この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
これらの設定へのナビゲーション パスは、
です。ポータル名(Portal Name):このポータルにアクセスするための一意のポータル名を入力します。 このポータル名を、その他のスポンサーやゲスト ポータルおよび非ゲスト ポータル(ブラックリスト、個人所有デバイス持ち込み(BYOD)、クライアント プロビジョニング、モバイル デバイス管理(MDM)、またはデバイスの各ポータル)に使用しないでください。
この名前は、許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、ポータルのリストで他のポータルの中から簡単に識別するために使用されます。
[説明(Description)]:任意項目です。
ポータル テスト URL(Portal test URL):[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。 ポータルをテストするために使用します。
リンクをクリックすると、このポータルの URL を表示する新しいブラウザ タブが開きます。これを有効にするには、ポリシー サービスを含むポリシー サービス ノード(PSN)をオンにする必要があります。ポリシー サービスがオンになっていない場合、PSN は管理者用ポータルのみを表示します。
(注) | テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。 |
言語ファイル(Language File):各ポータル タイプは、デフォルトで 15 種類の言語をサポートします。これらの言語は、個々のプロパティ ファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内にまとめてバンドルされています。 ポータルで使用する圧縮言語ファイルをエクスポートまたはインポートします。圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の言語ファイルがすべて含まれています。
言語ファイルには、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定(例:フランス語の場合は fr、fr-fr、fr-ca)へのマッピングが含まれています。1 つの言語ファイルには、翻訳およびローカリゼーションの目的に容易に使用できるように、サポートされるすべての言語が含まれています。
1 つの言語用のブラウザ ロケール設定を変更した場合、変更内容は他のすべてのエンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータルの French.properties ブラウザ ロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、この変更内容がデバイス ポータルにも適用されます。
[ポータルページのカスタマイズ(Portal Page Customizations)] タブでいずれかのポータル ページ テキストをカスタマイズすると、警告アイコンが表示されます。警告メッセージは、ポータルのカスタマイズ時に 1 つの言語で行った変更をすべてのサポート対象の言語プロパティ ファイルで更新するように注意を促します。ドロップダウン リストのオプションを使用して、手動で警告アイコンが表示されないようにします。また、警告アイコンは、更新された圧縮言語ファイルのインポート後に自動的に表示されなくなります。
このページへのナビゲーション パスは、
です。[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
[証明書グループ タグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。
エンドポイント ID グループ(Endpoint identity group):ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
従業員のデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する RegisteredDevices のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
__日に達した場合にこの ID グループ内のエンドポイントを消去する(Purge endpoints in this identity group when they reach __ days):Cisco ISE データベースから消去されるまでの、ユーザのデバイスの登録からの日数を変更します。消去は毎日実行され、消去アクティビティは全体的な消去タイミングと同期されます。変更は、このエンドポイント ID グループ全体に適用されます。
その他のポリシー条件に基づいてエンドポイント消去ポリシーに変更が加えられた場合、この設定は使用できなくなります。
表示言語
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
このページへのナビゲーション パスは、
です。[AUP ページを含める(Include an AUP page)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。
[アクセス コードが必要(Require an access code)]:複数のゲストがネットワークへのアクセスを獲得ために使用する必要があるログイン クレデンシャルとして、アクセス コードを割り当てます。アクセス コードは、物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、またはロビー アンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。
個別のゲストにログイン クレデンシャルとして提供されるユーザ名とパスワードに加えて、このオプションを使用できます。
フィールド | 使用上のガイドライン |
---|---|
アクセス後バナー ページを含める(Include a Post-Access Banner page) |
ゲストが正常に認証された後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
このページへのナビゲーション パスは、
です。[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
[認証方式(Authentication Method)]:ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダー(IdP)を選択します。ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。
Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。
IdP を設定するには、
の順に選択します。ID ソース順序を設定するには、[管理(Administration)] > [IDの管理(Identity Management)] > [IDソース順序(Identity Source Sequences)] の順に選択します。
ゲストとしてこのポータルを使用する従業員のログイン オプションの継承元(Employees using this portal as guests inherit login options from):従業員がこのポータルにログオンしたときに割り当てられるゲスト タイプを選択します。従業員のエンドポイント データは、そのゲスト タイプで属性 [エンドポイント ID グループにデバイス情報を保存する(Store device information in endpoint identity group)] に設定されたエンドポイント ID グループに保存されます。関連付けられたゲスト タイプの他の属性は継承されません。
表示言語
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
このページへのナビゲーション パスは、
です。[アクセス コードが必要(Require an access code)]:複数のゲストがネットワークへのアクセスを獲得ために使用する必要があるログイン クレデンシャルとして、アクセス コードを割り当てます。アクセス コードは、物理的に存在するゲストに対して指定される、主にローカルで認識されるコードです(ホワイトボードによって視覚的に、またはロビー アンバサダーにより口頭で)。これは、ネットワークにアクセスするために部外者に認知されることも使用されることもありません。
個別のゲストにログイン クレデンシャルとして提供されるユーザ名とパスワードに加えて、このオプションを使用できます。
[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。
[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)]:[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間(スロットル率)を分単位で設定します。
[AUP を含める(Include an AUP)]:フローに利用規約ページを追加します。AUP をページに追加したり、別のページへのリンクを設定することができます。これを追加すると、右側のフローの画像が変わります。
[同意が必要(require acceptance)]:フローを続行する前に、ユーザが AUP に同意するように強制します。
[ゲストに自分自身のアカウントの作成を許可(Allow guests to create their own accounts)]:このポータルの [ログイン(Login)] ページで、ゲストが自身を登録するためのオプションが提供されます。このオプションが選択されていない場合は、スポンサーがゲスト アカウントを作成します。これを有効にすることで、このページのタブが有効になり、[アカウント登録ページの設定(Self-Registration Page Settings)] および [アカウント登録成功ページの設定(Self-Registration Success Page Settings)] を設定できます。
