PDF(544.0 KB) عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub(382.1 KB) العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle)(351.4 KB) عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٨ يوليو ٢٠٢٦
معرّف المستند:226138
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين المصادقة الخارجية ل SAML 2.0 SSO لإدارة نظام ESA و SMA.
البيئة
المنتجات: أجهزة أمان البريد الإلكتروني (ESA) وأجهزة إدارة الأمان (SMA)
ينطبق على: إدارة نظام ESA و SMA
سلوك نظام المجموعة: يتم تكوين توصيفات موفر الخدمة (SP) و IdP على مستوى الجهاز؛ يتم تكوين تعيين المصادقة الخارجية على مستوى نظام المجموعة.
المتطلبات الأساسية
الوصول الإداري إلى واجهة الويب ESA/SMA
شهادة X.509 والمفتاح الخاص متاحان بتنسيق PKCS #12 (PFX) أو PEM (توقيع ذاتي أو توقيع CA)
الوصول إلى تطبيق موفر الهوية (IdP) الخاص بجهة خارجية وعنوان URL الخاص ببيانات التعريف/SSO الخاص به
قائمة إختيار ما قبل التكوين
التحقق من اسم المضيف/FQDN لواجهة الإدارة التي يستخدمها المسؤولون للوصول إلى الجهاز؛ تأكيد تطابق عنوان URL لخدمة المستهلك (ACS) للتأكيد مع اسم المضيف.
إذا كان الجهاز في نظام مجموعة، فقم بالتخطيط لتكوين SAML على مستوى الجهاز لكل عضو قبل تمكين مصادقة SAML الخارجية.
حدد ما إذا كان IdP يتطلب تطبيق أو نطاق منفصل لكل جهاز.
تأكد من توفر الشهادات والمفاتيح المطلوبة.
تأكيد IdP يرسل سمة المجموعة أو الدور المطلوبة لتعيين دور ESA/SMA.
تحذير: لا ينطبق هذا المستند على SAML SSO الخاص بعزل المستخدم النهائي (EUQ).
معلومات أساسية
لا يوفر Cisco TAC الدعم التقني لتكوين IdP للجهة الخارجية. يتم توفير نموذج لمراجع التكوين لمعرفات IdPs الشائعة.
SSO SAML IDps
تضيف عبارة الوصول الثنائية (DAG) مصادقة ثنائية العامل، كاملة مع خدمات السحابة الشائعة باستخدام إتحاد SAML 2.0.
خدمات إتحاد خدمة Active Directory (ADFS) - تم إختبارها باستخدام ADFS 2 و 3 و 4 و Azure Active Directory (Azure AD) و SecureAUTH و PingFederate
يمكن إستخدام مصادقة ثنائية العوامل إضافية إذا كان IdP يدعمها داخل إطار عمل تسجيل الدخول الأحادي SAML 2.0.
يدعم OKTA المصادقة باستخدام IdP الذي يدعم الخدمة.
تكوين ESA/SMA كمزود خدمة
انتقل إلى إدارة النظام > SAML > (مستوى الجهاز) > إضافة مزود الخدمة.
ملاحظة: تتطلب ESAs الموجودة في نظام مجموعة التكوين على مستوى الجهاز لجميع أعضاء نظام المجموعة قبل تمكين SAML.
في حالة تحديد الخيار الموجود في أسفل الصفحة، مشاركة هذا التكوين عبر الأجهزة الموجودة في المجموعة، يتم تطبيق هذه الشروط:
يتم نسخ كافة الحقول إلى أعضاء نظام المجموعة باستثناء URL لمستهلك التأكيد.
يقوم عنوان URL الخاص بالمستهلك للتأكيد بتعميم اسم المضيف الخاص بواجهة الإدارة تلقائيا على أنها ACS.
تتطلب البيئات التي تستخدم اسم مضيف بديل للوصول إلى المضيف التكوين اليدوي لكل مضيف، على سبيل المثال، الأجهزة المستضافة CES.
اسم ملف التعريف: الاسم المستخدم لتسمية مثيل SP في واجهة ESA أو SMA.
معرف الكيان: الاسم المستخدم لمثيل SP كما يراه IdP. هذا الاسم هو التسمية التي يستخدمها المعرف لتمثيل SP. يمكن أن يكون هذا أي اسم، على سبيل المثال، ESA_SP أو ESA_SSO.
تنسيق معرف الاسم: حقل غير قابل للتكوين.
تأكيد URL المستهلك أو خدمة العملاء (ACS): عنوان URL المستخدم من قبل IdP للاتصال بمضيف ESA/SMA هذا.
شهادة SP:
التنسيق: شهادات X.509 عامة/خاصة بتنسيق PFX/PKCS12 أو PEM.
الخيار 1: تحديد من قائمة الشهادات: حدد من الشهادات التي تم إنشاؤها بالفعل على ESA ضمن الشبكة > الشهادات.
الخيار 2: تحميل الشهادة والمفتاح: تحميل شهادة ومفتاح بتنسيق PEM.
اختياري: إنشاء شهادة موقعة ذاتيا على ESA/SMA لتسجيل دخول أحادي SAML.
قم بحماية المفتاح الخاص بكلمة مرور إذا كان ذلك مطلوبا.
ملاحظة: إذا تم إستخدام شهادات بتنسيق PEM، احفظ كل ترخيص ومفتاح خاص في ملفات منفصلة.
صفحة إعداد موفر الخدمةصفحة إعداد موفر الخدمة
توقيع الطلبات: خيار توقيع اتصال ESA/SMA SAML المرسل إلى IdP.
توقيع التأكيدات: خيار يطلب من IdP توقيع التأكيدات المرسلة إلى ESA/SMA.
تفاصيل المؤسسة: يمكن تعبئتها ببيانات الشركة المناسبة.
إرسال التغييرات وتنفيذها للحفاظ على الإعدادات.
قم بتنزيل بيانات تعريف SP من صفحة تكوين SAML.
قم بتكوين موفر الهوية (IDp) للعمل مع أجهزة ESA/SMA
ملاحظة: تتطلب بعض المعرفات تطبيقات أو معاملات منفصلة لكل ESA. (على سبيل المثال: DUO)
توفر هذه الارتباطات نموذجا لتكوينات معرفات متعددة في وقت النشر.
لا يوفر Cisco TAC الدعم الفني لمنتجات الطرف الثالث. يتم توفير هذه الأمثلة كمراجع.
تكوين إعدادات المشردين داخليا على ESA/SMA
1. انتقل إلى إدارة النظام > SAML.
2. حدد إضافة موفر هوية.
هناك خياران متاحان:
إستيراد بيانات تعريف IDp
تكوين المفاتيح يدويا:
معرف الكيان: يمكن أن تكون أي قيمة تستخدم لتعريف IdP
محدد موقع معلومات SSO: URL الذي يرسل إليه SP طلبات مصادقة SAML
تحميل المفتاح الخاص والشهادة العامة في ملفات منفصلة
3. مشاركة هذا التكوين عبر الأجهزة الموجودة في المجموعة لنسخ التكوين عبر كافة وحدات ESA في المجموعة:
إدخال محتوى IDp يدوياإدخال محتوى IDp يدويا
4. تحميل بيانات التعريف من IDp
حدد إستيراد بيانات تعريف IDp.
تصفح إلى ملف بيانات التعريف المحفوظ من IdP واحفظ التكوين.
يتوفر الخيار لمشاركة هذا التكوين عبر الأجهزة في مجموعة إذا كان ينطبق على النشر.
تحميل بيانات التعريف من النازحينتحميل بيانات التعريف من النازحين
تمكين المصادقة الخارجية باستخدام SAML على ESA/SMA
مثل مصادقة LDAP الخارجية، يتطلب تسجيل الدخول الأحادي SAML تعيين لتعيين مجموعات للأدوار الإدارية.
1. انتقل إلى إدارة النظام > المستخدمون (مستوى المجموعة) > المصادقة الخارجية > التمكين.
2. حدد نوع المصادقة: سامل.
3. اسم السمة لمطابقة خريطة الاسم (إختياري): أدخل اسم السمة للبحث من تعيين المجموعة.
ملاحظة: يعتمد اسم السمة على السمات التي تم تكوينها لموفر الهوية للترحيل في إستجابة SAML. يبحث الجهاز عن الإدخالات المطابقة لاسم السمة المحدد في إستجابة SAML مقابل السمات المكونة في حقل تعيين المجموعة. إذا لم يتم تكوين هذا الحقل، يقوم الجهاز بالبحث عن كافة السمات الموجودة في إستجابة SAML مقابل حقل تعيين المجموعة التي تم تكوينها.
4. أدخل سمة اسم المجموعة كما هي معرفة في دليل SAML استنادا إلى دور المستخدم المحدد مسبقا أو المخصص.
يجب أن يحتوي حقل تعيين المجموعة على سمة مجموعة. يمكن إضافة سمة مجموعات غير محددة لمصادقة تأكيدات SAML أو استجاباتها.
إعدادات المصادقة الخارجيةإعدادات المصادقة الخارجية
5. إرسال التغييرات وتنفيذها.
بعد نجاح التكوين، يتم عرض إرتباط جديد في أسفل صفحة تسجيل الدخول. تعرض صفحة تسجيل الدخول إلى ESA/SMA إرتباط إستخدام تسجيل الدخول الأحادي الذي يعيد توجيه المسؤولين إلى موفر هوية الشركة (IDp).
عند تحديده، تتم إعادة توجيه المسؤول إلى صفحة تسجيل الدخول إلى SAML الخاصة بالشركة.
إستخدام إرتباط تسجيل الدخول الأحادي الذي سيتم إعادة توجيهه إلى SAMLإستخدام عمليات إعادة توجيه إرتباط تسجيل الدخول الأحادي إلى SAML
استكشاف الأخطاء وإصلاحها
أستخدم هذه المؤشرات لتحديد ما إذا كانت المشكلة متعلقة بتكوين الجهاز أو تكوين IdP.
لا يظهر إرتباط إعادة توجيه SSO في صفحة تسجيل الدخول ("إستخدام تسجيل الدخول الأحادي")
تأكد من تكوين إدارة النظام > المستخدمين > المصادقة الخارجية > SAML.
ترجع عملية إعادة التوجيه إلى صفحة تسجيل الدخول إلى ESA/SMA مع فشل مصادقة تسجيل الدخول الأحادي! الرجاء الاتصال بالمسؤول.
الخطأ: "فشلت مصادقة تسجيل الدخول الأحادي! الرجاء الاتصال بالمسؤول.
فشلت المصادقة في IdP.
وهذا يشير إلى أن التكوين يعمل إلى نقطة الوصول إلى صفحة مصادقة تسجيل الدخول الأحادي وإرسال بيانات الاعتماد.
غالبا ما يرجع هذا الفشل إلى تكوين IdP ويتطلب تحقق إضافي من إعدادات IdP.
ترجع Redirect إلى صفحة تسجيل الدخول إلى ESA/SMA مع فشل التفويض! الرجاء الاتصال بالمسؤول.
الخطأ: "فشل التفويض! الرجاء الاتصال بالمسؤول.
تم تمرير المصادقة، ولكن فشل التفويض في ESA/SMA.
ركز على الإعدادات ضمن المستخدمين > المصادقة الخارجية > SAML.