アイデンティティ ポリシーについて
アイデンティティ ポリシーには、アイデンティティ ルールが含まれます。アイデンティティ ルールでは、トラフィックのセットを、レルムおよび認証方式(パッシブ認証、アクティブ認証、または認証なし)と関連付けます。
このトピックの最後に記載されている例外を除き、使用する予定のレルムと認証方式を、アイデンティティ ルールで起動する前に設定する必要があります。
-
レルムの作成を参照してください。
でアイデンティティ ポリシー外のレルムを設定します。詳細については、 -
パッシブ認証のアイデンティティ ソースであるユーザ エージェントと ISE/ISE-PIC は、ユーザ制御のためのユーザ エージェントの設定およびユーザ制御用 ISE/ISE-PIC の設定を参照してください。
で設定します。詳細については、 -
パッシブ認証のアイデンティティ ソースである TS エージェントについては、Firepower システムの外で設定します。詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
-
アクティブ認証のアイデンティティ ソースであるキャプティブ ポータルについては、アイデンティティ ポリシー内で設定します。詳細については、ユーザ制御のためのキャプティブ ポータルの設定方法を参照してください。
-
リモート アクセス VPN ポリシー内では、アクティブな認証アイデンティティ ソースであるリモート アクセス VPN を設定します。詳細については、リモート アクセス VPN 認証を参照してください。
単一のアイデンティティ ポリシーに複数のアイデンティティ ルールを追加した後、ルールの順番を決めます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールがそのトラフィックを処理するルールです。
1 つ以上のアイデンティティ ポリシーを設定した後、1 つのアイデンティティ ポリシーをアクセス コントロール ポリシーに関連付ける必要があります。ネットワークのトラフィックがアイデンティティ ルールの条件と一致する場合、システムはトラフィックを指定されたレルムと関連付け、指定されたアイデンティティ ソースを使用してトラフィックのユーザを認証します。
アイデンティティ ポリシーを設定しない場合、システムはユーザ認証を実行しません。
アイデンティティ ポリシーの作成に関する例外
次のすべてに該当する場合、アイデンティティ ポリシーは必要ありません。
-
ISE/ISE-PIC アイデンティティ ソースを使用できます。
-
アクセス コントロール ポリシーのユーザまたはグループは使用しません。
-
アクセス コントロール ポリシーのセキュリティ グループ タグ(SGT)を使用します。詳細については、「ISE SGT とカスタム SGT ルール条件との比較」を参照してください。