ゲストがこのオプションを選択した場合、自身のゲスト アカウントを作成するために必要な情報を入力できるアカウント登録フォームが示されます。
[ソーシャル ログインを許可(Allow Social Login)]:このポータルのユーザのログイン クレデンシャルを取得するためにソーシャル メディア サイトを使用します。このオプションをチェックすると、次の設定が表示されます。
[ソーシャル ログイン後に登録フォームを表示(Show registration form after social login)]:これにより、ユーザは Facebook によって提供される情報を変更できます。
[ゲストの承認が必要(Require guests to be approved)]:スポンサーがアカウントを承認する必要があることをユーザに通知し、ログイン用のクレデンシャルを送信します。
[ゲストにログイン後のパスワード変更を許可(Allow guests to change password after login)]:ゲストが正常に認証され、AUP に同意した後に、ゲストに必要に応じてパスワードを変更することを許可します。
ゲストが自分のパスワードを変更した場合、スポンサーはゲストにログイン クレデンシャル情報を提供できません。スポンサーは、ゲストのパスワードをランダム パスワードにリセットすることだけが可能です。
[ログインに次の ID プロバイダ ゲスト ポータルの使用を許可(Allow the following identity-provider guest portal to be used for login)]:このオプションをオンにし、SAML Id ID プロバイダを選択すると、その SAML ID のリンクがこのポータルに追加されます。このサブ ポータルは、ユーザが証明書を提供している SAML IDP のように見えるように設定できます。
[ソーシャル ログインを許可(Allow social login)]:このポータルはすべて、ユーザ ログインにソーシャル メディア タイプを使用します。この項目を選択すると、設定したソーシャル メディア タイプをドロップダウンで選択できます。ソーシャル ログインの設定の詳細については、自己登録ゲストのソーシャル ログイン を参照してください。
[ソーシャル ログイン後にゲスト フォームを表示(Show guest form after social login)]:このオプションを選択すると、ログオン画面がスキップされます。
このページへのナビゲーション パスは、
です。これらの設定を使用して、ゲストが自身を登録し、提供する必要がある情報をアカウント登録フォームで指定できるようにします。[アカウント登録ゲストに割り当てるゲスト タイプ(Assign self-registered guests to guest type)]:このポータルを使用するすべてのアカウント登録ゲストに割り当てられるゲスト タイプを選択します。
[アカウントの有効期間(Account valid for)]:アカウントの有効期間を、日、時間、または分で指定します。この期間を超過した場合、管理者またはスポンサーがスポンサー ポータルでアカウント有効期間を延長した場合を除き、アカウントは失効します。
[アカウント登録に登録コードを必要とする(Require a registration code for self registration)]:アカウント登録ゲストがアカウント登録フォームを正常に送信するために入力する必要があるコードを割り当てます。部外者がシステムにアクセスすることを防ぐために、アクセス コードと同様に、登録コードはオフラインで提供されます。
[含めるフィールド(Fields to include)]:アカウント登録ページ上で、アカウント登録フォームに表示するフィールドのチェックボックスをオンにします。その後、ゲストがこのフォームを送信してゲスト アカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。アカウント登録ゲストから重要な情報を収集するために、[SMS サービス プロバイダー(SMS Service Provider)] および [訪問先担当者(Person being Visited)] フィールドを必須にすることができます。
[場所(Location)]:アカウント登録のゲストが定義済みリストを使用して登録時に選択できる場所を入力します。これにより、これらのゲストの有効なアクセス時間として自動的に関連するタイム ゾーンが割り当てられます。場所の名前は、選択時に混乱を回避するために具体的にする必要があります(たとえば、ボストン オフィス、500 Park Ave New York、シンガポールなど)
ゲスト アクセスを時間で制限する予定の場合は、その時間を設定するときにタイム ゾーンを使用します。アクセス時間が制御されたゲスト全員がサンノゼのタイム ゾーンにいる場合を除き、各自のロケールのタイム ゾーンを作成します。場所が 1 つだけである場合は、その場所がデフォルトの場所として自動的に割り当てられ、ポータルではこのフィールドがゲストに対して表示されません。また、[場所(Location)] は、[含めるフィールド(Fields to include)] のリスト内で無効になります。
[SMS サービス プロバイダー(SMS Service Provider)]:アカウント登録フォームに SMS プロバイダーを表示して、アカウント登録ゲストが自分の SMS プロバイダーを選択できるようにします。これで、会社の経費を最小化するために、ゲストの SMS サービスを使用して SMS 通知を送信できるようになります。ゲストが使用できる SMS プロバイダーを 1 つだけ選択した場合は、このフィールドはアカウント登録フォームに表示されません。
[訪問先担当者(Person being Visited)]:これはテキスト フィールドであるため、このフィールドを使用する場合には、ゲストに対し、このフィールドに入力する情報について説明してください。
[カスタム フィールド(Custom Fields)]:アカウント登録ゲストから追加のデータを収集するために作成したカスタム フィールドを選択します。その後、ゲストがアカウント登録フォームを送信してゲスト アカウントを受信するために入力が必須であるフィールドのチェックボックスをオンにします。これらのフィールドは名前のアルファベット順に表示されます。これらのフィールドは、カスタム フィールドを追加するため、
で作成されます。[AUP を含める(Include an AUP)]:会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。
[同意が必要(Require acceptance)]:ユーザが AUP を最後まで読んだことを確認します。これにより、アカウント登録ページの [同意する(Accept)] ボタンが設定されます。AUP が [ページ(as on page)] として設定されている場合、ユーザが AUP の終わりまでスクロールするまでは [同意する(Accept)] ボタンを無効にするように設定できます。
[次の電子メール アドレスを持つゲストのみを許可(Only allow guests with an email address from)]:アカウント登録ゲストが電子メール アドレスを作成するときに [電子メール アドレス(Email Address)] で使用できるドメイン(例:cisco.com)のホワイトリストを指定します。
このフィールドを空白のままにすると、[次の電子メール アドレスを持つゲストを許可しない(Do not allow guests with email address from)] にリストされているドメイン以外のすべての電子メール アドレスが有効になります。
[次の電子メール アドレスを持つゲストを許可しない(Do not allow guests with email address from)]:アカウント登録ゲストが電子メール アドレスを作成するときに [電子メール アドレス(Email Address)] に使用できないドメイン(例:czgtgj.com)のブラックリストを指定します。
[アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)]:このポータルを使用するアカウント登録ゲストは、ゲストのクレデンシャルを受信する前にスポンサーによる承認が必要であることを指定します。このオプションをクリックすると、スポンサーがアカウント登録ゲストを承認する方法に関する追加のオプションが表示されます。詳細については、電子メールによるアカウント登録のアカウントの承認を参照してください。
[承認要求電子メール送信先(Email approval request to)]:次のいずれかを選択します。
[下に示すスポンサーの電子メールアドレス(sponsor email addresses listed below)]:承認者として指名されたスポンサーの 1 つ以上の電子メール アドレス、またはすべてのゲストの承認要求の送信先となるメール ソフトウェアを入力します。
[訪問先担当者(person being visited)]:[スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication)] フィールドが表示され、[含めるフィールド(Fields to include)] の [必須(Required)] オプションが有効になります(以前は無効だった場合)。これらのフィールドはアカウント登録フォームに表示され、アカウント登録ゲストからこの情報を要求します。
[承認/拒否のリンクの設定(Approve/Deny Link Settings)]:このセクションでは次の内容を設定できます。
[リンクの有効期間(Links are valid for)]:アカウント承認リンクの有効期間を設定できます。
[スポンサーに承認用クレデンシャルの入力を求める(Require sponsor to provide credentials for authentication )]:このセクションの設定でスポンサーによるアカウント承認用のクレデンシャルの入力が必須ではない場合にも、スポンサーにこの情報を入力させるには、このフィールドをオンにします。このフィールドは、[アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] が [訪問先担当者(person being visited)] に設定されている場合にだけ表示されます。
[承認権限を検証するためスポンサーがスポンサー ポータルと照合される(Sponsor is matched to a Sponsor Portal to verify approval privileges)]:[詳細 >(Details >)] をクリックして、スポンサーが有効なシステム ユーザであり、スポンサー グループのメンバーであり、そのスポンサー グループのメンバーにアカウント承認権限があることを確認するために検索されるポータルを選択します。各スポンサー ポータルには、スポンサーを識別するために使用される ID ソース シーケンスがあります。ポータルはリストされている順序で使用されます。リストの 1 番目のポータルは、スポンサー ポータルで使用されているスタイルとカスタマイズ内容を決定します。
[登録の送信後のゲストの誘導先(After registration submission, direct guest to)]:登録の正常完了後にアカウント登録ゲストを誘導する場所を選択します。
[アカウント登録成功(Self-Registration Success)] ページ:アカウント登録に成功したゲストを [アカウント登録成功(Self-Registration Success)] ページに誘導します。このページには、[アカウント登録成功ページ設定(Self Registration Success Page Settings)] で指定したフィールドとメッセージが表示されます。
すべての情報を表示することが望ましくない場合があります。システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があるためです。
[アカウント登録成功ページの設定(Self Registration Success Page Settings)] で [ゲストのアカウント登録成功ページからの直接ログインを許可する(Allow guests to log in directly from the Self-Registration Success page)] を有効にした場合、アカウント登録に成功したゲストはこのページから直接ログインすることができます。これが有効になっていない場合、ゲストは [アカウント登録成功(Self-Registration Success)] ページが表示された後にポータルのログイン ページに誘導されます。
[ログイン クレデンシャルを取得する方法の手順を含むログイン ページ(Login page with instructions about how to obtain login credentials)]:アカウント登録に成功したゲストをポータルのログイン ページに再び誘導し、「ゲスト クレデンシャルが電子メール、SMS、または印刷物で提供されるのを待ってからログインに進んでください。」などのメッセージを表示します。
デフォルト メッセージをカスタマイズするには、[ポータル ページのカスタマイズ(Portal Page Customization)] タブをクリックして、[アカウント登録ページ設定(Self Registration Page Settings)] を選択します。
システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があります。
[URL]:アカウント登録に成功したゲストを、アカウント クレデンシャルの提供を待機している間に、指定された URL に誘導します。
システムはアカウントの承認待ち(このページで有効になっている場合)であるか、またはこのページで指定されたホワイトリスト、ブラックリスト ドメインに基づいて電子メール アドレスまたは電話番号にログイン クレデンシャルを提供する可能性があります。
[クレデンシャル通知自動送信手段(Send credential notification automatically using)]:
[電子メール(Email)]:アカウント登録に成功したゲストがログイン クレデンシャルを受信する手段のオプションとして電子メールを選択します。このオプションを選択した場合、[電子メール アドレス(Email address)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。
[SMS]:アカウント登録に成功したゲストがログイン クレデンシャルを受信する手段のオプションとして SMS を選択します。このオプションを選択した場合、[SMS サービス プロバイダー(SMS Service Provider)] が [含めるフィールド(Fields to include)] のリストで必須フィールドになり、このオプションを無効にできなくなります。
フィールド | 使用上のガイドライン |
---|---|
アカウント登録の成功ページにこの情報を含める(Include this information on the Self-Registration Success page) |
[アカウント登録成功(Self-Registration Success)] ページで正常に登録されたゲストに表示されるフィールドのチェックボックスをオンにします。 スポンサーによるゲストの承認が必要ない場合は、[ユーザ名(Username)] と [パスワード(Password)] のチェックボックスをオンにして、ゲストにこれらのクレデンシャルを表示します。スポンサーの承認が必要な場合、クレデンシャルはゲストが承認された後にのみ提供されるため、これらのフィールドを無効にします。 |
ゲストは次の手段で情報を自分に送信できる(Allow guest to send information to self using) |
正常にアカウント登録したゲストが自分自身にクレデンシャル情報を送信するためのオプションのチェックボックスをオンにします。[印刷(Print)]、[電子メール(Email)]、または [SMS]。 |
AUP をページに含める/AUP をリンクとして含める(Include an AUP (on page/as link)) |
会社のネットワーク使用の諸条件を、現在ユーザに表示されるページ上のテキストとして、または AUP テキストが含まれる新しいタブまたはウィンドウを開くリンクとして表示します。 |
同意が必要(Require acceptance) |
ユーザのアカウントが完全に有効になる前に、ユーザは AUP に同意する必要があります。[ログイン(Login)] ボタンは、ユーザが AUP を受け入れない場合は有効になりません。ユーザが AUP に同意しない場合、ネットワークにアクセスできません。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
このフィールドは、[ページ上の AUP(AUP on page)] オプションを選択した場合のみ表示されます。 ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
ゲストをアカウント登録の成功ページから直接ログインできるようにする(Allow guests to log in directly from the Self-Registration Success page) |
[アカウント登録の成功(Self-Registration Success)] ページ下部に [ログイン(Login)] ボタンを表示します。これにより、ゲストはログイン ページをバイパスし、自動的にログイン クレデンシャルをポータルに提供して、ポータル フローの次のページ(たとえば AUP ページ)を表示できるようになります。 |
このページへのナビゲーション パスは、
です。[AUP ページを含める(Include an AUP page)]:会社のネットワーク使用諸条件を、別のページでユーザに表示します。
[従業員に別の AUP を使用する(Use different AUP for employees)]:従業員専用に別の AUP およびネットワーク使用諸条件を表示します。このオプションを選択すると、[従業員用の AUP をスキップ(Skip AUP for employees)] は選択できません。
[従業員用の AUP をスキップ(Skip AUP for employees)]:従業員は、ネットワークにアクセスする前に AUP に同意する必要はありません。このオプションを選択すると、[従業員に別の AUP を使用する(Use different AUP for employees)] は選択できません。
[AUP の最後までのスクロールが必要(Require scrolling to end of AUP)]:[AUP をページに含める(Include an AUP on page)] を有効にした場合にのみ、このオプションが表示されます。
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。AUP がユーザに表示された場合に設定します。
[初回のログインのみ(On first login only)]:ユーザが初めてネットワークまたはポータルにログインしたときに AUP を表示します。
[ログインごと(On every login)]:ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。
[__ 日ごと(初回のログインから)(Every __ days (starting at first login))]:ネットワークやポータルにユーザが初めてログインした後は、AUP を定期的に表示します。
このページへのナビゲーション パスは、
です。[ゲストにログイン後のパスワード変更を許可(Allow guests to change password after login)]:ゲストが正常に認証され、AUP に同意した後に、ゲストに必要に応じてパスワードを変更することを許可します。
ゲストが自分のパスワードを変更した場合、スポンサーはゲストにログイン クレデンシャル情報を提供できません。スポンサーは、ゲストのパスワードをランダム パスワードにリセットすることだけが可能です。
このページへのナビゲーション パスは、
です。これらの設定を使用して、ゲストがログインしたら Cisco ISE がゲストのデバイスを自動的に登録するようにするか、ゲストがログイン後に手動で自身のデバイスを登録することを許可できます。
各ゲスト タイプの最大デバイス数は、
で指定されます。許可ルールの作成が可能になり、該当 ID グループ内のエンドポイントへのアクセスが許可されます。そのため、Web 認証は不要になります。
登録済みデバイスの最大数に到達すると、システムは自動的に最初の登録デバイスを削除し、ゲストがログインしようとしているデバイスを登録し、このことをゲストに通知します。
を選択し、ゲストが登録できるデバイスの最大数を変更します。登録済みデバイスの最大数に到達した場合に別のデバイスを登録できるようにするには、ゲストは少なくとも 1 個のデバイスを削除する必要があります。
フィールド | 使用上のガイドライン |
---|---|
ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
このページへのナビゲーション パスは、
です。これらの設定を使用して、ネットワークにアクセスするためにデバイスのクライアント プロビジョニングを実行するようゲストおよびゲスト ポータルを使用する従業員に要求します。ゲストが、ネットワークへのアクセスにクレデンシャルを持つゲスト ポータルを使用している従業員の場合:
[BYOD 設定(BYOD Settings)] で [従業員にネットワークでのパーソナル デバイスの使用を許可する(Allow employees to use personal devices on the network)] が有効になっている場合、従業員は BYOD フローにリダイレクトされ、クライアントのプロビジョニングは実行されません。
[BYOD 設定(BYOD Settings)] で [従業員にネットワークでのパーソナル デバイスの使用を許可する(Allow employees to use personal devices on the network)] および [従業員にゲスト アクセスの選択のみを許可する(Allow employees to choose to get guest access only)] が有効になっていて、従業員がゲスト アクセスを選択する場合、[クライアント プロビジョニング(Client Provisioning)] ページにルーティングされます。
このページへのナビゲーション パスは、
です。[VLAN DHCP リリースを有効にする(Enable VLAN DHCP release)]:有線環境と無線環境の両方で VLAN が変更された後、Windows および Mac OS デバイスのゲストの IP アドレスを更新します。
これは、ネットワーク アクセスでゲスト VLAN が新しい VLAN に変更されたときに、最終的な許可処理時の中央 WebAuth(CWA)フローに影響します。ゲストの古い IP アドレスは VLAN の変更の前にリリースされる必要があり、ゲストが新しい VLAN に接続するときに新しいゲスト IP アドレスが DHCP を介して要求される必要があります。IP アドレスのリリースおよび更新操作は、使用しているブラウザおよびオペレーティング システムによって異なります。Internet Explorer は ActiveX コントロールを使用し、Firefox と Google Chrome は Java アプレットを使用します。Internet Explorer 以外のブラウザでは、ブラウザで Java をインストールして有効にする必要があります。
VLAN DHCP リリース オプションは、モバイル デバイスでは動作しません。代わりに、ゲストが IP アドレスを手動でリセットする必要があります。この方法はデバイスによって異なります。たとえば、Apple iOS デバイスでは、ゲストは Wi-Fi ネットワークを選択して、[リースを更新(Renew Lease)] ボタンをクリックできます。
[リリースを__秒遅延(Delay to release __ seconds)]:リリース遅延時間を入力します。リリースは、アプレットをダウンロードした直後から、Cisco ISE サーバが CoA 要求を再認証するよう NAD に指示するまでの間に行う必要があるため、この時間は短くすることを推奨します。
[CoA を__秒遅延(Delay to CoA __ seconds)]:Cisco ISE が CoA の実行を遅延する時間を入力します。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、アプレットによるクライアント上での IP リリースのダウンロードと実行を可能にします。
[更新を__秒遅延(Delay to renew __ seconds)]:更新を遅延する値を入力します。この時間は IP リリース値に追加され、コントロールがダウンロードされるまで計時が開始されません。十分な時間を指定して(ガイドラインとしてデフォルト値を使用)、CoA の処理を可能にし、新しい VLAN アクセスが付与されるようにします。
これらの設定では、ユーザ(状況に応じてゲスト、スポンサーまたは従業員)に認証の成功が通知されるか、または URL が表示されます。[認証されたらゲストに次を表示:(Once authenticated, take guest to:)] で、次のフィールドを設定します。
元の URL(Originating URL):ネットワークへの認証に成功すると、可能な場合はユーザのブラウザを、ユーザがアクセスしようとしていた元の Web サイトにリダイレクトします。リダイレクトできない場合は、認証成功ページが表示されます。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。
Windows、MAC、および Android デバイスの場合、制御はプロビジョニングを実行するセルフプロビジョニング ウィザード アプリケーションに渡されます。そのため、これらのデバイスは元の URL にリダイレクトされません。ただし、iOS(dot1X)およびサポート対象外のデバイス(ネットワーク アクセスが許可されている)では、この URL にリダイレクトされます。
認証の成功ページ(Authentication Success page):ユーザの認証に成功した通知。
URL:ネットワークへの認証に成功すると、ユーザのブラウザを指定された URL(会社の Web サイトなど)にリダイレクトします。
(注) | 認証後に外部 URL にゲストをリダイレクトする場合、URL アドレスを解決して、セッションがリダイレクトされるまでに遅延が生じることがあります。リダイレクト URL が NAD のアクセス コントロール リストとその NAD の ISE で設定された許可プロファイルにより、PSN のポート 8443 で動作することを確認します。 |
フィールド | 使用上のガイドライン |
---|---|
サポート情報ページを含める(Include a Support Information Page) |
該当ポータルのすべての有効なページ上で、問い合わせ先などの情報へのリンクを表示します。 |
MAC アドレス |
[サポート情報(Support Information)] ページにデバイスの MAC アドレスを含めます。 |
IP アドレス |
[サポート情報(Support Information)] ページにデバイスの IP アドレスを含めます。 |
ブラウザのユーザ エージェント(Browser user agent) |
[サポート情報(Support Information)] ページに、要求の発信元のユーザ エージェントの製品名とバージョン、レイアウト エンジン、バージョンなど、ブラウザの詳細を含めます。 |
ポリシー サーバ(Policy server) |
[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシー サービス ノード(PSN)の IP アドレスを含めます。 |
障害コード(Failure code) |
可能な場合は、ログ メッセージ カタログ内の対応する番号を含めます。メッセージ カタログにアクセスしてこれを表示するには、 に移動します。 |
フィールドを隠す(Hide field) |
含める情報が存在しない場合、[サポート情報(Support Information)] ページ上の該当するフィールド ラベルを表示しません。たとえば、障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。 |
値のないラベルを表示(Display label with no value) |
含める情報が存在しない場合でも、選択されているすべてのフィールドのラベルを [サポート情報(Support Information)] ページに表示します。たとえば、障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。 |
デフォルト値でラベルを表示(Display label with default value) |
[サポート情報(Support Information)] ページ上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。たとえば、このフィールドに「Not Available」と入力した場合に障害コード不明が不明な場合は、[障害コード(Failure code)] に [使用できません(Not Available)] と表示されます。 |
スポンサー ポータル アプリケーションの設定
これらの設定へのナビゲーション パスは、
です。ポータル名(Portal Name):このポータルにアクセスするための一意のポータル名を入力します。 このポータル名を、その他のスポンサーやゲスト ポータルおよび非ゲスト ポータル(ブラックリスト、個人所有デバイス持ち込み(BYOD)、クライアント プロビジョニング、モバイル デバイス管理(MDM)、またはデバイスの各ポータル)に使用しないでください。
この名前は、許可プロファイルのポータルの選択でリダイレクションの選択肢として表示され、ポータルのリストで他のポータルの中から簡単に識別するために使用されます。
[説明(Description)]:任意項目です。
ポータル テスト URL(Portal test URL):[保存(Save)] をクリックした後にリンクとして表示されるシステムにより生成された URL。 ポータルをテストするために使用します。
リンクをクリックすると、このポータルの URL を表示する新しいブラウザ タブが開きます。これを有効にするには、ポリシー サービスを含むポリシー サービス ノード(PSN)をオンにする必要があります。ポリシー サービスがオンになっていない場合、PSN は管理者用ポータルのみを表示します。
(注) | テスト ポータルは RADIUS セッションをサポートしていないため、すべてのポータルに対するポータル フローの全体は表示されません。BYOD およびクライアント プロビジョニングは RADIUS セッションに依存するポータルの例です。たとえば、外部 URL へのリダイレクションは機能しません。 |
言語ファイル(Language File):各ポータル タイプは、デフォルトで 15 種類の言語をサポートします。これらの言語は、個々のプロパティ ファイルとして使用できます。これらのファイルは、圧縮された単一の言語ファイル内にまとめてバンドルされています。 ポータルで使用する圧縮言語ファイルをエクスポートまたはインポートします。圧縮言語ファイルには、ポータルのテキストを表示するために使用可能な個別の言語ファイルがすべて含まれています。
言語ファイルには、その言語のポータル全体のすべての文字列設定に加え、特定のブラウザのロケール設定(例:フランス語の場合は fr、fr-fr、fr-ca)へのマッピングが含まれています。1 つの言語ファイルには、翻訳およびローカリゼーションの目的に容易に使用できるように、サポートされるすべての言語が含まれています。
1 つの言語用のブラウザ ロケール設定を変更した場合、変更内容は他のすべてのエンドユーザ Web ポータルに適用されます。たとえば、ホットスポット ゲスト ポータルの French.properties ブラウザ ロケールを fr,fr-fr,fr-ca から fr,fr-fr に変更すると、この変更内容がデバイス ポータルにも適用されます。
[ポータルページのカスタマイズ(Portal Page Customizations)] タブでいずれかのポータル ページ テキストをカスタマイズすると、警告アイコンが表示されます。警告メッセージは、ポータルのカスタマイズ時に 1 つの言語で行った変更をすべてのサポート対象の言語プロパティ ファイルで更新するように注意を促します。ドロップダウン リストのオプションを使用して、手動で警告アイコンが表示されないようにします。また、警告アイコンは、更新された圧縮言語ファイルのインポート後に自動的に表示されなくなります。
これらの設定を設定して、ポータルを特定し、すべてのポータル ページで使用する言語ファイルを選択します。
[HTTPS ポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルト ポータルで 8443 です。ただし、ブラックリスト ポータルは 8444 です。この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、この制限に従うようにポート設定を更新します。
ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。
ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、ゲスト ポータルへの割り当てと同じポートを使用します。
同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループ タグを使用する必要があります。次に例を示します。
[使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネット インターフェイスを設定する必要があります。
これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。
イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。
ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。
ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。
ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリ インターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。
ボンディングされた NIC のみが選択されている場合:PSN がポータルを設定しようとすると、最初にボンディング インターフェイスを設定しようとします。これが成功しない場合、おそらくは、その PSN でボンディングが設定されていないために、PSN でエラーが記録されて終了します。PSN は物理インターフェイスでのポータルの開始を試みません。
NIC チーミングまたはボンディングは、高可用性(耐障害性)のために 2 つの個別の NIC を設定できる、O/S 設定オプションです。どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。
[証明書グループ タグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループ タグを選択します。
[完全修飾ドメイン名(FQDN)(Fully Qualified Domain Name (FQDN))]:スポンサーまたはデバイス ポータルに対応する 1 つの固有の FQDN またはホスト名を入力します。たとえば、sponsorportal.yourcompany.com,sponsor と入力することで、ユーザはブラウザにこれらのいずれかを入力すると、スポンサー ポータルが表示されます。カンマを使用して名前を区切りますが、エントリ間にスペースを挿入しないでください。
デフォルトの FQDN を変更する場合は、次を実行します。
DNS を更新して、新しい URL の FQDN が有効なポリシー サービス ノード(PSN)の IP アドレスに解決するようにします。PSN のプールを提供するロード バランサの仮想 IP アドレスを指定することもできます。
名前の不一致による証明書の警告メッセージを回避するために、Cisco ISE PSN のローカル サーバ証明書のサブジェクト代替名(SAN)属性に、カスタマイズされた URL の FQDN またはワイルドカードを含めます。
[認証方式(Authentication Method)]:ユーザ認証に使用する ID ソース順序(ISS)または ID プロバイダー(IdP)を選択します。ISS は、ユーザ クレデンシャルを確認するために順番に検索される ID ストアのリストです。たとえば、内部ゲスト ユーザ、内部ユーザ、Active Directory、LDAP ディレクトリ などがあります。
Cisco ISE には、スポンサー ポータル Sponsor_Portal_Sequence 用のデフォルトのスポンサー ID ソース順序が含まれています。
IdP を設定するには、
の順に選択します。ID ソース順序を設定するには、[管理(Administration)] > [IDの管理(Identity Management)] > [IDソース順序(Identity Source Sequences)] の順に選択します。
[アイドル タイムアウト(Idle timeout)]:ポータルでアクティビティがない場合にユーザをログアウトするまでに Cisco ISE が待機する時間(分)を入力します。有効な範囲は 1 ~ 30 分です。
表示言語
[ブラウザのロケールを使用する(Use browser locale)]:クライアント ブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザ ロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。
[フォールバック言語(Fallback language)]:ブラウザ ロケールから言語を取得できない場合、またはブラウザ ロケール言語が ISE でサポートされていない場合に使用する言語を選択します。
[常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
[スポンサーに使用可能な SSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。
このページへのナビゲーション パスは、
です。[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)]:Cisco ISE がアカウントのスロットルを開始するまでの単一のブラウザ セッションからのログイン試行失敗回数を指定します。これにより、アカウントのロックアウトは起きません。スロットル率は、[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)] で設定されます。
[頻度制限時のログイン試行間隔(Time between login attempts when rate limiting)]:[頻度制限までの最大ログイン試行失敗数(Maximum failed login attempts before rate limiting)] で定義された回数のログインの失敗後に、ユーザが再度ログインを試行するまでに待機する必要がある時間(スロットル率)を分単位で設定します。
[AUP を含める(Include an AUP)]:フローに利用規約ページを追加します。AUP をページに追加したり、別のページへのリンクを設定することができます。これを追加すると、右側のフローの画像が変わります。
[同意が必要(require acceptance)]:フローを続行する前に、ユーザが AUP に同意するように強制します。
フィールド | 使用上のガイドライン |
---|---|
AUP ページを含める(Include an AUP page) |
会社のネットワーク使用諸条件を、別のページでユーザに表示します。 |
AUP の最後までのスクロールが必要(Require scrolling to end of AUP) |
ユーザが AUP を最後まで読んだことを確認します。[同意(Accept)] ボタンは、ユーザが AUP の最後までスクロールするとアクティブになります。 |
初回のログインのみ(On first login only) |
ユーザがネットワークまたはポータルに初めてログインしたときのみ、AUP を表示します。 |
ログインごと(On every login) |
ユーザがネットワークまたはポータルにログインするごとに、AUP を表示します。 |
__日ごと(初回のログインから)(Every __ days (starting at first login)) |
ユーザがネットワークまたはポータルに初めてログインした後に、定期的に AUP を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
ユーザが正常にログインした後、ネットワーク アクセスを付与される前に追加情報を表示します。 |
フィールド | 使用上のガイドライン |
---|---|
サポート情報ページを含める(Include a Support Information Page) |
該当ポータルのすべての有効なページ上で、問い合わせ先などの情報へのリンクを表示します。 |
MAC アドレス |
[サポート情報(Support Information)] ページにデバイスの MAC アドレスを含めます。 |
IP アドレス |
[サポート情報(Support Information)] ページにデバイスの IP アドレスを含めます。 |
ブラウザのユーザ エージェント(Browser user agent) |
[サポート情報(Support Information)] ページに、要求の発信元のユーザ エージェントの製品名とバージョン、レイアウト エンジン、バージョンなど、ブラウザの詳細を含めます。 |
ポリシー サーバ(Policy server) |
[サポート情報(Support Information)] ページに、このポータルを提供している ISE ポリシー サービス ノード(PSN)の IP アドレスを含めます。 |
障害コード(Failure code) |
可能な場合は、ログ メッセージ カタログ内の対応する番号を含めます。メッセージ カタログにアクセスしてこれを表示するには、 に移動します。 |
フィールドを隠す(Hide field) |
含める情報が存在しない場合、[サポート情報(Support Information)] ページ上の該当するフィールド ラベルを表示しません。たとえば、障害コードが不明であるために空白である場合、[障害コード(Failure code)] は、選択されている場合でも表示されません。 |
値のないラベルを表示(Display label with no value) |
含める情報が存在しない場合でも、選択されているすべてのフィールドのラベルを [サポート情報(Support Information)] ページに表示します。たとえば、障害コードが不明な場合、[障害コード(Failure code)] は空白であっても表示されます。 |
デフォルト値でラベルを表示(Display label with default value) |
[サポート情報(Support Information)] ページ上の選択されているフィールドに含まれる情報が存在しない場合、このテキストがこれらのすべてのフィールドに表示されます。たとえば、このフィールドに「Not Available」と入力した場合に障害コード不明が不明な場合は、[障害コード(Failure code)] に [使用できません(Not Available)] と表示されます。 |
これらの設定へのナビゲーション パスは、
です。[ページのカスタマイズ(Page Customizations)] で、スポンサーがスポンサー ポータルからゲストに送信する通知に表示される、メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンのラベルをカスタマイズできます。
[設定(Settings)] では、スポンサーが電子メールまたは SMS を使用してゲストにユーザ名とパスワードを個別に送信できるかどうかを指定できます。また、ヘルプ デスクがアクセスの問題をトラブルシューティングするために使用できる情報を提供するために、スポンサーがゲストに [サポート情報(Support Information)] ページを表示できるかどうかを指定できます。
これらの設定へのナビゲーション パスは、
です。[ページのカスタマイズ(Page Customizations)] で、スポンサー ポータルの [管理と承認(Manage and Approve)] タブに表示される、メッセージ、タイトル、コンテンツ、手順、およびフィールドやボタンのラベルをカスタマイズできます。
これらには、アカウント(登録済みおよび保留)の概要および詳細ビュー、スポンサーがゲスト アカウントに対して実行する編集、拡張、一時停止などの操作に基づいて表示されるポップアップ ダイアログ、さらに汎用ポータルやアカウント アクション メッセージが含まれています。
グローバル設定(Global Settings)
を選択します。Cisco ISE 内のゲスト ポータル、スポンサー ポータル、ゲスト タイプ、およびスポンサー グループに適用される、次の一般設定を設定できます。
これらのグローバル設定を指定すると、特定のゲスト ポータルとスポンサー ポータル、ゲスト タイプおよびスポンサー グループの設定時にそれらを必要に応じて使用できます。
[ポータル設定(Portal settings)] ページには、次のタブがあります。
[ゲストアカウントの消去ポリシー(Guest Account Purge Policy)]:期限が切れたゲスト アカウントを消去する時期をスケジューリングします。詳細については、期限切れのゲスト アカウントを消去するスケジューリング設定を参照してください。
[カスタムフィールド(Custom Fields)]:ユーザから追加情報を取得するためにゲスト ポータルで使用するカスタム フィールドを追加します。詳細については、ゲスト アカウント作成用のカスタム フィールドの追加を参照してください。
[ゲスト電子メールの設定(Guest Email Settings)]:アカウントの変更をゲストに電子メール通知するかどうかを決定します。詳細については、電子メールでの通知用の電子メール アドレスおよび SMTP サーバの指定を参照してください。
[ゲストのロケーションおよびSSID(Guest Locations and SSIDs)]:ロケーションと、ゲストがそのロケーションで使用できるネットワークのサービス セット識別子(SSID)を設定します。詳細については、ゲストのロケーションおよび SSID の割り当てを参照してください。
[ゲストユーザ名ポリシー(Guest Username Policy)]:ゲスト ユーザ名の作成方法を設定します。詳細については、ゲスト ユーザ名ポリシーの設定およびゲスト パスワード ポリシーのルールを参照してください。
[ゲストパスワードポリシー(Guest Password Policy)]:すべてのゲスト ポータルとスポンサー ポータルのゲスト パスワード ポリシーを定義します。詳細については、ゲスト パスワード ポリシーと有効期限の設定を参照してください。
[SMSゲートウェイ設定(SMS Gateway Settings)]:ゲストおよびスポンサーに SMS 通知を配信する SMS ゲートウェイを定義します。詳細については、ゲストに SMS 通知を送信するための SMS ゲートウェイの設定を参照してください。
これらの設定のナビゲーション パスは、
です。これらの設定を使用して、ネットワークにアクセスできるゲストのタイプおよびそのアクセス権限を作成します。また、このタイプのゲストを作成できるスポンサー グループを指定できます。[ゲスト タイプ名(Guest type name)]:このゲスト タイプを、デフォルトのゲスト タイプや作成したその他のタイプと区別する名前(1 ~ 256 文字)を指定します。
[説明(Description)]:このゲスト タイプの推奨される使用方法に関する追加情報(最大 2000 文字)を入力します(「アカウント登録ゲストに使用」、「ゲスト アカウントの作成に使用禁止」など)。
[言語ファイル(Language File)]:このフィールドでは、サポート対象のすべての言語で、電子メールの件名、電子メール メッセージ、および SMS メッセージの内容を含む言語ファイルをエクスポートおよびインポートできます。これらの言語とコンテンツは、アカウントが期限切れになった旨の通知に使用され、このゲスト タイプに割り当てられているゲストに送信されます。新しいゲスト タイプを作成すると、ゲスト タイプを保存するまではこの機能は無効です。言語ファイルの編集の詳細については、ポータル言語のカスタマイズ を参照してください。
[追加データの収集(Collect Additional Data)]:ゲストから追加の情報を収集するにはカスタム フィールドを選択します。
カスタム フィールドは、
