So integrieren Sie Cisco Identity Services Engine (ISE) pxGrid Direct Connect und IGEL UMS

Cisco ISE (Identity Services Engine) ist ein umfassendes, richtlinienbasiertes System zur Zugriffskontrolle und Identitätsverwaltung, das von Cisco entwickelt wurde. Es wird in Unternehmensnetzwerken häufig eingesetzt, um die Sicherheit zu erhöhen, den Netzwerkzugriff zu optimieren und Compliance-Anforderungen zu erfüllen.

Hauptfunktionen von Cisco ISE

Netzwerkzugriffskontrolle (NAC)

  • Authentifiziert und autorisiert Benutzer und Geräte, bevor der Zugriff auf das Netzwerk gewährt wird

  • Unterstützt kabelgebundene, drahtlose und VPN-Zugriffe

Richtliniendurchsetzung

  • Ermöglicht Administratoren, granulare Zugriffsrichtlinien basierend auf Benutzerrollen, Gerätetypen, Standort und weiteren Kontextdaten zu definieren

Gastzugriffsverwaltung

  • Stellt sicheren Gastzugriff mit anpassbaren Portalen und Selbstregistrierungsoptionen bereit

BYOD (Bring Your Own Device) Unterstützung

  • Ermöglicht die sichere Einbindung und Verwaltung persönlicher Geräte, ohne die Netzwerksicherheit zu beeinträchtigen

Posture Assessment

  • Bewertet den Sicherheitsstatus von Endgeräten (z.B. Antivirusstatus, Betriebssystem-Updates), bevor Zugriff gewährt wird

Integration mit anderen Cisco-Produkten

  • Funktioniert nahtlos mit Cisco Switches, Routern, Wireless-Controllern und Firewalls

  • Integriert sich mit Cisco TrustSec für skalierbare Sicherheitsrichtlinien

Sichtbarkeit und Reporting

  • Bietet detaillierte Einblicke darüber, wer und was sich im Netzwerk befindet

  • Stellt umfangreiche Berichte und Analysen für Compliance und Fehlerbehebung bereit

Anwendungsfälle

  • Unternehmen, die den Zugriff auf ihre Netzwerke absichern möchten

  • Organisationen, die Zero-Trust-Architekturen implementieren

  • Compliance-getriebene Branchen wie Gesundheitswesen, Finanzwesen und öffentliche Verwaltung

Was ist Cisco ISE pxGrid Direct mit CMDB?

Cisco ISE pxGrid Direct Connect mit CMDB ermöglicht es der Cisco Identity Services Engine (ISE), sich direkt mit externen Configuration Management Databases (CMDBs), wie der IGEL Universal Management Suite (UMS), über REST-APIs zu verbinden. Dadurch wird ein Echtzeit-Austausch sowie die Anreicherung von Endpunktdaten ermöglicht, um Netzwerktransparenz, Richtliniendurchsetzung und Asset-Management zu verbessern.


Was macht pxGrid Direct?

Eingeführt in Cisco ISE 3.2 und in nachfolgenden Versionen erweitert, ermöglicht pxGrid Direct:

  • Direkte Verbindung zu externen REST-APIs, z.B. von CMDBs, um JSON-formatierte Endpunktdaten abzurufen

  • Verwendung dieser Daten in Autorisierungsrichtlinien, ohne das externe System bei jeder Anfrage erneut abzufragen

Diese Integration macht benutzerdefinierte Konnektoren oder Zwischenplattformen überflüssig und vereinfacht die Anreicherung der ISE-Kontextdatenbank mit wertvollen Asset-Informationen. Dies ist besonders nützlich für die Integration mit CMDBs, in denen Geräteattribute (z.B. Betriebssystemversion, Asset-Tags, Compliance-Status) gespeichert sind.

Durch die Integration von Cisco ISE mit CMDBs über pxGrid Direct können Unternehmen eine umfassendere und dynamischere Sicherheitsstrategie umsetzen, indem detaillierte Asset-Informationen zur Steuerung und Durchsetzung von Netzwerkzugriffsrichtlinien genutzt werden.

