Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 1/38
Cisco ISE 2.2 ゲスト アクセス管理 v1
最終更新日:2017 年 8 月 04 日
このデモンストレーションについて
この事前設定済みデモンストレーションのガイドには、次の内容が含まれています。
要件
このソリューションについて
トポロジ
はじめに
シナリオ 1:ホットスポットを使用したゲスト向けインターネット アクセス
シナリオ 2:スポンサー承認による登録型ゲスト アクセス
シナリオ 3:スポンサー承認型ゲスト アクセス
要件
次の表に、本デモンストレーションに必要な要件の概要を示します。
表 1. 要件
必須
推奨エンドポイント ルータ
エンドポイント ルータ(dCloud に登録および設定済みのもの)
モニタリング ワークステーション
AnyConnect 搭載のラップトップ
ユーザ デバイス
タブレットまたはスマートフォン
その他のラップトップ
オプション
サポート対象のエンドポイント ルータ/AP
ルータ(dCloud に登録し、設定済みのもの)
Cisco Aironet シリーズ アクセス ポイント(3000、2700、2000、
1000 シリーズ)
注:このデモンストレーションにはエンド ユーザ デバイスが 2 台以上必要です。1 台はバックエンド コンポーネントへの接続と監視に使用し、
それ以外に少なとも 1 台のデバイスを実際のオンボーディングに使用します。たとえば、デモンストレーションでラップトップのオンボーディン グを行う予定の場合、ラップトップが 2 台必要です。1 台のラップトップは、RDP で dCloud Workstation1 にアクセスして ISE UI やその他 のデモ機能を示すために使用します。2 台目のラップトップはホットスポットやゲスト ネットワークへの参加のデモを行うために使用します。
注:AP および実際のクライアント エンドポイント デバイスを使用しないでゲストのデモンストレーションをする場合。AP やクライアント エンドポ イントを使用せずにゲスト フローを実行することも可能です。その場合、関連するゲスト ポータルのポータル テスト URL を使用します。これに ついては各セクションでも説明します。ただし、最適なユーザ エクスペリエンスによるデモンストレーションを実施するには、実際のクライアント と AP を使用することをお勧めします。RADIUS Live Log とゲスト レポートは、RADIUS セッションが実際にはないため、情報が制限されます。
実際のクライアントをリダイレクトするにはワイヤレス セッションが必要なため、静的 URL、または元の URL に正常なフローは送信されません。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 2/38
このソリューションについて
このガイドは、Cisco Identity Services Engine(ISE)とワイヤレス テクノロジーを使用した、シスコのゲスト アクセス ソリューションをデモ ンストレーションする際に役立ちます。
ISE 2.2 では、すべてのゲスト フローで Apple のミニブラウザ(Captive Network Assistant)をサポートします。ミニブラウザは、BYOD フ ローでもサポートされます(既知の問題がいくつかあります)。
ゲスト フローや BYOD フローでミニブラウザを検討する場合は、以下を推奨しています。
dCloud ホットスポット ネットワークでは、WLC でキャプティブ ポータルのバイパスを無効にして、ブラウザが自動的にポップアップ
するようにします。
dcloud-guest ネットワーク(登録型シナリオ、スポンサー承認型ゲスト シナリオ、BYOD シナリオで使用)で、キャプティブ ポータル
のバイパスを有効にします。これでミニブラウザのポップアップが抑止されます。また、ゲストでない人がデバイスのオンボーディン グをしようとしても、フローを正常に完了できなくなります。
ミニブラウザを使用してクレデンシャルを付与されたゲストのフローを示したい場合は、次のリンク先にあるコマンドを使用して、dcloud- guest ネットワークでキャプティブ ポータルのバイパスを無効にします。
注:BYOD シナリオを使用することにした場合は、この設定を保存する必要があることに留意してください。
WLAN ごとの Captive Network Assistant のバイパス設定(GUI)[英語]
WLAN ごとの Captive Network Assistant のバイパス設定(CLI)[英語]
サポートの詳細については、次を参照してください。
ISE 2.2 Apple CNA(Captive Network Assistant)ミニブラウザ(BYOD/ゲスト用)[英語]
ISE BYOD 向け Apple CNA(ミニブラウザ)対応 [英語]
Apple Captive Network Assistant(CNA)ブラウザを使用したデュアル SSID BYOD - ISE 2.2 [英語]
注:ISE でリダイレクト フローの問題があれば、次のリンクを確認してください。
https://communities.cisco.com/community/technology/security/pa/ise/blog/2017/07/07/apple-ios-103-and-ise-web-redirection [英語]
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 3/38
トポロジ
このコンテンツには、スクリプト形式のシナリオと、ソリューションの機能を実例で示すために事前設定されたユーザとコンポーネントが含ま れています。コンポーネントのほとんどは、管理ユーザ アカウントを使用して任意の設定が可能です。コンポーネントへのアクセスに使用 する IP アドレスとユーザ アカウント クレデンシャルは、アクティブ セッションの [トポロジ(Topology)] メニューのコンポーネント アイコンを クリックするか、それらを必要とするシナリオ内の手順を調べることで確認できます。
図 1. dCloud のトポロジ
表 2. デモ サーバとクレデンシャル
デバイス IP アドレス アクセス方式 ユーザ名 パスワード
Prime Infrastructure 198.18.133.65 Workstation1 ブラウザ root C1sco12345
vWLC プライベート:198.19.11.10 Workstation1 ブラウザ
Workstation1 198.18.133.36 WebRDP または AnyConnect administrator C1sco12345
Exchange Server 198.18.133.2 WebRDP または AnyConnect administrator C1sco12345
AD1 198.18.133.1 WebRDP または AnyConnect administrator C1sco12345
Portals 198.18.133.110 Putty linuxuser C1sco12345
ISE 198.18.133.27 Workstation1 ブラウザ admin C1sco12345
helpdesk_user
CSR 198.18.133.212 WebRDP または AnyConnect security_admin セッション ID
セッション オーナー名
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 4/38
表 3. 利用可能なポータル
シナリオ/業種 メイン ポータルの URL スポンサー ポータルの URL
デフォルト/dCloud なし http://sponsor.dcloud.cisco.com
