アイデンティティ ソースについて
アイデンティティソースは、組織内のユーザーのユーザーアカウントを定義する AAA サーバーおよびデータベースです。この情報は、IP アドレスに関連付けられているユーザー ID の提供や、Device Manager へのリモートアクセス VPN 接続またはアクセスを認証するなど、さまざまな方法で利用できます。
ページを使用して、ソースを作成および管理します。アイデンティティ ソースを必要とするサービスを設定するときに、次のオブジェクトを使用します。
サポートされているアイデンティティソースとその使用方法は次のとおりです。
- Active Directory(AD)アイデンティティレルム
-
Active Directory は、ユーザーアカウントおよび認証情報を提供します。Active Directory(AD)アイデンティティレルムを参照してください。
このソースは、以下の目的で使用できます。
-
リモートアクセス VPN(プライマリ アイデンティティ ソースとして)。AD は RADIUS サーバーと組み合わせて使用可能。
-
アイデンティティポリシー(アクティブ認証用、およびパッシブ認証で使用されるユーザー アイデンティティ ソースとして)。
-
- AD(Active Directory)レルムシーケンス
-
AD レルムシーケンスは、AD レルムオブジェクトの番号付きリストです。レルムシーケンスは、ネットワーク内で複数の AD ドメインを管理する場合に役立ちます。AD レルムシーケンスの設定を参照してください。
このソースは、以下の目的で使用できます。
-
パッシブ認証で使用されるユーザー ID ソースとしての ID ポリシー。シーケンス内のレルムの順序によって、競合が発生しているまれな状況で、システムがユーザー ID を決定する方法が決まります。
-
- Cisco Identity Services Engine(ISE)または Cisco Identity Services Engine Passive Identity Connector(ISE PIC)
-
ISE を使用している場合は、脅威に対する防御 デバイスと ISE 展開を統合できます。Identity Services Engine(ISE)を参照してください。
このソースは、以下の目的で使用できます。
-
アイデンティティポリシー(ISE からユーザーアイデンティティを収集するためのパッシブ アイデンティティ ソースとして)。
-
- RADIUS サーバー、RADIUS サーバーグループ
-
RADIUS サーバーを使用している場合は、それらを Device Manager で使用することもできます。それぞれのサーバーを個別のオブジェクトとして定義し、それらをサーバーグループ(特定グループ内のサーバーは互いのコピー)に入れる必要があります。サーバーグループを機能に割り当て、個々のサーバーは割り当てないでください。RADIUS サーバおよびグループを参照してください。
このソースは、以下の目的で使用できます。
-
認証、および許可、アカウンティングのアイデンティティソースとしてのリモートアクセス VPN。AD は RADIUS サーバーと組み合わせて使用できます。
-
アイデンティティ ポリシー(リモート アクセス VPN ログインからユーザー アイデンティティを収集するためのパッシブ アイデンティティ ソースとして)。
-
Device Manager または 脅威に対する防御 CLI 管理ユーザーの外部認証。許可レベルが異なる複数の管理ユーザーをサポートできます。これらのユーザーは、デバイスの設定とモニタリングのためにシステムにログインできます。
-
- SAML サーバー
-
セキュリティ アサーション マークアップ言語 2.0(SAML 2.0)は、当事者間、特に ID プロバイダー(IdP)とサービスプロバイダー(SP)の間で認証および許可データを交換するためのオープン標準です。
このソースは、以下の目的で使用できます。
-
シングルサインオン(SSO)認証ソースとしてのリモートアクセス VPN。
-
Device Manager ユーザーの外部認証。許可レベルが異なる複数の管理ユーザーをサポートできます。これらのユーザーは、デバイスの設定とモニタリングのためにシステムにログインできます。
-
- LocalIdentitySource
-
これはローカル ユーザー データベースです。これには Device Manager で定義したユーザーが含まれます。このデータベースのユーザーアカウントを管理するには、 を選択します。ローカル ユーザーを参照してください。
(注)
ローカル アイデンティティ ソース データベースには、CLI アクセス用に CLI で設定するユーザーは含まれません(configure user add コマンドを使用)。CLI ユーザーは、Device Manager で作成するユーザーとは完全に別のユーザーです。
このソースは、以下の目的で使用できます。
-
リモートアクセス VPN(プライマリまたはフォールバック アイデンティティ ソースとして)。
-
アイデンティティ ポリシー(リモート アクセス VPN ログインからユーザー アイデンティティを収集するためのパッシブ アイデンティティ ソースとして)。
-