Cisco Cisco Identity Services Engine 1.3 전단

認可ポリシーで使用する Active Directory の属性およびグループの取得

Cisco ISE は、認可ポリシー ルールで使用するために Active Directory からユーザまたはマシンの属性およびグループを
取得します。 これらの属性を Cisco ISE ポリシーで使用して、ユーザまたはマシンの承認レベルを決定することができ
ます。 Cisco ISE は、認証が成功した後にユーザおよびマシンの Active Directory 属性を取得します。また、認証とは別
に、認可のために属性を取得することもできます。

Cisco ISE では、外部 ID ストアのグループを使用して、ユーザまたはコンピュータに対して、たとえばスポンサー グ
ループにユーザをマップするためのアクセス許可を割り当てる場合があります。 Active Directory のグループ メンバー
シップの次の制限事項に注意する必要があります。

•

ポリシー ルール条件は、ユーザまたはコンピュータのプライマリ グループ、ユーザまたはコンピュータが直接メ
ンバーであるグループ、または間接的な（ネストされた）グループのいずれかを参照します。

•

ユーザまたはコンピュータのアカウント ドメイン外のドメイン ローカル グループはサポートされません。

属性およびグループは、参加ポイントごとに取得および管理されます。 これらは認可ポリシーで使用されます（まず
参加ポイントを選択してから属性を選択します）。 認可のスコープごとに属性やグループを定義することはできませ
んが、認証ポリシーにスコープを使用することはできます。 認証ポリシーでスコープを使用する場合、ユーザは 1 つ
の参加ポイント経由で認証されますが、属性やグループは、ユーザのアカウント ドメインへの信頼できるパスがある
別の参加ポイントから取得される可能性があります。 認証ドメインを使用すると、認証ドメインにおいて、1 つのス
コープで 2 つの参加ポイントがオーバーラップしないことを保障できます。

使用可能な Active Directory グループの最大数に関する Microsoft の制限については、次の URL
を参照してください。

（注）

/!@\#$%^&*()_+~ のような特殊文字を使用した Active Directory グループ名がルールに含まれる場合、認可ポリシーは
失敗します。

認可ポリシーのディクショナリ属性

認可ポリシーは、ディクショナリ属性に基づく条件によって決定されます。 Active Directory の各参加ポイントには、
属性およびグループを含む関連ディクショナリがあります。

説明

属性

ディクショナリ

この属性は、参加ポイントがユーザ
認証に使用されたことを示します。

AD-User-Join-Point

ネットワーク アクセス

この属性は、参加ポイントがマシン
認証に使用されたことを示します。

AD-Host-Join-Point

ネットワーク アクセス

この属性は、ドメイン DNS 修飾名が
ユーザ認証に使用されたことを示し
ます。

AD-User-DNS-Domain

ネットワーク アクセス