Cisco Cisco Identity Services Engine 1.2 设计指南

第

114 页

安全访问操作指南

配置文件转变和授权更改

通过分析过程，终端可以从未知身份组转变为

Apple-Device 等更具体的配置文件。在有些情况下，其将直接

转变为

Apple-iPad 等身份组，但是在从网络收集新配置文件数据的步骤中也可能会出现转变。虽然不常见，

但是终端的“负面”分析数据有可能导致从更具体的配置文件转变为不那么具体的父配置文件或完全不同的
配置文件。

无论配置文件转变的类型如何，在终端身份组分配中通常会有相关变更，其将在匹配的终端向网络进行身份
验证时应用不同的授权策略规则。其所面临的挑战是如何为已经向网络接受身份验证和授权的终端施行新的
授权。

图

93 显示配置文件转变和授权更改 (CoA) 的配置流程。

图

91. 配置流程：配置文件转变和 CoA

授权更改

(CoA)

CoA 是一种基于标准的 RADIUS 功能 (RFC 3576)，其在发生特定状态或策略变化时，允许 RADIUS 服务器
(ISE) 向网络接入设备（RADIUS 客户端）发起主动通信，为终端更新其访问策略。无需终端发起重新身份验
证，即可实现这种更新。

在两种主要情况下

ISE 分析服务会触发 CoA：

配置文件转变触发例外操作。

配置文件转变导致基于授权策略规则的终端访问权限变更。