セキュリティ : Cisco Web セキュリティ アプライアンス

識別プロバイダとの SaaS がフローおよび NTLM を始める場合の認証のためにプロンプト表示されるユーザ

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

質問

ユーザはなぜ認証のために識別プロバイダとの SaaS がフローおよび NTLM を始める時プロンプト表示されますか。

デイヴィッド Paschich および Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

環境

  • AsyncOS バージョン 7.0 または それ 以降を実行する Cisco Web セキュリティ アプライアンス(WSA)
  • 透過的な認証に使用する NTLM
  • 識別プロバイダによって始められるフローを使用して設定される SaaS アクセスコントロール
  • 設定される SaaS SSO

識別によってプロバイダ始められるフローおよび SAML を使用して単一 サインオンのための外部アプリケーションで、設定される SaaS アクセスコントロールがあります。 また透過的にユーザを認証するのに NTLM を使用しています。 ただし、どのようにそれらがこのプロンプトを見ることを防ぐことができますか。

症状

  • ユーザが SaaS SSO URL のためのブックマークをクリックするとき、時々認証プロンプトを見ます。
  • ユーザが別の外部のウェブサイトをアクセスし、次に SaaS SSO URL ブックマークをクリックしたら作業にうまくアクセスして下さい。

この問題は WSA がクライアントから見る最初の要求ので/あると WSA から直接動作される特別な SSO URL に発生します。

WSA から直接動作されるコンテンツは- EUN ページか PAC ファイルのような-普通認証から免除されています。 SaaS 機能はプロキシによって維持される認証サロゲートにアクセスできる間、自体形式ベースの認証のほかのあらゆる方式を使用して要求 認証できません(NTLM か LDAP)。 従って観測 された 挙動は設計ごとにですが、最適解ではないです。

問題 CSCzv55859 はこの問題をトラッキングし、この問題に対処するためによりよいメカニズムを提供するようにファイルされます。

利用可能 な 2 つの回避策があります。

回避策 1

  1. 第 1 は SaaS 設定でサービスによってプロバイダ始められるフローを使用することです。 SP 始められたフローでは、ユーザはターゲット SaaS アプリケーションに SSO URL によってリダイレクトを発行する参照から開始します。
    • この最初のトラフィックがプロキシを通過するので、ユーザは NTLM を使用してきちんと認証されます。 この回避策は対象アプリケーションが SP 始められたフローをサポートする場合その時だけはたらきます。
  2. 認証を強制し、次に「実質」SSO URL にクライアントをリダイレクトする WSA ポリシーの新しい SSO URL を作成して下さい。

回避策 2

  1. 新しい SSO URL で決定して下さい。 この URL はプロキシによって決して実際にアクセスされません; それはポイントとしてサインオン プロセスを開始するために単に機能します。

    • たとえば、電流 SSO URL が「wsa.mycompany.com/SSOURL/WebEx」なら、「wsa.example.com/SSOURL/WebEx」を使用することができます。
    • 重要な考慮事項は使用するホスト名部分が WSA によって proxied ことを確かめています。

      • WSA が明示的 な プロキシとして展開されるとき、ホスト名は何でもについてちょうどある場合もあります。
      • WSA が透過的なプロキシとして展開される場合、ホスト名は外部 IPアドレスに解決する実質ホスト名である必要があります。


  2. 新しい URL.You と回避策をに適用する必要がある SaaS 各アプリケーションに対する 1 つのカスタム URL カテゴリを作成する必要がある一致するカスタム URL カテゴリを作成して下さい(GUI > Web セキュリティ マネージャ > カスタム URL カテゴリー)。
    • 完全な URL で一致するのに正規表現一致を使用して下さい。


  3. アクセスポリシーに(GUI > Web セキュリティ マネージャ > アクセスポリシー)およびユーザー要求が一致する アクセスポリシーのための URLフィルタリング カラムの下で行って下さい。  これは表のグローバル な ポリシーまたは別のポリシー先にであるかもしれません。 
    • 新しいカスタム URL カテゴリをこのアクセスポリシーに含め、リダイレクトする操作を設定 して下さい。 リダイレクションのターゲットは「実質」SSO URL であるはずです。


  4. 変更を入れ、新しい設定を適用するために保存して下さい。

ユーザはアプリケーションにアクセスするのに新しい SSO URL を使用するようになる必要があります。 この URL へのアクセスがプロキシによって処理されるので、NTLM 認証は呼び出され、認証を避けているユーザは透過的に署名しますプロンプト表示します常にあります。



Document ID: 118275