H3C iMC EIA

機能とメリット

デバイス管理とユーザーリソース管理の一元化EIA は、ネットワーク デバイスの集中管理に加えて、基本的なユーザー情報 (ユーザー名、識別 ID、連絡先アドレス、電話番号、電子メール アドレス、ユーザーグループを含む) および追加のユーザー情報を集中管理します。

管理者は、ネットワーク運用のニーズに応じてユーザー情報をカスタマイズできます。　例えば、管理者は大学ネットワークの場合は学生 ID と成績を、企業ネットワークの場合は部門と役職をカスタマイズできます。

又、集中管理により、複数のデバイスで認証されたユーザーのユーザー名を複数の IP アドレスにバインドできる為、ユーザーはキャンパスのワイヤレス ネットワーク全体にアクセスできるようになります。

ユーザーの統合管理では、ユーザー権限、QoS、帯域幅、アプリケーション、およびセキュリティポリシーも処理されます。

EIA はユーザーとデバイスをオンボードできます。

リソース管理

デバイスとユーザーのグループ管理

EIAはデバイスとユーザーのグループ化をサポートしています。管理者は、同じ属性を持つユーザーをグループに割り当て、ポリシーマトリックスを介してオペレーターにグループ管理権限を割り当てます。さらに、管理者は、アクセスサービスをユーザーグループに割り当て、グループを異なるサブネットに割り当てることにより、ユーザーグループ内のユーザーのネットワークアクセスを管理します。

ユーザー管理とネットワークデバイス管理の統合

デバイス管理とユーザー管理を統合することで、管理者はより効率的に操作を実行できます。

オンラインユーザー リストは、基本的なデバイス情報、アラーム、パフォーマンス ステータスなど、オンライン ユーザーのアクセスデバイスに関する情報を表示するためのインターフェイスを提供します。　　管理者は、アクセス デバイスを選択する事で、ユーザーに対してアクションを実行できます。例えば、管理者はアクセス デバイスを選択し、そのデバイス上の全てのアクセス ユーザーを 強制的にオフラインにする事ができます。

異なるアプリケーションシナリオのための複数のアクセスおよび認証方法

ユーザーがネットワークにアクセスするための様々なアクセス方法（802.1XやVPNアクセスなど）が利用可能です。

認証方式 (PAP、CHAP、EAP-MD5、EAP-TLS、PEAP など) は、様々なアプリケーションシナリオのセキュリティ要件を満たします。

ユーザーとデバイスの IPアドレス、アクセスポート、VLAN、ユーザー IPアドレス、及びハードウェア情報 (MAC アドレス等)とのバインドにより、認証のセキュリティが強化され、アカウントの損失や無効なアクセスが防止されます。

WindowsドメインコントローラーとLDAP対応 3^rd Pty.メールシステムによる統合認証により、多重認証を回避します。

コントロールプレーンを分離した認証サーバーを採用。

Endpoint Admission Defense（EAD）ソリューションと連携することで、セキュリティポリシーに準拠したユーザーエンドポイントのみがネットワークにアクセスできるようになります。

ポータル認証は、H3C iNode DCとPCクライアントをサポートしています。　ポータル認証ページをカスタマイズして、サードパーティシステムのホームページに埋め込む事ができ、ポータルのカスタマイズでは、登録不要やセルフサービスのゲスト登録などの様々なシステムテンプレートも提供できます。

認証ページは、ポートグループ、SSID、エンドポイント オペレーティング システムに基づいてプッシュできます。

厳格な権限制御と強化されたユーザーアクセス管理

ユーザーベースの権限制御ポリシーは、さまざまなユーザーのネットワークアクセス権限を定義します。

同時オンラインユーザーの設定とプロキシサービスの禁止により、特定のユーザーによるネットワークリソースの過剰使用を効果的に回避します。

最大アイドル時間の設定に対応しました。

ユーザーACLベースとVLANベースの制御により、ユーザーが外部の違法なウェブサイトや機密データを持つ内部サーバーにアクセスするのを防ぎます。

ユーザーIPアドレス割り当てポリシーにより、IPアドレスのセキュリティと一意性が確保されます。

管理者がネットワークアクセス時間範囲と場所を設定した後、ユーザーは設定通りにネットワークにのみアクセスできます。

EIAでは、内部情報漏洩を防ぐため、複数のNICの使用やダイヤルインアクセス方式を制限しています。

EIA はユーザーに専用クライアントの使用を要求し、クライアントの自動アップグレードを強制する為、クライアントのセキュリティが確保されます。

強力なエンドポイント ユーザーの監視と管理

EIA はオンライン ユーザーのリアルタイム クエリをサポートし、管理者が違法ユーザーを強制的にオフラインにする事ができます。

ブラックリスト機能は、悪意を持ってパスワードを推測したユーザーをブラックリストに追加し、MACアドレスやIPアドレスから不正行為の根源を追跡します。

EIAは、クライアントレス ダム端末やスマート エンドポイントの偽装MACアドレスを使用するエンドポイントのネットワークアクセスを拒否する事で、エンドポイントへのアクセスを保護します。

EIA は、重要なイベント発生時にアクセス ユーザーへの管理者通知の送信をサポートします。

例えば、システムアップグレード前のネットワーク切断通知やパスワード保護など悪意のあるパスワード攻撃が検出された場合に通知します。

認証失敗ログは、管理者が認証失敗の原因を特定するのに役立ちます。

保守作業の簡素化

サービスベースのユーザー分類管理と、認証バインディングポリシー、セキュリティポリシー、アクセス権限のサービスへの統合により、保守作業が簡素化され、統合されたネットワーク管理が保証されます。

EIAは、オペレーターがアクセスユーザーに対して集中管理操作を行うためのユーザーフレンドリーなWebインターフェースを提供します。

アクセスユーザーはセルフサービスセンターでアカウントの申請やユーザー情報の照会・変更ができる為、アクセス効率の向上と管理者の負担が軽減されます。

様々なゲストアカウント作成方法

アプリケーションシナリオに基づいて、EIA ゲスト管理では次のゲスト作成方法が提供されます。

公共の場所でのSMS認証方法

公共の場所では、ゲストは電話番号を使用してアカウントを登録し、SMS メッセージを通じてパスワードを取得して、 ネットワークにすばやくアクセスできます。　ワークフローは次のとおりです。

1) ゲスト マネージャーは、EIA サーバー上でゲストアクセス ポリシーとアカウント パラメーター (有効期間を含む) を設定します。

2) ゲストはゲスト SSID への接続を試みます。

3) ゲストは、プッシュされた Web 認証ページに電話番号を入力し、[パスワードの取得] をクリックします。

4) EIA サーバーは、この電話番号のゲストアカウントを自動的に作成し、ゲスト アクセス ポリシーとアカウントの有効期間をアカウントに割り当てます。

5) EIA サーバーは、SMSメッセージ ゲートウェイを介して SMSメッセージでアカウントとパスワードをゲストに送信します。

6) ゲストは SMS メッセージを受信後、Web 認証ページでパスワードを入力します。

7) 認証に合格すると、ゲストはアクセスポリシーで定義されたネットワーク リソースにアクセスできるようになります。

8) EIAサーバーは、期限切れのゲスト アカウントを定期的に削除します。

受付担当者によるアカウント作成

この方法は、ゲストアカウントが警備員、フロント デスクトップ受付係、従業員などの特定の受付係によって管理されている場合に適用されます。　ワークフローは次の通りです。

ゲスト受付係はセルフサービス センターにログインし、ゲスト アカウントを作成し、アクセス ポリシーと有効期間をアカウントに割り当てます。

2) EIA サーバーは、アカウントとパスワードを電子メールまたは SMS メッセージでゲストに送信します。

3) ゲストはゲスト SSID への接続を試みます。

4) ゲストは、プッシュされた Web 認証ページにアカウントとパスワードを入力します。

5) 認証に合格すると、ゲストはアクセス ポリシーで定義されたネットワーク リソースにアクセスできるようになります。

6) EIA サーバーは期限切れのゲスト アカウントを定期的に削除します。

受付担当者によるアカウント作成

ゲストによるセルフサービスのアカウント作成

ゲストはこの方法を使用してアカウントを申請し、ゲスト受付係が申請を承認します。ワークフローは次のとおりです。

1) ゲストはゲスト SSID への接続を試行します。

2) ゲストは、プッシュされた Web 認証ページで「ゲスト事前登録」をクリックし、事前登録ページでアカウント情報の入力とゲスト受付担当者の選択を行います。

3) ゲスト受付担当者はセルフサービス センターにログインし、アクセス ポリシーと有効期間をゲストに割り当てます。

4) アカウントが有効になると、EIA は電子メールまたは SMS メッセージでアカウントをゲストに送信します。

5) ゲストは再度ゲスト SSID への接続を試み、プッシュされた Web 認証ページにアカウントとパスワードを入力します。

6) 認証に合格すると、ゲストはアクセス ポリシーで定義されたネットワーク リソースにアクセスできるようになります。

7) EIA サーバーは期限切れのゲスト アカウントを定期的に削除します。

ゲストによるアカウント作成

QRコード認証方式

ゲストは、インテリジェントエンドポイントを使用して特定のQR コードをスキャンし、アカウントを迅速に作成し、ネットワークアクセスを行うことができます。ゲスト認証には次の種類のQR コードが使用できます：

