Import Themes)。
步骤 3	在自定义主题 (Custom Theming) 对话框中，点击浏览 (Browse) 查找新的 `theme`.css 文件。
步骤 4	输入新文件的主题名称 (Theme Name)。
步骤 5	点击保存 (Save)。

下一步做什么

您可以将此自定义门户主题应用于要自定义的门户。

从门户主题 (Portal Themes) 下拉列表中选择已更新的主题来应用于整个门户。
点击保存 (Save)。

删除自定义门户主题

可以删除已导入思科 ISE 中的任何自定义门户主题，除非某个门户正在使用该主题。不能删除思科 ISE 提供的任何默认主题。

开始之前

想要删除的门户主题不应被任何门户使用。

过程

步骤 1	导航至以下门户：对于访客门户，选点击菜单图标 ()，然后选择择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization)。
步骤 2	从高级自定义 (Advanced Customization) 下拉列表选择删除主题 (Delete Themes)。
步骤 3	从主题名称 (Theme Name) 下拉列表选择想要删除的门户主题。
步骤 4	点击删除 (Delete)，然后点击保存 (Save)。

查看您的自定义

您可以查看自己的自定义向门户用户（访客、发起人或员工）的显示方式。

过程

步骤 1

点击 Portal test URL 查看您做出的更改。

步骤 2

（可选）点击预览 (Preview) 以动态查看所做的更改如何出现在各类设备上：

移动设备：在预览 (Preview) 下查看做出的更改。
桌面设备：单击预览 (Preview) 并单击桌面预览 (Desktop Preview)。

如果没有显示更改，请点击 Refresh Preview。所显示的门户仅用于查看您做出的更改；您无法点击按钮或输入数据。

注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

门户语言自定义

访客门户、发起人门户、我的设备门户和客户端调配门户会本地化为所有受支持的语言和区域设置。这包括文本、标签、消息、字段名称和按钮标签。如果客户端浏览器请求未映射到思科 ISE 中的模板的区域设置，则门户使用英语模板显示内容。

通过使用管理门户，您可以针对每种语言单独修改用于访客门户、发起人门户和我的设备门户的字段，并且可以添加更多语言。当前，您无法自定义客户端调配门户的这些字段。

默认情况下，每种类型的门户都支持 15 种语言。您可以在门户页面自定义 (Portal Page Customization) 窗口中选择门户使用的语言，还可以选择更新该语言的页面内容。请注意，如果更改页面上一种语言的字体和内容，则这些更改不会影响其他语言。导出语言文件时，会包含您在门户页面自定义 (Portal Page Customization) 窗口中所做的更改。

支持的语言为：

中文（简体）
中文（繁体）
捷克语
荷兰语
英语
法语
德语
匈牙利语
意大利语
日语
韩语
波兰语
葡萄牙语
俄语
西班牙语

注	NAC 和 MAC 代理安装程序及 WebAgent 页面未本地化。

编辑门户使用的语言

打开要编辑的门户。
在门户页面自定义 (Portal Page Customization) 选项卡上，从查看 (view in) 下拉列表中选择要编辑的语言。
根据需要更改内容、标题和字体。
保存该门户配置，并对要更新的其他语言重复此流程。

要编辑语言文件

每个门户页面自定义 (Portal Page Customization) 窗口还提供一个语言文件。语言文件是属性文件的 ZIP 文件，可用于自定义作为门户流程一部分的标题和文本，但不可用来在门户页面自定义 (Portal Page Customization) 窗口中自定义。

语言文件还包含到特定浏览器区域设置的映射，以及该语言下整个门户的所有字符串设置。如果您更改一种语言的浏览器区域设置，则更改会应用于所有其他最终用户 Web 门户。例如，如果在热点访客门户中将 French.properties 浏览器区域设置从 fr,fr-fr,fr-ca 更改为 fr,fr-fr，则更改还会应用于我的设备门户。

