¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Seguridad de la red de la nube: Configuración ADFS para incluir a los grupos específicos a la hora de la autenticación

Opciones de descarga

  • PDF     (84.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (81.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (78.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de agosto de 2016
ID del documento:200476
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar los servicios federados Microsoft Active Directory (ADFS) como proveedor de la identidad (IdP), que envía a los detalles específicos del grupo al servicio de la Seguridad de la red de la nube de Cisco (CWS), bastante que una lista completa de membresías del grupo.

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Configuración de seguridad de la red de la nube con el portal de ScanCenter

  • Autenticación del lenguaje de marcado de la aserción de la Seguridad (SAML)

  • La administración del servidor de Microsoft ADFS

     

Componentes Utilizados

La información en este documento se basa en la versión 2.0 de Microsoft ADFS, esos funcionamientos en el r2 2008 del Servidor Windows.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Cuando ocurre el proceso de autenticación entre un buscador del cliente, el servidor ADFS (el IdP) y CWS (el proveedor de servicio (el SP)), toda la información se cifra y se agrega a la cadena URL en el buscador del cliente. Esto significa que la cadena URL es más larga cuando más información se envía al CWS.

Cuando usted configura SAML la autenticación (con Microsoft ADFS) para el uso con el servicio del CWS, usted debe configurar una confianza de confianza del partido para proporcionar la información del nombre de usuario y del grupo. Seguridad de la red de la nube: Configure el usuario/los atributos del grupo con PingFederate y ADFS mientras que el usar SAML describe este paso más detalladamente.


El número de grupos que agregan a un usuario a aumenta el tamaño URL. Si un usuario pertenece a un gran número de grupos del Active Directory (AD), el URL viene un tamaño por el que el límite impuesto navegador URL esté alcanzado, y el proceso de autenticación falla.

Cada navegador pudo definir su propia longitud permitida máximo URL. El RFC 2616 no especifica un Largo máximo, pero los límites prácticos son impuestos por los vendedores del navegador.

Note: No es posible definir explícitamente a un número máximo de grupos porque un grupo no tiene un número fijo de caracteres. Por ejemplo, GroupA tiene menos caracteres que Test_Group_A. Para definir a varios grupos que permanece debajo del límite URL depende de la cuenta de carácter del Domain Name + del nombre del grupo.

Configurar

Usted puede configurar el servidor de Microsoft ADFS para incluir a los grupos específicos en el proceso de autenticación. Usted seleccionaría típicamente solamente a los grupos usados en las reglas para filtros de la red del CWS. Cuando usted funciona con una auditoría de las directivas que existen, ayudan a determinar a los grupos que son ya funcionando.

Nuevo y las implementaciones que existen ya debe seguir la configuración de la mejor práctica que proporciona estas ventajas:

  • Guarda el tamaño URL a un mínimo
  • Acelera el proceso de autenticación entre el IdP (ADFS) y el SP (el CWS)
  • Guarda el ancho de banda en cada pedido de autenticación

Configuración de la mejor práctica

Las confianzas del proveedor de las demandas abiertas y crean dos que la aceptación transforma las reglas:

La plantilla de la regla de la demanda del uso envía los atributos LDAP como demandas

Almacén del atributo: AD;

Atributo LDAP: Token-grupos - Nombres incompetentes;

Tipo saliente de la demanda: Grupo

La plantilla de la regla de la demanda del uso envía los atributos LDAP como demandas

Almacén del atributo: AD;

Atributo LDAP: SAM-Cuenta-nombre;

Tipo saliente de la demanda: Nombre

Cree la emisión transforman las reglas abriendo las confianzas de confianza de la parte y creando dos transforme las reglas:

El uso transforma una plantilla entrante de la demanda

Tipo entrante de la demanda: Nombre

Formato: sin especificar

Tipo saliente de la demanda: Nombre ID

Formato: Sin especificar

Seleccione el paso con todos los valores de la demanda

Utilice el passthrough o filtre una demanda entrante

Tipo entrante de la demanda: Grupo

Paso selecto con solamente los valores de la demanda que comienzan con un valor específico:

Especifique sus nombres del grupo AD

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

  • Mientras que está abierto una sesión como el usuario final, hojee a http://whoami.scansafe.net.
  • La salida debe enumerar solamente a los grupos especificados en el procedimiento previamente mencionado, bastante que una lista completa de membresías del grupo.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Brett Murrell
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros