مزامنة هوية الوصول الآمن من Cisco مع Active Directory و Microsoft EntraID

مسألة

واجه المستخدمون تحديات عند محاولة توفير مستخدمين ومجموعات من مصدري هوية بنفس اسم المجال في Cisco Secure Access. واشتمل السيناريو المحدد على مزامنة الهويات من كل من Active Directory المحلي و Microsoft EntraID (المعروف سابقا باسم Azure AD) حيث أستخدم كلا المصدرين نفس اسم المجال (على سبيل المثال، domain.com).

وكانت الشواغل الرئيسية هي:

• فهم كيفية تصرف ملكية الهوية وتخطيط عضوية المجموعة عندما يكون نفس المستخدمين والمجموعات موجودين في كلا مصدري الهوية

• ضمان تطبيق سياسة وصول آمنة ومتناسقة للمستخدمين الهجين الذين يمكنهم الوصول إلى الموارد المحلية وموارد الشبكات على حد سواء

• الاحتفاظ بإمكانية رؤية IP الداخلية للمستخدمين في تكوين الهوية المختلطة هذا

• تحديد ما إذا كان التزامن المتزامن من كلا المصدرين قد يتسبب في حدوث مشاكل في بيئة الإنتاج

تشير الوثائق إلى أن "المزامنة المتزامنة لنفس المستخدمين والمجموعات من Cisco AD Connector وتطبيق Cisco User Management for Secure Access غير مدعومة وتؤدي إلى تنفيذ قاعدة الوصول غير متناسق."

البيئة

• الوصول الآمن من Cisco مع موصل AD وتكامل EntraID

• Active Directory المحلي مع اسم المجال المتطابق مع مجال EntraID

• Microsoft EntraID (Azure AD) بنفس اسم المجال AD المحلي

• تكوين SAML SSO لاتحاد الهوية

• الوحدة النمطية لعبارة الويب الآمنة (SWG) لتطبيق السياسة

• البيئة المختلطة التي تتطلب الوصول إلى الموارد المحلية وموارد السحابة على حد سواء

قرار

تم تأكيد السلوك التالي للمزامنة المتزامنة من كل من مصادر Active Directory و EntraID:

سلوك مزامنة المجموعة

عند مزامنة المجموعات التي تحمل نفس الاسم من كلا المصدرين:

• يتم إنشاء كائنين منفصلين للمجموعة في Cisco Secure Access - واحد من كل مصدر

• يمكن تمييز المجموعات ببادئة المصدر الخاصة بها في سياسات الوصول

• تظهر مجموعات AD المحلية على النحو التالي: المجال الإعلاني/اسم المجموعة

• تظهر مجموعات EntraID على النحو التالي: GroupName

أظهر التحقق المعملي تزامنا ناجحا مع الرسالة نجاح. <<</Synced" للمجموعات من مجالات EntraID المتعددة.

سلوك مزامنة المستخدم

عند مزامنة المستخدمين بنفس معرف المستخدم من كلا المصدرين:

• تتم الكتابة فوق هوية المستخدم أثناء المزامنة

• يظل معرف مستخدم فريد واحد فقط مرئيا في Secure Access

• يحدد مصدر التزامن النهائي سمات المستخدم وعضويات المجموعة

• تكون لمزامنة EntraID الأسبقية عادة على AD المحلي عند تكوين كليهما

تكوين نهج الوصول

يمكن إستخدام كلا نوعي المجموعة في سياسات الوصول:

• مرجع مجموعات AD المحلية باستخدام المسار الكامل: المجال الإعلاني/اسم المجموعة

• مجموعات EntraID المرجعية باستخدام الاسم البسيط: GroupName

• يمكن للسياسات التمييز بين المستخدمين استنادا إلى مصدر عضويتهم في المجموعة

تعمل المتابعة بشكل جيد للعديد من العملاء.

1    Only provision identities from on-prem AD - for VA DNS protection
2    Use Azure entra for SSO/user authentication (no identities to be provisioned from Azure) - for SWG SAML

السبب

أثناء الاختبار، أكدنا أنه عندما تتم مزامنة المستخدم من موصل AD المحلي، فإنه يقوم فعليا "بالمطالبة" بهذه الهوية في لوحة التحكم Umbrella. إذا كان هذا المستخدم نفسه موجودا بالفعل عبر مزامنة Azure AD، فإن المزامنة المحلية ستكتب فوق بيانات مستخدم EntraID الموجودة.

هذا السلوك هو تقييد موثق. وفقا للوثائق التقنية الرسمية من Cisco: https://securitydocs.cisco.com/docs/csa/china/olh/129444.dita

"المزامنة المتزامنة لنفس هويات المستخدم والمجموعة من Umbrella AD Connector وتطبيق Cisco Umbrella Azure AD غير مدعومة وتؤدي إلى تنفيذ نهج غير متناسق."

القرار: تم تأكيد أن الإعداد المرغوب (إمكانية رؤية VA للمستخدمين الموجودين في كل من Azure و On-Prem) تكوين غير معتمد.يتطلب المسار للأمام إستخدام عملاء التجوال لضمان تنفيذ الهوية بشكل متناسق.

المحتوى ذي الصلة

• توفير الهويات من Azure AD - وثائق Cisco Umbrella

• الدعم الفني والتنزيلات من Cisco

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	14-May-2026	الإصدار الأولي