ISE バージョン 1.4 電子メールと SMS 通知の設定

はじめに

このドキュメントでは、複数サービスでの電子メールとショート メッセージ サービス（SMS）による通知をサポートするように Cisco Identity Services Engine（ISE）バージョン 1.4 を設定する方法について説明します。

前提条件

要件

Cisco ISE とゲスト サービスの基本的な知識をお持ちであることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づいています。

• Cisco AnyConnect セキュア モビリティ クライアント バージョン 3.1 を備えた Microsoft Windows Version 7
  
  
• ソフトウェア 15.0.2 以降を実行する Cisco Catalyst 3750X シリーズ スイッチ
  
  
• Cisco ISE バージョン 1.3 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

このセクションでは、ISE での、さまざまなサービスで使用する電子メール通知と SMS 通知のサポートを設定する方法について説明します。

SMTP 設定

電子メールサービスを使用する前に、ISE には設定済みの Simple Message Transfer Protocol（SMTP）リレー サーバが必要です。サーバを設定するには、[Administration] > [System] > [Settings] > [SMTP Server]と移動します。

このサーバは、認証や暗号化なしで ISE からのすべての電子メールを受け入れることができる必要があります。

注：SMTPリレーサーバ設定の場合は、ISE IPアドレスを例外リストに追加し(noまたはanonymous認証)、他のすべてのホストからの認証を要求することをお勧めします。

SMS 設定

SMS サービスを ISE と連携させるには、固有の SMS ゲートウェイを設定する必要があります。ISE は Smtp2SMS および Http2SMS ゲートウェイをサポートします。デフォルトでは、よく知られているプロバイダー向けに事前設定された 9 つのゲートウェイがあります（ただし使用前に調整が必要な場合もあります）。これらを設定するには、[Administration] > [System] > [Settings] > [SMS gateway]と移動します。

SMTP を介した SMS ゲートウェイ

SMTP SMS ゲートウェイを設定する場合、唯一の必須フィールドは [Provider Domain]フィールドです。これについては『Cisco Identity Services Engine 管理者ガイド リリース 1.4』の「SMS 電子メール ゲートウェイ用の SMS ゲートウェイ設定」[英語] で説明されています。

デフォルト設定（空）では、SMTP API 本文テンプレート フィールドの値は $message$ の値と等しくなります。

デフォルトのメッセージ値は、使用するサービスによって異なります。通知サービスの場合（ゲスト アカウントの作成時）、これはスポンサー ポータル カスタマイズ ページ（[Notify Guest] または [SMS Notification]）で設定できます。これはデフォルト値です。

SMTP API 本文テンプレート フィールドの値もカスタマイズできます。デフォルト値に代わる、サポートされる動的置換は、$mobilenumber$および $message$ です。たとえば、test template $message$ 値を設定すると、そのデータは SMTP ペイロードに送信されます。

test template 文字列の後の $message$ の値は置き換えられます（この例では、SMS 通知サービスに置き換え）。

SMTP API 本文テンプレート フィールド値の別の例は、test template2 $mobilenumber$ です。これは、この値が使用されるときに送信されるペイロードです。

$mobilenumber$ 変数と $message$ 変数のわずかな違いに気付くことは重要です。通常、すべての空白文字（スペース）はエスケープされ、+ 文字で置き換えられます。$message$ 変数が使用されるときには、それらの空白文字は保持されます。

SMTP API 本文テンプレート フィールドに複数の値で設定される SMTP SMS ゲートウェイ（ClickatellViaSMTP）の 1 つの例があります。これらのすべての値は静的です（ただし $message$ 値と $mobilenumber$ 値は除きます）。これらの値が提供される目的は、そのペイロードが調節可能であり、SMTP プロバイダーによって必要とされる場合がある追加のデータを提供可能であることを示すためです。大文字で表示されている値は、プロバイダーにより提供される正しい値で置き換える必要があります（それらはそのプロバイダーにより送信されるすべての電子メールで同じです）。

ランダム データの例は次のとおりです。

HTTP を介した SMS ゲートウェイ

HTTP2SMS ゲートウェイの場合、HTTP Get request メソッドを使用するには、SMS HTTP API を入力します。

通常、SMS プロバイダーは、送信が必須の属性と任意の属性、送信する必要がある文字列の種類とポート番号（80 以外の場合）を必ず指示します。

次に示すのは、AwalJawaly SMSサービスプロバイダーに基づく例であり、使用されるURL構造はhttp://awaljawaly.awalservices.com.sa:8001/Send.aspxです。

次の必須パラメータがあります。

• 要求タイプ（SMSSubmitReq）
  
  
• ユーザ名
  
  
• Password
  
  
• [Select] を押す
  
  
• メッセージ

次のオプション パラメータがあります。 

• 発信元アドレス
  
  
• Type
  
  
• 配信時刻
  
  
• 有効期間
  
  
• 点滅
  
  
• 承認
  
  
• 最大クレジット
  
  
• クライアント メッセージ ID
  
  
• ユーザ データ ヘッダー（UDH）

これは、この例で使用される URL です。

http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$

注：上記のURLには、すべての必須フィールドが含まれています。オプション フィールドは、必要であれば文字列に追加できます。

オプション フィールドについては、次のようないくつかの注意事項があります。

1. ユーザ名とパスワードをこのリンクに含める必要があります（セキュリティ面では問題がありますが、クリア テキストを使用します）。
   
   
2. 携帯電話の番号は、スポンサー ポータルでゲスト作成操作時に、電話番号フィールドから自動的に取得されます。
   
   
3. messageフィールドは、Sponsor portal > Portal Page Customization > Notify Guests > SMS notification > Message textの場所から自動的に入力されます。

[Use HTTP POST method for data portion]を有効にしたら、HTTP POST 要求が使用されます。

POST 方式を使用する場合は、plain/text や application/xml などのコンテンツ タイプを指定します。他のすべての情報は、SMS サービス プロバイダーと共有する必要があります。

データ フィールドは、たいていの場合 POST メソッドで使用されます。GET メソッド用にデータ フィールドで使用されるすべての情報は、GET HTTP 要求の Uniform Resource Identifier（URI）の末尾に追加されます。

以下に GET HTTP 要求の URI の例を示します。

$message$ 変数が URL リンクで使用されていないものの、情報がデータ フィールドに入力されている場合、その情報は GET HTTP 要求の URI の先頭付近（メッセージ フィールド）に表示されます。

以下に GET HTTP 要求の URI の例を示します。

このエンコーディングについての注意点は次のとおりです。

• [URL] フィールド：“このフィールドは URL エンコードではありません。ゲスト アカウントの携帯電話の番号は、URL に置き換えられます。サポートされる動的置換は、$mobilenumber$ および $message$ です。
  
  
• データ フィールド：このフィールドは、application/x-www-form-urlencoded システムによってエンコードされています。 
  
  
• スペース：URL エンコーディングには 2 つのタイプがあり、スペースを扱う方法が異なっています。1 つ目のタイプ（RFC 1738 で指定される）は、スペースを URL 内の不正文字の 1 つとして扱い、%20 でエンコードします。2 つ目のタイプ（application/x-www-form-urlencoded システムの実装時）は、スペースを + 文字でエンコードし、クエリ文字列を作成するために使用されます。2 番目のオプションでは、urlencode( ) および urldecode( ) 関数を使用します。これらはローの対（RFC 1738）とは、スペースをシーケンス %20 の代わりに正符号（+）でエンコードするという点のみが異なっています。ISE はデータ フィールドの暗号化に application/x-www-form-urlencoded システムを使用するため、スペースは + 文字として暗号化されます。

注：$message$変数がURLリンクで直接使用されているか、$message$変数がデータフィールドでのみ使用されている場合、情報はSMS通知(ポータルカスタマイズページ> SMS通知)の下のメッセージテキストから取得されます。メッセージ テキスト フィールドのすべてのデータは、URL でエンコードされています。