您可以导出压缩语言文件并对其进行更新，包括添加新语言或删除不需要的现有语言。

有关如何更新语言文件的说明，请参阅：

导出语言文件
从语言文件添加或删除语言
导入更新的语言文件

导出语言文件

可以导出可供每个门户类型使用的语言文件，用以编辑和自定义其中指定的现有值，并添加或删除语言。

注	语言属性文件中只有一些字典键支持在其值（文本）中使用 HTML。

过程

步骤 1

导航至以下门户：

对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 编辑 (Edit)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit)。

步骤 2

点击语言文件 (Language File)，然后从下拉列表中选择导出 (Export)。

步骤 3

在桌面上保存压缩后的语言文件。

从语言文件添加或删除语言

如果想用于门户类型的语言在该语言文件中不存在，则可以创建新的语言属性文件，并将其添加到压缩语言文件中。如果有不需要的语言，则可以删除其语言属性文件。

开始之前

要添加或删除语言属性文件，请导出适于各个门户类型的压缩语言文件。

过程

步骤 1

使用任何显示 UTF-8 的编辑器（例如 Notepad ++），为想要添加或删除语言的门户类型打开预定义语言文件。

如果想要为多个门户类型添加或删除语言，请使用所有适当的门户属性文件。

步骤 2

要添加新的语言，请将现有语言属性文件另存为新语言属性文件，与压缩语言文件中的其他文件使用相同的命名规范。例如，要创建新的日语语言属性文件，请将该文件另存为 Japanese.properties (LanguageName.properties)。

步骤 3

在新语言属性文件的第一行指定浏览器本地值，将新语言与其浏览器区域设置关联起来。例如，LocaleKeys= ja,ja-jp (LocaleKeys=browser locale value) 应当是 Japanese.properties 文件的第一行。

步骤 4

更新新语言属性文件中的所有字典键值（文本）。

无法更改字典键。只能更新其值。

注	仅部分字典键支持在键值（文本）中使用 HTML。

下一步做什么

压缩所有属性文件（新文件和现有文件），创建新的压缩语言文件。不包含任何文件夹或目录。

注	使用 Mac 时，解压 zip 文件将生成 DS 存储区。在编辑语言文件后进行压缩时，请勿在 zip 中包含 DS 存储区。要了解提取 DS 存储区的方法，请参阅 https://superuser.com/questions/198569/compressing-folders-on-a-mac-without-the-ds-store。

为压缩语言文件创建新名称或使用其原始名称。
将压缩语言文件导入您从其导出的特定门户。

导入更新的语言文件

可以导入通过添加或删除语言属性文件或通过更新现有属性文件中的文本进行自定义的已编辑语言文件。

过程

步骤 1	导航至以下门户：对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit)。
步骤 2	点击 Language File，然后从下拉列表中选择 Import。
步骤 3	浏览以在桌面上查找新的压缩语言文件。
步骤 4	将语言文件重新导入从其导出文件的门户类型。

下一步做什么

要显示更改的文本或添加的新语言，请从 View In 下拉列表中选择特定语言。

自定义访客通知、审批和错误消息

在每个门户中，您可以自定义访客接收通知的方式，可以通过邮件、SMS 文本消息和打印方式。使用这些通知以邮件、文本发送登录凭证或打印登录凭证：

当访客使用自注册访客门户且成功进行自注册时。
当发起人创建访客帐户且要向访客提供详细信息时。当创建发起人组时，您可以确定是否授权发起人使用 SMS 通知。如果这些设施可用，则发起人总是可以使用邮件发送并打印通知。

您还可以自定义发送给发起人的邮件通知，用于发起人批准尝试获得访问网络权限的自助注册访客的请求。此外，您还可以自定义向访客和发起人显示的默认错误消息。

自定义邮件通知

可以自定义通过邮件发送给访客的信息。

开始之前

将 SMTP 服务器配置为启用邮件通知。选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMTP 服务器 (SMTP Server)。
配置对向访客发送邮件通知的支持。选择访客访问 (Guest Access) > 设置 (Settings) > 访客邮件设置 (Guest Email Settings)。选中对访客启用邮件通知 (Enable email notifications to guests)。
确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1	对于自行注册的发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 通知访客 (Notify Guests) > 邮件通知 (Email Notification)。
步骤 2	可以更改在全局页面自定义 (Global Page Customizations) 下指定的徽标 (Logo [Email]) 默认值。
步骤 3	指定 Subject 和 Email body。使用预定义变量指定邮件中包含的访客帐户信息。使用小型编辑器和 HTML 标记自定义文本。
步骤 4	在设置 (Settings) 下，可以：选择分别发送用户名和密码 (Send username and password separately)，使用不同的邮件单独发送用户名和密码。如果选择此选项，两个单独的选项卡会显示在页面自定义 (Page Customizations) 中，用于自定义用户名邮件 (Username Email) 和密码邮件 (Password Email) 通知。选择发送测试邮件 (Send Test Email)，将测试邮件发送到邮箱地址，以在所有设备上预览自定义设置，从而确保信息正确显示。
步骤 5	点击保存 (Save)，然后点击关闭 (Close)。

自定义 SMS 文本消息通知

您可以自定义通过 SMS 文本消息发送给访客的信息。

开始之前

配置用于将邮件发送到 SMS 网关以传达 SMS 文本消息的 SMTP 服务器。选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMTP 服务器 (SMTP Server)。
将发起人组配置为支持 SMS 文本通知。
设置具有第三方 SMS 网关的帐户。选择管理 (Administration) > 系统 (System) > 设置 (Settings) > SMS 网关 (SMS Gateway)。思科 ISE 将文本消息作为邮件发送到网关，该网关通过 SMS 运营商将消息转发给指定用户。
确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1	对于自行注册的访客门户或发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客或发起人门户 (Guest or Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > SMS 回执或 SMS 通知 (SMS Receipt or SMS Notification)。
步骤 2	使用迷你编辑器和 HTML 标签自定义消息文本 (Message Text)。使用预定义变量指定要在 SMS 文本消息中包含的访客帐户信息。
步骤 3	在设置 (Settings) 下，可以：选择分别发送用户名和密码 (Send username and password separately)，以使用不同文本消息单独发送用户名和密码。如果选择此选项，则在页面自定义 (Page Customizations) 中会出现两个单独的选项卡，用于自定义用户名消息 (Username Message) 和密码消息 (Password Message) 通知。选择发送测试消息 (Send Test Message)，向手机发送文本消息，以预览自定义，确保信息按预期显示。支持的电话号码格式包括：+1 ### ### ####、###-###-####、(###) ### ####、##########、1########## 等。
步骤 4	点击保存 (Save)，然后点击关闭 (Close)。

自定义打印通知

您可以自定义为访客打印的信息。

注	在每个门户中，打印通知徽标沿用自邮件通知徽标设置。

开始之前

确保在管理 (Administration) > 系统 (System) > 管理访问 (Admin Access) > 设置 (Settings) > 门户自定义 (Portal Customization) 中默认启用启用 HTML 的门户自定义 (Enable portal customization with HTML)。

过程

步骤 1	对于自行注册的访客门户和发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客或发起人门户 (Guest or Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 打印回执或打印通知 (Print Receipt or Print Notification)。
步骤 2	指定打印说明文本 (Print Introduction Text)。使用预定义变量指定邮件中包含的访客帐户信息。使用小型编辑器和 HTML 标记自定义文本。
步骤 3	在缩略图中预览自定义或点击打印预览 (Print Preview)。您无法在缩略图中查看任何 HTML 自定义。如果选择打印预览 (Print Preview) 选项，则会显示一个窗口，从中可以打印帐户详细信息来确保信息按预期显示。
步骤 4	点击保存 (Save)，然后点击关闭 (Close)。

自定义审批请求邮件通知

您可以要求发起人需要批准自行注册的访客，才能创建访客帐户且访客才可以获取登录凭证。您可以自定义通过邮件发送至发起人，请求发起人批准的信息。只有在您已指定使用 Self-Registered Guest 门户的自行注册的访客必须经过批准才能获得网络访问权限的情况下，才会显示此通知。

开始之前

将 SMTP 服务器配置为启用邮件通知。选择管理 (Administration) > 系统 (Systems) > 设置 (Settings) > SMTP 服务器 (SMTP Server)。
配置对向访客发送邮件通知的支持。选择访客访问 (Guest Access) > 设置 (Settings) > 访客邮件设置 (Guest Email Settings)。选中对访客启用邮件通知 (Enable email notifications to guests)。
如果希望发起人批准自注册帐户请求，请在门户行为和流设置 (Portal Behavior and Flow Settings) 选项卡中的自注册页面设置 (Self-Registration Page Settings) 下选中需要批准自注册访客 (Require self-registered guests to be approved) 复选框。这会启用门户页面自定义 (Portal Page Customization) 页面中通知 (Notifications) 下方的请求批准电子邮件 (Approval Request Email) 选项卡，在这里可以自定义发送给发起人的电子邮件。

过程

步骤 1

选择访客访问 (Guest Access) > 自注册访客门户 (Self-Registered Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 请求批准电子邮件 (Approval Request Email)。在此，您可以：

步骤 2

执行以下操作：

在 Global Page Customizations 下更改在 Logo 中指定的默认标志。
指定 Subject 和 Email body。使用预定义变量指定邮件中包含的访客帐户信息。使用小型编辑器和 HTML 标记自定义文本。例如，要在请求批准电子邮件中包含指向发起人门户的链接，请点击创建链接 (Create a Link) 按钮，然后将 FQDN 添加到发起人门户。
在所有设备上使用 Send Test Email 预览您的自定义，确保其显示符合预期。
点击 Save，然后点击 Close。

步骤 3

自定义发起人发送的批准电子邮件内容：

选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals)。
点击门户页面自定义 (Portal Page Customization)。
点击电子邮件通知 (Email Notification) 选项卡并输入所需的详细信息。

编辑错误消息

可以完全自定义为访客、发起人和员工显示在“故障”(Failure) 页面中的错误消息。所有最终用户 Web 门户都具有“故障”(Failure) 页面，但黑名单门户除外。

过程

步骤 1	执行以下操作之一：对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 消息 (Messages) > 错误消息 (Error Messages)。对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 消息 (Messages) > 错误消息 (Error Messages)。对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 消息 (Messages) > 错误消息 (Error Messages)。
步骤 2	从查看语言 (View In) 下拉列表中选择在自定义消息时查看文本所要使用的语言。下拉列表包含与特定门户关联的语言文件中的所有语言。确保将自定义门户页面时所做的任何更改更新到支持的语言属性文件中。
步骤 3	更新错误消息文本。可以通过键入 aup 等关键字来搜索特定错误消息，以便查找 AUP 相关的错误消息。
步骤 4	点击保存 (Save)，然后点击关闭 (Close)。

门户页面标题、内容和标签的字符限制

可以在 Portal Page Customization 选项卡的标题、文本框、说明、字段和按钮标签以及其他视觉元素中输入的最大和最小字符范围限制。

门户页面标题、内容和标签的字符限制

这些门户页面 UI 元素的导航路径如下：

对于访客门户，选择访客访问 (Guest Access) > 配置 (Configure) > 访客门户 (Guest Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于发起人门户，选择访客访问 (Guest Access) > 配置 (Configure) > 发起人门户 (Sponsor Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。
对于设备门户，选择管理 (Administration) > 设备门户管理 (Device Portal Management) > （任何门户 [any Portals]） > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。