医療 http://health.dcloud.cisco.com http://sponsor-health.dcloud.cisco.com
教育 http://edu.dcloud.cisco.com http://sponsor-edu.dcloud.cisco.com
連邦政府 http://federal.dcloud.cisco.com http://sponsor-fed.dcloud.cisco.com
企業 http://corp.dcloud.cisco.com http://sponsor-corp.dcloud.cisco.com
表 4. クレデンシャルとアクセス レベル
シナリオ/業種 ユーザ名 パスワード アクセス レベル
医療 doctor C1sco12345 Tier 1 - フル アクセス
医療 nurse C1sco12345 Tier 2 - 制限付きアクセス
教育 dean C1sco12345 Tier 1 - フル アクセス
教育 professor C1sco12345 Tier 2 - 制限付きアクセス
連邦政府 captain C1sco12345 Tier 1 - フル アクセス 連邦政府 officer C1sco12345 Tier 2 - 制限付きアクセス
企業 manager C1sco12345 Tier 1 - フル アクセス
企業 employee C1sco12345 Tier 2 - 制限付きアクセス
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 5/38
はじめに
プレゼンテーションの前に
Cisco dCloud では、実際の対象者の前でプレゼンテーションを行う前に、アクティブなセッションを使用して、このドキュメントのタスクを実施 しておくことを強く推奨します。そうすることで、ドキュメントとコンテンツの構成に慣れることができます。
場合によっては、環境を元の構成にリセットするため、このガイドに従った後に新しいセッションをスケジュールする必要があります。
プレゼンテーションを成功させるためには、入念な準備が不可欠です。
次の手順に従ってコンテンツのセッションをスケジュールし、プレゼンテーション環境を設定します。
1. dCloud セッションを開始します。[手順を見る]
注:セッションがアクティブになるまで最長で 10 分かかることがあります。
2. 最適なパフォーマンスを得るために、Cisco AnyConnect VPN [手順を見る] およびラップトップのローカル RDP クライアント[手順を 見る] を使用してワークステーションに接続します。
Workstation 1:198.18.133.36、ユーザ名:administrator、パスワード:C1sco12345
注:Cisco dCloud リモート デスクトップ クライアントを使用してワークステーションに接続することもできます [手順を見る] 。dCloud リ モート デスクトップ クライアントは、最小限の操作でアクティブ セッションにアクセスする場合に最適です。ただし、この方法には、接続 ができない場合や、パフォーマンスが悪い場合があります。
3. Workstation1 で Firefox を開きます。ホームページが http://topo.dcloud.cisco.com に設定されており、トポロジと、バックエンド デ モ コンポーネントへのリンクを表示できます。トポロジ画面に戻る必要がある場合は、Firefox の [ホーム] ボタンをクリックします。
4. Workstation1 から、デモのワイヤレス コントローラ(WLC)で自分の居住国が有効になっていることを確認します。[手順を見る] [英語]
注:このデモの WLC ログインにはセッション固有のクレデンシャルが必要です。ユーザ名は dCloud UI へのログインに使用する名前で、
パスワードはセッション ID です。この情報は、アクティブなデモの [セッション詳細(Session Details)] セクションから入手できます。
dcloud という一般的なユーザ名も示され、必要に応じて一意のセッション ID をパスワードとして使用できます。
図 2. WLC1 のログイン クレデンシャル
5. 3000、2000、または 1000 シリーズの AP をプロビジョニング [手順を見る] するか、819W ルータに統合された AP をプロビジョニング [手順を見る] します。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 6/38
注:エンドポイント ルータを使用している場合、この手順は一度で完了します。これは、上記のデモを使用する際に推奨される方法です。エ ンドポイント ルータを使用しない場合、新しいデモをスケジュールするたびに、新しいデモの WLC IP アドレスを使って AP を再プロビジョニ ングする必要があります。
6. 右上の [詳細設定(Advanced)] をクリックします。
7. FlexConnect モードで AP を設定します。
a. WLC で、メニュー バーの [ワイヤレス(WIRELESS)] をクリックします。
b. AP をクリックします。
図 3. WLC の [ワイヤレス(Wireless)] タブに表示されるエンドポイント AP
a. [一般(General)] タブをクリックします。
b. [AP モード(AP Mode)] が [FlexConnect] に設定されていることを確認し、[適用(Apply)] をクリックします。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 7/38
図 4. [AP モード(AP Mode)] - [FlexConnect]
注:AP が FlexConnect モードに設定されていない場合、AP がコントローラに正常に登録されていても、ブロードキャストされている SSID は表示されません。
8. AP が使用可能であることを確認します。[手順を見る]
これで、AP を経由して Workstation1 に接続することができます。[手順を見る] [英語]
9. デモンストレーションの場所によっては、追加のデモンストレーション準備が必要になる場合があります。
シスコ オフィスでデモンストレーションを行う場合は、追加のデモンストレーション準備が必要です。[手順を見る]
顧客サイトでデモンストレーションを行う場合は、追加のデモンストレーション準備が必要です。[手順を見る]
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 8/38
シナリオ 1. ホットスポットを使用したゲスト向けインターネット アクセス
このシナリオでは、BYOD オンボーディングやスポンサー承認型ゲスト アクセス、自己登録型ゲスト アクセスなどの複雑な手順をゲストに 行わせることなく、インターネット専用アクセスを付与します。たとえば、カフェやホテルは、顧客が登録を行わずにホットスポットのインター ネット アクセスを利用できることが望ましいと考える場合があります。Cisco ISE にはホットスポット ゲスト アクセス ポータルが備わってい ます。このポータルを使用すれば、ゲスト向けインターネット アクセスの取得プロセスを簡略化できます。このシナリオでは、エンド ユーザ デバイスでホットスポットのワイヤレス ネットワークに参加し、デバイスからインターネットにアクセスできることと、表 3「利用可能なポータ ル」
にリストされている主要業種ポータル ページにもアクセスできることをデモンストレーションします。
手順
インターネット ホットスポットへのアクセス
1. デモンストレーションで使用する各個人用ユーザ BYOD デバイスの設定を消去します。デバイスの設定が消去されていないと、
必要な時にゲスト ポータルやその他のページにリダイレクトされない場合があります。
a. Web キャッシュを消去します。[手順を見る]
