Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

112 页

安全访问操作指南

分析和授权策略

授权策略根据匹配的规则为连接至网络的终端定义访问权限。授权策略规则指定在分配特定权限之前终端必
须满足的条件。要根据分析向终端分配策略，则终端必须分配给具有匹配的身份组的分析策略。图

89 显示的

是授权策略的配置流程。

图

87. 配置流程：授权策略

使用

ISE 分析服务给设备分类并将其分配给身份组，可以使 ISE 向使用 MAB 的打印机或 IP 电话等非身份验

证终端应用不同的策略，或在使用

iPad 等个人设备而非公司工作站进行连接时向通过身份验证的员工应用不

同的策略（图

90）。

图

88. 授权策略示例

步骤

1 如示例授权策略中所示，名称为 Cisco-IP-Phone 的身份组用于向被分析为思科 IP 电话的终端分配特

殊电话授权。这些终端都使用

MAB 进行身份验证。使用分层策略还允许此策略应用于任意思科 IP

电话，而无论配置文件与特定

IP 电话型号的匹配情况。