2 つの例を示します。

以下に GET HTTP 要求の URI の例を示します。

注:GETメソッドはHTTPSをサポートしません（POSTメソッドによってのみサポートされます）。

電子メールによるクレデンシャルを使用したゲスト通知

スポンサー ポータルによってゲスト アカウントを作成するユーザは、その特定のユーザにクレデンシャルで電子メール通知を送信することができます。

この電子メールは、事前に設定された SMTP リレーを介して、ゲストの電子メール アドレスに送信されます。スポンサーは、送信元として使用できる電子メールを提供できます。スポンサーがアカウントの作成中にゲストの電子メール アドレスを提供しない場合、ISE は次のグラフィック ユーザ インターフェイス（GUI）エラーを返します。

Unable to send email.

SMTP サーバ ポリシーにより、そのような電子メールを受け入れるかドロップするかが決定されます。たとえば、ドメイン example.com からの電子メールのみを受け入れるようにサーバを構成することができます。

SMS によるクレデンシャルを使用したゲスト通知

このオプションを機能させるには、スポンサーは、特権が有効になっているスポンサー グループ内になければなりません。

Send SMS notifications with guests' credentials

デフォルトのスポンサー グループ（ALL_ACCOUNTS）では、その権限は無効になります。これを変更するには、[Guest Access] > [Configure] > [Sponsor Groups] > [ALL_ACCOUNTS]と移動します。

SMS を介して通知を選択する場合、デフォルトでは特定の SMS プロバイダーを選択するオプションはないため、デフォルトの通知が使用されます。これを変更するには、スポンサー ポータルをカスタマイズできます。 

スポンサー ポータルをカスタマイズするには、[Guest Access] > [Configure] > [Sponsor Portals] > [Sponsor Portal]と移動します。次に [Portal Page Customization]オプションを選択し、[Create Account for Known Guests] までスクロールダウンできます。

右ペイン内で、値を [Previous]から [Settings] に変更し、そのページで目的の SMS プロバイダーを選択します（複数可）。

[Guest portal Create Account for Known Guest]ページがカスタマイズされたら、ポータルを使用するスポンサーは、ゲスト アカウントの作成時に SMS プロバイダーを選択できるようになります。この同じプロバイダーが、以降の SMS 通知に使用されます。

SMS ゲートウェイが到達できない場合やエラーを返さない場合には、ISE GUI が次の通知を送信します。

Unable to send SMS.

注:SMSは、ユーザの作成時には送信されませんが、ユーザの作成が完了した後に通知ボタンをクリックすると送信されます。

ゲスト ユーザ（自己登録済み）

ゲスト アカウントは、[Self-Registered Guest] ポータルで自動的に作成できます。ゲスト ユーザは、次のようにして独自のアカウントを作成できます。

これらは（デフォルトでは）同じ Web ページでクレデンシャルとともに次のように表示されます。

これらのクレデンシャルは、電子メールまたは SMS で配信することもできます。

特定の自己登録ゲストに対して複数の SMS ゲートウェイを許可するには、[Guest Access] > [Configure] > [Guest Portals] > [Self Registered Guest Portal] > [Self Registration Page Settings]と移動します。

ゲストは、アカウントの作成時に SMS プロバイダーを選択できます。これは、携帯電話にクレデンシャルを配信するために使用されます。

登録が完了すると、パスワードは次のページに表示されます。そのようにしたくない場合は、ポータルの [Self Registration Success Settings] セクションで無効にできます。その同じページから、ゲストに電子メールまたは SMS によって通知を手動で送信することを許可できます。

電子メールまたは SMS（あるいはその両方）でクレデンシャルを自動的に送信するには、[Self Registration Page Settings]の最後のセクションをカスタマイズします。

このケースでは、電子メール アドレスと電話番号がゲスト アカウントの作成時に入力される必要があります。

これは（ユーザが登録した直後に）通知を自動的に送信できる、唯一のゲスト フローです。ゲスト ユーザ アカウントがスポンサーによって作成された場合は、このオプションは使用できず、通知はスポンサーが [Notification]ボタンを手動でクリックした後に送信されます。

