Cisco Cisco Identity Services Engine 1.3 プリント
説明
属性
ディクショナリ
この属性は、ドメイン DNS 修飾名が
マシン認証に使用されたことを示し
ます。
マシン認証に使用されたことを示し
ます。
AD-Host-DNS-Domain
ネットワーク アクセス
この属性は、ID ストアがマシン認証
に使用されたことを示します。
に使用されたことを示します。
MachineAuthenticationIdentityStore
ネットワーク アクセス
この属性は、ユーザのマシンが認証
済みかどうかを示します。
済みかどうかを示します。
WasMachineAuthenticated
ネットワーク アクセス
この属性は、ユーザが属する Active
Directory グループを示します。
Directory グループを示します。
ExternalGroups
参加ポイント
この属性は、ユーザ アカウントが無
効になっていること、またはログイ
ン時間外でアクセス権が付与されて
いないことを示します。
効になっていること、またはログイ
ン時間外でアクセス権が付与されて
いないことを示します。
IdentityAccessRestricted
参加ポイント
この属性は、ユーザの Active
Directory 属性を示します。
Directory 属性を示します。
<ATTR name>
参加ポイント
ID 書き換え
ID 書き換えの拡張機能を使用すると、外部の Active Directory システムに渡す前に、Cisco ISE によって ID が操作され
ます。 ドメイン プレフィクスやサフィックスを含める、または除外することによって ID を適切な形式に変更するルー
ルや、その他の任意の追加マークアップを作成することができます。
ます。 ドメイン プレフィクスやサフィックスを含める、または除外することによって ID を適切な形式に変更するルー
ルや、その他の任意の追加マークアップを作成することができます。
ID のリライト ルールは、件名検索、認証、および認可クエリーなどの操作に対して、Active Directory に渡す前に、ク
ライアントから受信したユーザ名またホスト名に適用されます。 Cisco ISE は条件のトークンを照合します。最初の 1
つが一致すると、Cisco ISE はポリシーの処理を停止し、結果に従って ID 文字列を書き換えます。
ライアントから受信したユーザ名またホスト名に適用されます。 Cisco ISE は条件のトークンを照合します。最初の 1
つが一致すると、Cisco ISE はポリシーの処理を停止し、結果に従って ID 文字列を書き換えます。
書き換え処理では、角カッコ [] で囲まれたすべての内容([IDENTITY] など)は変数であり、評価側で評価されるので
はなく、文字列内のその位置に一致する文字列が追加されます。 角カッコのないすべての内容は、ルールの評価側お
よび書き換え側の両方で固定文字列として評価されます。
はなく、文字列内のその位置に一致する文字列が追加されます。 角カッコのないすべての内容は、ルールの評価側お
よび書き換え側の両方で固定文字列として評価されます。
次に、ID 書き換えの例をいくつか示します。ユーザが入力した ID は ACME\jdoe であるとします。
• ID が ACME\[IDENTITY] と一致する場合、[IDENTITY] に書き換えます。
結果は jdoe になります。 このルールによって、Cisco ISE は、ACME プレフィクスを含むすべてのユーザ名を削
除します。
除します。
• ID が ACME\[IDENTITY] と一致する場合、[IDENTITY]@ACME.com に書き換えます。
結果は jdoe@ACME.com になります。 このルールによって、Cisco ISE は、サフィックス表記法のプレフィクスま
たは NetBIOS 形式から UPN 形式に形式を変更します。
たは NetBIOS 形式から UPN 形式に形式を変更します。
22