Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 22 replies
  • Subscribers 0 subscribers
  • Views 9172 views
  • Users 0 members are here
Options
Suggested

[9.165] Web filtering profiles SSO authentication

Rok
Hi!
I have some problems with new web transparent mode and SSO authentication. I set the web profile for one user where transparent mode with SSO is enabled (UTM is connected to AD, user login on UTM is working), but any of my browsers always started with login window (tested on Xp, W7 and W8). I am guessing utm should get logged username and set the IP for it, but I am not sure how long this "relation" is cached. In web log the user field is empty, so please advise what should I check that utm could recognise logged user instead prompting for login in browser.

Thanks,
Rok
Parents
  • 0
    I'll add one more thing to Alan's description.  The following is true for AD SSO in both transparent and standard modes.

    When the browser receives a challenge for authentication it should take the OS's currently logged in user's credentials and try them (without any prompting from the user).

    If the UTM receives them and cannot use them to authenticate (eg maybe the user is a local login not domain user) then it asks again.  This time the browser (knowing that SSO failed) will do a pop-up asking for credentials.

    Some browsers may store the credentials in the password manager, at which point it is up to the browser to decide whether to use the logged in OS user, the stored credentials, or ask the user.  I have seen cases where people are not getting the user they expect or they get different behavior based on browser - this is typically due to saved credentials in their Password Manager.
Reply
  • 0
    I'll add one more thing to Alan's description.  The following is true for AD SSO in both transparent and standard modes.

    When the browser receives a challenge for authentication it should take the OS's currently logged in user's credentials and try them (without any prompting from the user).

    If the UTM receives them and cannot use them to authenticate (eg maybe the user is a local login not domain user) then it asks again.  This time the browser (knowing that SSO failed) will do a pop-up asking for credentials.

    Some browsers may store the credentials in the password manager, at which point it is up to the browser to decide whether to use the logged in OS user, the stored credentials, or ask the user.  I have seen cases where people are not getting the user they expect or they get different behavior based on browser - this is typically due to saved credentials in their Password Manager.
Children
No Data
Unfiltered HTML