Funktionsweise mit CMDBs

  1. Konnektorkonfiguration: In ISE richten Administratoren einen pxGrid Direct-Konnektor ein, indem sie den REST-API-Endpunkt der CMDB sowie die Authentifizierungsdaten angeben

  2. Datenmapping: Der Konnektor wird so konfiguriert, dass relevante Attribute aus den JSON-Daten der CMDB – wie Asset-Tags, Betriebssysteme, IP-Adressen und weitere – erkannt und dem ISE-Dictionary zugeordnet werden (siehe "ISE 3.3 pxGrid Direct konfigurieren und Fehlerbehebung dafür durchführen" von Cisco)

  3. Definition von Identifikatoren: Zwei wichtige Identifikatoren werden definiert

  4. Datensynchronisierung: ISE kann so konfiguriert werden, dass vollständige oder inkrementelle Synchronisierungen in definierten Intervallen durchgeführt werden, sodass die importierten Asset-Daten aktuell bleiben

  5. Richtliniendurchsetzung: Die angereicherten CMDB-Daten werden in ISE-Autorisierungsrichtlinien verwendet, um detailliertere und fundiertere Zugriffsentscheidungen zu ermöglichen

Integrationsübersicht: Cisco ISE pxGrid Direct + IGEL UMS über IMI

Cisco ISE pxGrid Direct kann über die REST-API der IGEL Universal Management Suite (UMS), die als IGEL Management Interface (IMI) bezeichnet wird, integriert werden. Durch diese Integration können detaillierte Endpunktinformationen von IGEL-verwalteten Geräten abgerufen werden, wodurch die Netzwerktransparenz in ISE verbessert und eine richtlinienbasierte Zugriffskontrolle für IGEL-Geräte ermöglicht wird.

A screenshot of a computer

AI-generated content may be incorrect.

Was ist IMI?

Das IGEL Management Interface (IMI) ist eine REST-API, die es externen Systemen ermöglicht, mit der IGEL UMS zu interagieren. IMI ist plattformunabhängig und auf Interoperabilität ausgelegt. Es unterstützt unter anderem folgende Funktionen:

  • Auflisten von Endgeräten

  • Auslesen von Geräteattributen (z.B. MAC-Adresse, IP-Adresse, Firmware-Version)

  • Verwalten von Gerätezuständen (z.B. Neustart, Verschieben zwischen Verzeichnissen)

Weitere Informationen finden Sie in diesem Artikel der IGEL Knowledge Base: IGEL Management Interface (IMI)

Voraussetzungen

  • Cisco ISE Version 3.2 Patch 2 oder neuer

  • IGEL UMS 12.08.130 oder neuer

  • Eine geeignete Lizenz. Beachten Sie, dass für bestimmte Funktionen innerhalb von IGEL OS zusätzliche Lizenzen erforderlich sein können (z.B. 90Meter). Die Editionen UMS Standard, Enterprise, Healthcare oder Government enthalten die IMI-Funktion. Weitere Details finden Sie unter IGEL OS Editions.

Integration

Durch die Konfiguration von pxGrid Direct zur Kommunikation mit dem IGEL IMI kann ISE Asset-Informationen wie MAC-Adressen, Gerätenamen, Firmware-Versionen, Registrierungsstatus und weitere Daten importieren. Diese Informationen werden anschließend zur Steuerung und Durchsetzung von Netzwerkzugriffsrichtlinien in ISE verwendet.

Implementierungsschritte – IGEL UMS

  1. Installieren oder aktualisieren Sie auf UMS Version 12.08.130 oder neuer.



  1. Stellen Sie sicher, dass IGEL UMS über die IMI REST-API erreichbar ist, in der Regel über Port 8443. Siehe dazu den KB-Artikel - Voraussetzungen



  1. Erstellen Sie ein UMS-Administratorkonto mit Lese-/Browse-Berechtigung auf Geräteebene. Globale Administratorrechte sind nicht erforderlich.

A screenshot of a computer

AI-generated content may be incorrect.



  1. Um die direkte Autorisierung für IMI-Aufrufe zu aktivieren, öffnen Sie <INSTALLATION DIRECTORY>\rmguiserver\conf\catalina.properties und fügen Sie folgende Zeile hinzu: de.igel.imi.directAuthorization=true

att_3_for_804847652.png



  1. Starten Sie die UMS neu.

IMI verwendet HTTPS, um die Integrität und Vertraulichkeit des Netzwerkverkehrs sicherzustellen. Es wird empfohlen, ein gültiges Serverzertifikat mit überprüfbarer Signatur zu verwenden. Selbstsignierte oder ungültige Zertifikate sollten nicht in Produktionsumgebungen verwendet werden.

