Cisco Cisco Identity Services Engine 1.2 设计指南

 

 

 

© 2015 思科系统公司 

第

 108 页 

安全访问操作指南

图

 80. 使用用户定义的配置文件的终端详细信息示例 

 

 
请注意，

Policy Assignment 为 APC-UPS，但是 Identity Group Assignment 设置为 Unknown。这是在

配置文件中将默认设置从

 Create Matching Identity Group 改为 User Hierarchy 的决策导致的。我们故

意选择了此选项，以便说明

 Profiling Policy 和 Endpoint Identity Groups 之间的关系。 

终端身份组

对于网络和安全管理员而言，设备分析是更好地了解哪些类型的设备正在连接网络的一个宝贵工具。除了获
得可视性之外，为了根据终端的设备分类或分析策略分配制定授权策略决策，需要将配置文件与终端身份组
关联。

ISE 授权策略目前不接受以原始分析属性或策略分配作为条件，但是可以创建映射至分析策略分配的终

端身份组。这样，授权策略就可以间接将终端的分析策略分配引用为规则条件。

 

图

 83 显示的是终端身份组的配置流程。 

图

 81. 配置流程：终端身份组