モバイル デバイスは、徐々にコンピュータに近づいて強力になり、消費者間での人気が増しています。何百万ものデバイスが、ユーザのコミュニケーションとコラボレーションを可能にするために、高速 Wi-Fi を搭載して消費者に販売されます。消費者は、これらのモバイル デバイスがもたらす生産性の向上に慣れて、個人的経験を作業空間に持ち込もうとしています。これにより、職場への個人所有デバイス持ち込み(BYOD)ソリューションの機能的な必要が生じています。
このドキュメントでは、BYOD ソリューションのブランチ導入について説明します。従業員は、自分の新しい iPad を使用して企業のサービス セット識別子(SSID)に接続し、自己登録ポータルにリダイレクトされます。Cisco Identity Services Engine(ISE)は、ユーザを企業の Active Directory(AD)に対して認証し、組み込みの iPad MAC アドレスとユーザ名が含まれた証明書を、dot1x 接続の方法として Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)の使用を強制するサプリカント プロファイルとともに iPad にダウンロードします。ISE での許可ポリシーに基づいて、ユーザは dot1x を使用して接続し、適切なリソースへのアクセスを取得します。
ソフトウェア リリース 7.2.110.0 より前までは、シスコ ワイヤレス LAN コントローラの ISE 機能は FlexConnect アクセス ポイント(AP)を介して関連付けるローカル スイッチング クライアントをサポートしていませんでした。リリース 7.2.110.0 で導入されたこれらの ISE 機能は、ローカル スイッチングと中央で認証されたクライアントのために FlexConnect AP でサポートされるようになりました。さらに、ISE 1.1.1 と統合されたリリース 7.2.110.0 では、次のワイヤレス用(次のものに限定されません)の BYOD ソリューション機能が提供されます。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
これらの機能を正しく実装してテストするには、次の図に示すような最小限のネットワーク設定が必要です。
このシミュレーションでは、FlexConnect AP を備えたネットワーク、ローカル DHCP、DNS、WLC、および ISE を含むローカル サイトまたはリモート サイトが必要です。FlexConnect AP は、複数の VLAN を使用したローカル スイッチングをテストするためにトランクに接続されています。
dot1x 認証用にネイティブ サプリカントをプロビジョニングするには、デバイスを登録する必要があります。正しい認証ポリシーに基づいて、ユーザはゲスト ページにリダイレクトされ、そのユーザの従業員クレデンシャルを使用して認証されます。ユーザにはデバイス登録ページが表示され、デバイス情報を入力するよう求められます。デバイスのプロビジョニング プロセスが開始します。オペレーティング システム(OS)がプロビジョニングでサポートされていない場合、そのデバイスを MAC Authentication Bypass(MAB)アクセス用にマークするために、ユーザは資産登録ポータルにリダイレクトされます。OS がサポートされている場合、登録プロセスが開始され、dot1x 認証のためにデバイスのネイティブ サプリカントが設定されます。
資産登録ポータルは、従業員が認証と登録プロセスによってエンドポイントのオンボーディングを開始できるようにする ISE プラットフォームの要素です。
管理者は、[endpoints identities] ページから資産を削除できます。それぞれの従業員は、登録した資産の編集、削除、およびブラックリストへの登録を行うことができます。ブラックリストに登録されたエンドポイントはブラックリスト ID グループに割り当てられ、ブラックリストに登録されたエンドポイントによるネットワークへのアクセスを防止するために許可ポリシーが作成されます。
中央 Web 認証(CWA)フローでは、従業員は、クレデンシャルを入力し、認証してから、登録する特定の資産の特性の入力に進むことができるポータルにリダイレクトされます。このポータルは、自己プロビジョニング ポータルと呼ばれ、デバイス登録ポータルと似ています。ここでは、従業員は MAC アドレスと、エンドポイントのわかりやすい説明を入力できます。
従業員が自己登録ポータルを選択すると、プロビジョニング フェーズに進むために、有効な一連の従業員クレデンシャルを指定するよう求められます。正常に認証されると、エンドポイントをエンドポイント データベースにプロビジョニングでき、エンドポイントの証明書が生成されます。ページ上のリンクを使用して、従業員は Supplicant Pilot Wizard(SPW)をダウンロードできます。
EAP-TLS 設定の場合、ISE は Apple の Over-the-Air(OTA)登録プロセスに従います。
セキュリティ上の考慮事項により、Android エージェントは Android マーケットプレイス サイトからダウンロードする必要があり、ISE からはプロビジョニングできません。シスコでは、Cisco Android マーケットプレイス パブリッシャ アカウントを使用して、ウィザードのリリース候補バージョンを Android マーケットプレイスにアップロードします。
Android プロビジョニング プロセスは次のとおりです。
これは、デュアル SSID ワイヤレス BYOD 自己登録の場合のプロセスです。
このシナリオには、Protected Extensible Authentication Protocol(PEAP)と EAP-TLS の両方がサポートされる、企業アクセス(CORP)のためのシングル SSID があります。ゲスト SSID はありません。
これは、シングル SSID ワイヤレス BYOD 自己登録の場合のプロセスです。
設定を開始するには、次の手順を実行します。
WLAN を設定するには、次の手順を実行します。
FlexConnect AP を設定するには、次の手順を実行します。
ISE を設定するには、次の手順を実行します。
条件:Wireless_802.1X
新しく [Standard Rule #] が追加されます。
これはルールの例です。条件がANDであることを確認してください。
このセクションでは、デュアル SSID について扱われ、ビジョニングするゲストへの接続方法と 802.1x WLAN への接続方法が説明されます。
デュアル SSID のシナリオで iOS をプロビジョニングするには、次の手順を実行します。
これはシングル SSID に関するセクションであり、802.1x WLAN に直接接続する方法、PEAP を使用して認証するための AD ユーザ名/パスワードを指定する方法、およびゲストを介したプロビジョニングと TLS との再接続を行う方法について説明されています。
シングル SSID のシナリオで iOS をプロビジョニングするには、次の手順を実行します。
このデュアル SSID に関するセクションでは、プロビジョニングするゲストへの接続方法と 802.1x WLAN への接続方法を説明します。
Android デバイスへの接続プロセスは、iOS デバイス(シングルまたはデュアル SSID)への接続プロセスと非常によく似ています。違いは、Android デバイスでは、Google マーケットプレイス(現在では Google Play)にアクセスし、サプリカント エージェントをダウンロードするには、インターネットへのアクセスが必要であるという点です。
デュアル SSID のシナリオで Android デバイス(この例で Samsung Galaxy など)をプロビジョニングするには、次の手順を実行します。
My Devices ポータルでは、ユーザは、デバイスの損失/盗難の場合に以前に登録したデバイスをブラックリストに登録できます。また、ユーザは必要に応じて再度リストに入れることもできます。
デバイスをブラックリストに登録するには、次の手順を実行します。
ブラックリストに登録したデバイスを復元するには、次の手順を実行します。
ISE では、有効な CA ルート証明書のみでなく、CA によって署名された有効な証明書が必要です。
新しい信頼できる CA 証明書を追加、バインド、およびインポートするには、次の手順を実行します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
12-Sep-2013 |
初版 |