Você precisa se lembrar que, como proxy, eles estão no caminho de todas as solicitações da Web (ou, pelo menos, todas as solicitações não SSL, a menos que você esteja usando a descriptografia SSL).
Na primeira vez que você for ao cnn.com, eles verão que você não possui um dos cookies de autenticação deles para esse site. Em vez de veicular o site, eles o redirecionarão temporariamente para o site de autenticação deles.
Quando chegar a esse site de autenticação, uma das duas coisas acontecerá. Se você já está autenticado no Zscaler (o que eles podem dizer usando cookies, que neste caso são para o seu site de autenticação), eles irão redirecioná-lo de volta para cnn.com, com uma string de consulta (? Xxx = yyy adicionada ao URL ) que identifica exclusivamente você. Quando o navegador segue esse redirecionamento, eles novamente interceptam a solicitação, novamente redirecionam você - desta vez de volta para a URL original (cnn.com sem a string de consulta extra), e eles definirão um cookie de autenticação zscaler para o domínio cnn.com, o que eles podem fazer porque, no que diz respeito ao seu navegador, a resposta está vindo do cnn.com real para permitir que o cookie seja configurado (mesmo que a resposta seja realmente proveniente do Zscaler).
Depois disso, todas as solicitações para cnn.com incluirão seu cookie de autenticação para esse domínio, para que saibam que você está fazendo a solicitação. Após um período de tempo (24 horas, eu acho) que o cookie irá tempo limite, e eles passarão por todo o processo de redirecionamento novamente.
Se você não estava autenticado no Zscaler durante o primeiro redirecionamento acima, ele faria o login e seguiria o mesmo processo.
Se você examinar sua lista de cookies depois de ativar a autenticação como essa, verá que cada site tem um novo cookie sendo definido para ela. Esse é o cookie de autenticação do Zscaler para esse domínio.
Apesar do que eles podem afirmar, a maneira como eles fazem isso não é tão única - vários outros produtos de segurança da Web usam exatamente o mesmo mecanismo. Há um pequeno impacto no desempenho devido a todos os redirecionamentos (que ocorrem pelo menos uma vez para cada domínio, a cada 24 horas) - mas geralmente não é tão significativo ser perceptível.