Cisco Cisco ScanSafe Web Security
• Provedor de identidade. Um IdP (identity provider, provedor de identidade) é uma entidade que produz
asserções SAML. É esperado que o provedor de identidade autentique seus usuários finais antes da
geração de uma asserção SAML.
geração de uma asserção SAML.
• Provedor de serviços. Um SP (service provider, provedor de serviços) é uma entidade que consome
asserções SAML. O Cisco Cloud Web Security é um provedor de serviços. O provedor de serviços
depende do provedor de identidade para identificar o usuário final e comunicar essa identificação ao
provedor de serviços na asserção SAML. O provedor de serviços toma uma decisão de controle de acesso
com base na asserção.
depende do provedor de identidade para identificar o usuário final e comunicar essa identificação ao
provedor de serviços na asserção SAML. O provedor de serviços toma uma decisão de controle de acesso
com base na asserção.
As asserções SAML são contêineres de informações passadas entre provedores de identidade e provedores
de serviços dentro das solicitações e respostas de SAML. As asserções contêm instruções (como instruções
de autenticação e autorização) que os provedores de serviços usam para tomar decisões de controle de acesso.
As asserções começam com a marca
de serviços dentro das solicitações e respostas de SAML. As asserções contêm instruções (como instruções
de autenticação e autorização) que os provedores de serviços usam para tomar decisões de controle de acesso.
As asserções começam com a marca
<saml:Assertion>
.
Os diálogos SAML são chamados de fluxos, e fluxos podem ser iniciados por um ou outro fornecedor:
• Fluxo iniciado pelo provedor de serviços. O SP é contatado por um usuário final que solicita acesso,
assim, ele inicia um diálogo de SAML contatando o provedor de identidade para fornecer identificação
para o usuário. Para fluxos iniciados pelo provedor de serviços, o usuário final acessa o provedor de
serviços usando um URL que contenha o domínio do provedor de serviços, como
http://www.example.com/<URI>.
para o usuário. Para fluxos iniciados pelo provedor de serviços, o usuário final acessa o provedor de
serviços usando um URL que contenha o domínio do provedor de serviços, como
http://www.example.com/<URI>.
• Fluxo iniciado pelo provedor de identidade. O IdP inicia um diálogo SAML contatando o provedor
de serviços que solicita acesso em nome de um usuário final. Para fluxos iniciados pelo provedor de
identidade, o usuário final acessa o provedor de serviços usando um URL que contém um domínio local,
como http://saas.example.com/<URI>.
identidade, o usuário final acessa o provedor de serviços usando um URL que contém um domínio local,
como http://saas.example.com/<URI>.
O Cisco Cloud Web Security oferece suporte apenas aos fluxos iniciados pelo provedor de serviços e atualmente
oferece suporte a dois provedores de identidade de SAML: PingFederate Server, versão 5.0 ou posterior, e
os Serviços Federados do Microsoft Active Directory, versão 2.0 ou posterior. Para obter mais informações
sobre a SAML, consulte
oferece suporte a dois provedores de identidade de SAML: PingFederate Server, versão 5.0 ou posterior, e
os Serviços Federados do Microsoft Active Directory, versão 2.0 ou posterior. Para obter mais informações
sobre a SAML, consulte
.
Como a autenticação funciona
Para autenticar usuários que acessam a Web, o Cisco Cloud Web Security se conecta a um servidor de
autenticação externo ou redireciona os usuários para um provedor de identidade. Um servidor de autenticação
contém uma lista de usuários e as senhas correspondentes organizadas em uma hierarquia. Para que usuários
na rede se autentiquem com êxito, eles devem enviar credenciais de autenticação válidas (nome de usuário e
senha conforme armazenados no servidor de autenticação ou pelo provedor de identidade). Com um servidor
de autenticação, quando os usuários acessam a Web usando o Cisco Cloud Web Security, o serviço se comunica
com o cliente e o servidor de autenticação para autenticar o usuário e processar a solicitação. Com um provedor
de identidade, o Cisco Cloud Web Security redireciona o usuário para o provedor de identidade, que fornece
uma asserção de autenticação.
autenticação externo ou redireciona os usuários para um provedor de identidade. Um servidor de autenticação
contém uma lista de usuários e as senhas correspondentes organizadas em uma hierarquia. Para que usuários
na rede se autentiquem com êxito, eles devem enviar credenciais de autenticação válidas (nome de usuário e
senha conforme armazenados no servidor de autenticação ou pelo provedor de identidade). Com um servidor
de autenticação, quando os usuários acessam a Web usando o Cisco Cloud Web Security, o serviço se comunica
com o cliente e o servidor de autenticação para autenticar o usuário e processar a solicitação. Com um provedor
de identidade, o Cisco Cloud Web Security redireciona o usuário para o provedor de identidade, que fornece
uma asserção de autenticação.
O Cisco Cloud Web Security oferece suporte aos seguintes protocolos de autenticação:
• LDAP (Lightweight Directory Access Protocol). O Cisco Cloud Web Security usa a operação de
vinculação LDAP para consultar um servidor de autenticação compatível com LDAP. O Cisco Cloud
Web Security oferece suporte à autenticação de servidor LDAP padrão e à autenticação LDAPS (Secure
LDAP, LDAP Seguro), que exige um certificado de servidor no servidor LDAP.
Web Security oferece suporte à autenticação de servidor LDAP padrão e à autenticação LDAPS (Secure
LDAP, LDAP Seguro), que exige um certificado de servidor no servidor LDAP.
Guia do administrador do Cisco ScanCenter, versão 5.2
OL-22629-06
29
Autenticação sem cliente