Cisco Cisco Identity Services Engine 1.3 작동 가이드

操作指南

-21-监控模式部署指南

授权配置

开始授权配置

程序

检查默认思科

ISE 授权策略

如前所述，身份验证只是确认用户凭证。所有的实施和访问控制都发生在网络访问的授权阶段。

步骤

1 导航至 Policy  Authorization，然后点击 Edit 以更新规则（图 14）。

图

14 编辑授权策略

授权策略中有一项预配置规则，还有默认规则。就像在身份验证策略中一样，在默认情况下，授权规则表的处理与
访问列表相似：按从上到下的顺序进行处理，并且使用的是第一项符合条件的规则。

注：授权表能够匹配多项规则，可以得到非常复杂的授权结果，但此主题不属于本文档范围。

思科最佳实践：使用默认设置

First Matched Rule Applies。

就像在身份验证策略中一样，授权请求与规则行进行匹配的方式是基于条件而定的。说得更明白一点，我们将检查
预配置规则

Profiled Cisco IP Phones。顾名思义，此规则用于授权在分析过程中确定的思科统一 IP 电话。

表

3：身份验证策略

选项

描述

身份组

手动或动态创建的特殊组，例如

guest 和 Whitelist。

其他条件

所有其他条件，例如

Group Membership。

权限

授权配置文件结果。

思科

ISE 策略采用逻辑 IF-THEN 格式。通过检查此规则，我们发现：

Device is member of ISE ID Group = Cisco-IP-Phone

AND

(no other conditions in this line)

THEN

Assign the Cisco_IP_Phone Authorization Profile

ELSE

Move to next Line in Authentication Policy Table