Wenn eine Zertifikatsprüfung erforderlich ist, muss ISE der Root-Zertifikatskette vertrauen, die das UMS-Zertifikat signiert.


Integrationsschritte – Cisco ISE pxGrid Direct Connect

Dieses Verfahren verwendet ein Skript, das ein Struktur-Tag aus der MAC-Adresse des Geräts ableitet. Es funktioniert auch mit Geräten, die mehrere Netzwerkschnittstellen (Ethernet, WLAN) besitzen. Das Skript wird über ein UMS-Profil auf dem Gerät bereitgestellt.

  1. Erstellen Sie in ISE einen pxGrid Direct-Konnektor, der auf den IGEL IMI-Endpunkt zeigt. Verwenden Sie eine der folgenden Optionen:

    • GET /v3/thinclients
      Beispiel: https://[UMS_server]:8443/umsapi/v3/thinclients?facets=details&response-wrapper=true

    • GET /v3/thinclientview/{viewId}
      Beispiel: https://[UMS_server]:8443/umsapi/v3/thinclientview/{viewId}?facets=details&response-wrapper=true

Wichtig: Wrapper/Kategorie erforderlich

ISE benötigt einen Wrapper bzw. eine Kategorie, um die Ergebnisse im Dictionary anzuzeigen. Verwenden Sie für die Endpunkte thinclient und thinclientview den Wrapper results, um die Ergebnisse korrekt zuzuordnen.

Beispielanfrage:

GET {{url}}/umsapi/v3/thinclients?facets=details&response-wrapper=true
Authorization: Basic {{authBasic}}

Beispielantwort (Auszug):

{
 "results": [
  {
   "unitID": "0050569373B6",
   "mac": "0050569373B6",
   ...
   "registrationDate": "04.06.2025 08:09:56",
   "isThinClientRegistered": "true",
   ...
  }
 ]
}



  1. Identifizieren und mappen Sie die relevanten Attribute aus dem IGEL IMI auf die Endpunktattribute in ISE.

Pflicht

Optional (aber relevant für C2C/Compliance)

umsStructuralTag

unitID

isThinClientRegistered

configChanges

osType

memorySize

deviceType

deviceSerialNumber

cpuType

cpuSpeed

biosVendor

biosVersion

biosDate

firmwareID



  1. Erstellen Sie in der UMS ein Profil und navigieren Sie zu System > Systemanpassung > Eigene Befehle > Netzwerk.



  1. Aktivieren Sie das Feld Abschließender Netzwerkbefehl und fügen Sie folgendes Skript ein:

rmagent-set-structure-tag -t $(ip addr show | awk '
  /^[0-9]+: [^:]+:/ {
    iface = $2; sub(":", "", iface)
    state = /state UP/ ? "UP" : "DOWN"
  }
  /link\/ether/ && state == "UP" && iface != "lo" {
    if (iface ~ /^en/ || iface ~ /^eth/) {
      print toupper($2); exit
    } else if (!wifi) {
      wifi = toupper($2)
    }
  }
  END { if (!mac) print wifi }
')

sleep 2

rmagent-update-device-info
att_8_for_804847652.png
image-20260121-105433.png
image-20260121-105702.png
image-20260121-105717.png



  1. Konfigurieren Sie pxGrid Direct für regelmäßige Datensynchronisierungen, damit ISE stets aktuelle Informationen aus der IGEL UMS erhält.

Aktuell ist das kleinste Intervall für automatische Synchronisierungen 12 Stunden, eine manuelle Ausführung ist jedoch möglich.


Hinweise

  • Datenqualität: Überprüfen Sie regelmäßig, ob die aus der IGEL UMS importierten Daten korrekt sind und den aktuellen Zustand der Endgeräte widerspiegeln.

  • Sicherheit: Stellen Sie eine sichere Kommunikation zwischen Cisco ISE und IGEL UMS durch HTTPS und geeignete Authentifizierungsmechanismen sicher.