المصادقة تلقائيًا على المستخدمين باستخدام بيانات اعتماد Windows

توضح هذه المقالة كيفية تكوين العميل بحيث يعتمد على بيانات اعتماد Windows للمستخدم للمصادقة.

نظرة عامة

للوصول عن بُعد، يتطلب تنفيذ سياسات الأمان الخاصة بك أن ينجح المستخدمون في المصادقة لدى العميل. ضمان المصادقة السلسة يزيد من أمان الشبكة ويخلق تجربة مستخدم بسيطة. بالنسبة للمستخدمين الذين يقومون بالمصادقة باستخدام SSO، يمكنك تكوين العميل لاستخدام بيانات اعتماد Windows الخاصة بهم للمصادقة. هذا يسمح للمستخدمين بتسجيل الدخول مرة واحدة لجهازهم دون الحاجة إلى إعادة إدخال بيانات الاعتماد عند الاتصال بالعميل. يمكن أن تحدث المصادقة تلقائيًا أو أن يقوم المستخدمون ببدءها. في هذه العملية، يتم إصدار رمز التحديث الأساسي (PRT)، الذي يسترجعه Cato Client لمصادقة المستخدم. بعد انتهاء صلاحية جلسة SSO وصلاحية رمز PRT، يقوم العميل بمصادقة تلقائية صامتة باستخدام بيانات اعتماد Windows، مما يحافظ على تدفق تسجيل دخول وإعادة مصادقة سلس.

إذا قمت بتكوين هذه الميزة مع مفتاح تسجيل Windows لتشغيل العميل تلقائيًا بعد التثبيت الأولي والتوصيل عند التشغيل، يقوم العميل دائمًا بالتشغيل والمصادقة والاتصال دون أن يتخذ المستخدم أي إجراء.

ملاحظة

ملاحظة: قد تكون إدخالات السجل حساسة لحالة الأحرف ويجب إدخالها تمامًا كما تظهر في هذه المقالة.

استخدام القضية - تبسيط مصادقة العملاء

شركة ABC تريد تجربة مستخدم بسيطة لمستخدميها بحيث يمكنهم الاتصال بـ Cato بأقل عدد من النقرات الممكنة. للقيام بذلك، يريدون جعل عملية مصادقة العميل تلقائية. هذا يعني أنه للاتصال بـ Cato، يحتاج المستخدمون فقط لفتح العميل والنقر على اتصل.

يقوم المسؤول بتكوين إعدادات SSO الخاصة بـ Cato لاستخدام بيانات اعتماد Windows الخاصة بالمستخدم تلقائيًا للمصادقة.

في كل مرة يسجل فيها المستخدمون الدخول إلى أجهزتهم، حتى إذا انتهت صلاحية الرمز المميز لـ SSO، يكون العميل قادرًا على الاتصال بالشبكة دون الحاجة إلى مصادقة إضافية من المستخدم.

استخدام القضية - مصادقة واتصال العملاء بسهولة

تريد شركة ABC ضمان أن مستخدميها متصلين بالعميل كثيرًا ما أمكن. للقيام بذلك يريدون جعل عملية اتصال العميل تلقائية بحيث لا يحتاج المستخدمون الجدد أو الحاليون إلى تذكر النقر يدويًا على زر الاتصال في العميل.

يقوم المسؤول بتكوين هذه الإعدادات:

  • حتى يتم تشغيل العميل فورًا للمستخدمين الجدد في المرة الأولى التي يقومون فيها ببدء تشغيل الجهاز، يقومون بتعريف مفتاح تسجيل Windows على الجهاز.
  • بحيث يتصل العميل في كل مرة يتم فيها تشغيل الجهاز، يقومون بتمكين التوصيل عند التشغيل.
  • لإزالة الحاجة إلى المصادقة اليدوية للمستخدم، يقومون بتمكين مصادقة العميل التلقائية لاستخدام بيانات اعتماد Windows للمستخدم.

في كل مرة يقوم المستخدمون بتسجيل الدخول إلى جهازهم، يقوم العميل بالتشغيل والمصادقة والاتصال دون أي إجراء من المستخدم.

ملاحظة

ملاحظة: إذا لم تستطع Azure تقديم رمز المصادقة للمستخدم، يتبع المستخدم النهائي سير المصادقة القياسي عن طريق إدخال بيانات اعتماد Azure في العميل.

المتطلبات المسبقة

  • يتم دعم المصادقة باستخدام بيانات اعتماد Windows:

    • على Windows Client الإصدار 5.8 وأحدث.
    • على الأجهزة التي تعمل بنظام Windows 10 أو أحدث.
    • على الأجهزة المتصلة بـ Azure AD (يدعم من Client الإصدار 5.11 وما فوق).
    • مع تكوين Azure كمزود SSO لحسابك والسماح للمستخدمين بتسجيل الدخول بـ SSO.
    • يتم تكوين تعيين OID وSID (لمزيد من المعلومات، انظر إلى وثائق Microsoft).
    • يمكن للعميل جلب رمز PRT. إذا لم يكن بالإمكان جلب رمز PRT، قد يحتاج المستخدم إلى المصادقة اليدوية أو إعادة المصادقة إلى Windows. لمشكلات رمز PRT، انظر وثائق Microsoft.

