安全 : Cisco IronPort Web 安全设备

输入验证提示的用户,当与标识供应商的SaaS起动流和NTLM

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

问题

当与标识供应商的SaaS起动流和NTLM,为什么提示用户输入验证?

贡献用大卫Paschich和Siddharth Rajpathak, Cisco TAC工程师。

环境

  • Cisco Web运行AsyncOS版本7.0或以上的安全工具(WSA)
  • 用于透明验证的NTLM
  • 使用标识供应商启动的流配置的SaaS访问控制
  • 配置的SaaS SSO

我有SaaS访问控制配置与我的外部应用,使用标识供应商启动的流和SAML单一登录的。我也使用NTLM透明地验证我的用户。然而,如何可以防止他们看到此提示符?

症状

  • 当用户点击他们的SaaS SSO URL的时书签,他们有时看到验证提示符。
  • 如果用户访问另一个外部网站然后单击SaaS SSO URL书签,优良请访问工作。

此问题发生,当/,因为WSA从客户端看到的第一请求是对特殊SSO URL,直接地从WSA服务。

直接地从WSA服务的内容-例如EUN页或PAC文件-从验证通常是豁免。当SaaS功能能访问代理时保养的验证代理人,不能本身请求验证使用除基于表的验证以外的任何方法(NTLM或LDAP)。因此观察行为是每设计,但是不是最佳方案。

归档缺陷CSCzv55859跟踪此问题和提供一更加好的机制解决此问题。

有可用两的应急方案。

应急方案1

  1. 第一是使用服务供应商启动的流在SaaS配置里。在一个SP启动的流,用户通过浏览开始对目标SaaS应用程序,通过SSO URL然后发出重定向。
    • 由于此最初的流量通过代理,使用NTLM,用户将适当地得到验证。如果SP启动的目标应用程序支持流,此应急方案只运作。
  2. 创建在WSA策略的新的SSO URL,强制验证然后重定向客户端对“实时” SSO URL。

应急方案2

  1. 决定新的SSO URL。此URL将由代理从未实际上访问;它作为点开始登录进程。

    • 例如,如果当前SSO URL是“wsa.mycompany.com/SSOURL/WebEx”,您可以使用“wsa.example.com/SSOURL/WebEx”。
    • 重要的考虑因素确保您使用将是被代理的通过WSA的主机名部分。

      • 当WSA部署作为一个明确代理时,主机名可以是关于任何东西。
      • 如果WSA部署作为一个透明代理,则主机名将需要是解决对外部IP地址的一实时主机名。


  2. 创建匹配新的URL.You将需要创建每SaaS应用程序的一个自定义URL类别您需要应用应急方案的自定义URL类别(GUI > Web安全经理>自定义URL类别)。
    • 请使用常规表示匹配匹配在全双工URL。


  3. 去访问策略(GUI > Web安全经理>Access策略)和在用户请求将匹配的访问策略的URL过滤列下。 这可能是全局策略或另一项策略前在表里。 
    • 包括新的自定义URL类别在此访问策略,并且设置其操作重定向。重定向的目标应该是“实时” SSO URL。


  4. 提交并且确认更改运用新的配置。

用户应该当前使用新的SSO URL访问应用程序。由于对此URL的访问由代理处理, NTLM验证将被调用,并且用户总是将签到透明地,避免验证提示。



Document ID: 118275