認証用QRコード

1) ゲスト マネージャーはセルフサービス センターでゲスト アカウントを作成し、QR コードを生成します。

2) ゲストは QR コードをスキャンして認証します。

承認用QRコード

1) ゲストがウェブサイトにアクセスすると自動事前登録のページに誘導され、QRコードもページ上に自動生成されます。

2) ゲスト マネージャーは QR コードをスキャンして承認ページに入り、ゲストアカウントを承認します。

3) アカウントが承認されると、ゲストはネットワークにアクセスできるようになります。

その他の方法

EIA は、企業のWeChat公式プラットフォームと通信する為の豊富な SDKインターフェイスをサポートしています。

ゲストは、企業のWeChat公式アカウントをフォローする事で、企業のワイヤレスネットワークにアクセスできます。

複数のSMSメッセージ通知方法

SMSメッセージの送信には次の方法が使用できます：

SMSメッセージゲートウェイ。

EIA が Web インターフェイスを通じて通信するサードパーティの SMS メッセージ ゲートウェイ。

EIA がカスタマイズされたインターフェイスを通じて通信する顧客の SMS メッセージプラットフォーム。

運用とメンテナンスを簡素化した統合アクセスデバイス管理

EIA は、アクセス デバイス上の ACL 設定の為にIMC ACL マネージャー ソリューションと連携します。

管理者は、アクセスデバイスを選択し、そのデバイスのACLを設定する事ができ、アクセス デバイスのACL導入情報がアクセスデバイス リストに表示されます。

EIA は、基本的なデバイス情報、アラーム、パフォーマンス ステータス等、アクセス デバイスの詳細を照会する為のリンクを提供します。

管理者はトポロジー管理機能を利用してアクセスデバイスを管理できます。

トポロジーにはアクセスデバイスが表示され、管理者はこれらのデバイスに関する情報を表示できます。

管理者は、トポロジー上でアクセスデバイスを非アクセス デバイスに設定する事もできます。

デバイスユーザー向けのシナリオベースの認可ポリシー管理

EIAはシナリオに基づいて認可ポリシーを割り当てます。　　

シナリオは、デバイスの場所、デバイスの種類、およびアクセス時間範囲の組み合わせです。管理者は、様々なシナリオでデバイスユーザーのシェル プロファイルとコマンド セットを定義できます。

EIA は、デバイス ユーザーのネットワーク アクセス時間範囲を制御するために、固定または柔軟なアクセス時間範囲の設定をサポートします。

シェル プロファイル設定は、デバイス ユーザーのグローバル属性 (特権レベル、アクセス ACL、アクセス期間など) を定義します。

コマンドセット設定では、デバイスユーザーが利用できるコマンドを定義します。

デバイス管理動作の詳細なログ記録と監査

認証ログには、ログイン名、ログイン結果、失敗理由、認証時刻、ログインデバイスのIPアドレス、ユーザーのIPアドレス、特権レベル、ログインアクション、認証の種類、サービスの種類等、デバイスユーザーのデバイスログイン情報が記録されます。

認可ログはログイン認可やコマンド認可イベントを監視します。

ログイン認証が有効な場合、TACACS+ Authentication Manager (TAM) サーバーは、成功したログインユーザーにログインレベルを認証し、イベントを認証ログに記録します。　　コマンド認可が有効な場合、TAM サーバは、コマンド実行時にデバイスユーザーにコマンドの実行権限があるかどうかを判定し、コマンド認可ログを保持します。

TAM サーバーは、デバイス ユーザーのログイン、ログイン デバイス、およびデバイス ユーザーの動作を記録します。

監査ログには、ログイン名、監査タイプ、監査時間、デバイス IP、エンドポイント ユーザー IP、およびコマンドの情報が記録されます。

監査ログ

ネットワーク運用のためのインテリジェントなアドバタイズメントプッシュ

IMC プラットフォームと連携して、EIA はユーザー ID とアクセス場所に基づいてユーザーに広告をプッシュできます。

アクセスユーザーはより簡単かつ迅速に情報を入手できるほか、EIA はサードパーティの広告プラットフォームと連携して ネットワーク運用のニーズを満たす事もできます。

高性能な認証プロセスと大規模なデータベースストレージ

EIA は、最適化された認証メカニズム、簡素化されたパケット処理、及び効率的なメモリ制御により、認証のピーク時に1秒あたり 10,000人を超えるユーザーからの認証要求を同時に処理できます。　

データベースのパフォーマンスの最適化により、EIAは、サービス処理を正確に制御する事で、数百万のユーザーに関する データ間で効率的な統計収集とサービス処理を実行できます。