القيود المعروفة

  • يتطلب Azure AD الذي يتطلب تفاعل المستخدم (مثل MFA) دعمًا من Client الإصدار 5.11 (غير مدعوم على العملاء دون الإصدار 5.11).
  • مفتاح التسجيل InitialAlwaysOn غير مدعوم لهذه الميزة.

تكوين المصادقة باستخدام بيانات اعتماد Windows

تم تمكين هذه الميزة ضمن تكوين SSO في Azure الخاص بك. بمجرد تمكينها، يمكنك اختيار تجربة المستخدم.

Windows_Auth.png

لمصادقة ببيانات اعتماد Windows:

  1. من قائمة التنقل، انقر على الوصول > تسجيل الدخول الأحادي.
  2. من قسم مستخدمي SDP Client، اختر تسجيل الدخول ببيانات اعتماد Windows.

  3. من القائمة المنسدلة، قم بتكوين تجربة المستخدم:

    • تلقائيًا: يستخدم العميل تلقائيًا بيانات اعتماد Windows للمصادقة.
    • اختيار المستخدم: يجب على المستخدم تأكيد المصادقة ببيانات اعتماد Windows الخاصة بهم، إلا أنهم لا يحتاجون إلى إعادة إدخالها أو يمكنهم اختيار المصادقة كمستخدم مختلف.

  4. انقر على حفظ.

    الآن يقوم المستخدمون بالمصادقة على Cato باستخدام بيانات اعتماد Windows الخاصة بهم. المستخدمون الجدد يقومون بالمصادقة تلقائيًا باستخدام بيانات اعتماد Windows الخاصة بهم. المرات المقبلة، المستخدمون الذين تم تكوينهم يقومون بالمصادقة تلقائيًا عندما تنتهي جلسة SSO.

ملاحظة

ملاحظة: إذا تم تكوين عدة مستخدمين على جهاز، فقط المستخدم الذي تم تكوينه في العميل يمكنه المصادقة باستخدام بيانات اعتماد Windows الخاصة به.

تكوين تجربة مستخدم سلسة

يمكنك تكوين المصادقة باستخدام بيانات اعتماد Windows مع ميزات أخرى لإنشاء تجربة مستخدم سلسة. هذا يعني أن العميل يقوم بالتشغيل والمصادقة والاتصال دون أي إجراء من المستخدم.

بعد تكوين مفاتيح سجل Windows، أعد تشغيل الجهاز.

تحديد النطاق الفرعي للمصادقة السلسة

حدد اسم حسابك على Cato كما يظهر في CMA باستخدام مفتاح سجل Windows SubdomainForSeamlessAuth. يمكنك تحديد النطاق الفرعي لحسابك في صفحة الوصول > تسجيل الدخول الفردي. بعد أن يقوم العميل بإجراء المصادقة الأولية بنجاح إلى سحابة Cato، يتم تحديث السجل تلقائيًا

لتحديد اسم حساب Cato الخاص بك:

  1. اذهب إلى هذا الموقع في السجل: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. قم بتحديد هذا المفتاح:

    • SubdomainForSeamlessAuth = <اسم حسابك> (String)

إطلاق العميل تلقائيًا

قم بتحديد مفتاح سجل Windows LaunchAuthPageOnStartup لتشغيل العميل تلقائيًا بعد التثبيت الأولي. هذه الميزة للمستخدمين الجدد في المرة الأولى التي يسجلون فيها الدخول إلى أجهزتهم.

لتكوين سجل Windows لتشغيل العميل تلقائيًا:

  1. اذهب إلى هذا الموقع في السجل: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. قم بتحديد هذا المفتاح:

    • LaunchAuthPageOnStartup=1 (DWORD)

استخدام الاتصال عند التشغيل للحساب بأكمله

يمكنك اختيار تمكين التوصيل عند التشغيل في تطبيق إدارة Cato لكامل الحساب، بحيث يتصل العملاء دائمًا في كل مرة يتم تشغيل الجهاز. تم تهيئة هذه الميزة للمستخدمين لفرض اتصال العميل دون أي إجراء من المستخدم.

تخصيص الاتصال عند التشغيل لمستخدمين محددين

للحسابات التي تريد تمكين خاصية Connect on Boot لمستخدمين محددين فقط، يمكنك تحديد مفتاح سجل ConnectOnBoot على الأجهزة للمستخدمين المطلوبين.

لتكوين سجل Windows لتوصيل العميل عند بدء تشغيل الجهاز:

  1. اذهب إلى هذا الموقع في السجل: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. قم بتعريف هذا المفتاح:

    • ConnectOnBoot=1 (DWORD)

إعدادات إضافية

إذا كان هناك حاجة للمستخدم لإكمال خطوات مصادقة إضافية، على سبيل المثال، MFA، فإن مفتاح سجل SeamlessAuthAllowUI مطلوب للسماح للمستخدمين بالمصادقة يدويًا.

لتكوين مفتاح التسجيل الإضافي:

  1. اذهب إلى الموقع في السجل: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.

  2. حدد هذا المفتاح:

    • SeamlessAuthAllowUI=1 (DWORD)

استخدام الصلاحية الدائمة للتوكين والمصادقة باستخدام بيانات اعتماد Windows

إذا كان تكوين صلاحية الرمز في SSO مضبوطًا إلى المطالبة دائمًا وقمت بتمكين المصادقة باستخدام بيانات اعتماد Windows، يقوم العميل بالمصادقة بصمت باستخدام بيانات اعتماد Windows الخاصة بالمستخدمين بدون أي مطالبة.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات