关于身份源
身份源是为组织内的人员定义用户账户的 AAA 服务器和数据库。身份源信息具有多种用途,例如提供与 IP 地址关联的用户身份,或是对远程访问 VPN 连接或到 设备管理器的访问进行身份验证。
使用
页面可以创建和管理您的源。后期在配置需要身份源的服务时,会用到这些对象。以下是受支持的身份源及其用途:
- Active Directory (AD) 身份领域
-
Active Directory 可提供用户账户和身份验证信息。请参阅 Active Directory (AD) 身份领域。
您可以将此源用于以下目的:
-
远程访问 VPN,作为主要身份源。您可以配合使用 AD 和 RADIUS 服务器。
-
身份策略,用于主动身份验证,并作为用户身份源用于被动身份验证。
-
- Active Directory (AD) 领域序列
-
AD 领域序列是 AD 领域对象的有序列表。如果您在网络中管理多个 AD 域,则领域序列将非常有用。请参阅 配置 AD 领域序列。
您可以将此源用于以下目的:
-
身份策略,作为用户身份源用于被动身份验证。序列中的领域顺序决定了在存在冲突的极少数情况下系统确定用户身份的方式。
-
- 思科身份服务引擎 (ISE) 或思科身份服务引擎被动身份连接器 (ISE-PIC)
-
如果使用 ISE,可以将 威胁防御设备与您的 ISE 部署集成。请参阅 身份服务引擎 (ISE)。
您可以将此源用于以下目的:
-
身份策略,作为被动身份源来从 ISE 收集用户身份信息。
-
- RADIUS 服务器、RADIUS 服务器组
-
如果您使用的是 RADIUS 服务器,还可以将其与 设备管理器配合使用。必须将每个服务器定义为单独的对象,然后将其归入服务器组(其中,指定组中的服务器是彼此的副本)。为服务器组分配功能,但不为单个服务器分配功能。请参阅 RADIUS 服务器和组。
您可以将此源用于以下目的:
-
远程访问 VPN 用作身份验证、授权和记账的身份源。您可以配合使用 AD 和 RADIUS 服务器。
-
身份策略,作为被动身份源来从远程访问 VPN 登录收集用户身份信息。
-
对 设备管理器 或 威胁防御 CLI 管理用户进行外部身份验证。可以支持具有不同授权级别的多个管理用户。这些用户可以登录到系统进行设备配置和监控。
-
- SAML 服务器
-
安全断言标记语言 2.0 (SAML 2.0) 是一种开放标准,用于在各方(尤其是身份提供程序 [IdP] 和运营商 [SP])之间交换身份验证和授权数据。
您可以将此源用于以下目的:
-
远程访问 VPN,作为单点登录 (SSO) 身份验证源。
-
- LocalIdentitySource
-
这是本地用户数据库,其中包括您在 设备管理器中定义的用户。选择 管理此数据库中的用户账户。请参阅本地用户。
注
本地身份源数据库不包含您在 CLI 中配置(使用 configure user add 命令)以进行 CLI 访问的用户。CLI 用户与您在 设备管理器中创建的用户是完全独立的。
您可以将此源用于以下目的:
-
远程访问 VPN,作为主要身份源或回退身份源。
-
身份策略,作为被动身份源来从远程访问 VPN 登录收集用户身份信息。
-