مصادقة Cisco Secure Access SSO باستخدام Duo IDp لحركة مرور SWG الخاصة بالعميل المتجول
المحتويات
مسألة
عند محاولة إستخدام مصادقة SSO باستخدام معرف Duo IDp لحركة مرور SWG للوصول الآمن (عبارة الويب الآمنة) التي تنشأ من عميل متجول، لا يتم مطالبة المستخدمين بمصادقة SSO الثنائية ولا يتم ملء هوية المستخدم في لوحة معلومات الوصول الآمن. على الرغم من أن حركة مرور الويب تطابق قاعدة SWG المقصودة مع تمكين المصادقة وفك تشفير حركة مرور البيانات، إلا أن تدفق المصادقة لا يبدأ لحركة مرور العميل المتجولة، مما يمنع تعريف نشاط الويب على مستوى المستخدم.
وعلى وجه التحديد، لوحظ السلوك التالي:
- أظهر تسجيل ونشاط SWG أن حركة المرور تطابق قاعدة SWG المقصودة وتم فك تشفير حركة مرور الوجهة
- أظهرت السجلات وطريقة عرض نشاط الوصول الآمن هوية الكمبيوتر وهوية الشبكة فقط؛ لم يتم ملاحظة أي اعتراض على مصادقة Duo/SAML أو إعادة توجيه SSO أو مطالبة تفاعلية
- أظهرت إدخالات النهج معلومات التجوال والمنشأ فقط؛ لم تكن هناك هوية مستخدم قبل AD JOIN
- عندما تم ضم VM للاختبار إلى Active Directory أثناء أستكشاف الأخطاء وإصلاحها، أصبحت هوية المستخدم مرئية في "البحث عن نشاط الوصول الآمن"، ولكن لم يتم بعد ظهور موجه الأمر التفاعلي Duo/SAML
البيئة
- الوصول الآمن من Cisco مع وظيفة SWG
- Secure Client الإصدار 5.1.13.177
- Duo IdP مكون لمصادقة SSO
- اشتراك المؤسسة: أساسيات الوصول الآمن
- إعادة مصادقة الفاصل الزمني لوكيل الويب الذي تم تعيينه إلى اليومية
- لا يوجد ملف PAC أو VPN قيد الاستخدام أثناء الاختبارات
- بيئة الاختبار باستخدام تكوين الكمبيوتر المتجول
قرار
بعد التحليل الشامل والاختبار، تم تحديد أن مصادقة SSO باستخدام SAML غير مدعومة لحركة مرور عميل Access Roaming الآمن بسبب قيود تصميم المنتج. تم تنفيذ الخطوات التالية لاستكشاف الأخطاء وإصلاحها لتأكيد هذا التحديد:
الخطوة 1: أستكشاف الأخطاء وإصلاحها بشكل مباشر وإعادة إنتاج السلوك
أكد الاختبار أن مطابقة سياسة SWG وفك تشفير SSL قد حدث بشكل صحيح، ولكن لم يتم بدء تدفق المصادقة (إعادة توجيه SSO/Duo التفاعلي) وتحدي حركة مرور العميل المتجول.
الخطوة 2: تعديلات القاعدة والمصدر
تم تغيير مصدر قاعدة SWG من اسم الكمبيوتر المتجول إلى هوية مستخدم محددة أثناء محاولات إعادة التشغيل. تمت إعادة تشغيل خدمات العملاء الآمنة وتم ملاحظة نشر السياسة. لم تحل هذه التعديلات مشكلة تدفق المصادقة.
الخطوة 3: إختبار الانضمام إلى Active Directory
تم ضم VM للاختبار إلى Active Directory لتحديد التأثير على إمكانية رؤية هوية المستخدم. وفي حين أن هذا جعل هوية المستخدم مرئية في "البحث عن نشاط الوصول الآمن"، فإن المطالبة التفاعلية Duo/SAML لم تحدث بعد، مما يؤكد أن المشكلة لم تكن متعلقة بإمكانية رؤية هوية المستخدم فقط.
الخطوة 4: تحليل حزمة DART
تم جمع وتحليل حزمة DART. أكد التحليل تطبيق نهج SWG ولكنه لم يظهر أي بدء تدفق مصادقة لحركة مرور العميل المتجولة، مما يدعم الاستنتاج بأن هذا السلوك تم تصميمه.
الخطوة 5: التحقق من صحة تكوين Duo IDp
تم إجراء إختبار مستقل لبيانات تعريف Duo IdP والتكوين وإكماله بنجاح، مما يؤكد أن تكوين Duo نفسه لم يكن مصدر المشكلة.
الخطوة 6: التحقق الداخلي
مصادقة SSO باستخدام SAML غير مدعومة لحركة مرور عميل التجوال الآمن للوصول كحد لتصميم المنتج.
القرار: لم يتم العثور على أي تكوين خاطئ في الإعداد. تم إرجاع نقص المطالبة الخاصة باتصالات SSO التفاعلية إلى تحديد صريح لدعم المنتج بدلا من مشكلة تكوين قابلة للإصلاح.
السبب
تحدث المشكلة بسبب تقييد تصميم المنتج حيث تكون مصادقة SSO باستخدام SAML (بما في ذلك تكامل Duo IdP) غير مدعومة لحركة مرور عميل التجوال للوصول الآمن. هذا تقييد كامن لبنية النظام الأساسي Secure Access الحالية ولا يرتبط بمشكلات التكوين أو أخطاء البرامج.
المحتوى ذي الصلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
14-May-2026
|
الإصدار الأولي |
التعليقات