Cisco Cisco Identity Services Engine 1.2 产品宣传页
•
参加ポイント:Cisco ISE では、Active Directory ドメインへの個別の参加は、参加ポイントと呼ばれます。 Active
Directory の参加ポイントは、Cisco ISE ID ストアであり、認証ポリシーで使用できます。 参加ポイントには属性
およびグループの関連ディクショナリがあり、これを認可の条件で使用できます。
Directory の参加ポイントは、Cisco ISE ID ストアであり、認証ポリシーで使用できます。 参加ポイントには属性
およびグループの関連ディクショナリがあり、これを認可の条件で使用できます。
•
スコープ:グループ化された Active Directory の参加ポイントのサブセットは、スコープと呼ばれます。 単一の参
加ポイントの代わりに、認証結果として、認証ポリシーでスコープを使用できます。 スコープは、複数の参加ポ
イントに対するユーザの認証に使用されます。 各参加ポイントに複数のルールを使用する代わりにスコープを使
用すると、1 つのルールで同じポリシーを作成して、Cisco ISE が要求を処理する時間を削減でき、パフォーマン
スの向上に役立ちます。参加ポイントは、複数のスコープに存在できます。スコープは、IDソース順序に含める
ことができます。 認可ポリシー条件では、スコープに関連するディクショナリがないため、スコープを使用する
ことができません。
加ポイントの代わりに、認証結果として、認証ポリシーでスコープを使用できます。 スコープは、複数の参加ポ
イントに対するユーザの認証に使用されます。 各参加ポイントに複数のルールを使用する代わりにスコープを使
用すると、1 つのルールで同じポリシーを作成して、Cisco ISE が要求を処理する時間を削減でき、パフォーマン
スの向上に役立ちます。参加ポイントは、複数のスコープに存在できます。スコープは、IDソース順序に含める
ことができます。 認可ポリシー条件では、スコープに関連するディクショナリがないため、スコープを使用する
ことができません。
Cisco ISE の新規インストールを実行すると、デフォルトではスコープは存在しません。 これは、ノー スコープ
モードと呼ばれます。 スコープを追加すると、Cisco ISE はマルチスコープ モードになります。 必要に応じて、
ノー スコープ モードに戻すことができます。 すべての参加ポイントは、Active Directory フォルダに移動されま
す。
モードと呼ばれます。 スコープを追加すると、Cisco ISE はマルチスコープ モードになります。 必要に応じて、
ノー スコープ モードに戻すことができます。 すべての参加ポイントは、Active Directory フォルダに移動されま
す。
• Initial_Scope は、ノー スコープ モードで追加された Active Directory 参加ポイントを保存するために使用され
る暗黙のスコープです。 マルチスコープ モードが有効な場合、すべての Active Directory 参加ポイントは自
動作成された Initial_Scope に移動されます。 Initial_Scope の名前を変更できます。
動作成された Initial_Scope に移動されます。 Initial_Scope の名前を変更できます。
• All_AD_Instances は、Active Directory 設定に表示されない組み込み疑似スコープです。 これは、ポリシーお
よび ID 順序に認証結果としてのみ表示されます。 Cisco ISE で設定されたすべての Active Directory 参加ポイ
ントを選択する場合は、このスコープを選択できます。
ントを選択する場合は、このスコープを選択できます。
ID ソース順序と認証ポリシーのスコープおよび参加ポイント
Cisco ISE では、複数の Active Directory の参加ポイントを定義できます。各参加ポイントは、異なる Active Directory ド
メインへの接続を表します。 各参加ポイントは、個別の ID ストアとして、認証ポリシー、認可ポリシーおよび ID 順
序で使用できます。 参加ポイントをグループ化して、認証ポリシーで、認証結果として、および ID ソース順序で使用
できる、スコープにすることができます。
メインへの接続を表します。 各参加ポイントは、個別の ID ストアとして、認証ポリシー、認可ポリシーおよび ID 順
序で使用できます。 参加ポイントをグループ化して、認証ポリシーで、認証結果として、および ID ソース順序で使用
できる、スコープにすることができます。
各参加ポイントを完全に独立したポリシー グループとして処理する場合は、認証ポリシーの結果として、または ID
ソース順序で、個々の参加ポイントを選択できます。 たとえば、Cisco ISE 導入環境で、独自のネットワーク デバイス
を持つ独立したグループがサポートされるマルチテナント シナリオでは、ネットワーク デバイス グループを Active
Directory ドメインの選択に使用できます。
ソース順序で、個々の参加ポイントを選択できます。 たとえば、Cisco ISE 導入環境で、独自のネットワーク デバイス
を持つ独立したグループがサポートされるマルチテナント シナリオでは、ネットワーク デバイス グループを Active
Directory ドメインの選択に使用できます。
ただし、Active Directory ドメインが、ドメイン間に信頼がない同じ企業の一部と見なされる場合は、スコープを使用し
て、接続されていない複数の Active Directory ドメインを結合し、共通の認証ポリシーを作成することができます。 こ
れにより、異なる ID ストアによって表されるすべての参加ポイントを認証ポリシーで定義する必要がなくなるため、
各ドメインのためのルールが重複することを回避できます。 使用される実際の参加ポイントは、認可ポリシーによっ
て使用される認証 ID ストアに含まれます。
て、接続されていない複数の Active Directory ドメインを結合し、共通の認証ポリシーを作成することができます。 こ
れにより、異なる ID ストアによって表されるすべての参加ポイントを認証ポリシーで定義する必要がなくなるため、
各ドメインのためのルールが重複することを回避できます。 使用される実際の参加ポイントは、認可ポリシーによっ
て使用される認証 ID ストアに含まれます。
ユーザ名が同じで、複数のドメインに複数の ID がある場合、ID のあいまいさが発生します。 たとえば、ドメイン マー
クアップのないユーザ名が一意ではなく、Cisco ISE が EAP-TLS などのパスワードのないプロトコルを使用するように
設定されている場合、適切なユーザを検索する他の基準がないため、Cisco ISE はあいまいな ID エラーで認証に失敗し
ます。 このようなあいまいな ID が出現した場合、認証ポリシー ルールで特定のスコープや参加ポイントを使用する
か、ID ソース順序を使用できます。 たとえば、特定のネットワーク デバイス グループのユーザが特定の Active Directory
クアップのないユーザ名が一意ではなく、Cisco ISE が EAP-TLS などのパスワードのないプロトコルを使用するように
設定されている場合、適切なユーザを検索する他の基準がないため、Cisco ISE はあいまいな ID エラーで認証に失敗し
ます。 このようなあいまいな ID が出現した場合、認証ポリシー ルールで特定のスコープや参加ポイントを使用する
か、ID ソース順序を使用できます。 たとえば、特定のネットワーク デバイス グループのユーザが特定の Active Directory
15