التحقق من فشل مصادقة فحص حالة شهادة الوصول الآمن
المحتويات
مسألة
عند محاولة نشر Secure Access باستخدام ملف تعريف حالة نقطة النهاية باستخدام ميزة فحص الشهادة، تفشل جميع محاولات تسجيل الدخول على الرغم من عدم إمكانية تحديد أسباب محددة للفشل في سجلات حزمة DART.يحاول المستخدمون إستخدام مصادقة SAML IDP بينما يريدون أيضا فرض التحقق من صحة الشهادة من خلال آلية التحقق من الوضع، ولكن ينتج عن هذا التكوين حالات فشل في المصادقة المتناسقة حتى عندما تكون مطابقة الشهادة الخلفية ناجحة.
البيئة
Cisco Secure Access - الوصول الآمن إلى العميل عن بعد (VPN، Posture، المورد الخاص)
دمج مصادقة SAML IDP
ملف تعريف وضعية نقطة النهاية مع تمكين ميزة فحص الشهادة
شهادات المستخدم ذات حقل UPN في شبكة منطقة التخزين (SAN) تطابق عناوين البريد الإلكتروني
تكوين مستأجر الوصول الآمن مع المستخدمين والمجموعات وأجهزة نقاط النهاية
قرار
يتم فرض تحققات نقطة نهاية الشهادة في الوضع فقط عند إستخدام مصادقة متعددة الشهادات، والتي تتطلب كل من شهادة المستخدم والتحقق من شهادة الجهاز. بما أن سيناريو النشر يتضمن مستخدمين لديهم شهادات مستخدم فقط يحتاجون إلى إستخدام ملف تعريف VPN واحد، فإن الحل يتضمن تنفيذ مصادقة SAML + شهادة واحدة بدلا من الاعتماد على التحقق من شهادة الوضع.
خطوات تكوين المصادقة
الخطوة 1: تكوين مصادقة SAML + شهادة واحدة
قم بتكوين طريقة المصادقة لاستخدام مصادقة SAML مع مصادقة الشهادة المفردة بدلا من محاولة فرض التحقق من صحة الشهادة من خلال عمليات التحقق من الوضع.
الخطوة 2: تكوين مطابقة UPN للشهادة
تأكد من أن حقل UPN الموجود في الاسم البديل للموضوع للشهادة (SAN) يحتوي على عنوان البريد الإلكتروني للمستخدم الذي يطابق خاصية المصادقة التي تم تكوينها للمستخدم في Secure Access تحت المستخدمين والمجموعات وأجهزة نقاط النهاية.
الخطوة 3: تعيين حقل المصادقة الأساسية
قم بتكوين الحقل الأساسي للمصادقة باستخدام UPN من الشهادة، مع التأكد من أنه يماثل عنوان البريد الإلكتروني للمستخدم في قاعدة بيانات مستخدم Secure Access.
متطلبات هيكل الشهادة
يجب تكوين بنية الشهادة بحيث تتطابق قيمة UPN أو القيمة الثانوية في الشهادة مع خاصية المصادقة للمستخدم في "الوصول الآمن". إذا قدم مستخدم شهادة تحتوي على قيمة UPN أو قيمة ثانوية لا تتطابق مع خاصية المصادقة التي تم تكوينها لذلك المستخدم في "الوصول الآمن"، فسيتم رفض المصادقة.
ملاحظات تكوين هامة
قد تكون المصادقة متعددة الشهادات (IDP SAML + MULTI-CERT Auth) مطلوبة إذا كان التحقق من صحة شهادة الوضع مطلوبا، ولكن يتطلب ذلك شهادات المستخدم والآلة. بالنسبة لعمليات النشر التي يكون فيها المستخدمون حاصلين على شهادات مستخدم ويحتاجون إلى إستخدام توصيف شبكة خاصة ظاهرية (VPN) واحد فقط، توفر مصادقة SAML + شهادة واحدة الحل المناسب مع الاستمرار في الاحتفاظ بعناصر تحكم الأمان المستندة إلى الشهادات.
السبب
يتم فرض تحققات نقطة نهاية الشهادة في الوضع فقط عند تكوين مصادقة متعددة الشهادات. عند إستخدام مصادقة SAML مع التحقق من شهادة الوضع، يتوقع النظام وجود كل من شهادات المستخدم والشاشة للتحقق. بما أن النشر أستخدم شهادات المستخدم فقط مع مصادقة SAML، فقد فشلت ميزة فحص شهادات الوضع محاولات المصادقة بشكل متسق على الرغم من مطابقة شهادة النهاية الخلفية الناجحة، حيث لم يتم تصميم آلية الوضع للعمل مع سيناريوهات مصادقة شهادة واحدة.
المحتوى ذي الصلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
28-May-2026
|
الإصدار الأولي |
التعليقات