Cisco Cisco Identity Services Engine 1.3

Integration of the Cisco Identity Services Engine (ISE) and Web Security Appliance (WSA) enables WSA to use a rich set of features
offered by ISE to identify an endpoint and apply appropriate access policies, most important of which would be the TrustSec Secure
Group Tagging (SGT) feature. Using the TrustSec SGT feature, you can classify users into different identity groups. For example,
users who belong to a secure group, SGT10, will be able to access only certain social networking sites. The access policies in WSA
are created using SGT tags that ISE assigns to a user session.

Authentication methods, such as 802.1X, are not supported by WSA. By integrating WSA with ISE, you can authenticate a WSA
user via ISE by using the 802.1X authentication methods that are more secure. The Cisco pxGrid feature enables sharing of context-based
information from Cisco ISE to WSA to authorize users and apply appropriate policies.

Cisco ISE and WSA integration allows you to identify users based on their IP addresses, Cisco WSA obtains the IP-User mapping
from Cisco ISE. In order to reduce the latency and performance impact, it is recommended that you maintain a minimum distance
between Cisco ISE and WSA in a deployment.

The figure below depicts the Cisco ISE-WSA integration workflow.