b. 個人デバイスの設定を消去します。[手順を見る] [英語]
注:『Cisco ISE 2.2 Device On-Boarding and Management [Americas(英語)](Cisco ISE 2.2 デバイスのオンボーディングおよび管 理 [南・北・中央アメリカ])』デモンストレーション ガイドがすでに完了している場合は手順 2 ~ 10 を実行します。このガイドを実行して いない場合は、手順 11 に進みます。
2. Workstation1 で Firefox を開き、ISE(https://ise.dcloud.cisco.com)にログインします。ログインするには、admin/C1sco12345 のユーザ ID とパスワードを使用し、次のいずれかの方法でアクセスします。
アドレス バーに URL を手入力する。
トポロジ ツールバーの [ISE] アイコンをクリックする。
ブックマーク ツールバーの ISE のブックマークをクリックする。
2. [コンテキスト可視化(Context Visibility)] > [エンドポイント(Endpoints)] に移動します。
3. すべてのエンドポイントにチェックをつけて削除します。
注:エンドポイントの削除中に問題が発生した場合は、ブラウザのキャッシをクリアしてから再度実行してください。
図 5. ISE からのエンドポイントの削除
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 9/38
3. Workstation1 から、以下のいずれかの方法で、新しいタブの WLC ログイン ページ(http://wlc1.dcloud.cisco.com)にアクセスし ます。
アドレス バーに URL を手入力する。
ブックマーク ツールバーから WLC1 のブックマークをクリックする。
ブラウザのホーム ボタンをクリックしてトポロジ図に戻り、vWLC をクリックする。
4. デモンストレーション準備でエンドポイントのプロビジョニングに使用したものと同じデバイス固有のクレデンシャルを使用して、vWLC にログインします。
5. [詳細設定(Advanced)] をクリックします。
6. 上部のメニュー バーで [モニタ(MONITOR)] をクリックします。
7. 左側のリストで [クライアント(Clients)] をクリックします。
8. 以前、ホットスポットに参加したすべてのクライアントが表示されます。右にスクロールしてドロップダウン矢印の上にマウスを移動し、
展開されたら、[削除(Remove)] をクリックします。
図 6. WLC からのクライアントの削除
AP および実際のクライアント エンドポイント デバイスを使用しないゲストのデモンストレーション
注:AP やクライアント エンドポイントを使用せずにゲスト フローを実行することは可能です。その場合、関連するゲスト ポータルのポータル テスト URL を使用します。ただし、最適なデモンストレーションとユーザ エクスペリエンスを確保するには、実際のクライアントと AP を使用 することをお勧めします。RADIUS セッションが実際にはないため、RADIUS Live Log とゲスト レポートの内容が制約されることに注意し てください。また、実際のクライアントをリダイレクトするにはワイヤレス セッションが必要なため、静的 URL(または元の URL)に正常なフ ローは送信されないことにも注意してください。
a) モニタリング マシンのブラウザまたは dCloud ワークステーションを使用して ISE ポータルにアクセスします。
b) [ワーク センター(Work Centers)] > [ゲスト アクセス(Guest Access)] > [ポータル & コンポーネント(Portals & Components)] に移動します。
c) 任意のホットスポット ポータルをクリックします(業種ごとのカスタマイズ要件によって異なる)。
d) ポータル テスト URL リンクをクリックします。別のウィンドウでポータルが開きます。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 10/38
e) 次の手順を使用することで、実際のデバイスに適用される情報を省略して、ここから短縮版のホットスポット フローを実施できます。情 報の一部は適用されないことに注意してください。レポート情報も制限されます。フル アクセス権を持つマシンからポータルを使用するた め、ネットワーク リソースへのアクセス制限のデモンストレーションもできません。シミュレートされたフローであるため、アクセス制御は適 用されません。
9. 個人用ユーザ BYOD デバイスをオープンなネットワーク SSID(dCloud-Hotspot)に接続します。
注:デモンストレーションでは、全体を通して特定の dCloud WiFi に接続します。ここではそれらの SSID を汎用名で示していますが、その すべてに固有のセッション ID が追加されます(dCloud-Hotspot-123456 など)。
10. ブラウザが自動的に開かない場合は、ユーザ デバイスでサポートされている組み込みの Web ブラウザを開き、HTTP を使用して 任意の Web ページに移動します。
注:Android を使用している場合にブラウザの自動起動に問題があれば、手動で Chrome を起動してください。
サポートされている Web ブラウザ:Apple デバイス(Safari)、Windows デバイス(IE/EDGE)、Android デバイス(Chrome)
注:ブラウザを開く際は、HTTP を使用してページにアクセスしてください。HTTPS を使用してアクセスした場合は、ホットスポット ポー タルにリダイレクトされません。これは HTTPS リダイレクションを処理する WLC に関する既知の問題です。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 11/38
11. セキュリティ ウィンドウがポップアップされた場合は、[続行(Continue)] をクリックします。dCloud ホットスポット ポータルにリダイレクト されます。アクセプタブル ユース ポリシーが表示され、必要なアクセス コードが求められます。
図 7. dCloud ホットスポット ポータル
注:ホットスポットのアクセス コードの要求は、ISE のオプション設定です。コードの入力を必要としない完全にオープンなインターネット ホッ トスポット アクセスを望む組織もあれば、アクセス コードを要求する基本セキュリティを望む組織もあります。アクセス コードは、ホットスポッ ト、自己登録、およびクレデンシャルによるログイン ページで使用できます。アクセス コードは、通りすがりの人が登録プロセスを実行して、
所有者の同意なしにサービスを利用しないように、ゲスト ネットワークを保護するために使用されます。通りすがりの人とは、たとえば、駐 車場や同じビルの別のテナントのオフィスにいる第三者です。これは WPA-PSK SSID の代替手段となります。ISE は柔軟性が高く、お客 様の要件に応じていずれかの導入向けに設定できます。
12. アクセス コード(Access Code)] に「dcloud」と入力し、[同意(Accept)] をクリックします。このアクセス コードは大文字と小文字を区別 します。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 12/38
13. アクセプタブル ユース ポリシーに同意したら、ISE はエンドポイント デバイスをネットワークから再認証する COA を送信します。デバ イスが自動的に再接続して http://www.cisco.com にリダイレクトされ、ログイン クレデンシャルを入力しなくてもインターネット アクセ スが可能になることが示されます。これには最大で 30 秒程度かかる場合があります。
