Guest

Seguridad de la red de la nube: Configuración ADFS para incluir a los grupos específicos a la hora de la autenticación

Opciones de descarga

  • PDF     (84.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (75.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (78.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de agosto de 2016
ID del documento:200476
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar los servicios federados Microsoft Active Directory (ADFS) como proveedor de la identidad (IdP), que envía a los detalles específicos del grupo al servicio de la Seguridad de la red de la nube de Cisco (CWS), bastante que una lista completa de membresías del grupo.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Configuración de seguridad de la red de la nube usando el portal de ScanCenter

  • Autenticación del lenguaje de marcado de la aserción de la Seguridad (SAML)

  • La administración del servidor de Microsoft ADFS

     

Componentes Utilizados

La información en este documento se basa en la versión 2.0 de Microsoft ADFS, ejecutándose en el r2 2008 del Servidor Windows.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Durante el proceso de autenticación entre un buscador del cliente, el servidor ADFS (el proveedor o el IdP de la identidad) y el CWS (el proveedor de servicio o el SP), toda la información se cifra y se agrega a la cadena URL en el buscador del cliente. Esto significa que la cadena URL es más larga cuando más información se envía al CWS.

Al configurar SAML la autenticación (con Microsoft ADFS) para el uso con el servicio del CWS, usted debe configurar una confianza de confianza del partido para proporcionar la información del nombre de usuario y del grupo. Seguridad de la red de la nube: Configure el usuario/los atributos del grupo con PingFederate y ADFS mientras que el usar SAML describe este paso más detalladamente.

Problema


El número de grupos un usuario se agrega al aumento de la voluntad el tamaño URL. Si un usuario pertenece a un gran número de grupos AD, el URL vendrá un tamaño por el que el límite impuesto navegador URL esté alcanzado, y el proceso de autenticación fallará.

Cada navegador puede definir su propia longitud permitida máximo URL. El RFC 2616 no especifica un Largo máximo, pero los límites prácticos son impuestos por los vendedores del navegador.

Nota: No es posible definir explícitamente a un número máximo de grupos porque un grupo no tiene un número fijo de caracteres. Por ejemplo “GroupA” tiene menos caracteres que “Test_Group_A”. La definición de varios grupos que permanece debajo del límite URL dependerá de la cuenta de carácter del Domain Name + del nombre del grupo.

Solución

Usted puede configurar el servidor de Microsoft ADFS para incluir a los grupos específicos en el proceso de autenticación. Usted seleccionaría típicamente solamente a los grupos usados en las reglas para filtros de la red del CWS. Funcionar con una auditoría de las políticas existentes ayudará a determinar qué grupos son ya funcionando.

Nuevo y los despliegues existentes debe seguir la configuración de la mejor práctica delineada abajo. Esto proporciona las siguientes ventajas:

  • Guarda el tamaño URL a un mínimo
  • Acelera el proceso de autenticación entre el IdP (ADFS) y el SP (el CWS)
  • Guarda el ancho de banda en cada pedido de autenticación

Configuración de la mejor práctica

Cree la “aceptación transforman las reglas” por las confianzas del proveedor de las demandas de apertura y creando dos transforme las reglas:

La plantilla de la regla de la demanda del uso “envía los atributos LDAP como demandas”

Almacén del atributo: AD;

Atributo LDAP: Token-grupos - Nombres incompetentes;

Tipo saliente de la demanda: Grupo

La plantilla de la regla de la demanda del uso “envía los atributos LDAP como demandas”

Almacén del atributo: AD;

Atributo LDAP: SAM-Cuenta-nombre;

Tipo saliente de la demanda: Nombre

Cree la “emisión transforman las reglas” abriendo las confianzas de confianza de la parte y creando dos transforme las reglas:

El uso “transforma plantilla de una demanda entrante”

Tipo entrante de la demanda: Nombre

Formato: sin especificar

Tipo saliente de la demanda: Nombre ID

Formato: Sin especificar

“Paso selecto con todos los valores de la demanda”

Utilice el “passthrough o filtre una demanda entrante”

Tipo entrante de la demanda: Grupo

“Paso selecto con solamente los valores de la demanda que comienzan con un valor específico:

Especifique sus nombres del grupo AD

Verificación

  • Mientras que está abierto una sesión como el usuario final, hojee a http://whoami.scansafe.net
  • La salida debe enumerar solamente a los grupos especificados en el procedimiento antedicho, bastante que una lista completa de membresías del grupo.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Brett Murrell
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

Comentarios

Déjenos ayudarlo

Este documento se aplica a estos productos