ユーザ アイデンティティ ソースについて
次の表に、Firepower システムでサポートされているユーザ アイデンティティ ソースの概要を示します。各アイデンティティ ソースは、ユーザ認識のためのユーザの記憶域を提供します。これらのユーザは、アイデンティティおよびアクセス コントロール ポリシーで制御できます。
ユーザ アイデンティティ ソース |
ポリシー |
サーバ要件 |
タイプ(Type) |
認証タイプ(Authentication Type) |
ユーザ認識 |
ユーザ制御 |
詳細 |
---|---|---|---|---|---|---|---|
ユーザ エージェント |
アイデンティティ |
Microsoft Active Directory |
権限のあるログイン |
パッシブ |
○ |
○ |
|
ISE/ISE-PIC |
アイデンティティ |
Microsoft Active Directory |
権限のあるログイン |
パッシブ |
○ |
○ |
|
TS エージェント |
アイデンティティ |
Microsoft Windows Terminal Server |
権限のあるログイン |
パッシブ |
○ |
○ |
|
キャプティブ ポータル |
アイデンティティ |
LDAP または Microsoft Active Directory |
権限のあるログイン |
Active |
○ |
○ |
|
リモート アクセス VPN | ID(Identity) | RADIUS、LDAP、または Microsoft Active Directory |
権限のあるログイン |
Active |
○ |
○ |
リモート アクセス VPN アイデンティティ ソース |
トラフィック ベースの検出 |
ネットワーク検出 |
適用対象外 |
権限のないログイン |
適用対象外 |
[はい(Yes)] |
[いいえ(No)] |
展開するアイデンティティ ソースを選択する際には、以下を検討してください。
-
非 LDAP ユーザ ログインにはトラフィック ベースの検出を使用する必要があります。たとえば、ユーザ エージェントのみを使用してユーザ アクティビティを検出している場合は、非 LDAP ログインを制限しても効果はありません。
-
失敗したログインまたは認証アクティビティを記録するには、トラフィック ベースの検出またはキャプティブ ポータルを使用する必要があります。失敗したログインまたは認証試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。
-
キャプティブ ポータルのアイデンティティ ソースには、ルーテッド インターフェイスを備えた管理対象デバイスが必要です。キャプティブ ポータルでインライン(タップ モードとも呼ばれます)インターフェイスを使用することはできません。
これらのアイデンティティ ソースからのデータは、Firepower Management Center のユーザ データベースとユーザ アクティビティ データベースに格納されます。Firepower Management Center サーバ ユーザ ダウンロードを設定して、新しいユーザ データがデータベースに自動的かつ定期的にダウンロードされるようにできまます。
必要なアイデンティティ ソースを使用してアイデンティティ ルールを設定したら、各ルールにアクセス コントロール ポリシーを関連付け、ポリシーを有効にするために管理対象デバイスに展開する必要があります。アクセス コントロール ポリシーおよび展開の詳細については、ユーザ条件、レルム条件、および ISE 属性条件(ユーザ制御)を参照してください。
Firepower システムでのユーザ検出の一般情報については、ユーザ アイデンティティについてを参照してください。