14. 選択したシナリオ(医療、教育、連邦政府または企業)に対応するメイン ポータルの URL(表 3「利用可能なポータル」を参照)に移動 します。セキュリティ警告が表示されたら [続行(Continue)] をクリックします。
15. [一般リソース(General Resources)] を選択すると、ユーザが一般のリソース ページへアクセスできることが示されます。
16. [内部リソース(Internal Resources)] または [自分の登録済みデバイス(My Registered Devices)] を選択すると、ユーザはこれらの ページにはアクセスできないことが示されます。
図 8. dCloud Healthcare Connections Center:http://health.dcloud.cisco.com [英語]
ISE での基本的なホットスポット フローのデモンストレーション
デバイスはホットスポットに正常に接続され、インターネット アクセスが許可されました。
次に、ISE UI を使用して、以下の基本機能のデモンストレーションを行います。
デバイスの動的なプロファイリング
適切な認可プロファイルの適用
ゲスト向けインターネット アクセスの動的許可
1. Workstation1 で Firefox を開き、ISE(https://ise.dcloud.cisco.com)にログインします。ログインするには、admin/C1sco12345 のユーザ ID とパスワードを使用し、次のいずれかの方法でアクセスします。
アドレス バーに URL を手入力する。
トポロジ ツールバーの [ISE] アイコンをクリックする。
ブックマーク ツールバーの ISE のブックマークをクリックする。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 13/38
図 9 デモ用トポロジ ホームページ(http://topo.dcloud.cisco.com)
2. [操作(Operations)] メニューにマウス ポインタを移動し、[RADIUS] > [Livelog] をクリックします。この画面では、ISE で行われた 最新の認証と認可が表示されます。
注:この例では、MacBook がホットスポットに参加しています。
デバイスが最初に dCloud ホットスポット SSID に参加すると、MAB(MAC 認証バイパス)を使用して認証し、ISE が HOTSPOT_REDIRECT プロファイルを WLC に返します。
これにより、WLC がすべてのユーザ Web トラフィックを dCloud ホットスポット ポータルにリダイレクトすることが示されます。
ISE はデバイスを MacBook として正しくプロファイリングします(このデモンストレーションでは、デバイスタイプに基づくアクセスの差別化
機能については示しません)。
ユーザが正しいアクセス コードを入力し、アクセプタブル ユース ポリシーに同意すると、ISE から HOTSPOT_ACCESS という名前の 2 つ目のプロファイルが返信されます。このプロファイルにより、WLC に事前設定された ACL の名前が再度プッシュされます。この ACL は、インターネットと基本ポータルへのアクセスのみを許可します。
図 10. ISE はデバイスを MacBook としてプロファイリングし、ホットスポット アクセスを動的に適用
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 14/38
シナリオ 2. スポンサー承認による自己登録型ゲスト アクセス
このシナリオでは、訪問者に対して、ネットワークへの柔軟なゲスト アクセスを提供します。組織は、ゲストが自分自身のアカウントを登録でき る柔軟性だけでなく、セキュリティの強化と、アカウント要求をスポンサーが承認してからアクセスを許可する仕組みも必要としています。
このタイプのシナリオでは、ゲスト アクセス取得のためにユーザはスポンサーが求める情報をモバイル デバイスで入力し、システムは承認 を求める電子メールをスポンサーに送信します。スポンサーは ISE のスポンサー ポータルにログインし、要求を承認または拒否します。
スポンサーがアカウント要求を承認すると ISE はユーザ アカウントを生成し、ゲスト用ログイン クレデンシャルを電子メールと SMS テキス ト メッセージでゲスト ユーザに送信します。これで、ゲストは各自のクレデンシャルを使用してゲスト ポータルにログインし、インターネット およびメイン ポータル ページにアクセスできます。
手順
デバイスのクリーンアップ
注:必ず、以下の指示に従ってください。別のフローをすでに実行しているため、ISE ではデバイスをプロファイリング、認証、認可し、エンド ポイント グループに追加しています。次のシナリオを正しく実行するには、ISE と WLC からデバイスを完全に削除し、ローカル デバイス設 定を消去することが重要です。
1. デモンストレーションで使用する各個人用の [ユーザ BYOD デバイス(User BYOD Device)] の設定を消去します。デバイスの設定 が消去されていないと、必要な時にゲスト ポータルやその他のページにリダイレクトされない場合があります。
a. Web キャッシュを消去します。[手順を見る]
b. 個人デバイスの設定を消去します。[手順を見る] [英語]
2. Workstation1 で Firefox を開き、ISE(https://ise.dcloud.cisco.com)にログインします。ログインするには、admin/C1sco12345 のユーザ ID とパスワードを使用し、次のいずれかの方法でアクセスします。
アドレス バーに URL を手入力する。
トポロジ ツールバーの [ISE] アイコンをクリックする。
ブックマーク ツールバーの ISE のブックマークをクリックする。
3. [コンテキスト可視化(Context Visibility)] > [エンドポイント(Endpoints)] に移動します。
4. すべてのエンドポイントにチェックをつけ削除します。
図 11. ISE からのエンドポイントの削除
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 15/38
Cisco dCloud
5. Workstation1 から WLC ログイン ページ(http://wlc1.dcloud.cisco.com)にアクセスします。次のいずれかの方法でアクセスできます。
アドレス バーにアドレスを手入力する。
ブックマーク ツールバーから WLC1 のブックマークをクリックする。
Firefox のホーム ボタンをクリックしてトポロジ図に戻り、vWLC をクリックする。
6. デモンストレーション準備の手順 7 で取得したものと同じデバイス固有のクレデンシャルを使用して、vWLC にログインします。
7. 右上の [詳細設定(Advanced)] をクリックします。
8. [モニタ(MONITOR)] をクリックして、左側にある [クライアント(Clients)] をクリックします。
9. 以前、ホットスポットに参加したすべてのクライアントが表示されます。右にスクロールしてドロップダウン矢印の上にマウスを移動し、展 開されたら、[削除(Remove)] をクリックします。
図 12. WLC からのクライアントの削除
デバイスの自己登録
注:デフォルトでは、スポンサーはすべての自己登録型ゲスト アカウントを承認する必要があります。スポンサー承認機能を無効にするには、
「スポンサー承認の無効化」で説明する手順を実行します。スポンサー承認機能を有効のまま続行するには、「ゲスト登録要求の承認」で説 明する手順に進みます。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 16/38
スポンサー承認の無効化