電子メールによるゲストの承認

前のセクションで説明したように、ゲストは自分自身を登録し、アカウントを自動的に登録することができます。ただし、このプロセスに対してスポンサーの承認を有効にすることもできます。

その場合、スポンサーは承認を行う必要がある電子メールを受信します（電子メール内の特定のリンクをクリックして承認します）。そのように初めて、ゲスト アカウントはアクティブ化されます。この機能を設定するには（デフォルトでは無効になっています）、[Guest Access] > [Configure] > [Guest Portals] > [Self Registered Guest Portal] > [Self Registration Page Settings]と移動し、[Require self-registered guests to be approved] オプションをオンにします。

さらに、ゲスト アカウントを承認できるスポンサーの電子メール アドレスを入力する必要があります。

以下に示すのは、[Guest Email Settings]ページで設定できる追加の設定項目です。

これらの設定は、すべてのタイプのゲスト通知に適用されます（スポンサー承認のみに制限されません）。

電子メール/SMS によるゲスト アカウント有効期限

ゲスト ユーザは、アカウントの有効期限が近づいてきたときに通知を受け取ることができます。これを（ゲスト タイプごとに）設定するには、[Guest Access] > [Guest Types] > [Contractor]と移動します。

契約者であるすべてのゲストは、アカウントの有効期限が切れる 3 日前に通知を受け取ります。この通知は、SMS または電子メール（あるいはその両方）で送信できます。SMS 固有のプロバイダーを選択して、すべてのゲストに使用することができます（特定のゲストが、自己登録したり別の SMS プロバイダーの使用が許可されていたりする場合でもそのようにできます）。

同じセクションに、[Send test email to me at]オプションがあります。これにより、SMTP サーバの可用性と設定をテストできます。電子メール アドレスを入力したら、次の電子メール メッセージが送信されます。

電子メールによって送信されるアラーム

ISE は、検出されたシステム アラートに対する電子メールを送信できます。この機能を有効にするには、[Administration] > [System] > [Alarm Settings] > [Alarm Notification]と移動し、送信元および送信先電子メール アドレスに入力します。

特定のアラームが [Alarm Configuration]セクションで有効になっていることを確認します。

有効になっていると、アラームのトリガー時に電子メールが送信されます。以下に示すのは、送信される標準的なアラートの例です。

ISE Alarm : Warning : No Accounting messages in the last 15 mins

No Accounting Start

Details :
No Accounting messages in the last 15 mins

Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
 for any of the session(s) authorized by ISE Policy Service Nodes

Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
 configuration for local Authorization

*** This message is generated by Cisco Identity Services Engine (ISE) ***

Sent By Host : ise13

REST API による SMS の送信

ISE は、ゲスト ユーザの作成に、ゲスト REST API を使用できます。ゲスト ユーザを正しい SMS プロバイダーで作成すると、SMS をゲスト REST API で送信できるようになります。ランダム データの例は次のとおりです。

PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
 ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml

この例では、444 がゲスト ユーザ ID であり、長い文字列（ff2d99e0-2101-11e4-b5cf-005056bf2f0a）がポータル ID（スポンサー ポータル）です。

注：正しいスポンサーユーザの基本的なHTTP認証が必要です。詳細については、『API リファレンス ガイド』を参照してください。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

• Cisco Identity Services Engine 管理ガイド リリース 1.3
  
  
• Cisco Identity Services Engine 管理者ガイド リリース 1.4 の「ゲスト アクセスの設定」[英語]
  
  
• Cisco Identity Services Engine API リファレンス ガイド リリース 1.4 の「ゲスト ユーザへの SMS テキストの送信」[英語]
  
  
• Cisco Identity Services Engine 管理者ガイド リリース 1.3 の「SMS ゲートウェイの設定」[英語]
  
  
• Cisco ISE の管理
  
  
• テクニカル サポートとドキュメント - Cisco Systems