在标题、文本框、说明、字段与按钮标签，以及您自定义的其他门户页面可视元素中输入内容时，请使用此信息。这些更新仅适用于您自定义的特定页面。

注	无论您输入的是单字节还是多字节字符，您最多都只能输入字段指定的最大字符数。多字节字符不影响字符限制。


字段类别	字段	字段标签：最小字符数	字段标签：最大字符数	字段输入值：最小字符数	字段输入值：最大字符数
常见页面元素	横幅标题				256
	页脚元素			0	2000
	浏览器页面标题			0	256
	说明文本			0	2000
	内容标题			0	256
	可选内容 1			0	2000
	可选内容 2			0	2000
	按钮标签	0	64
	复选框标签	0	64
	选项卡标签	0	64
	链接标签	0	256
AUP	AUP 文本			0	50000
消息文本	消息文本（显示在页面上）			0	2000
	消息文本（显示在弹出窗口中）			0	256
字段标签	所有字段标签	0	256
字段输入（常规）	一般字段输入（请参阅下面的特殊情况）			0	256
字段输入（特殊情况）	“访问代码”(Access Code) 字段			1	20
	“注册代码”(Registration Code) 字段			1	20
	“用户名”(Username) 字段			1	64
	“密码”(Password) 字段			1	256
	“电话号码”(Phone Number) 字段			0	64
	“设备 ID”(Device ID) 字段			12	17

门户自定义

您可以自定义最终用户 Web 门户的外观和访客体验。如果您熟悉级联样式表 (CSS) 语言和 Javascript，您可以使用 jQuery Mobile ThemeRoller 应用，通过更改门户页面布局来自定义门户主题。

您可以通过从所需门户页面导出 CSS 主题或语言属性查看所有字段。有关详细信息，请参阅导出门户的默认主题 CSS 文件。

最终用户门户页面布局的 CSS 类和说明

使用这些 CSS 类可定义和修改思科 ISE 最终用户 Web 门户的页面布局。


CSS 类名	说明
cisco-ise-banner	包括徽标、横幅图像和横幅文本。在发起人门户和我的设备门户上，此类还包含可激活上下文菜单的按钮。例如，菜单可能会显示具有 Log Out 和 Change Password 等选项的弹出窗口。
cisco-ise-body	包含不属于横幅的一部分的所有页面元素。
cisco-ise-optional-content-1	默认情况下为空。您可以添加文本、链接以及 HTML 和 JavaScript 代码。
cisco-ise-main-content	包含门户页面的主要内容，例如说明性文本、操作按钮和 cisco-ise-footer 容器。
cisco-ise-optional-content-2	默认情况下为空。您可以添加文本、链接以及 HTML 和 JavaScript 代码。
cisco-ise-footer	页脚的一部分，它是 Contact Support 和在线 Help 等链接的占位符。
cisco-ise-footer-text	默认情况下为空。它是要在门户页面底部显示的任何内容（例如版权声明或免责声明）的占位符。

门户语言文件的 HTML 支持

每个门户的压缩语言文件包含该门户的默认语言属性文件。每个属性文件包含用于定义门户上显示的内容的字典键。

您可以自定义门户上显示的文本，包括说明文本 (Instructional Text)、内容 (Content)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 字段中的内容。其中一些字段具有默认内容，而有些字段则为空。

其中，只有与这些字段关联的一些字典键在其值（文本）中支持 HTML。

黑名单门户语言文件的 HTML 支持

该门户的说明文本 (Instructional Text)、内容 (Content)、可选内容 1 (Optional Content 1) 和可选内容 2 (Optional Content 2) 文本框的导航路径为管理 (Administration) > 设备门户管理 (Device Portal Management) > 黑名单门户 (Blacklist Portals) > 编辑 (Edit) > 门户页面自定义 (Portal Page Customization) > 页面 (Pages)。您可以使用小型编辑器中的查看 HTML 源代码 (View HTML Source) 图标，并在内容中添加 HTML 代码。