1. Workstation1 で Firefox を開き、ISE(https://ise.dcloud.cisco.com)にログインします。ログインするには、admin/C1sco12345 のユーザ ID とパスワードを使用し、次のいずれかの方法でアクセスします。
アドレス バーに URL を手入力する。
トポロジ ツールバーの [ISE] アイコンをクリックする。
ブックマーク ツールバーの ISE のブックマークをクリックする。
2. [ワーク センター(Work Centers)] > [ゲスト アクセス(Guest Access)] > [ポータル & コンポーネント(Portals & Components)] の順に クリックします。
図 13. [ポータル & コンポーネント(Portals & Components)]
3. リストをスクロールして、シナリオに対応する [自己登録型ゲストポータル(Self Registered Guest Portal)](教育)を選択します。
4. ポータルをクリックして編集します。
図 14. ゲスト ポータル
5. [ポータルの動作とフロー設定(Portal Behavior and Flow Settings)] で、[自己登録型ページ設定(Self-Registration Page Settings)]
まで下にスクロールします。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 17/38
図 15. [ポータルの動作とフロー設定(Portal Behavior and Flow Settings)]
6. [自己登録型ゲストの承認が必要(Require self-registered guests to be approved)] のチェックボックスを選択解除します。
図 16. ゲスト登録の無効化
AP および実際のクライアント エンドポイント デバイスを使用しないゲストのデモンストレーション
注:AP やクライアント エンドポイントを使用せずにゲスト フローを実行することは可能です。その場合、関連するゲスト ポータルのポータル テスト URL を使用します。ただし、最適なデモンストレーションとユーザ エクスペリエンスを確保するには、実際のクライアントと AP を使用 することをお勧めします。RADIUS セッションが実際にはないため、RADIUS Live Log とゲスト レポートの内容が制約されることに注意し てください。また、実際のクライアントをリダイレクトするにはワイヤレス セッションが必要なため、静的 URL(または元の URL)に正常なフ ローは送信されないことにも注意してください。フル アクセス権を持つマシンからポータルを使用するため、ネットワーク リソースへのアクセ ス制限のデモンストレーションもできません。シミュレートされたフローであるため、アクセス制御は適用されません。
a) モニタリング マシンのブラウザまたは dCloud ワークステーションを使用して ISE ポータルにアクセスします。
b) [ワーク センター(Work Centers)] > [ゲスト アクセス(Guest Access)] > [ポータル & コンポーネント(Portals & Components)] に移動します。
c) 対象の自己登録型ポータルをクリックします(ポータルは業種ごとのカスタマイズ要件によって異なります)。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 18/38
d) ポータル テスト URL リンクをクリックします。別のウィンドウでポータルが開きます。
e) 次の手順を使用すれば、実際のデバイスに適用される情報を省略して、ここから短縮版の自己登録フローを実施できます。情報の一 部は適用されないことに注意してください。レポート情報も制限されます。
7. ユーザ デバイスをオープンなワイヤレス SSID(dCloud-Guest)に接続します。
注:デモンストレーションでは、全体を通して特定の dCloud WiFi に接続します。ここではそれらの SSID を汎用名で示していますが、そ のすべてに固有のセッション ID が追加されます(dCloud-Guest-123456 など)。
8. ユーザ デバイスでサポートされている組み込みの Web ブラウザを開き、任意の Web ページに移動します。dCloud ゲスト ポータル にリダイレクトされます。
注:ブラウザを開く際は、HTTP を使用してページにアクセスしてください。HTTPS を使用してアクセスした場合は、ホットスポット ポー タルにリダイレクトされません。これは HTTPS リダイレクションを処理する WLC に関する既知の問題です。
9. [サインオン(Sign On)] ボタンの下にある [アカウントを持っていない(Don’t have an account?)] をクリックします。
図 17. ゲスト ポータルのログイン ページ
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 19/38
10. ゲスト アカウントの必要な情報を入力します。以下の指示に従ってください。
電子メール アドレスには、パブリックにアクセスできる電子メール アカウント、またはこのデモで事前設定されている組み込み の [email protected] アカウントを指定できます。
電話番号は、SMS 経由でゲスト クレデンシャルを送信する実際の電話番号を指定する必要があります。スペースやダッシュな しで、国コード + エリア コード + 電話番号を入力してください。例:15865551234
スポンサー承認による自己登録を実行しようとしている場合は、[email protected] と入力する必要があります。
注:以下のスクリーン ショットおよび手順では、組み込みの [email protected] アカウントおよび電子メール アドレスを 使用してゲストのクレデンシャルを取得します。別のパブリック電子メール アドレスを使用する場合は、その電子メール アカウントにログイ ンしてゲストのクレデンシャルを取得する必要があります。どちらの場合も、デモでスポンサー アカウントを使用して OWA にログインし、
ゲスト登録を承認する必要があります(以前のデモでその機能を無効にした場合を除く)。
外部プロバイダーにゲスト通知を送信する場合は、通知が確実に配信される保証はありません。実行する前にテストすることを推奨します。
失敗する場合は、組み込みのサーバを使用してください。
11. [登録(Register)] をクリックします。
図 18. ゲストの自己登録ページ
注:ゲストのクレデンシャルは、ゲスト ユーザに電子メールと SMS メッセージの両方で送信されます。パブリック電子メール アドレスを使用 しない場合は、ゲストのクレデンシャルを通知する電子メールを受信するためのゲスト アカウント設定がデモ環境内にあります。クレデン シャルが送信されたら、Microsoft Exchange OWA を使用してゲスト電子メール アカウントにログインし、クレデンシャルを含む電子メール を確認します。電話番号を正しい形式で入力しないと、SMS は受信できません。
12. ゲストの登録要求を送信するとサインイン ページにメッセージが表示され、サインオン クレデンシャルが記載された電子メールまたは SMS メッセージが送信されたことが通知されます。
注:手順 1 ~ 7 でスポンサー承認を無効にしていない場合は、次の手順でスポンサーがゲストの登録要求を承認するまで、SMS また は電子メールは送信されません。スポンサー承認を無効にしている場合は、次のセクションの手順 7 に進むことができます。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 20/38
ゲスト登録要求の承認