で管理されます。最大アクセス時間(Maximum Access Time)
[アカウント期間の開始(Account duration starts)]:[最初のログインから(From first login)] を選択した場合、アカウントの開始時間は、ゲスト ユーザがゲスト ポータルに最初にログインしたときに開始され、終了時間は指定された期間に相当します。ゲスト ユーザがログインしなければ、アカウントがゲスト アカウント消去ポリシーによって削除されるまで、アカウントは初回ログイン待ち状態のままになります。
アカウント登録ユーザのアカウントは、ユーザがアカウントを作成し、自分のアカウントにログオンしたときに開始されます。
[スポンサーが指定した日付から(From sponsor-specified date)] を選択した場合は、このゲスト タイプのゲストがネットワークにアクセスして接続を保持できる最大日数、時間数、または分数を入力します。
この設定を変更した場合、変更内容はこのゲスト タイプを使用して作成された既存のゲスト アカウントには適用されません。
値の範囲は 1 ~ 999 です。
[最大アカウント期間(Maximum account duration)]:このゲスト タイプが割り当てられているゲストがログインできる期間(日数、時間数、または分数)を入力します。
(注) | アカウント消去ポリシーにより期限切れのゲスト アカウントが確認され、期限切れ通知が送信されます。このジョブは 20 分ごとに実行されるため、アカウント期間を 20 分未満に設定すると、アカウントの消去前に期限切れ通知が送信されることがあります。 |
ここで設定するアクセス時刻の設定は、ゲスト アカウントの作成時にスポンサー ポータルで使用できる時刻設定に影響します。詳細については、スポンサーに対して使用可能な時間設定項目の設定を参照してください。
ログイン オプション
[最大同時ログイン数(Maximum simultaneous logins)]:このゲスト タイプが同時に実行できる最大ユーザ セッション数を入力します。
[ゲストが制限を超えた場合(When guest exceeds limit)]:[最大同時ログイン数(Maximum simultaneous logins)] を選択した場合は、その制限に到達した後にユーザが接続したときに実行するアクションも選択する必要があります。
最も古い接続を切断(Disconnect the oldest connection)
[最も新しい接続を切断(Disconnect the newest connection)]:[エラーメッセージを示すポータルページにユーザをリダイレクトする(Redirect user to a portal page showing an error message)] をオプションで選択:特定の時間にわたってエラー メッセージが表示され、その後セッションが切断されてユーザがゲスト ポータルにリダイレクトされます。エラー メッセージが表示される時間は設定可能です。エラー ページの内容は、[メッセージ(Messages)] > [エラーメッセージ(Error Messages)] の [ポータルページのカスタマイズ(Portal Page Customization)] ダイアログで設定します。
[ゲストが登録できるデバイスの最大数(Maximum devices guests can register)]:各ゲストに登録できるデバイスの最大数を入力します。そのゲスト タイプのゲストに登録済みの値より小さい値を最大数として設定できます。この値は、新しく作成されたゲスト アカウントにのみ適用されます。
[ゲスト デバイス登録のためのエンドポイント ID グループ(Endpoint identity group for guest device registration)]:ゲストのデバイスを追跡するためのエンドポイント ID グループを選択します。Cisco ISE はデフォルトとして使用する GuestEndpoints のエンドポイント ID グループを提供します。デフォルトを使用しない場合、追加のエンドポイント ID グループを作成することもできます。
[ゲストに対しゲスト ポータルのバイパスを許可する(Allow guest to bypass the Guest portal)]:クレデンシャルを持つゲストのキャプティブ ポータル(Web 認証ページ)をバイパスし、有線およびワイヤレス(dot1x)サプリカントまたは VPN クライアントに認証情報を提供することでネットワークにアクセスすることをユーザに許可します。ゲスト アカウントは、[初期ログインを待機(Awaiting Initial Login)] 状態と AUP ページをバイパスして [アクティブ(Active)] 状態になります。
この設定を有効にしない場合、ユーザは初めにクレデンシャルを持つゲストのキャプティブ ポータルを使用してログインしないと、ネットワークの他の部分にアクセスできません。
アカウント有効期限通知
[アカウント有効期限の __ 日前にアカウント有効期限通知を送信する(Send account expiration notification __ days before account expires)]:アカウントが期限切れになる前にゲストに通知を送信します。有効期限前の日数、時間数、または分数を指定します。
[メッセージ表示原語(View messages in)]:電子メールまたは SMS 通知の表示言語を指定します。
[電子メール(Email)]:アカウント有効期限通知を電子メールで送信します。
[次のポータルのカスタマイズを使用する(Use customization from)]:選択したポータルに対して設定した同一のカスタマイズ内容をこのゲスト タイプのアカウント有効期限メールに適用します。
[テキストのコピー元(Copy text from)]:別のゲスト タイプのアカウント有効期限メールに、作成した電子メール テキストを再利用します。
テスト電子メールの送信先(Send test email to me at)
[SMS]:アカウント有効期限通知を SMS で送信します。
SMS の設定は、電子メール通知の設定と同一ですが、[テスト SMS の送信(Send test SMS to me)] の SMS ゲートウェイを選択する点が異なります。
[スポンサー グループ(Sponsor Groups)]:このゲスト タイプを使用してゲスト アカウントを作成できるスポンサー グループを指定します。このゲスト タイプにアクセスできないようにするスポンサー グループは削除します。
これらの設定のナビゲーション パスは、
です。スポンサー グループにメンバーを追加したり、ゲスト タイプおよびロケーション特権を定義したり、ゲスト アカウントの作成と管理に関連する権限を設定したりする場合に、これらの設定を使用します。[スポンサー グループの無効化(Disable Sponsor Group)]:このスポンサー グループのメンバーがスポンサー ポータルにアクセスできないようにします。
たとえば、管理者ポータルで設定を変更している間、スポンサーが一時的にスポンサー ポータルにログインできないようにします。あるいは、再びアクティブ化する必要があるまで、年次会議のスポンサーシップ ゲストなど、頻繁には発生しないアクティビティに関するスポンサー グループを無効にします。
スポンサー グループ名(Sponsor group name):一意の名前を入力します(1 ~ 256 文字)。
[説明(Description)]:このスポンサー グループで使用されるゲスト タイプなどの有益な情報を入力します(最大 2000 文字)。
[ゲスト タイプの設定(Configure Guest Types)]:必要とするゲスト タイプが使用可能でない場合は、
の順にクリックし、新しいゲスト タイプを作成するか、または既存のゲスト タイプを編集します。一致基準
メンバー(Members):[スポンサー グループ メンバーの選択(Select Sponsor Group Members)] ボックスを表示する場合にクリックします。ここでは、使用可能なユーザ ID グループを(内部および外部の ID ストアから)選択し、このスポンサー グループのメンバーとして追加できます。
スポンサー グループ メンバー(Sponsor Group Members):選択したスポンサー グループのリストを検索およびフィルタリングし、含めないグループを削除します。
その他の条件(Other conditions):[新しい条件の作成(Create New Condition)] をクリックして、このスポンサー グループに含まれるためにスポンサーが満たす必要がある条件を 1 つ以上構築します。Active Directory、LDAP、SAML、ODBC の ID ストアからの認証属性を使用できますが、RADIUS トークンまたは RSA SecurID ストアは使用できません。内部ユーザ属性も使用できます。条件には、属性、演算子、値があります。
ディクショナリ属性 Name を使用して条件を作成するには、ID グループ名の前にユーザ ID グループを付けます。次に例を示します。
InternalUser:Name EQUALS bsmith
この場合、「bsmith」という名前の内部ユーザだけがこのスポンサー グループに所属できます。
このスポンサー グループはこれらのゲスト タイプを使用してアカウントを作成可能(This sponsor group can create accounts using these guest types):このスポンサー グループのメンバーがゲスト アカウントの作成時に使用できるゲスト タイプを指定します。有効にするスポンサー グループには、使用できる少なくとも 1 つのゲスト タイプが設定されている必要があります。
このスポンサー グループに 1 つのゲスト タイプのみを割り当てる場合、それが使用可能な唯一の有効なゲストであるため、スポンサー ポータルに表示しないことを選択できます。 をオンにします。
の順に選択します。このオプションを有効にするには、[スポンサーで 1 つのみ使用できる場合はゲスト タイプを非表示(Hide guest type if only one is available to sponsor)]ゲストがアクセスするロケーションを選択(Select the locations that guests will be visiting):このグループのスポンサーがアカウントの作成時にゲストに割り当てることができるさまざまなロケーションを選択します。このことは、これらのゲスト アカウントの有効な時間帯を定義し、有効なアクセス時間などゲストに適用するすべての時間パラメータを指定する場合に役立ちます。このことによって、ゲストが他のロケーションからネットワークに接続できなくなることはありません。
有効にするスポンサー グループには、使用できる少なくとも 1 つのロケーションが設定されている必要があります。
このスポンサー グループに 1 つのロケーションのみを割り当てると、それが、メンバーが作成するゲスト アカウントの唯一の有効な時間帯になります。デフォルトでは、スポンサー ポータルに表示されません。
特定のゲストに割り当てられた複数のゲスト アカウント(インポート)(Multiple guest accounts assigned to specific guests (Import)):スポンサーは、ファイルから姓名などのゲストの詳細をインポートすることによって、複数のゲスト アカウントを作成できます。
このオプションが有効である場合、[インポート(Import)] ボタンがスポンサー ポータルの [アカウントの作成(Create Accounts)] ページに表示されます。[インポート(Import)] オプションは、Internet Explorer、Firefox、Safari などのデスクトップ ブラウザだけで使用可能です(モバイルは不可)
バッチ処理の制限(Limit to batch of):このスポンサー グループが複数のアカウントを同時に作成できる場合、単一のインポート操作で作成可能なゲスト アカウントの数を指定します。
スポンサーは最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、作成するアカウントの数を制限することを推奨します。
ゲストへの複数のゲスト アカウントの割り当て(ランダム)(Multiple guest accounts to be assigned to any guests (Random)):スポンサーが、未知のゲストのプレースホルダとして、または複数のアカウントをすばやく作成する必要がある場合に複数のランダム ゲスト アカウントを作成できるようにします。
このオプションが有効である場合、[ランダム(Random)] ボタンがスポンサー ポータルの [アカウントの作成(Create Accounts)] ページに表示されます。
デフォルト ユーザ名プレフィックス(Default username prefix):スポンサーが複数のランダムなゲスト アカウントを作成する場合に使用できるユーザ名プレフィックスを指定します。指定した場合、このプレフィックスはランダムなゲスト アカウントを作成するときにスポンサー ポータルに表示されます。また、[スポンサーにユーザ名プレフィックスの指定を許可(Allow sponsor to specify a username prefix)] の設定により、次のようになります。
ユーザ名プレフィックスを指定しないか、またはスポンサーにユーザ名プレフィックスの指定を許可しない場合、スポンサーはスポンサー ポータルでユーザ名プレフィックスを割り当てることができません。
スポンサーにユーザ名プレフィックスの指定を許可(Allow sponsor to specify a username prefix):このスポンサー グループが複数のアカウントを同時に作成できる場合、単一のインポート操作で作成可能なゲスト アカウントの数を指定します。
スポンサーは最大 10,000 個のアカウントを作成できますが、潜在的なパフォーマンスの問題があるため、作成するアカウントの数を制限することを推奨します。
開始日を__日後より遅くすることはできない(Start date can be no more than __ days into the future):有効にして日数を指定すると、作成した複数のゲスト アカウントの開始日をこの日数以内に設定する必要があります。
スポンサーが作成したアカウントのみ(Only accounts sponsor has created):このグループのスポンサーは、スポンサーの電子メール アカウントに基づいて、スポンサーが作成したゲスト アカウントのみを表示および管理できます。
このスポンサー グループのメンバーによって作成されたアカウント(Accounts created by members of this sponsor group):このグループのスポンサーは、このスポンサー グループ内のスポンサーが作成したゲスト アカウントを表示および管理できます。
すべてのゲスト アカウント(All guest accounts):スポンサーはすべての保留中のゲスト アカウントを表示および管理できます。
(注) | [アカウント登録ゲストからの要求の承認および表示(Approve and view requests from self-registering guests)] にマークを付けて、[スポンサーが可能(Sponsor Can)] の下で [このスポンサーに割り当てられた保留中のアカウントのみ(Only pending accounts assigned to this sponsor)] オプションを使用していない限り、グループ メンバーシップにかかわらず、すべてのスポンサーがすべての保留中のアカウントを表示できます。 |
ゲストの連絡先情報(電子メール、電話番号)の更新(Update guests' contact information (email, Phone Number)):スポンサーは、自分が管理できるゲスト アカウントについて、ゲストの連絡先情報を変更できます
ゲストのパスワードの表示(View guests’ passwords):スポンサーは、自分が管理できるゲスト アカウントについて、そのパスワードを表示できます。
ゲストがパスワードを変更した場合、スポンサーは Cisco ISE によって生成されたランダムなパスワードにリセットしない限り、そのパスワードを表示できません。
(注) | このオプションがスポンサー グループで無効になっている場合、そのグループのメンバーは、管理しているゲスト アカウントのログイン クレデンシャル(ゲスト パスワード)に関する電子メールおよび SMS 通知を送信できません。 |
ゲストのクレデンシャルを含む SMS 通知の送信(Send SMS notifications with guests’ credentials):スポンサーは、自分が管理できるゲスト アカウントについて、アカウントの詳細とログイン クレデンシャルとともにゲストに SMS(テキスト)通知を送信できます。
ゲスト アカウント パスワードのリセット(Reset guest account passwords):スポンサーは、自分が管理できるゲスト アカウントについて、そのパスワードを Cisco ISE によって生成されたランダムなパスワードにリセットできます。
ゲストのアカウントの延長(Extend guests’ accounts):スポンサーは、自分が管理できるゲスト アカウントについて、その有効期限を延長できます。スポンサーは、アカウントの有効期限に関してゲストに送信される電子メール通知に自動的にコピーされます。
ゲストのアカウントの削除(Delete guests’ accounts):スポンサーは、自分が管理できるゲスト アカウントについて、アカウントを削除し、ゲストが企業のネットワークにアクセスすることを防ぐことができます。
ゲストのアカウントの一時停止(Suspend guests’ accounts):スポンサーは、自分が管理できるゲスト アカウントについて、アカウントを一時停止してゲストが一時的にログインすることを防ぐことができます。
また、このアクションは、許可変更(CoA)終了を発行して、一時停止されていたゲストをネットワークから排除できます。
スポンサーに理由の入力を求める(Require sponsor to provide a reason):ゲスト アカウントの一時停止に対する説明の入力をスポンサーに求めます。
アカウント登録ゲストからの要求の承認および表示(Approve and view requests from self-registering guests):このスポンサー グループに含まれているスポンサーは、(承認が必要な)アカウント登録ゲストからのすべての保留中のアカウント要求を表示するか、アクセス先の担当者としてユーザがスポンサーの電子メール アドレスを入力した要求のみを表示できます。この機能では、アカウント登録ゲストによって使用されるポータルで [アカウント登録ゲストが承認される必要がある(Require self-registered guests to be approved)] にマークが付けられていて、スポンサーの電子メールが連絡先の担当者としてリストされている必要があります。
[保留中のすべてのアカウント(Any pending accounts)]:このグループに所属するスポンサーは、他のスポンサーによって作成されたアカウントを承認およびレビューします。
[このスポンサーに割り当てられている保留中のアカウントのみ(Only pending accounts assigned to this sponsor)]:このグループに所属するスポンサーは、スポンサー自身が作成したアカウントだけを表示および承認できます。
プログラムによるインターフェイス(Guest REST API)を使用した Cisco ISE ゲスト アカウントへのアクセス(Access Cisco ISE guest accounts using the programmatic interface (Guest REST API)):スポンサーは、自分が管理できるゲスト アカウントについて、Guest REST API プログラミング インターフェイスを使用してゲスト アカウントにアクセスできます。