أستكشاف أخطاء SAML وإصلاحها التي لا يتم تطبيقها لحركة مرور عبارة الويب الآمنة

المقدمة

يصف هذا وثيقة كيف أن يتحرى هويات SAML لا يطبق إلى شق مدخل ويب حركة مرور.

لم يتم تطبيق هوية SAML على أي حركة مرور ويب

 إذا لم يتم تطبيق هوية SAML على أي حركة مرور ويب، الرجاء مراجعة وثائق Umbrella للتأكد من إكمال الإعداد بشكل صحيح. يجب إكمال عناصر التكوين هذه.

• تم تكوين إعدادات IDp واختبارها في 'عمليات النشر > تكوين SAML'
• قائمة بالمستخدمين/المجموعات المزودة في 'عمليات النشر > مستخدمي ويب والمجموعات'
• يجب تمكين SAML في السياسة ذات الصلة* في السياسات > سياسات الويب'. 
• يجب تمكين فك تشفير HTTPS في النهج ذي الصلة في 'السياسات > سياسات الويب'

تمكين SAML في سياسات الويب

يجب تمكين فك تشفير SAML و HTTPS في النهج الذي يطبق على هوية الشبكة أو النفق ذات الصلة. تنطبق هذه الميزات قبل تعريف مستخدم، لذلك يكون النهج المهم هو النهج المطبق على "طريقة الاتصال".

يجب ترتيب سياسات SAML على النحو التالي:

1. أولوية أعلى - يتم تطبيق السياسة على المستخدمين/المجموعات. يحدد هذا النهج إعدادات المحتوى/الأمان للمستخدمين المصادق عليهم.
2. أولوية أقل - يتم تطبيق السياسة على الشبكة/النفق. تم تمكين هذا النهج بواسطة SAML ويقوم بتشغيل المصادقة الأولية.

لم يتم تطبيق هوية SAML على حركة مرور ويب معينة

بدائل IP (السلوك الافتراضي)

لتحسين تناسق تعريف المستخدم، نوصي بتمكين ميزة بدائل IP الجديدة. يتم تمكين هذه الميزة تلقائيا لجميع عملاء Umbrella SAML الجدد ولكنها تحتاج إلى تمكينها يدويا لعملاء Umbrella الحاليين.

تستخدم بدائل IP ذاكرة تخزين مؤقت من معلومات IP > اسم المستخدم مما يعني أنه يمكن تطبيق تعريف SAML على جميع أنواع الطلبات: حتى حركة مرور البيانات غير الخاصة بمستعرض الويب وحركة المرور التي لا تدعم ملفات تعريف الارتباط وحركة المرور التي لا تخضع لفك تشفير SSL. 

يمكن أن تحسن بدائل IP بشكل كبير اتساق تعريف المستخدم وتقلل العبء الإداري.

يرجى ملاحظة أن بدائل IP لديها هذه المتطلبات:

• يجب توفير إمكانية الرؤية الداخلية ل IP باستخدام نفق شبكة Umbrella أو نشر سلسلة وكيل والرؤوس التي تمت إعادة توجيهها ل X.  لا يعمل هذا مع ملف PAC المستضاف ل Umbrella
• لا يمكن إستخدام بدائل IP في سيناريوهات عناوين IP المشتركة (الخوادم الطرفية، تبديل المستخدم السريع)
• يجب تمكين ملفات تعريف الارتباط في المستعرض.  لا تزال ملفات تعريف الارتباط مطلوبة لخطوة المصادقة الأولية.

بدائل ملفات تعريف الارتباط (تم تعطيل بدائل IP)

مع تعطيل بدائل IP، يتم تطبيق هوية المستخدم فقط على الطلبات من مستعرضات الويب المدعومة ويجب أن يدعم مستعرض الويب ملفات تعريف الارتباط.    تتطلب SWG أن يدعم المستعرض ملفات تعريف الارتباط لكل طلب لتعقب جلسة عمل المستخدمين في ملف تعريف الارتباط. للأسف، هذا يعني أنه من غير المتوقع أن يتم إقران كل طلب ويب بمستخدم في هذا الوضع.

لا يتم تطبيق SAML في هذه الظروف ويتم إستخدام السياسة الافتراضية المعينة لهوية الشبكة/النفق بدلا من ذلك:

• حركة مرور غير خاصة بمتصفح الويب
• مستعرضات الويب ذات ملفات تعريف الارتباط معطلة أو IE تكوين الأمان المحسن
• عمليات فحص OCSP/إبطال الشهادة التي لا تدعم ملفات تعريف الارتباط
• طلبات الويب الفردية التي لا تدعم ملفات تعريف الارتباط. في بعض الحالات، يتم حظر ملفات تعريف الارتباط للطلبات الفردية بسبب نهج أمان المحتوى لموقع الويب.  ينطبق هذا القيد على العديد من شبكات توصيل المحتوى الشائعة.
• عندما يتم تجاوز المجال/الفئة الهدف من SAML باستخدام قائمة تجاوز SAML
• عند تجاوز المجال/الفئة الهدف من فك تشفير HTTPS باستخدام قائمة فك تشفير انتقائي ل Umbrella.

ونظرا لهذه القيود، من المهم تكوين مستوى وصول أدنى مناسب في سياسة الشبكة/النفق ذات الصلة. يجب أن يسمح النهج الافتراضي بتطبيقات/مجالات/فئات الأعمال الهامة وشبكات تسليم المحتوى.

بدلا من ذلك، أستخدم نظام بدائل IP لتحسين التوافق. 

مجرى سامل

وفي حالات نادرة تكون الاستثناءات مطلوبة.  يكون هذا ضروريا عندما يكون SWG موضوعا طلبا لمصادقة SAML ولكن لا يمكن للتطبيق أو موقع الويب دعمه.  ده يحصل منين:

• يستخدم التطبيق غير المتصفح وكيل مستخدم يبدو مثل مستعرض ويب
• يتعذر على البرنامج النصي معالجة عمليات إعادة توجيه HTTP التي تم تنفيذها بواسطة إختبارات ملف تعريف الارتباط الخاصة بنا
• الطلب الأول في جلسة الاستعراض هو طلب POST (على سبيل المثال. عنوان URL لتسجيل الدخول الأحادي) الذي لا يمكن إعادة توجيهه بشكل صحيح ل SAML

قائمة تجاوز SAML هي أفضل طريقة لاستبعاد مجال من المصادقة مع الحفاظ على الأمان (فحص الملفات) في نفس الوقت.  

• يجب تطبيق إستثناء قائمة تجاوز SAML على النهج الصحيح الذي يؤثر على الشبكة / النفق المستخدم في الاتصال
• لا تسمح قائمة تجاوز SAML تلقائيا بحركة المرور.  يجب الاستمرار في السماح بالمجال (المجالات) حسب الفئة أو قوائم الوجهة في النهج ذي الصلة.

تجاوز SAML - الإعتبارات

عند إضافة إستثناءات للمواقع الشعبية و"الصفحات الرئيسية"، من المهم مراعاة التأثير على SAML. يعمل SAML بشكل أفضل عندما يكون الطلب الأول في جلسة الاستعراض هو طلب GET إلى صفحة HTML.  مثال:  http://www.myhomepage.tld.    تتم إعادة توجيه هذا الطلب لمصادقة SAML بينما تأخذ الطلبات التالية نفس الهوية باستخدام بدائل IP أو ملفات تعريف الارتباط.

يمكن أن يؤدي تجاوز الصفحات الرئيسية من SAML إلى حدوث مشكلة عندما يكون الطلب الأول الذي تم عرضه بواسطة نظام SAML هو لمحتوى الخلفية. على سبيل المثال، http://homepage-content.tld/script.js. هذه مشكلة لأن إعادة توجيه SAML إلى صفحة تسجيل دخول SAML غير ممكنة عندما يقوم المستعرض بتحميل محتوى مضمن (مثل ملفات JS). هذا يعني أنه يبدو أن الصفحة تعرض أو تعمل بشكل غير صحيح حتى يذهب المستخدم إلى موقع آخر لتشغيل تسجيل الدخول.

عند النظر إلى المواقع والمواقع الرئيسية الشائعة، خذ هذه الخيارات بعين الاعتبار:

• لا تستثني الصفحات الرئيسية والمواقع الشائعة من فك تشفير SAML أو HTTPS إلا عند الضرورة
• إن استثنت homepage، بعد ذلك كل مجال يستعمل ب أن موقع (بما في ذلك الخلفية محتوى) ينبغي استثنيت أن يتجنب SAML تعارض