1. Workstation1 で Firefox を開き、ホーム ボタンをクリックしてホームページに移動します。
2. [デモ デバイス(Demo Devices)] の [Exchange Server] をクリックし、別のウィンドウで Outlook Web App を開きます。
注:Outlook Web App のログイン ページが表示されるまで約 10 秒ほどかかる場合があります。
図 19. [Exchange Server] アイコンをクリック
3. Outlook Web App にログインします(dcloud\sponsor/C1sco12345)。
図 20. Exchange OW A Web ログイン ページ
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 21/38
4. 受信トレイで、ゲスト承認要求の電子メールを開きます。電子メール メッセージの下部にある [承認(approve)] リンクをクリック すると、アカウントがアクティブになります
図 21. スポンサー受信トレイのゲスト承認電子メール
図 22. 承認されたゲスト アカウント
5. ゲスト ユーザ クレデンシャルを含む SMS テキスト メッセージを受信します。SMS を受信するまで最大 1 分かかる場合があります。
注:このデモ環境では想定されない何らかの理由により、モバイル デバイスで SMS を受信できない場合があります。入力したデバイ ス番号が正しい場合、アカウントのセルラー プロバイダー設定または個人設定が原因である可能性があります。たとえば、登録した携 帯電話が「電話拒否」リストに登録済みである場合などが挙げられます。
6. さらに、電子メールは登録に使用した電子メール アドレスにも送信されます。電子メールにアクセスするには、次の手順を実行します。
a. Workstation1 に戻り、右上の [サインアウト(Sign Out)] をクリックしてスポンサー アカウントをログアウトします。
b. Outlook Web Mail のブックマークをクリックするとログイン画面に戻ります。
c. クレデンシャル dcloud\dcloud-guest および C1sco12345 を使用してログインします。
d. パブリック電子メール アドレスを使用してゲスト ユーザを登録した場合は、パブリック電子メール アドレスの受信トレイに移動して、
ゲストのクレデンシャルを通知する電子メールが ISE から届いているかどうかを確認します。
注:以降の手順では、パブリック電子メール アドレスを使用していないことを前提として、OWA から dcloud-guest アカウントにログインす る方法を示します。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 22/38
図 23. Exchange OW A Web ログイン ページ
7. ゲストのクレデンシャルを通知する電子メールが届いていないか、[受信トレイ(Inbox)] を調べます。
図 24. クレデンシャルを通知するゲスト アカウント電子メールの承認
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 23/38
ゲストネットワークへのアクセス
AP および実際のクライアント エンドポイント デバイスを使用しないゲストのデモンストレーション
注:AP やクライアント エンドポイントを使用せずにゲスト フローを実行することは可能です。その場合、関連するゲスト ポータルのポータル テスト URL を使用します。ただし、最適なデモンストレーションとユーザ エクスペリエンスを確保するには、実際のクライアントと AP を使用 することをお勧めします。RADIUS セッションが実際にはないため、RADIUS Live Log とゲスト レポートの内容が制約されることに注意し てください。また、実際のクライアントをリダイレクトするにはワイヤレス セッションが必要なため、静的 URL(または元の URL)に正常なフ ローは送信されないことにも注意してください。フル アクセス権を持つマシンからポータルを使用するため、ネットワーク リソースへのアクセ ス制限のデモンストレーションもできません。シミュレートされたフローであるため、アクセス制御は適用されません。
a) モニタリング マシンのブラウザまたは dCloud ワークステーションを使用して ISE ポータルにアクセスします。
b) [ワーク センター(Work Centers)] > [ゲスト アクセス(Guest Access)] > [ポータル & コンポーネント(Portals & Components)] に移動 します。
c) 対象の自己登録型ポータルをクリックします(ポータルは業種ごとのカスタマイズ要件によって異なります)。
d) ポータル テスト URL リンクをクリックします。別のウィンドウでポータルが開きます。
e) 次の手順を使用すれば、実際のデバイスに適用される情報を省略して、ここから短縮版の自己登録フローを実施できます。情報の一 部は適用されないことに注意してください。レポート情報も制限されます。
1. ユーザ デバイスで、SMS および電子メール経由で受信したクレデンシャルを使用してゲスト ポータルにログインします。
2. [同意(Accept)] をクリックしてアクセプタブル ユース ポリシーに同意し、[続行(Continue)] をクリックします。[成功(Success)]
ページに、ネットワークを通じてインターネット アクセスが可能になったことが示されます。
図 25. ゲスト ポータルのアクセプタブル ユース ポリシー
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 24/38
3. www.cisco.com へのリンクをクリックして、デバイスからゲスト ポータル経由でインターネットにアクセスできるようになったことを示します。
4. 選択したシナリオ(医療、教育、連邦政府または企業)に対応するメイン ポータルの URL(表 3「利用可能なポータル」を参照)に移動 します。セキュリティ警告が表示されたら [続行(Continue)] をクリックします。
5. [一般リソース(General Resources)] を選択すると、ユーザが一般のリソース ページへアクセスできることが示されます。
6. [内部リソース(Internal Resources)] または [自分の登録済みデバイス(My Registered Devices)] を選択すると、ユーザはこれらの ページにはアクセスできないことが示されます。
図 26. Healthcare Connections Center(http://health.dcloud.cisco.com)
ISE での自己登録型ゲスト フローのデモンストレーション
デバイスはゲスト ネットワークに正常に参加し、インターネット アクセスが許可されました。次に、ISE UI を使用して、デバイスを動的にプロ ファイリングし、適切な認可プロファイルを適用してゲスト向けインターネット アクセスを動的に許可する方法について説明します。
1. Workstation1 で Firefox を開き、ISE(https://ise.dcloud.cisco.com)にログインします。ログインするには、admin/C1sco12345 のユーザ ID とパスワードを使用し、次のいずれかの方法でアクセスします。
アドレス バーに URL を手入力する。
トポロジ ツールバーの [ISE] アイコンをクリックする。
ブックマーク ツールバーの ISE のブックマークをクリックする。
2. [操作(Operations)] メニューにマウス ポインタを移動し、[RADIUS Livelog] をクリックします。この画面では、ISE で行われた最新の 認証と認可が表示されます。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 25/38
注:この例では、ゲスト ネットワークへの参加に Apple iPad が使用されています。
デバイスは、最初に dCloud-Guest SSID に参加するときに、MAB(MAC 認証バイパス)を使用して認証を行い、ISE はプロファイル GUEST_REDIRECT を WLC に返します。これにより、WLC はすべてのユーザ Web トラフィックを dCloud ゲスト ポータルにリダイレ クトします。
その後すぐに、ISE はデバイスを Apple iPad としてプロファイリングします。このデモンストレーションでは、デバイスタイプに基づくア クセスの差別化機能については示しません。
ユーザは自己登録した後、スポンサーにより承認され、ゲスト ポータルにログインすると、ISE から GUEST_ACCESS という名前の 2 つ 目のプロファイルが返信されます。このプロファイルにより、WLC に事前設定された ACL の名前が再度プッシュされます。この ACL は、
インターネットと基本ポータルへのアクセスのみを許可します。以下のスクリーンショットを見ると、ユーザ「jpage」が、スポンサーによるゲ スト アクセスの承認後にログインしていることがわかります。
図 27. ゲスト アクセスの動的な適用
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 26/38
シナリオ 3. スポンサー承認型ゲスト アクセス
このシナリオでは、組織はゲスト ユーザ アカウントを必要に応じてプロビジョニングする必要があります。ゲスト ユーザ アカウントは、
オフィスの訪問者に対して事前に設定できます。また、基本的なインターネット アクセスを提供することもできます。このシナリオでは、
自己登録の代わりに、組織の従業員がスポンサーとしてゲスト ユーザ向けにゲスト アカウントをあらかじめプロビジョニングしてゲスト ユーザをサポートします。
ゲスト アカウントは、予定の到着時間前にスポンサーにより作成され、ゲスト ユーザには SMS と電子メールの両方からログイン クレデン シャルが送信されます。ゲスト ユーザは到着すると、dCloud-Guest SSID に参加してログインし、ネットワークへのアクセスを取得します。
また、ISE スポンサー ポータルでは、ユーザ アカウントの一括インポートも実行できます。これは、同時に複数のゲスト ユーザ アカウント をプロビジョニングする場合に非常に便利です。たとえば、リモートの営業オフィスで、オフィス管理者が大規模なセールス イベントのため に新しく 50 個のゲスト アカウントを前日にプロビジョニングする場合などです。
注:ゲスト アクセスは個々の組織ごとに定義されたものを意味します。このデモでは、ゲスト アクセスにより、ゲストはインターネットおよび メイン ポータル ページにアクセスできます。ゲスト アクセスをインターネットに限定することを望む組織もあれば、インターネットだけでなく 特定の内部リソースへのアクセスを付与することを望む組織もあります。ISE は、お客様の要件に応じて柔軟に設定できます。
手順
デバイスのクリーンアップ
注:必ず、以下の指示に従ってください。別のフローをすでに実行しているため、ISE ではデバイスをプロファイリング、認証、認可し、エンド ポイント グループに追加しています。次のフローを正しく実行するには、ISE と WLC からデバイスを完全に削除し、ローカル デバイス設定 を消去することが重要です。これらの手順に従わないと、デモは正しく機能しません。
1. デモンストレーションで使用する各個人デバイスの設定を消去します。デバイスの設定が消去されていないと、必要な時にゲスト ポータルやその他のページにリダイレクトされない場合があります。
a. Web キャッシュを消去します。[手順を見る]
b. 個人デバイスの設定を消去します。[手順を見る] [英語]
2. Workstation1 で Firefox を開き、ISE(https://ise.dcloud.cisco.com)にログインします。ログインするには、admin/C1sco12345 のユーザ ID とパスワードを使用し、次のいずれかの方法でアクセスします。
アドレス バーに URL を手入力する。
トポロジ ツールバーの [ISE] アイコンをクリックする。
ブックマーク ツールバーの ISE のブックマークをクリックする。
3. [コンテキスト可視化(Context Visibility)] > [エンドポイント(Endpoints)] に移動します。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 27/38
4. すべてのエンドポイントにチェックをつけ削除します。
図 28. ISE からのエンドポイントの削除
5. Workstation1 から、以下のいずれかの方法で WLC ログイン ページ(http://wlc1.dcloud.cisco.com)にアクセスします。
a. アドレス バーに URL を手入力する。
b. ブックマーク ツールバーから WLC1 のブックマークをクリックする。
c. ブラウザのホーム ボタンをクリックしてトポロジ図に戻り、vWLC をクリックする。
6. デモンストレーション準備でエンドポイントのプロビジョニングに使用したものと同じデバイス固有のクレデンシャルを使用して、
vWLC にログインします。
7. 右上の [詳細設定(Advanced)] をクリックします。
8. 上部のメニュー バーで [モニタ(MONITOR)] をクリックします。
9. 左側のリストで [クライアント(Clients)] をクリックします。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 28/38
10. 以前、ネットワークに参加したすべてのクライアントが表示されます。右にスクロールしてドロップダウン矢印の上にマウスを移動し、
展開されたら、[削除(Remove)] をクリックします。
11. 確認メッセージの [OK] をクリックし、承認ステータスが [未承認(No)] に変わることに注意します。
図 29. WLC からのクライアントの削除
ゲスト アカウントの作成
1. Workstation1 で Firefox を開き、[ホーム(Home)] ボタンをクリックします。
2. [デフォルト ポータル ログイン(Default Portal Logins)] セクションで、[スポンサー ポータル(Sponsor Portal)] をクリックします。
図 30. トポロジ ページ
3. ユーザ名 sponsor、パスワード C1sco12345 でスポンサー ポータルにログインします。
注:[アカウント管理(Manage Accounts)] でゲスト タイプの変更はできません(このデモでは使用できない機能です)。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 29/38
4. [アカウントの作成(Create Accounts)] タブで、ゲスト アカウントに必要な情報を次の指示に従って入力します。
電子メール アドレスには、パブリックにアクセスできる電子メール アカウント、またはこのデモで事前設定されている組み込み の [email protected] アカウントを指定できます。
電話番号は、SMS 経由でゲスト クレデンシャルを送信する実際の電話番号を指定する必要があります。スペースやダッシュな しで、国コード + エリア コード + 電話番号を入力してください。例:15865551234
5. 情報を入力したら、[作成(Create)] をクリックしてゲスト アカウントを作成し、[アカウント情報(Account Information)] 画面を開きます。
注:言語は英語のままにすることを推奨します。英語以外の言語を選択すると、受け取る SMS メッセージに予期しない文字が含ま れる可能性があります。
