التحديات الخاصة بتعريف كل مستخدم وإنفاذ السياسات في عبارة الويب الآمنة (SWG) لبيئات أجهزة الكمبيوتر المشتركة مع مصادقة SAML وإعادة توجيه حركة مرور البيانات المستندة إلى PAC

خيارات التنزيل

PDF (238.6 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة

تم التحديث:١٩ فبراير ٢٠٢٦

معرّف المستند:225505

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

مسألة

في عمليات نشر Cisco Secure Web Gateway (SWG) التي تستخدم Secure Access بمصادقة SAML وقائمة على PAC أو فرع إلى إعادة توجيه حركة مرور الإنترنت، يتم تحديد أول مستخدم فقط قام بتسجيل الدخول إلى كمبيوتر مشترك بشكل صحيح لحركة مرور ويب وإنفاذ السياسة. عند تحويل المستخدمين، يستمر نسب حركة مرور الويب اللاحقة إلى المستخدم الأولي، حتى عند تعطيل خيار بديل IP واستخدام ملف PAC. تعكس استعلامات DNS المستخدم النشط الصحيح عبر Umbrella Virtual Appliance، ولكن تقوم سجلات ويب وجدار الحماية بتخطيط النشاط باستمرار إلى المستخدم السابق. الطلب هو تحديد ما إذا كانت SWG تدعم تعريف المستخدم الخاص ونهج الإنفاذ في بيئات كمبيوتر مشترك وكيفية ضمان تعيين المستخدم بشكل صحيح.

البيئة

الجهاز الظاهري لحل DNS.
مصادقة SAML لهوية المستخدم.
مزج إعادة توجيه حركة المرور مع ملفات PAC ودون ملفات PAC.
تم تمكين خيار بديل IP، مع تجاوز الشبكات الفرعية والأجهزة المضيفة المحددة لبديل ملفات تعريف الارتباط.
الأجهزة الموجودة مسبقا، لا يوجد نقاط نهاية بعيدة أو مستخدمون.

قرار

وقد تم حل المشكلة عن طريق تثقيف المستخدم وإرشادات التكوين مع وضع هذه النقاط في الاعتبار:

أستخدم تعريف "ملف تعريف الارتباط البديل" مع ملفات PAC. يمكن لحركة مرور البيانات أن تصل إلى نفق الشبكة أو تخرج منه.
أستخدم تعريف بديل Cookie بدون ملفات PAC، ولكن يجب على حركة المرور المرور المرور المرور عبر نفق الشبكة.
يجب تمكين مصادقة SAML لنهج الوصول الذي ترغب في فرض بديل ملف تعريف الارتباط في ملف تعريف الأمان.
تعد حركة مرور Cookie البديلة لحركة المرور المستندة إلى المستعرض فقط. يلزم وجود قاعدة منفصلة لتعريف حركة المرور غير الخاصة ب Cookie من الجهاز (على سبيل المثال، Teams أو حركة مرور Webex) مع هوية المصدر كشبكة.
يجب ألا تكون وحدة SWG النمطية قيد الاستخدام لبدائل ملفات تعريف الارتباط للعمل.
عند تمكين إستبدال IP أيضا، يجب عليك إضافة عناوين IP الخاصة/الشبكات الفرعية التي ترغب في إستخدام بديل ملفات تعريف الارتباط في القائمة الالتفافية (المستخدمون والمجموعات - إدارة التكوين - الإعدادات المتقدمة).
تطابق قائمة الالتفافات الخاصة ببدائل ملفات تعريف الارتباط أيضا البادئات الأقصر. على سبيل المثال، إذا قمت بإضافة 10.10.10.0/24 into the bypass list, and you also have a defined network as 10.10.10.5/32, you must also select the shortest prefix.
يدعم بديل ملف تعريف الارتباط تحويل المستخدم من جهاز دون الحاجة إلى تسجيل الخروج للاحتفاظ بهويات متعددة.

تم إجراء الكثير من عمليات أستكشاف الأخطاء وإصلاحها من خلال إختبار النهج والبحث عن الأنشطة.