思科身份识别服务引擎(ISE)帮助企业控制和监控网络接入。它还允许公司针对访客或承包商等临时用户设置特定的Wi-Fi规则。

这个集成是如何工作的?

当访问者使用访问者登录时,他们也会在Cisco ISE中自动创建为访问者。如果访问者提供了电子邮件地址和/或电话号码,他们将收到电子邮件和/或短信,分享如何访问您公司的客人Wi-Fi网络的说明。

实现Envoy + Cisco ISE集成

步骤1:设立一个保证人

要使用Cisco ISE提供Wi-Fi,每个用户必须有一个赞助商.在这一步中,您将创建一个新的赞助商,它将是每个用Envoy签名的访问者的赞助商。

  1. 打开ISE实例并使用管理帐户登录。

  2. 转到管理>身份管理>身份。

  3. 从侧边栏中选择Users,然后单击“Add”。

  4. 在Name字段中,为您的赞助商选择一个名称。您可以使用任何名称,但我们建议选择类似Envoy_Sponsor的名称。在状态下,选择“已启用”。在密码类型下,选择“内部用户”。然后,创建密码。把这个密码记下来,因为您以后会用到它。在用户组下,选择您的首选用户组。我们建议选择ALL_ACCOUNTS,除非您已经为特使访问者配置了一个特殊的用户组。

步骤2:设置客户类型

思科伊势客人类型将决定用户将拥有的访问级别。在这个步骤中,您将为使用Envoy登录的访客创建一个来宾类型。

  1. 使用思科ISE,请访问工作中心>客户访问>门户和组件。

  2. 从侧边栏中选择Guest类型,然后单击“创建”。

  3. 在来宾类型名称字段中,为您的来宾类型选择一个名称。您可以使用任何名称,但我们建议使用类似Envoy_Visitor的名称。

  4. 在最大访问时间下,找到帐户持续时间开始,并选择“从第一次登录。”登录选项——系统管理员可以允许访客类型绕过访客门户(如果适用的话)。在这种情况下,使用这种客户类型创建的客户帐户将自动启用,并且它们的状态显示为Active,即使客户还没有登录到思科ISE web门户。如果没有配置此选项,则在来宾实际登录到web门户并将其初始状态显示为Created之前,帐户不会被启用。

  5. 直接在下面,在最大帐号持续时间下,选择您希望允许您的访问者访问Wi-Fi的天数。请注意,这里指定的天数必须小于您的一般密码生命周期中设置的天数。您可以在“Admin >身份管理>设置”下找到“密码寿命设置”。在侧栏中,选择“用户认证设置”。在密码有效期下检查你的密码有效期。

  6. 在帐户到期通知下,不要选择电子邮件或短信。不要检查这些盒子。不要在Cisco ISE中配置通知,因为所有通知都是通过Envoy发送的。

  7. 在“赞助者组”下,选择您分配给上面创建的赞助者的用户组。我们建议使用ALL_ACCOUNTS,但是您可能已经为特使访问者配置了一个特殊的用户组。

  8. 确保您的赞助商所在的赞助商组(可能是ALL_ACCOUNTS)能够创建包含您创建的Guest类型的账户。为此,请转到工作中心>来宾访问>门户和组件。从侧边栏中,选择赞助商组并选择您的赞助商组。找到“这个赞助组可以使用这些客户类型创建帐户”,并确保您刚刚创建的客户类型(在这里,您将看到Envoy_Visitor在这个列表中)。确保选中“使用编程接口(guest REST API)访问CISCO ISE客户帐户”复选框。

    1. 注意:你做需要给赞助商用户管理权限的ERS API;事实上,这样做会导致错误。

步骤3:找到您的门户ID

  1. 在思科ISE中,使用工作中心>客户访问。

  2. 从侧栏中选择Sponsor Portals,然后选择您计划使用的门户。您可以使用默认的[称为(赞助商门户(默认)]或您自己的首选门户。

  3. 查找门户测试URL。右键单击文本并选择“复制链接地址”。这将复制URL。将此URL粘贴到您计算机上的笔记中。你以后会需要的。

步骤4:找到您的位置名称

  1. 在思科ISE中,请访问工作中心>客户访问>设置。

  2. 从侧边栏中选择Guest Locations和SSID。

  3. 选择任何位置,并记录位置名称的准确拼写和大小写。你以后会需要的。

步骤5:白名单IP地址(如果适用)

如果您的Cisco ISE实例位于防火墙之后,您将需要将两个IP地址列入白名单。如果没有,请跳过第6步。

  • 54.84.138.60(特使生产)

  • 54.84.66.109(开发和故障排除)

您将需要在端口9060上对ISE Policy管理节点进行NAT转换,以允许从IP地址的Envoy系统进行通信。

步骤6:启用ERS API服务

为了访问Cisco ISE的API,您需要启用ERS API服务。为了安全起见,缺省情况下禁用了ERS api,因此您必须启用它。

  1. 在Cisco ISE中,登录到您的ISE PAN。

  2. 导航到管理>系统>设置,并从左侧面板选择ERS设置。

  3. 通过选择“Enable ERS for Read/Write”启用ERS api。

    1. 单击为所有其他节点启用ERS读取功能如果您的部署中有任何辅助节点,则使用单选按钮。

      1. 所有类型的外部RESTful服务请求仅对Cisco ISE主节点有效。辅助节点具有读取访问(GET请求)。

  4. 选择“保存”保存您的更改。

  5. 您可以使用默认的管理员帐户查看ISE ERS软件开发工具包(SDK)https://ise.domain.com:9060/ers/sdk

    1. 请注意:你做的需要给赞助商用户管理权限的ERS API;事实上,这样做会导致错误。

步骤7:在Envoy中启用Cisco ISE集成

  1. 集成>所有的集成

  2. 找到Cisco ISE并点击“配置”。

  3. 参考前面的注释,在Configure Server步骤中填写字段。输入您在上面的步骤4中提到的位置名称。

    1. 注意:它必须与Cisco ISE中显示的拼写和大小写完全匹配。输入您的ISE IP或域名和您的ISE端口。

  4. 在“赞助商”下输入在上面步骤1中创建的赞助商名称和密码。

  5. 在“客户类型”下,根据部署的ISE版本选择或输入您的客户类型。客户类型将在上面的步骤2中创建。

  6. 以天为单位输入您的客户类型凭证持续时间,如果使用ISE 2.2或更高版本,我们将继承在客户类型下配置的默认持续时间。

    1. 注意:如果您的ISE版本是v.2.1或更低,您将需要在列出的第二个字段中手动输入ISE实例中的客户类型名称(必须完全匹配),然后在第三个字段中输入该客户类型所需的持续时间。

  7. 输入以逗号分隔的访问者名称、电子邮件或其他关键字列表,您希望阻止这些关键字接收凭据。示例关键词:“朋友和家人,送货,船坞访客”

  8. 可选:输入自定义消息和logo。

常见问题解答

  • 在Envoy内部成功完成设置后,如果创建凭证失败,请确认以下ISE设置已更新:将最大帐户持续时间更改为至少1天,并确保账户时间开始设置被选中为"从第一次登录”。

这回答了你的问题吗?
Baidu