図 31. スポンサー ポータルからゲスト アカウントを作成
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 30/38
6. [通知(Notify)] をクリックします。
図 32. アカウント作成の成功に関するゲストへの通知
7. [通知(Notify)] ボックスで、[SMS] および [電子メール(Email)] をオンにします。
8. [OK] をクリックして、ゲスト ユーザのクレデンシャルを通知する SMS テキスト メッセージおよび電子メールを送信します。SMS を受 信するまで最大 1 分かかる場合があります。
注:このデモ環境では想定されない何らかの理由により、モバイル デバイスで SMS を受信できない場合があります。入力したデバイ ス番号が正しい場合、アカウントのセルラー プロバイダー設定または個人設定が原因である可能性があります。たとえば、登録した携 帯電話が「電話拒否」リストに登録済みである場合などが挙げられます。
図 33. [通知(Notify)] ポップアップ ウィンドウ
注:クレデンシャルが送信されたら、ゲスト電子メール アカウントにログインし、クレデンシャルを含む電子メールを取得できるようになります。
電話番号を正しい形式で入力しないと、SMS は受信できません。以下の手順では、ゲスト アカウント登録に組み込みの dcloud-
[email protected] アカウントを使用します。パブリック電子メール アドレスを使用した場合は、その電子メール アカウントの受信ト レイに移動して、ゲストのクレデンシャルを通知する電子メールを受け取る必要があります。
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 31/38
9. 電子メールにアクセスするには、Outlook Web Mail のブックマークをクリックしてログインします(dcloud\dcloud- guest/C1sco12345)。
図 34. Exchange OW A Web ログイン ページ
10. ゲストのクレデンシャルを含んでいる電子メールを開きます。
図 35. クレデンシャルを通知するゲスト電子メールの承認
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 32/38
11. ユーザ デバイスで SSID dCloud-Guest に参加します。Safari を開くとゲスト ポータルにリダイレクトされるので、通知で受信し たクレデンシャルを使用してゲスト ポータルにログインします。
注:デモンストレーションでは、全体を通して特定の dCloud WiFi に接続します。ここではそれらの SSID を汎用名で示していますが、
そのすべてに固有のセッション ID が追加されます(dCloud-Hotspot-123456 など)。
12. [同意(Accept)] をクリックしてアクセプタブル ユース ポリシーに同意し、[続行(Continue)] をクリックします。[成功(Success)]
ページに、ネットワークを通じてインターネット アクセスが可能になったことが示されます。
図 36. ゲスト ポータルのアクセプタブル ユース ポリシー
13. www.cisco.com へのリンクをクリックして、デバイスからゲスト ポータル経由でインターネットにアクセスできるようになったことを示
します。
14. 選択したシナリオ(医療、教育、連邦政府または企業)に対応するメイン ポータルの URL(表 3「利用可能なポータル」を参照)に移 動します。セキュリティ警告が表示されたら [続行(Continue)] をクリックします。
15. [一般リソース(General Resources)] を選択すると、ユーザが一般のリソース ページへアクセスできることが示されます。
16. [内部リソース(Internal Resources)] または [自分の登録済みデバイス(My Registered Devices)] を選択すると、ユーザはこれら のページにはアクセスできないことが示されます。
図 37. Healthcare Connections Center(http://health.dcloud.cisco.com)
Cisco dCloud
© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. ページ 33/38
ISE におけるスポンサー承認型ゲストフローのデモンストレーション
デバイスはゲスト ネットワークに正常に参加し、インターネット アクセスが許可されました。このセクションでは、ISE UI を使用して、デバイ スを動的にプロファイリングし、適切な認可プロファイルを適用してゲスト向けインターネット アクセスを動的に許可する方法について説明し ます。
1. Workstation1 で、デスクトップから Firefox を起動します。
2. Workstation1 で Firefox を開き、ISE(https://ise.dcloud.cisco.com)にログインします。ログインするには、admin/C1sco12345 のユーザ ID とパスワードを使用し、次のいずれかの方法でアクセスします。
アドレス バーに URL を手入力する。
トポロジ ツールバーの [ISE] アイコンをクリックする。
ブックマーク ツールバーの ISE のブックマークをクリックする。
3. [操作(Operations)] メニューにマウス ポインタを移動し、[RADIUS Livelog] をクリックします。この画面では、ISE で行われた最新 の認証と認可が表示されます。
注:この例では、ゲスト ネットワークへの参加に Apple iPad が使用されています。デバイスは、最初に dCloud-Guest SSID に参加する ときに、MAB(MAC 認証バイパス)を使用して認証を行い、ISE はプロファイル GUEST_REDIRECT を WLC に返します。これにより、
WLC はすべてのユーザ Web トラフィックを dCloud ゲスト ポータルにリダイレクトします。
その後すぐに、ISE はデバイスを Apple iPad としてプロファイリングします。このデモンストレーションでは、デバイスタイプに基づくアク セスの差別化機能については示しません。
ユーザがスポンサーによりプロビジョニングされたアカウントを使用してゲスト ポータルにログインすると、ISE から GUEST_ACCESS と いう名前の 2 つ目のプロファイルが返送されます。このプロファイルにより、WLC に事前設定された ACL の名前が再度プッシュされます。
この ACL は、インターネットと基本ポータルへのアクセスのみを許可します。
次のスクリーンショットを見ると、スポンサー ポータルでスポンサーによりユーザ「rplant」のゲスト アカウントが作成された後に、このユー ザがログインしたことがわかります。
図 38. 動的なゲスト アクセスの適用
![図 8. dCloud Healthcare Connections Center:http://health.dcloud.cisco.com [英語]](https://thumb-ap.123doks.com/thumbv2/123deta/7574484.2528997/12.918.74.786.391.608/図8dCloudHealthcareConnectionsCenterhttphealthdcloudciscocom英語.webp)
![図 19. [Exchange Server] アイコンをクリック](https://thumb-ap.123doks.com/thumbv2/123deta/7574484.2528997/20.918.77.542.312.665/図19ExchangeServerアイコンをクリック.webp)
