باستخدام وكلاء هوية كاتو للتوعية بالمستخدم

تشرح هذه المقالة كيفية تمكين كاتو Identity Agent لتوعية المستخدم وتوفير القدرة على تحديد المستخدمين خلف الموقع. يدعم Identity Agent العملاء على أنظمة Windows وmacOS وLinux.

نظرة عامة على توعية المستخدم المستندة إلى عامل الهوية

معرفة هوية المستخدم هي مكون أساسي من معمارية شبكة الثقة الصفرية (ZTNA) - من الضروري تحديد المستخدم في أي لحظة، التحكم في وصول المستخدم ومراقبة نشاطه. يقوم Identity Agent للتوعية بالمستخدم بتحديد المستخدمين خلف Socket أو في وضع المكتب. يستخدم إطار عمل Cato Client للحصول على معلومات المستخدم ويقوم بالإبلاغ بانتظام عن هذه الهوية إلى PoP (حوالي كل 30 ثانية). يتم الكشف عن أي تغيير في عنوان IP والإبلاغ عنه فورًا.

يتم تثبيت العميل على الجهاز ويعمل في الخلفية (دون إنشاء نفق) ويوفر سحابة كاتو بهوية المستخدم.

المتطلبات المسبقة

متطلبات العميل لـ Identity Agent تستند إلى IdP الذي تم تكوينه لحسابك.

	عميل Windows v5.4 فأحدث	عميل Windows v5.5 إلى 5.8	عميل Windows v5.9 فأحدث	عميل macOS إصدار 5.3 فأحدث	عميل Linux v5.1 فأحدث
AD المحلي مع LDAP	مدعوم	مدعوم	مدعوم	مدعوم*	مدعوم*
Azure AD المختلط بالاشتراك مع LDAP
خدمات نطاق Azure AD مع LDAP
Azure AD مع SCIM
Azure AD المختلط بالاشتراك مع SCIM	غير مدعوم	مدعوم*	مدعوم	مدعوم*	مدعوم*
IdPs أخرى (مثل Okta) والمستخدمون الذين تم إنشاؤهم يدويًا	غير مدعوم	مدعوم*	مدعوم*	مدعوم*	مدعوم*

* يتطلب رخصة SDP لكل مستخدم وبيئة تحقق أولية لعميل.

نظرة عامة على تنفيذ Agent هوية كاتو لحل توعية المستخدم

هذه نظرة عامة على عملية تنفيذ Identity Agent لتوعية المستخدم في حسابك:

على الشاشة الوصول > خدمات الدليل، قم بتوفير المستخدمين لحسابك.
بعد اكتمال توفير المستخدمين ومجموعات المستخدمين، قم بإنشاء قواعد وسياسات تتضمنهم.
1. قم بتثبيت العميل على الأجهزة للمستخدمين المعنيين. بمجرد أن يقوم المستخدم بتسجيل الدخول إلى الجهاز، يبدأ العميل بالإبلاغ عن الهوية إلى سحابة كاتو كل 30 ثانية.
لعملاء macOS وLinux، قم بتعيين تراخيص SDP للمستخدمين ومجموعات المستخدمين. لمزيد من المعلومات حول كيفية تعيين تراخيص SDP، انظر تعيين تراخيص SDP للمستخدمين

تطبيق السياسات على أساس هوية المستخدم

يمكن إضافة المستخدمين أو مجموعات المستخدمين إلى السياسات. بعد أن تحدد كاتو هوية المستخدم، تُفرض أي سياسات مُعدة للمستخدم سواء خلف الموقع أو عن بُعد.

ملاحظة

ملاحظة: عند استخدام "عامل الهوية"، المستخدمون خلف "الموقع" غير مُطابقين في قواعد "WAN" عندما يتم تعيينهم كوجهة.

تمكين Identity Agent لتوعية المستخدم

تمكين حسابك لتحديد المستخدمين المجهزين بواسطة Identity Agent لكاتو.

لتفعيل عامل الهوية:

من قائمة التنقل، اختر الوصول > توعية المستخدم.
اختر قسم عامل الهوية.
قم بتمكين عميل الهوية لحسابك.

التبديل أعداد باللون الأخضر عند التمكين.
انقر على حفظ.

تعيين رخصة SDP

مطلوب رخصة SDP لتحديد المستخدمين باستخدام عامل الهوية في السيناريوهات التالية:

على جهاز macOS أو Linux
المستخدمون المجهزون من IdP غير Azure
المستخدمون الذين تم إنشاؤهم يدويًا

لمزيد من المعلومات حول كيفية تعيين رخصة SDP، انظر تعيين تراخيص SDP للمستخدمين.

القيود المعروفة

لأجهزة تستخدم macOS:
- على macOS Ventura (الإصدار 13)، بعد ترقية العميل إلى الإصدار الجديد هناك متطلب لإعادة تشغيل الجهاز مرة واحدة
- إذا قمت بحذف مستخدم SDP من العميل، فإن هويتهم لن تُبلَّغ
لحسابات توفر المستخدمين باستخدام Azure AD SCIM:
- من عميل Windows v5.4 إلى v5.8، إذا قام المستخدمون بالتحقق باستخدام AD المحلي، يتم تحديد فقط المستخدمين الذين لديهم ترخيص SDP بواسطة عامل الهوية. (الحسابات التي توفر المستخدمين باستخدام LDAP (من AD المحلي أو Entra) لا تحتاج إلى رخصة SDP)
عميل Windows v5.5 وما قبله - لا يمكن لعامل الهوية تحديد المستخدم النشط عند التبديل بين المستخدمين الذين لا يسجلون الخروج على جهاز Windows.
- عندما يقوم المستخدم بتسجيل الدخول إلى Windows، ويسجل مستخدم مختلف الدخول إلى الجهاز (قائمة البداية > تغيير المستخدم)، يكون كلا المستخدمين حالياً مسجلان في الجهاز. يحدد العميل واحداً فقط من المستخدمين لهذا الجهاز
- عندما يقوم المستخدم بتسجيل الخروج من جهاز Windows، ويسجل المستخدم الثاني الدخول، يحدد العميل المستخدم الثاني لهذا الجهاز
- الخوادم الطرفية غير مدعومة
عندما يتم التحقق من هوية المستخدمين في العميل، يتم الحصول على الهوية فورًا، والطابع الزمني لتقرير عامل الهوية في العميل غير ذي صلة.
لـ IdPs غير Azure AD:
- إذا قمت بحذف مستخدم SDP من العميل، فإن هويتهم لن تُبلَّغ
لا يحدد التوعية بالمستخدمين المستخدمين المعطلين