Airwatch 与思科身份服务引擎集成.PDFVIP

Airwatch 与思科身份服务引擎集成 安全访问操作指南系列 作者：Aaron Woland 日期：2012 年12 月 安全访问操作指南 目录 简介 3 什么是Cisco TrustSec 系统？ 3 关于TrustSec 操作指南 3 移动设备管理(MDM) 4 概述 4 MDM 集成使用案例 4 组件 5 使用 MDM 集成配置步骤 7 思科ISE 和MDM 集成配置 7 审核MDM 字典 11 配置ISE 授权策略 12 附录A ：Airwatch 配置 17 附录B：参考 19 Cisco TrustSec 系统： 19 设备配置指南： 19 © 思科系统公司2015 第2 页 安全访问操作指南 简介 什么是Cisco TrustSec 系统？ Cisco TrustSec® 是思科SecureX 架构™ 的核心组件，是一种智能访问控制解决方案。TrustSec 提供对连接整个 网络基础设施的用户和设备的全面可视性功能，并对用户和设备能够访问的内容和位置实现卓越控制，从而 降低安全风险。 TrustSec 构建于您现有的身份感知接入层基础设施（交换机、无线控制器等）之上。该解决方案及其内部所 有组件已作为一个集成系统经过了彻底检查和严格测试。 TrustSec 系统不仅结合了IEEE 802.1X 与VLAN 控制等基于标准的身份和实施模式，还包括高级身份和实施 功能，如灵活身份验证、可下载访问控制列表(dACL)、安全组标记(SGT)、设备分析、安全状态评估等。 图1. 关于TrustSec 操作指南 本系列操作指南文档由TrustSec 团队编制，旨在介绍TrustSec 部署的最佳实践。本系列文档相辅相成，引导 读者成功实施TrustSec 系统。您可以使用这些文档按照规定的路径完成部署，也可以只选择满足您特定需求 的单独的使用案例。 © 思科系统公司2015 第3 页 安全访问操作指南 移动设备管理(MDM) 概述 移动设备管理(MDM) 软件保护、监控、管理和支持跨移动运营商、运营商和企业部署的移动设备。典型 MDM 产品包括策略服务器、移动设备客户端和可选内联实施点，该可选内联实施点控制部署环境中移动设备 上的某些应用的使用（如邮件）。但是，网络是可以提供终端精细访问的唯一实体（基于ACL 、TrustSec SGT 等）。根据设想，思科身份服务引擎(ISE) 是一个基于附加网络的实施点，而MDM 策略服务器则用作 策略决策点。ISE 预期接收来自MDM 服务器的特定数据，以提供完整的解决方案。 以下是此解决方案的高级使用案例。 • 设备注册- 访问网络内部的未注册终端将被重定向到MDM 服务器的注册页面，以根据用户角色、设 备类型等进行注册。 • 补救- 不合规终端将根据合规状态授予受限访问权限。 • 定期合规检查- 定期向MDM 服务器检查合规性。 • ISE 中的管理员通过MDM 服务器在设备上发出远程操作的能力 （例如远程擦除受管设备）。 • 最终用户利用ISE My Devices Portal 管理个人设备的能力，例如完全擦除、公司擦除和PIN 锁。 网络拓扑示例 图2. ISE+MDM 集成拓扑 MDM 集成使用案例 1. 用户将设备与SSID 关联。 2. 如果用户设备尚未注册，用户将完成自带设备自注册流程，详细信息如附录所述。 3. ISE 向MD