Cisco Cisco Web Security Appliance S670 User Guide
7-5
思科网络安全设备 AsyncOS 8.8 用户指南
第 7 章 SaaS 访问控制
创建 SaaS 应用身份验证策略
步骤 4
“提交” (Submit) 并 “确认更改” (Commit Changes)。
后续步骤
•
在 SaaS 应用端上设置单点登录,使用相同参数配置该应用。
用于 SaaS SSO 的用
户标识/身份验证
(User Identification /
Authentication for
SaaS SSO)
户标识/身份验证
(User Identification /
Authentication for
SaaS SSO)
指定 SaaS 单点登录如何对用户进行识别/身份验证:
•
请始终提示用户提供他们的本地身份验证凭证。
•
如果 Web 代理通过透明标识方式获取了他们的用户名,请提示用
户提供他们的本地身份验证凭证。
户提供他们的本地身份验证凭证。
•
使用本地身份验证凭证使 SaaS 用户自动登录。
选择 Web 代理应用于对访问 SaaS 应用的用户进行身份验证的身份验
证领域或序列。用户必须是身份验证领域或身份验证序列的成员才能成
功访问 SaaS 应用。如果使用身份识别服务引擎进行身份验证且已选择
LDAP,领域将用于 SAML 用户名和属性映射。
证领域或序列。用户必须是身份验证领域或身份验证序列的成员才能成
功访问 SaaS 应用。如果使用身份识别服务引擎进行身份验证且已选择
LDAP,领域将用于 SAML 用户名和属性映射。
SAML 用户名映射
(SAML User
Name Mapping)
(SAML User
Name Mapping)
指定 Web 代理在 SAML 断言中向服务提供程序表示用户名的方式。您
可以用在您的网络中使用它们的相同方式传递用户名(无映射),或者您
也可以使用以下方法之一,将内部用户名更改为不同的格式:
可以用在您的网络中使用它们的相同方式传递用户名(无映射),或者您
也可以使用以下方法之一,将内部用户名更改为不同的格式:
•
LDAP 查询 (LDAP query)。发送到服务提供程序的用户名基于一个
或多个 LDAP 查询属性。请输入包含 LDAP 属性字段和可选自定
义文本的表达式。您必须将属性名称放在尖括号内。您可以包含任
意数量的属性。例如,对于 LDAP 属性 “user”和 “domain”,
您可以输入
或多个 LDAP 查询属性。请输入包含 LDAP 属性字段和可选自定
义文本的表达式。您必须将属性名称放在尖括号内。您可以包含任
意数量的属性。例如,对于 LDAP 属性 “user”和 “domain”,
您可以输入
<user>@<domain>.com
。
•
固定规则映射 (Fixed Rule mapping)。发送到服务提供程序的用户
名基于内部用户名,而内部用户名前后均带有固定字符串。请在表
达式名称 (Expression Name) 字段中输入该固定字符串,并在字符
串前或后添加
名基于内部用户名,而内部用户名前后均带有固定字符串。请在表
达式名称 (Expression Name) 字段中输入该固定字符串,并在字符
串前或后添加
%s
表示其在内部用户名中的位置。
SAML 属性映射
(SAML Attribute
Mapping)
(SAML Attribute
Mapping)
(可选)如果 SaaS 应用要求,您可以向 SaaS 应用提供来自 LDAP 身
份验证服务器的关于内部用户的更多信息。将每个 LDAP 服务器属性
映射到 SAML 属性。
映射到 SAML 属性。
身份验证上下文
(Authentication
Context)
(Authentication
Context)
选择 Web 代理用于验证其内部用户的身份验证机制。
注意
身份验证上下文可通知服务提供程序标识提供程序用于进行内
部用户身份验证时所使用的身份验证机制。一些服务提供程序需
要通过特定身份验证机制来允许用户访问 SaaS 应用。如果服务
提供程序需要标识提供程序不支持的身份验证上下文,用户无法
使用标识提供程序的单点登录访问服务提供程序。
部用户身份验证时所使用的身份验证机制。一些服务提供程序需
要通过特定身份验证机制来允许用户访问 SaaS 应用。如果服务
提供程序需要标识提供程序不支持的身份验证上下文,用户无法
使用标识提供程序的单点登录访问服务提供程序。
属性
说明